Doppelschlüssel Verschlüsselung für Microsoft 365Double Key Encryption for Microsoft 365

Gilt für: Doppelschlüssel Verschlüsselung für Microsoft 365, Microsoft 365-Konformität, Azure Information ProtectionApplies to: Double Key Encryption for Microsoft 365, Microsoft 365 Compliance, Azure Information Protection

Anweisungen für: Azure Information Protection Unified Labeling-Client für WindowsInstructions for: Azure Information Protection unified labeling client for Windows

Dienstbeschreibung für: Microsoft 365 ComplianceService description for: Microsoft 365 Compliance

Bei der Doppelschlüssel Verschlüsselung (Double Key Encryption, DKE) werden zwei Schlüssel zusammen verwendet, um auf geschützte Inhalte zuzugreifen.Double Key Encryption (DKE) uses two keys together to access protected content. Microsoft speichert einen Schlüssel in Microsoft Azure, und Sie halten den anderen Schlüssel.Microsoft stores one key in Microsoft Azure, and you hold the other key. Sie behalten die volle Kontrolle über einen Ihrer Schlüssel mithilfe des doppelten Schlüssels Verschlüsselungs Diensts.You maintain full control of one of your keys using the Double Key Encryption service. Sie wenden Schutz mit dem Unified Labeling-Client für Azure Information Protection auf Ihre hochgradig vertraulichen Inhalte an.You apply protection using The Azure Information Protection unified labeling client to your highly sensitive content.

Die Doppelschlüssel Verschlüsselung unterstützt sowohl Cloud-als auch lokale Bereitstellungen.Double Key Encryption supports both cloud and on-premises deployments. Mithilfe dieser Bereitstellungen kann sichergestellt werden, dass verschlüsselte Daten immer deckend bleiben, wenn Sie die geschützten Daten speichern.These deployments help to ensure that encrypted data remains opaque wherever you store the protected data.

Weitere Informationen zu den standardmäßigen cloudbasierten Mandantenstamm Schlüsseln finden Sie unter Planning and Implementing your Azure Information Protection Mandant Key.For more information about the default, cloud-based tenant root keys, see Planning and implementing your Azure Information Protection tenant key.

Wenn Ihre Organisation DKE annehmen sollteWhen your organization should adopt DKE

Die Verschlüsselung mit doppeltem Schlüssel richtet sich an Ihre vertraulichsten Daten, die den strengsten Schutzanforderungen unterliegen.Double Key Encryption is intended for your most sensitive data that is subject to the strictest protection requirements. DKE ist nicht für alle Daten vorgesehen.DKE is not intended for all data. Im Allgemeinen verwenden Sie die Doppelschlüssel Verschlüsselung, um nur einen sehr kleinen Teil ihrer Gesamtdaten zu schützen.In general, you'll be using Double Key Encryption to protect only a very small part of your overall data. Bei der Ermittlung der richtigen Daten, die mit dieser Lösung abgedeckt werden sollen, sollten Sie vor der Bereitstellung sorgfältig vorgehen.You should do due diligence in identifying the right data to cover with this solution before you deploy. In einigen Fällen müssen Sie möglicherweise Ihren Bereich einschränken und andere Lösungen für den Großteil ihrer Daten verwenden, beispielsweise Microsoft Information Protection mit von Microsoft verwalteten Schlüsseln oder BYOK.In some cases, you might need to narrow your scope and make use of other solutions for the majority of your data such as Microsoft Information Protection with Microsoft-managed keys or BYOK. Diese Lösungen reichen für Dokumente aus, die nicht erweiterten Schutzbestimmungen und behördlichen Anforderungen unterliegen.These solutions are sufficient for documents that aren't subject to enhanced protections and regulatory requirements. Außerdem können Sie mit diesen Lösungen die leistungsstärksten Office 365 Dienste verwenden. Dienste, die Sie nicht mit verschlüsselten DKE-Inhalten verwenden können.Also, these solutions enable you to use the most powerful Office 365 services; services that you can't use with DKE encrypted content. Beispiel:For example:

  • Transport Regeln einschließlich Schadsoftware und Spam, die eine Sichtbarkeit der Anlage erfordernTransport rules including anti-malware and spam that require visibility into the attachment
  • Microsoft eintauchenMicrosoft Delve
  • eDiscoveryeDiscovery
  • Inhaltssuche und IndizierungContent search and indexing
  • Office-Webanwendungen einschließlich Funktionen für die gemeinsame DokumenterstellungOffice Web Apps including co-authoring functionality

Externe Anwendungen oder Dienste, die nicht über das MIP-SDK in DKE integriert sind, können keine Aktionen für die verschlüsselten Daten durchführen.Any external applications or services that are not integrated with DKE through the MIP SDK will be unable to perform actions on the encrypted data.

Das Microsoft Information Protection-SDK 1.7 + unterstützt die Doppelschlüssel Verschlüsselung; Anwendungen, die in unser SDK integriert sind, können diese Daten mit ausreichender Berechtigung und integrierter Integration überdenken.The Microsoft Information Protection SDK 1.7+ supports Double Key Encryption; applications that integrate with our SDK will be able to reason over this data with sufficient permissions and integrations in place.

Wir empfehlen, dass Organisationen Microsoft Information Protection-Funktionen (Klassifizierung und Kennzeichnung) verwenden, um die meisten Ihrer vertraulichen Daten zu schützen und nur DKE für Ihre unternehmenswichtigen Daten zu verwenden.We recommend organizations use Microsoft Information protection capabilities (classification and labeling) to protect most of their sensitive data and only use DKE for their mission-critical data. Die Doppelschlüssel Verschlüsselung ist besonders für extrem vertrauliche Daten in stark regulierten Branchen wie Finanzdienstleistungen und Healthcare relevant.Double Key Encryption is particularly relevant for extremely sensitive data in highly regulated industries such as Financial services and Healthcare.

Wenn Ihre Organisationen eine der folgenden Anforderungen haben, können Sie DKE verwenden, um Ihre Inhalte zu schützen:If your organizations have any of the following requirements, you can use DKE to help secure your content:

  • Sie möchten sicherstellen, dass nur Sie geschützte Inhalte immer entschlüsseln können, unter allen Umständen.You want to ensure that only you can ever decrypt protected content, under all circumstances.
  • Sie möchten nicht, dass Microsoft selbst Zugriff auf geschützte Daten hat.You don't want Microsoft to have access to protected data on its own.
  • Sie haben regulatorische Anforderungen, um Schlüssel innerhalb einer geografischen Grenze zu halten.You have regulatory requirements to hold keys within a geographical boundary. Alle Schlüssel, die Sie für die Datenverschlüsselung und-Entschlüsselung speichern, werden in Ihrem Rechenzentrum verwaltet.All of the keys that you hold for data encryption and decryption are maintained in your data center.

