Podrobnosti o vlastním klíči (HYOK) pro Azure Information Protection
Konfigurace HYOK (Hold Your Own Key) umožňují zákazníkům AIP s klasickým klientem chránit vysoce citlivý obsah a přitom zachovat plnou kontrolu nad klíčem. HYOK používá další klíč uložený zákazníkem pro vysoce citlivý obsah společně s výchozí cloudovou ochranou použitou pro jiný obsah.
Vzhledem k tomu, že ochrana HYOK umožňuje přístup k datům pouze pro místní aplikace a služby, mají zákazníci, kteří používají HYOK, také cloudový klíč pro cloudové dokumenty.
Použijte HYOK pro dokumenty, které jsou:
- Omezeno jenom na několik lidí
- Nesdílí se mimo organizaci
- Spotřebovávají se pouze v interní síti.
Tyto dokumenty mají obvykle nejvyšší klasifikaci ve vaší organizaci, jako "Top Secret".
Obsah je možné šifrovat pomocí ochrany HYOK pouze v případě, že máte klasického klienta. Pokud ale máte obsah chráněný HYOK, můžete ho zobrazit v klasickém i sjednoceném klientovi popisování.
Další informace o výchozích kořenových klíčích cloudového tenanta najdete v tématu Plánování a implementace klíče tenanta Azure Information Protection.
Cloudová ochrana vs. HYOK
Ochrana citlivých dokumentů a e-mailů pomocí Azure Information Protection obvykle používá cloudový klíč, který buď generuje Microsoft, nebo zákazník, pomocí konfigurace BYOK.
Cloudové klíče se spravují v Azure Key Vault, které zákazníkům poskytují následující výhody:
Žádné požadavky na infrastrukturu serveru. Cloudová řešení jsou rychlejší a nákladově efektivnější pro nasazení a údržbu než místní řešení.
Cloudové ověřování umožňuje snadnější sdílení s partnery a uživateli z jiných organizací.
Úzká integrace s dalšími službami Azure a Microsoft 365, jako jsou vyhledávání, webové prohlížeče, kontingenční zobrazení, antimalwarový software, eDiscovery a Delve.
Sledování dokumentů, odvolání a e-mailová oznámení pro citlivé dokumenty, které jste sdíleli.
Některé organizace ale můžou mít zákonné požadavky, které vyžadují šifrování konkrétního obsahu pomocí klíče, který je izolovaný od cloudu. Tato izolace znamená, že šifrovaný obsah může číst jenom místní aplikace a místní služby.
U konfigurací HYOK mají klienti zákazníků cloudový klíč , který se dá použít s obsahem, který je možné uložit v cloudu, a místní klíč pro obsah, který musí být chráněný jenom místně.
Pokyny a osvědčené postupy pro HYOK
Při konfiguraci HYOK zvažte následující doporučení:
- Obsah vhodný pro HYOK
- Definování uživatelů, kteří vidí popisky nakonfigurované HYOK
- Podpora HYOK a e-mailu
Důležité
Konfigurace HYOK pro Azure Information Protection není náhradou za plně nasazení AD RMS a Azure Information Protection ani alternativu k migraci AD RMS do Azure Information Protection.
HYOK je podporován pouze použitím popisků, nenabízí paritu funkcí se službou AD RMS a nepodporuje všechny konfigurace nasazení služby AD RMS.
Obsah vhodný pro HYOK
Ochrana HYOK neposkytuje výhody cloudové ochrany a často stojí za "neprůhlednost dat", protože k obsahu je možné přistupovat pouze místními aplikacemi a službami. I pro organizace, které používají ochranu HYOK, je obvykle vhodné jenom pro malý počet dokumentů.
Doporučujeme používat HYOK pouze pro obsah, který odpovídá následujícím kritériím:
- Obsah s nejvyšší klasifikací ve vaší organizaci ("Nejvyšší tajný kód"), kde je přístup omezený jenom na několik lidí
- Obsah, který není sdílený mimo organizaci
- Obsah, který je spotřebován pouze v interní síti.
