Details zu "Hold your own key" (HYOK) für Azure Information Protection
Die Konfigurationen "Eigene Schlüssel" (HYOK) ermöglichen AIP-Kunden mit dem Classic-Client, hoch vertrauliche Inhalte zu schützen, während sie die vollständige Kontrolle über ihren Schlüssel erhalten. HYOK verwendet einen zusätzlichen, kundenbasierten Schlüssel, der lokal für hoch vertrauliche Inhalte gespeichert ist, zusammen mit dem standardmäßigen cloudbasierten Schutz, der für andere Inhalte verwendet wird.
Da HYOK-Schutz nur den Zugriff auf Daten für lokale Anwendungen und Dienste ermöglicht, verfügen Kunden, die HYOK verwenden, auch über einen cloudbasierten Schlüssel für Clouddokumente.
Verwenden Sie HYOK für Dokumente, die folgendes sind:
- Beschränkt auf nur wenige Personen
- Nicht freigegeben außerhalb der Organisation
- Werden nur im internen Netzwerk verbraucht.
Diese Dokumente haben in der Regel die höchste Einstufung in Ihrem Unternehmen, nämlich "Top Secret".
Inhalte können nur mit DEM HYOK-Schutz verschlüsselt werden, wenn Sie über den Classic-Client verfügen. Wenn Sie jedoch ÜBER HYOK-geschützte Inhalte verfügen, kann sie sowohl im klassischen als auch im einheitlichen Bezeichnungsclient angezeigt werden.
Weitere Informationen zu den standardmäßigen, Cloud-basierten Mandant-Root-Schlüsseln finden Sie unter Planung und Implementierung Ihres Azure Information Protection Mandant-Schlüssels.
Cloud-basierter Schutz vs. HYOK
In der Regel wird für den Schutz vertraulicher Dokumente und E-Mails mit Azure Information Protection ein Cloud-basierter Schlüssel verwendet, der entweder von Microsoft oder vom Kunden unter Verwendung einer BYOK-Konfiguration generiert wird.
Cloudbasierte Schlüssel werden in Azure Key Vault verwaltet, was Kunden die folgenden Vorteile bietet:
Keine Anforderungen an die Server-Infrastruktur. Cloudlösungen sind schneller und kostengünstiger, um lokale Lösungen bereitzustellen und zu verwalten.
Die Cloud-basierte Authentifizierung ermöglicht eine einfachere gemeinsame Nutzung mit Partnern und Nutzern aus anderen Organisationen.
Enge Integration mit anderen Azure- und Microsoft 365-Diensten, wie z. B. Suche, Web Viewer, Pivot-Ansichten, Anti-Malware, eDiscovery und Delve.
Dokumentenverfolgung, Widerruf, und E-Mail-Benachrichtigungen für vertrauliche Dokumente, die Sie freigegeben haben.
Einige Organisationen verfügen jedoch möglicherweise über regulatorische Anforderungen, die bestimmte Inhalte erfordern, die mit einem Schlüssel verschlüsselt werden müssen, der von der Cloud isoliert ist. Diese Isolierung bedeutet, dass verschlüsselte Inhalte nur von lokalen Anwendungen und lokalen Diensten gelesen werden können.
Bei HYOK-Konfigurationen haben die Kunden sowohl einen Cloud-basierten Schlüssel, der für Inhalte verwendet wird, die in der Cloud gespeichert werden können, als auch einen lokalen Schlüssel für Inhalte, die nur lokal geschützt werden müssen.
HYOK-Leitfaden und Best Practices
Bei der Konfiguration von HYOK sollten Sie die folgenden Empfehlungen berücksichtigen:
- Inhalt geeignet für HYOK
- Bestimmen Sie die Benutzer, die HYOK-konfigurierte Etiketten sehen können
- HYOK und E-Mail-Support
Wichtig
Eine HYOK-Konfiguration für Azure Information Protection ist kein Ersatz für eine vollständige Bereitstellung von AD RMS und Azure Information Protection oder eine Alternative zur Migration von AD RMS zu Azure Information Protection.
