Dubbele sleutelcodering

Van toepassing op: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection

Instructies voor: Azure Information Protection geïntegreerde labelclient voor Windows

Servicebeschrijving voor: Microsoft Purview

Dubbele sleutelversleuteling (DKE) gebruikt twee sleutels samen om toegang te krijgen tot beveiligde inhoud. Microsoft slaat één sleutel op in Microsoft Azure en u bewaart de andere sleutel. U behoudt de volledige controle over een van uw sleutels met behulp van de Double Key Encryption-service. U past beveiliging toe met behulp van de Azure Information Protection geïntegreerde labelclient op uw zeer gevoelige inhoud.

Dubbele sleutelversleuteling ondersteunt zowel cloud- als on-premises implementaties. Deze implementaties helpen ervoor te zorgen dat versleutelde gegevens ondoorzichtige blijven waar u de beveiligde gegevens opslaat.

Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie over de standaard, cloudgebaseerde tenantsleutels.

Tip

Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.

Wanneer uw organisatie DKE moet gebruiken

Dubbele sleutelversleuteling is bedoeld voor uw meest gevoelige gegevens waarvoor de strengste beveiligingsvereisten gelden. DKE is niet bedoeld voor alle gegevens. Over het algemeen gebruikt u Dubbele sleutelversleuteling om slechts een klein deel van uw algemene gegevens te beveiligen. U moet zorgvuldig te werk gaan bij het identificeren van de juiste gegevens voor deze oplossing voordat u implementeert. In sommige gevallen moet u mogelijk uw bereik beperken en andere oplossingen gebruiken voor de meeste gegevens, zoals Microsoft Purview Informatiebeveiliging met door Microsoft beheerde sleutels of BYOK. Deze oplossingen zijn voldoende voor documenten waarvoor geen uitgebreide beveiliging en wettelijke vereisten gelden. Met deze oplossingen kunt u ook de krachtigste Office 365 services gebruiken; services die u niet kunt gebruiken met DKE-versleutelde inhoud. Bijvoorbeeld:

  • Transportregels, waaronder antimalware en spam, waarvoor zichtbaarheid in de bijlage is vereist
  • Microsoft Delve
  • eDiscovery
  • Inhoud zoeken en indexeren
  • Office Web Apps inclusief functionaliteit voor cocreatie

Externe toepassingen of services die niet zijn geïntegreerd met DKE via de Microsoft Information Protection SDK (MIP) kunnen geen acties uitvoeren op de versleutelde gegevens.

De Microsoft Information Protection SDK 1.7+ ondersteunt Dubbele sleutelversleuteling. Toepassingen die integreren met onze SDK kunnen redeneert over deze gegevens met voldoende machtigingen en integraties.

Gebruik Microsoft Purview Informatiebeveiliging mogelijkheden (classificatie en labeling) om de meeste gevoelige gegevens te beveiligen en gebruik alleen DKE voor uw bedrijfskritieke gegevens. Dubbele sleutelversleuteling is relevant voor gevoelige gegevens in sterk gereglementeerde sectoren zoals financiële services en gezondheidszorg.

Als uw organisaties een van de volgende vereisten hebben, kunt u DKE gebruiken om uw inhoud te beveiligen:

  • U wilt ervoor zorgen dat alleen u beveiligde inhoud onder alle omstandigheden kunt ontsleutelen.
  • U wilt niet dat Microsoft zelf toegang heeft tot beveiligde gegevens.
  • U hebt wettelijke vereisten voor het bewaren van sleutels binnen een geografische grens. Alle sleutels die u hebt voor gegevensversleuteling en -ontsleuteling, worden bewaard in uw datacenter.

Systeem- en licentievereisten voor DKE

Dubbele sleutelversleuteling wordt geleverd met Microsoft 365 E5. Als u geen Microsoft 365 E5-licentie hebt, kunt u zich registreren voor een proefversie. Zie Microsoft 365-licentierichtlijnen voor beveiligingsnaleving & voor meer informatie over deze licenties.

Azure Information Protection. DKE werkt met vertrouwelijkheidslabels en vereist Azure Information Protection.

