Criptografia de Chave Dupla

Aplica-se a: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Proteção de Informações

Instruções para: Azure Proteção de Informações cliente de rotulagem unificada para Windows

Descrição do serviço para: Microsoft Purview

A DKE (Double Key Encryption) usa duas chaves juntas para acessar o conteúdo protegido. A Microsoft armazena uma chave no Microsoft Azure e você mantém a outra chave. Você mantém o controle total de uma de suas chaves usando o serviço de Criptografia de Chave Dupla. Você aplica proteção ao conteúdo altamente confidencial usando rotulagem de confidencialidade interna em aplicativos do Office. Para obter informações sobre como usar o DKE com aplicativos do Office, consulte as tabelas de recursos e a linha DKE (Double Key Encryption). Você pode continuar a usar o cliente de rotulagem unificada do Azure Proteção de Informações por enquanto, mas esse método será preterido no futuro.

A Criptografia de Chaves Duplas dá suporte a implantações locais e na nuvem. Essas implantações ajudam a garantir que os dados criptografados permaneçam opacos onde quer que você armazene os dados protegidos.

Para obter mais informações sobre as chaves raiz de locatário padrão baseadas em nuvem, consulte Planejamento e implementação da chave de locatário do Azure Proteção de Informações.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Quando sua organização deve adotar o DKE

A Criptografia de Chave Dupla destina-se aos seus dados mais confidenciais que estão sujeitos aos requisitos de proteção mais rigorosos. O DKE não se destina a todos os dados. Em geral, você usa a Criptografia de Chave Dupla para proteger apenas uma pequena parte de seus dados gerais. Você deve fazer a devida diligência na identificação dos dados certos a serem fornecidos com essa solução antes de implantar. Em alguns casos, talvez seja necessário restringir seu escopo e usar outras soluções para a maioria dos seus dados, como Proteção de Informações do Microsoft Purview com chaves gerenciadas pela Microsoft ou trazer sua própria chave (BYOK). Essas soluções são suficientes para documentos que não estão sujeitos a proteções avançadas e requisitos regulatórios. Além disso, essas soluções permitem que você use os serviços mais poderosos do Microsoft 365; serviços que você não pode usar com conteúdo criptografado DKE. Por exemplo:

• Regras de fluxo de email, incluindo anti-malware e spam que exigem visibilidade do anexo
• Microsoft Delve
• Descoberta eletrônica
• Pesquisa e indexação de conteúdo
• Office Aplicativos Web incluindo a funcionalidade de coautoria

Todos os aplicativos ou serviços externos que não estejam integrados ao DKE por meio do SDK do Microsoft Proteção de Informações (MIP) não poderão executar ações nos dados criptografados.

O Microsoft Proteção de Informações SDK 1.7+ dá suporte à Criptografia de Chave Dupla. Aplicativos que se integram ao nosso SDK podem argumentar sobre esses dados com permissões e integrações suficientes em vigor.

Use Proteção de Informações do Microsoft Purview recursos (classificação e rotulagem) para proteger a maioria dos dados confidenciais e usar apenas o DKE para seus dados críticos. A Criptografia de Chaves Duplas é relevante para dados confidenciais em setores altamente regulamentados, como serviços financeiros e saúde.

Se suas organizações tiverem qualquer um dos seguintes requisitos, você poderá usar o DKE para ajudar a proteger seu conteúdo:

• Você deseja garantir que somente você possa descriptografar o conteúdo protegido, em todas as circunstâncias.
• Você não quer que a Microsoft tenha acesso a dados protegidos por conta própria.
• Você tem requisitos regulatórios para manter chaves dentro de um limite geográfico. Todas as chaves que você contém para criptografia de dados e descriptografia são mantidas em seu data center.

