Kryptering med dubbla nycklar

  • Artikel

Gäller för: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection

Anvisningar för: Azure Information Protection enhetlig etiketteringsklient för Windows

Tjänstbeskrivning för: Microsoft Purview

Dubbelnyckelkryptering (DKE) använder två nycklar tillsammans för att komma åt skyddat innehåll. Microsoft lagrar en nyckel i Microsoft Azure och du har den andra nyckeln. Du behåller fullständig kontroll över en av dina nycklar med hjälp av krypteringstjänsten dubbelnyckel. Du tillämpar skydd med Hjälp av Azure Information Protection enhetlig etiketteringsklient för ditt mycket känsliga innehåll.

Dubbelnyckelkryptering stöder både molnbaserade och lokala distributioner. Dessa distributioner hjälper till att säkerställa att krypterade data förblir ogenomskinliga oavsett var du lagrar skyddade data.

Mer information om standardnycklarna för molnbaserade klientorganisationer finns i Planera och implementera din Azure Information Protection-klientnyckel.

Tips

Om du inte är en E5-kund kan du använda den 90 dagar långa utvärderingsversionen av Microsoft Purview-lösningar för att utforska hur ytterligare Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.

När din organisation bör införa DKE

Kryptering med dubbel nyckel är avsedd för dina känsligaste data som omfattas av de strängaste skyddskraven. DKE är inte avsett för alla data. I allmänhet använder du kryptering med dubbel nyckel för att endast skydda en liten del av dina övergripande data. Du bör utföra due diligence för att identifiera rätt data som ska täckas med den här lösningen innan du distribuerar. I vissa fall kan du behöva begränsa omfånget och använda andra lösningar för de flesta av dina data, till exempel Microsoft Purview Information Protection med Microsoft-hanterade nycklar eller BYOK. Dessa lösningar är tillräckliga för dokument som inte omfattas av förbättrade skydd och regelkrav. Med de här lösningarna kan du också använda de mest kraftfulla Office 365 tjänsterna; tjänster som du inte kan använda med DKE-krypterat innehåll. Till exempel:

  • Transportregler, inklusive skadlig kod och skräppost som kräver insyn i den bifogade filen
  • Microsoft Delve
  • eDiscovery
  • Innehållssökning och indexering
  • Office Web Apps inklusive funktioner för medautentisering

Externa program eller tjänster som inte är integrerade med DKE via Microsoft Information Protection (MIP) SDK kan inte utföra åtgärder på krypterade data.

Microsoft Information Protection SDK 1.7+ stöder kryptering med dubbel nyckel. Program som integreras med vår SDK kan resonera över dessa data med tillräcklig behörighet och integrering på plats.

Använd Microsoft Purview Information Protection funktioner (klassificering och etikettering) för att skydda de flesta känsliga data och använd endast DKE för dina verksamhetskritiska data. Dubbel nyckelkryptering är relevant för känsliga data i strikt reglerade branscher som finansiella tjänster och hälso- och sjukvård.

Om dina organisationer har något av följande krav kan du använda DKE för att skydda ditt innehåll:

  • Du vill se till att endast du någonsin kan dekryptera skyddat innehåll under alla omständigheter.
  • Du vill inte att Microsoft ska ha åtkomst till skyddade data på egen hand.
  • Du har regelkrav för att lagra nycklar inom en geografisk gräns. Alla nycklar som du har för datakryptering och dekryptering behålls i ditt datacenter.

System- och licensieringskrav för DKE

Kryptering med dubbel nyckel levereras med Microsoft 365 E5. Om du inte har en Microsoft 365 E5 licens kan du registrera dig för en utvärderingsversion. Mer information om dessa licenser finns i Microsoft 365-licensieringsvägledning för säkerhetsefterlevnad&.

Azure Information Protection. DKE fungerar med känslighetsetiketter och kräver Azure Information Protection.

DKE-känslighetsetiketter görs tillgängliga för slutanvändare via känslighetsknappen i AIP Unified Labeling-klienten i Office Desktop Apps. Installera dessa krav på varje klientdator där du vill skydda och använda skyddade dokument.

Microsoft Office-appar för företag version 2009 eller senare (Skrivbordsversioner av Word, Excel, PowerPoint och Outlook) i Windows.

Azure Information Protection Unified Labeling Client version 2.14.93.0 eller senare. Ladda ned och installera Unified Labeling-klienten från Microsoft Download Center.