DKE-vertrouwelijkheidslabels worden beschikbaar gesteld aan eindgebruikers via de gevoeligheidsknop in de AIP Unified Labeling-client in Office Desktop Apps. Installeer deze vereisten op elke clientcomputer waarop u beveiligde documenten wilt beveiligen en gebruiken.

Microsoft Office-apps voor ondernemingen versie 2009 of hoger (bureaubladversies van Word, Excel, PowerPoint en Outlook) in Windows.

Azure Information Protection Unified Labeling Client versie 2.14.93.0 of hoger. Download en installeer de Unified Labeling-client vanuit het Microsoft-downloadcentrum.

Ondersteunde omgevingen voor het opslaan en weergeven van met DKE beveiligde inhoud

Ondersteunde toepassingen. Microsoft 365-apps voor ondernemingen clients in Windows, waaronder Word, Excel, PowerPoint en Outlook.

Ondersteuning voor online-inhoud. U kunt documenten en bestanden die zijn beveiligd met Dubbele sleutelversleuteling online opslaan in zowel Microsoft SharePoint als OneDrive voor Bedrijven. U moet documenten en bestanden labelen en beveiligen met DKE door ondersteunde toepassingen voordat u uploadt naar deze locaties. U kunt versleutelde inhoud delen via e-mail, maar u kunt versleutelde documenten en bestanden niet online weergeven. In plaats daarvan moet u beveiligde inhoud weergeven met behulp van de ondersteunde bureaubladtoepassingen en clients op uw lokale computer.

Alleen Outlook-versleuteling en scenario's niet doorsturen Als u DKE configureert voor ondersteunde scenario's, wordt er een waarschuwing in de labelconfiguratie-ervaring gemaakt. Alleen voor versleuteling en niet doorsturen hebben deze niet-ondersteunde scenario's geen waarschuwing in de labelconfiguratie-ervaring.

Overzicht van het implementeren van DKE

U volgt deze algemene stappen om DKE in te stellen. Zodra u deze stappen hebt voltooid, kunnen uw eindgebruikers uw zeer gevoelige gegevens beveiligen met Dubbele sleutelversleuteling.

  1. Implementeer de DKE-service zoals beschreven in dit artikel.

  2. Maak een label met dubbele sleutelversleuteling. Ga in de Microsoft Purview-nalevingsportal naar Informatiebeveiliging en maak een nieuw label met Dubbele sleutelversleuteling. Zie Toegang tot inhoud beperken met behulp van vertrouwelijkheidslabels om versleuteling toe te passen.

  3. Gebruik labels voor dubbele sleutelversleuteling. Beveilig gegevens door het label Double Key Encrypted te selecteren op het lint Vertrouwelijkheid in Microsoft Office.

Er zijn verschillende manieren waarop u enkele stappen voor het implementeren van Dubbele sleutelversleuteling kunt uitvoeren. Dit artikel bevat gedetailleerde instructies, zodat minder ervaren beheerders de service kunnen implementeren. Als u dit prettig vindt, kunt u ervoor kiezen om uw eigen methoden te gebruiken.

DKE implementeren

In dit artikel en de implementatievideo wordt Azure gebruikt als de implementatiebestemming voor de DKE-service. Als u op een andere locatie implementeert, moet u uw eigen waarden opgeven.

U volgt deze algemene stappen om Dubbele sleutelversleuteling in te stellen voor uw organisatie.

  1. Softwarevereisten voor de DKE-service installeren
  2. Kloon de GitHub-opslagplaats dubbele sleutelversleuteling
  3. Toepassingsinstellingen wijzigen
  4. Testsleutels genereren
  5. Het project bouwen
  6. De DKE-service implementeren en het sleutelarchief publiceren
  7. Uw implementatie valideren
  8. Uw sleutelarchief registreren
  9. Gevoeligheidslabels maken met DKE
  10. DKE inschakelen in uw client
  11. Beveiligde bestanden migreren van HYOK-labels naar DKE-labels

Wanneer u klaar bent, kunt u documenten en bestanden versleutelen met behulp van DKE. Zie Vertrouwelijkheidslabels toepassen op uw bestanden en e-mail in Office voor meer informatie.

Softwarevereisten voor de DKE-service installeren

Installeer deze vereisten op de computer waarop u de DKE-service wilt installeren.

