Podwójne szyfrowanie kluczy

Dotyczy: podwójne szyfrowanie kluczy w usłudze Microsoft Purview, Microsoft Purview, Azure Information Protection

Instrukcje dla: Klient ujednoliconego etykietowania platformy Azure Information Protection dla systemu Windows

Opis usługi dla: Microsoft Purview

Szyfrowanie podwójnym kluczem (DKE) używa dwóch kluczy razem w celu uzyskania dostępu do chronionej zawartości. Firma Microsoft przechowuje jeden klucz na platformie Microsoft Azure, a Ty jesteś w posiadaniu drugiego klucza. Możesz zachować pełną kontrolę nad jednym z kluczy przy użyciu usługi Double Key Encryption. Ochronę stosuje się przy użyciu klienta ujednoliconego etykietowania usługi Azure Information Protection do wysoce wrażliwej zawartości.

Usługa Double Key Encryption obsługuje wdrożenia w chmurze i lokalne. Te wdrożenia pomagają zapewnić, że zaszyfrowane dane pozostaną nieprzezroczysty wszędzie tam, gdzie przechowujesz chronione dane.

Aby uzyskać więcej informacji na temat domyślnych kluczy głównych dzierżawy opartej na chmurze, zobacz Planowanie i implementowanie klucza dzierżawy usługi Azure Information Protection.

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Kiedy organizacja powinna wdrożyć usługę DKE

Szyfrowanie podwójnym kluczem jest przeznaczone dla najbardziej poufnych danych, które podlegają najsurowszym wymaganiom ochrony. Funkcja DKE nie jest przeznaczona dla wszystkich danych. Ogólnie rzecz biorąc, użyjesz szyfrowania podwójnym kluczem, aby chronić tylko niewielką część ogólnych danych. Należy dokładać należytej staranności w identyfikowaniu odpowiednich danych do objęcia tym rozwiązaniem przed wdrożeniem. W niektórych przypadkach może być konieczne zawężenie zakresu i użycie innych rozwiązań dla większości danych, takich jak Microsoft Purview Information Protection za pomocą kluczy zarządzanych przez firmę Microsoft lub BYOK. Te rozwiązania są wystarczające dla dokumentów, które nie podlegają rozszerzonej ochronie i wymaganiom prawnym. Ponadto te rozwiązania umożliwiają korzystanie z najbardziej zaawansowanych usług Office 365; usług, których nie można używać z zaszyfrowaną zawartością DKE. Przykład:

• Reguły transportu, w tym ochrona przed złośliwym oprogramowaniem i spamem, które wymagają wglądu w załącznik
• Microsoft Delve
• Zbierania elektronicznych materiałów dowodowych
• Wyszukiwanie i indeksowanie zawartości
• Web Apps pakietu Office, w tym funkcje współtworzenia

Wszystkie zewnętrzne aplikacje lub usługi, które nie są zintegrowane z usługą DKE za pośrednictwem zestawu SDK Microsoft Information Protection (MIP), nie będą w stanie wykonywać akcji na zaszyfrowanych danych.

Zestaw Microsoft Information Protection SDK 1.7+ obsługuje szyfrowanie podwójnym kluczem. Aplikacje integrujące się z naszym zestawem SDK mogą tworzyć przyczyny dla tych danych z wystarczającymi uprawnieniami i integracjami.

Użyj funkcji Microsoft Purview Information Protection (klasyfikacja i etykietowanie), aby chronić większość poufnych danych i używać tylko funkcji DKE dla danych o znaczeniu krytycznym. Szyfrowanie podwójnym kluczem jest istotne dla danych poufnych w wysoce regulowanych branżach, takich jak usługi finansowe i opieka zdrowotna.

