Chiffrement à double clé pour Microsoft 365Double Key Encryption for Microsoft 365

S’applique à : chiffrement à double clé pour Microsoft 365, conformité microsoft 365, Azure information protectionApplies to: Double Key Encryption for Microsoft 365, Microsoft 365 Compliance, Azure Information Protection

Instructions pour : client d’étiquetage unifié Azure information protection pour WindowsInstructions for: Azure Information Protection unified labeling client for Windows

Description du service : conformité Microsoft 365Service description for: Microsoft 365 Compliance

Le chiffrement à clé double (DKE) utilise deux clés ensemble pour accéder au contenu protégé.Double Key Encryption (DKE) uses two keys together to access protected content. Microsoft stocke une clé dans Microsoft Azure et vous conservez l’autre clé.Microsoft stores one key in Microsoft Azure, and you hold the other key. Vous conservez le contrôle total de l’une de vos clés à l’aide du service de chiffrement à clé double.You maintain full control of one of your keys using the Double Key Encryption service. Vous appliquez la protection à l’aide du client d’étiquetage unifié Azure information protection à votre contenu hautement sensible.You apply protection using The Azure Information Protection unified labeling client to your highly sensitive content.

Le chiffrement à double clé prend en charge les déploiements sur le Cloud et sur site.Double Key Encryption supports both cloud and on-premises deployments. Ces déploiements permettent de s’assurer que les données chiffrées restent opaques, où que vous stockez les données protégées.These deployments help to ensure that encrypted data remains opaque wherever you store the protected data.

Pour plus d’informations sur les clés de racine de client par défaut, consultez la rubrique planification et implémentation de votre clé de client Azure information protection.For more information about the default, cloud-based tenant root keys, see Planning and implementing your Azure Information Protection tenant key.

Quand votre organisation doit adopter DKEWhen your organization should adopt DKE

Le chiffrement à double clé est destiné à vos données les plus sensibles, sujettes aux exigences de protection les plus strictes.Double Key Encryption is intended for your most sensitive data that is subject to the strictest protection requirements. DKE n’est pas destiné à toutes les données.DKE is not intended for all data. En règle générale, vous utiliserez le chiffrement à double clé pour ne protéger qu’une très petite partie de vos données globales.In general, you'll be using Double Key Encryption to protect only a very small part of your overall data. Vous devez faire diligence pour identifier les bonnes données à traiter avec cette solution avant de procéder au déploiement.You should do due diligence in identifying the right data to cover with this solution before you deploy. Dans certains cas, vous devrez peut-être affiner votre portée et utiliser d’autres solutions pour la majorité de vos données, telles que la protection des informations Microsoft avec des clés gérées par Microsoft ou BYOK.In some cases, you might need to narrow your scope and make use of other solutions for the majority of your data such as Microsoft Information Protection with Microsoft-managed keys or BYOK. Ces solutions sont suffisantes pour les documents qui ne sont pas soumis à des protections améliorées et aux exigences réglementaires.These solutions are sufficient for documents that aren't subject to enhanced protections and regulatory requirements. De plus, ces solutions vous permettent d’utiliser les services Office 365 les plus puissants ; services que vous ne pouvez pas utiliser avec du contenu chiffré DKE.Also, these solutions enable you to use the most powerful Office 365 services; services that you can't use with DKE encrypted content. Par exemple :For example:

  • Règles de transport incluant le blocage des programmes malveillants et le courrier indésirable qui nécessitent une visibilité dans la pièce jointeTransport rules including anti-malware and spam that require visibility into the attachment
  • Microsoft DelveMicrosoft Delve
  • eDiscoveryeDiscovery
  • Recherche et indexation de contenuContent search and indexing
  • Office Web Apps, y compris la fonctionnalité de co-créationOffice Web Apps including co-authoring functionality

Les applications ou services externes qui ne sont pas intégrés à DKE via le kit de développement logiciel MIP ne seront pas en mesure d’effectuer des actions sur les données chiffrées.Any external applications or services that are not integrated with DKE through the MIP SDK will be unable to perform actions on the encrypted data.

Le kit de développement logiciel (SDK) Microsoft information protection 1.7 + prend en charge le chiffrement à double clé ; les applications qui s’intègrent à notre kit de développement logiciel (SDK) seront en mesure de le faire sur ces données avec des autorisations et des intégrations suffisantes.The Microsoft Information Protection SDK 1.7+ supports Double Key Encryption; applications that integrate with our SDK will be able to reason over this data with sufficient permissions and integrations in place.

Nous recommandons aux organisations d’utiliser les fonctionnalités de protection des informations Microsoft (classification et étiquetage) pour protéger la plupart de leurs données sensibles et utiliser DKE pour leurs données critiques.We recommend organizations use Microsoft Information protection capabilities (classification and labeling) to protect most of their sensitive data and only use DKE for their mission-critical data. Le chiffrement à double clé est particulièrement pertinent pour les données extrêmement sensibles dans les secteurs hautement réglementés, tels que les services financiers et le secteur de la santé.Double Key Encryption is particularly relevant for extremely sensitive data in highly regulated industries such as Financial services and Healthcare.

Si votre organisation dispose de l’une des conditions suivantes, vous pouvez utiliser DKE pour sécuriser votre contenu :If your organizations have any of the following requirements, you can use DKE to help secure your content:

  • Vous souhaitez vous assurer que vous êtes le seul à pouvoir déchiffrer le contenu protégé, dans toutes les circonstances.You want to ensure that only you can ever decrypt protected content, under all circumstances.
  • Vous ne souhaitez pas que Microsoft ait accès aux données protégées de façon autonome.You don't want Microsoft to have access to protected data on its own.
  • Vous avez des exigences réglementaires à maintenir des clés dans une limite géographique.You have regulatory requirements to hold keys within a geographical boundary. Toutes les clés que vous mettez en attente pour le chiffrement et le déchiffrement des données sont conservées dans votre centre de données.All of the keys that you hold for data encryption and decryption are maintained in your data center.