.NET Core 7.0 SDK. Download en installeer de SDK via .NET Core 7.0 downloaden.

Visual Studio Code. Download Visual Studio Code van https://code.visualstudio.com/. Nadat de installatie is uitgevoerd, voert u Visual Studio Code uit en selecteert u Extensies weergeven>. Installeer deze extensies.

  • C# voor Visual Studio Code

  • NuGet Package Manager

Git-resources. Download en installeer een van de volgende opties.

OpensslOpenSSL moet zijn geïnstalleerd om testsleutels te genereren nadat u DKE hebt geïmplementeerd. Zorg ervoor dat u het correct aanroept vanuit het pad van uw omgevingsvariabelen. Zie bijvoorbeeld 'De installatiemap toevoegen aan PATH' op https://www.osradar.com/install-openssl-windows/ voor meer informatie.

De DKE GitHub-opslagplaats klonen

Microsoft levert de DKE-bronbestanden in een GitHub-opslagplaats. U kloont de opslagplaats om het project lokaal te bouwen voor gebruik door uw organisatie. De DKE GitHub-opslagplaats bevindt zich op https://github.com/Azure-Samples/DoubleKeyEncryptionService.

De volgende instructies zijn bedoeld voor onervaren git- of Visual Studio Code-gebruikers:

  1. Ga in uw browser naar: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Selecteer Code aan de rechterkant van het scherm. In uw versie van de gebruikersinterface wordt mogelijk de knop Klonen of downloaden weergegeven. Selecteer vervolgens in de vervolgkeuzelijst die wordt weergegeven het kopieerpictogram om de URL naar het klembord te kopiëren.

    Bijvoorbeeld:

    Kloon de opslagplaats van de Double Key Encryption-service vanuit GitHub.

  3. Selecteer in Visual Studio CodeOpdrachtpaletweergeven> en selecteer Git: Klonen. Als u naar de optie in de lijst wilt gaan, begint u te typen git: clone om de vermeldingen te filteren en selecteert u deze vervolgens in de vervolgkeuzelijst. Bijvoorbeeld:

    Visual Studio Code GIT:Kloonoptie.

  4. Plak in het tekstvak de URL die u hebt gekopieerd uit Git en selecteer Klonen uit GitHub.

  5. Blader in het dialoogvenster Map selecteren dat wordt weergegeven naar en selecteer een locatie om de opslagplaats op te slaan. Selecteer Openen bij de prompt.

    De opslagplaats wordt geopend in Visual Studio Code en de huidige Git-vertakking wordt linksonder weergegeven. De vertakking moet bijvoorbeeld main zijn. Bijvoorbeeld:

    Schermopname van de DKE-opslagplaats in Visual Studio Code met de hoofdvertakking.

  6. Als u zich niet in de hoofdvertakking bevindt, moet u deze selecteren. Selecteer in Visual Studio Code de vertakking en kies main in de lijst met vertakkingen die wordt weergegeven.

    Belangrijk

    Als u de hoofdvertakking selecteert, zorgt u ervoor dat u over de juiste bestanden beschikt om het project te bouwen. Als u niet de juiste vertakking kiest, mislukt de implementatie.

U hebt nu uw DKE-bronopslagplaats lokaal ingesteld. Wijzig vervolgens de toepassingsinstellingen voor uw organisatie.

Toepassingsinstellingen wijzigen

Als u de DKE-service wilt implementeren, moet u de volgende typen toepassingsinstellingen wijzigen:

U wijzigt de toepassingsinstellingen in het bestand appsettings.json. Dit bestand bevindt zich in de DoubleKeyEncryptionService-opslagplaats die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store. In Visual Studio Code kunt u bijvoorbeeld naar het bestand bladeren, zoals wordt weergegeven in de volgende afbeelding.

Het bestand appsettings.json voor DKE zoeken.

Instellingen voor sleuteltoegang

Kies of u e-mail- of rolautorisatie wilt gebruiken. DKE ondersteunt slechts één van deze verificatiemethoden tegelijk.

  • Email autorisatie. Hiermee kan uw organisatie alleen toegang tot sleutels autoriseren op basis van e-mailadressen.