System-und Lizenzierungsanforderungen für DKESystem and licensing requirements for DKE

Die Doppelschlüssel Verschlüsselung für Microsoft 365 wird mit Microsoft 365 E5 und Office 365 E5 ausgeliefert.Double Key Encryption for Microsoft 365 comes with Microsoft 365 E5 and Office 365 E5. Wenn Sie nicht über eine Microsoft 365 E5-Lizenz verfügen, können Sie sich für eine Testversionregistrieren.If you don’t have a Microsoft 365 E5 license, you can sign up for a trial. Weitere Informationen zu diesen Lizenzen finden Sie unter Microsoft 365 Licensing Guidance for Security & Compliance.For more information about these licenses, see Microsoft 365 licensing guidance for security & compliance.

Azure Information Protection.Azure Information Protection. DKE arbeitet mit Sensitivitäts Bezeichnungen und benötigt Azure Information Protection.DKE works with sensitivity labels and requires Azure Information Protection.

DKE-Sensitivitäts Bezeichnungen werden Endbenutzern über das Menüband "Empfindlichkeit" in Office-Desktop Apps zur Verfügung gestellt.DKE sensitivity labels are made available to end-users through the sensitivity ribbon in Office Desktop Apps. Installieren Sie diese Voraussetzungen auf jedem Clientcomputer, auf dem geschützte Dokumente geschützt und verwendet werden sollen.Install these prerequisites on each client computer where you want to protect and consume protected documents.

Microsoft Office Apps für Enterprise -Version *. 12711 oder höher (Desktop Versionen von Word, PowerPoint und Excel) unter Windows.Microsoft Office Apps for enterprise version *.12711 or later (Desktop versions of Word, PowerPoint, and Excel) on Windows.

Azure Information Protection Unified Labelling-Client Versionen 2.7.93.0 oder höher.Azure Information Protection Unified Labeling Client versions 2.7.93.0 or later. Laden Sie den Unified Labeling-Client aus dem Microsoft Download Centerherunter, und installieren Sie ihn.Download and install the Unified Labeling client from the Microsoft download center.

Unterstützte Umgebungen zum Speichern und anzeigen DKE geschützter InhalteSupported environments for storing and viewing DKE-protected content

Unterstützte Anwendungen.Supported applications. Microsoft 365-Apps für Enterprise -Clients unter Windows, einschließlich Word, Excel und PowerPoint.Microsoft 365 Apps for enterprise clients on Windows, including Word, Excel, and PowerPoint.

Online-Inhalts Unterstützung.Online content support. Dokumente und Dateien, die Online in Microsoft SharePoint und OneDrive für Unternehmen gespeichert werden, werden unterstützt.Documents and files stored online in both Microsoft SharePoint and OneDrive for Business are supported. Sie können verschlüsselte Inhalte per e-Mail freigeben, aber keine verschlüsselten Dokumente und Dateien online anzeigen.You can share encrypted content by email, but you can't view encrypted documents and files online. Stattdessen müssen Sie geschützte Inhalte mithilfe der Desktop-Apps auf dem lokalen Computer anzeigen.Instead, you must view protected content using the desktop apps on your local computer.

Übersicht über die Bereitstellung von DKEOverview of deploying DKE

Sie führen die folgenden allgemeinen Schritte zum Einrichten von DKE aus.You'll follow these general steps to set up DKE. Nachdem Sie diese Schritte ausgeführt haben, können Ihre Endbenutzer ihre hochsensiblen Daten mit Doppelschlüssel Verschlüsselung schützen.Once you've completed these steps, your end users will be able to protect your highly sensitive data with Double Key Encryption.

  1. Stellen Sie den DKE-Dienst wie in diesem Artikel beschrieben bereit.Deploy the DKE service as described in this article.

  2. Erstellen Sie eine Beschriftung mit doppelter Schlüssel Verschlüsselung.Create a label with Double Key Encryption. Navigieren Sie zum Informationsschutz unter dem Microsoft 365 Compliance Center , und erstellen Sie eine neue Bezeichnung mit doppelter Schlüssel Verschlüsselung.Navigate to Information protection under the Microsoft 365 compliance center and create a new label with Double Key Encryption. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Sensitivitäts Bezeichnungen zum Anwenden der Verschlüsselung.See Restrict access to content by using sensitivity labels to apply encryption.

  3. Verwenden Sie Doppelschlüssel-Verschlüsselungs Bezeichnungen.Use Double Key Encryption labels. Schützen Sie Daten, indem Sie die Doppelschlüssel-verschlüsselte Bezeichnung auf dem Menüband für die Vertraulichkeit in Microsoft Office auswählen.Protect data by selecting the Double Key Encrypted label from the Sensitivity ribbon in Microsoft Office.

Sie können einige der Schritte zum Bereitstellen der doppelten Schlüssel Verschlüsselung auf verschiedene Weise ausführen.There are several ways you can complete some of the steps to deploy Double Key Encryption. In diesem Artikel werden ausführliche Anweisungen bereitgestellt, damit erfahrene Administratoren den Dienst erfolgreich bereitstellen.This article provides detailed instructions so that less experienced admins successfully deploy the service. Wenn Sie sich dafür entscheiden, können Sie Ihre eigenen Methoden verwenden.If you're comfortable doing so, you can choose to use your own methods.

Bereitstellen von DKEDeploy DKE

In diesem Artikel und dem Bereitstellungs Video wird Azure als Bereitstellungsziel für den DKE-Dienst verwendet.This article and the deployment video use Azure as the deployment destination for the DKE service. Wenn Sie an einem anderen Speicherort bereitstellen, müssen Sie Ihre eigenen Werte angeben.If you're deploying to another location, you'll need to provide your own values.