Miljöer som stöds för lagring och visning av DKE-skyddat innehåll

Program som stöds. Microsoft 365-appar för företag klienter i Windows, inklusive Word, Excel, PowerPoint och Outlook.

Stöd för onlineinnehåll. Du kan lagra dokument och filer som skyddas med dubbelnyckelkryptering online i både Microsoft SharePoint och OneDrive för företag. Du måste märka och skydda dokument och filer med DKE av program som stöds innan du laddar upp till dessa platser. Du kan dela krypterat innehåll via e-post, men du kan inte visa krypterade dokument och filer online. I stället måste du visa skyddat innehåll med hjälp av skrivbordsprogram och klienter som stöds på den lokala datorn.

Endast Outlook-kryptering och vidarebefordra inte scenarier Om du konfigurerar DKE för scenarier som stöds skapar du en varning i etikettkonfigurationen. För endast kryptering och vidarebefordra inte har dessa scenarier som inte stöds någon varning i etikettkonfigurationsupplevelsen.

Översikt över distribution av DKE

Du följer de här allmänna stegen för att konfigurera DKE. När du har slutfört de här stegen kan slutanvändarna skydda dina mycket känsliga data med kryptering med dubbel nyckel.

  1. Distribuera DKE-tjänsten enligt beskrivningen i den här artikeln.

  2. Skapa en etikett med kryptering med dubbel nyckel. I efterlevnadsportal i Microsoft Purview navigerar du till Informationsskydd och skapar en ny etikett med kryptering med dubbel nyckel. Se Begränsa åtkomsten till innehåll med hjälp av känslighetsetiketter för att tillämpa kryptering.

  3. Använd etiketter för kryptering med dubbel nyckel. Skydda data genom att välja etiketten Dubbelnyckel krypterad i menyfliksområdet Känslighet i Microsoft Office.

Det finns flera sätt att utföra några av stegen för att distribuera kryptering med dubbel nyckel. Den här artikeln innehåller detaljerade instruktioner så att mindre erfarna administratörer kan distribuera tjänsten. Om du är bekväm med att göra det kan du välja att använda dina egna metoder.

Distribuera DKE

Den här artikeln och distributionsvideon använder Azure som distributionsmål för DKE-tjänsten. Om du distribuerar till en annan plats måste du ange egna värden.

Du följer de här allmänna stegen för att konfigurera kryptering med dubbel nyckel för din organisation.

  1. Installera programvarukrav för DKE-tjänsten
  2. Klona GitHub-lagringsplatsen för kryptering med dubbel nyckel
  3. Ändra programinställningar
  4. Generera testnycklar
  5. Skapa projektet
  6. Distribuera DKE-tjänsten och publicera nyckelarkivet
  7. Verifiera distributionen
  8. Registrera ditt nyckelarkiv
  9. Skapa känslighetsetiketter med DKE
  10. Aktivera DKE i klienten
  11. Migrera skyddade filer från HYOK-etiketter till DKE-etiketter

När du är klar kan du kryptera dokument och filer med hjälp av DKE. Mer information finns i Tillämpa känslighetsetiketter på filer och e-post i Office.

Installera programvarukrav för DKE-tjänsten

Installera dessa krav på den dator där du vill installera DKE-tjänsten.

.NET Core 7.0 SDK. Ladda ned och installera SDK:et från Ladda ned .NET Core 7.0.

Visual Studio Code. Ladda ned Visual Studio Code från https://code.visualstudio.com/. När du är installerad kör du Visual Studio Code och väljer Visa>tillägg. Installera dessa tillägg.

  • C# för Visual Studio Code

  • NuGet Package Manager

Git-resurser. Ladda ned och installera något av följande.

Openssl Du måste ha OpenSSL installerat för att generera testnycklar när du har distribuerat DKE. Kontrollera att du anropar den korrekt från sökvägen för miljövariabler. Se till exempel "Lägg till installationskatalogen i PATH" på https://www.osradar.com/install-openssl-windows/ för mer information.

Klona DKE GitHub-lagringsplatsen

Microsoft tillhandahåller DKE-källfilerna på en GitHub-lagringsplats. Du klonar lagringsplatsen för att skapa projektet lokalt för din organisations användning. DKE GitHub-lagringsplatsen finns på https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Följande instruktioner är avsedda för oerfarna git- eller Visual Studio Code-användare:

  1. I webbläsaren går du till: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Välj Kod till höger på skärmen. Din version av användargränssnittet kan visa knappen Klona eller ladda ned . I listrutan som visas väljer du sedan kopieringsikonen för att kopiera URL:en till Urklipp.