Definování uživatelů, kteří vidí popisky nakonfigurované HYOK
Pokud chcete zajistit, aby popisky nakonfigurované pro HYOK viděli jenom uživatelé, kteří potřebují použít ochranu HYOK, nakonfigurujte zásady pro tyto uživatele s vymezenými zásadami.
Podpora HYOK a e-mailu
Microsoft 365 služby a další online služby nemůžou dešifrovat obsah chráněný HYOK.
U e-mailů tato ztráta funkčnosti zahrnuje skenery malwaru, ochranu jen pro šifrování, řešení ochrany před únikem informací (DLP), pravidla směrování pošty, deníky, eDiscovery, řešení pro archivaci a protokol Exchange ActiveSync.
Uživatelé nemusí pochopit, proč některá zařízení nemůžou otevírat e-maily chráněné aplikací HYOK, což vede k dalším voláním na helpdesk. Při konfiguraci ochrany HYOK s e-maily mějte na paměti tato závažná omezení.
Migrace z ADRMS
Pokud používáte klasického klienta s HYOK a migrovali jste z AD RMS, máte nastavené přesměrování a cluster AD RMS, který používáte, musí mít různé licenční adresy URL na ty v clusterech, které jste migrovali.
Další informace najdete v tématu Migrace ze služby AD RMS v dokumentaci k Azure Information Protection.
Podporované aplikace pro HYOK
Pomocí popisků Azure Information Protection použijte HYOK na konkrétní dokumenty a e-maily. HYOK je podporován pro Office verze 2013 a vyšší.
HYOK je možnost konfigurace správce pro popisky a pracovní postupy zůstávají stejné bez ohledu na to, jestli se obsah používá jako cloudový klíč nebo HYOK.
Následující tabulky uvádějí podporované scénáře ochrany a využívání obsahu pomocí popisků nakonfigurovaných HYOK:
- podpora aplikace Windows pro HYOK
- podpora aplikace macOS pro HYOK
- podpora aplikace iOS pro HYOK
- podpora aplikace Android pro HYOK
Poznámka
Office webové a univerzální aplikace nejsou pro HYOK podporované.
podpora aplikace Windows pro HYOK
| Aplikace | Ochrana | Využití |
|---|---|---|
| Klient Azure Information Protection s aplikacemi Microsoft 365, Office 2019, Office 2016 a Office 2013:Word, Excel, PowerPoint, Outlook |  |
|
| Klient Azure Information Protection s Průzkumník souborů | |
|
| Azure Information Protection Viewer | Nelze použít | |
| Klient Azure Information Protection pomocí rutin popisků PowerShellu | |
|
| Skener azure Information Protection | |
|
podpora aplikace macOS pro HYOK
| Aplikace | Ochrana | Využití |
|---|---|---|
| Office pro Mac: Word, Excel, PowerPoint, Outlook |  |
|
podpora aplikace iOS pro HYOK
| Aplikace | Ochrana | Využití |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: pouze Outlook | |
|
| Azure Information Protection Viewer | Nelze použít | |
podpora aplikace Android pro HYOK
| Aplikace | Ochrana | Využití |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: pouze Outlook | |
|
| Azure Information Protection Viewer | Nelze použít | |
Implementace HYOK
Azure Information Protection podporuje HYOK, pokud máte služba AD RMS (Active Directory Rights Management Services) (AD RMS), který splňuje všechny požadavky uvedené níže.
Zásady práv k používání a privátní klíč organizace, které chrání tyto zásady, se spravují a uchovávají místně, zatímco zásady Azure Information Protection pro označování a klasifikaci zůstanou spravované a uložené v Azure.
Implementace ochrany HYOK:
- Ujistěte se, že váš systém splňuje požadavky služby AD RMS.
- Vyhledejte informace, které chcete chránit.
Až budete připraveni, pokračujte v postupu konfigurace popisku pro ochranu Rights Management.