Requisitos de sistema e licenciamento para DKE

A Criptografia de Chave Dupla vem com Microsoft 365 E5. Se você não tiver uma licença de Microsoft 365 E5, poderá se inscrever para uma avaliação. Para obter mais informações sobre essas licenças, consulte Diretrizes de licenciamento do Microsoft 365 para conformidade com a segurança&.

Os rótulos de confidencialidade DKE são disponibilizados para usuários finais por meio da rotulagem de confidencialidade interna em aplicativos do Office, o botão de confidencialidade no cliente de Rotulagem Unificada do AIP nos Aplicativos da Área de Trabalho do Office, Explorador de Arquivos clique com o botão direito do mouse, o AIP Powershell e o scanner AIP. Instale pré-requisitos em cada computador cliente em que você deseja proteger e consumir documentos protegidos.

A Proteção de Informações do Azure é necessária para DKE

O DKE funciona com rótulos de confidencialidade e requer o serviço de Proteção de Informações do Azure para criptografia.

Requisitos de rotulagem interna do DKE para DKE

Para obter informações sobre o suporte à rotulagem de confidencialidade interna em Word, Excel e PowerPoint, confira as tabelas de recursos e a linha DKE (Double Key Encryption).

Azure Proteção de Informações requisitos de cliente de rotulagem unificada e Aplicativos do Office para Área de Trabalho para DKE

Se você optar por usar a combinação cliente de rotulagem e Aplicativos do Office para Área de Trabalho, use as informações a seguir. Esse método será preterido no futuro.

• Cliente de Rotulagem Unificada versão 2.15.33.0 ou posterior. Baixe e instale o cliente de Rotulagem Unificada do centro de download da Microsoft.

• Microsoft Office Apps for enterprise requirements for DKE with the AIP labeling client version 2009 or later (Versões da área de trabalho de Word, Excel, PowerPoint e Outlook) no Windows.

• Para o Outlook Desktop, abra um caso de suporte para versões de cliente de rotulagem unificada com suporte de rótulo DKE no Outlook.

Ambientes com suporte para armazenar e exibir conteúdo protegido por DKE

Aplicativos com suporte. Microsoft 365 Apps para Grandes Empresas clientes no Windows, incluindo Word, Excel, PowerPoint e Outlook.

Registro de cliente. Verifique se os valores de registro a seguir são definidos em cada cliente. Crie chaves de registro que ainda não estão lá:

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001

Suporte a conteúdo online. Você pode armazenar documentos e arquivos protegidos com Criptografia de Chave Dupla online no Microsoft SharePoint e OneDrive for Business. Você deve rotular e proteger documentos e arquivos com DKE por aplicativos com suporte antes de carregar nesses locais. Você pode compartilhar conteúdo criptografado por email, mas não pode exibir documentos e arquivos criptografados online. Em vez disso, você deve exibir conteúdo protegido usando os aplicativos de área de trabalho e clientes com suporte em seu computador local.

Cenários de rotulagem fora dos aplicativos do Office. Aplique rótulos DKE fora dos aplicativos do Office usando o Explorador de Arquivos comandos "Classificar & Proteger" com o botão direito do mouse, os comandos do AIP PowerShell ou o scanner AIP pelos administradores.

Somente criptografia e cenários Não Encaminhar. Não há suporte para Criptografar Somente e Não Encaminhar com DKE.

Visão geral da implantação do DKE

Você seguirá estas etapas gerais para configurar o DKE. Depois de concluir essas etapas, os usuários finais poderão proteger seus dados altamente confidenciais com a Criptografia de Chave Dupla.

1. Implante o serviço DKE conforme descrito neste artigo.

2. Crie um rótulo com Criptografia de Chave Dupla. No portal de conformidade do Microsoft Purview, navegue até Proteção de informações e crie um novo rótulo com Criptografia de Chave Dupla. Consulte Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia.

3. Use rótulos de criptografia de chave dupla. Proteja os dados selecionando o rótulo Double Key Encrypted na faixa de opções Confidencialidade no Microsoft Office.

