Azure Information Protection için kendi anahtarınız (HYOK) ayrıntılarını tutma
Kendi Anahtarınızı Tutma (HYOK) yapılandırmaları, klasik istemciye sahip AIP müşterilerinin yüksek oranda hassas içerikleri korumalarına ve anahtarlarının tam denetimini korumalarına olanak tanır. HYOK, son derece hassas içerikler için şirket içinde depolanan ek, müşteri tarafından tutulan bir anahtar ve diğer içerik için kullanılan varsayılan bulut tabanlı korumayı kullanır.
HYOK koruması yalnızca şirket içi uygulama ve hizmetler için verilere erişim sağladığından, HYOK kullanan müşteriler de bulut belgeleri için bulut tabanlı bir anahtara sahiptir.
Aşağıdaki belgeler için HYOK kullanın:
- Yalnızca birkaç kişiyle sınırlı
- Kuruluş dışında paylaşılmaz
- Yalnızca iç ağda tüketilir.
Bu belgeler genellikle kuruluşunuzda "Çok Gizli Dizi" olarak en yüksek sınıflandırmaya sahiptir.
İçerik yalnızca klasik istemciniz varsa HYOK koruması kullanılarak şifrelenebilir. Ancak, HYOK korumalı içeriğiniz varsa, hem klasik hem de birleşik etiketleme istemcisinde görüntülenebilir.
Varsayılan, bulut tabanlı kiracı kök anahtarları hakkında daha fazla bilgi için bkz. Azure Information Protection kiracı anahtarınızı planlama ve uygulama.
Bulut tabanlı koruma ve HYOK karşılaştırması
Azure Information Protection kullanarak hassas belgeleri ve e-postaları korumak için genellikle Microsoft veya müşteri tarafından oluşturulan ve BYOK yapılandırması kullanılarak oluşturulan bulut tabanlı bir anahtar kullanılır.
Bulut tabanlı anahtarlar, müşterilere aşağıdaki avantajları sağlayan Azure Key Vault'da yönetilir:
Sunucu altyapısı gereksinimi yok. Bulut çözümleri, şirket içi çözümlerden daha hızlı ve daha uygun maliyetli dağıtım ve bakım sağlar.
Bulut tabanlı kimlik doğrulaması , iş ortaklarıyla ve diğer kuruluşlardan kullanıcılarla daha kolay paylaşıma olanak tanır.
Arama, web görüntüleyicileri, özetlenmiş görünümler, kötü amaçlı yazılımdan koruma, eBulma ve Delve gibi diğer Azure ve Microsoft 365 hizmetleriyle sıkı tümleştirme.
Paylaştığınız hassas belgeler için belge izleme, iptal etme ve e-posta bildirimleri.
Ancak bazı kuruluşlar, belirli içeriklerin buluttan yalıtılmış bir anahtar kullanılarak şifrelenmesini gerektiren yasal gereksinimlere sahip olabilir. Bu yalıtım, şifrelenmiş içeriğin yalnızca şirket içi uygulamalar ve şirket içi hizmetler tarafından okunabileceği anlamına gelir.
HYOK yapılandırmaları sayesinde müşteri kiracıları hem bulutta depolanabilen içerikle kullanılacak bulut tabanlı bir anahtara hem de yalnızca şirket içinde korunması gereken içerik için şirket içi anahtara sahiptir.
HYOK kılavuzu ve en iyi yöntemler
HYOK'yi yapılandırırken aşağıdaki önerileri göz önünde bulundurun:
- HYOK için uygun içerik
- HYOK ile yapılandırılmış etiketleri görebilen kullanıcıları tanımlama
- HYOK ve e-posta desteği
Önemli
Azure Information Protection için HYOK yapılandırması, tam AD RMS ve Azure Information Protection dağıtımının yerine veya AD RMS'yi Azure Information Protection'ye geçirmeye alternatif değildir.
HYOK yalnızca etiketler uygulanarak desteklenir, AD RMS ile özellik eşliği sunmaz ve tüm AD RMS dağıtım yapılandırmalarını desteklemez.