Požadavky pro AD RMS pro podporu HYOK
Pokud chcete zajistit ochranu HYOK pro popisky azure Information Protection, musí nasazení SLUŽBY AD RMS splňovat následující požadavky:
| Požadavek | Popis |
|---|---|
| Konfigurace služby AD RMS | Váš systém AD RMS musí být nakonfigurovaný určitým způsobem, jak podporovat HYOK. Další informace najdete níže. |
| Synchronizace adresářů | Synchronizace adresářů musí být nakonfigurovaná mezi místní Active Directory a Azure Active Directory. Uživatelé, kteří budou používat popisky ochrany HYOK, musí být nakonfigurováni pro jednotné přihlašování. |
| Konfigurace explicitně definovaných vztahů důvěryhodnosti | Pokud sdílíte obsah chráněný HYOK s ostatními mimo vaši organizaci, musí být služba AD RMS nakonfigurovaná pro explicitně definované vztahy důvěryhodnosti v přímém vztahu typu point-to-point s ostatními organizacemi. Použijte důvěryhodné uživatelské domény (TUD) nebo federované vztahy důvěryhodnosti vytvořené pomocí Active Directory Federation Services (AD FS) (AD FS). |
| podporovaná verze Microsoft Office | Uživatelé, kteří chrání nebo využívají obsah chráněný HYOK, musí mít: – verze Office, která podporuje informace Rights Management (IRM) – Microsoft Office Professional Plus verze 2013 nebo novější s aktualizací Service Pack 1 spuštěnou na Windows 7 Service Pack 1 nebo novější. – Pro edici založenou na instalační službě microsoftu Office 2016 (.msi) musíte mít aktualizaci 4018295 pro Microsoft Office 2016, která byla vydána 6. března 2018. Poznámka: Office 2010 a Office 2007 se nepodporují. Další informace najdete v tématu AIP a starší verze Windows a Office. |
Důležité
Pokud chcete splnit vysokou záruku, že ochrana HYOK nabízí, doporučujeme:
Umístění serverů AD RMS mimo vaši službu DMZ a zajištění, že jsou používány pouze spravovanými zařízeními.
Nakonfigurujte cluster AD RMS pomocí modulu hardwarového zabezpečení (HSM). To pomáhá zajistit, aby váš privátní klíč SLC (Server Certificate) nebyl vystaven nebo odcizen, pokud by vaše nasazení služby AD RMS mělo být někdy porušeno nebo ohroženo.
Tip
Informace o nasazení a pokyny pro službu AD RMS naleznete v tématu Active Directory Rights Management Services v knihovně Windows Server.
Požadavky na konfiguraci služby AD RMS
Pokud chcete podporovat HYOK, ujistěte se, že má váš systém AD RMS následující konfigurace:
| Požadavek | Popis |
|---|---|
| Verze systému Windows | Minimálně jedna z následujících verzí Windows: Produkční prostředí: Windows Server 2012 R2Testovací/zkušební prostředí: Windows Server 2008 R2 s aktualizací Service Pack 1 |
| Topologie | HYOK vyžaduje jednu z následujících topologií: – jedna doménová struktura s jedním clusterem AD RMS – Více doménových struktur s clustery AD RMS v každé z nich. Licencování pro více doménových struktur Pokud máte více doménových struktur, každý cluster SLUŽBY AD RMS sdílí adresu URL licencování, která odkazuje na stejný cluster AD RMS. V tomto clusteru AD RMS naimportujte všechny certifikáty důvěryhodné uživatelské domény (TUD) ze všech ostatních clusterů AD RMS. Další informace o této topologii najdete v tématu Důvěryhodná doména uživatele. Globální popisky zásad pro více doménových struktur Pokud máte více clusterů AD RMS v samostatných doménových strukturách, odstraňte všechny popisky v globálních zásadách, které používají ochranu HYOK (AD RMS) a konfigurují vymezené zásady pro každý cluster. Přiřaďte uživatele pro každý cluster ke svým vymezeným zásadám a ujistěte se, že nepoužíváte skupiny, které by vedlo k přiřazení uživatele k více než jedné vymezené zásadě. Výsledkem by mělo být, že každý uživatel má popisky jenom pro jeden cluster AD RMS. |