Há várias maneiras de concluir algumas das etapas para implantar a Criptografia de Chave Dupla. Este artigo fornece instruções detalhadas para que administradores menos experientes implantem o serviço com êxito. Se você estiver confortável em fazer isso, poderá optar por usar seus próprios métodos.

Implantar o DKE

Este artigo e o vídeo de implantação usam o Azure como o destino de implantação do serviço DKE. Se você estiver implantando em outro local, precisará fornecer seus próprios valores.

Você seguirá estas etapas gerais para configurar a Criptografia de Chaves Duplas para sua organização.

1. Instalar pré-requisitos de software para o serviço DKE
2. Clonar o repositório GitHub de Criptografia de Chave Dupla
3. Modificar configurações de aplicativo
4. Gerar chaves de teste
5. Compilar o projeto
6. Implantar o serviço DKE e publicar o repositório de chaves
7. Valide a sua implantação
8. Registrar seu repositório de chaves
9. Criar rótulos de confidencialidade usando DKE
10. Migrar arquivos protegidos de rótulos HYOK para rótulos DKE

Quando terminar, você pode criptografar documentos e arquivos usando DKE. Para obter informações, consulte Aplicar rótulos de confidencialidade aos seus arquivos e email no Office.

Instalar pré-requisitos de software para o serviço DKE

Instale esses pré-requisitos no computador em que você deseja instalar o serviço DKE.

SDK do .NET Core 7.0. Baixe e instale o SDK do Download do .NET Core 7.0.

Visual Studio Code. Baixe Visual Studio Code de https://code.visualstudio.com/. Depois de instalado, execute Visual Studio Code e selecione Exibir>Extensões. Instale essas extensões.

• C# para Visual Studio Code

• Gerenciador de Pacotes NuGet

Recursos git. Baixe e instale um dos seguintes.

• Git

• GitHub Desktop

• GitHub Enterprise

Openssl Você deve ter o OpenSSL instalado para gerar chaves de teste depois de implantar o DKE. Certifique-se de que você está invocando-o corretamente do caminho das variáveis de ambiente. Por exemplo, consulte "Adicionar o diretório de instalação ao PATH" para https://www.osradar.com/install-openssl-windows/ obter detalhes.

Clonar o repositório DKE GitHub

A Microsoft fornece os arquivos de origem DKE em um repositório do GitHub. Você clona o repositório para criar o projeto localmente para uso da sua organização. O repositório DKE GitHub está localizado em https://github.com/Azure-Samples/DoubleKeyEncryptionService.

As instruções a seguir destinam-se a usuários inexperientes do git ou Visual Studio Code:

1. No navegador, acesse: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

2. No lado direito da tela, selecione Código. Sua versão da interface do usuário pode mostrar um botão Clonar ou baixar . Em seguida, na lista suspensa exibida, selecione o ícone de cópia para copiar a URL na área de transferência.

   Por exemplo:

   

3. Em Visual Studio Code, selecione Exibir>Paleta de Comandos e selecione Git: Clonar. Para pular para a opção na lista, comece a digitar para filtrar git: clone as entradas e selecione-as na lista suspensa. Por exemplo:

   

4. Na caixa de texto, cole a URL copiada do Git e selecione Clonar no GitHub.

5. Na caixa de diálogo Selecionar Pasta exibida, navegue até e selecione um local para armazenar o repositório. No prompt, selecione Abrir.

   O repositório é aberto em Visual Studio Code e exibe o branch git atual na parte inferior esquerda. Por exemplo, o branch deve ser main. Por exemplo:

   

6. Se você não estiver no branch main, precisará selecioná-lo. Em Visual Studio Code, selecione o branch e escolha main na lista de ramificações exibidas.

   Importante

   Selecionar o branch main garante que você tenha os arquivos corretos para criar o projeto. Se você não escolher o branch correto, sua implantação falhará.

