Dubbele sleutelversleuteling voor Microsoft 365

Van toepassing op: Double Key Encryption for Microsoft 365, Microsoft 365 Compliance, Azure Information Protection

Instructies voor: Geïntegreerde labelingclient voor Azure Information Protection voor Windows

Servicebeschrijving voor: Microsoft 365 Compliance

Double Key Encryption (DKE) gebruikt twee toetsen samen om beveiligde inhoud te openen. Microsoft slaat één sleutel op in Microsoft Azure en u houdt de andere sleutel vast. U hebt volledige controle over een van uw sleutels met de service Dubbele sleutelversleuteling. U kunt beveiliging toepassen met de geïntegreerde labelingclient van Azure Information Protection op uw zeer gevoelige inhoud.

Double Key Encryption ondersteunt zowel cloud- als on-premises implementaties. Deze implementaties helpen ervoor te zorgen dat versleutelde gegevens ondoorzichtig blijven, waar u de beveiligde gegevens ook opgeslagen.

Zie Uw Azure Information Protection-tenantsleutelplannen en implementeren voor meer informatie over de standaardsleutels voor tenants in de cloud.

Wanneer uw organisatie DKE moet aannemen

Dubbele sleutelversleuteling is bedoeld voor uw meest gevoelige gegevens die aan de strengste beveiligingsvereisten zijn onderworpen. DKE is niet bedoeld voor alle gegevens. Over het algemeen gebruikt u Dubbele sleutelversleuteling om slechts een klein deel van uw algehele gegevens te beveiligen. U dient zorgvuldig te werk te gaan bij het identificeren van de juiste gegevens voor deze oplossing voordat u deze implementeert. In sommige gevallen moet u mogelijk uw bereik beperken en gebruikmaken van andere oplossingen voor de meeste gegevens, zoals Microsoft Information Protection met door Microsoft beheerde sleutels of BYOK. Deze oplossingen zijn voldoende voor documenten die niet onderhevig zijn aan verbeterde beveiliging en wettelijke vereisten. Met deze oplossingen kunt u ook de meest krachtige Office 365 gebruiken. services die u niet kunt gebruiken met DKE-versleutelde inhoud. Bijvoorbeeld:

• Transportregels, waaronder anti-malware en spam die zichtbaarheid in de bijlage vereisen
• Microsoft Delve
• eDiscovery
• Zoeken en indexeren van inhoud
• Office Web-apps, inclusief coauthoringsfunctionaliteit

Externe toepassingen of services die niet zijn geïntegreerd met DKE via de MIP SDK, kunnen geen acties uitvoeren op de versleutelde gegevens.

De Microsoft Information Protection SDK 1.7+ ondersteunt Dubbele sleutelversleuteling. toepassingen die zijn geïntegreerd met onze SDK, kunnen deze gegevens overreden met voldoende machtigingen en integraties.

We raden organisaties aan microsoft-informatiebeveiligingsfuncties (classificatie en labeling) te gebruiken om de meeste gevoelige gegevens te beveiligen en alleen DKE te gebruiken voor hun bedrijfskritische gegevens. Dubbele sleutelversleuteling is relevant voor gevoelige gegevens in sterk gereguleerde bedrijfstakken, zoals financiële diensten en gezondheidszorg.

Als uw organisaties een van de volgende vereisten hebben, kunt u DKE gebruiken om uw inhoud te beveiligen:

• U wilt ervoor zorgen dat alleen u beveiligde inhoud onder alle omstandigheden kunt ontsleutelen.
• U wilt niet dat Microsoft zelf toegang heeft tot beveiligde gegevens.
• U hebt wettelijke vereisten voor het vasthouden van sleutels binnen een geografische grens. Alle sleutels die u hebt voor gegevensversleuteling en ontsleuteling, worden bewaard in uw datacenter.

Systeem- en licentievereisten voor DKE

Dubbele sleutelversleuteling voor Microsoft 365 wordt geleverd met Microsoft 365 E5. Als u geen licentie voor Microsoft 365 E5 hebt, kunt u zich registreren voor een proefabonnement. Zie voor meer informatie over deze licenties Microsoft 365 richtlijnen voor beveiligings- & naleving.

