Podwójne szyfrowanie kluczy

Uwaga

Zgodność w usłudze Microsoft 365 nosi teraz nazwę Microsoft Purview, a rozwiązaniom w obszarze zgodności nadano nowe nazwy. Aby uzyskać więcej informacji na temat Microsoft Purview, zobacz ogłoszenie na blogu.

Dotyczy: Microsoft Purview Szyfrowanie podwójnym kluczem, Microsoft Purview, Azure Information Protection

Instrukcje dotyczące: klient ujednoliconego etykietowania usługi Azure Information Protection dla Windows

Opis usługi dla: Microsoft Purview

Szyfrowanie podwójnym kluczem (DKE) używa dwóch kluczy razem w celu uzyskania dostępu do chronionej zawartości. Firma Microsoft przechowuje jeden klucz w Microsoft Azure, a drugi klucz. Możesz zachować pełną kontrolę nad jednym z kluczy przy użyciu usługi Double Key Encryption. Ochronę stosuje się przy użyciu klienta ujednoliconego etykietowania usługi Azure Information Protection do wysoce wrażliwej zawartości.

Usługa Double Key Encryption obsługuje wdrożenia w chmurze i lokalne. Te wdrożenia pomagają zapewnić, że zaszyfrowane dane pozostaną nieprzezroczysty wszędzie tam, gdzie przechowujesz chronione dane.

Aby uzyskać więcej informacji na temat domyślnych kluczy głównych dzierżawy opartej na chmurze, zobacz Planowanie i implementowanie klucza dzierżawy usługi Azure Information Protection.

Kiedy organizacja powinna wdrożyć usługę DKE

Szyfrowanie podwójnym kluczem jest przeznaczone dla najbardziej poufnych danych, które podlegają najsurowszym wymaganiom ochrony. Funkcja DKE nie jest przeznaczona dla wszystkich danych. Ogólnie rzecz biorąc, użyjesz szyfrowania podwójnym kluczem, aby chronić tylko niewielką część ogólnych danych. Należy dokładać należytej staranności w identyfikowaniu odpowiednich danych do objęcia tym rozwiązaniem przed wdrożeniem. W niektórych przypadkach może być konieczne zawężenie zakresu i użycie innych rozwiązań dla większości danych, takich jak Microsoft Purview Information Protection za pomocą kluczy zarządzanych przez firmę Microsoft lub BYOK. Te rozwiązania są wystarczające dla dokumentów, które nie podlegają rozszerzonej ochronie i wymaganiom prawnym. Ponadto te rozwiązania umożliwiają korzystanie z najbardziej zaawansowanych usług Office 365; usług, których nie można używać z zaszyfrowaną zawartością DKE. Przykład:

  • Reguły transportu, w tym ochrona przed złośliwym oprogramowaniem i spamem, które wymagają wglądu w załącznik
  • Microsoft Delve
  • Zbierania elektronicznych materiałów dowodowych
  • Wyszukiwanie i indeksowanie zawartości
  • Office Web Apps w tym funkcji współtworzenia

Wszystkie zewnętrzne aplikacje lub usługi, które nie są zintegrowane z usługą DKE za pośrednictwem zestawu SDK Microsoft Information Protection (MIP), nie będą w stanie wykonywać akcji na zaszyfrowanych danych.

Zestaw Microsoft Information Protection SDK 1.7+ obsługuje szyfrowanie podwójnym kluczem. Aplikacje integrujące się z naszym zestawem SDK mogą tworzyć przyczyny dla tych danych z wystarczającymi uprawnieniami i integracjami.

Użyj funkcji Microsoft Purview Information Protection (klasyfikacja i etykietowanie), aby chronić większość poufnych danych i używać tylko funkcji DKE dla danych o znaczeniu krytycznym. Szyfrowanie podwójnym kluczem jest istotne dla danych poufnych w wysoce regulowanych branżach, takich jak usługi finansowe i opieka zdrowotna.