Jeśli Twoje organizacje mają dowolne z następujących wymagań, możesz użyć funkcji DKE, aby zabezpieczyć zawartość:

• Chcesz mieć pewność, że w każdych okolicznościach tylko ty możesz odszyfrować chronioną zawartość.
• Nie chcesz, aby firma Microsoft miała dostęp do chronionych danych samodzielnie.
• Masz wymagania prawne dotyczące przechowywania kluczy w granicach geograficznych. Wszystkie klucze przechowywane na potrzeby szyfrowania i odszyfrowywania danych są przechowywane w centrum danych.

Wymagania systemowe i licencyjne dotyczące usługi DKE

Szyfrowanie podwójnym kluczem jest dostarczane z Microsoft 365 E5. Jeśli nie masz licencji Microsoft 365 E5, możesz utworzyć konto próbne. Aby uzyskać więcej informacji na temat tych licencji, zobacz Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zgodności z zabezpieczeniami&.

Azure Information Protection. Usługa DKE współpracuje z etykietami poufności i wymaga usługi Azure Information Protection.

Etykiety poufności DKE są udostępniane użytkownikom końcowym za pośrednictwem przycisku poufności w kliencie ujednoliconego etykietowania usługi AIP w usłudze Office Desktop Apps. Zainstaluj te wymagania wstępne na każdym komputerze klienckim, na którym chcesz chronić chronione dokumenty i korzystać z nich.

Microsoft Office Apps dla przedsiębiorstw w wersji 2009 lub nowszej (wersje klasyczne programów Word, Excel, PowerPoint i Outlook) w systemie Windows.

Azure Information Protection Unified Labeling Client w wersji 2.14.93.0 lub nowszej. Pobierz i zainstaluj klienta Unified Labeling z centrum pobierania firmy Microsoft.

Obsługiwane środowiska do przechowywania i wyświetlania zawartości chronionej przez funkcję DKE

Obsługiwane aplikacje. Aplikacje Microsoft 365 dla przedsiębiorstw klientów w systemie Windows, w tym programów Word, Excel, PowerPoint i Outlook.

Obsługa zawartości online. Dokumenty i pliki chronione za pomocą szyfrowania podwójnym kluczem można przechowywać w trybie online zarówno w programie Microsoft SharePoint, jak i w OneDrive dla Firm. Przed przekazaniem do tych lokalizacji należy oznaczyć i chronić dokumenty i pliki przy użyciu usługi DKE przy użyciu obsługiwanych aplikacji. Zaszyfrowaną zawartość można udostępniać pocztą e-mail, ale nie można wyświetlać zaszyfrowanych dokumentów i plików w trybie online. Zamiast tego należy wyświetlić chronioną zawartość przy użyciu obsługiwanych aplikacji klasycznych i klientów na komputerze lokalnym.

Tylko szyfrowanie programu Outlook i nie przekazują scenariuszy Skonfigurowanie usługi DKE dla obsługiwanych scenariuszy spowoduje utworzenie ostrzeżenia w środowisku konfiguracji etykiet. W przypadku tylko szyfrowania i nie przesyłaj dalej tych nieobsługiwanych scenariuszy nie ma ostrzeżenia w środowisku konfiguracji etykiet.

Omówienie wdrażania usługi DKE

Wykonaj te ogólne kroki, aby skonfigurować usługę DKE. Po wykonaniu tych kroków użytkownicy końcowi mogą chronić wysoce poufne dane za pomocą szyfrowania podwójnym kluczem.

1. Wdróż usługę DKE zgodnie z opisem w tym artykule.

2. Utwórz etykietę z podwójnym szyfrowaniem kluczy. W portal zgodności Microsoft Purview przejdź do obszaru Ochrona informacji i utwórz nową etykietę z funkcją podwójnego szyfrowania kluczy. Zobacz Ograniczanie dostępu do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania.

3. Użyj etykiet podwójnego szyfrowania kluczy. Chroń dane, wybierając etykietę Podwójny klucz szyfrowany na wstążce Poufność w pakiecie Microsoft Office.

Istnieje kilka sposobów wykonania niektórych kroków wdrażania szyfrowania podwójnym kluczem. Ten artykuł zawiera szczegółowe instrukcje umożliwiające mniej doświadczonym administratorom pomyślne wdrożenie usługi. Jeśli dobrze ci się to przydaje, możesz użyć własnych metod.

