Verschlüsselung mit Doppelschlüssel

Gilt für: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection

Anweisungen für: Azure Information Protection Client für einheitliche Bezeichnungen für Windows

Dienstbeschreibung für: Microsoft Purview

Die Double Key Encryption (DKE) verwendet zwei Schlüssel zusammen, um auf geschützte Inhalte zuzugreifen. Microsoft speichert einen Schlüssel in Microsoft Azure, und Sie haben den anderen Schlüssel. Sie behalten vollumfängliche Kontrolle über einen Ihrer Schlüssel mithilfe des Double Key Encryption-Diensts. Sie wenden den Schutz mit dem Azure Information Protection Client für einheitliche Bezeichnungen auf Ihre streng vertraulichen Inhalte an.

Die Doppelschlüsselverschlüsselung unterstützt sowohl Cloud- als auch lokale Bereitstellungen. Diese Bereitstellungen tragen dazu bei, dass verschlüsselte Daten undurchsichtig bleiben, unabhängig davon, wo Sie die geschützten Daten speichern.

Weitere Informationen zu den standardmäßigen cloudbasierten Mandantenstammschlüsseln finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandantenschlüssels.

Wann Sollte Ihre Organisation DKE einführen?

Die Doppelschlüsselverschlüsselung ist für Ihre vertraulichsten Daten vorgesehen, die den strengsten Schutzanforderungen unterliegen. DKE ist nicht für alle Daten vorgesehen. Im Allgemeinen verwenden Sie die Doppelschlüsselverschlüsselung, um nur einen kleinen Teil Ihrer Gesamtdaten zu schützen. Sie sollten sorgfältig vorgehen, um die richtigen Daten zu identifizieren, die mit dieser Lösung abgedeckt werden sollen, bevor Sie bereitstellen. In einigen Fällen müssen Sie möglicherweise Ihren Umfang einschränken und andere Lösungen für die meisten Ihrer Daten verwenden, z. B. Microsoft Purview Information Protection mit von Microsoft verwalteten Schlüsseln oder BYOK. Diese Lösungen reichen für Dokumente aus, die keinen erweiterten Schutzmaßnahmen und behördlichen Anforderungen unterliegen. Mit diesen Lösungen können Sie auch die leistungsstärksten Office 365-Dienste verwenden. Dienste, die Sie nicht mit DKE-verschlüsselten Inhalten verwenden können. Beispiel:

  • Transportregeln, einschließlich Antischadsoftware und Spam, die einen Einblick in die Anlage erfordern
  • Microsoft Delve
  • eDiscovery
  • Inhaltssuche und -indizierung
  • Office Web-Apps einschließlich funktionen für die gemeinsame Dokumenterstellung

Externe Anwendungen oder Dienste, die nicht über das Microsoft Information Protection (MIP)-SDK in DKE integriert sind, können keine Aktionen für die verschlüsselten Daten ausführen.

Das Microsoft Information Protection SDK 1.7+ unterstützt die Doppelschlüsselverschlüsselung. Anwendungen, die in unser SDK integriert werden, können diese Daten mit ausreichenden Berechtigungen und Integrationen begründen.

Verwenden Sie Microsoft Purview Information Protection Funktionen (Klassifizierung und Bezeichnung), um die meisten Ihrer vertraulichen Daten zu schützen, und verwenden Sie DKE nur für Ihre unternehmenskritischen Daten. Double Key Encryption ist relevant für vertrauliche Daten in stark regulierten Branchen wie Finanzdienstleistungen und Gesundheitswesen.

Wenn Ihre Organisation eine der folgenden Anforderungen erfüllt, können Sie DKE verwenden, um Ihre Inhalte zu schützen:

  • Sie möchten sicherstellen, dass nur Sie geschützte Inhalte unter allen Umständen entschlüsseln können.
  • Sie möchten nicht, dass Microsoft allein Zugriff auf geschützte Daten hat.
  • Sie haben gesetzliche Anforderungen, um Schlüssel innerhalb einer geografischen Grenze zu speichern. Alle Schlüssel, die Sie für die Datenverschlüsselung und Entschlüsselung halten, werden in Ihrem Rechenzentrum verwaltet.

