Siga estes passos gerais para configurar o DKE. Depois de concluir estes passos, os seus utilizadores finais podem proteger os seus dados altamente confidenciais com a Encriptação de Chave Dupla.
Configure o registo em dispositivos cliente para que possa utilizar etiquetas de Encriptação de Chave Dupla. Em seguida, proteja os seus dados ao selecionar a etiqueta Chave Dupla Encriptada no friso Confidencialidade do Microsoft Office.
Existem várias formas de concluir alguns dos passos para implementar a Encriptação de Chave Dupla. Este artigo fornece instruções detalhadas para que os administradores menos experientes implementem o serviço com êxito. Se estiver à vontade para o fazer, pode optar por utilizar os seus próprios métodos.
Implementar o DKE
Este artigo e o vídeo de implementação utilizam o Azure como destino de implementação do serviço DKE. Se estiver a implementar noutra localização, terá de fornecer os seus próprios valores.
Siga estes passos gerais para configurar a Encriptação de Chave Dupla para a sua organização.
Visual Studio Code. Transfira o Visual Studio Code a partir de https://code.visualstudio.com/. Depois de instalado, execute o Visual Studio Code e selecione Ver>Extensões. Instale estas extensões.
C# para Visual Studio Code
Gestor de Pacotes NuGet
Recursos do Git. Transfira e instale uma das seguintes opções.
OpenSSL. Tem de ter o OpenSSL instalado para gerar chaves de teste depois de implementar o DKE. Certifique-se de que o está a invocar corretamente a partir do caminho das variáveis de ambiente. Por exemplo, consulte "Adicionar o diretório de instalação ao PATH" em https://www.osradar.com/install-openssl-windows/ para obter detalhes.
Clonar o repositório do GitHub DKE
A Microsoft fornece os ficheiros de origem DKE num repositório do GitHub. Clone o repositório para compilar o projeto localmente para utilização da sua organização. O repositório do GitHub DKE está localizado em https://github.com/Azure-Samples/DoubleKeyEncryptionService.
As instruções seguintes destinam-se a utilizadores inexperientes do Git ou do Visual Studio Code:
No lado direito do ecrã, selecione Código. A sua versão da IU poderá mostrar um botão Clonar ou transferir . Em seguida, na lista pendente apresentada, selecione o ícone copiar para copiar o URL para a área de transferência.
Por exemplo:
No Visual Studio Code, selecione Ver>Paleta de Comandos e selecione Git: Clonar. Para aceder à opção na lista, comece a git: clone escrever para filtrar as entradas e, em seguida, selecione-a no menu pendente. Por exemplo:
Na caixa de texto, cole o URL que copiou do Git e selecione Clonar a partir do GitHub.
Na caixa de diálogo Selecionar Pasta que é apresentada, navegue para e selecione uma localização para armazenar o repositório. Selecione Abrir.
O repositório é aberto no Visual Studio Code e apresenta o ramo Git atual na parte inferior esquerda. O ramo deve ser principal. Por exemplo:
Se não estiver no ramo principal, selecione-o. No Visual Studio Code, selecione o ramo e selecione principal na lista de ramos apresentados.
Importante
Selecionar o ramo principal garante que tem os ficheiros corretos para criar o projeto. Se não escolher o ramo correto, a implementação falhará.
Pode modificar as definições da aplicação no ficheiro appsettings.json. Este ficheiro está localizado no repositório DoubleKeyEncryptionService que clonou localmente em DoubleKeyEncryptionService\src\customer-key-store. Por exemplo, no Visual Studio Code, pode navegar para o ficheiro, conforme mostrado na imagem seguinte.
Principais definições de acesso
Escolha se pretende utilizar o e-mail ou a autorização de função. A DKE suporta apenas um destes métodos de autenticação de cada vez.
Autorização por e-mail. Permite que a sua organização autorize o acesso a chaves apenas com base em endereços de e-mail.
Autorização de função. Permite que a sua organização autorize o acesso a chaves com base em grupos do Active Directory e requer que o serviço Web possa consultar o LDAP.
Para definir definições de acesso chave para dKE com autorização de e-mail
Abra o ficheiro appsettings.json e localize a AuthorizedEmailAddress definição.