Azure Information Protection. DKE werkt met gevoeligheidslabels en vereist Azure Information Protection.

DKE-gevoeligheidslabels worden beschikbaar gesteld voor eindgebruikers via het lint gevoeligheid in Office Bureaublad-apps. Installeer deze vereisten op elke clientcomputer waar u beveiligde documenten wilt beveiligen en gebruiken.

Microsoft Office Apps voor ondernemingsversie 2009 of hoger (bureaubladversies van Word, PowerPoint en Excel) op Windows.

Azure Information Protection Unified Labeling Client versions 2.7.93.0 of hoger. Download en installeer de Unified Labeling-client vanuit het Microsoft-downloadcentrum.

Ondersteunde omgevingen voor het opslaan en weergeven van DKE-beveiligde inhoud

Ondersteunde toepassingen. Microsoft 365-apps voor ondernemingen clients op Windows, waaronder Word, Excel en PowerPoint.

Ondersteuning voor online-inhoud. U kunt documenten en bestanden die zijn beveiligd met Dubbele sleutelversleuteling online opslaan in microsoft-SharePoint en OneDrive voor Bedrijven. U moet documenten en bestanden labelen en beveiligen met DKE door ondersteunde toepassingen voordat u naar deze locaties uploadt. U kunt versleutelde inhoud per e-mail delen, maar u kunt versleutelde documenten en bestanden niet online bekijken. In plaats daarvan moet u beveiligde inhoud weergeven met behulp van de ondersteunde bureaubladtoepassingen en -clients op uw lokale computer.

Overzicht van de implementatie van DKE

U volgt deze algemene stappen om DKE in te stellen. Nadat u deze stappen hebt voltooid, kunnen uw eindgebruikers uw zeer gevoelige gegevens beschermen met Dubbele sleutelversleuteling.

1. Implementeer de DKE-service zoals beschreven in dit artikel.

2. Maak een label met Dubbele sleutelversleuteling. Ga naar Informatiebeveiliging onder de Microsoft 365-compliancecentrum en maak een nieuw label met Dubbele sleutelversleuteling. Zie Toegang tot inhoud beperken door gevoeligheidslabels te gebruiken om versleuteling toe te passen.

3. Gebruik dubbele sleutelversleutelingslabels. Bescherm gegevens door het label Versleutelde dubbele sleutel te selecteren op het lint Gevoeligheid in Microsoft Office.

U kunt enkele stappen voor het implementeren van dubbele sleutelversleuteling op verschillende manieren voltooien. Dit artikel bevat gedetailleerde instructies, zodat minder ervaren beheerders de service kunnen implementeren. Als u dit prettig vindt, kunt u ervoor kiezen om uw eigen methoden te gebruiken.

DKE implementeren

In dit artikel en de implementatievideo wordt Azure gebruikt als implementatiebestemming voor de DKE-service. Als u op een andere locatie implementeert, moet u uw eigen waarden geven.

Bekijk de video over de implementatie van dubbele sleutelversleuteling voor een stapsgewijs overzicht van de concepten in dit artikel. De video duurt ongeveer 18 minuten.

U volgt deze algemene stappen om Dubbele sleutelversleuteling in te stellen voor uw organisatie.

1. Software-vereisten voor de DKE-service installeren
2. De dubbele sleutelversleutelingsopslagplaats GitHub klonen
3. Toepassingsinstellingen wijzigen
4. Testtoetsen genereren
5. Het project maken
6. De DKE-service implementeren en het sleutelopslaghuis publiceren
7. Uw implementatie valideren
8. Uw sleutelwinkel registreren
9. Gevoeligheidslabels maken met DKE
10. DKE inschakelen in uw client
11. Beveiligde bestanden migreren van HYOK-labels naar DKE-labels

Wanneer u klaar bent, kunt u documenten en bestanden versleutelen met DKE. Zie Gevoeligheidslabels toepassen op uw bestanden en e-mail inOffice.