    Till exempel:

    Klona lagringsplatsen för tjänsten Dubbel nyckelkryptering från GitHub.

  3. I Visual Studio Code väljer du Visa>kommandopalett och sedan Git: Klona. Om du vill hoppa till alternativet i listan börjar du git: clone skriva för att filtrera posterna och väljer det sedan i listrutan. Till exempel:

    Git:Clone-alternativ för Visual Studio Code.

  4. I textrutan klistrar du in url:en som du kopierade från Git och väljer Klona från GitHub.

  5. I dialogrutan Välj mapp som visas bläddrar du till och väljer en plats där lagringsplatsen ska lagras. I prompten väljer du Öppna.

    Lagringsplatsen öppnas i Visual Studio Code och visar den aktuella Git-grenen längst ned till vänster. Grenen bör till exempel vara huvudgren. Till exempel:

    Skärmbild av DKE-lagringsplatsen i Visual Studio Code som visar huvudgrenen.

  6. Om du inte är på huvudgrenen måste du välja den. I Visual Studio Code väljer du grenen och väljer main i listan över grenar som visas.

    Viktigt

    Om du väljer huvudgrenen ser du till att du har rätt filer för att skapa projektet. Om du inte väljer rätt gren misslyckas distributionen.

Nu har du konfigurerat DKE-källlagringsplatsen lokalt. Ändra sedan programinställningarna för din organisation.

Ändra programinställningar

Om du vill distribuera DKE-tjänsten måste du ändra följande typer av programinställningar:

Du ändrar programinställningarna i filen appsettings.json. Den här filen finns på lagringsplatsen DoubleKeyEncryptionService som du klonade lokalt under DoubleKeyEncryptionService\src\customer-key-store. I Visual Studio Code kan du till exempel bläddra till filen enligt följande bild.

Hitta filen appsettings.json för DKE.

Inställningar för nyckelåtkomst

Välj om du vill använda e-post eller rollauktorisering. DKE stöder bara en av dessa autentiseringsmetoder i taget.

  • Email auktorisering. Tillåter att din organisation tillåter åtkomst till nycklar baserat på endast e-postadresser.

  • Rollauktorisering. Gör att din organisation kan auktorisera åtkomst till nycklar baserat på Active Directory-grupper och kräver att webbtjänsten kan fråga LDAP.

Ange inställningar för nyckelåtkomst för DKE med e-postauktorisering

  1. Öppna filen appsettings.json och leta upp AuthorizedEmailAddress inställningen.

  2. Lägg till den e-postadress eller de adresser som du vill auktorisera. Avgränsa flera e-postadresser med dubbla citattecken och kommatecken. Till exempel:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]

  3. Leta upp inställningen LDAPPath och ta bort texten If you use role authorization (AuthorizedRoles) then this is the LDAP path. mellan de dubbla citattecknarna. Låt de dubbla citattecknarna vara kvar. När du är klar bör inställningen se ut så här.

    "LDAPPath": ""

  4. Leta upp inställningen AuthorizedRoles och ta bort hela raden.

Den här bilden visar filen appsettings.json korrekt formaterad för e-postauktorisering.

Filen appsettings.json som visar e-postauktoriseringsmetod.

Ange nyckelåtkomstinställningar för DKE med hjälp av rollauktorisering

  1. Öppna filen appsettings.json och leta upp AuthorizedRoles inställningen.

  2. Lägg till de Active Directory-gruppnamn som du vill auktorisera. Avgränsa flera gruppnamn med dubbla citattecken och kommatecken. Till exempel:

    "AuthorizedRoles": ["group1", "group2", "group3"]

  3. Leta upp inställningen LDAPPath och lägg till Active Directory-domänen. Till exempel:

    "LDAPPath": "contoso.com"

  4. Leta upp inställningen AuthorizedEmailAddress och ta bort hela raden.

Den här bilden visar filen appsettings.json korrekt formaterad för rollauktorisering.

appsettings.json-fil som visar rollauktoriseringsmetod.

Inställningar för klientorganisation och nyckel

DKE-klientorganisationen och nyckelinställningarna finns i filen appsettings.json .

Så här konfigurerar du klient- och nyckelinställningar för DKE

  1. Öppna filen appsettings.json .