Exigences en matière de système et de licence pour DKESystem and licensing requirements for DKE

Le chiffrement à double clé pour microsoft 365 est fourni avec Microsoft 365 E5 et Office 365 E5.Double Key Encryption for Microsoft 365 comes with Microsoft 365 E5 and Office 365 E5. Si vous n’avez pas de licence Microsoft 365 E5, vous pouvez vous inscrire pour obtenir une version d’évaluation.If you don’t have a Microsoft 365 E5 license, you can sign up for a trial. Pour plus d’informations sur ces licences, consultez la rubrique Microsoft 365 Licensing Guidance for security & Compliance.For more information about these licenses, see Microsoft 365 licensing guidance for security & compliance.

Azure information protection.Azure Information Protection. DKE fonctionne avec les étiquettes de confidentialité et nécessite Azure information protection.DKE works with sensitivity labels and requires Azure Information Protection.

Les étiquettes de sensibilité DKE sont mises à la disposition des utilisateurs finaux via le ruban de confidentialité dans les applications de bureau Office.DKE sensitivity labels are made available to end-users through the sensitivity ribbon in Office Desktop Apps. Installez ces éléments prérequis sur chaque ordinateur client sur lequel vous souhaitez protéger et consommer des documents protégés.Install these prerequisites on each client computer where you want to protect and consume protected documents.

Microsoft Office apps pour Enterprise version *. 12711 ou version ultérieure (versions de bureau de Word, PowerPoint et Excel) sur Windows.Microsoft Office Apps for enterprise version *.12711 or later (Desktop versions of Word, PowerPoint, and Excel) on Windows.

Versions du client d’étiquetage unifié Azure information protection 2.7.93.0 ou version ultérieure.Azure Information Protection Unified Labeling Client versions 2.7.93.0 or later. Téléchargez et installez le client d’étiquetage unifié à partir du Centre de téléchargement Microsoft.Download and install the Unified Labeling client from the Microsoft download center.

Environnements pris en charge pour le stockage et l’affichage du contenu protégé par DKESupported environments for storing and viewing DKE-protected content

Applications prises en charge.Supported applications. Applications Microsoft 365 pour les clients d’entreprise sur Windows, y compris Word, Excel et PowerPoint.Microsoft 365 Apps for enterprise clients on Windows, including Word, Excel, and PowerPoint.

Prise en charge du contenu en ligne.Online content support. Les documents et les fichiers stockés en ligne dans Microsoft SharePoint et OneDrive entreprise sont pris en charge.Documents and files stored online in both Microsoft SharePoint and OneDrive for Business are supported. Vous pouvez partager le contenu chiffré par courrier électronique, mais vous ne pouvez pas afficher les documents et fichiers chiffrés en ligne.You can share encrypted content by email, but you can't view encrypted documents and files online. Au lieu de cela, vous devez afficher le contenu protégé à l’aide des applications de bureau sur votre ordinateur local.Instead, you must view protected content using the desktop apps on your local computer.

Vue d’ensemble du déploiement de DKEOverview of deploying DKE

Suivez les étapes générales suivantes pour configurer DKE.You'll follow these general steps to set up DKE. Une fois que vous aurez effectué ces étapes, vos utilisateurs finaux seront en mesure de protéger vos données hautement sensibles à l’aide du chiffrement à double clé.Once you've completed these steps, your end users will be able to protect your highly sensitive data with Double Key Encryption.

  1. Déployez le service DKE comme décrit dans cet article.Deploy the DKE service as described in this article.

  2. Créez une étiquette avec un chiffrement à clé double.Create a label with Double Key Encryption. Accédez à protection des informations sous le Centre de conformité Microsoft 365 et créez une nouvelle étiquette avec le chiffrement à clé double.Navigate to Information protection under the Microsoft 365 compliance center and create a new label with Double Key Encryption. Pour appliquer le chiffrement, voir restreindre l’accès au contenu à l’aide des étiquettes de confidentialité.See Restrict access to content by using sensitivity labels to apply encryption.

  3. Utilisez des étiquettes de chiffrement à double clé.Use Double Key Encryption labels. Protégez les données en sélectionnant une étiquette chiffrée à double clé dans le ruban de sensibilité de Microsoft Office.Protect data by selecting the Double Key Encrypted label from the Sensitivity ribbon in Microsoft Office.

Il existe plusieurs façons de procéder pour déployer le chiffrement à double clé.There are several ways you can complete some of the steps to deploy Double Key Encryption. Cet article fournit des instructions détaillées afin que les administrateurs moins expérimentés déploient correctement le service.This article provides detailed instructions so that less experienced admins successfully deploy the service. Si vous êtes familiarisé, vous pouvez choisir d’utiliser vos propres méthodes.If you're comfortable doing so, you can choose to use your own methods.

Déployer DKEDeploy DKE

Cet article et la vidéo de déploiement utilisent Azure comme destination de déploiement pour le service DKE.This article and the deployment video use Azure as the deployment destination for the DKE service. Si vous effectuez le déploiement vers un autre emplacement, vous devez fournir vos propres valeurs.If you're deploying to another location, you'll need to provide your own values.

