Hyok-information (Hold your own key) för Azure Information Protection
HYOK-konfigurationer (Hold Your Own Key) gör det möjligt för AIP-kunder med den klassiska klienten att skydda mycket känsligt innehåll samtidigt som de har fullständig kontroll över sin nyckel. HYOK använder ytterligare en kundhållen nyckel som lagras lokalt för mycket känsligt innehåll, tillsammans med standardmolnbaserat skydd som används för annat innehåll.
Eftersom HYOK-skydd endast ger åtkomst till data för lokala program och tjänster har kunder som använder HYOK också en molnbaserad nyckel för molndokument.
Använd HYOK för dokument som är:
- Begränsad till bara några få personer
- Delas inte utanför organisationen
- Förbrukas endast i det interna nätverket.
Dessa dokument har vanligtvis den högsta klassificeringen i din organisation, som "Topphemlighet".
Innehåll kan endast krypteras med HYOK-skydd om du har den klassiska klienten. Men om du har HYOK-skyddat innehåll kan det visas i både den klassiska och enhetliga etiketteringsklienten.
Mer information om standardmässiga, molnbaserade klientrotnycklar finns i Planera och implementera din Azure Information Protection-klientnyckel.
Molnbaserat skydd jämfört med HYOK
Normalt använder skydd av känsliga dokument och e-postmeddelanden med Hjälp av Azure Information Protection en molnbaserad nyckel som antingen genereras av Microsoft eller av kunden med hjälp av en BYOK-konfiguration.
Molnbaserade nycklar hanteras i Azure Key Vault, vilket ger kunderna följande fördelar:
Inga krav på serverinfrastruktur. Molnlösningar är snabbare och mer kostnadseffektiva att distribuera och underhålla än lokala lösningar.
Med molnbaserad autentisering blir det enklare att dela med partner och användare från andra organisationer.
Nära integrering med andra Azure- och Microsoft 365-tjänster, till exempel sökning, webbvisningsprogram, pivoterade vyer, skydd mot skadlig kod, eDiscovery och Delve.
Dokumentspårning, återkallning och e-postaviseringar för känsliga dokument som du har delat.
Vissa organisationer kan dock ha regelkrav som kräver att specifikt innehåll krypteras med hjälp av en nyckel som är isolerad från molnet. Den här isoleringen innebär att krypterat innehåll kan läsas endast av lokala program och lokala tjänster.
Med HYOK-konfigurationer har kundklientorganisationer både en molnbaserad nyckel att använda med innehåll som kan lagras i molnet och en lokal nyckel för innehåll som endast måste skyddas lokalt.
HYOK-vägledning och metodtips
Tänk på följande rekommendationer när du konfigurerar HYOK:
- Innehåll som är lämpligt för HYOK
- Definiera de användare som kan se HYOK-konfigurerade etiketter
- HYOK och e-postsupport
Viktigt
En HYOK-konfiguration för Azure Information Protection ersätter inte en helt AD RMS- och Azure Information Protection-distribution, eller ett alternativ till att migrera AD RMS till Azure Information Protection.
HYOK stöds endast genom att använda etiketter, erbjuder inte funktionsparitet med AD RMS och stöder inte alla AD RMS-distributionskonfigurationer.
Innehåll som är lämpligt för HYOK
HYOK-skydd ger inte fördelarna med molnbaserat skydd och sker ofta på bekostnad av "dataopacitet", eftersom innehållet endast kan nås av lokala program och tjänster. Även för organisationer som använder HYOK-skydd är det vanligtvis endast lämpligt för ett litet antal dokument.
Vi rekommenderar att du endast använder HYOK för innehåll som matchar följande kriterier:
- Innehåll med den högsta klassificeringen i din organisation ("Topphemlighet"), där åtkomsten är begränsad till bara några få personer
- Innehåll som inte delas utanför organisationen
- Innehåll som endast används i det interna nätverket.
Definiera de användare som kan se HYOK-konfigurerade etiketter
För att säkerställa att endast användare som behöver tillämpa HYOK-skydd kan du se HYOK-konfigurerade etiketter genom att konfigurera principen för dessa användare med begränsade principer.
HYOK och e-postsupport
Microsoft 365 tjänster och andra onlinetjänster kan inte dekryptera HYOK-skyddat innehåll.
För e-postmeddelanden omfattar den här funktionsförlusten skannrar för skadlig kod, skydd endast för kryptering, lösningar för skydd mot dataförlust (DLP), regler för e-postroutning, journaler, eDiscovery, arkiveringslösningar och Exchange ActiveSync.
Användarna kanske inte förstår varför vissa enheter inte kan öppna HYOK-skyddade e-postmeddelanden, vilket leder till ytterligare samtal till supportavdelningen. Tänk på dessa allvarliga begränsningar när du konfigurerar HYOK-skydd med e-postmeddelanden.