Sehen Sie sich das Video zur Bereitstellung der doppelten Schlüssel Verschlüsselung an, um eine Schritt-für-Schritt-Übersicht über die Konzepte in diesem Artikel zu erhalten.Watch the Double Key Encryption deployment video to see a step-by-step overview of the concepts in this article. Das Video dauert etwa 18 Minuten.The video takes about 18 minutes to complete.

Sie führen die folgenden allgemeinen Schritte aus, um die doppelte Schlüssel Verschlüsselung für Ihre Organisation einzurichten.You'll follow these general steps to set up Double Key Encryption for your organization.

  1. Installieren der erforderlichen Softwarekomponenten für den DKE-DienstInstall software prerequisites for the DKE service
  2. Klonen des GitHub-Repositorys mit doppelten Schlüssel VerschlüsselungClone the Double Key Encryption GitHub repository
  3. Ändern von AnwendungseinstellungenModify application settings
  4. Generieren von Test SchlüsselnGenerate test keys
  5. Erstellen des ProjektsBuild the project
  6. Bereitstellen des DKE-Diensts und Veröffentlichen des SchlüsselspeichersDeploy the DKE service and publish the key store
  7. Überprüfen der BereitstellungValidate your deployment
  8. Registrieren des SchlüsselspeichersRegister your key store
  9. Erstellen von Sensitivitäts Bezeichnungen mit DKECreate sensitivity labels using DKE
  10. Aktivieren von DKE in Ihrem ClientEnable DKE in your client
  11. Migrieren geschützter Dateien von Hyok-Bezeichnungen zu DKE-BezeichnungenMigrate protected files from HYOK labels to DKE labels

Wenn Sie fertig sind, können Sie Dokumente und Dateien mit DKE verschlüsseln.When you're done, you can encrypt documents and files using DKE. Weitere Informationen finden Sie unter Anwenden von Sensitivitäts Bezeichnungen auf Ihre Dateien und e-Mails in Office.For information, see Apply sensitivity labels to your files and email in Office.

Installieren der erforderlichen Softwarekomponenten für den DKE-DienstInstall software prerequisites for the DKE service

Installieren Sie diese Voraussetzungen auf dem Computer, auf dem Sie den DKE-Dienst installieren möchten.Install these prerequisites on the computer where you want to install the DKE service.

.Net Core 3,1 SDK..NET Core 3.1 SDK. Laden Sie das SDK herunter, und installieren Sie es aus dem Download .net Core 3,1.Download and install the SDK from Download .NET Core 3.1.

Visual Studio Code.Visual Studio Code. Laden Sie Visual Studio Code aus herunter https://code.visualstudio.com/ .Download Visual Studio Code from https://code.visualstudio.com/. Nachdem Sie installiert haben, führen Sie Visual Studio Code aus, und wählen Sie View > Extensionsaus.Once installed, run Visual Studio Code and select View > Extensions. Installieren Sie diese Erweiterungen.Install these extensions.

  • C# für Visual Studio CodeC# for Visual Studio Code

  • NuGet-Paket-ManagerNuGet Package Manager

Git-Ressourcen.Git resources. Laden Sie eine der folgenden Optionen herunter, und installieren Sie Sie.Download and install one of the following.

OpenSSL Sie müssen OpenSSL installiert haben, um Testschlüssel zu generieren , nachdem Sie DKE bereitgestellt haben.OpenSSL You must have OpenSSL installed to generate test keys after you deploy DKE. Stellen Sie sicher, dass Sie sie ordnungsgemäß aus dem Pfad der Umgebungsvariablen aufrufen.Make sure you're invoking it correctly from your environment variables path. Weitere Informationen finden Sie beispielsweise unter "Add the Installation Directory to Path" unter https://www.osradar.com/install-openssl-windows/ .For example, see "Add the installation directory to PATH" at https://www.osradar.com/install-openssl-windows/ for details.

Klonen des DKE GitHub-RepositorysClone the DKE GitHub repository

Microsoft stellt die DKE-Quelldateien in einem GitHub-Repository bereit.Microsoft supplies the DKE source files in a GitHub repository. Sie klonen das Repository, um das Projekt für die Verwendung in Ihrer Organisation lokal zu erstellen.You clone the repository to build the project locally for your organization's use. Das DKE GitHub-Repository befindet sich unter https://github.com/Azure-Samples/DoubleKeyEncryptionService .The DKE GitHub repository is located at https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Die folgenden Anweisungen sind für Benutzer mit unerfahrenem git oder Visual Studio Code gedacht:The following instructions are intended for inexperienced git or Visual Studio Code users:

  1. Wechseln Sie in Ihrem Browser zu: https://github.com/Azure-Samples/DoubleKeyEncryptionService .In your browser, go to: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Klicken Sie auf der rechten Seite des Bildschirms auf Code.Towards the right side of the screen, select Code. Ihre Version der Benutzeroberfläche zeigt möglicherweise eine Schaltfläche " Klonen" oder "herunterladen ".Your version of the UI might show a Clone or download button. Wählen Sie dann in der Dropdownliste, die angezeigt wird, das Symbol Kopieren aus, um die URL in Ihre Zwischenablage zu kopieren.Then, in the dropdown that appears, select the copy icon to copy the URL to your clipboard.

    Beispiel:For example:

    Klonen des Double Key-Verschlüsselungsdienst-Repositorys von GitHub

  3. Wählen Sie in Visual Studio Code View die Option > Befehls Palette anzeigen aus, und wählen Sie git: Cloneaus.In Visual Studio Code, select View > Command Palette and select Git: Clone. Um zur Option in der Liste zu wechseln, beginnen Sie mit der Eingabe, git: clone um die Einträge zu filtern, und wählen Sie Sie dann im Dropdown aus.To jump to the option in the list, start typing git: clone to filter the entries and then select it from the drop-down. Beispiel:For example:

    Visual Studio Code git: Clone Option

  4. Fügen Sie in das Textfeld die URL ein, die Sie aus git kopiert haben, und wählen Sie aus GitHub Klonen aus.In the text box, paste the URL that you copied from Git and select Clone from GitHub.

  5. Navigieren Sie im angezeigten Dialogfeld Ordner auswählen zu einem Speicherort, und wählen Sie ihn aus, um das Repository zu speichern.In the Select Folder dialog that appears, browse to and select a location to store the repository. Wählen Sie an der Eingabeaufforderung Öffnenaus.At the prompt, select Open.