Agora você tem seu repositório de origem DKE configurado localmente. Em seguida, modifique as configurações do aplicativo para sua organização.

Modificar configurações de aplicativo

Para implantar o serviço DKE, você deve modificar os seguintes tipos de configurações de aplicativo:

• Configurações de acesso de chave
• Configurações de locatário e chave

Você modifica as configurações do aplicativo no arquivo appsettings.json. Esse arquivo está localizado no repositório DoubleKeyEncryptionService clonado localmente em DoubleKeyEncryptionService\src\customer-key-store. Por exemplo, em Visual Studio Code, você pode navegar até o arquivo, conforme mostrado na imagem a seguir.

Configurações de acesso de chave

Escolha se deve usar autorização de email ou função. O DKE dá suporte a apenas um desses métodos de autenticação por vez.

• Email autorização. Permite que sua organização autorize o acesso a chaves apenas com base em endereços de email.

• Autorização de função. Permite que sua organização autorize o acesso a chaves com base em grupos do Active Directory e exige que o serviço Web possa consultar o LDAP.

Para definir as principais configurações de acesso para DKE usando a autorização de email

1. Abra o arquivo appsettings.json e localize a AuthorizedEmailAddress configuração.

2. Adicione o endereço de email ou endereços que você deseja autorizar. Separe vários endereços de email com aspas e vírgulas duplas. Por exemplo:

   "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
   

3. Localize a LDAPPath configuração e remova o texto If you use role authorization (AuthorizedRoles) then this is the LDAP path. entre as aspas duplas. Deixe as aspas duplas no lugar. Quando você terminar, a configuração deve ser assim.

   "LDAPPath": ""
   

4. Localize a AuthorizedRoles configuração e exclua toda a linha.

Esta imagem mostra o arquivo appsettings.json formatado corretamente para autorização de email.

Para definir as principais configurações de acesso para DKE usando a autorização de função

1. Abra o arquivo appsettings.json e localize a AuthorizedRoles configuração.

2. Adicione os nomes de grupo do Active Directory que você deseja autorizar. Separe vários nomes de grupo com aspas e vírgulas duplas. Por exemplo:

   "AuthorizedRoles": ["group1", "group2", "group3"]
   

3. Localize a LDAPPath configuração e adicione o domínio do Active Directory. Por exemplo:

   "LDAPPath": "contoso.com"
   

4. Localize a AuthorizedEmailAddress configuração e exclua toda a linha.

Esta imagem mostra o arquivo appsettings.json formatado corretamente para autorização de função.

Configurações de locatário e chave

As configurações de locatário e chave DKE estão localizadas no arquivo appsettings.json .

Para configurar configurações de locatário e chave para DKE

1. Abra o arquivo appsettings.json .

2. Localize a ValidIssuers configuração e substitua <tenantid> pela ID do locatário. Você pode localizar sua ID do locatário acessando o portal do Azure e exibindo as propriedades do locatário. Por exemplo:

   "ValidIssuers": [
     "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
   ]
   

Observação

Se você quiser habilitar o acesso B2B externo ao seu repositório de chaves, também precisará incluir esses locatários externos como parte da lista de emissores válidos.

Localize o JwtAudience. Substitua <yourhostname> pelo nome do host do computador em que o serviço DKE será executado. Por exemplo: "https://dkeservice.contoso.com"

Importante

O valor para JwtAudience deve corresponder exatamente ao nome do host.

• TestKeys:Name. Insira um nome para sua chave. Por exemplo: TestKey1
• TestKeys:Id. Crie um GUID e insira-o como o TestKeys:ID valor. Por exemplo, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Você pode usar um site como o Gerador GUID Online para gerar aleatoriamente um GUID.

Esta imagem mostra o formato correto para configurações de locatário e chaves em appsettings.json. LDAPPath é configurado para autorização de função.

Gerar chaves de teste

Depois de definir as configurações do aplicativo, você estará pronto para gerar chaves de teste públicas e privadas.

