Criptografia de Chave Dupla

Aplica-se a: Criptografia de Chave Dupla do Microsoft Purview, Microsoft Purview, Azure Proteção de Informações

Instruções para: cliente de rotulagem unificada Proteção de Informações Azure para Windows

Descrição do serviço para: Microsoft Purview

A DKE (Criptografia de Chave Dupla) usa duas chaves juntas para acessar o conteúdo protegido. A Microsoft armazena uma chave no Microsoft Azure e você mantém a outra chave. Você mantém o controle total de uma de suas chaves usando o serviço de Criptografia de Chave Dupla. Você aplica proteção usando o cliente de rotulagem unificada Proteção de Informações Azure ao seu conteúdo altamente confidencial.

A Criptografia de Chave Dupla dá suporte a implantações locais e de nuvem. Essas implantações ajudam a garantir que os dados criptografados permaneçam opacas onde quer que você armazene os dados protegidos.

Para obter mais informações sobre as chaves raiz de locatário padrão baseadas em nuvem, consulte Planejamento e implementação de sua chave de locatário Proteção de Informações Azure.

Quando sua organização deve adotar o DKE

A Criptografia de Chave Dupla destina-se aos seus dados mais confidenciais que estão sujeitos aos requisitos de proteção mais rígidos. O DKE não se destina a todos os dados. Em geral, você usará a Criptografia de Chave Dupla para proteger apenas uma pequena parte dos dados gerais. Você deve realizar a devida auditoria na identificação dos dados certos a serem acobertados com essa solução antes de implantar. Em alguns casos, talvez seja necessário restringir seu escopo e usar outras soluções para a maioria dos seus dados, como Proteção de Informações do Microsoft Purview com chaves gerenciadas pela Microsoft ou BYOK. Essas soluções são suficientes para documentos que não estão sujeitos a proteções e requisitos regulatórios aprimorados. Além disso, essas soluções permitem que você use os serviços de Office 365 mais poderosos; serviços que você não pode usar com conteúdo criptografado DKE. Por exemplo:

  • Regras de transporte, incluindo antimalware e spam que exigem visibilidade do anexo
  • Microsoft Delve
  • Descoberta eletrônica
  • Pesquisa e indexação de conteúdo
  • Office Aplicativos Web incluindo a funcionalidade de coautoria

Todos os aplicativos ou serviços externos que não são integrados ao DKE por meio do SDK do Proteção de Informações da Microsoft (MIP) não poderão executar ações nos dados criptografados.

O Proteção de Informações da Microsoft SDK 1.7+ dá suporte à Criptografia de Chave Dupla. Os aplicativos que se integram ao nosso SDK podem levar em conta esses dados com permissões e integrações suficientes em vigor.

Use Proteção de Informações do Microsoft Purview recursos (classificação e rotulagem) para proteger a maioria dos dados confidenciais e use apenas dKE para seus dados críticos. A Criptografia de Chave Dupla é relevante para dados confidenciais em setores altamente regulamentados, como serviços financeiros e saúde.

Se suas organizações tiverem qualquer um dos seguintes requisitos, você poderá usar o DKE para ajudar a proteger seu conteúdo:

  • Você deseja garantir que somente você possa descriptografar o conteúdo protegido, em todas as circunstâncias.
  • Você não quer que a Microsoft tenha acesso aos dados protegidos por conta própria.
  • Você tem requisitos regulatórios para manter as chaves dentro de um limite geográfico. Todas as chaves que você mantém para criptografia e descriptografia de dados são mantidas em seu data center.

Requisitos de sistema e licenciamento para DKE

A Criptografia de Chave Dupla vem com Microsoft 365 E5. Se você não tiver uma licença Microsoft 365 E5, inscreva-se para uma avaliação. Para obter mais informações sobre essas licenças, consulte as diretrizes de licenciamento do Microsoft 365 para segurança & conformidade.

Azure Proteção de Informações. O DKE funciona com rótulos de confidencialidade e requer o Azure Proteção de Informações.

Os rótulos de confidencialidade de DKE são disponibilizados para os usuários finais por meio do botão de confidencialidade no cliente de Rotulagem Unificada da AIP nos Aplicativos da Área de Trabalho do Office. Instale esses pré-requisitos em cada computador cliente em que você deseja proteger e consumir documentos protegidos.