Regardez la vidéo sur le déploiement de chiffrement à double clé pour voir une présentation détaillée des concepts présentés dans cet article.Watch the Double Key Encryption deployment video to see a step-by-step overview of the concepts in this article. La vidéo prend environ 18 minutes.The video takes about 18 minutes to complete.

Suivez ces étapes générales pour configurer le chiffrement à double clé pour votre organisation.You'll follow these general steps to set up Double Key Encryption for your organization.

  1. Installer les composants logiciels requis pour le service DKEInstall software prerequisites for the DKE service
  2. Cloner le référentiel GitHub de chiffrement à double cléClone the Double Key Encryption GitHub repository
  3. Modifier les paramètres d’applicationModify application settings
  4. Générer des clés de testGenerate test keys
  5. Générez le projet.Build the project
  6. Déployer le service DKE et publier le magasin de clésDeploy the DKE service and publish the key store
  7. Valider votre déploiementValidate your deployment
  8. Enregistrer votre magasin de clésRegister your key store
  9. Créer des étiquettes de confidentialité à l’aide de DKECreate sensitivity labels using DKE
  10. Activer DKE dans votre clientEnable DKE in your client
  11. Migrer des fichiers protégés des étiquettes HYOK vers les étiquettes DKEMigrate protected files from HYOK labels to DKE labels

Lorsque vous avez fini, vous pouvez chiffrer des documents et des fichiers à l’aide de DKE.When you're done, you can encrypt documents and files using DKE. Pour plus d’informations, consultez la rubrique appliquer des étiquettes de confidentialité à vos fichiers et à votre messagerie électronique dans Office.For information, see Apply sensitivity labels to your files and email in Office.

Installer les composants logiciels requis pour le service DKEInstall software prerequisites for the DKE service

Installez ces éléments prérequis sur l’ordinateur sur lequel vous souhaitez installer le service DKE.Install these prerequisites on the computer where you want to install the DKE service.

.Net Core 3,1 SDK..NET Core 3.1 SDK. Téléchargez et installez le kit de développement logiciel (SDK) à partir de Télécharger .net Core 3,1.Download and install the SDK from Download .NET Core 3.1.

Visual Studio code.Visual Studio Code. Téléchargez Visual Studio code à partir de https://code.visualstudio.com/ .Download Visual Studio Code from https://code.visualstudio.com/. Une fois installé, exécutez Visual Studio code et sélectionnez Afficher les > Extensions.Once installed, run Visual Studio Code and select View > Extensions. Installez ces extensions.Install these extensions.

  • C# pour Visual Studio codeC# for Visual Studio Code

  • Gestionnaire de package NuGetNuGet Package Manager

Ressources git.Git resources. Téléchargez et installez l’un des éléments suivants.Download and install one of the following.

OpenSSL OpenSSL doit être installé pour générer des clés de test une fois que vous avez déployé DKE.OpenSSL You must have OpenSSL installed to generate test keys after you deploy DKE. Vérifiez que vous l’appelez correctement à partir de votre chemin d’accès aux variables d’environnement.Make sure you're invoking it correctly from your environment variables path. Par exemple, pour plus d’informations, consultez la section « ajouter le répertoire d’installation au chemin d’accès » https://www.osradar.com/install-openssl-windows/ .For example, see "Add the installation directory to PATH" at https://www.osradar.com/install-openssl-windows/ for details.

Cloner le référentiel DKE GitHubClone the DKE GitHub repository

Microsoft fournit les fichiers source DKE dans un référentiel GitHub.Microsoft supplies the DKE source files in a GitHub repository. Vous clonez le référentiel pour créer le projet localement pour l’utilisation de votre organisation.You clone the repository to build the project locally for your organization's use. Le référentiel DKE GitHub se trouve à l’emplacement https://github.com/Azure-Samples/DoubleKeyEncryptionService .The DKE GitHub repository is located at https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Les instructions suivantes sont destinées aux utilisateurs de git ou de code Visual Studio inexpérimentés :The following instructions are intended for inexperienced git or Visual Studio Code users:

  1. Dans votre navigateur, accédez à : https://github.com/Azure-Samples/DoubleKeyEncryptionService .In your browser, go to: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Dans la partie droite de l’écran, sélectionnez code.Towards the right side of the screen, select Code. Votre version de l’interface utilisateur peut afficher un bouton Clone ou télécharger .Your version of the UI might show a Clone or download button. Ensuite, dans la liste déroulante qui apparaît, sélectionnez l’icône copier pour copier l’URL dans votre presse-papiers.Then, in the dropdown that appears, select the copy icon to copy the URL to your clipboard.

    Par exemple :For example:

    Cloner le référentiel du service de chiffrement à clé double à partir de GitHub

  3. Dans Visual Studio code, sélectionnez Afficher la > palette de commandes et sélectionnez git : Clone.In Visual Studio Code, select View > Command Palette and select Git: Clone. Pour accéder à l’option dans la liste, commencez git: clone à taper pour filtrer les entrées, puis sélectionnez-la dans la liste déroulante.To jump to the option in the list, start typing git: clone to filter the entries and then select it from the drop-down. Par exemple :For example:

    Option GIT : clone de Visual Studio code

  4. Dans la zone de texte, collez l’URL que vous avez copiée à partir de git et sélectionnez Clone dans GitHub.In the text box, paste the URL that you copied from Git and select Clone from GitHub.

  5. Dans la boîte de dialogue Sélectionner un dossier qui s’affiche, accédez à l’emplacement où vous souhaitez stocker le référentiel et sélectionnez-le.In the Select Folder dialog that appears, browse to and select a location to store the repository. À l’invite, sélectionnez ouvrir.At the prompt, select Open.

