Menyimpan detail kunci Anda sendiri (HYOK) untuk Perlindungan Informasi Azure
Konfigurasi Hold Your Own Key (HYOK) memungkinkan pelanggan AIP dengan klien klasik untuk melindungi konten yang sangat sensitif sambil mempertahankan kontrol penuh atas kunci mereka. HYOK menggunakan kunci tambahan yang disimpan pelanggan yang disimpan di tempat untuk konten yang sangat sensitif, bersama dengan perlindungan berbasis cloud default yang digunakan untuk konten lain.
Karena perlindungan HYOK hanya memungkinkan akses ke data untuk aplikasi dan layanan lokal, pelanggan yang menggunakan HYOK juga memiliki kunci berbasis cloud untuk dokumen cloud.
Gunakan HYOK untuk dokumen yang:
- Dibatasi hanya untuk beberapa orang
- Tidak dibagikan di luar organisasi
- Hanya digunakan pada jaringan internal.
Dokumen-dokumen ini biasanya memiliki klasifikasi tertinggi di organisasi Anda, sebagai "Rahasia Teratas".
Konten dapat dienkripsi menggunakan perlindungan HYOK hanya jika Anda memiliki klien klasik. Namun, jika Anda memiliki konten yang dilindungi HYOK, konten tersebut dapat dilihat di klien pelabelan klasik dan terpadu.
Untuk informasi selengkapnya tentang kunci akar penyewa default berbasis cloud, lihat Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda.
Perlindungan berbasis cloud vs. HYOK
Biasanya, melindungi dokumen dan email sensitif menggunakan Perlindungan Informasi Azure menggunakan kunci berbasis cloud yang dihasilkan oleh Microsoft atau oleh pelanggan, menggunakan konfigurasi BYOK.
Kunci berbasis cloud dikelola di Azure Key Vault, yang memberi pelanggan manfaat berikut:
Tidak ada persyaratan infrastruktur server. Solusi cloud lebih cepat dan lebih hemat biaya untuk disebarkan dan dikelola daripada solusi lokal.
Autentikasi berbasis cloud memungkinkan berbagi yang lebih mudah dengan mitra dan pengguna dari organisasi lain.
Integrasi ketat dengan layanan Azure dan Microsoft 365 lainnya, seperti pencarian, penampil web, tampilan pivot, anti-malware, eDiscovery, dan Delve.
Pelacakan dokumen, pencabutan, dan pemberitahuan email untuk dokumen sensitif yang telah Anda bagikan.
Namun, beberapa organisasi mungkin memiliki persyaratan peraturan yang mengharuskan konten tertentu dienkripsi menggunakan kunci yang terisolasi dari cloud. Isolasi ini berarti bahwa konten terenkripsi hanya dapat dibaca oleh aplikasi lokal dan layanan lokal.
Dengan konfigurasi HYOK, penyewa pelanggan memiliki kunci berbasis cloud untuk digunakan dengan konten yang dapat disimpan di cloud, dan kunci lokal untuk konten yang harus dilindungi secara lokal saja.
Panduan hyok dan praktik terbaik
Saat mengonfigurasi HYOK, pertimbangkan rekomendasi berikut:
- Konten yang cocok untuk HYOK
- Menentukan pengguna yang dapat melihat label yang dikonfigurasi HYOK
- HYOK dan dukungan email
Penting
Konfigurasi HYOK untuk Perlindungan Informasi Azure bukanlah pengganti penyebaran Ad RMS dan Perlindungan Informasi Azure sepenuhnya, atau alternatif untuk memigrasikan AD RMS ke Perlindungan Informasi Azure.
HYOK hanya didukung dengan menerapkan label, tidak menawarkan paritas fitur dengan AD RMS, dan tidak mendukung semua konfigurasi penyebaran AD RMS.
Konten yang cocok untuk HYOK
Perlindungan HYOK tidak memberikan manfaat perlindungan berbasis cloud, dan seringkali dikenakan biaya "opasitas data", karena konten hanya dapat diakses oleh aplikasi dan layanan lokal. Bahkan untuk organisasi yang menggunakan perlindungan HYOK, biasanya hanya cocok untuk sejumlah kecil dokumen.