Jeśli Twoje organizacje mają dowolne z następujących wymagań, możesz użyć funkcji DKE, aby zabezpieczyć zawartość:

  • Chcesz mieć pewność, że w każdych okolicznościach tylko ty możesz odszyfrować chronioną zawartość.
  • Nie chcesz, aby firma Microsoft miała dostęp do chronionych danych samodzielnie.
  • Masz wymagania prawne dotyczące przechowywania kluczy w granicach geograficznych. Wszystkie klucze przechowywane na potrzeby szyfrowania i odszyfrowywania danych są przechowywane w centrum danych.

Wymagania systemowe i licencyjne dotyczące usługi DKE

Szyfrowanie podwójnym kluczem jest dostarczane z Microsoft 365 E5. Jeśli nie masz licencji Microsoft 365 E5, możesz utworzyć konto próbne. Aby uzyskać więcej informacji na temat tych licencji, zobacz Microsoft 365 wskazówki dotyczące licencjonowania dotyczące zgodności & zabezpieczeń.

Azure Information Protection. Usługa DKE współpracuje z etykietami poufności i wymaga usługi Azure Information Protection.

Etykiety poufności DKE są udostępniane użytkownikom końcowym za pośrednictwem przycisku poufności w kliencie ujednoliconego etykietowania usługi AIP w usłudze Office Desktop Apps. Zainstaluj te wymagania wstępne na każdym komputerze klienckim, na którym chcesz chronić chronione dokumenty i korzystać z nich.

Microsoft Office Aplikacje dla przedsiębiorstw w wersji 2009 lub nowszej (wersje klasyczne programu Word, PowerPoint i Excel) na Windows.

Azure Information Protection Unified Labeling Client w wersji 2.7.93.0 lub nowszej. Pobierz i zainstaluj klienta Unified Labeling z centrum pobierania firmy Microsoft.

Obsługiwane środowiska do przechowywania i wyświetlania zawartości chronionej przez funkcję DKE

Obsługiwane aplikacje. Aplikacje Microsoft 365 dla przedsiębiorstw klientów na Windows, w tym programu Word, Excel i PowerPoint.

Obsługa zawartości online. Dokumenty i pliki chronione za pomocą funkcji podwójnego szyfrowania kluczy można przechowywać w trybie online zarówno w usłudze Microsoft SharePoint, jak i w OneDrive dla Firm. Przed przekazaniem do tych lokalizacji należy oznaczyć i chronić dokumenty i pliki przy użyciu usługi DKE przy użyciu obsługiwanych aplikacji. Zaszyfrowaną zawartość można udostępniać pocztą e-mail, ale nie można wyświetlać zaszyfrowanych dokumentów i plików w trybie online. Zamiast tego należy wyświetlić chronioną zawartość przy użyciu obsługiwanych aplikacji klasycznych i klientów na komputerze lokalnym.

Omówienie wdrażania usługi DKE

Wykonaj te ogólne kroki, aby skonfigurować usługę DKE. Po wykonaniu tych kroków użytkownicy końcowi mogą chronić wysoce poufne dane za pomocą szyfrowania podwójnym kluczem.

  1. Wdróż usługę DKE zgodnie z opisem w tym artykule.

  2. Utwórz etykietę z podwójnym szyfrowaniem kluczy. W portal zgodności Microsoft Purview przejdź do obszaru Ochrona informacji i utwórz nową etykietę z funkcją podwójnego szyfrowania kluczy. Zobacz Ograniczanie dostępu do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania.

  3. Użyj etykiet podwójnego szyfrowania kluczy. Chroń dane, wybierając etykietę Podwójny klucz szyfrowany na wstążce Czułość w Microsoft Office.

Istnieje kilka sposobów wykonania niektórych kroków wdrażania szyfrowania podwójnym kluczem. Ten artykuł zawiera szczegółowe instrukcje umożliwiające mniej doświadczonym administratorom pomyślne wdrożenie usługi. Jeśli dobrze ci się to przydaje, możesz użyć własnych metod.

Wdrażanie usługi DKE

Ten artykuł i wideo dotyczące wdrażania używają platformy Azure jako miejsca docelowego wdrożenia dla usługi DKE. Jeśli wdrażasz w innej lokalizacji, musisz podać własne wartości.

Obejrzyj film dotyczący wdrażania podwójnego szyfrowania kluczy , aby zapoznać się z szczegółowym omówieniem pojęć w tym artykule. Ukończenie filmu trwa około 18 minut.