    Le référentiel s’ouvre dans Visual Studio code et affiche la branche git actuelle en bas à gauche.The repository opens in Visual Studio Code, and displays the current Git branch at the bottom left. La branche doit être Master.The branch should be master.

    Par exemple :For example:

    Branche Visual Studio code Master

  6. Sélectionnez le masque de mots dans la liste des branches.Select the word master from the list of branches.

    Important

    La sélection de la branche principale garantit que vous disposez des fichiers appropriés pour générer le projet.Selecting the master branch ensures that you have the correct files to build the project. Si vous ne sélectionnez pas la branche appropriée, votre déploiement échouera.If you do not choose the correct branch your deployment will fail.

Votre référentiel source DKE est maintenant configuré localement.You now have your DKE source repository set up locally. Ensuite, Modifiez les paramètres d’application pour votre organisation.Next, modify application settings for your organization.

Modifier les paramètres d’applicationModify application settings

Pour déployer le service DKE, vous devez modifier les types de paramètres d’application suivants :To deploy the DKE service, you must modify the following types of application settings:

Vous modifiez les paramètres de l’application dans le fichier appsettings.js.You modify application settings in the appsettings.json file. Ce fichier se trouve dans le DoubleKeyEncryptionService référentiel que vous avez cloné localement sous DoubleKeyEncryptionService\src\customer-key-store.This file is located in the DoubleKeyEncryptionService repo you cloned locally under DoubleKeyEncryptionService\src\customer-key-store. Par exemple, dans Visual Studio code, vous pouvez accéder au fichier comme indiqué dans l’image suivante.For example, in Visual Studio Code, you can browse to the file as shown in the following picture.

Recherche de la appsettings.jssur le fichier pour DKE.

Paramètres d’accès clésKey access settings

Choisissez d’utiliser ou non l’autorisation de messagerie ou de rôle.Choose whether to use email or role authorization. DKE ne prend en charge qu’une seule de ces méthodes d’authentification à la fois.DKE supports only one of these authentication methods at a time.

  • Autorisation de messagerie.Email authorization. Permet à votre organisation d’autoriser l’accès aux clés en fonction des adresses de messagerie uniquement.Allows your organization to authorize access to keys based on email addresses only.

  • Autorisation de rôle.Role authorization. Permet à votre organisation d’autoriser l’accès aux clés en fonction des groupes Active Directory et exige que le service Web interroge LDAP.Allows your organization to authorize access to keys based on Active Directory groups, and requires that the web service can query LDAP.

Pour définir les paramètres d’accès clés pour DKE à l’aide de l’autorisation de messagerieTo set key access settings for DKE using email authorization

  1. Ouvrez le fichier appsettings.js et localisez le AuthorizedEmailAddress paramètre.Open the appsettings.json file and locate the AuthorizedEmailAddress setting.

  2. Ajoutez l’adresse ou les adresses de messagerie que vous souhaitez autoriser.Add the email address or addresses that you want to authorize. Séparez les adresses de messagerie par des guillemets et des virgules.Separate multiple email addresses with double quotes and commas. Par exemple :For example:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Recherchez le LDAPPath paramètre et supprimez le texte If you use role authorization (AuthorizedRoles) then this is the LDAP path. entre guillemets doubles.Locate the LDAPPath setting and remove the text If you use role authorization (AuthorizedRoles) then this is the LDAP path. between the double quotes. Laissez les guillemets doubles en place.Leave the double quotes in place. Lorsque vous avez terminé, le paramètre doit ressembler à ce qui suit.When you're finished, the setting should look like this.

    "LDAPPath": ""
    
  4. Localisez le AuthorizedRoles paramètre et supprimez la ligne entière.Locate the AuthorizedRoles setting and delete the entire line.

Cette image montre le appsettings.jssur un fichier correctement mis en forme pour l’autorisation de messagerie.This image shows the appsettings.json file correctly formatted for email authorization.

appsettings.jssur le fichier affichant la méthode d’autorisation de messagerie

Pour définir les paramètres d’accès clés pour DKE à l’aide de l’autorisation de rôleTo set key access settings for DKE using role authorization

  1. Ouvrez le fichier appsettings.js et localisez le AuthorizedRoles paramètre.Open the appsettings.json file and locate the AuthorizedRoles setting.

  2. Ajoutez les noms de groupe Active Directory que vous souhaitez autoriser.Add the Active Directory group names you want to authorize. Séparez les noms de plusieurs groupes par des guillemets et des virgules.Separate multiple group names with double quotes and commas. Par exemple :For example:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Localisez le LDAPPath paramètre et ajoutez le domaine Active Directory.Locate the LDAPPath setting and add the Active Directory domain. Par exemple :For example:

    "LDAPPath": "contoso.com"
    
  4. Localisez le AuthorizedEmailAddress paramètre et supprimez la ligne entière.Locate the AuthorizedEmailAddress setting and delete the entire line.

Cette image montre le appsettings.jssur un fichier correctement mis en forme pour l’autorisation de rôle.This image shows the appsettings.json file correctly formatted for role authorization.

appsettings.jssur le fichier affichant la méthode d’autorisation de rôle

Paramètres de client et de cléTenant and key settings

Les paramètres de client et de clé DKE se trouvent dans le fichier appsettings.js .DKE tenant and key settings are located in the appsettings.json file.

