Dubbele sleutelcodering
Van toepassing op: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection
Instructies voor: Azure Information Protection geïntegreerde labelclient voor Windows
Servicebeschrijving voor: Microsoft Purview
Dubbele sleutelversleuteling (DKE) gebruikt twee sleutels samen om toegang te krijgen tot beveiligde inhoud. Microsoft slaat één sleutel op in Microsoft Azure en u bewaart de andere sleutel. U behoudt de volledige controle over een van uw sleutels met behulp van de Double Key Encryption-service. U past beveiliging toe met behulp van de Azure Information Protection geïntegreerde labelclient op uw zeer gevoelige inhoud.
Dubbele sleutelversleuteling ondersteunt zowel cloud- als on-premises implementaties. Deze implementaties helpen ervoor te zorgen dat versleutelde gegevens ondoorzichtige blijven waar u de beveiligde gegevens opslaat.
Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie over de standaard, cloudgebaseerde tenantsleutels.
Tip
Als u geen E5-klant bent, gebruikt u de 90-daagse proefversie van Microsoft Purview-oplossingen om te verkennen hoe aanvullende Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.
Wanneer uw organisatie DKE moet gebruiken
Dubbele sleutelversleuteling is bedoeld voor uw meest gevoelige gegevens waarvoor de strengste beveiligingsvereisten gelden. DKE is niet bedoeld voor alle gegevens. Over het algemeen gebruikt u Dubbele sleutelversleuteling om slechts een klein deel van uw algemene gegevens te beveiligen. U moet zorgvuldig te werk gaan bij het identificeren van de juiste gegevens voor deze oplossing voordat u implementeert. In sommige gevallen moet u mogelijk uw bereik beperken en andere oplossingen gebruiken voor de meeste gegevens, zoals Microsoft Purview Informatiebeveiliging met door Microsoft beheerde sleutels of BYOK. Deze oplossingen zijn voldoende voor documenten waarvoor geen uitgebreide beveiliging en wettelijke vereisten gelden. Met deze oplossingen kunt u ook de krachtigste Office 365 services gebruiken; services die u niet kunt gebruiken met DKE-versleutelde inhoud. Bijvoorbeeld:
- Transportregels, waaronder antimalware en spam, waarvoor zichtbaarheid in de bijlage is vereist
- Microsoft Delve
- eDiscovery
- Inhoud zoeken en indexeren
- Office Web Apps inclusief functionaliteit voor cocreatie
Externe toepassingen of services die niet zijn geïntegreerd met DKE via de Microsoft Information Protection SDK (MIP) kunnen geen acties uitvoeren op de versleutelde gegevens.
De Microsoft Information Protection SDK 1.7+ ondersteunt Dubbele sleutelversleuteling. Toepassingen die integreren met onze SDK kunnen redeneert over deze gegevens met voldoende machtigingen en integraties.
Gebruik Microsoft Purview Informatiebeveiliging mogelijkheden (classificatie en labeling) om de meeste gevoelige gegevens te beveiligen en gebruik alleen DKE voor uw bedrijfskritieke gegevens. Dubbele sleutelversleuteling is relevant voor gevoelige gegevens in sterk gereglementeerde sectoren zoals financiële services en gezondheidszorg.
Als uw organisaties een van de volgende vereisten hebben, kunt u DKE gebruiken om uw inhoud te beveiligen:
- U wilt ervoor zorgen dat alleen u beveiligde inhoud onder alle omstandigheden kunt ontsleutelen.
- U wilt niet dat Microsoft zelf toegang heeft tot beveiligde gegevens.
- U hebt wettelijke vereisten voor het bewaren van sleutels binnen een geografische grens. Alle sleutels die u hebt voor gegevensversleuteling en -ontsleuteling, worden bewaard in uw datacenter.
Systeem- en licentievereisten voor DKE
Dubbele sleutelversleuteling wordt geleverd met Microsoft 365 E5. Als u geen Microsoft 365 E5-licentie hebt, kunt u zich registreren voor een proefversie. Zie Microsoft 365-licentierichtlijnen voor beveiligingsnaleving & voor meer informatie over deze licenties.