Wdrażanie usługi DKE

Ten artykuł i wideo dotyczące wdrażania używają platformy Azure jako miejsca docelowego wdrożenia dla usługi DKE. Jeśli wdrażasz w innej lokalizacji, musisz podać własne wartości.

Wykonaj te ogólne kroki, aby skonfigurować szyfrowanie podwójnego klucza dla organizacji.

1. Instalowanie wymagań wstępnych dotyczących oprogramowania dla usługi DKE
2. Klonowanie repozytorium GitHub z podwójnym szyfrowaniem kluczy
3. Modyfikowanie ustawień aplikacji
4. Generowanie kluczy testowych
5. Tworzenie projektu
6. Wdrażanie usługi DKE i publikowanie magazynu kluczy
7. Sprawdzanie poprawności wdrożenia
8. Rejestrowanie magazynu kluczy
9. Tworzenie etykiet poufności przy użyciu usługi DKE
10. Włączanie funkcji DKE w kliencie
11. Migrowanie chronionych plików z etykiet HYOK do etykiet DKE

Po zakończeniu możesz szyfrować dokumenty i pliki przy użyciu usługi DKE. Aby uzyskać informacje, zobacz Stosowanie etykiet poufności do plików i wiadomości e-mail w pakiecie Office.

Instalowanie wymagań wstępnych dotyczących oprogramowania dla usługi DKE

Zainstaluj te wymagania wstępne na komputerze, na którym chcesz zainstalować usługę DKE.

Zestaw .NET Core 7.0 SDK. Pobierz i zainstaluj zestaw SDK ze strony Pobierz program .NET Core 7.0.

Visual Studio Code. Pobierz Visual Studio Code z programu https://code.visualstudio.com/. Po zainstalowaniu uruchom polecenie Visual Studio Code i wybierz pozycję Wyświetl>rozszerzenia. Zainstaluj te rozszerzenia.

• Język C# dla Visual Studio Code

• Menedżer pakietów NuGet

Zasoby usługi Git. Pobierz i zainstaluj jedną z następujących opcji.

• Git

• GitHub Desktop

• GitHub Enterprise

Openssl Aby wygenerować klucze testowe po wdrożeniu usługi DKE, należy zainstalować program OpenSSL. Upewnij się, że wywołujesz ją poprawnie ze ścieżki zmiennych środowiskowych. Aby uzyskać szczegółowe informacje, zobacz "Dodawanie katalogu instalacyjnego do ścieżki" https://www.osradar.com/install-openssl-windows/ .

Klonowanie repozytorium GitHub DKE

Firma Microsoft dostarcza pliki źródłowe DKE w repozytorium GitHub. Sklonujesz repozytorium, aby skompilować projekt lokalnie na potrzeby organizacji. Repozytorium GitHub DKE znajduje się pod adresem https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Poniższe instrukcje są przeznaczone dla niedoświadczonych użytkowników git lub Visual Studio Code:

1. W przeglądarce przejdź do: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

2. W prawej części ekranu wybierz pozycję Kod. W twojej wersji interfejsu użytkownika może zostać wyświetlony przycisk Klonuj lub pobierz . Następnie na wyświetlonej liście rozwijanej wybierz ikonę kopiowania, aby skopiować adres URL do schowka.

   Przykład:

   

3. W Visual Studio Code wybierz pozycję Wyświetl>paletę poleceń i wybierz pozycję Git: Clone. Aby przejść do opcji na liście, rozpocznij wpisywanie git: clone , aby filtrować wpisy, a następnie wybierz je z listy rozwijanej. Przykład:

   

4. W polu tekstowym wklej adres URL skopiowany z usługi Git i wybierz pozycję Klonuj z usługi GitHub.

5. W wyświetlonym oknie dialogowym Wybieranie folderu przejdź do i wybierz lokalizację do przechowywania repozytorium. W wierszu polecenia wybierz pozycję Otwórz.