Adicione o endereço de e-mail ou endereços que pretende autorizar. Separe vários endereços de e-mail com aspas e vírgulas. Por exemplo:
Localize a LDAPPath definição e remova o texto If you use role authorization (AuthorizedRoles) then this is the LDAP path. entre aspas duplas. Deixe as aspas duplas no lugar. Quando tiver terminado, a definição deverá ter o seguinte aspeto.
"LDAPPath": ""
Localize a AuthorizedRoles definição e elimine toda a linha.
Esta imagem mostra o ficheiro appsettings.json corretamente formatado para autorização de e-mail.
Para definir as principais definições de acesso para dKE com a autorização de função
Abra o ficheiro appsettings.json e localize a AuthorizedRoles definição.
Adicione os nomes dos grupos do Active Directory que pretende autorizar. Separe vários nomes de grupo com aspas e vírgulas duplas. Por exemplo:
"AuthorizedRoles": ["group1", "group2", "group3"]
Localize a LDAPPath definição e adicione o domínio do Active Directory. Por exemplo:
"LDAPPath": "contoso.com"
Localize a AuthorizedEmailAddress definição e elimine toda a linha.
Esta imagem mostra o ficheiro appsettings.json corretamente formatado para autorização de função.
Definições de inquilino e chave
As definições de chave e inquilino DKE estão localizadas no ficheiro de appsettings.json .
Para configurar o inquilino e as definições de chave para dKE
Abra o ficheiro appsettings.json .
Localize a ValidIssuers definição e substitua <tenantid> pelo seu ID de inquilino. Pode localizar o ID do inquilino ao aceder ao portal do Azure e ver as propriedades do inquilino. Por exemplo:
Se quiser ativar o acesso B2B externo ao seu arquivo de chaves, também terá de incluir estes inquilinos externos como parte da lista de emissores válidos.
Localize o JwtAudience. Substitua <yourhostname> pelo nome do anfitrião do computador onde pretende executar o serviço DKE. Por exemplo: "https://dkeservice.contoso.com"
Importante
O valor para JwtAudience tem de corresponder exatamente ao nome do seu anfitrião.
TestKeys:Name. Introduza um nome para a sua chave. Por exemplo: TestKey1
TestKeys:Id. Crie um GUID e introduza-o como o TestKeys:ID valor. Por exemplo, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Pode utilizar um site como o Gerador DE GUID Online para gerar aleatoriamente um GUID.
Esta imagem mostra o formato correto para as definições de inquilino e chaves no appsettings.json.
LDAPPath está configurado para autorização de função.
Gerar chaves de teste
Assim que tiver as definições da aplicação definidas, estará pronto para gerar chaves de teste públicas e privadas.
Para gerar chaves:
No menu Iniciar do Windows, execute a Linha de Comandos OpenSSL.
Mude para a pasta onde pretende guardar as chaves de teste. Os ficheiros que criar ao concluir os passos nesta tarefa são armazenados na mesma pasta.
Num editor de texto, abra pubkeyonly.pem. Copie todo o conteúdo no ficheiro pubkeyonly.pem , exceto as primeiras e últimas linhas, para a PublicPem secção do ficheiro appsettings.json .
Num editor de texto, abra privkeynopass.pem. Copie todo o conteúdo no ficheiro privkeynopass.pem , exceto as primeiras e últimas linhas, para a PrivatePem secção do ficheiro appsettings.json .
Remova todos os espaços em branco e as novas linhas nas PublicPem secções e PrivatePem .
Importante
Quando copiar este conteúdo, não elimine nenhum dos dados PEM.
No Visual Studio Code, navegue para o ficheiro Startup.cs . Este ficheiro está localizado no repositório DoubleKeyEncryptionService que clonou localmente em DoubleKeyEncryptionService\src\customer-key-store.
Localize as seguintes linhas:
#if USE_TEST_KEYS
#error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
#endif
Verifique se não existem erros vermelhos na janela de saída.
Se existirem erros vermelhos, verifique o resultado da consola. Certifique-se de que concluiu todos os passos anteriores corretamente e que estão presentes as versões de compilação corretas.
A configuração está agora concluída. Antes de publicar o keystore, no appsettings.json, para a definição JwtAudience, certifique-se de que o valor do nome do anfitrião corresponde exatamente ao nome do anfitrião do Serviço de Aplicações.