HYOK wird nur durch die Anwendung von Labels unterstützt, bietet keine Funktionsparität mit AD RMS und unterstützt nicht alle AD RMS-Bereitstellungskonfigurationen.
Inhalt geeignet für HYOK
Der HYOK-Schutz bietet nicht die Vorteile eines Cloud-basierten Schutzes und geht oft mit einer "Datentransparenz" einher, da die Inhalte nur von lokalen Anwendungen und Diensten abgerufen werden können. Selbst für Unternehmen, die HYOK-Schutz verwenden, ist dieser in der Regel nur für eine kleine Anzahl von Dokumenten geeignet.
Es wird empfohlen, HYOK nur für Inhalte zu verwenden, die den folgenden Kriterien entsprechen:
- Inhalte mit der höchsten Einstufung in Ihrer Organisation ("Top Secret"), auf die nur wenige Personen Zugriff haben
- Inhalte, die außerhalb der Organisation nicht freigegeben werden
- Inhalte, die nur im internen Netzwerk verbraucht werden.
Definieren der Benutzer, die HYOK-konfigurierte Bezeichnungen anzeigen können
Um sicherzustellen, dass nur Benutzer, die den HYOK-Schutz anwenden müssen, die HYOK-konfigurierten Etiketten sehen, konfigurieren Sie Ihre Richtlinie für diese Benutzer mit umfassenden Richtlinien.
HYOK- und E-Mail-Support
Microsoft 365 Dienste und andere Onlinedienste können HYOK-geschützte Inhalte nicht entschlüsseln.
Bei E-Mails umfasst dieser Funktionsverlust Malware-Scanner, reinen Verschlüsselungsschutz, Lösungen zum Schutz vor Datenverlust (DLP), Regeln für die Weiterleitung von E-Mails, Journaling, eDiscovery, Archivierungslösungen und Exchange ActiveSync.
Benutzer verstehen möglicherweise nicht, warum einige Geräte keine HYOK-geschützte E-Mails öffnen können, die zu zusätzlichen Anrufen zu Ihrem Helpdesk führen. Beachten Sie diese schwerwiegenden Einschränkungen beim Konfigurieren des HYOK-Schutzes mit E-Mails.
Migrieren von ADRMS
Wenn Sie den klassischen Client mit HYOK verwenden und von AD RMS migriert haben, verfügen Sie über Umleitungen und den AD RMS-Cluster, den Sie verwenden, über unterschiedliche Lizenzierungs-URLs zu den in den von Ihnen migrierten Clustern.
Weitere Informationen finden Sie in der Azure-Information Protection-Dokumentation zum Migrieren von AD RMS.
Unterstützte Anwendungen für HYOK
Verwenden Sie Azure Information Protection Labels, um HYOK auf bestimmte Dokumente und E-Mails anzuwenden. HYOK wird für Office Versionen 2013 und höher unterstützt.
HYOK ist eine Administrator-Konfigurationsoption für Etiketten, und die Arbeitsabläufe bleiben gleich, unabhängig davon, ob der Inhalt einen Cloud-basierten Schlüssel oder HYOK verwendet.
In den folgenden Tabellen sind die unterstützten Szenarien zum Schützen und Verwenden von Inhalten mit HYOK-konfigurierten Bezeichnungen aufgeführt:
- Windows-Anwendungsunterstützung für HYOK
- macOS-Anwendungsunterstützung für HYOK
- iOS-Anwendungsunterstützung für HYOK
- Unterstützung von Android-Anwendungen für HYOK
Hinweis
Office Web- und Universelle Anwendungen werden für HYOK nicht unterstützt.