   Repozytorium zostanie otwarte w Visual Studio Code i wyświetli bieżącą gałąź Git w lewym dolnym rogu. Na przykład gałąź powinna być główna. Przykład:

   

6. Jeśli nie jesteś w gałęzi głównej, musisz ją wybrać. W Visual Studio Code wybierz gałąź i wybierz pozycję main z listy wyświetlanych gałęzi.

   Ważna

   Wybranie gałęzi głównej gwarantuje, że masz odpowiednie pliki do skompilowania projektu. Jeśli nie wybierzesz odpowiedniej gałęzi, wdrożenie zakończy się niepowodzeniem.

Repozytorium źródłowe DKE jest teraz skonfigurowane lokalnie. Następnie zmodyfikuj ustawienia aplikacji dla swojej organizacji.

Modyfikowanie ustawień aplikacji

Aby wdrożyć usługę DKE, należy zmodyfikować następujące typy ustawień aplikacji:

• Ustawienia dostępu do klucza
• Ustawienia dzierżawy i klucza

Ustawienia aplikacji można modyfikować w pliku appsettings.json. Ten plik znajduje się w repozytorium DoubleKeyEncryptionService sklonowanym lokalnie w obszarze DoubleKeyEncryptionService\src\customer-key-store. Na przykład w Visual Studio Code możesz przejść do pliku, jak pokazano na poniższej ilustracji.

Ustawienia dostępu do klucza

Określ, czy chcesz używać poczty e-mail, czy autoryzacji roli. Usługa DKE obsługuje jednocześnie tylko jedną z tych metod uwierzytelniania.

• Email autoryzacji. Umożliwia organizacji autoryzowanie dostępu do kluczy tylko na podstawie adresów e-mail.

• Autoryzacja roli. Umożliwia organizacji autoryzowanie dostępu do kluczy na podstawie grup usługi Active Directory i wymaga, aby usługa internetowa mogła wykonywać zapytania dotyczące protokołu LDAP.

Aby ustawić ustawienia dostępu do klucza dla usługi DKE przy użyciu autoryzacji poczty e-mail

1. Otwórz plik appsettings.json i znajdź AuthorizedEmailAddress to ustawienie.

2. Dodaj adres e-mail lub adresy, które chcesz autoryzować. Rozdziel wiele adresów e-mail podwójnymi cudzysłowami i przecinkami. Przykład:

   "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
   

3. LDAPPath Znajdź ustawienie i usuń tekst If you use role authorization (AuthorizedRoles) then this is the LDAP path. między podwójnymi cudzysłowami. Pozostaw podwójny cudzysłów w miejscu. Po zakończeniu ustawienie powinno wyglądać następująco.

   "LDAPPath": ""
   

4. AuthorizedRoles Znajdź ustawienie i usuń cały wiersz.

Ten obraz przedstawia plik appsettings.json poprawnie sformatowany pod kątem autoryzacji poczty e-mail.

Aby ustawić ustawienia dostępu do klucza dla usługi DKE przy użyciu autoryzacji roli

1. Otwórz plik appsettings.json i znajdź AuthorizedRoles to ustawienie.

2. Dodaj nazwy grup usługi Active Directory, które chcesz autoryzować. Rozdziel wiele nazw grup za pomocą podwójnych cudzysłowów i przecinków. Przykład:

   "AuthorizedRoles": ["group1", "group2", "group3"]
   

3. LDAPPath Znajdź ustawienie i dodaj domenę usługi Active Directory. Przykład:

   "LDAPPath": "contoso.com"
   

4. AuthorizedEmailAddress Znajdź ustawienie i usuń cały wiersz.

Ten obraz przedstawia plik appsettings.json poprawnie sformatowany pod kątem autoryzacji roli.

Ustawienia dzierżawy i klucza

Ustawienia dzierżawy i klucza usługi DKE znajdują się w pliku appsettings.json .

