Dubbelnyckelkryptering för Microsoft 365
Gäller för: Dubbelnyckelkryptering för Microsoft 365, Microsoft 365 efterlevnad, Azure Information Protection
Anvisningar för: Azure Information Protection unified labeling client for Windows
Tjänstbeskrivning för: Microsoft 365 regelefterlevnad
DKE (Double Key Encryption) använder två nycklar tillsammans för att komma åt skyddat innehåll. Microsoft lagrar en nyckel i Microsoft Azure och du håller ned den andra nyckeln. Du har full kontroll över en av dina nycklar med hjälp av tjänsten dubbelnyckelkryptering. Du tillämpar skydd med hjälp av Azure Information Protection-unified labeling-klienten för ditt känsliga innehåll.
Dubbelnyckelkryptering har stöd för både molndistribution och lokal distribution. De här distributionerna hjälper till att säkerställa att krypterade data förblir ogenomskinliga oavsett var du lagrar skyddade data.
Mer information om den molnbaserade klientorganisationens standardrotnycklar finns i Planera och implementera Azure Information Protection-klientnyckeln.
När din organisation ska använda DKE
Dubbelnyckelkryptering är avsedd för de känsligaste data som omfattas av de strikta skyddskraven. DKE är inte avsett för alla data. I allmänhet använder du Dubbelnyckelkryptering för att endast skydda en liten del av dina övergripande data. Du bör vara noggrann med att identifiera rätt data innan du distribuerar. I vissa fall kan du behöva begränsa omfattningen och använda andra lösningar för de flesta data, till exempel Microsoft Information Protection med Microsoft-hanterade nycklar eller BYOK. Dessa lösningar är tillräckliga för dokument som inte omfattas av förbättrade skydds- och regleringskrav. Med de här lösningarna kan du också använda de mest kraftfulla Office 365-tjänsterna, tjänster som du inte kan använda med DKE-krypterat innehåll. Till exempel:
- Transportregler som skydd mot skadlig programvara och skräppost som kräver insyn i den bifogade filen
- Microsoft Delve
- eDiscovery
- Innehållssökning och indexering
- Office-webbappar, bland annat funktioner för samtidiga funktioner
Externa program eller tjänster som inte är integrerade med DKE via MIP SDK kan inte utföra åtgärder på krypterade data.
I Microsoft Information Protection SDK 1.7+ stöds Dubbel nyckelkryptering. Program som integreras med vårt SDK kommer att kunna använda dessa data med tillräcklig behörighet och integrering.
Vi rekommenderar att organisationer använder Microsofts informationsskyddsfunktioner (klassificering och märkning) för att skydda de flesta känsliga data och bara använda DKE för verksamhetskritiska data. Dubbel nyckelkryptering är relevant för känsliga data i branscher som är reglerade, till exempel finansiella tjänster och sjukvård.
Om din organisation har något av följande krav kan du använda DKE för att skydda ditt innehåll:
- Du vill vara säker på att det bara är du som kan dekryptera skyddat innehåll under alla omständigheter.
- Du vill inte att Microsoft ska ha tillgång till skyddade data på egen hand.
- Du har regler som måste innehålla nycklar inom en geografisk gräns. Alla nycklar som du håller för datakryptering och dekryptering behålls i datacentret.
System- och licenskrav för DKE
Dubbel nyckelkryptering för Microsoft 365 levereras med Microsoft 365 E5. Om du inte har en licens Microsoft 365 E5 kan du registrera dig för en utvärderingsversion. Mer information om licenserna finns i vägledningen för Microsoft 365 om säkerhet och & efterlevnad.
Azure Information Protection. DKE fungerar med känslighetsetiketter och kräver Azure Information Protection.
DKE-känslighetsetiketter görs tillgängliga för slutanvändare via känslighetsknappen i klienten AIP Unified Labeling i Office Desktop Apps. Installera de här förutsättningarna på varje klientdator där du vill skydda och använda skyddade dokument.
Microsoft Office Program för företag version 2009 eller senare (skrivbordsversioner av Word, PowerPoint och Excel) på Windows.
Azure Information Protection Unified Labeling Client version 2.7.93.0 eller senare. Ladda ned och installera unified Labeling-klienten från Microsoft Download Center.
Miljöer som stöds för lagring och visning av DKE-skyddat innehåll