  • Rolautorisatie. Hiermee kan uw organisatie toegang tot sleutels autoriseren op basis van Active Directory-groepen en vereist dat de webservice ldap kan opvragen.

Instellingen voor sleuteltoegang instellen voor DKE met behulp van e-mailautorisatie
  1. Open het bestand appsettings.json en zoek de AuthorizedEmailAddress instelling.

  2. Voeg het e-mailadres of de adressen toe die u wilt autoriseren. Scheid meerdere e-mailadressen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Zoek de LDAPPath instelling en verwijder de tekst If you use role authorization (AuthorizedRoles) then this is the LDAP path. tussen de dubbele aanhalingstekens. Laat de dubbele aanhalingstekens staan. Wanneer u klaar bent, moet de instelling er als volgt uitzien.

    "LDAPPath": ""
    
  4. Zoek de AuthorizedRoles instelling en verwijder de hele regel.

In deze afbeelding ziet u het bestand appsettings.json dat correct is opgemaakt voor e-mailautorisatie.

Het bestand appsettings.json met de e-mailautorisatiemethode.

Sleuteltoegangsinstellingen instellen voor DKE met behulp van rolautorisatie
  1. Open het bestand appsettings.json en zoek de AuthorizedRoles instelling.

  2. Voeg de Active Directory-groepsnamen toe die u wilt autoriseren. Scheid meerdere groepsnamen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Zoek de LDAPPath instelling en voeg het Active Directory-domein toe. Bijvoorbeeld:

    "LDAPPath": "contoso.com"
    
  4. Zoek de AuthorizedEmailAddress instelling en verwijder de hele regel.

In deze afbeelding ziet u het bestand appsettings.json dat juist is opgemaakt voor rolautorisatie.

het bestand appsettings.json met de autorisatiemethode voor rollen.

Tenant- en sleutelinstellingen

DKE-tenant- en sleutelinstellingen bevinden zich in het bestand appsettings.json .

Tenant- en sleutelinstellingen configureren voor DKE
  1. Open het bestand appsettings.json .

  2. Zoek de ValidIssuers instelling en vervang door <tenantid> uw tenant-id. U kunt uw tenant-id vinden door naar de Azure Portal te gaan en de tenanteigenschappen te bekijken. Bijvoorbeeld:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Opmerking

Als u externe B2B-toegang tot uw sleutelarchief wilt inschakelen, moet u deze externe tenants ook opnemen als onderdeel van de lijst met geldige verleners.

Zoek de JwtAudience. Vervang door <yourhostname> de hostnaam van de computer waarop de DKE-service wordt uitgevoerd. Bijvoorbeeld: "https://dkeservice.contoso.com"

Belangrijk

De waarde voor JwtAudience moet exact overeenkomen met de naam van uw host.

  • TestKeys:Name. Voer een naam in voor uw sleutel. Bijvoorbeeld:TestKey1
  • TestKeys:Id. Maak een GUID en voer deze in als de TestKeys:ID waarde. Bijvoorbeeld DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. U kunt een site zoals Online GUID Generator gebruiken om willekeurig een GUID te genereren.

In deze afbeelding ziet u de juiste indeling voor tenant- en sleutelsinstellingen in appsettings.json. LDAPPath is geconfigureerd voor rolautorisatie.

Toont de juiste tenant- en sleutelinstellingen voor DKE in het bestand appsettings.json.

Testsleutels genereren

Zodra u de toepassingsinstellingen hebt gedefinieerd, kunt u openbare en persoonlijke testsleutels genereren.

Sleutels genereren:

  1. Voer vanuit het menu Start van Windows de OpenSSL-opdrachtprompt uit.

  2. Ga naar de map waarin u de testsleutels wilt opslaan. De bestanden die u maakt door de stappen in deze taak te voltooien, worden in dezelfde map opgeslagen.

  3. Genereer de nieuwe testsleutel.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Genereer de persoonlijke sleutel.

    Als u OpenSSL versie 3 of hoger hebt geïnstalleerd, voert u de volgende opdracht uit:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Voer anders de volgende opdracht uit:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Genereer de openbare sleutel.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. Open pubkeyonly.pem in een teksteditor. Kopieer alle inhoud in het bestand pubkeyonly.pem , met uitzondering van de eerste en laatste regel, naar de PublicPem sectie van het bestand appsettings.json .