Wykonaj te ogólne kroki, aby skonfigurować szyfrowanie podwójnego klucza dla organizacji.

  1. Instalowanie wymagań wstępnych dotyczących oprogramowania dla usługi DKE
  2. Klonowanie repozytorium GitHub szyfrowania podwójnym kluczem
  3. Modyfikowanie ustawień aplikacji
  4. Generowanie kluczy testowych
  5. Tworzenie projektu
  6. Wdrażanie usługi DKE i publikowanie magazynu kluczy
  7. Sprawdzanie poprawności wdrożenia
  8. Rejestrowanie magazynu kluczy
  9. Tworzenie etykiet poufności przy użyciu usługi DKE
  10. Włączanie funkcji DKE w kliencie
  11. Migrowanie chronionych plików z etykiet HYOK do etykiet DKE

Po zakończeniu możesz szyfrować dokumenty i pliki przy użyciu usługi DKE. Aby uzyskać informacje, zobacz Stosowanie etykiet poufności do plików i wiadomości e-mail w Office.

Instalowanie wymagań wstępnych dotyczących oprogramowania dla usługi DKE

Zainstaluj te wymagania wstępne na komputerze, na którym chcesz zainstalować usługę DKE.

Zestaw .NET Core 3.1 SDK. Pobierz i zainstaluj zestaw SDK ze strony Pobierz platformę .NET Core 3.1.

Visual Studio Code. Pobierz Visual Studio Code z programu https://code.visualstudio.com/. Po zainstalowaniu uruchom polecenie Visual Studio Code i wybierz pozycję Wyświetl > rozszerzenia. Zainstaluj te rozszerzenia.

  • Język C# dla Visual Studio Code

  • NuGet Menedżer pakietów

Zasoby usługi Git. Pobierz i zainstaluj jedną z następujących opcji.

Openssl Aby wygenerować klucze testowe po wdrożeniu usługi DKE, należy zainstalować program OpenSSL. Upewnij się, że wywołujesz ją poprawnie ze ścieżki zmiennych środowiskowych. Aby uzyskać szczegółowe informacje, zobacz "Dodawanie katalogu instalacyjnego do ścieżki" https://www.osradar.com/install-openssl-windows/ .

Klonowanie repozytorium GitHub DKE

Firma Microsoft dostarcza pliki źródłowe DKE w repozytorium GitHub. Sklonujesz repozytorium, aby skompilować projekt lokalnie na potrzeby organizacji. Repozytorium GitHub DKE znajduje się pod adresem https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Poniższe instrukcje są przeznaczone dla niedoświadczonych użytkowników git lub Visual Studio Code:

  1. W przeglądarce przejdź do: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. W prawej części ekranu wybierz pozycję Kod. W twojej wersji interfejsu użytkownika może zostać wyświetlony przycisk Klonuj lub pobierz . Następnie na wyświetlonej liście rozwijanej wybierz ikonę kopiowania, aby skopiować adres URL do schowka.

    Przykład:

    Sklonuj repozytorium usługi Double Key Encryption z GitHub.

  3. W Visual Studio Code wybierz pozycję Wyświetl > paletę poleceń i wybierz pozycję Git: Klonuj. Aby przejść do opcji na liście, rozpocznij wpisywanie git: clone , aby filtrować wpisy, a następnie wybierz je z listy rozwijanej. Przykład:

    Visual Studio Code opcję GIT:Clone.

  4. W polu tekstowym wklej adres URL skopiowany z usługi Git i wybierz pozycję Klonuj z GitHub.

  5. W wyświetlonym oknie dialogowym Wybieranie folderu przejdź do i wybierz lokalizację do przechowywania repozytorium. W wierszu polecenia wybierz pozycję Otwórz.

    Repozytorium zostanie otwarte w Visual Studio Code i wyświetli bieżącą gałąź Git w lewym dolnym rogu. Na przykład gałąź powinna być główna. Przykład:

    Zrzut ekranu przedstawiający repozytorium DKE w Visual Studio Code wyświetlające gałąź główną.

  6. Jeśli nie jesteś w gałęzi głównej, musisz ją wybrać. W Visual Studio Code wybierz gałąź i wybierz pozycję main z listy wyświetlanych gałęzi.