Pour configurer les paramètres de client et de clé pour DKETo configure tenant and key settings for DKE

  1. Ouvrez le fichier appsettings.js .Open the appsettings.json file.

  2. Recherchez le ValidIssuers paramètre et remplacez-le <tenantid> par votre ID de client.Locate the ValidIssuers setting and replace <tenantid> with your tenant ID. Vous pouvez localiser votre ID de locataire en accédant au portail Azure et en affichant les Propriétés du client.You can locate your tenant ID by going to the Azure portal and viewing the tenant properties. Par exemple :For example:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Localisez le JwtAudience .Locate the JwtAudience. Remplacez <yourhostname> par le nom d’hôte de l’ordinateur sur lequel le service DKE s’exécutera.Replace <yourhostname> with the hostname of the machine where the DKE service will run. Par exemple :For example:

Important

La valeur de JwtAudience doit correspondre exactementau nom de votre hôte.The value for JwtAudience must match the name of your host exactly. Vous pouvez utiliser localhost : 5001 lors du débogage.You may use localhost:5001 while debugging. Toutefois, lorsque vous avez fini de déboguer, veillez à mettre à jour cette valeur sur le nom d’hôte du serveur.However, When you're done debugging, make sure to update this value to the server's hostname.

  • TestKeys:Name.TestKeys:Name. Entrez un nom pour votre clé.Enter a name for your key. Par exemple : TestKey1For example: TestKey1
  • TestKeys:Id.TestKeys:Id. Créez un GUID et entrez-le en tant que TestKeys:ID valeur.Create a GUID and enter it as the TestKeys:ID value. Par exemple, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE.For example, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Vous pouvez utiliser un site comme le Générateur de GUID en ligne pour générer un GUID de manière aléatoire.You can use a site like Online GUID Generator to randomly generate a GUID.

Cette image indique le format correct pour les paramètres de client et de clé dans appsettings.jsactivé.This image shows the correct format for tenant and keys settings in appsettings.json. LDAPPath est configuré pour l’autorisation de rôle.LDAPPath is configured for role authorization.

Indique les paramètres client et clé corrects pour DKE dans le fichier appsettings.js.

Générer des clés de testGenerate test keys

Une fois que vous avez défini les paramètres de votre application, vous êtes prêt à générer des clés de test publiques et privées.Once you have your application settings defined, you're ready to generate public and private test keys.

Pour générer des clés :To generate keys:

  1. Dans le menu Démarrer de Windows, exécutez l’invite de commandes OpenSSL.From the Windows Start menu, run the OpenSSL Command Prompt.

  2. Accédez au dossier dans lequel vous souhaitez enregistrer les clés de test.Change to the folder where you want to save the test keys. Les fichiers que vous créez en suivant les étapes de cette tâche sont stockés dans le même dossier.The files you create by completing the steps in this task are stored in the same folder.

  3. Générez la nouvelle clé de test.Generate the new test key.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Générez la clé privée.Generate the private key.

    openssl rsa -in key.pem -out privkeynopass.pem
    
  5. Générez la clé publique.Generate the public key.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  6. Dans un éditeur de texte, ouvrez pubkeyonly. pem.In a text editor, open pubkeyonly.pem. Copiez tout le contenu du fichier pubkeyonly. pem , à l’exception de la première et de la dernière ligne, dans la PublicPem section du fichier appsettings.js .Copy all of the content in the pubkeyonly.pem file, except the first and last lines, into the PublicPem section of the appsettings.json file.

  7. Dans un éditeur de texte, ouvrez privkeynopass. pem.In a text editor, open privkeynopass.pem. Copiez tout le contenu du fichier privkeynopass. pem , à l’exception de la première et de la dernière ligne, dans la PrivatePem section du fichier appsettings.js .Copy all of the content in the privkeynopass.pem file, except the first and last lines, into the PrivatePem section of the appsettings.json file.

  8. Supprimez tous les espaces et lignes de nouvelle ligne dans les PublicPem PrivatePem sections et.Remove all blank spaces and newlines in both the PublicPem and PrivatePem sections.

    Important

    Lorsque vous copiez ce contenu, ne supprimez pas les données du PEM.When you copy this content, do not delete any of the PEM data.

  9. Dans Visual Studio code, accédez au fichier Startup.cs .In Visual Studio Code, browse to the Startup.cs file. Ce fichier se trouve dans le DoubleKeyEncryptionService référentiel que vous avez cloné localement sous DoubleKeyEncryptionService\src\customer-key-store.This file is located in the DoubleKeyEncryptionService repo you cloned locally under DoubleKeyEncryptionService\src\customer-key-store.

  10. Recherchez les lignes suivantes :Locate the following lines:

     #if USE_TEST_KEYS
     #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
     DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
     #endif
  1. Remplacez ces lignes par le texte suivant :Replace these lines with the following text:
services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();

Les résultats finaux doivent ressembler à ce qui suit.The end results should look similar to the following.

fichier startup.cs pour la préversion publique

Vous êtes maintenant prêt à créer votre projet DKE.Now you're ready to build your DKE project.

Générez le projet.Build the project

Suivez les instructions ci-dessous pour générer le projet DKE localement :Use the following instructions to build the DKE project locally:

  1. Dans Visual Studio code, dans le référentiel du service DKE, sélectionnez Afficher la > palette de commandes , puis tapez générer à l’invite.In Visual Studio Code, in the DKE service repository, select View > Command Palette and then type build at the prompt.

  2. Dans la liste, choisissez tâches : exécuter la tâche de génération.From the list, choose Tasks: Run build task.

    Si aucune tâche de génération n’a été trouvée, sélectionnez configurer la tâche de génération et créez-en une pour .net Core comme suit.If there are no build tasks found, select Configure Build Task and create one for .NET core as follows.