Aby skonfigurować ustawienia dzierżawy i klucza dla usługi DKE

1. Otwórz plik appsettings.json .

2. Znajdź ustawienie i zastąp ValidIssuers<tenantid> ciąg identyfikatorem dzierżawy. Identyfikator dzierżawy można zlokalizować, przechodząc do Azure Portal i wyświetlając właściwości dzierżawy. Przykład:

   "ValidIssuers": [
     "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
   ]
   

Uwaga

Jeśli chcesz włączyć zewnętrzny dostęp B2B do magazynu kluczy, musisz również uwzględnić te dzierżawy zewnętrzne jako część listy prawidłowych wystawców.

Znajdź element JwtAudience. Zastąp <yourhostname> element nazwą hosta maszyny, na której zostanie uruchomiona usługa DKE. Na przykład: "https://dkeservice.contoso.com"

Ważna

Wartość musi JwtAudiencebyć dokładnie zgodna z nazwą hosta.

• TestKeys:Name. Wprowadź nazwę klucza. Przykład: TestKey1
• TestKeys:Id. Utwórz identyfikator GUID i wprowadź go jako TestKeys:ID wartość. Na przykład DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Aby losowo wygenerować identyfikator GUID, możesz użyć witryny takiej jak generator identyfikatorów GUID online .

Ten obraz przedstawia prawidłowy format ustawień dzierżawy i kluczy w pliku appsettings.json. LDAPPath jest skonfigurowany do autoryzacji roli.

Generowanie kluczy testowych

Po zdefiniowaniu ustawień aplikacji możesz wygenerować publiczne i prywatne klucze testowe.

Aby wygenerować klucze:

1. Z menu Start systemu Windows uruchom wiersz polecenia OpenSSL.

2. Przejdź do folderu, w którym chcesz zapisać klucze testowe. Pliki utworzone przez wykonanie kroków w tym zadaniu są przechowywane w tym samym folderze.

3. Wygeneruj nowy klucz testowy.

   openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
   

4. Wygeneruj klucz prywatny.

   Jeśli zainstalowano program OpenSSL w wersji 3 lub nowszej, uruchom następujące polecenie:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

W przeciwnym razie uruchom następujące polecenie:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM

1. Wygeneruj klucz publiczny.

   openssl rsa -in key.pem -pubout > pubkeyonly.pem
   

2. W edytorze tekstów otwórz plik pubkeyonly.pem. Skopiuj całą zawartość pliku pubkeyonly.pem z wyjątkiem pierwszego i ostatniego wiersza do PublicPem sekcji pliku appsettings.json .

3. W edytorze tekstów otwórz plik privkeynopass.pem. Skopiuj całą zawartość w pliku privkeynopass.pem, z wyjątkiem pierwszego i ostatniego wiersza, do PrivatePem sekcji pliku appsettings.json .

4. Usuń wszystkie puste spacje i nowe wiersze w PublicPem sekcjach i PrivatePem .

   Ważna

   Podczas kopiowania tej zawartości nie usuwaj żadnych danych PEM.

5. W Visual Studio Code przejdź do pliku Startup.cs. Ten plik znajduje się w repozytorium DoubleKeyEncryptionService sklonowanym lokalnie w obszarze DoubleKeyEncryptionService\src\customer-key-store.

6. Znajdź następujące wiersze:

       #if USE_TEST_KEYS
       #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
       DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
       services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
       #endif
   

7. Zastąp te wiersze następującym tekstem:

   services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
   

   Wyniki końcowe powinny wyglądać podobnie do następujących.

   

Teraz możesz przystąpić do tworzenia projektu DKE.

Tworzenie projektu

Użyj następujących instrukcji, aby skompilować projekt DKE lokalnie:

1. W Visual Studio Code w repozytorium usługi DKE wybierz pozycję Wyświetl>paletę poleceń, a następnie wpisz kompilację w wierszu polecenia.

2. Z listy wybierz pozycję Zadania: Uruchom zadanie kompilacji.

   Jeśli nie znaleziono żadnych zadań kompilacji, wybierz pozycję Konfiguruj zadanie kompilacji i utwórz je dla platformy .NET Core w następujący sposób.