Kami menyarankan agar Anda menggunakan HYOK hanya untuk konten yang cocok dengan kriteria berikut:
- Konten dengan klasifikasi tertinggi di organisasi Anda ("Rahasia Teratas"), di mana akses dibatasi hanya untuk beberapa orang
- Konten yang tidak dibagikan di luar organisasi
- Konten yang hanya digunakan di jaringan internal.
Menentukan pengguna yang dapat melihat label yang dikonfigurasi HYOK
Untuk memastikan bahwa hanya pengguna yang perlu menerapkan perlindungan HYOK, lihat label yang dikonfigurasi HYOK, konfigurasikan kebijakan Anda untuk pengguna tersebut dengan kebijakan terlingkup.
HYOK dan dukungan email
Microsoft 365 layanan dan layanan online lainnya tidak dapat mendekripsi konten yang dilindungi HYOK.
Untuk email, kehilangan fungsionalitas ini mencakup pemindai malware, perlindungan khusus enkripsi, solusi pencegahan kehilangan data (DLP), aturan perutean email, penjurionan, eDiscovery, solusi pengarsipan, dan Exchange ActiveSync.
Pengguna mungkin tidak memahami mengapa beberapa perangkat tidak dapat membuka email yang dilindungi HYOK, yang mengarah ke panggilan tambahan ke staf dukungan Anda. Ketahui batasan parah ini saat mengonfigurasi perlindungan HYOK dengan email.
Migrasi dari ADRMS
Jika Anda menggunakan klien klasik dengan HYOK dan telah bermigrasi dari AD RMS, Anda memiliki pengalihan di tempat, dan kluster AD RMS yang Anda gunakan harus memiliki URL lisensi yang berbeda ke YANG ada di kluster yang Anda migrasikan.
Untuk informasi selengkapnya, lihat Migrasi dari AD RMS dalam dokumentasi Perlindungan Informasi Azure.
Aplikasi yang didukung untuk HYOK
Gunakan label Perlindungan Informasi Azure untuk menerapkan HYOK ke dokumen dan email tertentu. HYOK didukung untuk versi Office 2013 dan yang lebih tinggi.
HYOK adalah opsi konfigurasi administrator untuk label, dan alur kerja tetap sama, terlepas dari apakah konten menggunakan sebagai kunci berbasis cloud atau HYOK.
Tabel berikut mencantumkan skenario yang didukung untuk melindungi dan menggunakan konten menggunakan label yang dikonfigurasi HYOK:
- Windows dukungan aplikasi untuk HYOK
- Dukungan aplikasi macOS untuk HYOK
- Dukungan aplikasi iOS untuk HYOK
- Dukungan aplikasi Android untuk HYOK
Catatan
Office aplikasi Web dan Universal tidak didukung untuk HYOK.
Windows dukungan aplikasi untuk HYOK
| Aplikasi | Proteksi | Consumption |
|---|---|---|
| Klien Perlindungan Informasi Azure dengan aplikasi Microsoft 365, Office 2019, Office 2016, dan Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Klien Perlindungan Informasi Azure dengan File Explorer | |
|
| Penampil Perlindungan Informasi Azure | Tidak berlaku | |
| Klien Perlindungan Informasi Azure dengan cmdlet pelabelan PowerShell | |
|
| Pemindai Perlindungan Informasi Azure | |
|
Dukungan aplikasi macOS untuk HYOK
| Aplikasi | Proteksi | Consumption |
|---|---|---|
| Office untuk Mac: Word, Excel, PowerPoint, Outlook |
 |
|
Dukungan aplikasi iOS untuk HYOK
| Aplikasi | Proteksi | Consumption |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: hanya Outlook |
|
|
| Penampil Perlindungan Informasi Azure | Tidak berlaku | |
Dukungan aplikasi Android untuk HYOK
| Aplikasi | Proteksi | Consumption |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: hanya Outlook |
|
|
| Penampil Perlindungan Informasi Azure | Tidak berlaku | |
Menerapkan HYOK
Perlindungan Informasi Azure mendukung HYOK saat Anda memiliki Layanan Active Directory Rights Management (AD RMS) yang sesuai dengan semua persyaratan yang tercantum di bawah ini.
Kebijakan hak penggunaan dan kunci privat organisasi yang melindungi kebijakan ini dikelola dan disimpan secara lokal, sementara kebijakan Perlindungan Informasi Azure untuk pelabelan dan klasifikasi tetap dikelola dan disimpan di Azure.
Untuk menerapkan perlindungan HYOK:
Saat Anda siap, lanjutkan dengan Cara mengonfigurasi label untuk perlindungan Rights Management.