System- und Lizenzierungsanforderungen für DKE

Die Doppelschlüsselverschlüsselung ist im Lieferumfang von Microsoft 365 E5. Wenn Sie nicht über eine Microsoft 365 E5-Lizenz verfügen, können Sie sich für eine Testversion registrieren. Weitere Informationen zu diesen Lizenzen finden Sie im Microsoft 365-Lizenzierungsleitfaden für Sicherheit & Compliance.

Azure Information Protection. DKE arbeitet mit Vertraulichkeitsbezeichnungen und erfordert Azure Information Protection.

DKE-Vertraulichkeitsbezeichnungen werden Endbenutzern über die Vertraulichkeitsschaltfläche im AIP Unified Labeling-Client in Office Desktop Apps zur Verfügung gestellt. Installieren Sie diese Voraussetzungen auf jedem Clientcomputer, auf dem Sie geschützte Dokumente schützen und nutzen möchten.

Microsoft Office Apps for Enterprise , Version 2009 oder höher (Desktopversionen von Word, PowerPoint und Excel) unter Windows.

Azure Information Protection Unified Labeling Client Version 2.7.93.0 oder höher. Laden Sie den Unified Labeling-Client aus dem Microsoft Download Center herunter, und installieren Sie diesen.

Unterstützte Umgebungen zum Speichern und Anzeigen von DKE-geschützten Inhalten

Unterstützte Anwendungen. Microsoft 365 Apps for Enterprise Clients unter Windows, einschließlich Word, Excel und PowerPoint.

Unterstützung von Onlineinhalten. Sie können Dokumente und Dateien, die mit der Doppeltschlüsselverschlüsselung geschützt sind, sowohl in Microsoft SharePoint als auch in OneDrive for Business online speichern. Sie müssen Dokumente und Dateien mit DKE von unterstützten Anwendungen beschriften und schützen, bevor Sie sie an diese Speicherorte hochladen. Sie können verschlüsselte Inhalte per E-Mail freigeben, aber verschlüsselte Dokumente und Dateien nicht online anzeigen. Stattdessen müssen Sie geschützte Inhalte mithilfe der unterstützten Desktopanwendungen und Clients auf Ihrem lokalen Computer anzeigen.

Übersicht über die Bereitstellung von DKE

Zum Einrichten von DKE führen Sie die folgenden allgemeinen Schritte aus. Nachdem Sie diese Schritte abgeschlossen haben, können Ihre Endbenutzer Ihre hochsensiblen Daten mithilfe von Double Key Encryption schützen.

  1. Stellen Sie den DKE-Dienst wie in diesem Artikel beschrieben bereit.

  2. Erstellen Sie eine Bezeichnung mit Doppelschlüsselverschlüsselung. Navigieren Sie in der Microsoft Purview-Complianceportal zu Information Protection, und erstellen Sie eine neue Bezeichnung mit Doppelschlüsselverschlüsselung. Siehe Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden von Verschlüsselung.

  3. Verwenden Sie Doppelschlüsselverschlüsselungsbezeichnungen. Schützen Sie Daten, indem Sie im Menüband "Vertraulichkeit" in Microsoft Office die Bezeichnung "Verschlüsselt mit Doppelschlüssel" auswählen.

Es gibt mehrere Möglichkeiten, wie Sie einige der Schritte zum Bereitstellen der Doppelschlüsselverschlüsselung ausführen können. Dieser Artikel enthält detaillierte Anweisungen, damit weniger erfahrene Administratoren den Dienst erfolgreich bereitstellen können. Wenn Sie damit vertraut sind, können Sie ihre eigenen Methoden verwenden.

Bereitstellen von DKE

In diesem Artikel und im Bereitstellungsvideo wird Azure als Bereitstellungsziel für den DKE-Dienst verwendet. Wenn Sie die Bereitstellung an einem anderen Speicherort durchführen, müssen Sie Ihre eigenen Werte angeben.

Führen Sie die folgenden allgemeinen Schritte aus, um die Doppelschlüsselverschlüsselung für Ihre Organisation einzurichten.