    Ważne

    Wybranie gałęzi głównej gwarantuje, że masz odpowiednie pliki do skompilowania projektu. Jeśli nie wybierzesz odpowiedniej gałęzi, wdrożenie zakończy się niepowodzeniem.

Repozytorium źródłowe DKE jest teraz skonfigurowane lokalnie. Następnie zmodyfikuj ustawienia aplikacji dla swojej organizacji.

Modyfikowanie ustawień aplikacji

Aby wdrożyć usługę DKE, należy zmodyfikować następujące typy ustawień aplikacji:

Ustawienia aplikacji można modyfikować w pliku appsettings.json. Ten plik znajduje się w repozytorium DoubleKeyEncryptionService sklonowanym lokalnie w obszarze DoubleKeyEncryptionService\src\customer-key-store. Na przykład w Visual Studio Code możesz przejść do pliku, jak pokazano na poniższej ilustracji.

Lokalizowanie pliku appsettings.json dla usługi DKE.

Ustawienia dostępu do klucza

Określ, czy chcesz używać poczty e-mail, czy autoryzacji roli. Usługa DKE obsługuje jednocześnie tylko jedną z tych metod uwierzytelniania.

  • Autoryzacja wiadomości e-mail. Umożliwia organizacji autoryzowanie dostępu do kluczy tylko na podstawie adresów e-mail.

  • Autoryzacja roli. Umożliwia organizacji autoryzowanie dostępu do kluczy na podstawie grup usługi Active Directory i wymaga, aby usługa internetowa mogła wykonywać zapytania dotyczące protokołu LDAP.

Aby ustawić ustawienia dostępu do klucza dla usługi DKE przy użyciu autoryzacji poczty e-mail
  1. Otwórz plik appsettings.json i znajdź AuthorizedEmailAddress to ustawienie.

  2. Dodaj adres e-mail lub adresy, które chcesz autoryzować. Rozdziel wiele adresów e-mail podwójnymi cudzysłowami i przecinkami. Przykład:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. LDAPPath Znajdź ustawienie i usuń tekst If you use role authorization (AuthorizedRoles) then this is the LDAP path. między podwójnymi cudzysłowami. Pozostaw podwójny cudzysłów w miejscu. Po zakończeniu ustawienie powinno wyglądać następująco.

    "LDAPPath": ""
    
  4. AuthorizedRoles Znajdź ustawienie i usuń cały wiersz.

Ten obraz przedstawia plik appsettings.json poprawnie sformatowany pod kątem autoryzacji poczty e-mail.

Plik appsettings.json przedstawiający metodę autoryzacji poczty e-mail.

Aby ustawić ustawienia dostępu do klucza dla usługi DKE przy użyciu autoryzacji roli
  1. Otwórz plik appsettings.json i znajdź AuthorizedRoles to ustawienie.

  2. Dodaj nazwy grup usługi Active Directory, które chcesz autoryzować. Rozdziel wiele nazw grup za pomocą podwójnych cudzysłowów i przecinków. Przykład:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. LDAPPath Znajdź ustawienie i dodaj domenę usługi Active Directory. Przykład:

    "LDAPPath": "contoso.com"
    
  4. AuthorizedEmailAddress Znajdź ustawienie i usuń cały wiersz.

Ten obraz przedstawia plik appsettings.json poprawnie sformatowany pod kątem autoryzacji roli.

plik appsettings.json przedstawiający metodę autoryzacji roli.

Ustawienia dzierżawy i klucza

Ustawienia dzierżawy i klucza usługi DKE znajdują się w pliku appsettings.json .

Aby skonfigurować ustawienia dzierżawy i klucza dla usługi DKE
  1. Otwórz plik appsettings.json .

  2. Znajdź ustawienie i zastąp ValidIssuers <tenantid> ciąg identyfikatorem dzierżawy. Identyfikator dzierżawy można zlokalizować, przechodząc do Azure Portal i wyświetlając właściwości dzierżawy. Przykład:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Uwaga

Jeśli chcesz włączyć zewnętrzny dostęp B2B do magazynu kluczy, musisz również uwzględnić te dzierżawy zewnętrzne jako część listy prawidłowych wystawców.