Persyaratan untuk AD RMS untuk mendukung HYOK
Penyebaran AD RMS harus memenuhi persyaratan berikut untuk memberikan perlindungan HYOK untuk label Perlindungan Informasi Azure:
| Persyaratan | Deskripsi |
|---|---|
| Konfigurasi AD RMS | Sistem AD RMS Anda harus dikonfigurasi dengan cara tertentu untuk mendukung HYOK. Untuk informasi selengkapnya, lihat di bawah ini. |
| Sinkronisasi direktori | Sinkronisasi direktori harus dikonfigurasi antara Active Directory lokal Anda dan Azure Active Directory. Pengguna yang akan menggunakan label perlindungan HYOK harus dikonfigurasi untuk akses menyeluruh. |
| Konfigurasi untuk kepercayaan yang ditentukan secara eksplisit | Jika Anda berbagi konten yang dilindungi HYOK dengan orang lain di luar organisasi Anda, AD RMS harus dikonfigurasi untuk kepercayaan yang ditentukan secara eksplisit dalam hubungan titik-ke-titik langsung dengan organisasi lain. Lakukan ini menggunakan domain pengguna tepercaya (TUD) atau kepercayaan federasi yang dibuat menggunakan Active Directory Federation Services (AD FS). |
| Microsoft Office versi yang didukung | Pengguna yang melindungi atau menggunakan konten yang dilindungi HYOK harus memiliki: - Versi Office yang mendukung Information Rights Management (IRM) - Microsoft Office Professional Plus versi 2013 atau yang lebih baru dengan Paket Layanan 1, berjalan di Windows 7 Paket Layanan 1 atau yang lebih baru. - Untuk edisi berbasis Microsoft Installer (.msi) Office 2016, Anda harus memiliki 4018295 pembaruan untuk Microsoft Office 2016 yang dirilis pada 6 Maret 2018. Catatan: Office 2010 dan Office 2007 tidak didukung. Untuk informasi selengkapnya, lihat AIP dan Windows warisan dan versi Office. |
Penting
Untuk memenuhi jaminan tinggi yang ditawarkan perlindungan HYOK, kami sarankan:
Menemukan server AD RMS Anda di luar DMZ Anda, dan memastikan bahwa server tersebut hanya digunakan oleh perangkat terkelola.
Konfigurasikan kluster AD RMS Anda dengan modul keamanan perangkat keras (HSM). Ini membantu memastikan bahwa kunci privat Sertifikat Lisensi Server (SLC) Anda tidak dapat diekspos atau dicuri jika penyebaran AD RMS Anda harus pernah dilanggar atau disusupi.
Tip
Untuk informasi penyebaran dan instruksi untuk AD RMS, lihat Layanan Active Directory Rights Management di pustaka Windows Server.
Persyaratan konfigurasi AD RMS
Untuk mendukung HYOK, pastikan sistem AD RMS Anda memiliki konfigurasi berikut:
| Persyaratan | Deskripsi |
|---|---|
| Versi Windows | Minimal, salah satu versi Windows berikut: Lingkungan produksi: lingkunganpengujian/evaluasi Windows Server 2012 R2 : Windows Server 2008 R2 dengan Paket Layanan 1 |
| Topologi | HYOK memerlukan salah satu topologi berikut: - Satu forest, dengan satu kluster AD RMS - Beberapa forest, dengan kluster AD RMS di masing-masing. Lisensi untuk beberapa forest Jika Anda memiliki beberapa forest, setiap kluster AD RMS berbagi URL lisensi yang menunjuk ke kluster AD RMS yang sama. Pada kluster AD RMS ini, impor semua sertifikat domain pengguna tepercaya (TUD) dari semua kluster AD RMS lainnya. Untuk informasi selengkapnya tentang topologi ini, lihat Domain Pengguna Tepercaya. Label kebijakan global untuk beberapa forest Saat Anda memiliki beberapa kluster AD RMS di forest terpisah, hapus label apa pun dalam kebijakan global yang menerapkan perlindungan HYOK (AD RMS) dan konfigurasikan kebijakan terlingkup untuk setiap kluster. Tetapkan pengguna untuk setiap kluster ke kebijakan terlingkup mereka, pastikan Anda tidak menggunakan grup yang akan mengakibatkan pengguna ditetapkan ke lebih dari satu kebijakan terlingkup. Hasilnya harus setiap pengguna hanya memiliki label untuk satu kluster AD RMS. |