Software-vereisten voor de DKE-service installeren

Installeer deze vereisten op de computer waarop u de DKE-service wilt installeren.

.NET Core 3.1 SDK. Download en installeer de SDK van Download .NET Core 3.1.

Visual Studio Code. Download Visual Studio code van https://code.visualstudio.com/ . Nadat u de code Visual Studio en selecteert u > Extensies weergeven. Installeer deze extensies.

• C# voor Visual Studio Code

• NuGet Pakketbeheer

Git-resources. Download en installeer een van de volgende opties.

• Git

• GitHub Bureaublad

• GitHub Enterprise

OpenSSL OpenSSL moet zijn geïnstalleerd om testtoetsen te genereren nadat u DKE hebt geïmplementeerd. Zorg ervoor dat u het correct inroept vanuit het pad met omgevingsvariabelen. Zie bijvoorbeeld 'De installatiemap toevoegen aan PAD' op https://www.osradar.com/install-openssl-windows/ voor meer informatie.

De DKE-GitHub kloon

Microsoft levert de DKE-bronbestanden in een GitHub opslagplaats. U kloont de opslagplaats om het project lokaal te maken voor gebruik door uw organisatie. De DKE GitHub repository bevindt zich op https://github.com/Azure-Samples/DoubleKeyEncryptionService .

De volgende instructies zijn bedoeld voor onervaren gebruikers van git of Visual Studio Code:

1. Ga in uw browser naar: https://github.com/Azure-Samples/DoubleKeyEncryptionService .

2. Selecteer Code aan de rechterkant van het scherm. Uw versie van de gebruikersinterface kan een knop Kloon of download weergeven. Selecteer vervolgens in de vervolgkeuzebalk die wordt weergegeven het kopieerpictogram om de URL naar het klembord te kopiëren.

   Bijvoorbeeld:

   

3. Selecteer Visual Studio Opdrachtpalet weergeven en > selecteer Git: Kloon. Als u naar de optie in de lijst wilt gaan, begint u te typen om de items te filteren en selecteert u deze git: clone vervolgens in de vervolgkeuzelijst. Bijvoorbeeld:

   

4. Plak in het tekstvak de URL die u hebt gekopieerd van Git en selecteer Kloon uit GitHub.

5. Blader in het dialoogvenster Map selecteren dat wordt weergegeven naar een locatie om de opslagplaats op te slaan en selecteer deze. Selecteer bij de prompt Openen.

   De opslagplaats wordt geopend in Visual Studio Code en geeft de huidige Git-branch linksonder weer. De vertakking moet bijvoorbeeld hoofd zijn. Bijvoorbeeld:

   

6. Als u niet in de hoofdtak zit, moet u deze selecteren. Selecteer Visual Studio vertakking en kies hoofd in de lijst met vertakkingen die worden weergegeven.

   Belangrijk

   Als u de hoofdtak selecteert, hebt u de juiste bestanden om het project te maken. Als u niet de juiste vertakking kiest, mislukt de implementatie.

Uw DKE-bronopslagplaats is nu lokaal ingesteld. Wijzig vervolgens de toepassingsinstellingen voor uw organisatie.

Toepassingsinstellingen wijzigen

Als u de DKE-service wilt implementeren, moet u de volgende typen toepassingsinstellingen wijzigen:

• Toegangsinstellingen voor sleutel
• Tenant- en sleutelinstellingen

U wijzigt de toepassingsinstellingen in het bestand appsettings.json. Dit bestand bevindt zich in de DoubleKeyEncryptionService repo die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store. In de Visual Studio kunt u bijvoorbeeld naar het bestand bladeren, zoals wordt weergegeven in de volgende afbeelding.

Toegangsinstellingen voor sleutel

Kies of u e-mail of rolautorisatie wilt gebruiken. DKE ondersteunt slechts één van deze verificatiemethoden tegelijk.

• E-mailautorisatie. Hiermee kan uw organisatie alleen toegang verlenen tot sleutels op basis van e-mailadressen.