Microsoft Office Apps para enterprise versão 2009 ou posterior (versões da área de trabalho do Word, PowerPoint e Excel) no Windows.

O Azure Proteção de Informações Unified Labeling Client versões 2.7.93.0 ou posteriores. Baixe e instale o cliente de Rotulagem Unificada no centro de download da Microsoft.

Ambientes com suporte para armazenar e exibir conteúdo protegido por DKE

Aplicativos com suporte. Microsoft 365 Apps para Grandes Empresas clientes no Windows, incluindo Word, Excel e PowerPoint.

Suporte a conteúdo online. Você pode armazenar documentos e arquivos protegidos com Criptografia de Chave Dupla online no Microsoft SharePoint e OneDrive for Business. Você deve rotular e proteger documentos e arquivos com DKE por aplicativos com suporte antes de carregar nesses locais. Você pode compartilhar conteúdo criptografado por email, mas não pode exibir documentos e arquivos criptografados online. Em vez disso, você deve exibir o conteúdo protegido usando os aplicativos e clientes da área de trabalho com suporte em seu computador local.

Visão geral da implantação do DKE

Você seguirá estas etapas gerais para configurar o DKE. Depois de concluir essas etapas, os usuários finais poderão proteger seus dados altamente confidenciais com a Criptografia de Chave Dupla.

  1. Implante o serviço DKE conforme descrito neste artigo.

  2. Crie um rótulo com Criptografia de Chave Dupla. No portal de conformidade do Microsoft Purview, navegue até Proteção de informações e crie um novo rótulo com Criptografia de Chave Dupla. Consulte Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia.

  3. Use rótulos de Criptografia de Chave Dupla. Proteja os dados selecionando o rótulo Double Key Encrypted na faixa de opções De confidencialidade no Microsoft Office.

Há várias maneiras de concluir algumas das etapas para implantar a Criptografia de Chave Dupla. Este artigo fornece instruções detalhadas para que administradores menos experientes implantem o serviço com êxito. Se você estiver familiarizado com isso, poderá optar por usar seus próprios métodos.

Implantar o DKE

Este artigo e o vídeo de implantação usam o Azure como o destino de implantação para o serviço DKE. Se você estiver implantando em outro local, precisará fornecer seus próprios valores.

Você seguirá estas etapas gerais para configurar a Criptografia de Chave Dupla para sua organização.

  1. Instalar os pré-requisitos de software para o serviço DKE
  2. Clonar o repositório GitHub de Criptografia de Chave Dupla
  3. Modificar as configurações do aplicativo
  4. Gerar chaves de teste
  5. Compilar o projeto
  6. Implantar o serviço DKE e publicar o repositório de chaves
  7. Valide a sua implantação
  8. Registrar seu repositório de chaves
  9. Criar rótulos de confidencialidade usando DKE
  10. Habilitar o DKE em seu cliente
  11. Migrar arquivos protegidos de rótulos HYOK para rótulos DKE

Quando terminar, você poderá criptografar documentos e arquivos usando DKE. Para obter informações, consulte Aplicar rótulos de confidencialidade aos seus arquivos e emails no Office.

Instalar os pré-requisitos de software para o serviço DKE

Instale esses pré-requisitos no computador em que você deseja instalar o serviço DKE.

SDK do .NET Core 3.1. Baixe e instale o SDK do Download do .NET Core 3.1.

Visual Studio Code. Baixe Visual Studio Code de https://code.visualstudio.com/. Depois de instalado, execute Visual Studio Code e selecione Exibir > Extensões. Instale essas extensões.

  • C# para Visual Studio Code

  • Gerenciador de Pacotes NuGet

Recursos do Git. Baixe e instale um dos itens a seguir.

Openssl Você deve ter o OpenSSL instalado para gerar chaves de teste depois de implantar o DKE. Verifique se você está invocando-o corretamente do caminho das variáveis de ambiente. Por exemplo, consulte "Adicionar o diretório de instalação ao PATH" para obter https://www.osradar.com/install-openssl-windows/ detalhes.

Clonar o repositório GitHub do DKE

A Microsoft fornece os arquivos de origem DKE em um repositório GitHub. Clone o repositório para compilar o projeto localmente para uso da sua organização. O repositório GitHub do DKE está localizado em https://github.com/Azure-Samples/DoubleKeyEncryptionService.