  1. Installieren von Softwarevoraussetzungen für den DKE-Dienst
  2. Klonen des GitHub-Repositorys für die Doppelschlüsselverschlüsselung
  3. Ändern von Anwendungseinstellungen
  4. Generieren von Testschlüsseln
  5. Erstellen des Projekts
  6. Bereitstellen des DKE-Diensts und Veröffentlichen des Schlüsselspeichers
  7. Überprüfen Ihrer Bereitstellung
  8. Registrieren Ihres Schlüsselspeichers
  9. Erstellen von Vertraulichkeitsbezeichnungen mithilfe von DKE
  10. Aktivieren von DKE in Ihrem Client
  11. Migrieren geschützter Dateien von HYOK-Bezeichnungen zu DKE-Bezeichnungen

Wenn Sie fertig sind, können Sie Dokumente und Dateien mithilfe von DKE verschlüsseln. Weitere Informationen finden Sie unter Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Dateien und E-Mails in Office.

Installieren von Softwarevoraussetzungen für den DKE-Dienst

Installieren Sie diese Voraussetzungen auf dem Computer, auf dem Sie den DKE-Dienst installieren möchten.

.NET Core 3.1 SDK. Laden Sie das SDK aus .NET Core 3.1 herunter, und installieren Sie es.

Visual Studio Code. Laden Sie Visual Studio Code von https://code.visualstudio.com/herunter. Führen Sie nach der Installation Visual Studio Code aus, und wählen Sie "Ansichtserweiterungen**" aus**>. Installieren Sie diese Erweiterungen.

  • C# für Visual Studio Code

  • NuGet-Paket-Manager

Git-Ressourcen. Laden Sie eine der folgenden Optionen herunter, und installieren Sie sie.

Openssl Nach der Bereitstellung von DKE muss OpenSSL installiert sein, um Testschlüssel zu generieren . Stellen Sie sicher, dass Sie es ordnungsgemäß aus dem Pfad der Umgebungsvariablen aufrufen. Weitere Informationen finden Sie unter "Hinzufügen des Installationsverzeichnisses zu PATH" https://www.osradar.com/install-openssl-windows/ .

Klonen des DKE GitHub-Repositorys

Microsoft stellt die DKE-Quelldateien in einem GitHub-Repository zur Hand. Sie klonen das Repository, um das Projekt lokal für die Verwendung Durch Ihre Organisation zu erstellen. Das DKE GitHub-Repository befindet sich unter https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Die folgenden Anweisungen sind für unerfahrene Git- oder Visual Studio Code-Benutzer vorgesehen:

  1. Wechseln Sie in Ihrem Browser zu: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Wählen Sie auf der rechten Seite des Bildschirms "Code" aus. In Ihrer Version der Benutzeroberfläche wird möglicherweise eine Schaltfläche "Klonen" oder "Herunterladen " angezeigt. Wählen Sie dann in der angezeigten Dropdownliste das Symbol "Kopieren" aus, um die URL in die Zwischenablage zu kopieren.

    Beispiel:

    Klonen Sie das Double Key Encryption-Dienstrepository von GitHub.

  3. Wählen Sie in Visual Studio Code "Befehlspalette anzeigen" > und dann "Git: Klonen" aus. Um zur Option in der Liste zu wechseln, beginnen Sie mit der Eingabe git: clone , um die Einträge zu filtern, und wählen Sie sie dann in der Dropdownliste aus. Beispiel:

    Visual Studio Code GIT:Clone-Option.

  4. Fügen Sie im Textfeld die URL ein, die Sie von Git kopiert haben, und wählen Sie Klonen von GitHub aus.

  5. Navigieren Sie im daraufhin angezeigten Dialogfeld "Ordner auswählen " zu einem Speicherort, an dem das Repository gespeichert werden soll, und wählen Sie diesen aus. Wählen Sie an der Eingabeaufforderung " Öffnen" aus.

    Das Repository wird in Visual Studio Code geöffnet und zeigt die aktuelle Git-Verzweigung unten links an. Die Verzweigung sollte z. B. "Main" sein. Beispiel:

    Screenshot des DKE-Repositorys in Visual Studio Code mit der Hauptverzweigung.

  6. Wenn Sie sich nicht in der Hauptverzweigung befinden, müssen Sie sie auswählen. Wählen Sie in Visual Studio Code die Verzweigung und dann den Hauptzweig aus der Liste der angezeigten Verzweigungen aus.

    Wichtig

    Wenn Sie den Hauptzweig auswählen, wird sichergestellt, dass Sie über die richtigen Dateien zum Erstellen des Projekts verfügen. Wenn Sie nicht die richtige Verzweigung auswählen, schlägt die Bereitstellung fehl.