Migrera från ADRMS
Om du använder den klassiska klienten med HYOK och har migrerat från AD RMS har du omdirigeringar på plats, och DET AD RMS-kluster som du använder måste ha olika licensierings-URL:er till de i klustren som du migrerade.
Mer information finns i Migrera från AD RMS i Dokumentation om Azure Information Protection.
Program som stöds för HYOK
Använd Azure Information Protection-etiketter för att tillämpa HYOK på specifika dokument och e-postmeddelanden. HYOK stöds för Office version 2013 och senare.
HYOK är ett administratörskonfigurationsalternativ för etiketter och arbetsflöden förblir desamma, oavsett om innehållet använder som molnbaserad nyckel eller HYOK.
I följande tabeller visas de scenarier som stöds för att skydda och använda innehåll med HYOK-konfigurerade etiketter:
- Windows programstöd för HYOK
- macOS programstöd för HYOK
- iOS programstöd för HYOK
- Android programstöd för HYOK
Anteckning
Office webb- och universella program stöds inte för HYOK.
Windows programstöd för HYOK
| Program | Skydd | Förbrukning |
|---|---|---|
| Azure Information Protection-klient med Microsoft 365-appar, Office 2019, Office 2016 och Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Azure Information Protection-klient med Utforskaren | |
|
| Azure Information Protection Viewer | Inte tillämpligt | |
| Azure Information Protection-klient med PowerShell-cmdletar för etiketter | |
|
| Azure Information Protection-skanner | |
|
macOS programstöd för HYOK
| Program | Skydd | Förbrukning |
|---|---|---|
| Office för Mac: Word, Excel, PowerPoint, Outlook |
 |
|
iOS programstöd för HYOK
| Program | Skydd | Förbrukning |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: endast Outlook |
|
|
| Azure Information Protection Viewer | Inte tillämpligt | |
Android programstöd för HYOK
| Program | Skydd | Förbrukning |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: endast Outlook |
|
|
| Azure Information Protection Viewer | Inte tillämpligt | |
Implementera HYOK
Azure Information Protection stöder HYOK när du har en Active Directory Rights Management Services (AD RMS) som uppfyller alla krav som anges nedan.
Principer för användningsrättigheter och organisationens privata nyckel som skyddar dessa principer hanteras och behålls lokalt, medan Azure-Information Protection princip för etikettering och klassificering förblir hanterad och lagrad i Azure.
Så här implementerar du HYOK-skydd:
När du är klar fortsätter du med Konfigurera en etikett för Rights Management skydd.
Krav för ATT AD RMS ska ha stöd för HYOK
En AD RMS-distribution måste uppfylla följande krav för att tillhandahålla HYOK-skydd för Azure Information Protection-etiketter:
| Krav | Beskrivning |
|---|---|
| AD RMS-konfiguration | DITT AD RMS-system måste konfigureras på specifika sätt för att stödja HYOK. Mer information finns i nedan. |
| Katalogsynkronisering | Katalogsynkronisering måste konfigureras mellan din lokal Active Directory och Azure Active Directory. Användare som ska använda HYOK-skyddsetiketter måste konfigureras för enkel inloggning. |
| Konfiguration för explicit definierade förtroenden | Om du delar HYOK-skyddat innehåll med andra utanför organisationen måste AD RMS konfigureras för uttryckligen definierade förtroenden i en direkt punkt-till-punkt-relation med de andra organisationerna. Gör detta med betrodda användardomäner (TUD) eller federerade förtroenden som skapas med hjälp av Active Directory Federation Services (AD FS) (AD FS). |
| Microsoft Office version som stöds | Användare som skyddar eller använder HYOK-skyddat innehåll måste ha: – En version av Office som stöder Information Rights Management (IRM) – Microsoft Office Professional Plus version 2013 eller senare med Service Pack 1, som körs på Windows 7 Service Pack 1 eller senare. – För Office 2016 Microsoft Installer(.msi)-baserad utgåva måste du ha uppdateringen 4018295 för Microsoft Office 2016 som släpptes den 6 mars 2018. Obs! Office 2010 och Office 2007 stöds inte. Mer information finns i AIP och äldre Windows och Office versioner. |
Viktigt
För att uppfylla den höga säkerhet som HYOK-skydd erbjuder rekommenderar vi:
Hitta dina AD RMS-servrar utanför din DMZ och se till att de endast används av hanterade enheter.
Konfigurera ditt AD RMS-kluster med en maskinvarusäkerhetsmodul (HSM). Detta säkerställer att din privata SLC-nyckel (Server Licensor Certificate) inte kan exponeras eller bli stulen om din AD RMS-distribution någonsin skulle brytas eller komprometteras.
Tips
Distributionsinformation och instruktioner för AD RMS finns i Active Directory Rights Management Services i Windows Server-biblioteket.
