Tenere i dettagli della propria chiave (HYOK) per Azure Information Protection
Tenere premute le configurazioni HYOK (Your Own Key) consentono ai clienti AIP con il client classico di proteggere contenuti altamente sensibili mantenendo il controllo completo della chiave. HYOK usa una chiave aggiuntiva gestita dal cliente archiviata in locale per contenuti altamente sensibili, insieme alla protezione predefinita basata sul cloud usata per altri contenuti.
Poiché la protezione HYOK consente solo l'accesso ai dati per applicazioni e servizi locali, i clienti che usano HYOK hanno anche una chiave basata sul cloud per i documenti cloud.
Usare HYOK per i documenti che sono:
- Limitato solo a poche persone
- Non condiviso all'esterno dell'organizzazione
- Vengono usati solo nella rete interna.
Questi documenti in genere hanno la classificazione più alta nell'organizzazione, come "Top Secret".
Il contenuto può essere crittografato usando la protezione HYOK solo se si dispone del client classico. Tuttavia, se si dispone di contenuto protetto da HYOK, può essere visualizzato sia nel client di etichettatura classica che unificata.
Per altre informazioni sulle chiavi radice del tenant predefinite, vedere Pianificazione e implementazione della chiave tenant di Azure Information Protection.
Protezione basata sul cloud e HYOK
In genere, la protezione di documenti e messaggi di posta elettronica sensibili tramite Azure Information Protection usa una chiave basata sul cloud generata da Microsoft o dal cliente, usando una configurazione BYOK.
Le chiavi basate sul cloud vengono gestite in Azure Key Vault, che offre ai clienti i vantaggi seguenti:
Nessun requisito dell'infrastruttura server. Le soluzioni cloud sono più rapide e più convenienti per distribuire e gestire soluzioni locali.
L'autenticazione basata sul cloud consente di condividere più facilmente i partner e gli utenti di altre organizzazioni.
Integrazione stretta con altri servizi di Azure e di Microsoft 365, ad esempio ricerca, visualizzatori Web, visualizzazioni con pivoted, anti-malware, eDiscovery e Delve.
Rilevamento dei documenti, revoche e notifiche di posta elettronica per documenti sensibili condivisi.
Tuttavia, alcune organizzazioni possono avere requisiti normativi che richiedono la crittografia di contenuti specifici usando una chiave isolata dal cloud. Questo isolamento significa che il contenuto crittografato può essere letto solo da applicazioni locali e servizi locali.
Con le configurazioni HYOK, i tenant dei clienti dispongono di una chiave basata sul cloud da usare con contenuto che può essere archiviato nel cloud e una chiave locale per il contenuto che deve essere protetto solo in locale.
Materiale sussidiario e procedure consigliate per HYOK
Quando si configura HYOK, prendere in considerazione i consigli seguenti:
- Contenuto adatto per HYOK
- Definire gli utenti che possono visualizzare le etichette configurate da HYOK
- Supporto di HYOK e posta elettronica
Importante
Una configurazione HYOK per Azure Information Protection non è una sostituzione per una distribuzione completa di AD RMS e Azure Information Protection o un'alternativa alla migrazione di AD RMS ad Azure Information Protection.
HYOK è supportato solo applicando etichette, non offre parità di funzionalità con AD RMS e non supporta tutte le configurazioni di distribuzione di AD RMS.
Contenuto adatto per HYOK
La protezione HYOK non offre i vantaggi della protezione basata sul cloud e spesso viene a costo di "opacità dei dati", poiché il contenuto può essere accessibile solo da applicazioni e servizi locali. Anche per le organizzazioni che usano la protezione HYOK, è in genere adatto solo per un numero ridotto di documenti.
È consigliabile usare HYOK solo per il contenuto che corrisponde ai criteri seguenti:
- Contenuto con la classificazione più elevata nell'organizzazione ("Top Secret"), in cui l'accesso è limitato solo a poche persone
- Contenuto non condiviso all'esterno dell'organizzazione
- Contenuto utilizzato solo nella rete interna.