Program som stöds. Microsoft 365-appar för företag klienter på Windows, till exempel Word, Excel och PowerPoint.
Stöd för onlineinnehåll. Du kan lagra dokument och filer som skyddas med Dubbel nyckelkryptering online i både Microsoft SharePoint och OneDrive för företag. Du måste märka och skydda dokument och filer med DKE av program som stöds innan du laddar upp till dessa platser. Du kan dela krypterat innehåll via e-post, men du kan inte visa krypterade dokument och filer online. I stället måste du visa skyddat innehåll med de skrivbordsprogram och klienter som stöds på den lokala datorn.
Översikt över distribution av DKE
Du följer de här allmänna anvisningarna för att konfigurera DKE. När du har utfört de här stegen kan slutanvändarna skydda känslig information med Dubbelnyckelkryptering.
Distribuera DKE-tjänsten enligt beskrivningen i den här artikeln.
Skapa en etikett med Dubbelnyckelkryptering. Gå till Informationsskydd under Microsoft 365 Efterlevnadscenter och skapa en ny etikett med Dubbel nyckelkryptering. Läs Begränsa åtkomst till innehåll genom att använda känslighetsetiketter för att tillämpa kryptering.
Använd etiketter för dubbelnyckelkryptering. Skydda data genom att välja etiketten Dubbelnyckelkrypterad i menyfliksområdet Känslighet i Microsoft Office.
Det finns flera sätt att utföra några av stegen för att distribuera dubbelnyckelkryptering. Den här artikeln innehåller detaljerade anvisningar så att mindre erfarna administratörer kan distribuera tjänsten. Om du känner dig bekväm med det kan du välja att använda dina egna metoder.
Distribuera DKE
I den här artikeln och videon om distribution används Azure som mål för distributionen av DKE-tjänsten. Om du distribuerar till en annan plats måste du ange egna värden.
Titta på videon om distribution med dubbel nyckelkryptering om du vill se en steg-för-steg-översikt över begreppen i den här artikeln. Videon tar ca 18 minuter att slutföra.
Du följer de här allmänna anvisningarna för att konfigurera Dubbelnyckelkryptering för organisationen.
- Installera programvaruförutsättningarna för DKE-tjänsten
- Klona dubbelnyckelkrypteringsplatsen GitHub krypteringsplatsen
- Ändra programinställningar
- Generera testnycklar
- Skapa projektet
- Distribuera DKE-tjänsten och publicera nyckelarkivet
- Validera din distribution
- Registrera din nyckelbutik
- Skapa känslighetsetiketter med DKE
- Aktivera DKE i klienten
- Migrera skyddade filer från HYOK-etiketter till DKE-etiketter
När du är klar kan du kryptera dokument och filer med DKE. Mer information finns i Använda känslighetsetiketter för dina filer och e-post i Office.
Installera programvaruförutsättningarna för DKE-tjänsten
Installera de här förutsättningarna på den dator där du vill installera DKE-tjänsten.
.NET Core 3.1 SDK. Ladda ned och installera SDK från Ladda ned .NET Core 3.1.
Visual Studio kod. Ladda Visual Studio kod från https://code.visualstudio.com/ . När du har installerat, Visual Studio kod och väljer Visa > tillägg. Installera de här tilläggen.
C# för Visual Studio kod
NuGet Package Manager
Git-resurser. Ladda ned och installera något av följande.
OpenSSL Du måste ha OpenSSL installerat för att generera testnycklar när du har distribuerat DKE. Kontrollera att du använder den på rätt sätt från sökvägen med miljövariabler. Mer information finns i "Lägga till installationskatalogen i https://www.osradar.com/install-openssl-windows/ PATH".
Klona DKE-GitHub lagringsplatsen
Microsoft tillhandahåller DKE-källfilerna på en GitHub lagringsplats. Du klonar lagringsplatsen för att skapa projektet lokalt för din organisations användning. DKE GitHub lagringsplatsen finns vid https://github.com/Azure-Samples/DoubleKeyEncryptionService .
Följande anvisningar är avsedda för oerfarna git- Visual Studio-kodanvändare:
Öppna webbläsaren och gå till: https://github.com/Azure-Samples/DoubleKeyEncryptionService .
Välj Kod till höger på skärmen. Din version av användargränssnittet kan visa knappen Klona eller ladda ned. I den nedrullningsbara listrutan som visas väljer du ikonen Kopiera för att kopiera URL-adressen till Urklipp.
Till exempel:

I Visual Studio väljer du Visa > kommandopalett och sedan Git: Klona. Om du vill gå till alternativet i listan börjar du skriva för att
git: clonefiltrera posterna och väljer det i listrutan. Till exempel:
I textrutan klistrar du in url-adressen som du kopierade från Git och väljer Klona från GitHub.
I dialogrutan Välj mapp som visas bläddrar du till och väljer en plats där du vill lagra lagringsplatsen. Välj Öppna när du uppmanas att göra det.
Lagringsplatsen öppnas Visual Studio kod och visar den aktuella Git-grenen längst ned till vänster. Grenen ska till exempel vara huvud. Till exempel:

Om du inte är i huvudgrenen måste du välja den. I Visual Studio väljer du grenen och väljer huvud i listan med filialer som visas.
Viktigt
Genom att välja huvudgrenen ser du till att du har rätt filer för att skapa projektet. Om du inte väljer rätt gren kommer distributionen att misslyckas.
Du har nu din DKE-källdatabas konfigurerad lokalt. Ändra sedan programinställningarna för din organisation.
Ändra programinställningar
Du måste ändra följande typer av programinställningar för att distribuera DKE-tjänsten:
Du ändrar programinställningarna i filen appsettings.json. Den här filen finns på den DoubleKeyEncryptionService-lagringsplatsen som du klonade lokalt under DoubleKeyEncryptionService\src\customer-key-store. I Visual Studio till exempel till filen enligt följande bild.

Inställningar för tangentåtkomst
Välj om du vill använda e-post eller rollauktorisering. DKE stöder endast en av dessa autentiseringsmetoder i taget.
E-postauktorisering. Gör att din organisation kan auktorisera åtkomst till nycklar endast baserat på e-postadresser.
Rollauktorisering. Ger organisationen behörighet att auktorisera åtkomst till nycklar baserat på Active Directory-grupper och kräver att webbtjänsten kan köra frågor för LDAP.
Så här anger du tangentåtkomstinställningar för DKE med e-postauktorisering
Öppna filen appsettings.json och leta reda på
AuthorizedEmailAddressinställningen.Lägg till den e-postadress eller de adresser som du vill auktorisera. Avgränsa flera e-postadresser med dubbla citattecken och kommatecken. Till exempel:
"AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]Leta reda
LDAPPathpå inställningen och ta bort texten mellanIf you use role authorization (AuthorizedRoles) then this is the LDAP path.citattecken. Låt de dubbla citattförfrågningarna vara kvar. När du är klar bör inställningen se ut så här."LDAPPath": ""Leta reda
AuthorizedRolespå inställningen och ta bort hela raden.
Den här bilden visar filen appsettings.json som är korrekt formaterad för e-postauktorisering.

Så här anger du nyckelåtkomstinställningar för DKE med rollauktorisering
Öppna filen appsettings.json och leta reda på
AuthorizedRolesinställningen.Lägg till de Active Directory-gruppnamn som du vill auktorisera. Avgränsa flera gruppnamn med dubbla citattecken och kommatecken. Till exempel:
"AuthorizedRoles": ["group1", "group2", "group3"]Leta reda
LDAPPathpå inställningen och lägg till Active Directory-domänen. Till exempel:"LDAPPath": "contoso.com"Leta reda
AuthorizedEmailAddresspå inställningen och ta bort hela raden.
Den här bilden visar filen appsettings.json som är korrekt formaterad för rollauktorisering.