As instruções a seguir destinam-se a usuários git ou Visual Studio Code insuperiência:

  1. No navegador, vá para: https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. No lado direito da tela, selecione Código. Sua versão da interface do usuário pode mostrar um botão Clonar ou baixar . Em seguida, na lista suspensa exibida, selecione o ícone de cópia para copiar a URL para a área de transferência.

    Por exemplo:

    Clone o repositório do serviço de Criptografia de Chave Dupla do GitHub.

  3. No Visual Studio Code, selecione Exibir Paleta > de Comandos e selecione Git: Clonar. Para ir para a opção na lista, comece a git: clone digitar para filtrar as entradas e, em seguida, selecione-a na lista suspensa. Por exemplo:

    Visual Studio Code git:clone.

  4. Na caixa de texto, cole a URL copiada do Git e selecione Clonar do GitHub.

  5. Na caixa de diálogo Selecionar Pasta exibida, navegue até e selecione um local para armazenar o repositório. No prompt, selecione Abrir.

    O repositório é aberto Visual Studio Code e exibe o branch Git atual na parte inferior esquerda. Por exemplo, o branch deve ser principal. Por exemplo:

    Captura de tela do repositório DKE Visual Studio Code exibindo o branch principal.

  6. Se você não estiver no branch principal, precisará selecioná-lo. Em Visual Studio Code, selecione o branch e escolha o principal na lista de branches exibida.

    Importante

    Selecionar o branch principal garante que você tenha os arquivos corretos para compilar o projeto. Se você não escolher o branch correto, sua implantação falhará.

Agora você tem seu repositório de origem DKE configurado localmente. Em seguida, modifique as configurações do aplicativo para sua organização.

Modificar as configurações do aplicativo

Para implantar o serviço DKE, você deve modificar os seguintes tipos de configurações de aplicativo:

Você modifica as configurações do aplicativo no arquivo appsettings.json. Esse arquivo está localizado no repositório DoubleKeyEncryptionService clonado localmente em DoubleKeyEncryptionService\src\customer-key-store. Por exemplo, Visual Studio Code, você pode navegar até o arquivo, conforme mostrado na imagem a seguir.

Localizando o arquivo appsettings.json para DKE.

Configurações de acesso de chave

Escolha se deseja usar email ou autorização de função. O DKE dá suporte a apenas um desses métodos de autenticação por vez.

  • Autorização por email. Permite que sua organização autorize o acesso a chaves com base apenas em endereços de email.

  • Autorização de função. Permite que sua organização autorize o acesso a chaves com base em grupos do Active Directory e exige que o serviço Web possa consultar o LDAP.

Para definir as configurações de acesso de chave para DKE usando autorização de email
  1. Abra o arquivo appsettings.json e localize a configuração AuthorizedEmailAddress .

  2. Adicione o endereço de email ou endereços que você deseja autorizar. Separe vários endereços de email com aspas duplas e vírgulas. Por exemplo:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Localize LDAPPath a configuração e remova o texto If you use role authorization (AuthorizedRoles) then this is the LDAP path. entre aspas duplas. Deixe as aspas duplas no lugar. Quando terminar, a configuração deverá ter esta aparência.

    "LDAPPath": ""
    
  4. Localize a AuthorizedRoles configuração e exclua a linha inteira.

Esta imagem mostra o arquivo appsettings.json formatado corretamente para autorização de email.

O arquivo appsettings.json mostrando o método de autorização de email.

Para definir as configurações de acesso de chave para DKE usando a autorização de função
  1. Abra o arquivo appsettings.json e localize a configuração AuthorizedRoles .

  2. Adicione os nomes de grupo do Active Directory que você deseja autorizar. Separe vários nomes de grupo com aspas duplas e vírgulas. Por exemplo:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Localize a LDAPPath configuração e adicione o domínio do Active Directory. Por exemplo:

    "LDAPPath": "contoso.com"
    
  4. Localize a AuthorizedEmailAddress configuração e exclua a linha inteira.

Esta imagem mostra o arquivo appsettings.json formatado corretamente para autorização de função.

arquivo appsettings.json mostrando o método de autorização de função.

Configurações de locatário e chave

As configurações de locatário e chave do DKE estão localizadas no arquivo appsettings.json .

Para definir configurações de locatário e chave para DKE
  1. Abra o arquivo appsettings.json .