Definire gli utenti che possono visualizzare le etichette configurate da HYOK
Per assicurarsi che solo gli utenti che devono applicare la protezione HYOK visualizzino le etichette configurate da HYOK, configurare i criteri per tali utenti con criteri con ambito.
Supporto di HYOK e posta elettronica
Microsoft 365 servizi e altri Servizi online non possono decrittografare il contenuto protetto da HYOK.
Per i messaggi di posta elettronica, questa perdita di funzionalità include scanner malware, protezione solo crittografia, soluzioni di prevenzione della perdita dei dati (DLP), regole di routing della posta elettronica, journaling, eDiscovery, soluzioni di archiviazione e Exchange ActiveSync.
Gli utenti potrebbero non capire perché alcuni dispositivi non sono in grado di aprire messaggi di posta elettronica protetti da HYOK, causando chiamate aggiuntive al supporto tecnico. Tenere presente queste limitazioni gravi durante la configurazione della protezione HYOK con i messaggi di posta elettronica.
Migrazione da ADRMS
Se si usa il client classico con HYOK ed è stata eseguita la migrazione da AD RMS, sono presenti reindirizzamenti e il cluster AD RMS usato deve avere URL di licenza diversi a quelli dei cluster migrati.
Per altre informazioni, vedere Eseguire la migrazione da AD RMS nella documentazione di Azure Information Protection.
Applicazioni supportate per HYOK
Usare le etichette di Azure Information Protection per applicare HYOK a documenti e messaggi di posta elettronica specifici. HYOK è supportato per Office versioni 2013 e successive.
HYOK è un'opzione di configurazione amministratore per le etichette e i flussi di lavoro rimangono invariati, indipendentemente dal fatto che il contenuto usi come chiave basata sul cloud o HYOK.
Le tabelle seguenti elencano gli scenari supportati per la protezione e l'utilizzo di contenuto tramite etichette configurate da HYOK:
- supporto dell'applicazione Windows per HYOK
- supporto dell'applicazione macOS per HYOK
- Supporto dell'applicazione iOS per HYOK
- supporto dell'applicazione Android per HYOK
Nota
Office applicazioni Web e Universal non sono supportate per HYOK.
supporto dell'applicazione Windows per HYOK
| Applicazione | Protezione | Consumo |
|---|---|---|
| Client di Azure Information Protection con app Microsoft 365, Office 2019, Office 2016 e Office 2013:Word, Excel, PowerPoint, Outlook |  |
|
| Client di Azure Information Protection | |
|
| Visualizzatore di Azure Information Protection | Non applicabile | |
| Client di Azure Information Protection con cmdlet per le etichette di PowerShell | |
|
| Scanner di Azure Information Protection | |
|
supporto dell'applicazione macOS per HYOK
| Applicazione | Protezione | Consumo |
|---|---|---|
| Office per Mac: Word, Excel, PowerPoint, Outlook |  |
|
Supporto dell'applicazione iOS per HYOK
| Applicazione | Protezione | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: solo Outlook | |
|
| Visualizzatore di Azure Information Protection | Non applicabile | |
supporto dell'applicazione Android per HYOK
| Applicazione | Protezione | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: solo Outlook | |
|
| Visualizzatore di Azure Information Protection | Non applicabile | |
Implementazione di HYOK
Azure Information Protection supporta HYOK quando si dispone di un Active Directory Rights Management Services (AD RMS) conforme a tutti i requisiti elencati di seguito.
I criteri di diritti di utilizzo e la chiave privata dell'organizzazione che protegge questi criteri vengono gestiti e mantenuti in locale, mentre i criteri di Azure Information Protection per l'etichettatura e la classificazione rimangono gestiti e archiviati in Azure.