| Kryptografický režim | Služba AD RMS musí být nakonfigurovaná v kryptografickém režimu 2. Potvrďte režim kontrolou vlastností clusteru AD RMS, karta Obecné . |
| Konfigurace adresy URL certifikace | Každý server SLUŽBY AD RMS musí být nakonfigurovaný pro adresu URL certifikace. Další informace najdete níže. |
| Spojovací body služby | Spojovací bod služby (SCP) se nepoužívá při použití ochrany AD RMS s Azure Information Protection. Pokud máte pro nasazení služby AD RMS zaregistrovaný SCP, odeberte ho, abyste zajistili, že zjišťování služby je úspěšné pro ochranu azure Rights Management. Pokud instalujete nový cluster AD RMS pro HYOK, při konfiguraci prvního uzlu neregistrujte SCP. U každého dalšího uzlu se ujistěte, že je server nakonfigurovaný pro adresu URL certifikace, než přidáte roli AD RMS a připojíte se k existujícímu clusteru. |
| SSL/TLS | V produkčních prostředích musí být servery SLUŽBY AD RMS nakonfigurované tak, aby používaly protokol SSL/TLS s platným certifikátem x.509, který je důvěryhodný pro připojení klientů. To není nutné pro účely testování nebo vyhodnocení. |
| Šablony práv | Musíte mít nakonfigurované šablony práv pro službu AD RMS. |
| irm Exchange | Službu AD RMS nelze nakonfigurovat pro Exchange IRM. |
| Mobilní zařízení / počítače Mac | Musíte mít nainstalované a nakonfigurované rozšíření pro mobilní zařízení služba AD RMS (Active Directory Rights Management Services). |
Konfigurace serverů AD RMS pro vyhledání adresy URL certifikace
Na každém serveru AD RMS v clusteru vytvořte následující položku registru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Pro řetězcovou <hodnotu> zadejte jeden z následujících řetězců:
Prostředí Řetězcová hodnota Výroby (Clustery AD RMS s využitím PROTOKOLU SSL/TLS) https://<cluster_name>/_wmcs/certification/certification.asmxTestování / vyhodnocení (bez PROTOKOLU SSL/TLS) http://<cluster_name>/_wmcs/certification/certification.asmxRestartujte službu IIS.
Nalezení informací k určení ochrany AD RMS pomocí popisku Azure Information Protection
Konfigurace popisků ochrany HYOK vyžaduje, abyste zadali adresu URL licencování clusteru AD RMS.
Kromě toho musíte buď zadat šablonu, kterou jste nakonfigurovali s oprávněními, která chcete uživatelům udělit, nebo povolit uživatelům definovat oprávnění a uživatele.
Následujícím postupem vyhledejte identifikátor GUID šablony a hodnoty adresy URL licencování z konzoly služba AD RMS (Active Directory Rights Management Services):
Vyhledání identifikátoru GUID šablony
Rozbalte cluster a klikněte na šablony zásad práv.
Z informací o šablonách zásad distribuovaných práv zkopírujte identifikátor GUID ze šablony, kterou chcete použít.
Příklad: 82bf3474-6efe-4fa1-8827-d1bd93339119
Vyhledání adresy URL licencování
Klikněte na název clusteru.
Z údaje Podrobnosti o clusteru zkopírujte hodnotu Licence bez řetězce /_wmcs/licensing.
Příklad: https://rmscluster.contoso.com
Poznámka
Pokud máte jiné hodnoty licencování extranetu a intranetu, zadejte hodnotu extranetu jenom v případě, že budete sdílet chráněný obsah s partnery. Partneři, kteří sdílejí chráněný obsah, musí být definováni s explicitními vztahy důvěryhodnosti typu point-to-point.
Pokud nesdílíte chráněný obsah, použijte hodnotu intranetu a ujistěte se, že se všechny klientské počítače používající ochranu AD RMS s Azure Information Protection připojují přes intranetové připojení. Vzdálené počítače například musí používat připojení VPN.
Další kroky
Po dokončení konfigurace systému tak, aby podporoval HYOK, pokračujte konfigurací popisků pro ochranu HYOK. Další informace najdete v tématu Konfigurace popisku pro ochranu službou Rights Management.