   

   1. Wybierz pozycję Utwórz plik tasks.json z szablonu.

      

   2. Z listy typów szablonów wybierz pozycję .NET Core.

      

   3. W sekcji kompilacji znajdź ścieżkę do pliku customerkeystore.csproj . Jeśli go tam nie ma, dodaj następujący wiersz:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      

   4. Uruchom ponownie kompilację.

3. Sprawdź, czy w oknie danych wyjściowych nie występują czerwone błędy.

   Jeśli występują czerwone błędy, sprawdź dane wyjściowe konsoli. Upewnij się, że wszystkie poprzednie kroki zostały wykonane poprawnie, a poprawne wersje kompilacji są obecne.

Konfiguracja została ukończona. Przed opublikowaniem magazynu kluczy w pliku appsettings.json dla ustawienia JwtAudience upewnij się, że wartość nazwy hosta jest dokładnie zgodna z nazwą hosta App Service.

Wdrażanie usługi DKE i publikowanie magazynu kluczy

W przypadku wdrożeń produkcyjnych wdróż usługę w chmurze innej firmy lub opublikuj w systemie lokalnym.

Możesz preferować inne metody wdrażania kluczy. Wybierz metodę, która najlepiej sprawdza się w twojej organizacji.

W przypadku wdrożeń pilotażowych można wdrażać na platformie Azure i od razu rozpocząć pracę.

Aby utworzyć wystąpienie aplikacji internetowej platformy Azure do hostowania wdrożenia DKE

Aby opublikować magazyn kluczy, utworzysz wystąpienie Azure App Service do hostowania wdrożenia DKE. Następnie opublikujesz wygenerowane klucze na platformie Azure.

1. W przeglądarce zaloguj się do Azure Portal firmy Microsoft i przejdź do pozycji Dodaj usługi App Services>.

2. Wybierz subskrypcję i grupę zasobów i zdefiniuj szczegóły wystąpienia.

   • Wprowadź nazwę hosta komputera, na którym chcesz zainstalować usługę DKE. Upewnij się, że jest to nazwa zdefiniowana dla ustawienia JwtAudience w pliku appsettings.json . Podaną wartością nazwy jest również nazwa WebAppInstanceName.

   • W polu Publikuj wybierz kod, a w polu Stos środowiska uruchomieniowego wybierz pozycję .NET Core 3.1.

   Przykład:

   

3. W dolnej części strony wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Dodaj.

4. Wykonaj jedną z następujących czynności, aby opublikować wygenerowane klucze:

   • Publikowanie za pośrednictwem narzędzia ZipDeployUI
   • Publikowanie za pośrednictwem protokołu FTP
   • Publikowanie za pośrednictwem programu Visual Studio 2019 lub nowszego

Publikowanie za pośrednictwem narzędzia ZipDeployUI

1. Przejdź do https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

   Przykład: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

2. W bazie kodu magazynu kluczy przejdź do folderu customer-key-store\src\customer-key-store i sprawdź, czy ten folder zawiera plik customerkeystore.csproj .

3. Uruchamianie: publikowanie dotnet

   W oknie danych wyjściowych zostanie wyświetlony katalog, w którym wdrożono publikowanie.

   Przykład: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

4. Wyślij wszystkie pliki w katalogu publikowania do pliku .zip. Podczas tworzenia pliku .zip upewnij się, że wszystkie pliki w katalogu znajdują się na poziomie głównym pliku .zip.

5. Przeciągnij i upuść utworzony plik .zip do otwartej powyżej witryny ZipDeployUI. Przykład: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

Usługa DKE została wdrożona i możesz przejść do utworzonych kluczy testowych. Kontynuuj sprawdzanie poprawności wdrożenia poniżej.

Publikowanie za pośrednictwem protokołu FTP

1. Połącz się z utworzonym powyżej App Service.

   W przeglądarce przejdź do obszaru: Azure Portal>App Service>Deployment CenterManual Deployment> FTPDashboard (Pulpit nawigacyjnyFTP> w centrum > wdrażania ręcznego).