Inställningar för klientorganisation och nyckel
Klientorganisationen och tangentinställningarna för DKE finns i filen appsettings.json.
Så här konfigurerar du klientorganisations- och nyckelinställningar för DKE
Öppna filen appsettings.json.
Leta reda på
ValidIssuersinställningen och ersätt med ditt<tenantid>klientorganisations-ID. Du kan hitta ditt klient-ID genom att gå till Azure-portalen och visa klientorganisationens egenskaper. Till exempel:"ValidIssuers": [ "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/" ]
Anteckning
Om du vill aktivera extern B2B-åtkomst till nyckelarkivet måste du också inkludera dessa externa innehavare som en del av listan över giltiga utfärdare.
Leta reda på JwtAudience . Ersätt <yourhostname> med värdnamnet för den dator där DKE-tjänsten körs. Till exempel:
Viktigt
Värdet för måste JwtAudience matcha värdens namn exakt. Du kan använda localhost:5001 när du felsöker. Men när du är klar med felsökningen måste du uppdatera det här värdet till serverns värdnamn.
TestKeys:Name. Ange ett namn på nyckeln. Till exempel:TestKey1TestKeys:Id. Skapa ett GUID och ange det somTestKeys:IDvärde. Till exempelDCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Du kan använda en webbplats som Online GUID Generator för att slumpmässigt generera en GUID.
Den här bilden visar rätt format för inställningar för klientorganisation och nycklar i appsettings.json. LDAPPath har konfigurerats för rollauktorisering.

Generera testnycklar
När du har definierat dina programinställningar är du redo att skapa offentliga och privata testnycklar.
Så här skapar du nycklar:
Från Windows Start-menyn kör du Kommandotolken i OpenSSL.
Byt till den mapp där du vill spara testnycklarna. Filer som du skapar genom att utföra stegen i uppgiften lagras i samma mapp.
Generera den nya testnyckeln.
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365Generera den privata nyckeln.
Om du har installerat OpenSSL version 3 eller senare kör du följande kommando:
openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional
Kör annars följande kommando:
openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
Generera den offentliga nyckeln.
openssl rsa -in key.pem -pubout > pubkeyonly.pemI en textredigerare öppnar du pubkeyonly.pem. Kopiera allt innehåll i filen pubkeyonly.pem, förutom den första och sista raderna, till avsnittet i
PublicPemfilen appsettings.json.Öppna privkeynopass.pem i en textredigerare. Kopiera allt innehåll i filen privkeynopass.pem, förutom de första och sista raderna, till avsnittet i
PrivatePemfilen appsettings.json.Ta bort alla tomma utrymmen och nya rader i både
PublicPemavsnittPrivatePemoch.Viktigt
När du kopierar det här innehållet ska du inte ta bort några PEM-data.
Bläddra Visual Studio.cs-filen i fältet Start.cs. Den här filen finns på den DoubleKeyEncryptionService-lagringsplatsen som du klonade lokalt under DoubleKeyEncryptionService\src\customer-key-store.
Leta upp följande rader:
#if USE_TEST_KEYS #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing, DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!! services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>(); #endifErsätt dessa rader med följande text:
services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();Resultatet bör se ut ungefär så här.

Nu är du redo att skapa ditt DKE-projekt.
Skapa projektet
Använd följande anvisningar för att skapa DKE-projektet lokalt:
I Visual Studio kod i DKE-tjänstens lagringsplats väljer du Visa kommandopalett och skriver sedan version när du > uppmanas att göra det.
I listan väljer du Uppgifter: Kör build-uppgift.
Om inga build-uppgifter hittas väljer du Konfigurera build-uppgift och skapar en för .NET-kärnuppgifterna på följande sätt.

Välj Skapa uppgifter.json från mall.

Välj .NET Core i listan över malltyper.

Leta reda på sökvägen till filen customerkeystore.csproj i build-avsnittet. Om den inte visas lägger du till följande rad:
"${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",Kör versionen igen.
Kontrollera att det inte finns några röda fel i utdatafönstret.
Om det finns röda fel kontrollerar du konsolens utdata. Kontrollera att du har slutfört alla tidigare steg korrekt och att rätt versionsversioner finns.
Välj Kör > Starta felsökning för att felsöka processen. Om du uppmanas att välja en miljö väljer du .NET core.
.NET core debugger startar vanligtvis på
https://localhost:5001. Du visar testtangenten genom att gå tillhttps://localhost:5001och lägga till ett snedstreck (/) och namnet på tangenten. Till exempel:https://localhost:5001/TestKey1Nyckeln ska visas i JSON-format.
Konfigurationen är nu klar. Innan du publicerar keystore ska du, i appsettings.json, se till att värdet för värdnamn matchar programtjänstens värdnamn exakt. Du kan ha ändrat det till localhost för att felsöka versionen.
Distribuera DKE-tjänsten och publicera nyckelarkivet
För produktionsdistributioner distribuerar du tjänsten antingen i ett tredjepartsmoln eller publicerar på ett lokalt system.
Du kanske föredrar andra metoder för att distribuera dina nycklar. Välj den metod som passar din organisation bäst.
För pilotdistributioner kan du distribuera i Azure och komma igång direkt.
Så här skapar du en Azure Web App-instans som värd för DKE-distributionen
När du ska publicera nyckellagringsnyckeln skapar du en Azure App Service-instans som värd för DKE-distributionen. Därefter ska du publicera de nycklar du skapat i Azure.
Logga in på e-postportalen i Microsoft Azure ochgå till Lägg till > Apptjänster.
Välj prenumerations- och resursgrupp och definiera instansinformation.
Ange värdnamnet för den dator där du vill installera DKE-tjänsten. Kontrollera att det är samma namn som det som definierats för inställningen Oavvislighet i filen appsettings.json. Värdet du anger för namnet är också WebAppInstanceName.
För Publicera väljer du kod och för Runtime stack väljer du .NET Core 3.1.
Till exempel:

Längst ned på sidan väljer du Granska + skapa och sedan Lägg till.
Gör något av följande för att publicera de nycklar du skapat:
Publicera via ZipDeployUI
Gå till
https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.Till exempel: https://dkeservice.scm.azurewebsites.net/ZipDeployUI
Gå till mappen customer-key-store\src\customer-key-store i codebase för nyckellagret och kontrollera att mappen innehåller filen customerkeystore.csproj.
Kör: dotnet publicera
I utdatafönstret visas katalogen där publiceringen distribuerades.
Till exempel:
customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\Skicka alla filer i publiceringskatalogen till en .zip filen. När du .zip filen ser du till att alla filer i katalogen är på rotnivån i .zip filen.
Dra och släpp .zip filen du skapade på ZipDeployUI-webbplatsen som du öppnade ovan. Till exempel: https://dkeservice.scm.azurewebsites.net/ZipDeployUI
DKE distribueras och du kan bläddra till testnycklarna som du har skapat. Fortsätt att validera distributionen nedan.
Publicera via FTP
Anslut till Apptjänsten som du skapade ovan.
I webbläsaren går du till: Azure Portal App Service > Deployment Center > Ftp Dashboard > för > manuell > distribution.
Kopiera anslutningssträngarna som visas till en lokal fil. Du använder strängarna för att ansluta till Webbtjänsten och ladda upp filer via FTP.
Till exempel:

Gå till katalogen customer-key-store\src\customer-key-store i codebase för nyckellagring.
Kontrollera att den här katalogen innehåller filen customerkeystore.csproj.
Kör: dotnet publicera
Utdata innehåller katalogen där publiceringen distribuerades.
Till exempel:
customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\Skicka alla filer i publiceringskatalogen till en ZIP-fil. När du .zip filen ser du till att alla filer i katalogen är på rotnivån i .zip filen.
Från FTP-klienten använder du anslutningsinformationen som du kopierade för att ansluta till apptjänsten. Upload den .zip som du skapade i föregående steg i rotkatalogen för webbprogrammet.
DKE distribueras och du kan bläddra till de testnycklar som du har skapat. Validera sedan distributionen.
Validera din distribution
När du har distribuerat DKE med någon av metoderna som beskrivs ovan verifierar du inställningarna för distributionen och nyckelarkivet.
Kör:
src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey
Till exempel:
key_store_tester.ps1 https://mydkeservice.com/mykey
Se till att inga fel visas i utdata. Registrera nyckelbutiken när du är klar.
Nyckelnamnet är det ärendekänsliga. Ange nyckelns namn som det visas i filen appsettings.json.
Registrera din nyckelbutik
Med följande steg kan du registrera din DKE-tjänst. Att registrera din DKE-tjänst är det sista steget i distributionen av DKE innan du kan börja skapa etiketter.
Så här registrerar du DKE-tjänsten:
I webbläsaren öppnar du webbportalen Microsoft Azureoch går till Registreringar för Alla > > tjänster-identitetsapp.
Välj Ny registrering och ange ett beskrivande namn.
Välj en kontotyp bland alternativen som visas.
Om du använder Microsoft Azure domän som inte är en egen domän, till exempel onmicrosoft.com, väljer du Konton endast i den här organisationskatalogen (Endast Microsoft – enskild klient).
Till exempel:

Längst ned på sidan väljer du Registrera för att skapa den nya appregistreringen.
I den nya appregistreringen, i den vänstra rutan, under Hantera väljer du Autentisering.
Välj Lägg till en plattform.
Välj Webb på popup-menyn Konfigurera plattformar.
Under Omdirigera URI:er anger du URI:en för krypteringstjänsten med dubbelnyckeln. Ange apptjänst-URL:en, inklusive både värdnamn och domän.
Till exempel: https://mydkeservicetest.com
- URL-adressen du anger måste matcha värdnamnet där DKE-tjänsten är distribuerad.
- Om du testar lokalt med Visual Studio du https://localhost:5001 .
- I samtliga fall måste schemat vara https.
Se till att värdnamnet exakt matchar din App Service-värdnamn. Du kanske har ändrat den till
localhostatt felsöka versionen. I appsettings.json är det här värdet det värdnamn du anger förJwtAudience.Markera kryssrutan ID-token under Implicit grant.
Välj Spara för att spara ändringarna.
Välj Visa ett API i det vänstra fönstret och välj sedan Ange bredvid Program-ID-URI.
Välj Lägg till en omfattning i området Omfattningar som definieras av detta API på sidan Visa ett API. I den nya omfattningen:
Definiera omfattningsnamnet som user_impersonation.
Välj de administratörer och användare som kan ge sitt medgivande.
Definiera eventuella återstående värden som krävs.
Välj Lägg till omfattning.
Spara ändringarna genom att välja Spara högst upp.
Fortfarande på sidan Visa ett API går du till området Auktoriserade klientprogram och väljer Lägg till ett klientprogram.
I det nya klientprogrammet:
Definiera klient-ID som
d3590ed6-52b3-4102-aeff-aad2292ab01c. Det här värdet är Microsoft Office klient-ID och gör att Office kan hämta en åtkomsttoken för nyckelarkivet.Under Auktoriserade omfattningar väljer du user_impersonation omfattning.
Välj Lägg till program.
Spara ändringarna genom att välja Spara högst upp.
Upprepa dessa steg, men nu definierar du klient-ID som
c00e9d32-3c8d-4a7d-832b-029040e7db99. Det här värdet är det enhetliga klient-ID:t för Azure Information Protection.
Din DKE-tjänst är nu registrerad. Fortsätt genom att skapa etiketter med DKE.
Skapa känslighetsetiketter med DKE
I Microsoft 365 Efterlevnadscenter, skapa en ny känslighetsetikett och använd kryptering som du skulle göra annars. Välj Använd dubbelnyckelkryptering och ange slutpunkts-URL:en för din nyckel. Du måste inkludera det nyckelnamn du har angett i avsnittet "TestKeys" i filen appsettings.json i URL-adressen.
Till exempel: https://testingdke1.azurewebsites.net/ NYCKELNAMN

De DKE-etiketter du lägger till visas i de senaste versionerna av Microsoft 365-appar för företag.
Anteckning
Det kan ta upp till 24 timmar för klienterna att uppdatera med de nya etiketterna.
Aktivera DKE i klienten
Om du är insider Office är DKE aktiverat för dig. Annars aktiverar du DKE för klienten genom att lägga till följande registernycklar:
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
"DoubleKeyProtection"=dword:00000001
Migrera skyddade filer från HYOK-etiketter till DKE-etiketter
När du är klar med att konfigurera DKE kan du migrera innehåll som du har skyddat med hjälp av HYOK-etiketter till DKE-etiketter. Om du vill migrera använder du AIP-skannern. Om du vill komma igång med att använda skannern går du till Vad är Azure Information Protection unified labeling scanner?.
Om du inte migrerar innehåll påverkas inte ditt HYOK-skyddade innehåll.
Andra distributionsalternativ
Vi inser att den här standardimplementering av programvarubaserade nycklar kanske inte är tillräcklig för att uppfylla vissa kunders utökade efterlevnadsskyldigheter och krav. Vi samarbetar med olika tredjepartsleverantörer av maskinvarusäkerhetsmoduler (HSM) för att ge stöd för förbättrade viktiga hanteringsalternativ för DKE-tjänsten, inklusive:
Kontakta de här leverantörerna direkt för att få mer information och vägledning om deras DKE HSM-lösningar på marknaden.