Znajdź element JwtAudience. Zastąp <yourhostname> element nazwą hosta maszyny, na której zostanie uruchomiona usługa DKE. Przykład:

Ważne

Wartość musi JwtAudience być dokładnie zgodna z nazwą hosta. Podczas debugowania można użyć polecenia localhost:5001 . Jednak po zakończeniu debugowania należy zaktualizować tę wartość do nazwy hosta serwera.

  • TestKeys:Name. Wprowadź nazwę klucza. Przykład: TestKey1
  • TestKeys:Id. Utwórz identyfikator GUID i wprowadź go jako TestKeys:ID wartość. Na przykład DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Aby losowo wygenerować identyfikator GUID, możesz użyć witryny takiej jak generator identyfikatorów GUID online .

Ten obraz przedstawia prawidłowy format ustawień dzierżawy i kluczy w pliku appsettings.json. LDAPPath jest skonfigurowany do autoryzacji roli.

Pokazuje poprawne ustawienia dzierżawy i klucza dla usługi DKE w pliku appsettings.json.

Generowanie kluczy testowych

Po zdefiniowaniu ustawień aplikacji możesz wygenerować publiczne i prywatne klucze testowe.

Aby wygenerować klucze:

  1. Z poziomu Windows menu Start uruchom wiersz polecenia OpenSSL.

  2. Przejdź do folderu, w którym chcesz zapisać klucze testowe. Pliki utworzone przez wykonanie kroków w tym zadaniu są przechowywane w tym samym folderze.

  3. Wygeneruj nowy klucz testowy.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Wygeneruj klucz prywatny.

    Jeśli zainstalowano program OpenSSL w wersji 3 lub nowszej, uruchom następujące polecenie:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

W przeciwnym razie uruchom następujące polecenie:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Wygeneruj klucz publiczny.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. W edytorze tekstów otwórz plik pubkeyonly.pem. Skopiuj całą zawartość pliku pubkeyonly.pem z wyjątkiem pierwszego i ostatniego wiersza do PublicPem sekcji pliku appsettings.json .

  3. W edytorze tekstów otwórz plik privkeynopass.pem. Skopiuj całą zawartość w pliku privkeynopass.pem, z wyjątkiem pierwszego i ostatniego wiersza, do PrivatePem sekcji pliku appsettings.json .

  4. Usuń wszystkie puste spacje i nowe wiersze w PublicPem sekcjach i PrivatePem .

    Ważne

    Podczas kopiowania tej zawartości nie usuwaj żadnych danych PEM.

  5. W Visual Studio Code przejdź do pliku Startup.cs. Ten plik znajduje się w repozytorium DoubleKeyEncryptionService sklonowanym lokalnie w obszarze DoubleKeyEncryptionService\src\customer-key-store.

  6. Znajdź następujące wiersze:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Zastąp te wiersze następującym tekstem:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    Wyniki końcowe powinny wyglądać podobnie do następujących.

    plik startup.cs dla publicznej wersji zapoznawczej.

Teraz możesz przystąpić do tworzenia projektu DKE.

Tworzenie projektu

Użyj następujących instrukcji, aby skompilować projekt DKE lokalnie:

  1. W Visual Studio Code w repozytorium usługi DKE wybierz pozycję Wyświetl > paletę poleceń, a następnie wpisz kompilację w wierszu polecenia.

  2. Z listy wybierz pozycję Zadania: Uruchom zadanie kompilacji.

    Jeśli nie znaleziono żadnych zadań kompilacji, wybierz pozycję Konfiguruj zadanie kompilacji i utwórz je dla platformy .NET Core w następujący sposób.

    Skonfiguruj brakujące zadanie kompilacji dla platformy .NET.

    1. Wybierz pozycję Utwórz plik tasks.json z szablonu.

      Utwórz plik tasks.json na podstawie szablonu dla usługi DKE.

    2. Z listy typów szablonów wybierz pozycję .NET Core.

      Wybierz odpowiedni szablon dla usługi DKE.

    3. W sekcji kompilacji znajdź ścieżkę do pliku customerkeystore.csproj . Jeśli go tam nie ma, dodaj następujący wiersz:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Uruchom ponownie kompilację.