  2. Localize a ValidIssuers configuração e substitua <tenantid> pela ID do locatário. Você pode localizar sua ID de locatário indo para o portal do Azure e exibindo as propriedades do locatário. Por exemplo:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Observação

Se você quiser habilitar o acesso B2B externo ao repositório de chaves, também precisará incluir esses locatários externos como parte da lista de emissores válidos.

Localize o JwtAudience. Substitua <yourhostname> pelo nome do host do computador em que o serviço DKE será executado. Por exemplo: "https://dkeservice.contoso.com"

Importante

O valor deve JwtAudience corresponder exatamente ao nome do host.

  • TestKeys:Name. Insira um nome para sua chave. Por exemplo: TestKey1
  • TestKeys:Id. Crie um GUID e insira-o como o TestKeys:ID valor. Por exemplo, DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Você pode usar um site como o Gerador de GUID Online para gerar aleatoriamente um GUID.

Esta imagem mostra o formato correto para configurações de locatário e chaves em appsettings.json. LDAPPath é configurado para autorização de função.

Mostra as configurações corretas de locatário e chave para DKE no arquivo appsettings.json.

Gerar chaves de teste

Depois de definir as configurações do aplicativo, você estará pronto para gerar chaves de teste públicas e privadas.

Para gerar chaves:

  1. No menu Iniciar do Windows, execute o prompt de comando OpenSSL.

  2. Altere para a pasta em que você deseja salvar as chaves de teste. Os arquivos que você cria concluindo as etapas nesta tarefa são armazenados na mesma pasta.

  3. Gere a nova chave de teste.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Gere a chave privada.

    Se você instalou o OpenSSL versão 3 ou posterior, execute o seguinte comando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Caso contrário, execute o seguinte comando:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Gere a chave pública.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. Em um editor de texto, abra pubkeyonly.pem. Copie todo o conteúdo no arquivo pubkeyonly.pem , exceto a primeira e a última linhas, PublicPem na seção do arquivo appsettings.json .

  3. Em um editor de texto, abra privkeynopass.pem. Copie todo o conteúdo no arquivo privkeynopass.pem , exceto a primeira e a última linhas, PrivatePem para a seção do arquivo appsettings.json .

  4. Remova todos os espaços em branco e novas linhas nas seções PublicPem PrivatePem e nas seções.

    Importante

    Ao copiar esse conteúdo, não exclua nenhum dos dados PEM.

  5. No Visual Studio Code, navegue até o arquivo Startup.cs. Esse arquivo está localizado no repositório DoubleKeyEncryptionService clonado localmente em DoubleKeyEncryptionService\src\customer-key-store.

  6. Localize as seguintes linhas:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Substitua essas linhas pelo seguinte texto:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    Os resultados finais devem ser semelhantes aos seguintes.

    arquivo startup.cs para visualização pública.

Agora você está pronto para criar seu projeto DKE.

Compilar o projeto

Use as instruções a seguir para compilar o projeto DKE localmente:

  1. No Visual Studio Code, no repositório do serviço DKE, > selecione Exibir Paleta de Comandos e digite build no prompt.

  2. Na lista, escolha Tarefas: Executar tarefa de build.

    Se não houver nenhuma tarefa de build encontrada, selecione Configurar Tarefa de Build e crie uma para o .NET Core da seguinte maneira.

    Configure a tarefa de build ausente para .NET.

    1. Escolha Criar tasks.json no modelo.

      Crie o arquivo tasks.json do modelo para DKE.

    2. Na lista de tipos de modelo, selecione .NET Core.

      Selecione o modelo correto para DKE.

    3. Na seção de build, localize o caminho para o arquivo customerkeystore.csproj . Se não estiver lá, adicione a seguinte linha:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Execute o build novamente.

  3. Verifique se não há erros vermelhos na janela de saída.

    Se houver erros vermelhos, verifique a saída do console. Verifique se você concluiu todas as etapas anteriores corretamente e se as versões de build corretas estão presentes.

Sua configuração agora está concluída. Antes de publicar o repositório de chaves, em appsettings.json, para a configuração JwtAudience, verifique se o valor do nome do host corresponde exatamente ao nome do host Serviço de Aplicativo usuário.

Implantar o serviço DKE e publicar o repositório de chaves

Para implantações de produção, implante o serviço em uma nuvem de terceiros ou publique em um sistema local.

Você pode preferir outros métodos para implantar suas chaves. Selecione o método que funciona melhor para sua organização.