    Configurer une tâche de génération manquante pour .NET

    1. Choisissez create tasks.json from template.Choose Create tasks.json from template.

      Créer tasks.jssur le fichier à partir du modèle pour DKE

    2. Dans la liste des types de modèles, sélectionnez .net Core.From the list of template types, select .NET Core.

      Sélectionnez le modèle approprié pour DKE

    3. Dans la section générer, recherchez le chemin d’accès au fichier customerkeystore. csproj .In the build section, locate the path to the customerkeystore.csproj file. Si ce n’est pas le cas, ajoutez la ligne suivante :If it's not there, add the following line:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Exécutez de nouveau la génération.Run the build again.

  3. Vérifiez qu’il n’y a pas d’erreurs rouges dans la fenêtre sortie.Verify that there are no red errors in the output window.

    S’il y a des erreurs rouges, vérifiez la sortie de la console.If there are red errors, check the console output. Assurez-vous que vous avez effectué toutes les étapes précédentes correctement et que les versions de build correctes sont présentes.Ensure that you completed all the previous steps correctly and the correct build versions are present.

  4. Sélectionnez exécuter > Démarrer le débogage pour déboguer le processus.Select Run > Start Debugging to debug the process. Si vous êtes invité à sélectionner un environnement, sélectionnez .net Core.If you're prompted to select an environment, select .NET core.

Le débogueur .NET Core se lance généralement vers https://localhost:5001 .The .NET core debugger typically launches to https://localhost:5001. Pour afficher votre clé de test, accédez à https://localhost:5001 et ajoutez une barre oblique (/) et le nom de votre clé.To view your test key, go to https://localhost:5001 and append a forward slash (/) and the name of your key. Par exemple :For example:

https://localhost:5001/TestKey1

La clé doit s’afficher au format JSON.The key should display in JSON format.

Votre installation est maintenant terminée.Your setup is now complete. Avant de publier le keystore, dans appsettings.jsactivé, pour le paramètre JwtAudience, vérifiez que la valeur de hostname correspond exactement au nom de l’hôte de service de l’application.Before you publish the keystore, in appsettings.json, for the JwtAudience setting, ensure the value for hostname exactly matches your App Service host name. Vous pouvez l’avoir remplacée par localhost pour dépanner la Build.You may have changed it to localhost to troubleshoot the build.

Déployer le service DKE et publier le magasin de clésDeploy the DKE service and publish the key store

Pour les déploiements de production, déployez le service dans un nuage tiers ou publiez-le sur un système local.For production deployments, deploy the service either in a third-party cloud or publish to an on-premises system.

Vous pouvez préférer d’autres méthodes de déploiement de vos clés.You may prefer other methods to deploy your keys. Sélectionnez la méthode qui convient le mieux à votre organisation.Select the method that works best for your organization.

Pour les déploiements pilotes, vous pouvez déployer dans Azure et commencer immédiatement.For pilot deployments, you can deploy in Azure and get started right away.

Pour créer une instance Azure Web App afin d’héberger votre déploiement DKETo create an Azure Web App instance to host your DKE deployment

Pour publier le magasin de clés, vous allez créer une instance de service d’application Azure pour héberger votre déploiement DKE.To publish the key store, you'll create an Azure App Service instance to host your DKE deployment. Ensuite, vous allez publier vos clés générées dans Azure.Next, you'll publish your generated keys to Azure.

  1. Dans votre navigateur, connectez-vous au portail Microsoft Azureet accédez à app services > Add.In your browser, sign in to the Microsoft Azure portal, and go to App Services > Add.

  2. Sélectionnez votre abonnement et le groupe de ressources, puis définissez les détails de votre instance.Select your subscription and resource group and define your instance details.

    • Entrez le nom d’hôte de l’ordinateur sur lequel vous souhaitez installer le service DKE.Enter the hostname of the computer where you want to install the DKE service. Assurez-vous qu’il s’agit du même nom que celui défini pour le paramètre JwtAudience dans le fichier appsettings.js .Make sure it's the same name as the one defined for the JwtAudience setting in the appsettings.json file. La valeur que vous fournissez pour le nom est également WebAppInstanceName.The value you provide for the name is also the WebAppInstanceName.

    • Pour publier, sélectionner le codeet pour la pile Runtime, sélectionnez .net Core 3,1.For Publish, select code, and for Runtime stack, select .NET Core 3.1.

    Par exemple :For example:

    Ajouter votre service d’application

  3. Au bas de la page, sélectionnez révision + créer, puis Ajouter.At the bottom of the page, select Review + create, and then select Add.

  4. Effectuez l’une des opérations suivantes pour publier vos clés générées :Do one of the following to publish your generated keys:

Publier via ZipDeployUIPublish via ZipDeployUI

  1. Accédez à https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.Go to https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Par exemple : https://dkeservice.scm.azurewebsites.net/ZipDeployUIFor example: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

  2. Dans la base de code pour le magasin de clés, accédez au dossier Customer-Key-store\src\customer-Key-Store et vérifiez que ce dossier contient le fichier customerkeystore. csproj .In the codebase for the key store, go to the customer-key-store\src\customer-key-store folder, and verify that this folder contains the customerkeystore.csproj file.

  3. Exécuter : publication dotnetRun: dotnet publish

    La fenêtre sortie affiche le répertoire dans lequel la publication a été déployée.The output window displays the directory where the publish was deployed.

    Par exemple : customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\For example: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Envoyez tous les fichiers du répertoire de publication dans un fichier. zip.Send all files in the publish directory to a .zip file. Lors de la création du fichier. zip, assurez-vous que tous les fichiers du répertoire sont au niveau racine du fichier. zip.When creating the .zip file, make sure that all files in the directory are at the root level of the .zip file.