  3. Open privkeynopass.pem in een teksteditor. Kopieer alle inhoud in het bestand privkeynopass.pem , met uitzondering van de eerste en laatste regel, naar de PrivatePem sectie van het bestand appsettings.json .

  4. Verwijder alle lege spaties en nieuwe regels in de PublicPem secties en PrivatePem .

    Belangrijk

    Wanneer u deze inhoud kopieert, verwijdert u geen pem-gegevens.

  5. Blader in Visual Studio Code naar het bestand Startup.cs . Dit bestand bevindt zich in de DoubleKeyEncryptionService-opslagplaats die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store.

  6. Zoek de volgende regels:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Vervang deze regels door de volgende tekst:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    De eindresultaten moeten er ongeveer als volgt uitzien.

    bestand startup.cs voor openbare preview.

U bent nu klaar om uw DKE-project te bouwen.

Het project bouwen

Gebruik de volgende instructies om het DKE-project lokaal te bouwen:

  1. Selecteer in Visual Studio Code in de DKE-serviceopslagplaats deoptieOpdrachtpalet weergeven>en typ build bij de prompt.

  2. Kies taken: buildtaak uitvoeren in de lijst.

    Als er geen buildtaken zijn gevonden, selecteert u Buildtaak configureren en maakt u er als volgt een voor .NET Core.

    Configureer ontbrekende buildtaak voor .NET.

    1. Kies Taken.json maken op basis van sjabloon.

      Maak het tasks.json-bestand op basis van sjabloon voor DKE.

    2. Selecteer .NET Core in de lijst met sjabloontypen.

      Selecteer de juiste sjabloon voor DKE.

    3. Zoek in de sectie build het pad naar het bestand customerkeystore.csproj . Als deze niet aanwezig is, voegt u de volgende regel toe:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Voer de build opnieuw uit.

  3. Controleer of er geen rode fouten in het uitvoervenster staan.

    Als er rode fouten zijn, controleert u de console-uitvoer. Zorg ervoor dat u alle vorige stappen correct hebt voltooid en dat de juiste buildversies aanwezig zijn.

Uw installatie is nu voltooid. Voordat u de keystore publiceert, moet u in appsettings.json voor de instelling JwtAudience ervoor zorgen dat de waarde voor hostnaam exact overeenkomt met uw App Service hostnaam.

De DKE-service implementeren en het sleutelarchief publiceren

Voor productie-implementaties implementeert u de service in een cloud van derden of publiceert u naar een on-premises systeem.

Mogelijk geeft u de voorkeur aan andere methoden om uw sleutels te implementeren. Selecteer de methode die het beste werkt voor uw organisatie.

Voor testimplementaties kunt u implementeren in Azure en meteen aan de slag gaan.

Een Azure Web App-exemplaar maken om uw DKE-implementatie te hosten

Als u het sleutelarchief wilt publiceren, maakt u een Azure App Service-exemplaar om uw DKE-implementatie te hosten. Vervolgens publiceert u uw gegenereerde sleutels naar Azure.

  1. Meld u in uw browser aan bij de Microsoft Azure Portal en ga naar App Services>Toevoegen.

  2. Selecteer uw abonnement en resourcegroep en definieer de details van uw exemplaar.

    • Voer de hostnaam in van de computer waarop u de DKE-service wilt installeren. Zorg ervoor dat deze dezelfde naam heeft als de naam die is gedefinieerd voor de instelling JwtAudience in het bestand appsettings.json . De waarde die u opgeeft voor de naam is ook de WebAppInstanceName.

    • Selecteer code bij Publiceren en selecteer voor Runtime-stack de optie .NET Core 3.1.

    Bijvoorbeeld:

    Voeg uw App Service toe.

  3. Selecteer onderaan de pagina Beoordelen en maken en selecteer vervolgens Toevoegen.

  4. Voer een van de volgende handelingen uit om de gegenereerde sleutels te publiceren:

Publiceren via ZipDeployUI

  1. Ga naar https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Bijvoorbeeld:https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. Ga in de codebasis voor het sleutelarchief naar de map customer-key-store\src\customer-key-store en controleer of deze map het bestand customerkeystore.csproj bevat.