Windows Anwendungsunterstützung für HYOK
| Application | Schutz | Nutzung |
|---|---|---|
| Azure Information Protection-Client mit Microsoft 365-Anwendungen, Office 2019, Office 2016 und Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Azure Information Protection-Client mit Datei-Explorer | |
|
| Azure Information Protection-Viewer | Nicht zutreffend | |
| Azure Information Protection-Client PowerShell-Cmdlets für die Bezeichnung | |
|
| Azure Information Protection-Überprüfung | |
|
macOS-Anwendungsunterstützung für HYOK
| Application | Schutz | Nutzung |
|---|---|---|
| Büro für Mac: Word, Excel, PowerPoint, Outlook |
 |
|
iOS-Anwendungsunterstützung für HYOK
| Application | Schutz | Nutzung |
|---|---|---|
| Büro Mobil: Word, Excel, PowerPoint |
|
|
| Büro Mobil: Nur Ausblick |
|
|
| Azure Information Protection-Viewer | Nicht zutreffend | |
Android-Anwendungsunterstützung für HYOK
| Application | Schutz | Nutzung |
|---|---|---|
| Büro Mobil: Word, Excel, PowerPoint |
|
|
| Büro Mobil: Nur Ausblick |
|
|
| Azure Information Protection-Viewer | Nicht zutreffend | |
Implementieren von HYOK
Azure Information Protection unterstützt HYOK, wenn Sie über einen Active Directory Rights Management Services (AD RMS) verfügen, der alle unten aufgeführten Anforderungen erfüllt.
Richtlinien für Nutzungsrechte und der private Schlüssel des Unternehmens, der diese Richtlinien schützt, werden vor Ort verwaltet und aufbewahrt, während die Azure Information Protection-Richtlinie für die Bezeichnung und Klassifizierung weiterhin in Azure verwaltet und gespeichert wird.
So implementieren Sie DEN HYOK-Schutz:
- Stellen Sie sicher, dass Ihr System die AD RMS-Anforderungen erfüllt
- Lokalisieren Sie die zu schützenden Informationen
Wenn Sie fertig sind, fahren Sie fort mit So konfigurieren Sie ein Etikett für den Schutz durch Rights Management.
Anforderungen für die Unterstützung für HYOK von AD RMS
Eine AD RMS-Bereitstellung muss die folgenden Anforderungen erfüllen, um HYOK-Schutz für Azure Information Protection-Labels zu bieten:
| Anforderung | Beschreibung |
|---|---|
| AD RMS-Konfiguration | Ihr AD RMS-System muss auf bestimmte Weise konfiguriert werden, um HYOK zu unterstützen. Weitere Informationen finden Sie unten. |
| Verzeichnissynchronisierung | Die Verzeichnissynchronisierung muss zwischen Ihrem lokales Active Directory und dem Azure Active Directory konfiguriert werden. Benutzer, die HYOK-Schutzetiketten verwenden, müssen für Single-Sign-On konfiguriert werden. |
| Konfiguration für explizit definierte Trusts | Wenn Sie HYOK-geschützte Inhalte für andere Personen außerhalb Ihrer Organisation freigeben, muss AD RMS für explizit definierte Vertrauensstellungen in einer direkten Point-to-Point-Beziehung mit den anderen Organisationen konfiguriert werden. Tun Sie dies mit vertrauenswürdigen Benutzerdomänen (TUDs) oder föderierten Vertrauensstellungen, die mit Active Directory Federation Services (AD FS) erstellt werden. |
| Microsoft Office unterstützte Version | Nutzer, die HYOK-geschützte Inhalte schützen oder konsumieren, müssen darüber verfügen: - Eine Version von Office, die Information Rights Management (IRM) unterstützt - Microsoft Office Professional Plus Version 2013 oder höher mit Service Pack 1, ausgeführt unter Windows 7 Service Pack 1 oder höher. - Für die Office 2016 Microsoft Installer (.msi)-basierte Edition benötigen Sie das Update 4018295 für Microsoft Office 2016, das am 6. März 2018 veröffentlicht wurde. Hinweis: Office 2010 und Office 2007 werden nicht unterstützt. Weitere Informationen finden Sie unter AIP und ältere Windows- und Office-Versionen. |
Wichtig
Um die hohe Sicherheit zu erfüllen, die HYOK-Schutz bietet, empfehlen wir:
Suchen Sie Ihre AD RMS-Server außerhalb Ihres DMZ, und stellen Sie sicher, dass sie nur von verwalteten Geräten verwendet werden.