Per implementare la protezione HYOK:
- Assicurarsi che il sistema sia conforme ai requisiti di AD RMS
- Individuare le informazioni da proteggere
Quando si è pronti, continuare con Come configurare un'etichetta per la protezione Rights Management.
Requisiti per AD RMS per il supporto di HYOK
Una distribuzione di AD RMS deve soddisfare i requisiti seguenti per fornire la protezione HYOK per le etichette di Information Protection di Azure:
| Requisito | Descrizione |
|---|---|
| Configurazione di AD RMS | Il sistema AD RMS deve essere configurato in modi specifici per supportare HYOK. Per altre informazioni, vedere di seguito. |
| Sincronizzazione delle directory | La sincronizzazione delle directory deve essere configurata tra il Active Directory locale e il Azure Active Directory. Gli utenti che useranno le etichette di protezione HYOK devono essere configurati per l'accesso Single Sign-On. |
| Configurazione per trust definiti in modo esplicito | Se si condivide il contenuto protetto da HYOK con altri utenti esterni all'organizzazione, AD RMS deve essere configurato per i trust definiti in modo esplicito in una relazione da punto a punto diretto con le altre organizzazioni. Eseguire questa operazione usando domini utente attendibili (TUD) o trust federati creati usando Active Directory Federation Services (AD FS). |
| Microsoft Office versione supportata | Gli utenti che proteggono o utilizzano contenuti protetti da HYOK devono avere: - Versione di Office che supporta Informazioni Rights Management (IRM) - Microsoft Office Professional Versione 2013 o successiva con Service Pack 1, in esecuzione in Windows 7 Service Pack 1 o versione successiva. - Per l'edizione basata su Office 2016 Microsoft Installer (.msi), è necessario disporre dell'aggiornamento 4018295 per Microsoft Office 2016 rilasciato il 6 marzo 2018. Nota: Office 2010 e Office 2007 non sono supportati. Per altre informazioni, vedere AIP e versioni legacy di Windows e Office. |
Importante
Per soddisfare l'alta garanzia offerta dalla protezione HYOK, è consigliabile:
Individuare i server AD RMS all'esterno della rete perimetrale e assicurarsi che vengano usati solo dai dispositivi gestiti.
Configurare il cluster AD RMS con un modulo di sicurezza hardware (HSM). Ciò consente di assicurarsi che la chiave privata SLC (Server Token Certificate) non possa essere esposta o rubata se la distribuzione di AD RMS deve essere violata o compromessa.
Suggerimento
Per informazioni sulla distribuzione e istruzioni per AD RMS, vedere Active Directory Rights Management Services nella libreria di Windows Server.
Requisiti di configurazione di AD RMS
Per supportare HYOK, assicurarsi che il sistema AD RMS disponga delle configurazioni seguenti:
| Requisito | Descrizione |
|---|---|
| Versione di Windows | Almeno, una delle versioni di Windows seguenti: Ambienti di produzione: ambienti di produzione: ambienti ditest/valutazione R2: Windows Server 2012 Windows Server 2008 R2 con Service Pack 1 |
| Topologia | HYOK richiede una delle topologie seguenti: - Una singola foresta, con un singolo cluster AD RMS - Più foreste, con cluster AD RMS in ognuno di essi. Licenze per più foreste Se sono presenti più foreste, ogni cluster AD RMS condivide un URL di licenza che punta allo stesso cluster AD RMS. In questo cluster AD RMS importare tutti i certificati di dominio utente attendibili da tutti gli altri cluster AD RMS. Per altre informazioni su questa topologia, vedere Dominio utente attendibile. Etichette di criteri globali per più foreste Quando sono presenti più cluster AD RMS in foreste separate, eliminare eventuali etichette nei criteri globali che applicano la protezione HYOK (AD RMS) e configurare un criterio con ambito per ogni cluster. Assegnare utenti per ogni cluster ai criteri con ambito, assicurandosi che non si usino gruppi che comportano l'assegnazione di un utente a più criteri con ambito. Il risultato deve essere che ogni utente abbia etichette solo per un cluster AD RMS. |