Ihr DKE-Quellrepository ist jetzt lokal eingerichtet. Ändern Sie als Nächstes die Anwendungseinstellungen für Ihre Organisation.

Ändern von Anwendungseinstellungen

Um den DKE-Dienst bereitzustellen, müssen Sie die folgenden Anwendungseinstellungen ändern:

Sie ändern Anwendungseinstellungen in der Datei "appsettings.json". Diese Datei befindet sich im DoubleKeyEncryptionService-Repository, das Sie lokal unter DoubleKeyEncryptionService\src\customer-key-store geklont haben. In Visual Studio Code können Sie z. B. zu der Datei navigieren, wie in der folgenden Abbildung gezeigt.

Suchen der Datei "appsettings.json" für DKE.

Schlüsselzugriffseinstellungen

Wählen Sie aus, ob die E-Mail- oder Rollenautorisierung verwendet werden soll. DKE unterstützt jeweils nur eine dieser Authentifizierungsmethoden.

  • E-Mail-Autorisierung. Ermöglicht Ihrer Organisation, den Zugriff auf Schlüssel nur basierend auf E-Mail-Adressen zu autorisieren.

  • Rollenautorisierung. Ermöglicht Ihrer Organisation, den Zugriff auf Schlüssel basierend auf Active Directory-Gruppen zu autorisieren, und erfordert, dass der Webdienst LDAP abfragen kann.

So legen Sie wichtige Zugriffseinstellungen für DKE mithilfe der E-Mail-Autorisierung fest
  1. Öffnen Sie die Datei "appsettings.json ", und suchen Sie die AuthorizedEmailAddress Einstellung.

  2. Fügen Sie die E-Mail-Adresse oder Adressen hinzu, die Sie autorisieren möchten. Trennen Sie mehrere E-Mail-Adressen durch doppelte Anführungszeichen und Kommas. Beispiel:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Suchen Sie die LDAPPath Einstellung, und entfernen Sie den Text If you use role authorization (AuthorizedRoles) then this is the LDAP path. zwischen den doppelten Anführungszeichen. Lassen Sie die doppelten Anführungszeichen erhalten. Wenn Sie fertig sind, sollte die Einstellung wie folgt aussehen.

    "LDAPPath": ""
    
  4. Suchen Sie die AuthorizedRoles Einstellung, und löschen Sie die gesamte Zeile.

Diese Abbildung zeigt die Datei "appsettings.json ", die für die E-Mail-Autorisierung ordnungsgemäß formatiert ist.

Die Datei "appsettings.json" mit der E-Mail-Autorisierungsmethode.

So legen Sie wichtige Zugriffseinstellungen für DKE mithilfe der Rollenautorisierung fest
  1. Öffnen Sie die Datei "appsettings.json ", und suchen Sie die AuthorizedRoles Einstellung.

  2. Fügen Sie die Active Directory-Gruppennamen hinzu, die Sie autorisieren möchten. Trennen Sie mehrere Gruppennamen durch doppelte Anführungszeichen und Kommas. Beispiel:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Suchen Sie die LDAPPath Einstellung, und fügen Sie die Active Directory-Domäne hinzu. Beispiel:

    "LDAPPath": "contoso.com"
    
  4. Suchen Sie die AuthorizedEmailAddress Einstellung, und löschen Sie die gesamte Zeile.

Diese Abbildung zeigt die Datei "appsettings.json ", die ordnungsgemäß für die Rollenautorisierung formatiert ist.

appsettings.json-Datei mit Rollenautorisierungsmethode.

Mandanten- und Schlüsseleinstellungen

DKE-Mandanten- und Schlüsseleinstellungen befinden sich in der Datei "appsettings.json ".

So konfigurieren Sie Mandanten- und Schlüsseleinstellungen für DKE
  1. Öffnen Sie die Datei "appsettings.json ".

  2. Suchen Sie die ValidIssuers Einstellung, und ersetzen <tenantid> Sie sie durch Ihre Mandanten-ID. Sie können Ihre Mandanten-ID finden, indem Sie zum Azure-Portal wechseln und die Mandanteneigenschaften anzeigen. Beispiel:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Hinweis

Wenn Sie den externen B2B-Zugriff auf Ihren Schlüsselspeicher aktivieren möchten, müssen Sie diese externen Mandanten auch in die Liste der gültigen Aussteller aufnehmen.