Implementar o serviço DKE e publicar o arquivo de chaves
Pode preferir outros métodos para implementar as chaves. Selecione o método que funciona melhor para a sua organização.
Para implementações piloto, pode implementar no Azure e começar imediatamente.
Para criar uma instância da Aplicação Web do Azure para alojar a implementação DKE
Para publicar o arquivo de chaves, crie uma instância do Serviço de Aplicações do Azure para alojar a sua implementação DKE. Em seguida, publique as chaves geradas no Azure.
Selecione a subscrição e o grupo de recursos e defina os detalhes da instância.
Introduza o nome do anfitrião do computador onde pretende instalar o serviço DKE. Certifique-se de que é o mesmo nome definido para a definição JwtAudience no ficheiro appsettings.json . O valor que indicar para o nome também é WebAppInstanceName.
Em Publicar, selecione código e, para Pilha de runtime, selecione .NET Core 3.1.
Por exemplo:
Na parte inferior da página, selecione Rever + criar e, em seguida, selecione Adicionar.
Efetue um dos seguintes procedimentos para publicar as chaves geradas:
Saiba mais em https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.
Por exemplo: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI
Na base de código do arquivo de chaves, aceda à pasta customer-key-store\src\customer-key-store e verifique se esta pasta contém o ficheiro customerkeystore.csproj .
Executar: publicação dotnet
A janela de saída apresenta o diretório onde a publicação foi implementada.
Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\
Enviar todos os ficheiros no diretório de publicação para um ficheiro de .zip. Ao criar o ficheiro .zip, certifique-se de que todos os ficheiros no diretório estão no nível de raiz do ficheiro .zip.
Arraste e largue o ficheiro .zip que criou no site ZipDeployUI que abriu anteriormente. Por exemplo: https://dkeservice.scm.azurewebsites.net/ZipDeployUI
O DKE é implementado e pode navegar para as chaves de teste que criou. Continue para Validar a implementação neste artigo.
Publicar através de FTP
Ligue-se ao Serviço de Aplicações que criou anteriormente.
No browser, aceda a:Dashboardde FTP> deImplementação Manualdo Centro de Implementação> doServiço> de Aplicações do > portal > do Azure.
Copie as cadeias de ligação apresentadas para um ficheiro local. Utilize estas cadeias para ligar ao Serviço de Aplicações Web e carregar ficheiros através de FTP.
Por exemplo:
Na base de código do armazenamento de chaves, aceda ao diretório customer-key-store\src\customer-key-store.
Verifique se este diretório contém o ficheiro customerkeystore.csproj .
Executar: publicação dotnet
O resultado contém o diretório onde a publicação foi implementada.
Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\
Envie todos os ficheiros no diretório de publicação para um ficheiro zip. Ao criar o ficheiro .zip, certifique-se de que todos os ficheiros no diretório estão no nível de raiz do ficheiro .zip.
A partir do cliente FTP, utilize as informações de ligação que copiou para ligar ao Serviço de Aplicações. Carregue o ficheiro .zip que criou no passo anterior para o diretório de raiz da sua Aplicação Web.
O DKE é implementado e pode navegar para as chaves de teste que criou. Em seguida, valide a implementação.
Valide a sua implantação
Depois de implementar o DKE com um dos métodos descritos neste artigo, valide a implementação e as definições do arquivo de chaves.
Certifique-se de que não são apresentados erros na saída. Quando estiver pronto, registe o arquivo de chaves.
O nome da chave é sensível às maiúsculas e minúsculas. Introduza o nome da chave tal como aparece no ficheiro appsettings.json.
Registar o arquivo de chaves
Os passos seguintes permitem-lhe registar o serviço DKE. Registar o serviço DKE é o último passo na implementação do DKE antes de poder começar a criar etiquetas.
Para registar o serviço DKE:
No browser, abra o portal do Microsoft Azure e aceda aRegistos de Aplicações deIdentidade> de Todos os Serviços>.
Selecione Novo registo e introduza um nome significativo.
Selecione um tipo de conta nas opções apresentadas.
Por exemplo:
Na parte inferior da página, selecione Registar para criar o novo Registo de Aplicações.