Para gerar chaves:

1. No menu Iniciar do Windows, execute o Prompt de Comando OpenSSL.

2. Altere para a pasta em que você deseja salvar as chaves de teste. Os arquivos que você cria concluindo as etapas desta tarefa são armazenados na mesma pasta.

3. Gere a nova chave de teste.

   openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
   

4. Gere a chave privada.

   Se você instalou o OpenSSL versão 3 ou posterior, execute o seguinte comando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Caso contrário, execute o seguinte comando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM

1. Gere a chave pública.

   openssl rsa -in key.pem -pubout > pubkeyonly.pem
   

2. Em um editor de texto, abra pubkeyonly.pem. Copie todo o conteúdo no arquivo pubkeyonly.pem , exceto as primeiras e últimas linhas, na PublicPem seção do arquivo appsettings.json .

3. Em um editor de texto, abra privkeynopass.pem. Copie todo o conteúdo no arquivo privkeynopass.pem , exceto as primeiras e últimas linhas, na PrivatePem seção do arquivo appsettings.json .

4. Remova todos os espaços em branco e linhas novas nas PublicPem seções e PrivatePem .

   Importante

   Ao copiar esse conteúdo, não exclua nenhum dos dados PEM.

5. Em Visual Studio Code, navegue até o arquivo Startup.cs. Esse arquivo está localizado no repositório DoubleKeyEncryptionService clonado localmente em DoubleKeyEncryptionService\src\customer-key-store.

6. Localize as seguintes linhas:

       #if USE_TEST_KEYS
       #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
       DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
       services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
       #endif
   

7. Substitua estas linhas pelo seguinte texto:

   services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
   

   Os resultados finais devem ser semelhantes aos seguintes.

   

Agora você está pronto para criar seu projeto DKE.

Compilar o projeto

Use as seguintes instruções para criar o projeto DKE localmente:

1. Em Visual Studio Code, no repositório de serviço DKE, selecione Exibir>Paleta de Comandos e digite build no prompt.

2. Na lista, escolha Tarefas: executar tarefa de build.

   Se não houver tarefas de build encontradas, selecione Configurar Tarefa de Build e criar uma para o .NET core da seguinte maneira.

   

   1. Escolha Criar tarefas.json no modelo.

      

   2. Na lista de tipos de modelo, selecione .NET Core.

      

   3. Na seção build, localize o caminho para o arquivo customerkeystore.csproj . Se ele não estiver lá, adicione a seguinte linha:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      

   4. Execute o build novamente.

3. Verifique se não há erros vermelhos na janela de saída.

   Se houver erros vermelhos, marcar a saída do console. Verifique se você concluiu todas as etapas anteriores corretamente e as versões corretas de build estão presentes.

Sua configuração agora está concluída. Antes de publicar o keystore, em appsettings.json, para a configuração JwtAudience, verifique se o valor do nome do host corresponde exatamente ao nome do host Serviço de Aplicativo.

Implantar o serviço DKE e publicar o repositório de chaves

Para implantações de produção, implante o serviço em uma nuvem de terceiros ou publique em um sistema local.

Você pode preferir outros métodos para implantar suas chaves. Selecione o método que funciona melhor para sua organização.

Para implantações piloto, você pode implantar no Azure e começar imediatamente.

Para criar uma instância do Aplicativo Web do Azure para hospedar sua implantação do DKE

Para publicar o repositório de chaves, você criará uma instância Serviço de Aplicativo do Azure para hospedar sua implantação DKE. Em seguida, você publicará suas chaves geradas no Azure.

1. No navegador, entre no Microsoft portal do Azure e vá para Adicionar serviços> deaplicativo.

2. Selecione sua assinatura e grupo de recursos e defina os detalhes da instância.

   • Insira o nome do host do computador em que você deseja instalar o serviço DKE. Verifique se é o mesmo nome definido para a configuração JwtAudience no arquivo appsettings.json . O valor que você fornece para o nome também é o WebAppInstanceName.