Suchen Sie die .JwtAudience Ersetzen Sie <yourhostname> den Hostnamen des Computers, auf dem der DKE-Dienst ausgeführt wird. Beispiel: "https://dkeservice.contoso.com"

Wichtig

Der Wert für JwtAudience muss exakt mit dem Namen Ihres Hosts übereinstimmen.

  • TestKeys:Name. Geben Sie einen Namen für Ihren Schlüssel ein. Beispiel: TestKey1
  • TestKeys:Id. Erstellen Sie eine GUID, und geben Sie sie als TestKeys:ID Wert ein. Beispiel: DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Sie können eine Website wie den Online-GUID-Generator verwenden, um nach dem Zufallsprinzip eine GUID zu generieren.

Diese Abbildung zeigt das richtige Format für Mandanten- und Schlüsseleinstellungen in "appsettings.json". LDAPPath ist für die Rollenautorisierung konfiguriert.

Zeigt die richtigen Mandanten- und Schlüsseleinstellungen für DKE in der Datei "appsettings.json" an.

Generieren von Testschlüsseln

Nachdem Sie Ihre Anwendungseinstellungen definiert haben, können Sie öffentliche und private Testschlüssel generieren.

So generieren Sie Schlüssel:

  1. Führen Sie im Windows-Startmenü die OpenSSL-Eingabeaufforderung aus.

  2. Wechseln Sie zu dem Ordner, in dem Sie die Testschlüssel speichern möchten. Die Dateien, die Sie durch Ausführen der Schritte in dieser Aufgabe erstellen, werden im selben Ordner gespeichert.

  3. Generieren Sie den neuen Testschlüssel.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Generieren Sie den privaten Schlüssel.

    Wenn Sie OpenSSL Version 3 oder höher installiert haben, führen Sie den folgenden Befehl aus:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Führen Sie andernfalls den folgenden Befehl aus:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Generieren Sie den öffentlichen Schlüssel.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. Öffnen Sie in einem Text-Editor "pubkeyonly.pem". Kopieren Sie den gesamten Inhalt der Datei "pubkeyonly.pem " mit Ausnahme der ersten und letzten Zeilen in den PublicPem Abschnitt der Datei "appsettings.json ".

  3. Öffnen Sie in einem Text-Editor "privkeynopass.pem". Kopieren Sie den gesamten Inhalt der Datei "privkeynopass.pem ", mit Ausnahme der ersten und letzten Zeilen, in den PrivatePem Abschnitt der Datei "appsettings.json ".

  4. Entfernen Sie alle Leerzeichen und Zeilenumbrüche in den PublicPem Und-Abschnitten PrivatePem .

    Wichtig

    Wenn Sie diesen Inhalt kopieren, löschen Sie keine der PEM-Daten.

  5. Navigieren Sie in Visual Studio Code zur Datei "Startup.cs ". Diese Datei befindet sich im DoubleKeyEncryptionService-Repository, das Sie lokal unter DoubleKeyEncryptionService\src\customer-key-store\ geklont haben.

  6. Suchen Sie die folgenden Zeilen:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Ersetzen Sie diese Zeilen durch den folgenden Text:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    Die Endergebnisse sollten wie folgt aussehen.

    datei startup.cs for public preview.

Jetzt können Sie Ihr DKE-Projekt erstellen.

Erstellen des Projekts

Verwenden Sie die folgenden Anweisungen, um das DKE-Projekt lokal zu erstellen:

  1. Wählen Sie in Visual Studio Code im DKE-Dienstrepository "Befehlspalette anzeigen" > aus, und geben Sie dann an der Eingabeaufforderung "Build" ein.

  2. Wählen Sie in der Liste "Aufgaben: Buildaufgabe ausführen" aus.

    Wenn keine Buildaufgaben gefunden werden, wählen Sie "Buildaufgabe konfigurieren" aus, und erstellen Sie eine für .NET Core wie folgt.

    Konfigurieren sie fehlende Buildaufgabe für .NET.

    1. Wählen Sie "Tasks.json erstellen" aus der Vorlage aus.

      Erstellen Sie die Datei "tasks.json" aus der Vorlage für DKE.

    2. Wählen Sie in der Liste der Vorlagentypen .NET Core aus.

      Wählen Sie die richtige Vorlage für DKE aus.