Azure Information Protection. DKE werkt met vertrouwelijkheidslabels en vereist Azure Information Protection.
DKE-vertrouwelijkheidslabels worden beschikbaar gesteld aan eindgebruikers via de gevoeligheidsknop in de AIP Unified Labeling-client in Office Desktop Apps. Installeer deze vereisten op elke clientcomputer waarop u beveiligde documenten wilt beveiligen en gebruiken.
Microsoft Office-apps voor ondernemingen versie 2009 of hoger (bureaubladversies van Word, Excel, PowerPoint en Outlook) in Windows.
Azure Information Protection Unified Labeling Client versie 2.14.93.0 of hoger. Download en installeer de Unified Labeling-client vanuit het Microsoft-downloadcentrum.
Ondersteunde omgevingen voor het opslaan en weergeven van met DKE beveiligde inhoud
Ondersteunde toepassingen. Microsoft 365-apps voor ondernemingen clients in Windows, waaronder Word, Excel, PowerPoint en Outlook.
Ondersteuning voor online-inhoud. U kunt documenten en bestanden die zijn beveiligd met Dubbele sleutelversleuteling online opslaan in zowel Microsoft SharePoint als OneDrive voor Bedrijven. U moet documenten en bestanden labelen en beveiligen met DKE door ondersteunde toepassingen voordat u uploadt naar deze locaties. U kunt versleutelde inhoud delen via e-mail, maar u kunt versleutelde documenten en bestanden niet online weergeven. In plaats daarvan moet u beveiligde inhoud weergeven met behulp van de ondersteunde bureaubladtoepassingen en clients op uw lokale computer.
Alleen Outlook-versleuteling en scenario's niet doorsturen Als u DKE configureert voor ondersteunde scenario's, wordt er een waarschuwing in de labelconfiguratie-ervaring gemaakt. Alleen voor versleuteling en niet doorsturen hebben deze niet-ondersteunde scenario's geen waarschuwing in de labelconfiguratie-ervaring.
Overzicht van het implementeren van DKE
U volgt deze algemene stappen om DKE in te stellen. Zodra u deze stappen hebt voltooid, kunnen uw eindgebruikers uw zeer gevoelige gegevens beveiligen met Dubbele sleutelversleuteling.
Implementeer de DKE-service zoals beschreven in dit artikel.
Maak een label met dubbele sleutelversleuteling. Ga in de Microsoft Purview-nalevingsportal naar Informatiebeveiliging en maak een nieuw label met Dubbele sleutelversleuteling. Zie Toegang tot inhoud beperken met behulp van vertrouwelijkheidslabels om versleuteling toe te passen.
Gebruik labels voor dubbele sleutelversleuteling. Beveilig gegevens door het label Double Key Encrypted te selecteren op het lint Vertrouwelijkheid in Microsoft Office.
Er zijn verschillende manieren waarop u enkele stappen voor het implementeren van Dubbele sleutelversleuteling kunt uitvoeren. Dit artikel bevat gedetailleerde instructies, zodat minder ervaren beheerders de service kunnen implementeren. Als u dit prettig vindt, kunt u ervoor kiezen om uw eigen methoden te gebruiken.
DKE implementeren
In dit artikel en de implementatievideo wordt Azure gebruikt als de implementatiebestemming voor de DKE-service. Als u op een andere locatie implementeert, moet u uw eigen waarden opgeven.
U volgt deze algemene stappen om Dubbele sleutelversleuteling in te stellen voor uw organisatie.
- Softwarevereisten voor de DKE-service installeren
- Kloon de GitHub-opslagplaats dubbele sleutelversleuteling
- Toepassingsinstellingen wijzigen
- Testsleutels genereren
- Het project bouwen
- De DKE-service implementeren en het sleutelarchief publiceren
- Uw implementatie valideren
- Uw sleutelarchief registreren
- Gevoeligheidslabels maken met DKE
- DKE inschakelen in uw client
- Beveiligde bestanden migreren van HYOK-labels naar DKE-labels
Wanneer u klaar bent, kunt u documenten en bestanden versleutelen met behulp van DKE. Zie Vertrouwelijkheidslabels toepassen op uw bestanden en e-mail in Office voor meer informatie.