• Rolautorisatie. Hiermee kan uw organisatie toegang verlenen tot sleutels op basis van Active Directory-groepen en moet de webservice LDAP kunnen query's uitvoeren.

Belangrijke toegangsinstellingen voor DKE instellen met behulp van e-mailautorisatie

1. Open het bestand appsettings.json en zoek de AuthorizedEmailAddress instelling.

2. Voeg het e-mailadres of de adressen toe die u wilt machtigen. Scheid meerdere e-mailadressen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:

   "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
   

3. Zoek de LDAPPath instelling en verwijder de tekst tussen de dubbele If you use role authorization (AuthorizedRoles) then this is the LDAP path. aanhalingstekens. Laat de dubbele aanhalingstekens op hun plaats. Wanneer u klaar bent, ziet de instelling er zo uit.

   "LDAPPath": ""
   

4. Zoek de AuthorizedRoles instelling en verwijder de hele regel.

In deze afbeelding ziet u het bestand appsettings.json dat correct is opgemaakt voor e-mailautorisatie.

Sleuteltoegangsinstellingen voor DKE instellen met behulp van rolautorisatie

1. Open het bestand appsettings.json en zoek de AuthorizedRoles instelling.

2. Voeg de namen van de Active Directory-groep toe die u wilt machtigen. Scheid meerdere groepsnamen met dubbele aanhalingstekens en komma's. Bijvoorbeeld:

   "AuthorizedRoles": ["group1", "group2", "group3"]
   

3. Zoek de LDAPPath instelling en voeg het Active Directory-domein toe. Bijvoorbeeld:

   "LDAPPath": "contoso.com"
   

4. Zoek de AuthorizedEmailAddress instelling en verwijder de hele regel.

In deze afbeelding ziet u het bestand appsettings.json dat correct is opgemaakt voor rolautorisatie.

Tenant- en sleutelinstellingen

DKE-tenant- en sleutelinstellingen bevinden zich in het bestand appsettings.json.

Tenant- en sleutelinstellingen voor DKE configureren

1. Open het bestand appsettings.json.

2. Zoek de ValidIssuers instelling en vervang deze door uw <tenantid> tenant-id. U kunt uw tenant-id vinden door naar de Azure-portal te gaan en de tenanteigenschappen weer te geven. Bijvoorbeeld:

   "ValidIssuers": [
     "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
   ]
   

Zoek de JwtAudience . Vervang <yourhostname> deze door de hostnaam van de computer waarop de DKE-service wordt uitgevoerd. Bijvoorbeeld:

• TestKeys:Name. Voer een naam in voor uw sleutel. Bijvoorbeeld:TestKey1
• TestKeys:Id. Maak een GUID en voer deze in als de TestKeys:ID waarde. Bijvoorbeeld DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. U kunt een site zoals Online GUID Generator gebruiken om willekeurig een GUID te genereren.

In deze afbeelding ziet u de juiste indeling voor tenant- en sleutelsinstellingen in appsettings.json. LDAPPath is geconfigureerd voor rolautorisatie.

Testtoetsen genereren

Wanneer u de toepassingsinstellingen hebt gedefinieerd, kunt u openbare en persoonlijke testtoetsen genereren.

Sleutels genereren:

1. Voer vanuit Windows Startmenu opdrachtprompt OpenSSL uit.

2. Ga naar de map waar u de toetstoetsen wilt opslaan. De bestanden die u maakt door de stappen in deze taak uit te voeren, worden in dezelfde map opgeslagen.

3. Genereer de nieuwe toets.

   openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
   

4. Genereer de persoonlijke sleutel.

   openssl rsa -in key.pem -out privkeynopass.pem
   

5. Genereer de openbare sleutel.

   openssl rsa -in key.pem -pubout > pubkeyonly.pem
   

6. Open pubkeyonly.pem in een teksteditor. Kopieer alle inhoud in het bestand pubkeyonly.pem, behalve de eerste en laatste regels, naar de sectie van het PublicPem bestand appsettings.json.

7. Open privkeynopass.pem in een teksteditor. Kopieer alle inhoud in het privkeynopass.pem-bestand, behalve de eerste en laatste regels, naar de sectie van het PrivatePem bestand appsettings.json.