    Das Repository wird in Visual Studio Code geöffnet und zeigt den aktuellen git-Zweig unten links an.The repository opens in Visual Studio Code, and displays the current Git branch at the bottom left. Die Verzweigung sollte " Master" sein.The branch should be master.

    Beispiel:For example:

    Visual Studio Code Master Verzweigung

  6. Wählen Sie in der Liste der Verzweigungen das Wort Master aus.Select the word master from the list of branches.

    Wichtig

    Durch Auswählen der Hauptverzweigung wird sichergestellt, dass Sie über die richtigen Dateien zum Erstellen des Projekts verfügen.Selecting the master branch ensures that you have the correct files to build the project. Wenn Sie nicht die richtige Verzweigung auswählen, wird die Bereitstellung nicht erfolgreich ausgeführt.If you do not choose the correct branch your deployment will fail.

Sie haben Ihr DKE-Quell-Repository jetzt lokal eingerichtet.You now have your DKE source repository set up locally. Ändern Sie als nächstes die Anwendungseinstellungen für Ihre Organisation.Next, modify application settings for your organization.

Ändern von AnwendungseinstellungenModify application settings

Um den DKE-Dienst bereitzustellen, müssen Sie die folgenden Arten von Anwendungseinstellungen ändern:To deploy the DKE service, you must modify the following types of application settings:

Sie ändern Anwendungseinstellungen in der Datei appsettings.js.You modify application settings in the appsettings.json file. Diese Datei befindet sich im DoubleKeyEncryptionService Repo, das Sie lokal unter DoubleKeyEncryptionService\src\customer-Key-Store. geklont haben.This file is located in the DoubleKeyEncryptionService repo you cloned locally under DoubleKeyEncryptionService\src\customer-key-store. Beispielsweise können Sie in Visual Studio Code die Datei wie in der folgenden Abbildung gezeigt durchsuchen.For example, in Visual Studio Code, you can browse to the file as shown in the following picture.

Suchen der appsettings.jsDatei für DKE.

Wichtige ZugriffseinstellungenKey access settings

Wählen Sie aus, ob e-Mail-oder Rollenautorisierung verwendet werden soll.Choose whether to use email or role authorization. DKE unterstützt immer nur eine dieser Authentifizierungsmethoden.DKE supports only one of these authentication methods at a time.

  • E-Mail-Autorisierung.Email authorization. Ermöglicht Ihrer Organisation die Autorisierung des Zugriffs auf Schlüssel nur basierend auf e-Mail-Adressen.Allows your organization to authorize access to keys based on email addresses only.

  • Rollenautorisierung.Role authorization. Ermöglicht Ihrer Organisation das Autorisieren des Zugriffs auf Schlüssel basierend auf Active Directory Gruppen und erfordert, dass der Webdienst LDAP Abfragen kann.Allows your organization to authorize access to keys based on Active Directory groups, and requires that the web service can query LDAP.

So legen Sie die wichtigsten Zugriffseinstellungen für DKE mithilfe der e-Mail-Autorisierung festTo set key access settings for DKE using email authorization

  1. Öffnen Sie die Datei appsettings.jsauf , und suchen Sie die AuthorizedEmailAddress Einstellung.Open the appsettings.json file and locate the AuthorizedEmailAddress setting.

  2. Fügen Sie die e-Mail-Adressen hinzu, die Sie autorisieren möchten.Add the email address or addresses that you want to authorize. Trennen Sie mehrere e-Mail-Adressen mit doppelten Anführungszeichen und Kommas.Separate multiple email addresses with double quotes and commas. Beispiel:For example:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Suchen LDAPPath Sie die Einstellung, und entfernen Sie den Text If you use role authorization (AuthorizedRoles) then this is the LDAP path. zwischen den doppelten Anführungszeichen.Locate the LDAPPath setting and remove the text If you use role authorization (AuthorizedRoles) then this is the LDAP path. between the double quotes. Lassen Sie die doppelten Anführungszeichen an der richtigen Stelle.Leave the double quotes in place. Wenn Sie fertig sind, sollte die Einstellung wie folgt aussehen.When you're finished, the setting should look like this.

    "LDAPPath": ""
    
  4. Suchen Sie die AuthorizedRoles Einstellung, und löschen Sie die gesamte-Reihe.Locate the AuthorizedRoles setting and delete the entire line.

Dieses Bild zeigt die appsettings.jsauf Datei, die für die e-Mail-Autorisierung ordnungsgemäß formatiert ist.This image shows the appsettings.json file correctly formatted for email authorization.

Die appsettings.jsder Datei mit e-Mail-Autorisierungsmethode

So legen Sie wichtige Zugriffseinstellungen für DKE mithilfe der Rollenautorisierung festTo set key access settings for DKE using role authorization

  1. Öffnen Sie die Datei appsettings.jsauf , und suchen Sie die AuthorizedRoles Einstellung.Open the appsettings.json file and locate the AuthorizedRoles setting.

  2. Fügen Sie die Active Directory Gruppennamen hinzu, die Sie autorisieren möchten.Add the Active Directory group names you want to authorize. Trennen Sie mehrere Gruppennamen mit doppelten Anführungszeichen und Kommas.Separate multiple group names with double quotes and commas. Beispiel:For example:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Suchen LDAPPath Sie die Einstellung, und fügen Sie die Active Directory Domäne hinzu.Locate the LDAPPath setting and add the Active Directory domain. Beispiel:For example:

    "LDAPPath": "contoso.com"
    
  4. Suchen Sie die AuthorizedEmailAddress Einstellung, und löschen Sie die gesamte-Reihe.Locate the AuthorizedEmailAddress setting and delete the entire line.

Dieses Bild zeigt die appsettings.jsauf Datei, die für die Rollenautorisierung ordnungsgemäß formatiert ist.This image shows the appsettings.json file correctly formatted for role authorization.

appsettings.jsfür die Datei mit der Rollen Autorisierungsmethode

Mandanten-und SchlüsseleinstellungenTenant and key settings

DKE-Mandanten-und Key-Einstellungen befinden sich in der Datei appsettings.js .DKE tenant and key settings are located in the appsettings.json file.

So konfigurieren Sie die Mandanten-und Schlüsseleinstellungen für DKETo configure tenant and key settings for DKE

  1. Öffnen Sie die Datei appsettings.js .Open the appsettings.json file.