Softwarevereisten voor de DKE-service installeren
Installeer deze vereisten op de computer waarop u de DKE-service wilt installeren.
.NET Core 7.0 SDK. Download en installeer de SDK via .NET Core 7.0 downloaden.
Visual Studio Code. Download Visual Studio Code van https://code.visualstudio.com/. Nadat de installatie is uitgevoerd, voert u Visual Studio Code uit en selecteert u Extensies weergeven>. Installeer deze extensies.
C# voor Visual Studio Code
NuGet Package Manager
Git-resources. Download en installeer een van de volgende opties.
OpensslOpenSSL moet zijn geïnstalleerd om testsleutels te genereren nadat u DKE hebt geïmplementeerd. Zorg ervoor dat u het correct aanroept vanuit het pad van uw omgevingsvariabelen. Zie bijvoorbeeld 'De installatiemap toevoegen aan PATH' op https://www.osradar.com/install-openssl-windows/ voor meer informatie.
De DKE GitHub-opslagplaats klonen
Microsoft levert de DKE-bronbestanden in een GitHub-opslagplaats. U kloont de opslagplaats om het project lokaal te bouwen voor gebruik door uw organisatie. De DKE GitHub-opslagplaats bevindt zich op https://github.com/Azure-Samples/DoubleKeyEncryptionService.
De volgende instructies zijn bedoeld voor onervaren git- of Visual Studio Code-gebruikers:
Ga in uw browser naar: https://github.com/Azure-Samples/DoubleKeyEncryptionService.
Selecteer Code aan de rechterkant van het scherm. In uw versie van de gebruikersinterface wordt mogelijk de knop Klonen of downloaden weergegeven. Selecteer vervolgens in de vervolgkeuzelijst die wordt weergegeven het kopieerpictogram om de URL naar het klembord te kopiëren.
Bijvoorbeeld:
Selecteer in Visual Studio CodeOpdrachtpaletweergeven> en selecteer Git: Klonen. Als u naar de optie in de lijst wilt gaan, begint u te typen
git: clone
om de vermeldingen te filteren en selecteert u deze vervolgens in de vervolgkeuzelijst. Bijvoorbeeld:Plak in het tekstvak de URL die u hebt gekopieerd uit Git en selecteer Klonen uit GitHub.
Blader in het dialoogvenster Map selecteren dat wordt weergegeven naar en selecteer een locatie om de opslagplaats op te slaan. Selecteer Openen bij de prompt.
De opslagplaats wordt geopend in Visual Studio Code en de huidige Git-vertakking wordt linksonder weergegeven. De vertakking moet bijvoorbeeld main zijn. Bijvoorbeeld:
Als u zich niet in de hoofdvertakking bevindt, moet u deze selecteren. Selecteer in Visual Studio Code de vertakking en kies main in de lijst met vertakkingen die wordt weergegeven.
Belangrijk
Als u de hoofdvertakking selecteert, zorgt u ervoor dat u over de juiste bestanden beschikt om het project te bouwen. Als u niet de juiste vertakking kiest, mislukt de implementatie.
U hebt nu uw DKE-bronopslagplaats lokaal ingesteld. Wijzig vervolgens de toepassingsinstellingen voor uw organisatie.
Toepassingsinstellingen wijzigen
Als u de DKE-service wilt implementeren, moet u de volgende typen toepassingsinstellingen wijzigen:
U wijzigt de toepassingsinstellingen in het bestand appsettings.json. Dit bestand bevindt zich in de DoubleKeyEncryptionService-opslagplaats die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store. In Visual Studio Code kunt u bijvoorbeeld naar het bestand bladeren, zoals wordt weergegeven in de volgende afbeelding.
Instellingen voor sleuteltoegang
Kies of u e-mail- of rolautorisatie wilt gebruiken. DKE ondersteunt slechts één van deze verificatiemethoden tegelijk.