  3. Sprawdź, czy w oknie danych wyjściowych nie występują czerwone błędy.

    Jeśli występują czerwone błędy, sprawdź dane wyjściowe konsoli. Upewnij się, że wszystkie poprzednie kroki zostały wykonane poprawnie, a poprawne wersje kompilacji są obecne.

  4. Wybierz pozycję Uruchom > debugowanie uruchamiania , aby debugować proces. Jeśli zostanie wyświetlony monit o wybranie środowiska, wybierz pozycję .NET Core.

    Debuger platformy .NET Core zwykle uruchamia program .https://localhost:5001 Aby wyświetlić klucz testowy, przejdź do https://localhost:5001 strony i dołącz ukośnik (/) i nazwę klucza. Przykład:

    https://localhost:5001/TestKey1
    

    Klucz powinien być wyświetlany w formacie JSON.

Konfiguracja została ukończona. Przed opublikowaniem magazynu kluczy w pliku appsettings.json dla ustawienia JwtAudience upewnij się, że wartość nazwy hosta jest dokładnie zgodna z nazwą hosta App Service. Być może zmieniono go na localhost, aby rozwiązać problem z kompilacją.

Wdrażanie usługi DKE i publikowanie magazynu kluczy

W przypadku wdrożeń produkcyjnych wdróż usługę w chmurze innej firmy lub opublikuj w systemie lokalnym.

Możesz preferować inne metody wdrażania kluczy. Wybierz metodę, która najlepiej sprawdza się w twojej organizacji.

W przypadku wdrożeń pilotażowych można wdrażać na platformie Azure i od razu rozpocząć pracę.

Aby utworzyć wystąpienie aplikacji internetowej platformy Azure do hostowania wdrożenia DKE

Aby opublikować magazyn kluczy, utworzysz wystąpienie Azure App Service do hostowania wdrożenia DKE. Następnie opublikujesz wygenerowane klucze na platformie Azure.

  1. W przeglądarce zaloguj się do portalu Microsoft Azure i przejdź do obszaru Dodaj usługi App Services > .

  2. Wybierz subskrypcję i grupę zasobów i zdefiniuj szczegóły wystąpienia.

    • Wprowadź nazwę hosta komputera, na którym chcesz zainstalować usługę DKE. Upewnij się, że jest to nazwa zdefiniowana dla ustawienia JwtAudience w pliku appsettings.json . Podaną wartością nazwy jest również nazwa WebAppInstanceName.

    • W polu Publikuj wybierz kod, a w polu Stos środowiska uruchomieniowego wybierz pozycję .NET Core 3.1.

    Przykład:

    Dodaj App Service.

  3. W dolnej części strony wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Dodaj.

  4. Wykonaj jedną z następujących czynności, aby opublikować wygenerowane klucze:

Publikowanie za pośrednictwem narzędzia ZipDeployUI

  1. Przejdź do https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Przykład: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

  2. W bazie kodu magazynu kluczy przejdź do folderu customer-key-store\src\customer-key-store i sprawdź, czy ten folder zawiera plik customerkeystore.csproj .

  3. Uruchamianie: publikowanie dotnet

    W oknie danych wyjściowych zostanie wyświetlony katalog, w którym wdrożono publikowanie.

    Przykład: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Wyślij wszystkie pliki w katalogu publikowania do pliku .zip. Podczas tworzenia pliku .zip upewnij się, że wszystkie pliki w katalogu znajdują się na poziomie głównym pliku .zip.

  5. Przeciągnij i upuść utworzony plik .zip do otwartej powyżej witryny ZipDeployUI. Przykład: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

Usługa DKE została wdrożona i możesz przejść do utworzonych kluczy testowych. Kontynuuj sprawdzanie poprawności wdrożenia poniżej.

Publikowanie za pośrednictwem protokołu FTP

  1. Połączenie do utworzonego powyżej App Service.

    W przeglądarce przejdź do obszaru: Azure Portal > App Service > Deployment Center****Manual Deployment > FTP Dashboard (Pulpit nawigacyjny FTP > w centrum > wdrażania ręcznego).

  2. Skopiuj parametry połączenia wyświetlane do pliku lokalnego. Użyjesz tych ciągów, aby nawiązać połączenie z siecią Web App Service i przekazać pliki za pośrednictwem protokołu FTP.