  5. Faites glisser et déposez le fichier. zip que vous créez sur le site ZipDeployUI que vous avez ouvert ci-dessus.Drag and drop the .zip file you create to the ZipDeployUI site you opened above. Par exemple : https://dkeservice.scm.azurewebsites.net/ZipDeployUIFor example: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE est déployé et vous pouvez accéder aux clés de test que vous avez créées.DKE is deployed and you can browse to the test keys you've created. Poursuivez la validation de votre déploiement ci-dessous.Continue to Validate your deployment below.

Publier via FTPPublish via FTP

  1. Connectez-vous au service d’application que vous avez créé ci-dessus.Connect to the App Service you created above.

    Dans votre navigateur, accédez à : Azure portal > App Service > Centre de déploiementde > déploiement manuel > FTP > Dashboarddu centre de déploiement Azure Portal App.In your browser, go to: Azure portal > App Service > Deployment Center > Manual Deployment > FTP > Dashboard.

  2. Copiez les chaînes de connexion affichées dans un fichier local.Copy the connection strings displayed to a local file. Vous utiliserez ces chaînes pour vous connecter au service d’application Web et télécharger des fichiers via FTP.You'll use these strings to connect to the Web App Service and upload files via FTP.

    Par exemple :For example:

    Copier des chaînes de connexion à partir du tableau de bord FTP

  3. Dans la base de code pour le stockage de clés, accédez au répertoire Customer-Key-store\src\customer-Key-StoreIn the codebase for the key storage, go to the customer-key-store\src\customer-key-store directory.

  4. Vérifiez que ce répertoire contient le fichier customerkeystore. csproj .Verify that this directory contains the customerkeystore.csproj file.

  5. Exécuter : publication dotnetRun: dotnet publish

    La sortie contient le répertoire dans lequel la publication a été déployée.The output contains the directory where the publish was deployed.

    Par exemple : customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\For example: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Envoyez tous les fichiers du répertoire de publication dans un fichier zip.Send all files in the publish directory to a zip file. Lors de la création du fichier. zip, assurez-vous que tous les fichiers du répertoire sont au niveau racine du fichier. zip.When creating the .zip file, make sure that all files in the directory are at the root level of the .zip file.

  7. À partir de votre client FTP, utilisez les informations de connexion que vous avez copiées pour vous connecter à votre service d’application.From your FTP client, use the connection information you copied to connect to your App Service. Téléchargez le fichier. zip que vous avez créé à l’étape précédente dans le répertoire racine de votre application Web.Upload the .zip file you created in the previous step to the root directory of your Web App.

DKE est déployé et vous pouvez accéder aux clés de test que vous auriez créées.DKE is deployed and you can browse to the test keys you'd created. Ensuite, validez votre déploiement.Next, Validate your deployment.

Valider votre déploiementValidate your deployment

Après avoir déployé DKE à l’aide de l’une des méthodes décrites ci-dessus, validez les principaux paramètres de déploiement et de magasin de clés.After deploying DKE using one of the methods described above, validate the deployment and the key store settings.

GénérerRun:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/MyKeysrc\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Par exemple :For example:

key_store_tester.ps1 https://mydkeservice.com/mykeykey_store_tester.ps1 https://mydkeservice.com/mykey

Assurez-vous qu’aucune erreur ne s’affiche dans la sortie.Ensure that no errors appear in the output. Lorsque vous êtes prêt, Enregistrez votre magasin de clés.When you're ready, register your key store.

Enregistrer votre magasin de clésRegister your key store

Les étapes suivantes vous permettent d’enregistrer votre service DKE.The following steps enable you to register your DKE service. L’inscription de votre service DKE est la dernière étape du déploiement de DKE avant de pouvoir commencer à créer des étiquettes.Registering your DKE service is the last step in deploying DKE before you can start creating labels.

Pour enregistrer le service DKE :To register the DKE service:

  1. Dans votre navigateur, ouvrez le portail Microsoft Azure, puis accédez à toutes les > Identity > inscriptions des applications d' identité des services.In your browser, open the Microsoft Azure portal, and go to All Services > Identity > App Registrations.

  2. Sélectionnez nouvelle inscription, puis entrez un nom explicite.Select New registration, and enter a meaningful name.

  3. Sélectionnez un type de compte parmi les options affichées.Select an account type from the options displayed.

    Si vous utilisez Microsoft Azure avec un domaine non personnalisé, tel que onmicrosoft.com, sélectionnez comptes dans cet annuaire d’organisation uniquement (Microsoft uniquement-client unique).If you're using Microsoft Azure with a non-custom domain, such as onmicrosoft.com, select Accounts in this organizational directory only (Microsoft only - Single tenant).

    Par exemple :For example:

    Inscription de l’application

  4. Au bas de la page, sélectionnez Enregistrer pour créer la nouvelle inscription de l’application.At the bottom of the page, select Register to create the new App Registration.

  5. Dans la nouvelle inscription de l’application, dans le volet gauche, sous gérer, sélectionnez authentification.In your new App Registration, in the left pane, under Manage, select Authentication.

  6. Sélectionnez Ajouter une plateforme.Select Add a platform.

  7. Dans la fenêtre contextuelle configurer les plateformes , sélectionnez Web.On the Configure platforms popup, select Web.

  8. Sous URI de redirection, entrez l’URI de votre service de chiffrement à double clé.Under Redirect URIs, enter the URI of your double key encryption service. Entrez l’URL du service d’application, y compris le nom d’hôte et le domaine.Enter the App Service URL, including both the hostname and domain.