   • Para Publicar, selecione código e para pilha runtime, selecione .NET Core 3.1.

   Por exemplo:

   

3. Na parte inferior da página, selecione Examinar + criar e, em seguida, selecione Adicionar.

4. Faça um dos seguintes procedimentos para publicar suas chaves geradas:

   • Publicar via ZipDeployUI
   • Publicar via FTP
   • Publicar via Visual Studio 2019 ou posterior

Publicar via ZipDeployUI

1. Saiba mais em https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

   Por exemplo: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

2. Na base de código do repositório de chaves, acesse a pasta customer-key-store\src\customer-key-store e verifique se essa pasta contém o arquivo customerkeystore.csproj .

3. Executar: publicar dotnet

   A janela de saída exibe o diretório em que a publicação foi implantada.

   Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

4. Envie todos os arquivos no diretório de publicação para um arquivo .zip. Ao criar o arquivo .zip, verifique se todos os arquivos no diretório estão no nível raiz do arquivo .zip.

5. Arraste e solte o arquivo .zip que você cria para o site ZipDeployUI que você abriu acima. Por exemplo: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

O DKE é implantado e você pode navegar até as chaves de teste que você criou. Continue validando sua implantação abaixo.

Publicar via FTP

1. Conecte-se ao Serviço de Aplicativo que você criou acima.

   No navegador, acesse: PainelFTP> deImplantação> Manual portal do Azure do Centro de Implantação Serviço de Aplicativo >> Serviço de Aplicativo Deployment>Center.

2. Copie as cadeias de conexão exibidas em um arquivo local. Você usará essas cadeias de caracteres para se conectar à Web Serviço de Aplicativo e carregar arquivos por meio de FTP.

   Por exemplo:

   

3. Na base de código para o armazenamento de chaves, acesse o diretório customer-key-store\src\customer-key-store.

4. Verifique se esse diretório contém o arquivo customerkeystore.csproj .

5. Executar: publicar dotnet

   A saída contém o diretório em que a publicação foi implantada.

   Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

6. Envie todos os arquivos no diretório de publicação para um arquivo zip. Ao criar o arquivo .zip, verifique se todos os arquivos no diretório estão no nível raiz do arquivo .zip.

7. No cliente FTP, use as informações de conexão copiadas para se conectar ao Serviço de Aplicativo. Carregue o arquivo .zip que você criou na etapa anterior para o diretório raiz do aplicativo Web.

O DKE é implantado e você pode navegar até as chaves de teste que você criou. Em seguida, valide sua implantação.

Valide a sua implantação

Depois de implantar o DKE usando um dos métodos descritos acima, valide a implantação e as configurações do repositório de chaves.

Executar:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Por exemplo:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Verifique se não há erros na saída. Quando estiver pronto, registre seu repositório de chaves.

O nome da chave é sensível a maiúsculas de minúsculas. Insira o nome da chave conforme ele aparece no arquivo appsettings.json.

Registrar seu repositório de chaves

As etapas a seguir permitem que você registre seu serviço DKE. Registrar seu serviço DKE é a última etapa na implantação do DKE antes que você possa começar a criar rótulos.

Para registrar o serviço DKE:

1. No navegador, abra o Microsoft portal do Azure e acesseRegistros de Aplicativo deIdentidade>de Todos os Serviços>.

2. Selecione Novo registro e insira um nome significativo.

3. Selecione um tipo de conta nas opções exibidas.

   Por exemplo:

   

4. Na parte inferior da página, selecione Registrar para criar o novo Registro de Aplicativo.

5. No novo Registro de Aplicativo, no painel esquerdo, em Gerenciar, selecione Autenticação.

6. Selecione Adicionar uma plataforma.

7. No pop-up Configurar plataformas, selecioneWeb.

8. Em URIs de redirecionamento, insira o URI do serviço de criptografia de chave dupla. Insira a URL Serviço de Aplicativo, incluindo o nome do host e o domínio.