  2. Suchen ValidIssuers Sie die Einstellung, und ersetzen <tenantid> Sie Sie durch ihre Mandanten-ID.Locate the ValidIssuers setting and replace <tenantid> with your tenant ID. Sie können die Mandanten-ID ermitteln, indem Sie zum Azure-Portal wechseln und die Mandanten Eigenschaftenanzeigen.You can locate your tenant ID by going to the Azure portal and viewing the tenant properties. Beispiel:For example:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Suchen Sie nach der JwtAudience .Locate the JwtAudience. Ersetzen Sie <yourhostname> durch den Hostnamen des Computers, auf dem der DKE-Dienst ausgeführt wird.Replace <yourhostname> with the hostname of the machine where the DKE service will run. Beispiel:For example:

Wichtig

Der Wert für JwtAudience muss mit dem Namen des Hosts genauübereinstimmen.The value for JwtAudience must match the name of your host exactly. Sie können localhost: 5001 beim Debuggen verwenden.You may use localhost:5001 while debugging. Wenn Sie das Debuggen abgeschlossen haben, sollten Sie diesen Wert jedoch auf den Hostnamen des Servers aktualisieren.However, When you're done debugging, make sure to update this value to the server's hostname.

  • TestKeys:Name.TestKeys:Name. Geben Sie einen Namen für den Schlüssel ein.Enter a name for your key. Beispiel: TestKey1For example: TestKey1
  • TestKeys:Id.TestKeys:Id. Erstellen Sie eine GUID, und geben Sie Sie als TestKeys:ID Wert ein.Create a GUID and enter it as the TestKeys:ID value. Beispiel: DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE.For example, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Sie können eine Website wie den Online-GUID-Generator verwenden, um eine GUID nach dem Zufallsprinzip zu generieren.You can use a site like Online GUID Generator to randomly generate a GUID.

Dieses Bild zeigt das richtige Format für Mandanten-und Tasteneinstellungen in appsettings.jsauf.This image shows the correct format for tenant and keys settings in appsettings.json. LDAPPath ist für die Rollenautorisierung konfiguriert.LDAPPath is configured for role authorization.

Zeigt die richtigen Mandanten-und Schlüsseleinstellungen für DKE in der Datei appsettings.js.

Generieren von Test SchlüsselnGenerate test keys

Sobald Ihre Anwendungseinstellungen definiert sind, können Sie öffentliche und private Testschlüssel generieren.Once you have your application settings defined, you're ready to generate public and private test keys.

So generieren Sie Schlüssel:To generate keys:

  1. Führen Sie im Windows-Startmenü die OpenSSL-Eingabeaufforderung aus.From the Windows Start menu, run the OpenSSL Command Prompt.

  2. Wechseln Sie zu dem Ordner, in dem Sie die Testschlüssel speichern möchten.Change to the folder where you want to save the test keys. Die Dateien, die Sie erstellen, indem Sie die Schritte in dieser Aufgabe ausführen, werden im gleichen Ordner gespeichert.The files you create by completing the steps in this task are stored in the same folder.

  3. Generieren Sie den neuen Testschlüssel.Generate the new test key.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Generiert den privaten Schlüssel.Generate the private key.

    openssl rsa -in key.pem -out privkeynopass.pem
    
  5. Generieren Sie den öffentlichen Schlüssel.Generate the public key.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  6. Öffnen Sie in einem Text-Editor pubkeyonly. PEM.In a text editor, open pubkeyonly.pem. Kopieren Sie den gesamten Inhalt der Datei pubkeyonly. PEM , mit Ausnahme der ersten und der letzten Zeile, in den PublicPem Abschnitt der Datei appsettings.js .Copy all of the content in the pubkeyonly.pem file, except the first and last lines, into the PublicPem section of the appsettings.json file.

  7. Öffnen Sie in einem Text-Editor privkeynopass. PEM.In a text editor, open privkeynopass.pem. Kopieren Sie den gesamten Inhalt der Datei privkeynopass. PEM , mit Ausnahme der ersten und der letzten Zeile, in den PrivatePem Abschnitt der Datei appsettings.js .Copy all of the content in the privkeynopass.pem file, except the first and last lines, into the PrivatePem section of the appsettings.json file.

  8. Entfernen Sie alle Leerzeichen und Zeilen Umrisse in PublicPem den PrivatePem Abschnitten und.Remove all blank spaces and newlines in both the PublicPem and PrivatePem sections.

    Wichtig

    Wenn Sie diesen Inhalt kopieren, löschen Sie keine PEM-Daten.When you copy this content, do not delete any of the PEM data.

  9. Navigieren Sie in Visual Studio Code zur Startup.cs -Datei.In Visual Studio Code, browse to the Startup.cs file. Diese Datei befindet sich im DoubleKeyEncryptionService Repo, das Sie lokal unter DoubleKeyEncryptionService\src\customer-Key-store. geklont haben.This file is located in the DoubleKeyEncryptionService repo you cloned locally under DoubleKeyEncryptionService\src\customer-key-store.

  10. Suchen Sie die folgenden Zeilen:Locate the following lines:

     #if USE_TEST_KEYS
     #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
     DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
     #endif
  1. Ersetzen Sie diese Zeilen durch den folgenden Text:Replace these lines with the following text:
services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();

Die Endergebnisse sollten etwa wie folgt aussehen.The end results should look similar to the following.

Startup.cs-Datei für die öffentliche Vorschau

Jetzt sind Sie fertig, um Ihr DKE-Projekt zu erstellen.Now you're ready to build your DKE project.

Erstellen des ProjektsBuild the project

Verwenden Sie die folgenden Anweisungen, um das DKE-Projekt lokal zu erstellen:Use the following instructions to build the DKE project locally:

  1. Wählen Sie in Visual Studio Code im DKE-Dienst-Repository View die Option > Befehls Palette anzeigen aus, und geben Sie dann an der Eingabeaufforderung Erstellen ein.In Visual Studio Code, in the DKE service repository, select View > Command Palette and then type build at the prompt.

  2. Wählen Sie in der Liste Aufgaben: Build-Task ausführenaus.From the list, choose Tasks: Run build task.

    Wenn keine Build-Tasks gefunden werden, wählen Sie Create Task konfigurieren aus, und erstellen Sie wie folgt einen für .net Core.If there are no build tasks found, select Configure Build Task and create one for .NET core as follows.