  2. Leta upp inställningen ValidIssuers och ersätt <tenantid> med ditt klientorganisations-ID. Du kan hitta ditt klientorganisations-ID genom att gå till Azure Portal och visa klientegenskaperna. Till exempel:

    "ValidIssuers": [
  "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
]

Obs!

Om du vill aktivera extern B2B-åtkomst till nyckelarkivet måste du även inkludera dessa externa klienter som en del av listan över giltiga utfärdare.

JwtAudienceLeta upp . Ersätt <yourhostname> med värdnamnet för den dator där DKE-tjänsten ska köras. Till exempel: "https://dkeservice.contoso.com"

Viktigt

Värdet för JwtAudience måste matcha namnet på värden exakt.

  • TestKeys:Name. Ange ett namn på nyckeln. Till exempel: TestKey1
  • TestKeys:Id. Skapa ett GUID och ange det som TestKeys:ID värde. Till exempel DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Du kan använda en webbplats som Online GUID Generator för att slumpmässigt generera ett GUID.

Den här bilden visar rätt format för klient- och nyckelinställningar i appsettings.json. LDAPPath har konfigurerats för rollauktorisering.

Visar rätt klient- och nyckelinställningar för DKE i filen appsettings.json.

Generera testnycklar

När du har definierat dina programinställningar är du redo att generera offentliga och privata testnycklar.

Så här genererar du nycklar:

  1. Från Start-menyn i Windows kör du kommandotolken OpenSSL.

  2. Ändra till mappen där du vill spara testnycklarna. Filerna som du skapar genom att slutföra stegen i den här uppgiften lagras i samma mapp.

  3. Generera den nya testnyckeln.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

  4. Generera den privata nyckeln.

    Om du har installerat OpenSSL version 3 eller senare kör du följande kommando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Annars kör du följande kommando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM

  1. Generera den offentliga nyckeln.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem

  2. Öppna pubkeyonly.pem i en textredigerare. Kopiera allt innehåll i filen pubkeyonly.pem , förutom de första och sista raderna, till avsnittet i PublicPem filen appsettings.json .

  3. Öppna privkeynopass.pem i en textredigerare. Kopiera allt innehåll i filen privkeynopass.pem , förutom de första och sista raderna, till avsnittet i PrivatePem filen appsettings.json .

  4. Ta bort alla tomma blanksteg och nya ledningar i både avsnitten PublicPem och PrivatePem .

    Viktigt

    När du kopierar det här innehållet ska du inte ta bort några PEM-data.

  5. I Visual Studio Code bläddrar du till filen Startup.cs . Den här filen finns på lagringsplatsen DoubleKeyEncryptionService som du klonade lokalt under DoubleKeyEncryptionService\src\customer-key-store.

  6. Leta upp följande rader:

        #if USE_TEST_KEYS
    #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
    DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    #endif

  7. Ersätt dessa rader med följande text:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();

    Slutresultatet bör se ut ungefär så här.

    startup.cs-fil för offentlig förhandsversion.

Nu är du redo att skapa DKE-projektet.

Skapa projektet

Använd följande instruktioner för att skapa DKE-projektet lokalt:

  1. I Visual Studio Code går du till DKE-tjänstlagringsplatsen och väljer Visa>kommandopalett och skriver sedan build i prompten.

  2. I listan väljer du Uppgifter: Kör build-uppgift.

    Om det inte finns några bygguppgifter väljer du Konfigurera bygguppgift och skapar en för .NET Core på följande sätt.

    Konfigurera den saknade bygguppgiften för .NET.

    1. Välj Skapa tasks.json från mallen.

      Skapa filen tasks.json från mallen för DKE.

    2. I listan över malltyper väljer du .NET Core.

      Välj rätt mall för DKE.

    3. Leta upp sökvägen till filen customerkeystore.csproj i byggavsnittet. Om den inte finns där lägger du till följande rad:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",

    4. Kör bygget igen.

  3. Kontrollera att det inte finns några röda fel i utdatafönstret.

    Om det finns röda fel kontrollerar du konsolens utdata. Kontrollera att du har slutfört alla föregående steg korrekt och att rätt versionsversioner finns.

Konfigurationen är nu klar. Innan du publicerar nyckelarkivet i appsettings.json för inställningen JwtAudience kontrollerar du att värdet för värdnamnet exakt matchar ditt App Service värdnamn.