2. Skopiuj parametry połączenia wyświetlane do pliku lokalnego. Użyjesz tych ciągów, aby nawiązać połączenie z siecią Web App Service i przekazać pliki za pośrednictwem protokołu FTP.

   Przykład:

   

3. W bazie kodu magazynu kluczy przejdź do katalogu customer-key-store\src\customer-key-store.

4. Sprawdź, czy ten katalog zawiera plik customerkeystore.csproj .

5. Uruchamianie: publikowanie dotnet

   Dane wyjściowe zawierają katalog, w którym wdrożono publikowanie.

   Przykład: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

6. Wyślij wszystkie pliki w katalogu publikowania do pliku zip. Podczas tworzenia pliku .zip upewnij się, że wszystkie pliki w katalogu znajdują się na poziomie głównym pliku .zip.

7. Z poziomu klienta FTP użyj skopiowanych informacji o połączeniu, aby nawiązać połączenie z App Service. Przekaż plik .zip utworzony w poprzednim kroku do katalogu głównego aplikacji internetowej.

Usługa DKE została wdrożona i możesz przejść do utworzonych kluczy testowych. Następnie zweryfikuj wdrożenie.

Sprawdzanie poprawności wdrożenia

Po wdrożeniu usługi DKE przy użyciu jednej z metod opisanych powyżej zweryfikuj wdrożenie i ustawienia magazynu kluczy.

Uruchomić:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Przykład:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Upewnij się, że w danych wyjściowych nie są wyświetlane żadne błędy. Gdy wszystko będzie gotowe, zarejestruj magazyn kluczy.

Nazwa klucza uwzględnia wielkość liter. Wprowadź nazwę klucza wyświetlaną w pliku appsettings.json.

Rejestrowanie magazynu kluczy

Poniższe kroki umożliwiają zarejestrowanie usługi DKE. Rejestrowanie usługi DKE jest ostatnim krokiem wdrażania usługi DKE przed rozpoczęciem tworzenia etykiet.

Aby zarejestrować usługę DKE:

1. W przeglądarce otwórz Azure Portal firmy Microsoft i przejdź do pozycjiRejestracje aplikacjitożsamości>wszystkich usług>.

2. Wybierz pozycję Nowa rejestracja i wprowadź zrozumiałą nazwę.

3. Wybierz typ konta z wyświetlonych opcji.

   Przykład:

   

4. W dolnej części strony wybierz pozycję Zarejestruj , aby utworzyć nową rejestrację aplikacji.

5. W nowej rejestracji aplikacji w okienku po lewej stronie w obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

6. Wybierz pozycję Dodaj platformę.

7. W oknie podręcznym Konfigurowanie platform wybierz pozycję Sieć Web.

8. W obszarze Identyfikatory URI przekierowania wprowadź identyfikator URI usługi szyfrowania podwójnego klucza. Wprowadź adres URL App Service, w tym nazwę hosta i domenę.

   Przykład: https://mydkeservicetest.com

   • Wprowadzony adres URL musi być zgodny z nazwą hosta, w której wdrożono usługę DKE.
   • Domena musi być zweryfikowaną domeną.
   • We wszystkich przypadkach schemat musi być https.

   Upewnij się, że nazwa hosta jest dokładnie zgodna z nazwą hosta App Service.

9. W obszarze Przyznawanie niejawne zaznacz pole wyboru Tokeny identyfikatorów .

10. Wybierz opcję Zapisz, aby zapisać zmiany.

11. W okienku po lewej stronie wybierz pozycję Uwidaczniaj interfejs API obok pozycji Identyfikator URI aplikacji, wprowadź adres URL App Service, w tym nazwę hosta i domenę, a następnie wybierz pozycję Ustaw.