8. Verwijder alle lege spaties en nieuwelines in zowel de PublicPem PrivatePem secties als de secties.

   Belangrijk

   Wanneer u deze inhoud kopieert, verwijdert u geen van de PEM-gegevens.

9. Blader Visual Studio code naar het bestand Startup.cs. Dit bestand bevindt zich in de DoubleKeyEncryptionService repo die u lokaal hebt gekloond onder DoubleKeyEncryptionService\src\customer-key-store.

10. Zoek de volgende regels:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    

11. Vervang deze regels door de volgende tekst:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    De eindresultaten moeten er ongeveer als volgt uitzien.

    

Nu bent u klaar om uw DKE-project te bouwen.

Het project maken

Gebruik de volgende instructies om het DKE-project lokaal te maken:

1. In Visual Studio Code selecteert u opdrachtpalet weergeven in de DKE-serviceopslagplaats en typt u > build bij de prompt.

2. Kies taken in de lijst: Buildtaak uitvoeren.

   Als er geen buildtaken zijn gevonden, selecteert u Buildtaak configureren en maakt u er als volgt een voor .NET-kern.

   

   1. Kies Taken maken.json op sjabloon.

      

   2. Selecteer .NET Core in de lijst met sjabloontypen.

      

   3. Zoek in de buildsectie het pad naar het bestand customerkeystore.csproj. Als deze er niet is, voegt u de volgende regel toe:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      

   4. Voer de build opnieuw uit.

3. Controleer of er geen rode fouten zijn in het uitvoervenster.

   Als er rode fouten zijn, controleert u de uitvoer van de console. Controleer of u alle vorige stappen correct hebt uitgevoerd en dat de juiste buildversies aanwezig zijn.

4. Selecteer > Foutopsporing starten uitvoeren om het proces te debuggen. Als u wordt gevraagd een omgeving te selecteren, selecteert u .NET-kern.

   De .NET-kerndebugger wordt meestal op https://localhost:5001 . Als u de toets wilt weergeven, gaat u naar een slash (/) en de https://localhost:5001 naam van de sleutel. Bijvoorbeeld:

   https://localhost:5001/TestKey1
   

   De toets moet worden weergegeven in de JSON-indeling.

Uw installatie is nu voltooid. Voordat u de keystore publiceert, controleert u in appsettings.json voor de instelling JwtAudience of de waarde voor hostnaam exact overeenkomt met de naam van uw App Service-host. Mogelijk hebt u deze gewijzigd in localhost om problemen met de build op te lossen.

De DKE-service implementeren en het sleutelopslaghuis publiceren

Implementeer de service voor productie-implementaties in een cloud van derden of publiceer deze naar een on-premises systeem.

Mogelijk geeft u de voorkeur aan andere methoden om uw sleutels te implementeren. Selecteer de methode die het beste werkt voor uw organisatie.

Voor pilotimplementaties kunt u implementeren in Azure en meteen aan de slag gaan.

Een Azure Web App-exemplaar maken om uw DKE-implementatie te hosten

Als u het sleutelopslagopslag wilt publiceren, maakt u een Azure App Service-exemplaar om uw DKE-implementatie te hosten. Vervolgens publiceert u de gegenereerde sleutels voor Azure.

1. Meld u in uw browser aan bij de Microsoft Azure portalen ga naar App Services > Toevoegen.

2. Selecteer uw abonnement en resourcegroep en definieert de details van uw exemplaar.

   • Voer de hostnaam in van de computer waarop u de DKE-service wilt installeren. Zorg ervoor dat deze dezelfde naam heeft als de naam die is gedefinieerd voor de instelling JwtAudience in het bestand appsettings.json. De waarde die u voor de naam opwaardeerd, is ook de WebAppInstanceName.

   • Selecteer voor Publiceren, selecteer code en selecteer voor Runtime stack .NET Core 3.1.