Distribuera DKE-tjänsten och publicera nyckelarkivet

För produktionsdistributioner distribuerar du tjänsten antingen i ett moln från tredje part eller publicerar den till ett lokalt system.

Du kanske föredrar andra metoder för att distribuera dina nycklar. Välj den metod som fungerar bäst för din organisation.

För pilotdistributioner kan du distribuera i Azure och komma igång direkt.

Så här skapar du en Azure Web App-instans som värd för din DKE-distribution

Om du vill publicera nyckelarkivet skapar du en Azure App Service instans som är värd för DKE-distributionen. Därefter publicerar du dina genererade nycklar till Azure.

  1. Logga in på Microsoft Azure Portal i webbläsaren och gå tillLägg tilli App Services>.

  2. Välj din prenumeration och resursgrupp och definiera instansinformationen.

    • Ange värdnamnet för den dator där du vill installera DKE-tjänsten. Kontrollera att det är samma namn som det som definierats för JwtAudience-inställningen i filen appsettings.json . Värdet som du anger för namnet är även WebAppInstanceName.

    • För Publicera väljer du kod och för Körningsstack väljer du .NET Core 3.1.

    Till exempel:

    Lägg till App Service.

  3. Längst ned på sidan väljer du Granska + skapa och sedan Lägg till.

  4. Gör något av följande för att publicera dina genererade nycklar:

Publicera via ZipDeployUI

  1. Gå till https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Till exempel: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. I kodbasen för nyckelarkivet går du till mappen customer-key-store\src\customer-key-store och kontrollerar att den här mappen innehåller filen customerkeystore.csproj .

  3. Kör: dotnet publish

    Utdatafönstret visar katalogen där publiceringen distribuerades.

    Till exempel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Skicka alla filer i publiceringskatalogen till en .zip fil. När du skapar .zip-filen kontrollerar du att alla filer i katalogen är på rotnivån för den .zip filen.

  5. Dra och släpp den .zip fil som du skapar på zipdeployUI-webbplatsen som du öppnade ovan. Till exempel: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE distribueras och du kan bläddra till de testnycklar som du har skapat. Fortsätt att verifiera distributionen nedan.

Publicera via FTP

  1. Anslut till den App Service som du skapade ovan.

    I webbläsaren går du till: Azure Portal>App Service>Distributionscenter>för manuell ftp-instrumentpanel> för distribution.>

  2. Kopiera anslutningssträngarna som visas till en lokal fil. Du använder dessa strängar för att ansluta till webb-App Service och ladda upp filer via FTP.

    Till exempel:

    Kopiera anslutningssträngar från FTP-instrumentpanelen.

  3. I kodbasen för nyckellagringen går du till katalogen customer-key-store\src\customer-key-store.

  4. Kontrollera att den här katalogen innehåller filen customerkeystore.csproj .

  5. Kör: dotnet publish

    Utdata innehåller katalogen där publiceringen distribuerades.

    Till exempel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Skicka alla filer i publiceringskatalogen till en zip-fil. När du skapar .zip-filen kontrollerar du att alla filer i katalogen är på rotnivån för den .zip filen.

  7. Använd anslutningsinformationen som du kopierade från FTP-klienten för att ansluta till App Service. Ladda upp den .zip fil som du skapade i föregående steg till webbappens rotkatalog.

DKE distribueras och du kan bläddra till de testnycklar som du har skapat. Verifiera sedan distributionen.

Verifiera distributionen

När du har distribuerat DKE med någon av metoderna som beskrivs ovan kontrollerar du distributionen och inställningarna för nyckelarkivet.

Köra:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Till exempel:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Kontrollera att inga fel visas i utdata. När du är klar registrerar du nyckelarkivet.

Nyckelnamnet är skiftlägeskänsligt. Ange nyckelnamnet som det visas i filen appsettings.json.

Registrera ditt nyckelarkiv

Med följande steg kan du registrera din DKE-tjänst. Att registrera din DKE-tjänst är det sista steget i att distribuera DKE innan du kan börja skapa etiketter.

Så här registrerar du DKE-tjänsten:

  1. Öppna Microsoft Azure Portal i webbläsaren och gå tillAppregistreringar för alla tjänsters>identiteter>.

  2. Välj Ny registrering och ange ett beskrivande namn.

  3. Välj en kontotyp bland de alternativ som visas.

    Till exempel:

    Ny appregistrering.