Para implantações piloto, você pode implantar no Azure e começar imediatamente.

Para criar uma instância do Aplicativo Web do Azure para hospedar sua implantação de DKE

Para publicar o repositório de chaves, você criará uma instância Serviço de Aplicativo do Azure para hospedar sua implantação de DKE. Em seguida, você publicará suas chaves geradas no Azure.

  1. No navegador, entre no Microsoft portal do Azure e acesse Adicionar serviços de > aplicativos.

  2. Selecione sua assinatura e grupo de recursos e defina os detalhes da instância.

    • Insira o nome do host do computador em que você deseja instalar o serviço DKE. Verifique se ele é o mesmo nome definido para a configuração JwtAudience no arquivo appsettings.json . O valor que você fornece para o nome também é o WebAppInstanceName.

    • Para Publicar, selecione o código e, para a pilha de Runtime, selecione .NET Core 3.1.

    Por exemplo:

    Adicione seu Serviço de Aplicativo.

  3. Na parte inferior da página, selecione Examinar + criar e, em seguida, selecione Adicionar.

  4. Siga um dos procedimentos a seguir para publicar suas chaves geradas:

Publicar via ZipDeployUI

  1. Saiba mais em https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Por exemplo: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. Na base de código do repositório de chaves, vá para a pasta customer-key-store\src\customer-key-store e verifique se essa pasta contém o arquivo customerkeystore.csproj .

  3. Executar: dotnet publish

    A janela de saída exibe o diretório em que a publicação foi implantada.

    Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Envie todos os arquivos no diretório de publicação para um .zip arquivo. Ao criar o .zip, verifique se todos os arquivos no diretório estão no nível raiz do .zip arquivo.

  5. Arraste e solte o .zip arquivo criado para o site ZipDeployUI aberto acima. Por exemplo: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

O DKE é implantado e você pode navegar até as chaves de teste criadas. Continue validando sua implantação abaixo.

Publicar via FTP

  1. Conecte-se ao Serviço de Aplicativo criado acima.

    No navegador, acesse: portal do Azure > Serviço de Aplicativo > FTP > > de Implantação Manual do Centro > de Implantação.

  2. Copie as cadeias de conexão exibidas para um arquivo local. Você usará essas cadeias de caracteres para se conectar à web Serviço de Aplicativo carregar arquivos via FTP.

    Por exemplo:

    Copie cadeias de conexão do painel FTP.

  3. Na base de código do armazenamento de chaves, vá para o diretório customer-key-store\src\customer-key-store.

  4. Verifique se esse diretório contém o arquivo customerkeystore.csproj .

  5. Executar: dotnet publish

    A saída contém o diretório em que a publicação foi implantada.

    Por exemplo: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Envie todos os arquivos no diretório de publicação para um arquivo zip. Ao criar o .zip, verifique se todos os arquivos no diretório estão no nível raiz do .zip arquivo.

  7. No cliente FTP, use as informações de conexão que você copiou para se conectar ao Serviço de Aplicativo. Carregue o .zip arquivo criado na etapa anterior para o diretório raiz do aplicativo Web.

O DKE é implantado e você pode navegar até as chaves de teste que você criou. Em seguida, valide sua implantação.

Valide a sua implantação

Depois de implantar o DKE usando um dos métodos descritos acima, valide a implantação e as configurações do repositório de chaves.

Executar:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Por exemplo:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Verifique se nenhum erro aparece na saída. Quando estiver pronto, registre seu repositório de chaves.

O nome da chave diferencia maiúsculas de minúsculas. Insira o nome da chave como ele aparece no arquivo appsettings.json.

Registrar seu repositório de chaves

As etapas a seguir permitem que você registre seu serviço DKE. Registrar seu serviço DKE é a última etapa na implantação do DKE antes de começar a criar rótulos.

Para registrar o serviço DKE:

  1. No navegador, abra o Microsoft portal do Azure e acesse Todos > os Registros de Aplicativo de > Identidade de Serviços.

  2. Selecione Novo registro e insira um nome significativo.

  3. Selecione um tipo de conta nas opções exibidas.

    Por exemplo:

    Novo Registro de Aplicativo.