   Bijvoorbeeld:

   

3. Selecteer onder aan de pagina Controleren + maken en selecteer vervolgens Toevoegen.

4. Ga op een van de volgende stappen te werk om de gegenereerde sleutels te publiceren:

   • Publiceren via ZipDeployUI
   • Publiceren via FTP
   • Publiceren via Visual Studio 2019 of hoger

Publiceren via ZipDeployUI

1. Ga naar https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

   Bijvoorbeeld:https://dkeservice.scm.azurewebsites.net/ZipDeployUI

2. Ga in de codebase voor de sleutelwinkel naar de map customer-key-store\src\customer-key-store en controleer of deze map het bestand customerkeystore.csproj bevat.

3. Uitvoeren: dotnet publiceren

   In het uitvoervenster wordt de adreslijst weergegeven waar de publicatie is geïmplementeerd.

   Bijvoorbeeld:customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

4. Verzend alle bestanden in de adreslijst publiceren naar een .zip bestand. Wanneer u het .zip bestand maakt, moet u ervoor zorgen dat alle bestanden in de adreslijst zich op het hoofdniveau van het .zip bestand.

5. Sleep en drop het .zip bestand dat u maakt naar de ZipDeployUI-site die u hierboven hebt geopend. Bijvoorbeeld:https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE wordt geïmplementeerd en u kunt naar de testtoetsen bladeren die u hebt gemaakt. Ga verder met Uw implementatie valideren hieronder.

Publiceren via FTP

1. Verbinding maken app-service die u hierboven hebt gemaakt.

   Ga in uw browser naar: Azure Portal > App Service Deployment > Center > Manual Deployment > FTP > Dashboard.

2. Kopieer de verbindingsreeksen die worden weergegeven naar een lokaal bestand. U gebruikt deze tekenreeksen om verbinding te maken met de Web App-service en bestanden te uploaden via FTP.

   Bijvoorbeeld:

   

3. Ga in de codebase voor de sleutelopslag naar de adreslijst customer-key-store\src\customer-key-store.

4. Controleer of deze adreslijst het bestand customerkeystore.csproj bevat.

5. Uitvoeren: dotnet publiceren

   De uitvoer bevat de adreslijst waar de publicatie is geïmplementeerd.

   Bijvoorbeeld:customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

6. Verzend alle bestanden in de adreslijst publiceren naar een zip-bestand. Wanneer u het .zip bestand maakt, moet u ervoor zorgen dat alle bestanden in de adreslijst zich op het hoofdniveau van het .zip bestand.

7. Gebruik vanuit uw FTP-client de verbindingsgegevens die u hebt gekopieerd om verbinding te maken met uw App Service. Upload het .zip bestand dat u hebt gemaakt in de vorige stap naar de hoofdadreslijst van uw Web App.

DKE wordt geïmplementeerd en u kunt naar de testtoetsen bladeren die u hebt gemaakt. Valideer vervolgens uw implementatie.

Uw implementatie valideren

Nadat u DKE met een van de hierboven beschreven methoden heeft geïmplementeerd, valideert u de implementatie en de instellingen voor het sleutelopslagopslag.

Uitvoeren:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Bijvoorbeeld:

key_store_tester.ps1 https://mydkeservice.com/mykey

Zorg ervoor dat er geen fouten worden weergegeven in de uitvoer. Wanneer u klaar bent, registreert u uw sleutelwinkel.

De sleutelnaam is hoofdsyteergevoelig. Voer de sleutelnaam in zoals deze wordt weergegeven in het bestand appsettings.json.

Uw sleutelwinkel registreren

Met de volgende stappen kunt u uw DKE-service registreren. Het registreren van uw DKE-service is de laatste stap bij het implementeren van DKE voordat u labels kunt gaan maken.

De DKE-service registreren:

1. Open in uw browser de Microsoft Azure portalen ga naar All Services > Identity App > Registrations.

2. Selecteer Nieuwe registratie en voer een duidelijke naam in.

3. Selecteer een accounttype in de weergegeven opties.

   Als u een Microsoft Azure gebruikt met een niet-aangepast domein, zoals onmicrosoft.com, selecteert u Accounts in deze organisatiemap alleen (alleen Microsoft - Enkele tenant).