  3. Uitvoeren: dotnet publish

    In het uitvoervenster wordt de map weergegeven waarin de publicatie is geïmplementeerd.

    Bijvoorbeeld:customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Alle bestanden in de publicatiemap naar een .zip-bestand verzenden. Wanneer u het .zip-bestand maakt, moet u ervoor zorgen dat alle bestanden in de map zich op het hoofdniveau van het .zip-bestand bevinden.

  5. Sleep het .zip bestand dat u maakt naar de ZipDeployUI-site die u hierboven hebt geopend. Bijvoorbeeld:https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE is geïmplementeerd en u kunt bladeren naar de testsleutels die u hebt gemaakt. Ga verder met het valideren van uw implementatie hieronder.

Publiceren via FTP

  1. Maak verbinding met de App Service die u hierboven hebt gemaakt.

    Ga in uw browser naar:ftp-dashboard> voorhandmatige>implementatie vanAzure Portal> App Service >deployment center>.

  2. Kopieer de weergegeven verbindingsreeksen naar een lokaal bestand. U gebruikt deze tekenreeksen om verbinding te maken met het web App Service en bestanden te uploaden via FTP.

    Bijvoorbeeld:

    Kopieer verbindingsreeksen van het FTP-dashboard.

  3. Ga in de codebasis voor de sleutelopslag naar de map customer-key-store\src\customer-key-store.

  4. Controleer of deze map het bestand customerkeystore.csproj bevat.

  5. Uitvoeren: dotnet publish

    De uitvoer bevat de map waarin de publicatie is geïmplementeerd.

    Bijvoorbeeld:customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Verzend alle bestanden in de publicatiemap naar een zip-bestand. Wanneer u het .zip-bestand maakt, moet u ervoor zorgen dat alle bestanden in de map zich op het hoofdniveau van het .zip-bestand bevinden.

  7. Gebruik vanuit uw FTP-client de verbindingsgegevens die u hebt gekopieerd om verbinding te maken met uw App Service. Upload het .zip-bestand dat u in de vorige stap hebt gemaakt naar de hoofdmap van uw web-app.

DKE is geïmplementeerd en u kunt bladeren naar de testsleutels die u hebt gemaakt. Valideer vervolgens uw implementatie.

Uw implementatie valideren

Nadat u DKE hebt geïmplementeerd met behulp van een van de hierboven beschreven methoden, valideert u de implementatie- en sleutelopslaginstellingen.

Uitvoeren:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Bijvoorbeeld:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Zorg ervoor dat er geen fouten worden weergegeven in de uitvoer. Wanneer u klaar bent, registreert u uw sleutelarchief.

De sleutelnaam is hoofdlettergevoelig. Voer de sleutelnaam in zoals deze wordt weergegeven in het bestand appsettings.json.

Uw sleutelarchief registreren

Met de volgende stappen kunt u uw DKE-service registreren. Het registreren van uw DKE-service is de laatste stap bij het implementeren van DKE voordat u labels kunt gaan maken.

De DKE-service registreren:

  1. Open in uw browser de Microsoft Azure Portal en ganaarRegistraties van identiteits-app vooralle services>>.

  2. Selecteer Nieuwe registratie en voer een duidelijke naam in.

  3. Selecteer een accounttype in de weergegeven opties.

    Bijvoorbeeld:

    Nieuwe app-registratie.

  4. Selecteer onder aan de pagina Registreren om de nieuwe app-registratie te maken.

  5. Selecteer in uw nieuwe app-registratie in het linkerdeelvenster onder Beherende optie Verificatie.

  6. Selecteer Een platform toevoegen.

  7. Selecteer in het pop-upvenster Platformen configurerende optie Web.

  8. Voer onder Omleidings-URI's de URI in van de versleutelingsservice met dubbele sleutel. Voer de App Service URL in, inclusief zowel de hostnaam als het domein.

    Bijvoorbeeld:https://mydkeservicetest.com

    • De URL die u invoert, moet overeenkomen met de hostnaam waar uw DKE-service is geïmplementeerd.
    • Het domein moet een geverifieerd domein zijn.
    • In alle gevallen moet het schema https zijn.