Email autorisatie. Hiermee kan uw organisatie alleen toegang tot sleutels autoriseren op basis van e-mailadressen.
Rolautorisatie. Hiermee kan uw organisatie toegang tot sleutels autoriseren op basis van Active Directory-groepen en vereist dat de webservice ldap kan opvragen.
Instellingen voor sleuteltoegang instellen voor DKE met behulp van e-mailautorisatie
Open het bestand appsettings.json en zoek de
AuthorizedEmailAddress
instelling.Voeg het e-mailadres of de adressen toe die u wilt autoriseren. Scheid meerdere e-mailadressen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:
"AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
Zoek de
LDAPPath
instelling en verwijder de tekstIf you use role authorization (AuthorizedRoles) then this is the LDAP path.
tussen de dubbele aanhalingstekens. Laat de dubbele aanhalingstekens staan. Wanneer u klaar bent, moet de instelling er als volgt uitzien."LDAPPath": ""
Zoek de
AuthorizedRoles
instelling en verwijder de hele regel.
In deze afbeelding ziet u het bestand appsettings.json dat correct is opgemaakt voor e-mailautorisatie.
Sleuteltoegangsinstellingen instellen voor DKE met behulp van rolautorisatie
Open het bestand appsettings.json en zoek de
AuthorizedRoles
instelling.Voeg de Active Directory-groepsnamen toe die u wilt autoriseren. Scheid meerdere groepsnamen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:
"AuthorizedRoles": ["group1", "group2", "group3"]
Zoek de
LDAPPath
instelling en voeg het Active Directory-domein toe. Bijvoorbeeld:"LDAPPath": "contoso.com"
Zoek de
AuthorizedEmailAddress
instelling en verwijder de hele regel.
In deze afbeelding ziet u het bestand appsettings.json dat juist is opgemaakt voor rolautorisatie.
Tenant- en sleutelinstellingen
DKE-tenant- en sleutelinstellingen bevinden zich in het bestand appsettings.json .
Tenant- en sleutelinstellingen configureren voor DKE
Open het bestand appsettings.json .
Zoek de
ValidIssuers
instelling en vervang door<tenantid>
uw tenant-id. U kunt uw tenant-id vinden door naar de Azure Portal te gaan en de tenanteigenschappen te bekijken. Bijvoorbeeld:"ValidIssuers": [ "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/" ]
Opmerking
Als u externe B2B-toegang tot uw sleutelarchief wilt inschakelen, moet u deze externe tenants ook opnemen als onderdeel van de lijst met geldige verleners.
Zoek de JwtAudience
. Vervang door <yourhostname>
de hostnaam van de computer waarop de DKE-service wordt uitgevoerd. Bijvoorbeeld: "https://dkeservice.contoso.com"
Belangrijk
De waarde voor JwtAudience
moet exact overeenkomen met de naam van uw host.
TestKeys:Name
. Voer een naam in voor uw sleutel. Bijvoorbeeld:TestKey1
TestKeys:Id
. Maak een GUID en voer deze in als deTestKeys:ID
waarde. BijvoorbeeldDCE1CC21-FF9B-4424-8FF4-9914BD19A1BE
. U kunt een site zoals Online GUID Generator gebruiken om willekeurig een GUID te genereren.
In deze afbeelding ziet u de juiste indeling voor tenant- en sleutelsinstellingen in appsettings.json. LDAPPath
is geconfigureerd voor rolautorisatie.
Testsleutels genereren
Zodra u de toepassingsinstellingen hebt gedefinieerd, kunt u openbare en persoonlijke testsleutels genereren.
Sleutels genereren:
Voer vanuit het menu Start van Windows de OpenSSL-opdrachtprompt uit.
Ga naar de map waarin u de testsleutels wilt opslaan. De bestanden die u maakt door de stappen in deze taak te voltooien, worden in dezelfde map opgeslagen.
Genereer de nieuwe testsleutel.
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
Genereer de persoonlijke sleutel.