| Mode kriptografi | AD RMS Anda harus dikonfigurasi dengan Mode Kriptografi 2. Konfirmasikan mode dengan memeriksa properti kluster AD RMS, tab Umum . |
| Konfigurasi URL Sertifikasi | Setiap server AD RMS harus dikonfigurasi untuk URL sertifikasi. Untuk informasi selengkapnya, lihat di bawah ini. |
| Titik koneksi layanan | Titik koneksi layanan (SCP) tidak digunakan saat Anda menggunakan perlindungan AD RMS dengan Perlindungan Informasi Azure. Jika Anda memiliki SCP yang terdaftar untuk penyebaran AD RMS Anda, hapus untuk memastikan bahwa penemuan layanan berhasil untuk perlindungan Azure Rights Management. Jika Anda menginstal kluster AD RMS baru untuk HYOK, jangan daftarkan SCP saat mengonfigurasi simpul pertama. Untuk setiap simpul tambahan, pastikan bahwa server dikonfigurasi untuk URL sertifikasi sebelum Anda menambahkan peran AD RMS dan bergabung dengan kluster yang ada. |
| SSL/TLS | Di lingkungan produksi, server AD RMS harus dikonfigurasi untuk menggunakan SSL/TLS dengan sertifikat x.509 yang valid yang dipercaya oleh klien penghubung. Ini tidak diperlukan untuk tujuan pengujian atau evaluasi. |
| Templat hak | Anda harus memiliki templat hak yang dikonfigurasi untuk AD RMS Anda. |
| Exchange IRM | AD RMS Anda tidak dapat dikonfigurasi untuk Exchange IRM. |
| Perangkat seluler/komputer Mac | Anda harus menginstal dan mengonfigurasi Ekstensi Perangkat Seluler Layanan Active Directory Rights Management. |
Mengonfigurasi server AD RMS untuk menemukan URL sertifikasi
Pada setiap server AD RMS di kluster, buat entri registri berikut:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`<Untuk nilai> string, tentukan salah satu string berikut:
Lingkungan Nilai untai (karakter) Produksi
(Kluster AD RMS menggunakan SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxPengujian / evaluasi
(tidak ada SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxMulai ulang IIS.
Menemukan informasi untuk menentukan perlindungan AD RMS dengan label Perlindungan Informasi Azure
Mengonfigurasi label perlindungan HYOK mengharuskan Anda menentukan URL lisensi kluster AD RMS Anda.
Selain itu, Anda harus menentukan templat yang telah Anda konfigurasi dengan izin yang ingin Anda berikan kepada pengguna, atau mengaktifkan pengguna untuk menentukan izin dan pengguna.
Lakukan hal berikut untuk menemukan GUID templat dan nilai URL lisensi dari konsol Layanan Active Directory Rights Management:
Menemukan GUID templat
Perluas kluster dan klik Templat Kebijakan Hak.
Dari informasi Templat Kebijakan Hak Terdistribusi , salin GUID dari templat yang ingin Anda gunakan.
Misalnya: 82bf3474-6efe-4fa1-8827-d1bd93339119
Menemukan URL lisensi
Klik nama kluster.
Dari informasi Detail Kluster , salin nilai Lisensi dikurangi string /_wmcs/lisensi .
Misalnya: https://rmscluster.contoso.com
Catatan
Jika Anda memiliki nilai lisensi ekstranet dan intranet yang berbeda, tentukan nilai ekstranet hanya jika Anda akan berbagi konten yang dilindungi dengan mitra. Mitra yang berbagi konten yang dilindungi harus didefinisikan dengan kepercayaan titik-ke-titik eksplisit.
Jika Anda tidak berbagi konten yang dilindungi, gunakan nilai intranet dan pastikan bahwa semua komputer klien yang menggunakan perlindungan AD RMS dengan Perlindungan Informasi Azure terhubung melalui koneksi intranet. Misalnya, komputer jarak jauh harus menggunakan koneksi VPN.
Langkah berikutnya
Setelah selesai mengonfigurasi sistem untuk mendukung HYOK, lanjutkan dengan mengonfigurasi label untuk perlindungan HYOK. Untuk informasi selengkapnya, lihat Cara mengonfigurasi label untuk perlindungan Rights Management.