    Zorg ervoor dat de hostnaam exact overeenkomt met uw App Service hostnaam.

  9. Schakel onder Impliciete toekenning het selectievakje Id-tokens in.

  10. Selecteer Opslaan om de wijzigingen op te slaan.

  11. Selecteer in het linkerdeelvenster een API beschikbaar maken, voer naast Toepassings-id-URI uw App Service URL in, inclusief hostnaam en domein, en selecteer vervolgens Instellen.

  12. Selecteer nog steeds op de pagina Een API beschikbaar maken in het gebied Bereiken die zijn gedefinieerd door deze API de optie Een bereik toevoegen. In het nieuwe bereik:

    1. Definieer de bereiknaam als user_impersonation.

    2. Selecteer de beheerders en gebruikers die toestemming kunnen geven.

    3. Definieer de resterende waarden die nodig zijn.

    4. Selecteer Bereik toevoegen.

    5. Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.

  13. Selecteer nog steeds op de pagina Een API beschikbaar maken in het gebied Geautoriseerde clienttoepassingende optie Een clienttoepassing toevoegen.

    In de nieuwe clienttoepassing:

    1. Definieer de client-id als d3590ed6-52b3-4102-aeff-aad2292ab01c. Deze waarde is de Microsoft Office-client-id en stelt Office in staat om een toegangstoken voor uw sleutelarchief te verkrijgen.

    2. Selecteer onder Geautoriseerde bereiken het user_impersonation bereik.

    3. Selecteer Toepassing toevoegen.

    4. Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.

    5. Herhaal deze stappen, maar definieer deze keer de client-id als c00e9d32-3c8d-4a7d-832b-029040e7db99. Deze waarde is de client-id van Azure Information Protection geïntegreerde labeling.

Uw DKE-service is nu geregistreerd. Ga verder met het maken van labels met behulp van DKE.

Gevoeligheidslabels maken met DKE

Maak in de Microsoft Purview-nalevingsportal een nieuw vertrouwelijkheidslabel en pas versleuteling toe zoals u anders zou doen. Selecteer Dubbele sleutelversleuteling gebruiken en voer de eindpunt-URL voor uw sleutel in. U moet de sleutelnaam opnemen die u hebt opgegeven in de sectie TestKeys van het bestand appsettings.json in de URL.

Bijvoorbeeld:https://testingdke1.azurewebsites.net/KEYNAME

Selecteer Dubbele sleutelversleuteling gebruiken in de Microsoft Purview-nalevingsportal.

Alle DKE-labels die u toevoegt, worden weergegeven voor gebruikers in de nieuwste versies van Microsoft 365-apps voor ondernemingen.

Opmerking

Het kan tot 24 uur duren voordat de clients zijn vernieuwd met de nieuwe labels.

DKE inschakelen in uw client

Als u een Office Insider bent, is DKE voor u ingeschakeld. Anders schakelt u DKE in voor uw client door de volgende registersleutels toe te voegen:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Beveiligde bestanden migreren van HYOK-labels naar DKE-labels

Zodra u klaar bent met het instellen van DKE, kunt u desgewenst inhoud die u hebt beveiligd met HYOK-labels migreren naar DKE-labels. Als u wilt migreren, gebruikt u de Microsoft Purview Informatiebeveiliging scanner. Zie Informatie over de scanner voor gegevensbeveiliging om aan de slag te gaan met de scanner.

Als u geen inhoud migreert, blijft uw met HYOK beveiligde inhoud ongewijzigd.

Andere implementatieopties

We realiseren ons dat voor sommige klanten in sterk gereglementeerde branches deze standaardreferentie-implementatie met behulp van software-gebaseerde sleutels mogelijk niet voldoende is om te voldoen aan hun uitgebreide nalevingsverplichtingen en -behoeften. We werken samen met externe HSM-leveranciers (Hardware Security Module) om verbeterde opties voor sleutelbeheer in de DKE-service te ondersteunen, waaronder:

Neem rechtstreeks contact op met deze leveranciers voor meer informatie en richtlijnen over hun DKE HSM-oplossingen in de markt.