| Modalità crittografica | È necessario configurare AD RMS con la modalità crittografica 2. Verificare la modalità controllando le proprietà del cluster AD RMS, scheda Generale . |
| Configurazione dell'URL di certificazione | Ogni server AD RMS deve essere configurato per l'URL di certificazione. Per altre informazioni, vedere di seguito. |
| Punti di connessione del servizio | Un punto di connessione del servizio (SCP) non viene usato quando si usa la protezione AD RMS con Azure Information Protection. Se è stato registrato SCP per la distribuzione di AD RMS, rimuoverlo per assicurarsi che l'individuazione del servizio abbia esito positivo per la protezione di Azure Rights Management. Se si installa un nuovo cluster AD RMS per HYOK, non registrare SCP durante la configurazione del primo nodo. Per ogni nodo aggiuntivo, assicurarsi che il server sia configurato per l'URL di certificazione prima di aggiungere il ruolo AD RMS e aggiungere il cluster esistente. |
| SSL/TLS | Negli ambienti di produzione i server AD RMS devono essere configurati per l'uso di SSL/TLS con un certificato x.509 valido attendibile dai client di connessione. Questa operazione non è necessaria per scopi di test o valutazione. |
| Modelli di diritti | È necessario disporre di modelli di diritti configurati per AD RMS. |
| Exchange IRM | Non è possibile configurare AD RMS per Exchange IRM. |
| Dispositivi mobili/computer Mac | È necessario disporre dell'estensione del dispositivo mobile Active Directory Rights Management Services installata e configurata. |
Configurazione dei server AD RMS per individuare l'URL di certificazione
In ogni server AD RMS nel cluster, creare la voce del Registro di sistema seguente:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Per il <valore> stringa, specificare una delle stringhe seguenti:
Environment Valore stringa Produzione (cluster AD RMS con SSL/TLS) https://<cluster_name>/_wmcs/certification/certification.asmxTest/valutazione (nessun SSL/TLS) http://<cluster_name>/_wmcs/certification/certification.asmxRiavviare IIS.
Individuazione delle informazioni per specificare la protezione di AD RMS con un'etichetta di Azure Information Protection
La configurazione delle etichette di protezione HYOK richiede di specificare l'URL di licenza del cluster AD RMS.
È inoltre necessario specificare un modello configurato con le autorizzazioni che si desidera concedere agli utenti o consentire agli utenti di definire autorizzazioni e utenti.
Eseguire le operazioni seguenti per individuare i valori guid del modello e URL di licenza dalla console di Active Directory Rights Management Services:
Individuare un GUID modello
espandere il cluster e fare clic su Modelli di criteri per i diritti di utilizzo.
Dalle informazioni sui modelli di criteri di diritti distribuiti copiare il GUID dal modello da usare.
Ad esempio: 82bf3474-6efe-4fa1-8827-d1bd93339119
Individuare l'URL di licenza
Fare clic sul nome del cluster.
In Dettagli cluster copiare il valore Gestione licenze ad eccezione della stringa /_wmcs/licensing.
ad esempio https://rmscluster.contoso.com
Nota
Se sono presenti valori di licenza extranet e Intranet diversi, specificare il valore extranet solo se si condivide il contenuto protetto con i partner. I partner che condividono contenuto protetto devono essere definiti con trust espliciti da punto a punto.
Se non si condivide il contenuto protetto, usare il valore intranet e assicurarsi che tutti i computer client che usano la protezione AD RMS con Azure Information Protection connettersi tramite una connessione Intranet. Ad esempio, i computer remoti devono usare una connessione VPN.
Passaggi successivi
Al termine della configurazione del sistema per supportare HYOK, continuare con la configurazione delle etichette per la protezione HYOK. Per altre informazioni, vedere Come configurare un'etichetta per la protezione di Rights Management.