Konfigurationskrav för AD RMS
Kontrollera att AD RMS-systemet har följande konfigurationer för att stödja HYOK:
| Krav | Beskrivning |
|---|---|
| Windows-version | Minst en av följande Windows versioner: Produktionsmiljöer: Windows Server 2012 R2-test -/utvärderingsmiljöer: Windows Server 2008 R2 med Service Pack 1 |
| Topologi | HYOK kräver någon av följande topologier: – En enda skog med ett enda AD RMS-kluster – Flera skogar med AD RMS-kluster i var och en av dem. Licensiering för flera skogar Om du har flera skogar delar varje AD RMS-kluster en licens-URL som pekar på samma AD RMS-kluster. I det här AD RMS-klustret importerar du alla TUD-certifikat (Trusted User Domain) från alla andra AD RMS-kluster. Mer information om den här topologin finns i Betrodd användardomän. Globala principetiketter för flera skogar När du har flera AD RMS-kluster i separata skogar tar du bort alla etiketter i den globala principen som tillämpar HYOK-skydd (AD RMS) och konfigurerar en principomfattning för varje kluster. Tilldela användare för varje kluster till deras begränsade princip och se till att du inte använder grupper som skulle resultera i att en användare tilldelas till mer än en princip med omfång. Resultatet bör vara att varje användare bara har etiketter för ett AD RMS-kluster. |
| Kryptografiskt läge | AD RMS måste konfigureras med kryptografiskt läge 2. Bekräfta läget genom att kontrollera ad RMS-klusteregenskaperna, fliken Allmänt . |
| Konfiguration av certifierings-URL | Varje AD RMS-server måste konfigureras för certifierings-URL:en. Mer information finns i nedan. |
| Tjänstanslutningspunkter | En tjänstanslutningspunkt (SCP) används inte när du använder AD RMS-skydd med Azure Information Protection. Om du har en SCP registrerad för din AD RMS-distribution tar du bort den för att säkerställa att tjänstidentifieringen lyckas för Azure Rights Management skydd. Om du installerar ett nytt AD RMS-kluster för HYOK ska du inte registrera SCP när du konfigurerar den första noden. För varje ytterligare nod kontrollerar du att servern är konfigurerad för certifierings-URL:en innan du lägger till AD RMS-rollen och ansluter till det befintliga klustret. |
| SSL/TLS | I produktionsmiljöer måste AD RMS-servrarna konfigureras för att använda SSL/TLS med ett giltigt x.509-certifikat som är betrott av de anslutande klienterna. Detta krävs inte för testning eller utvärdering. |
| Rättighetsmallar | Du måste ha rättighetsmallar konfigurerade för AD RMS. |
| Exchange IRM | Ad RMS kan inte konfigureras för Exchange IRM. |
| Mobila enheter/Mac-datorer | Du måste ha Active Directory Rights Management Services Mobile Device Extension installerat och konfigurerat. |
Konfigurera AD RMS-servrar för att hitta certifierings-URL:en
Skapa följande registerpost på varje AD RMS-server i klustret:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Ange en av följande strängar för <strängvärdet>:
Miljö Strängvärde Produktion
(AD RMS-kluster med SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxTestning/utvärdering
(ingen SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxStarta om IIS.
Hitta information för att ange AD RMS-skydd med en Azure Information Protection-etikett
Om du konfigurerar HYOK-skyddsetiketter måste du ange licensierings-URL:en för DITT AD RMS-kluster.
Dessutom måste du antingen ange en mall som du har konfigurerat med de behörigheter som du vill bevilja användare eller göra det möjligt för användare att definiera behörigheter och användare.
Gör följande för att hitta mallens GUID- och licensierings-URL-värden från Active Directory Rights Management Services-konsolen:
Leta upp ett mall-GUID
Expandera klustret och klicka på Rättighetsprincipmallar.
Kopiera GUID från den mall som du vill använda från informationen om distribuerade rättighetsprinciper .
Exempel: 82bf3474-6efe-4fa1-8827-d1bd93339119
Leta upp licensierings-URL:en
Klicka på klusternamnet.
I Information om kluster kopierar du Licensieringsvärdet minus strängen /_wmcs/licensing.
Exempelvis: https://rmscluster.contoso.com
Anteckning
Om du har olika extranäts- och intranätlicensvärden anger du endast extranätsvärdet om du ska dela skyddat innehåll med partner. Partner som delar skyddat innehåll måste definieras med explicita punkt-till-punkt-förtroenden.
Om du inte delar skyddat innehåll använder du intranätvärdet och kontrollerar att alla klientdatorer som använder AD RMS-skydd med Azure Information Protection ansluta via en intranätanslutning. Fjärrdatorer måste till exempel använda en VPN-anslutning.
Nästa steg
När du är klar med att konfigurera systemet så att det stöder HYOK fortsätter du med att konfigurera etiketter för HYOK-skydd. Mer information finns i Konfigurera en etikett för Rights Management-skydd.