Konfigurieren Sie Ihren AD RMS-Cluster mit einem Hardwaresicherheitsmodul (HSM). Dies hilft sicherzustellen, dass Ihr privater Server-Lizenzgeberzertifikat (SLC) nicht verfügbar gemacht oder gestohlen werden kann, wenn Ihre AD RMS-Bereitstellung jemals verletzt oder kompromittiert werden sollte.
Tipp
Weitere Informationen zur Bereitstellung sowie Anweisungen für AD RMS finden Sie unter Active Directory Rights Management Services in der Windows Server-Bibliothek.
Anforderungen hinsichtlich der AD -RMS-Konfiguration
Um HYOK zu unterstützen, stellen Sie sicher, dass Ihr AD RMS-System über die folgenden Konfigurationen verfügt:
| Anforderung | Beschreibung |
|---|---|
| Windows-Version | Mindestens eine der folgenden Windows-Versionen: Production environments: Windows Server 2012 R2 Test-/Evaluierungsumgebungen: Windows Server 2008 R2 mit Service Pack 1 |
| Topologie | HYOK erfordert eine der folgenden Topologien: - Ein einzelner Wald mit einem einzigen AD RMS-Cluster - Mehrere Wälder mit AD RMS-Clustern in jedem von ihnen. Lizenzierung für mehrere Forests Wenn Sie mehrere Forests haben, teilt jeder AD RMS-Cluster eine Lizenzierungs-URL, die auf denselben AD RMS-Cluster verweist. Importieren Sie in diesem AD RMS-Cluster alle TUD-Zertifikate (Trusted User Domain) aus allen anderen AD RMS-Clustern. Weitere Informationen zu dieser Topologie finden Sie unter Vertraute Benutzerdomäne. Globale Richtlinienbezeichnungen für mehrere Forests Wenn Sie mehrere AD RMS-Cluster in separaten Forests haben, löschen Sie alle Bezeichnungen in der globalen Richtlinie, die HYOK (AD RMS)-Schutz anwenden, und konfigurieren Sie für jeden Cluster eine Richtlinie mit Geltungsbereich. Weisen Sie die Benutzer für jeden Cluster der entsprechenden Richtlinie zu. Achten Sie darauf, dass Sie keine Gruppen verwenden, die dazu führen würden, dass ein Benutzer mehr als einer Richtlinie zugewiesen wird. |
| Kryptografischer Modus | Ihr AD RMS muss mit Cryptographic Mode 2 konfiguriert sein. Bestätigen Sie den Modus, indem Sie die Eigenschaften des AD RMS-Clusters auf der Registerkarte Allgemein überprüfen. |
| Zertifizierungs-URL-Konfiguration | Jeder AD RMS-Server muss für die Zertifizierungs-URL konfiguriert werden. Weitere Informationen finden Sie unten. |
| Dienstverbindungsstellen | Ein Dienstverbindungspunkt (SCP) wird nicht verwendet, wenn Sie AD RMS-Schutz mit Azure Information Protection verwenden. Wenn Sie einen SCP für Ihre AD RMS-Bereitstellung registriert haben, entfernen Sie ihn, um sicherzustellen, dass die Serviceerkennung für den Azure Rights Management-Schutz erfolgreich ist. Wenn Sie einen neuen AD RMS-Cluster für HYOK installieren, registrieren Sie den SCP nicht, wenn Sie den ersten Knoten konfigurieren. Stellen Sie für jeden weiteren Knoten sicher, dass der Server für die Zertifizierungs-URL konfiguriert ist, bevor Sie die AD RMS-Rolle hinzufügen und dem vorhandenen Cluster beitreten. |