    Przykład:

    Skopiuj parametry połączenia z pulpitu nawigacyjnego FTP.

  3. W bazie kodu magazynu kluczy przejdź do katalogu customer-key-store\src\customer-key-store.

  4. Sprawdź, czy ten katalog zawiera plik customerkeystore.csproj .

  5. Uruchamianie: publikowanie dotnet

    Dane wyjściowe zawierają katalog, w którym wdrożono publikowanie.

    Przykład: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Wyślij wszystkie pliki w katalogu publikowania do pliku zip. Podczas tworzenia pliku .zip upewnij się, że wszystkie pliki w katalogu znajdują się na poziomie głównym pliku .zip.

  7. Z poziomu klienta FTP użyj skopiowanych informacji o połączeniu, aby nawiązać połączenie z App Service. Przekaż plik .zip utworzony w poprzednim kroku do katalogu głównego aplikacji internetowej.

Usługa DKE została wdrożona i możesz przejść do utworzonych kluczy testowych. Następnie zweryfikuj wdrożenie.

Sprawdzanie poprawności wdrożenia

Po wdrożeniu usługi DKE przy użyciu jednej z metod opisanych powyżej zweryfikuj wdrożenie i ustawienia magazynu kluczy.

Uruchomić:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Przykład:

key_store_tester.ps1 https://mydkeservice.com/mykey

Upewnij się, że w danych wyjściowych nie są wyświetlane żadne błędy. Gdy wszystko będzie gotowe, zarejestruj magazyn kluczy.

Nazwa klucza uwzględnia wielkość liter. Wprowadź nazwę klucza wyświetlaną w pliku appsettings.json.

Rejestrowanie magazynu kluczy

Poniższe kroki umożliwiają zarejestrowanie usługi DKE. Rejestrowanie usługi DKE jest ostatnim krokiem wdrażania usługi DKE przed rozpoczęciem tworzenia etykiet.

Aby zarejestrować usługę DKE:

  1. W przeglądarce otwórz portal Microsoft Azure i przejdź do pozycji Rejestracje aplikacji tożsamości > wszystkich usług>.

  2. Wybierz pozycję Nowa rejestracja i wprowadź zrozumiałą nazwę.

  3. Wybierz typ konta z wyświetlonych opcji.

    Jeśli używasz Microsoft Azure z domeną nie niestandardową, taką jak onmicrosoft.com, wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko firma Microsoft — pojedyncza dzierżawa).

    Przykład:

    Nowa rejestracja aplikacji.

  4. W dolnej części strony wybierz pozycję Zarejestruj , aby utworzyć nową rejestrację aplikacji.

  5. W nowej rejestracji aplikacji w okienku po lewej stronie w obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

  6. Wybierz pozycję Dodaj platformę.

  7. W oknie podręcznym Konfigurowanie platform wybierz pozycję Sieć Web.

  8. W obszarze Identyfikatory URI przekierowania wprowadź identyfikator URI usługi szyfrowania podwójnego klucza. Wprowadź adres URL App Service, w tym nazwę hosta i domenę.

    Przykład: https://mydkeservicetest.com

    • Wprowadzony adres URL musi być zgodny z nazwą hosta, w której wdrożono usługę DKE.
    • Domena musi być zweryfikowaną domeną.
    • Jeśli testujesz lokalnie przy użyciu Visual Studio, użyj polecenia https://localhost:5001.
    • We wszystkich przypadkach schemat musi być https.

    Upewnij się, że nazwa hosta jest dokładnie zgodna z nazwą hosta App Service. Być może zmieniono go, aby localhost rozwiązać problem z kompilacją. W pliku appsettings.json ta wartość jest nazwą hosta ustawioną dla JwtAudiencepliku .

  9. W obszarze Przyznawanie niejawne zaznacz pole wyboru Tokeny identyfikatorów .

  10. Wybierz pozycję Zapisz , aby zapisać zmiany.

  11. W okienku po lewej stronie wybierz pozycję Uwidaczniaj interfejs API obok pozycji Identyfikator URI aplikacji, wprowadź adres URL App Service, w tym nazwę hosta i domenę, a następnie wybierz pozycję Ustaw.