Als u OpenSSL versie 3 of hoger hebt geïnstalleerd, voert u de volgende opdracht uit:
openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional
Voer anders de volgende opdracht uit:
openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
Genereer de openbare sleutel.
openssl rsa -in key.pem -pubout > pubkeyonly.pem
Open pubkeyonly.pem in een teksteditor. Kopieer alle inhoud in het bestand pubkeyonly.pem , met uitzondering van de eerste en laatste regel, naar de
PublicPem
sectie van het bestand appsettings.json .Open privkeynopass.pem in een teksteditor. Kopieer alle inhoud in het bestand privkeynopass.pem , met uitzondering van de eerste en laatste regel, naar de
PrivatePem
sectie van het bestand appsettings.json .Verwijder alle lege spaties en nieuwe regels in de
PublicPem
secties enPrivatePem
.Belangrijk
Wanneer u deze inhoud kopieert, verwijdert u geen pem-gegevens.
Blader in Visual Studio Code naar het bestand Startup.cs . Dit bestand bevindt zich in de DoubleKeyEncryptionService-opslagplaats die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store.
Zoek de volgende regels:
#if USE_TEST_KEYS #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing, DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!! services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>(); #endif
Vervang deze regels door de volgende tekst:
services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
De eindresultaten moeten er ongeveer als volgt uitzien.
U bent nu klaar om uw DKE-project te bouwen.
Het project bouwen
Gebruik de volgende instructies om het DKE-project lokaal te bouwen:
Selecteer in Visual Studio Code in de DKE-serviceopslagplaats deoptieOpdrachtpalet weergeven>en typ build bij de prompt.
Kies taken: buildtaak uitvoeren in de lijst.
Als er geen buildtaken zijn gevonden, selecteert u Buildtaak configureren en maakt u er als volgt een voor .NET Core.
Kies Taken.json maken op basis van sjabloon.
Selecteer .NET Core in de lijst met sjabloontypen.
Zoek in de sectie build het pad naar het bestand customerkeystore.csproj . Als deze niet aanwezig is, voegt u de volgende regel toe:
"${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
Voer de build opnieuw uit.
Controleer of er geen rode fouten in het uitvoervenster staan.
Als er rode fouten zijn, controleert u de console-uitvoer. Zorg ervoor dat u alle vorige stappen correct hebt voltooid en dat de juiste buildversies aanwezig zijn.
Uw installatie is nu voltooid. Voordat u de keystore publiceert, moet u in appsettings.json voor de instelling JwtAudience ervoor zorgen dat de waarde voor hostnaam exact overeenkomt met uw App Service hostnaam.
De DKE-service implementeren en het sleutelarchief publiceren
Voor productie-implementaties implementeert u de service in een cloud van derden of publiceert u naar een on-premises systeem.
Mogelijk geeft u de voorkeur aan andere methoden om uw sleutels te implementeren. Selecteer de methode die het beste werkt voor uw organisatie.
Voor testimplementaties kunt u implementeren in Azure en meteen aan de slag gaan.
Een Azure Web App-exemplaar maken om uw DKE-implementatie te hosten
Als u het sleutelarchief wilt publiceren, maakt u een Azure App Service-exemplaar om uw DKE-implementatie te hosten. Vervolgens publiceert u uw gegenereerde sleutels naar Azure.
Meld u in uw browser aan bij de Microsoft Azure Portal en ga naar App Services>Toevoegen.
Selecteer uw abonnement en resourcegroep en definieer de details van uw exemplaar.
Voer de hostnaam in van de computer waarop u de DKE-service wilt installeren. Zorg ervoor dat deze dezelfde naam heeft als de naam die is gedefinieerd voor de instelling JwtAudience in het bestand appsettings.json . De waarde die u opgeeft voor de naam is ook de WebAppInstanceName.
Selecteer code bij Publiceren en selecteer voor Runtime-stack de optie .NET Core 3.1.
Bijvoorbeeld:
Selecteer onderaan de pagina Beoordelen en maken en selecteer vervolgens Toevoegen.