   Por exemplo: https://mydkeservicetest.com

   • A URL inserida deve corresponder ao nome do host em que o serviço DKE é implantado.
   • O domínio deve ser um domínio verificado.
   • Em todos os casos, o esquema deve ser https.

   Verifique se o nome do host corresponde exatamente ao seu nome de host Serviço de Aplicativo.

9. Em Concessão implícita, selecione a caixa de seleção tokens de ID .

10. Selecione Salvar para salvar suas alterações.

11. No painel esquerdo, selecione Expor uma API, ao lado do URI da ID do Aplicativo, insira sua URL Serviço de Aplicativo, incluindo nome de host e domínio, e selecione Definir.

12. Ainda na página Expor uma API , nos Escopos definidos por essa área de API , selecione Adicionar um escopo. No novo escopo:

    1. Defina o nome do escopo como user_impersonation.

    2. Selecione os administradores e usuários que podem consentir.

    3. Defina todos os valores restantes necessários.

    4. Selecione Adicionar escopo.

    5. Selecione Salvar na parte superior para salvar suas alterações.

13. Ainda na página Expor uma API , na área Aplicativos cliente autorizados , selecione Adicionar um aplicativo cliente.

    No novo aplicativo cliente:

    1. Defina a ID do cliente como d3590ed6-52b3-4102-aeff-aad2292ab01c. Esse valor é a ID do cliente do Microsoft Office e permite que o Office obtenha um token de acesso para seu repositório de chaves.

    2. Em Escopos autorizados, selecione o escopo user_impersonation .

    3. Selecione Adicionar aplicativo.

    4. Selecione Salvar na parte superior para salvar suas alterações.

    5. Repita essas etapas, mas desta vez, defina a ID do cliente como c00e9d32-3c8d-4a7d-832b-029040e7db99. Esse valor é o Azure Proteção de Informações ID unificada do cliente de rotulagem.

Seu serviço DKE agora está registrado. Continue criando rótulos usando DKE.

Criar rótulos de confidencialidade usando DKE

No portal de conformidade do Microsoft Purview, crie um novo rótulo de confidencialidade e aplique a criptografia como faria de outra forma. Selecione Usar Criptografia de Chave Dupla e insira a URL do ponto de extremidade para sua chave. Você precisa incluir o nome da chave fornecido na seção "TestKeys" do arquivo appsettings.json na URL.

Por exemplo: https://testingdke1.azurewebsites.net/KEYNAME

Todos os rótulos DKE adicionados começarão a aparecer para usuários nas versões mais recentes do Microsoft 365 Apps para Grandes Empresas.

Observação

Pode levar até 24 horas para os clientes atualizarem com os novos rótulos.

Migrar arquivos protegidos de rótulos HYOK para rótulos DKE

Se desejar, depois de concluir a configuração do DKE, poderá migrar o conteúdo que você protegeu usando rótulos HYOK para rótulos DKE. Para migrar, você usará o scanner de Proteção de Informações do Microsoft Purview. Para começar a usar o scanner, consulte Entender o scanner de proteção de informações.

Se você não migrar conteúdo, o conteúdo protegido do HYOK permanecerá inalterado.

Outras opções de implantação

Percebemos que, para alguns clientes em setores altamente regulamentados, essa implementação de referência padrão usando chaves baseadas em software pode não ser suficiente para atender às suas obrigações e necessidades de conformidade aprimoradas. Fizemos uma parceria com fornecedores de HSM (módulo de segurança de hardware) de terceiros para dar suporte a opções avançadas de gerenciamento de chaves no serviço DKE, incluindo:

• Entrust

• Thales

• Utimaco

Entre em contato diretamente com esses fornecedores para obter mais informações e diretrizes sobre suas soluções de HSM DKE no mercado.