12. Nadal na stronie Uwidacznianie interfejsu API w obszarze Zakresy zdefiniowane przez ten obszar interfejsu API wybierz pozycję Dodaj zakres. W nowym zakresie:

    1. Zdefiniuj nazwę zakresu jako user_impersonation.

    2. Wybierz administratorów i użytkowników, którzy mogą wyrazić zgodę.

    3. Zdefiniuj wszystkie pozostałe wymagane wartości.

    4. Wybierz pozycję Dodaj zakres.

    5. Wybierz pozycję Zapisz u góry, aby zapisać zmiany.

13. Nadal na stronie Uwidacznianie interfejsu API w obszarze Autoryzowane aplikacje klienckie wybierz pozycję Dodaj aplikację kliencką.

    W nowej aplikacji klienckiej:

    1. Zdefiniuj identyfikator klienta jako d3590ed6-52b3-4102-aeff-aad2292ab01c. Ta wartość jest identyfikatorem klienta pakietu Microsoft Office i umożliwia pakietowi Office uzyskanie tokenu dostępu dla magazynu kluczy.

    2. W obszarze Autoryzowane zakresy wybierz zakres user_impersonation .

    3. Wybierz pozycję Dodaj aplikację.

    4. Wybierz pozycję Zapisz u góry, aby zapisać zmiany.

    5. Powtórz te kroki, ale tym razem zdefiniuj identyfikator klienta jako c00e9d32-3c8d-4a7d-832b-029040e7db99. Ta wartość to identyfikator klienta ujednoliconego etykietowania platformy Azure Information Protection.

Twoja usługa DKE jest teraz zarejestrowana. Kontynuuj , tworząc etykiety przy użyciu usługi DKE.

Tworzenie etykiet poufności przy użyciu usługi DKE

W portal zgodności Microsoft Purview utwórz nową etykietę poufności i zastosuj szyfrowanie tak, jak w przeciwnym razie. Wybierz pozycję Użyj szyfrowania podwójnym kluczem i wprowadź adres URL punktu końcowego klucza. Musisz uwzględnić nazwę klucza podaną w sekcji "TestKeys" pliku appsettings.json w adresie URL.

Przykład: https://testingdke1.azurewebsites.net/KEYNAME

Wszystkie dodane etykiety DKE zaczną być wyświetlane dla użytkowników w najnowszych wersjach Aplikacje Microsoft 365 dla przedsiębiorstw.

Uwaga

Odświeżenie klientów przy użyciu nowych etykiet może potrwać do 24 godzin.

Włączanie funkcji DKE w kliencie

Jeśli jesteś niejawnym testerem pakietu Office, funkcja DKE jest włączona. W przeciwnym razie włącz funkcję DKE dla klienta, dodając następujące klucze rejestru:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrowanie chronionych plików z etykiet HYOK do etykiet DKE

Jeśli chcesz, po zakończeniu konfigurowania usługi DKE możesz migrować chronioną zawartość przy użyciu etykiet HYOK do etykiet DKE. Aby przeprowadzić migrację, użyjesz skanera Microsoft Purview Information Protection. Aby rozpocząć korzystanie ze skanera, zobacz Omówienie skanera ochrony informacji.

Jeśli nie przeprowadzisz migracji zawartości, zawartość chroniona przez funkcję HYOK pozostanie nienaruszona.

Inne opcje wdrażania

Zdajemy sobie sprawę, że w przypadku niektórych klientów w branżach wysoce regulowanych ta standardowa implementacja referencyjna przy użyciu kluczy opartych na oprogramowaniu może nie być wystarczająca do spełnienia ich zwiększonych obowiązków i potrzeb w zakresie zgodności. Nawiązaliśmy współpracę z dostawcami sprzętowych modułów zabezpieczeń (HSM) innych firm, aby obsługiwać rozszerzone opcje zarządzania kluczami w usłudze DKE, w tym:

• Powierzyć

• Thales

• Utimaco

Skontaktuj się bezpośrednio z tymi dostawcami, aby uzyskać więcej informacji i wskazówek dotyczących ich rozwiązań hsm DKE na rynku.