Voer een van de volgende handelingen uit om de gegenereerde sleutels te publiceren:
Publiceren via ZipDeployUI
Ga naar
https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI
.Bijvoorbeeld:
https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI
Ga in de codebasis voor het sleutelarchief naar de map customer-key-store\src\customer-key-store en controleer of deze map het bestand customerkeystore.csproj bevat.
Uitvoeren: dotnet publish
In het uitvoervenster wordt de map weergegeven waarin de publicatie is geïmplementeerd.
Bijvoorbeeld:
customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\
Alle bestanden in de publicatiemap naar een .zip-bestand verzenden. Wanneer u het .zip-bestand maakt, moet u ervoor zorgen dat alle bestanden in de map zich op het hoofdniveau van het .zip-bestand bevinden.
Sleep het .zip bestand dat u maakt naar de ZipDeployUI-site die u hierboven hebt geopend. Bijvoorbeeld:
https://dkeservice.scm.azurewebsites.net/ZipDeployUI
DKE is geïmplementeerd en u kunt bladeren naar de testsleutels die u hebt gemaakt. Ga verder met het valideren van uw implementatie hieronder.
Publiceren via FTP
Maak verbinding met de App Service die u hierboven hebt gemaakt.
Ga in uw browser naar:ftp-dashboard> voorhandmatige>implementatie vanAzure Portal> App Service >deployment center>.
Kopieer de weergegeven verbindingsreeksen naar een lokaal bestand. U gebruikt deze tekenreeksen om verbinding te maken met het web App Service en bestanden te uploaden via FTP.
Bijvoorbeeld:
Ga in de codebasis voor de sleutelopslag naar de map customer-key-store\src\customer-key-store.
Controleer of deze map het bestand customerkeystore.csproj bevat.
Uitvoeren: dotnet publish
De uitvoer bevat de map waarin de publicatie is geïmplementeerd.
Bijvoorbeeld:
customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\
Verzend alle bestanden in de publicatiemap naar een zip-bestand. Wanneer u het .zip-bestand maakt, moet u ervoor zorgen dat alle bestanden in de map zich op het hoofdniveau van het .zip-bestand bevinden.
Gebruik vanuit uw FTP-client de verbindingsgegevens die u hebt gekopieerd om verbinding te maken met uw App Service. Upload het .zip-bestand dat u in de vorige stap hebt gemaakt naar de hoofdmap van uw web-app.
DKE is geïmplementeerd en u kunt bladeren naar de testsleutels die u hebt gemaakt. Valideer vervolgens uw implementatie.
Uw implementatie valideren
Nadat u DKE hebt geïmplementeerd met behulp van een van de hierboven beschreven methoden, valideert u de implementatie- en sleutelopslaginstellingen.
Uitvoeren:
src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey
Bijvoorbeeld:
key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1
Zorg ervoor dat er geen fouten worden weergegeven in de uitvoer. Wanneer u klaar bent, registreert u uw sleutelarchief.
De sleutelnaam is hoofdlettergevoelig. Voer de sleutelnaam in zoals deze wordt weergegeven in het bestand appsettings.json.
Uw sleutelarchief registreren
Met de volgende stappen kunt u uw DKE-service registreren. Het registreren van uw DKE-service is de laatste stap bij het implementeren van DKE voordat u labels kunt gaan maken.
De DKE-service registreren:
Open in uw browser de Microsoft Azure Portal en ganaarRegistraties van identiteits-app vooralle services>>.
Selecteer Nieuwe registratie en voer een duidelijke naam in.
Selecteer een accounttype in de weergegeven opties.
Bijvoorbeeld:
Selecteer onder aan de pagina Registreren om de nieuwe app-registratie te maken.
Selecteer in uw nieuwe app-registratie in het linkerdeelvenster onder Beherende optie Verificatie.
Selecteer Een platform toevoegen.
Selecteer in het pop-upvenster Platformen configurerende optie Web.
Voer onder Omleidings-URI's de URI in van de versleutelingsservice met dubbele sleutel. Voer de App Service URL in, inclusief zowel de hostnaam als het domein.