    3. Suchen Sie im Abschnitt "Build" den Pfad zur Datei "customerkeystore.csproj ". Wenn sie nicht vorhanden ist, fügen Sie die folgende Zeile hinzu:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Führen Sie den Build erneut aus.

  3. Stellen Sie sicher, dass im Ausgabefenster keine roten Fehler vorhanden sind.

    Wenn rote Fehler auftreten, überprüfen Sie die Konsolenausgabe. Stellen Sie sicher, dass Sie alle vorherigen Schritte ordnungsgemäß ausgeführt haben und die richtigen Buildversionen vorhanden sind.

Ihr Setup ist jetzt abgeschlossen. Stellen Sie vor der Veröffentlichung des Keystores in "appsettings.json" für die JwtAudience-Einstellung sicher, dass der Wert für den Hostnamen exakt mit Ihrem App Service Hostnamen übereinstimmt.

Bereitstellen des DKE-Diensts und Veröffentlichen des Schlüsselspeichers

Stellen Sie den Dienst für Produktionsbereitstellungen entweder in einer Drittanbieter-Cloud bereit oder veröffentlichen Sie den Dienst auf einem lokalen System.

Möglicherweise bevorzugen Sie andere Methoden, um Ihre Schlüssel bereitzustellen. Wählen Sie die Methode aus, die für Ihre Organisation am besten geeignet ist.

Bei Pilotbereitstellungen können Sie die Bereitstellung in Azure durchführen und sofort loslegen.

So erstellen Sie eine Azure Web App-Instanz zum Hosten Ihrer DKE-Bereitstellung

Um den Schlüsselspeicher zu veröffentlichen, erstellen Sie eine Azure App Service Instanz zum Hosten Ihrer DKE-Bereitstellung. Als Nächstes veröffentlichen Sie Ihre generierten Schlüssel in Azure.

  1. Melden Sie sich in Ihrem Browser beim Microsoft Azure-Portal an, und wechseln Sie zu App Services > Add.

  2. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus, und definieren Sie Die Instanzdetails.

    • Geben Sie den Hostnamen des Computers ein, auf dem Sie den DKE-Dienst installieren möchten. Stellen Sie sicher, dass er dem Namen entspricht, der für die JwtAudience-Einstellung in der Datei "appsettings.json " definiert ist. Der Wert, den Sie für den Namen angeben, ist auch "WebAppInstanceName".

    • Wählen Sie für "Veröffentlichen", "Code" und für " Laufzeitstapel" .NET Core 3.1 aus.

    Beispiel:

    Fügen Sie Ihre App Service hinzu.

  3. Wählen Sie unten auf der Seite "Überprüfen+ Erstellen" und dann " Hinzufügen" aus.

  4. Führen Sie einen der folgenden Schritte aus, um die generierten Schlüssel zu veröffentlichen:

Veröffentlichen über ZipDeployUI

  1. Gehen Sie zu https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Beispiel: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. Wechseln Sie in der Codebasis für den Schlüsselspeicher zum Ordner "customer-key-store\src\customer-key-store ", und überprüfen Sie, ob dieser Ordner die Datei "customerkeystore.csproj " enthält.

  3. Ausführen: dotnet publish

    Im Ausgabefenster wird das Verzeichnis angezeigt, in dem die Veröffentlichung bereitgestellt wurde.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Senden Sie alle Dateien im Veröffentlichungsverzeichnis an eine .zip Datei. Stellen Sie beim Erstellen der .zip Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der .zip Datei befinden.

  5. Ziehen Sie die .zip Datei, die Sie erstellen, auf die zipDeployUI-Website, die Sie oben geöffnet haben, und legen Sie sie ab. Beispiel: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE wird bereitgestellt, und Sie können zu den von Ihnen erstellten Testschlüsseln navigieren. Fahren Sie mit der Überprüfung Der Bereitstellung unten fort.

Veröffentlichen per FTP

  1. Stellen Sie eine Verbindung mit dem App Service her, den Sie oben erstellt haben.

    Wechseln Sie in Ihrem Browser zu: Azure-Portal > App Service > Deployment Center > Manual Deployment > FTP > Dashboard.

  2. Kopieren Sie die angezeigten Verbindungszeichenfolgen in eine lokale Datei. Sie verwenden diese Zeichenfolgen, um eine Verbindung mit dem Web App Service herzustellen und Dateien per FTP hochzuladen.