    Konfigurieren fehlender Build-Aufgabe für .net

    1. Wählen Sie tasks.jsaus Vorlage erstellen aus.Choose Create tasks.json from template.

      Erstellen tasks.jsDatei aus der Vorlage für DKE

    2. Wählen Sie in der Liste der Vorlagentypen .net Coreaus.From the list of template types, select .NET Core.

      Auswählen der richtigen Vorlage für DKE

    3. Suchen Sie im Abschnitt erstellen nach dem Pfad zur Datei customerkeystore. csproj .In the build section, locate the path to the customerkeystore.csproj file. Wenn er nicht vorhanden ist, fügen Sie die folgende Reihe hinzu:If it's not there, add the following line:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Führen Sie den Build erneut aus.Run the build again.

  3. Stellen Sie sicher, dass im Ausgabefenster keine roten Fehler vorhanden sind.Verify that there are no red errors in the output window.

    Wenn rote Fehler vorliegen, überprüfen Sie die Konsolenausgabe.If there are red errors, check the console output. Stellen Sie sicher, dass Sie alle vorherigen Schritte ordnungsgemäß abgeschlossen haben und die richtigen Build-Versionen vorhanden sind.Ensure that you completed all the previous steps correctly and the correct build versions are present.

  4. Wählen Run Sie > Start Debuggen ausführen aus, um den Prozess zu debuggen.Select Run > Start Debugging to debug the process. Wenn Sie zur Auswahl einer Umgebung aufgefordert werden, wählen Sie .net Coreaus.If you're prompted to select an environment, select .NET core.

Der .net Core-Debugger wird in der Regel in gestartet https://localhost:5001 .The .NET core debugger typically launches to https://localhost:5001. Um den Testschlüssel anzuzeigen, wechseln Sie zu https://localhost:5001 und fügen Sie einen Schrägstrich (/) und den Namen Ihres Schlüssels an.To view your test key, go to https://localhost:5001 and append a forward slash (/) and the name of your key. Beispiel:For example:

https://localhost:5001/TestKey1

Der Schlüssel sollte im JSON-Format angezeigt werden.The key should display in JSON format.

Ihr Setup ist nun abgeschlossen.Your setup is now complete. Stellen Sie vor dem Veröffentlichen des Keystores in appsettings.jsauf für die JwtAudience-Einstellung sicher, dass der Wert für Hostname genau mit dem Namen des App-Diensthosts übereinstimmt.Before you publish the keystore, in appsettings.json, for the JwtAudience setting, ensure the value for hostname exactly matches your App Service host name. Möglicherweise haben Sie es zu localhost geändert, um die Problembehandlung für den Build auszuführen.You may have changed it to localhost to troubleshoot the build.

Bereitstellen des DKE-Diensts und Veröffentlichen des SchlüsselspeichersDeploy the DKE service and publish the key store

Stellen Sie den Dienst für Produktionsbereitstellungen entweder in einer Drittanbieter-Cloud bereit, oder veröffentlichen Sie ihn in einem lokalen System.For production deployments, deploy the service either in a third-party cloud or publish to an on-premises system.

Möglicherweise bevorzugen Sie andere Methoden zum Bereitstellen der Schlüssel.You may prefer other methods to deploy your keys. Wählen Sie die Methode aus, die für Ihre Organisation am besten geeignet ist.Select the method that works best for your organization.

Für Pilotbereitstellungen können Sie in Azure bereitstellen und sofort loslegen.For pilot deployments, you can deploy in Azure and get started right away.

So erstellen Sie eine Azure-Webanwendung-Instanz zum Hosten Ihrer DKE-BereitstellungTo create an Azure Web App instance to host your DKE deployment

Zum Veröffentlichen des Schlüsselspeichers erstellen Sie eine Azure-App-Dienstinstanz, die ihre DKE-Bereitstellung hostet.To publish the key store, you'll create an Azure App Service instance to host your DKE deployment. Als Nächstes veröffentlichen Sie die generierten Schlüssel in Azure.Next, you'll publish your generated keys to Azure.

  1. Melden Sie sich in Ihrem Browser beim Microsoft Azure-Portalan, und wechseln Sie zu App-Dienste > Hinzufügen.In your browser, sign in to the Microsoft Azure portal, and go to App Services > Add.

  2. Wählen Sie Ihre Abonnement-und Ressourcengruppe aus, und definieren Sie die Details der Instanz.Select your subscription and resource group and define your instance details.

    • Geben Sie den Hostnamen des Computers ein, auf dem Sie den DKE-Dienst installieren möchten.Enter the hostname of the computer where you want to install the DKE service. Stellen Sie sicher, dass der Name dem Namen entspricht, der für die JwtAudience-Einstellung in der Datei appsettings.js für festgelegt wurde.Make sure it's the same name as the one defined for the JwtAudience setting in the appsettings.json file. Der Wert, den Sie für den Namen angeben, ist auch der WebAppInstanceName.The value you provide for the name is also the WebAppInstanceName.

    • Wählen Sie für veröffentlichenden Codeaus, und wählen Sie für Laufzeitstapel .net Core 3,1aus.For Publish, select code, and for Runtime stack, select .NET Core 3.1.

    Beispiel:For example:

    Hinzufügen des App-Diensts

  3. Wählen Sie unten auf der Seite überprüfen + erstellenaus, und wählen Sie dann Hinzufügenaus.At the bottom of the page, select Review + create, and then select Add.

  4. Führen Sie einen der folgenden Schritte aus, um die generierten Schlüssel zu veröffentlichen:Do one of the following to publish your generated keys:

Veröffentlichen über ZipDeployUIPublish via ZipDeployUI

  1. Wechseln Sie zu https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.Go to https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Beispiel: https://dkeservice.scm.azurewebsites.net/ZipDeployUIFor example: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

  2. Wechseln Sie in der CodeBase für den Schlüsselspeicher zum Ordner Customer-Key-store\src\customer-Key-Store , und vergewissern Sie sich, dass dieser Ordner die Datei customerkeystore. csproj enthält.In the codebase for the key store, go to the customer-key-store\src\customer-key-store folder, and verify that this folder contains the customerkeystore.csproj file.