No novo Registo de Aplicações, no painel esquerdo, em Gerir, selecione Autenticação.
Selecione Adicionar uma plataforma.
No pop-up Configurar plataformas, selecioneWeb.
Em URIs de Redirecionamento, introduza o URI do seu serviço de encriptação de chave dupla. Introduza o URL do Serviço de Aplicações, incluindo o nome do anfitrião e o domínio.
Por exemplo: https://mydkeservicetest.com
O URL introduzido tem de corresponder ao nome do anfitrião onde o serviço DKE está implementado.
Certifique-se de que o nome do anfitrião corresponde exatamente ao seu nome de anfitrião do Serviço de Aplicações.
Em Concessão implícita, selecione a caixa de verificação Tokens de ID .
Selecione Salvar para salvar suas alterações.
No painel esquerdo, selecione Expor uma API, junto a URI do ID da Aplicação, introduza o URL do Serviço de Aplicações, incluindo o nome do anfitrião e o domínio e, em seguida, selecione Definir.
Ainda na página Expor uma API , na área Âmbitos definidos por esta API , selecione Adicionar um âmbito. No novo âmbito:
Defina o nome do âmbito como user_impersonation.
Selecione os administradores e utilizadores que podem consentir.
Defina os restantes valores necessários.
Selecione Adicionar escopo.
Selecione Guardar na parte superior para guardar as alterações.
Ainda na página Expor uma API , na área Aplicações cliente autorizadas , selecione Adicionar uma aplicação cliente.
Na nova aplicação cliente:
Defina o ID de Cliente como d3590ed6-52b3-4102-aeff-aad2292ab01c. Este valor é o ID de cliente do Microsoft Office e permite que o Office obtenha um token de acesso para a sua loja de chaves.
Em Âmbitos autorizados, selecione o âmbito user_impersonation .
Selecione Adicionar aplicativo.
Selecione Guardar na parte superior para guardar as alterações.
Repita estes passos, mas, desta vez, defina o ID de cliente como c00e9d32-3c8d-4a7d-832b-029040e7db99. Este valor é o ID de cliente do Azure Information Protection.
Repita estes passos, mas, desta vez, defina o ID de cliente como 0e25d998-b19a-4080-811c-d74d60d65e42. Este valor é o ID de cliente do Purview Information Protection.
No portal de conformidade do Microsoft Purview, crie uma nova etiqueta de confidencialidade e aplique a encriptação como faria de outra forma. Selecione Utilizar Encriptação de Chave Dupla e introduza o URL do ponto final da sua chave. Tem de incluir o nome da chave que indicou na secção "TestKeys" do ficheiro appsettings.json no URL.
Por exemplo: https://testingdke1.azurewebsites.net/KEYNAME
Todas as etiquetas DKE que adicionar são apresentadas aos utilizadores nas versões mais recentes do Microsoft 365 Apps para Grandes Empresas.
Nota
Os clientes podem demorar até 24 horas a atualizar com as novas etiquetas.
Migrar ficheiros protegidos de etiquetas HYOK para etiquetas DKE
Se quiser, assim que concluir a configuração do DKE, pode migrar o conteúdo que protegeu com etiquetas HYOK para etiquetas DKE. Para migrar, utilize o analisador do Microsoft Purview Information Protection. Para começar a utilizar o scanner, consulte Compreender o analisador de proteção de informações.
Se não migrar conteúdo, o conteúdo protegido por HYOK permanece inalterado.
Outras opções de implementação
Sabemos que, para alguns clientes em indústrias altamente reguladas, esta implementação de referência padrão com chaves baseadas em software pode não ser suficiente para satisfazer as suas obrigações e necessidades de conformidade melhoradas. Estabelecemos uma parceria com fornecedores de módulos de segurança de hardware (HSM) de terceiros para suportar opções de gestão de chaves melhoradas no serviço DKE, incluindo:
Este módulo examina o processo de implementação de rótulos de confidencialidade, incluindo a aplicação de permissões administrativas adequadas, a determinação de uma estratégia de implantação, a criação, a configuração e a publicação de rótulos e a remoção e exclusão de rótulos.
Demonstre os conceitos básicos de segurança de dados, gerenciamento do ciclo de vida, segurança da informação e conformidade para proteger uma implantação do Microsoft 365.