| SSL/TLS | In Produktionsumgebungen müssen die AD RMS-Server für die Verwendung von SSL/TLS mit einem gültigen x.509-Zertifikat konfiguriert werden, dem die verbindenden Clients vertrauen. Dies ist für Test- oder Bewertungszwecke nicht erforderlich. |
| Rechtevorlagen | Sie müssen Rechtevorlagen für Ihre AD RMS konfiguriert haben. |
| Wechsel IRM | Ihr AD RMS kann nicht für Exchange IRM konfiguriert werden. |
| Mobile Geräte / Mac-Computer | Sie müssen die Active Directory Rights Management Services Mobile Device Extension installiert und konfiguriert haben. |
Konfigurieren von AD RMS-Servern zum Finden der Zertifizierungs-URL
Erstellen Sie auf jedem AD RMS-Server im Cluster den folgenden Registrierungseintrag:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Für den <String value> geben Sie eine der folgenden Zeichenketten an:
Environment Zeichenfolgenwert Produktion
(AD RMS-Cluster mit SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxTestung/Bewertung
(kein SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxStarten Sie die IIS neu.
Suchen von Informationen zum Angeben des AD RMS-Schutzes mit einer Azure Information Protection-Bezeichnung
Das Konfigurieren von HYOK-Schutzbezeichnungen erfordert, dass Sie die Lizenzierungs-URL Ihres AD RMS-Clusters angeben.
Außerdem müssen Sie entweder eine Vorlage angeben, die Sie mit den Berechtigungen konfiguriert haben, die Sie den Benutzern erteilen möchten, oder den Benutzern die Möglichkeit geben, Berechtigungen und Benutzer zu definieren.
Gehen Sie wie folgt vor, um die Werte für die Vorlagen-GUID und die Lizenzierungs-URL in der Active Directory Rights Management Services-Konsole zu ermitteln:
Suchen einer Vorlagen-GUID
Erweitern Sie den Cluster, und klicken Sie auf Vorlagen für Benutzerrechterichtlinien.
Kopieren Sie die GUID der gewünschten Vorlage aus den Informationen zu Verteilte Rechterichtlinienvorlagen.
Zum Beispiel: 82bf3474-6efe-4fa1-8827-d1bd93339119
Suchen der Lizenzierungs-URL
Klicken Sie auf den Clusternamen.
Kopieren Sie aus der Information Clusterdetails den Wert Lizenzierung minus der Zeichenfolge /_wmcs/licensing.
Beispiel: https://rmscluster.contoso.com
Hinweis
Wenn Sie über unterschiedliche Extranet- und Intranetlizenzierungswerte verfügen, geben Sie den Extranetwert nur an, wenn Sie geschützte Inhalte für Partner freigeben. Partner, die geschützte Inhalte freigeben, müssen mit expliziten Zeige-zu-Punkt-Vertrauensstellungen definiert werden.
Wenn Sie keine geschützten Inhalte freigeben, verwenden Sie den Intranetwert, und stellen Sie sicher, dass alle Clientcomputer, die AD RMS-Schutz mit Azure Information Protection herstellen, über eine Intranetverbindung verbinden. Remotecomputer müssen beispielsweise eine VPN-Verbindung verwenden.
Nächste Schritte
Wenn Sie mit der Konfiguration Ihres Systems zur Unterstützung von HYOK fertig sind, fahren Sie mit der Konfiguration von Bezeichnungen für DEN HYOK-Schutz fort. Weitere Informationen finden Sie unter Konfigurieren einer Bezeichnung für den Rights Management-Schutz.