    Par exemple : https://mydkeservicetest.comFor example: https://mydkeservicetest.com

    • L’URL que vous entrez doit correspondre au nom d’hôte dans lequel votre service DKE est déployé.The URL you enter must match the hostname where your DKE service is deployed.
    • Si vous testez localement avec Visual Studio, utilisez https://localhost:5001 .If you're testing locally with Visual Studio, use https://localhost:5001.
    • Dans tous les cas, le modèle doit être https.In all cases, the scheme must be https.

    Vérifiez que le nom d’hôte correspond exactement au nom d’hôte de votre service d’application.Ensure the hostname exactly matches your App Service hostname. Vous pouvez l’avoir modifié sur localhost pour dépanner la Build.You may have changed it to localhost to troubleshoot the build. Dans appsettings.jsactivé, cette valeur est le nom d’hôte que vous avez défini pour JwtAudience .In appsettings.json, this value is the hostname you set for JwtAudience.

  9. Sous attribution implicite, activez la case à cocher jetons d’ID .Under Implicit grant, select the ID tokens checkbox.

  10. Sélectionnez Enregistrer pour enregistrer vos modifications.Select Save to save your changes.

  11. Dans le volet de gauche, sélectionnez exposer une API, puis en regard de l’ID d’application URI, sélectionnez Set.On the left pane, select Expose an API, then next to Application ID URI, select Set.

  12. Toujours sur la page exposer une API , dans la zone étendues définies par cette API , sélectionnez Ajouter une étendue.Still on the Expose an API page, in the Scopes defined by this API area, select Add a scope. Dans la nouvelle étendue :In the new scope:

    1. Définissez le nom de l’étendue en tant que user_impersonation.Define the scope name as user_impersonation.

    2. Sélectionnez les administrateurs et les utilisateurs qui peuvent consentir.Select the administrators and users who can consent.

    3. Définissez les valeurs restantes requises.Define any remaining values required.

    4. Sélectionnez Ajouter une étendue.Select Add scope.

    5. Sélectionnez Enregistrer dans la partie supérieure pour enregistrer vos modifications.Select Save at the top to save your changes.

  13. Toujours sur la page exposer une API , dans la zone applications clientes autorisées , sélectionnez Ajouter une application cliente.Still on the Expose an API page, in the Authorized client applications area, select Add a client application.

    Dans la nouvelle application cliente :In the new client application:

    1. Définissez l’ID client comme d3590ed6-52b3-4102-Aeff-aad2292ab01c.Define the Client ID as d3590ed6-52b3-4102-aeff-aad2292ab01c. Cette valeur est l’ID client Microsoft Office et permet à Office d’obtenir un jeton d’accès pour votre magasin de clés.This value is the Microsoft Office client ID, and enables Office to obtain an access token for your key store.

    2. Sous étendues autorisées, sélectionnez l’étendue user_impersonation .Under Authorized scopes, select the user_impersonation scope.

    3. Sélectionnez Ajouter une application.Select Add application.

    4. Sélectionnez Enregistrer dans la partie supérieure pour enregistrer vos modifications.Select Save at the top to save your changes.

Votre service DKE est maintenant enregistré.Your DKE service is now registered. Continuez en créant des étiquettes à l’aide de DKE.Continue by creating labels using DKE.

Créer des étiquettes de confidentialité à l’aide de DKECreate sensitivity labels using DKE

Dans le centre de conformité Microsoft 365, créez une étiquette de sensibilité et appliquez le chiffrement comme vous le feriez autrement.In the Microsoft 365 compliance center, create a new sensitivity label and apply encryption as you would otherwise. Sélectionnez utiliser le chiffrement à double clé et entrez l’URL du point de terminaison de votre clé.Select Use Double Key Encryption and enter the endpoint URL for your key.

Par exemple :For example:

Sélectionnez utiliser le chiffrement à double clé dans le centre de conformité Microsoft 365

Toutes les étiquettes DKE que vous ajoutez commencent à apparaître pour les utilisateurs dans les versions les plus récentes des applications Microsoft 365 pour entreprises.Any DKE labels you add will start appearing for users in the latest versions of Microsoft 365 Apps for enterprise.

Notes

L’actualisation des clients avec les nouvelles étiquettes peut prendre jusqu’à 24 heures.It may take up to 24 hours for the clients to refresh with the new labels.

Activer DKE dans votre clientEnable DKE in your client

Si vous êtes un Office Insider, DKE est activé pour vous.If you're an Office Insider, DKE is enabled for you. Dans le cas contraire, activez DKE pour votre client en ajoutant les clés de Registre suivantes :Otherwise, enable DKE for your client by adding the following registry keys:

    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
    "DoubleKeyProtection"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
    "DoubleKeyProtection"=dword:00000001

Migrer des fichiers protégés des étiquettes HYOK vers les étiquettes DKEMigrate protected files from HYOK labels to DKE labels

Si vous le souhaitez, une fois que vous avez terminé la configuration de DKE, vous pouvez migrer le contenu que vous avez protégé à l’aide des étiquettes HYOK vers les étiquettes DKE.If you want, once you're finished setting up DKE, you can migrate content that you've protected using HYOK labels to DKE labels. Pour effectuer la migration, vous utiliserez le scanneur AIP.To migrate, you'll use the AIP scanner. Pour commencer à utiliser le scanneur, voir qu’est-ce que le scanneur d’étiquetage unifié Azure information protection ?.To get started using the scanner, see What is the Azure Information Protection unified labeling scanner?.

Si vous ne migrez pas le contenu, votre contenu protégé HYOK restera non affecté.If you don't migrate content, your HYOK protected content will remain unaffected.