  3. Ausführen: dotnet veröffentlichenRun: dotnet publish

    Das Ausgabefenster zeigt das Verzeichnis an, in dem die Veröffentlichung bereitgestellt wurde.The output window displays the directory where the publish was deployed.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\For example: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Senden Sie alle Dateien im Veröffentlichungsverzeichnis an eine ZIP-Datei.Send all files in the publish directory to a .zip file. Stellen Sie beim Erstellen der ZIP-Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der ZIP-Datei befinden.When creating the .zip file, make sure that all files in the directory are at the root level of the .zip file.

  5. Ziehen Sie die ZIP-Datei, die Sie erstellen, auf die ZipDeployUI-Website, die Sie oben geöffnet haben.Drag and drop the .zip file you create to the ZipDeployUI site you opened above. Beispiel: https://dkeservice.scm.azurewebsites.net/ZipDeployUIFor example: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE wird bereitgestellt, und Sie können zu den Test Schlüsseln navigieren, die Sie erstellt haben.DKE is deployed and you can browse to the test keys you've created. Über prüfen Sie Ihre Bereitstellung weiter unten.Continue to Validate your deployment below.

Veröffentlichen über FTPPublish via FTP

  1. Stellen Sie eine Verbindung mit dem obenerstellten App-Dienst her.Connect to the App Service you created above.

    Wechseln Sie in Ihrem Browser zu: Azure Portal > App Service > Deployment Center > Manual Deployment > FTP > Dashboard.In your browser, go to: Azure portal > App Service > Deployment Center > Manual Deployment > FTP > Dashboard.

  2. Kopieren Sie die angezeigten Verbindungszeichenfolgen in eine lokale Datei.Copy the connection strings displayed to a local file. Sie verwenden diese Zeichenfolgen, um eine Verbindung zum Webdienst des Webanwendungs herzustellen und Dateien über FTP hochzuladen.You'll use these strings to connect to the Web App Service and upload files via FTP.

    Beispiel:For example:

    Kopieren von Verbindungszeichenfolgen aus dem FTP-Dashboard

  3. Wechseln Sie in der CodeBase für den Schlüsselspeicher zum Verzeichnis Customer-Key-store\src\customer-Key-Store.In the codebase for the key storage, go to the customer-key-store\src\customer-key-store directory.

  4. Stellen Sie sicher, dass dieses Verzeichnis die Datei customerkeystore. csproj enthält.Verify that this directory contains the customerkeystore.csproj file.

  5. Ausführen: dotnet veröffentlichenRun: dotnet publish

    Die Ausgabe enthält das Verzeichnis, in dem die Veröffentlichung bereitgestellt wurde.The output contains the directory where the publish was deployed.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\For example: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Senden Sie alle Dateien im Veröffentlichungsverzeichnis in eine ZIP-Datei.Send all files in the publish directory to a zip file. Stellen Sie beim Erstellen der ZIP-Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der ZIP-Datei befinden.When creating the .zip file, make sure that all files in the directory are at the root level of the .zip file.

  7. Verwenden Sie von Ihrem FTP-Client die Verbindungsinformationen, die Sie zum Herstellen einer Verbindung mit Ihrem App-Dienst kopiert haben.From your FTP client, use the connection information you copied to connect to your App Service. Laden Sie die ZIP-Datei, die Sie im vorherigen Schritt erstellt haben, in das Stammverzeichnis Ihrer Webanwendung hoch.Upload the .zip file you created in the previous step to the root directory of your Web App.

DKE wird bereitgestellt, und Sie können zu den Test Schlüsseln navigieren, die Sie erstellt haben.DKE is deployed and you can browse to the test keys you'd created. Als nächstes validieren Sie Ihre Bereitstellung.Next, Validate your deployment.

Überprüfen der BereitstellungValidate your deployment

Nachdem Sie DKE mit einer der oben beschriebenen Methoden bereitgestellt haben, überprüfen Sie die Bereitstellung und die Schlüsselspeicher Einstellungen.After deploying DKE using one of the methods described above, validate the deployment and the key store settings.

AusführenRun:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/MyKeysrc\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Beispiel:For example:

key_store_tester.ps1 https://mydkeservice.com/mykeykey_store_tester.ps1 https://mydkeservice.com/mykey

Stellen Sie sicher, dass in der Ausgabe keine Fehler angezeigt werden.Ensure that no errors appear in the output. Wenn Sie fertig sind, registrieren Sie Ihren Schlüsselspeicher.When you're ready, register your key store.

Registrieren des SchlüsselspeichersRegister your key store

Mit den folgenden Schritten können Sie den DKE-Dienst registrieren.The following steps enable you to register your DKE service. Das Registrieren des DKE-Diensts ist der letzte Schritt bei der Bereitstellung von DKE, bevor Sie mit dem Erstellen von Beschriftungen beginnen können.Registering your DKE service is the last step in deploying DKE before you can start creating labels.

So registrieren Sie den DKE-Dienst:To register the DKE service:

  1. Öffnen Sie in Ihrem Browser das Microsoft Azure-Portal, und wechseln Sie zu alle Services - > Identitäts - > App-Registrierungen.In your browser, open the Microsoft Azure portal, and go to All Services > Identity > App Registrations.

  2. Wählen Sie neue Registrierungaus, und geben Sie einen aussagekräftigen Namen ein.Select New registration, and enter a meaningful name.

  3. Wählen Sie in den angezeigten Optionen einen Kontotyp aus.Select an account type from the options displayed.

    Wenn Sie Microsoft Azure mit einer nicht benutzerdefinierten Domäne wie onmicrosoft.comverwenden, wählen Sie Konten nur in diesem Organisations Verzeichnis aus (nur Microsoft – einzelner Mandant).If you're using Microsoft Azure with a non-custom domain, such as onmicrosoft.com, select Accounts in this organizational directory only (Microsoft only - Single tenant).

    Beispiel:For example:

    Neue APP-Registrierung

  4. Wählen Sie unten auf der Seite registrieren aus, um die neue APP-Registrierung zu erstellen.At the bottom of the page, select Register to create the new App Registration.

  5. Wählen Sie in der neuen App-Registrierung im linken Bereich unter Verwaltendie Option Authentifizierungaus.In your new App Registration, in the left pane, under Manage, select Authentication.

  6. Wählen Sie Plattform hinzufügenaus.Select Add a platform.

  7. Wählen Sie im Popup Konfigurieren von Plattformen die Option Internetaus.On the Configure platforms popup, select Web.