   Bijvoorbeeld:

   

4. Selecteer onder aan de pagina Registreren om de nieuwe app-registratie te maken.

5. Selecteer in de nieuwe app-registratie in het linkerdeelvenster onder Beheren de optie Verificatie.

6. Selecteer Een platform toevoegen.

7. Selecteer in de pop-up Platforms configureren de optie Web.

8. Voer onder Omleidings-URL's de URI in van uw dubbele-sleutelversleutelingsservice. Voer de URL van de App-service in, inclusief zowel de hostnaam als het domein.

   Bijvoorbeeld:https://mydkeservicetest.com

   • De URL die u typt, moet overeenkomen met de hostnaam waar uw DKE-service is geïmplementeerd.
   • Als u lokaal test met Visual Studio, gebruikt u https://localhost:5001 .
   • In alle gevallen moet het schema https zijn.

   Controleer of de hostnaam exact overeenkomt met de hostnaam van uw App Service. Mogelijk hebt u deze gewijzigd om localhost problemen met de build op te lossen. In appsettings.json is deze waarde de hostnaam die u hebt ingesteld voor JwtAudience .

9. Schakel onder Impliciet verlenen het selectievakje Id-tokens in.

10. Selecteer Opslaan om de wijzigingen op te slaan.

11. Selecteer in het linkerdeelvenster Een API weergeven en selecteer vervolgens naast Toepassings-id URI de optie Instellen.

12. Selecteer nog steeds op de pagina Een API blootstellen in de scopes die door dit API-gebied zijn gedefinieerd, de optie Een bereik toevoegen. In het nieuwe bereik:

    1. De naam van het bereik definiëren als user_impersonation.

    2. Selecteer de beheerders en gebruikers die toestemming kunnen geven.

    3. Definieer de resterende waarden die nodig zijn.

    4. Selecteer Bereik toevoegen.

    5. Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.

13. Selecteer nog steeds op de pagina Een API openen in het gebied Geautoriseerde clienttoepassingen de optie Een clienttoepassing toevoegen.

    In de nieuwe clienttoepassing:

    1. De client-id definiëren als d3590ed6-52b3-4102-aeff-aad2292ab01c . Deze waarde is de Microsoft Office client-id en stelt Office toegangstoken voor uw sleutelopslag te verkrijgen.

    2. Selecteer onder Geautoriseerde bereikbereiken het user_impersonation bereik.

    3. Selecteer Toepassing toevoegen.

    4. Selecteer Opslaan bovenaan om uw wijzigingen op te slaan.

    5. Herhaal deze stappen, maar definieert deze keer de client-id als c00e9d32-3c8d-4a7d-832b-029040e7db99 . Deze waarde is de geïntegreerde labelingclient-id van Azure Information Protection.

Uw DKE-service is nu geregistreerd. Ga door met DKE labels te maken.

Gevoeligheidslabels maken met DKE

Maak in Microsoft 365-compliancecentrum een nieuw gevoeligheidslabel en pas versleuteling toe zoals u anders zou doen. Selecteer Dubbele sleutelversleuteling gebruiken en voer de EINDPUNT-URL voor uw sleutel in.

Bijvoorbeeld:

Alle DKE-labels die u toevoegt, worden weergegeven voor gebruikers in de meest recente versies van Microsoft 365-apps voor ondernemingen.

DKE inschakelen in uw client

Als u een insider Office, is DKE voor u ingeschakeld. Schakel anders DKE voor uw client in door de volgende registersleutels toe te voegen:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Beveiligde bestanden migreren van HYOK-labels naar DKE-labels

Als u klaar bent met het instellen van DKE, kunt u de inhoud die u hebt beveiligd met HYOK-labels migreren naar DKE-labels. Als u wilt migreren, gebruikt u de AIP-scanner. Zie Wat is de geïntegreerde labelscanner van Azure Information Protection?om aan de slag te gaan met de scanner.

Als u geen inhoud migreert, blijft de door HYOK beveiligde inhoud ongewijzigd.