Bijvoorbeeld:
https://mydkeservicetest.com
- De URL die u invoert, moet overeenkomen met de hostnaam waar uw DKE-service is geïmplementeerd.
- Het domein moet een geverifieerd domein zijn.
- In alle gevallen moet het schema https zijn.
Zorg ervoor dat de hostnaam exact overeenkomt met uw App Service hostnaam.
Schakel onder Impliciete toekenning het selectievakje Id-tokens in.
Selecteer Opslaan om de wijzigingen op te slaan.
Selecteer in het linkerdeelvenster een API beschikbaar maken, voer naast Toepassings-id-URI uw App Service URL in, inclusief hostnaam en domein, en selecteer vervolgens Instellen.
Selecteer nog steeds op de pagina Een API beschikbaar maken in het gebied Bereiken die zijn gedefinieerd door deze API de optie Een bereik toevoegen. In het nieuwe bereik:
Definieer de bereiknaam als user_impersonation.
Selecteer de beheerders en gebruikers die toestemming kunnen geven.
Definieer de resterende waarden die nodig zijn.
Selecteer Bereik toevoegen.
Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.
Selecteer nog steeds op de pagina Een API beschikbaar maken in het gebied Geautoriseerde clienttoepassingende optie Een clienttoepassing toevoegen.
In de nieuwe clienttoepassing:
Definieer de client-id als
d3590ed6-52b3-4102-aeff-aad2292ab01c
. Deze waarde is de Microsoft Office-client-id en stelt Office in staat om een toegangstoken voor uw sleutelarchief te verkrijgen.Selecteer onder Geautoriseerde bereiken het user_impersonation bereik.
Selecteer Toepassing toevoegen.
Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.
Herhaal deze stappen, maar definieer deze keer de client-id als
c00e9d32-3c8d-4a7d-832b-029040e7db99
. Deze waarde is de client-id van Azure Information Protection geïntegreerde labeling.
Uw DKE-service is nu geregistreerd. Ga verder met het maken van labels met behulp van DKE.
Gevoeligheidslabels maken met DKE
Maak in de Microsoft Purview-nalevingsportal een nieuw vertrouwelijkheidslabel en pas versleuteling toe zoals u anders zou doen. Selecteer Dubbele sleutelversleuteling gebruiken en voer de eindpunt-URL voor uw sleutel in. U moet de sleutelnaam opnemen die u hebt opgegeven in de sectie TestKeys van het bestand appsettings.json in de URL.
Bijvoorbeeld:https://testingdke1.azurewebsites.net/KEYNAME
Alle DKE-labels die u toevoegt, worden weergegeven voor gebruikers in de nieuwste versies van Microsoft 365-apps voor ondernemingen.
Opmerking
Het kan tot 24 uur duren voordat de clients zijn vernieuwd met de nieuwe labels.
DKE inschakelen in uw client
Als u een Office Insider bent, is DKE voor u ingeschakeld. Anders schakelt u DKE in voor uw client door de volgende registersleutels toe te voegen:
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001
Beveiligde bestanden migreren van HYOK-labels naar DKE-labels
Zodra u klaar bent met het instellen van DKE, kunt u desgewenst inhoud die u hebt beveiligd met HYOK-labels migreren naar DKE-labels. Als u wilt migreren, gebruikt u de Microsoft Purview Informatiebeveiliging scanner. Zie Informatie over de scanner voor gegevensbeveiliging om aan de slag te gaan met de scanner.
Als u geen inhoud migreert, blijft uw met HYOK beveiligde inhoud ongewijzigd.
Andere implementatieopties
We realiseren ons dat voor sommige klanten in sterk gereglementeerde branches deze standaardreferentie-implementatie met behulp van software-gebaseerde sleutels mogelijk niet voldoende is om te voldoen aan hun uitgebreide nalevingsverplichtingen en -behoeften. We werken samen met externe HSM-leveranciers (Hardware Security Module) om verbeterde opties voor sleutelbeheer in de DKE-service te ondersteunen, waaronder:
Neem rechtstreeks contact op met deze leveranciers voor meer informatie en richtlijnen over hun DKE HSM-oplossingen in de markt.