  4. Längst ned på sidan väljer du Registrera för att skapa den nya appregistreringen.

  5. I den nya appregistreringen går du till den vänstra rutan och väljer Autentisering under Hantera.

  6. Välj Lägg till en plattform.

  7. I popup-fönstret Konfigurera plattformar väljer du Webb.

  8. Under Omdirigerings-URI:er anger du URI:n för krypteringstjänsten med dubbla nycklar. Ange App Service URL, inklusive både värdnamnet och domänen.

    Till exempel: https://mydkeservicetest.com

    • Den URL som du anger måste matcha värdnamnet där DKE-tjänsten distribueras.
    • Domänen måste vara en verifierad domän.
    • I samtliga fall måste schemat vara https.

    Kontrollera att värdnamnet exakt matchar ditt App Service värdnamn.

  9. Under Implicit beviljande markerar du kryssrutan ID-token .

  10. Välj Spara för att spara ändringarna.

  11. I den vänstra rutan väljer du Exponera ett API, bredvid Program-ID-URI, anger du din App Service URL, inklusive både värdnamn och domän och väljer sedan Ange.

  12. På sidan Exponera ett API går du till området Omfång som definierats av det här API: et och väljer Lägg till ett omfång. I det nya omfånget:

    1. Definiera omfångsnamnet som user_impersonation.

    2. Välj de administratörer och användare som kan samtycka.

    3. Definiera eventuella återstående värden som krävs.

    4. Välj Lägg till omfång.

    5. Välj Spara längst upp för att spara ändringarna.

  13. På sidan Exponera ett API går du till området Auktoriserade klientprogram och väljer Lägg till ett klientprogram.

    I det nya klientprogrammet:

    1. Definiera klient-ID:t som d3590ed6-52b3-4102-aeff-aad2292ab01c. Det här värdet är Microsoft Office-klient-ID och gör att Office kan hämta en åtkomsttoken för ditt nyckelarkiv.

    2. Under Auktoriserade omfång väljer du omfånget user_impersonation .

    3. Välj Lägg till program.

    4. Välj Spara längst upp för att spara ändringarna.

    5. Upprepa dessa steg, men den här gången definierar du klient-ID:t som c00e9d32-3c8d-4a7d-832b-029040e7db99. Det här värdet är Azure Information Protection klient-ID för enhetlig etikettering.

Din DKE-tjänst är nu registrerad. Fortsätt genom att skapa etiketter med DKE.

Skapa känslighetsetiketter med DKE

I efterlevnadsportal i Microsoft Purview skapar du en ny känslighetsetikett och tillämpar kryptering som annars. Välj Använd kryptering med dubbel nyckel och ange slutpunkts-URL:en för nyckeln. Du måste inkludera nyckelnamnet som du har angett i avsnittet "TestKeys" i filen appsettings.json i URL:en.

Till exempel: https://testingdke1.azurewebsites.net/KEYNAME

Välj Använd kryptering med dubbel nyckel i efterlevnadsportal i Microsoft Purview.

Alla DKE-etiketter som du lägger till börjar visas för användare i de senaste versionerna av Microsoft 365-appar för företag.

Obs!

Det kan ta upp till 24 timmar för klienterna att uppdatera med de nya etiketterna.

Aktivera DKE i klienten

Om du är en Office Insider är DKE aktiverat åt dig. Annars aktiverar du DKE för klienten genom att lägga till följande registernycklar:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrera skyddade filer från HYOK-etiketter till DKE-etiketter

Om du vill kan du migrera innehåll som du har skyddat med HYOK-etiketter till DKE-etiketter när du är klar med konfigurationen av DKE. Om du vill migrera använder du Microsoft Purview Information Protection skannern. Information om hur du kommer igång med skannern finns i Förstå skannern för informationsskydd.

Om du inte migrerar innehåll påverkas inte hyOK-skyddat innehåll.

Andra distributionsalternativ

Vi inser att för vissa kunder i strikt reglerade branscher kanske den här standardreferensimplementeringen med programvarubaserade nycklar inte räcker för att uppfylla deras utökade efterlevnadsskyldigheter och behov. Vi har samarbetat med tredjepartsleverantörer av maskinvarusäkerhetsmoduler (HSM) för att stödja förbättrade alternativ för nyckelhantering i DKE-tjänsten, inklusive:

Kontakta dessa leverantörer direkt för mer information och vägledning om deras DKE HSM-lösningar på marknaden.