  12. Nadal na stronie Uwidacznianie interfejsu API w obszarze Zakresy zdefiniowane przez ten obszar interfejsu API wybierz pozycję Dodaj zakres. W nowym zakresie:

    1. Zdefiniuj nazwę zakresu jako user_impersonation.

    2. Wybierz administratorów i użytkowników, którzy mogą wyrazić zgodę.

    3. Zdefiniuj wszystkie pozostałe wymagane wartości.

    4. Wybierz pozycję Dodaj zakres.

    5. Wybierz pozycję Zapisz u góry, aby zapisać zmiany.

  13. Nadal na stronie Uwidacznianie interfejsu API w obszarze Autoryzowane aplikacje klienckie wybierz pozycję Dodaj aplikację kliencką.

    W nowej aplikacji klienckiej:

    1. Zdefiniuj identyfikator klienta jako d3590ed6-52b3-4102-aeff-aad2292ab01c. Ta wartość jest identyfikatorem klienta Microsoft Office i umożliwia Office uzyskanie tokenu dostępu dla magazynu kluczy.

    2. W obszarze Autoryzowane zakresy wybierz zakres user_impersonation .

    3. Wybierz pozycję Dodaj aplikację.

    4. Wybierz pozycję Zapisz u góry, aby zapisać zmiany.

    5. Powtórz te kroki, ale tym razem zdefiniuj identyfikator klienta jako c00e9d32-3c8d-4a7d-832b-029040e7db99. Ta wartość to identyfikator klienta ujednoliconego etykietowania platformy Azure Information Protection.

Twoja usługa DKE jest teraz zarejestrowana. Kontynuuj , tworząc etykiety przy użyciu usługi DKE.

Tworzenie etykiet poufności przy użyciu usługi DKE

W portal zgodności Microsoft Purview utwórz nową etykietę poufności i zastosuj szyfrowanie tak, jak w przeciwnym razie. Wybierz pozycję Użyj szyfrowania podwójnym kluczem i wprowadź adres URL punktu końcowego klucza. Musisz uwzględnić nazwę klucza podaną w sekcji "TestKeys" pliku appsettings.json w adresie URL.

Przykład: https://testingdke1.azurewebsites.net/KEYNAME

W portal zgodności Microsoft Purview wybierz pozycję Użyj szyfrowania podwójnym kluczem.

Wszystkie dodane etykiety DKE zaczną być wyświetlane dla użytkowników w najnowszych wersjach Aplikacje Microsoft 365 dla przedsiębiorstw.

Uwaga

Odświeżenie klientów przy użyciu nowych etykiet może potrwać do 24 godzin.

Włączanie funkcji DKE w kliencie

Jeśli jesteś Office niejawnym testerem, usługa DKE jest włączona. W przeciwnym razie włącz funkcję DKE dla klienta, dodając następujące klucze rejestru:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrowanie chronionych plików z etykiet HYOK do etykiet DKE

Jeśli chcesz, po zakończeniu konfigurowania usługi DKE możesz migrować chronioną zawartość przy użyciu etykiet HYOK do etykiet DKE. Aby przeprowadzić migrację, użyjesz skanera usługi AIP. Aby rozpocząć korzystanie ze skanera, zobacz Co to jest ujednolicony skaner etykietowania usługi Azure Information Protection?.

Jeśli nie przeprowadzisz migracji zawartości, zawartość chroniona przez funkcję HYOK pozostanie nienaruszona.

Inne opcje wdrażania

Zdajemy sobie sprawę, że w przypadku niektórych klientów w branżach wysoce regulowanych ta standardowa implementacja referencyjna przy użyciu kluczy opartych na oprogramowaniu może nie być wystarczająca do spełnienia ich zwiększonych obowiązków i potrzeb w zakresie zgodności. Nawiązaliśmy współpracę z dostawcami sprzętowych modułów zabezpieczeń (HSM) innych firm, aby obsługiwać rozszerzone opcje zarządzania kluczami w usłudze DKE, w tym:

Skontaktuj się bezpośrednio z tymi dostawcami, aby uzyskać więcej informacji i wskazówek dotyczących ich rozwiązań hsm DKE na rynku.