    Beispiel:

    Kopieren Sie Verbindungszeichenfolgen aus dem FTP-Dashboard.

  3. Wechseln Sie in der Codebasis für den Schlüsselspeicher zum Verzeichnis "customer-key-store\src\customer-key-store".

  4. Stellen Sie sicher, dass dieses Verzeichnis die Datei "customerkeystore.csproj " enthält.

  5. Ausführen: dotnet publish

    Die Ausgabe enthält das Verzeichnis, in dem die Veröffentlichung bereitgestellt wurde.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Senden Sie alle Dateien im Veröffentlichungsverzeichnis an eine ZIP-Datei. Stellen Sie beim Erstellen der .zip Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der .zip Datei befinden.

  7. Verwenden Sie von Ihrem FTP-Client die Verbindungsinformationen, die Sie kopiert haben, um eine Verbindung mit Ihrem App Service herzustellen. Laden Sie die .zip Datei, die Sie im vorherigen Schritt erstellt haben, in das Stammverzeichnis Ihrer Web App hoch.

DKE wird bereitgestellt, und Sie können zu den von Ihnen erstellten Testschlüsseln navigieren. Überprüfen Sie als Nächstes Ihre Bereitstellung.

Überprüfen Ihrer Bereitstellung

Überprüfen Sie nach der Bereitstellung von DKE mithilfe einer der oben beschriebenen Methoden die Bereitstellung und die Schlüsselspeichereinstellungen.

Ausführen:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Beispiel:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Stellen Sie sicher, dass in der Ausgabe keine Fehler angezeigt werden. Wenn Sie fertig sind, registrieren Sie Ihren Schlüsselspeicher.

Beim Schlüsselnamen wird die Groß-/Kleinschreibung beachtet. Geben Sie den Schlüsselnamen so ein, wie er in der Datei "appsettings.json" angezeigt wird.

Registrieren Ihres Schlüsselspeichers

Mit den folgenden Schritten können Sie Ihren DKE-Dienst registrieren. Die Registrierung Ihres DKE-Diensts ist der letzte Schritt bei der Bereitstellung von DKE, bevor Sie mit dem Erstellen von Bezeichnungen beginnen können.

So registrieren Sie den DKE-Dienst:

  1. Öffnen Sie in Ihrem Browser die Microsoft Azure-Portal, und wechseln Sie zu "All Services > Identity > App Registrations".

  2. Wählen Sie "Neue Registrierung" aus, und geben Sie einen aussagekräftigen Namen ein.

  3. Wählen Sie in den angezeigten Optionen einen Kontotyp aus.

    Beispiel:

    Neue App-Registrierung.

  4. Wählen Sie unten auf der Seite " Registrieren" aus, um die neue App-Registrierung zu erstellen.

  5. Wählen Sie in Ihrer neuen App-Registrierung im linken Bereich unter "Verwalten" die Option "Authentifizierung" aus.

  6. Wählen Sie Plattform hinzufügen aus.

  7. Wählen Sie im Popup " Plattformen konfigurieren " die Option "Web" aus.

  8. Geben Sie unter "Umleitungs-URIs" den URI des Verschlüsselungsdiensts mit doppeltem Schlüssel ein. Geben Sie die App Service-URL ein, einschließlich Hostname und Domäne.

    Beispiel: https://mydkeservicetest.com

    • Die eingegebene URL muss mit dem Hostnamen übereinstimmen, unter dem Ihr DKE-Dienst bereitgestellt wird.
    • Die Domäne muss eine überprüfte Domäne sein.
    • In allen Fällen muss das Schema https sein.

    Stellen Sie sicher, dass der Hostname genau mit Ihrem App Service Hostnamen übereinstimmt.

  9. Aktivieren Sie unter "Implizite Erteilung" das Kontrollkästchen " ID-Token ".

  10. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

  11. Wählen Sie im linken Bereich "API verfügbar machen" neben dem Anwendungs-ID-URI aus, geben Sie Ihre App Service URL ein, einschließlich Hostname und Domäne, und wählen Sie dann "Festlegen" aus.