  4. Na parte inferior da página, selecione Registrar para criar o novo Registro de Aplicativo.

  5. No novo Registro de Aplicativo, no painel esquerdo, em Gerenciar, selecione Autenticação.

  6. Selecione Adicionar uma plataforma.

  7. No pop-up Configurar plataformas , selecione Web.

  8. Em URIs de Redirecionamento, insira o URI do serviço de criptografia de chave dupla. Insira a SERVIÇO DE APLICATIVO, incluindo o nome do host e o domínio.

    Por exemplo: https://mydkeservicetest.com

    • A URL inserida deve corresponder ao nome do host em que o serviço DKE está implantado.
    • O domínio deve ser um domínio verificado.
    • Em todos os casos, o esquema deve ser https.

    Verifique se o nome do host corresponde exatamente ao nome Serviço de Aplicativo host.

  9. Em Concessão implícita, marque a caixa de seleção de tokens de ID .

  10. Selecione Salvar para salvar suas alterações.

  11. No painel esquerdo, selecione Expor uma API, ao lado do URI da ID do Aplicativo, insira a URL do Serviço de Aplicativo, incluindo o nome do host e o domínio e, em seguida, selecione Definir.

  12. Ainda na página Expor uma API , nos Escopos definidos por essa área de API , selecione Adicionar um escopo. No novo escopo:

    1. Defina o nome do escopo como user_impersonation.

    2. Selecione os administradores e usuários que podem consentir.

    3. Defina os valores restantes necessários.

    4. Selecione Adicionar escopo.

    5. Selecione Salvar na parte superior para salvar suas alterações.

  13. Ainda na página Expor uma API , na área aplicativos cliente autorizados, selecione Adicionar um aplicativo cliente.

    No novo aplicativo cliente:

    1. Defina a ID do cliente como d3590ed6-52b3-4102-aeff-aad2292ab01c. Esse valor é a ID de cliente do Microsoft Office e permite que o Office obtenha um token de acesso para o repositório de chaves.

    2. Em Escopos autorizados, selecione o user_impersonation escopo.

    3. Selecione Adicionar aplicativo.

    4. Selecione Salvar na parte superior para salvar suas alterações.

    5. Repita essas etapas, mas, desta vez, defina a ID do cliente como c00e9d32-3c8d-4a7d-832b-029040e7db99. Esse valor é a ID do cliente de rotulagem unificada Proteção de Informações Azure.

Seu serviço DKE agora está registrado. Continue criando rótulos usando DKE.

Criar rótulos de confidencialidade usando DKE

No portal de conformidade do Microsoft Purview, crie um novo rótulo de confidencialidade e aplique a criptografia como faria de outra forma. Selecione Usar Criptografia de Chave Dupla e insira a URL do ponto de extremidade para sua chave. Você precisa incluir o nome da chave fornecido na seção "TestKeys" do arquivo appsettings.json na URL.

Por exemplo: https://testingdke1.azurewebsites.net/KEYNAME

Selecione Usar Criptografia de Chave Dupla no portal de conformidade do Microsoft Purview.

Todos os rótulos de DKE adicionados começarão a aparecer para os usuários nas versões mais recentes do Microsoft 365 Apps para Grandes Empresas.

Observação

Pode levar até 24 horas para que os clientes atualizem com os novos rótulos.

Habilitar o DKE em seu cliente

Se você for um Participante do Programa Office Insider, o DKE estará habilitado para você. Caso contrário, habilite o DKE para o cliente adicionando as seguintes chaves do Registro:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrar arquivos protegidos de rótulos HYOK para rótulos DKE

Se desejar, depois de concluir a configuração do DKE, você poderá migrar o conteúdo que protegeu usando rótulos HYOK para rótulos DKE. Para migrar, você usará o verificador de AIP. Para começar a usar o verificador, consulte O que é o verificador de rotulagem unificada Proteção de Informações Azure?.

Se você não migrar o conteúdo, o conteúdo protegido por HYOK permanecerá inalterado.

Outras opções de implantação

Percebemos que, para alguns clientes em setores altamente regulamentados, essa implementação de referência padrão usando chaves baseadas em software pode não ser suficiente para atender às suas obrigações e necessidades de conformidade aprimoradas. Fizemos uma parceria com fornecedores de HSM (módulo de segurança de hardware) de terceiros para dar suporte a opções aprimoradas de gerenciamento de chaves no serviço DKE, incluindo:

Entre em contato diretamente com esses fornecedores para obter mais informações e diretrizes sobre suas soluções de HSM DKE no mercado.