  8. Geben Sie unter Umleitungs-URIsden URI des doppelten Schlüssel Verschlüsselungs Diensts ein.Under Redirect URIs, enter the URI of your double key encryption service. Geben Sie die APP-Dienst-URL ein, einschließlich des Hostnamens und der Domäne.Enter the App Service URL, including both the hostname and domain.

    Beispiel: https://mydkeservicetest.comFor example: https://mydkeservicetest.com

    • Die eingegebene URL muss mit dem Hostnamen übereinstimmen, in dem der DKE-Dienst bereitgestellt wird.The URL you enter must match the hostname where your DKE service is deployed.
    • Wenn Sie lokal mit Visual Studio testen, verwenden Sie https://localhost:5001 .If you're testing locally with Visual Studio, use https://localhost:5001.
    • In allen Fällen muss das Schema httpssein.In all cases, the scheme must be https.

    Stellen Sie sicher, dass der Hostname genau mit Ihrem App-Dienst Hostnamen übereinstimmt.Ensure the hostname exactly matches your App Service hostname. Möglicherweise haben Sie es geändert, um localhost die Problembehandlung beim Build zu beheben.You may have changed it to localhost to troubleshoot the build. In appsettings.jsonist dieser Wert der Hostname, für den Sie festgelegt haben JwtAudience .In appsettings.json, this value is the hostname you set for JwtAudience.

  9. Aktivieren Sie unter implizite Gewährungdas Kontrollkästchen ID-Token .Under Implicit grant, select the ID tokens checkbox.

  10. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.Select Save to save your changes.

  11. Wählen Sie im linken Bereich eine API verfügbar machenaus, und wählen Sie dann neben Anwendungs-ID-URI die Option festlegenaus.On the left pane, select Expose an API, then next to Application ID URI, select Set.

  12. Wählen Sie auf der Seite eine API verfügbar machen im Bereich durch diese API definierte Bereiche die Option Bereich hinzufügenaus.Still on the Expose an API page, in the Scopes defined by this API area, select Add a scope. Im neuen Bereich:In the new scope:

    1. Definieren Sie den Bereichsnamen als user_impersonation.Define the scope name as user_impersonation.

    2. Wählen Sie die Administratoren und Benutzer, die zustimmen können.Select the administrators and users who can consent.

    3. Definieren Sie alle verbleibenden erforderlichen Werte.Define any remaining values required.

    4. Klicken Sie auf Bereich hinzufügen.Select Add scope.

    5. Wählen Sie oben Speichern aus, um die Änderungen zu speichern.Select Save at the top to save your changes.

  13. Wählen Sie weiterhin auf der Seite eine API verfügbar machen im Bereich autorisierte Clientanwendungen die Option Clientanwendung hinzufügenaus.Still on the Expose an API page, in the Authorized client applications area, select Add a client application.

    In der neuen Clientanwendung:In the new client application:

    1. Definieren Sie die Client-ID als d3590ed6-52b3-4102-Aeff-aad2292ab01c.Define the Client ID as d3590ed6-52b3-4102-aeff-aad2292ab01c. Dieser Wert ist die Microsoft Office-Client-ID und ermöglicht Office das Abrufen eines Zugriffstokens für den Schlüsselspeicher.This value is the Microsoft Office client ID, and enables Office to obtain an access token for your key store.

    2. Wählen Sie unter autorisierte Bereicheden user_impersonation Bereich aus.Under Authorized scopes, select the user_impersonation scope.

    3. Wählen Sie Anwendung hinzufügen aus.Select Add application.

    4. Wählen Sie oben Speichern aus, um die Änderungen zu speichern.Select Save at the top to save your changes.

Ihr DKE-Dienst ist jetzt registriert.Your DKE service is now registered. Fahren Sie mit dem Erstellen von Beschriftungen mithilfe von DKEfort.Continue by creating labels using DKE.

Erstellen von Sensitivitäts Bezeichnungen mit DKECreate sensitivity labels using DKE

Erstellen Sie im Microsoft 365 Compliance Center eine neue Sensitivitäts Bezeichnung, und wenden Sie die Verschlüsselung wie sonst an.In the Microsoft 365 compliance center, create a new sensitivity label and apply encryption as you would otherwise. Wählen Sie Doppelschlüssel Verschlüsselung verwenden aus, und geben Sie die Endpunkt-URL für Ihren Schlüssel ein.Select Use Double Key Encryption and enter the endpoint URL for your key.

Beispiel:For example:

Wählen Sie Doppelschlüssel Verschlüsselung im Microsoft 365 Compliance Center verwenden aus.

Alle DKE-Bezeichnungen, die Sie hinzufügen, werden für Benutzer in den neuesten Versionen von Microsoft 365 apps for Enterprise angezeigt.Any DKE labels you add will start appearing for users in the latest versions of Microsoft 365 Apps for enterprise.

Hinweis

Es kann bis zu 24 Stunden dauern, bis die Clients mit den neuen Bezeichnungen aktualisiert werden.It may take up to 24 hours for the clients to refresh with the new labels.

Aktivieren von DKE in Ihrem ClientEnable DKE in your client

Wenn Sie ein Office-Insider sind, ist DKE für Sie aktiviert.If you're an Office Insider, DKE is enabled for you. Aktivieren Sie andernfalls DKE für Ihren Client, indem Sie die folgenden Registrierungsschlüssel hinzufügen:Otherwise, enable DKE for your client by adding the following registry keys:

    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
    "DoubleKeyProtection"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
    "DoubleKeyProtection"=dword:00000001

Migrieren geschützter Dateien von Hyok-Bezeichnungen zu DKE-BezeichnungenMigrate protected files from HYOK labels to DKE labels

Wenn Sie die Einrichtung von DKE abgeschlossen haben, können Sie Inhalte, die Sie geschützt haben, mithilfe von Hyok-Bezeichnungen in DKE-Bezeichnungen migrieren.If you want, once you're finished setting up DKE, you can migrate content that you've protected using HYOK labels to DKE labels. Für die Migration verwenden Sie den AIP-Scanner.To migrate, you'll use the AIP scanner. Informationen zu den ersten Schritten mit dem Scanner finden Sie unter Was ist der Azure Information Protection Unified Labelling Scanner?.To get started using the scanner, see What is the Azure Information Protection unified labeling scanner?.

Wenn Sie keine Inhalte migrieren, bleiben Ihre Hyok-geschützten Inhalte unberührt.If you don't migrate content, your HYOK protected content will remain unaffected.