  12. Wählen Sie auf der Seite "API verfügbar machen " in den durch diesen API-Bereich definierten Bereichen " Bereich hinzufügen" aus. Im neuen Bereich:

    1. Definieren Sie den Bereichsnamen als user_impersonation.

    2. Wählen Sie die Administratoren und Benutzer aus, die zustimmen können.

    3. Definieren Sie alle verbleibenden Werte, die erforderlich sind.

    4. Klicken Sie auf Bereich hinzufügen.

    5. Wählen Sie oben speichern aus, um Ihre Änderungen zu speichern.

  13. Wählen Sie auf der Seite "API verfügbar machen " im Bereich "Autorisierte Clientanwendungen " die Option "Clientanwendung hinzufügen" aus.

    In der neuen Clientanwendung:

    1. Definieren Sie die Client-ID als d3590ed6-52b3-4102-aeff-aad2292ab01c. Dieser Wert ist die Microsoft Office-Client-ID und ermöglicht Es Office, ein Zugriffstoken für Ihren Schlüsselspeicher abzurufen.

    2. Wählen Sie unter "Autorisierte Bereiche" den bereich user_impersonation aus.

    3. Wählen Sie Anwendung hinzufügen aus.

    4. Wählen Sie oben speichern aus, um Ihre Änderungen zu speichern.

    5. Wiederholen Sie diese Schritte, aber dieses Mal definieren Sie die Client-ID als c00e9d32-3c8d-4a7d-832b-029040e7db99. Dieser Wert ist die Azure Information Protection Client-ID für einheitliche Bezeichnungen.

Ihr DKE-Dienst ist jetzt registriert. Fahren Sie fort, indem Sie Bezeichnungen mithilfe von DKE erstellen.

Erstellen von Vertraulichkeitsbezeichnungen mithilfe von DKE

Erstellen Sie in der Microsoft Purview-Complianceportal eine neue Vertraulichkeitsbezeichnung, und wenden Sie die Verschlüsselung wie sonst an. Wählen Sie "Doppelschlüsselverschlüsselung verwenden " aus, und geben Sie die Endpunkt-URL für Ihren Schlüssel ein. Sie müssen den Schlüsselnamen, den Sie im Abschnitt "TestKeys" der Datei "appsettings.json" angegeben haben, in die URL einschließen.

Beispiel: https://testingdke1.azurewebsites.net/KEYNAME

Wählen Sie im Microsoft Purview-Complianceportal "Doppelschlüsselverschlüsselung verwenden" aus.

Alle von Ihnen hinzugefügten DKE-Bezeichnungen werden für Benutzer in den neuesten Versionen von Microsoft 365 Apps for Enterprise angezeigt.

Hinweis

Es kann bis zu 24 Stunden dauern, bis die Clients mit den neuen Bezeichnungen aktualisiert wurden.

Aktivieren von DKE in Ihrem Client

Wenn Sie ein Office-Insider sind, ist DKE für Sie aktiviert. Aktivieren Sie andernfalls DKE für Ihren Client, indem Sie die folgenden Registrierungsschlüssel hinzufügen:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrieren geschützter Dateien von HYOK-Bezeichnungen zu DKE-Bezeichnungen

Wenn Sie dke eingerichtet haben, können Sie inhalte, die Sie mit HYOK-Bezeichnungen geschützt haben, zu DKE-Bezeichnungen migrieren. Zum Migrieren verwenden Sie den AIP-Scanner. Informationen zu den ersten Schritte mit dem Scanner finden Sie unter Was ist der Azure Information Protection Scanner für einheitliche Bezeichnungen?

Wenn Sie Keine Inhalte migrieren, bleiben Ihre HYOK-geschützten Inhalte davon unberührt.

Weitere Bereitstellungsoptionen

Wir wissen, dass diese Standardreferenzimplementierung mit softwarebasierten Schlüsseln für einige Kunden in stark regulierten Branchen möglicherweise nicht ausreicht, um ihre erweiterten Complianceverpflichtungen und -anforderungen zu erfüllen. Wir haben eine Partnerschaft mit HSM-Anbietern (Hardware Security Module) von Drittanbietern partnerschaftet, um erweiterte Schlüsselverwaltungsoptionen im DKE-Dienst zu unterstützen, einschließlich:

Wenden Sie sich direkt an diese Anbieter, um weitere Informationen und Anleitungen zu ihren marktorientierten DKE HSM-Lösungen zu erhalten.