HYOK için uygun içerik
HYOK koruması, bulut tabanlı korumanın avantajlarını sağlamaz ve içeriğe yalnızca şirket içi uygulamalar ve hizmetler tarafından erişilebildiği için genellikle "veri opaklığı" maliyetine neden olur. HYOK koruması kullanan kuruluşlar için bile genellikle yalnızca az sayıda belge için uygundur.
HYOK'yi yalnızca aşağıdaki ölçütlere uyan içerik için kullanmanızı öneririz:
- Erişimin yalnızca birkaç kişiyle sınırlı olduğu, kuruluşunuzda en yüksek sınıflandırmaya sahip içerik ("Çok Gizli")
- Kuruluş dışında paylaşılmamış içerik
- Yalnızca iç ağda kullanılan içerik.
HYOK ile yapılandırılmış etiketleri görebilen kullanıcıları tanımlama
YALNıZCA HYOK koruması uygulaması gereken kullanıcıların HYOK ile yapılandırılmış etiketleri gördüğünden emin olmak için ilkenizi kapsamı belirlenmiş ilkelere sahip kullanıcılar için yapılandırın.
HYOK ve e-posta desteği
Microsoft 365 hizmetler ve diğer çevrimiçi hizmetler HYOK korumalı içeriğin şifresini çözemez.
E-postalarda bu işlev kaybı kötü amaçlı yazılım tarayıcıları, yalnızca şifreleme koruması, veri kaybı önleme (DLP) çözümleri, posta yönlendirme kuralları, günlüğe kaydetme, eBulma, arşivleme çözümleri ve Exchange ActiveSync içerir.
Kullanıcılar, bazı cihazların HYOK korumalı e-postaları neden açamadığını anlamayabilir ve bu da yardım masanıza ek çağrılar yapmalarına neden olur. E-postalarla HYOK korumasını yapılandırırken bu önemli sınırlamalara dikkat edin.
ADRMS'den geçiş
KLASIK istemciyi HYOK ile kullanıyorsanız ve AD RMS'den geçiş yapmışsanız, yeniden yönlendirmeleriniz vardır ve kullandığınız AD RMS kümesinin, geçiş yaptığınız kümelerdekilere farklı lisans URL'leri olmalıdır.
Daha fazla bilgi için Azure Information Protection belgelerinde AD RMS'den geçiş yapma bölümüne bakın.
HYOK için desteklenen uygulamalar
Belirli belgelere ve e-postalara HYOK uygulamak için Azure Information Protection etiketlerini kullanın. HYOK, Office sürüm 2013 ve üzeri için desteklenir.
HYOK, etiketler için bir yönetici yapılandırma seçeneğidir ve içeriğin bulut tabanlı anahtar veya HYOK olarak kullanıp kullanmadığına bakılmaksızın iş akışları aynı kalır.
Aşağıdaki tablolarda, HYOK tarafından yapılandırılmış etiketleri kullanarak içeriği korumak ve kullanmak için desteklenen senaryolar listelenmektedir:
- HYOK için Windows uygulama desteği
- HYOK için macOS uygulama desteği
- HYOK için iOS uygulama desteği
- HYOK için Android uygulama desteği
Not
Office Web ve Evrensel uygulamalar HYOK için desteklenmez.
HYOK için Windows uygulama desteği
| Uygulama | Koruma | Tüketim |
|---|---|---|
| Microsoft 365 uygulamaları, Office 2019, Office 2016 ve Office 2013: Word, Excel, PowerPoint Outlook ile Azure Information Protection istemcisi |
 |
|
| Dosya Gezgini ile Azure Information Protection istemcisi | |
|
| Azure Information Protection Görüntüleyicisi | Uygulanamaz | |
| PowerShell etiketleme cmdlet'leri ile Azure Information Protection istemcisi | |
|
| Azure Information Protection tarayıcısı | |
|
HYOK için macOS uygulama desteği
| Uygulama | Koruma | Tüketim |
|---|---|---|
| Office Mac: Word, Excel, PowerPoint Outlook |
 |
|
HYOK için iOS uygulama desteği
| Uygulama | Koruma | Tüketim |
|---|---|---|
| Office Mobile: Word, Excel PowerPoint |
|
|
| Office Mobile: Yalnızca Outlook |
|
|
| Azure Information Protection Görüntüleyicisi | Uygulanamaz | |
HYOK için Android uygulama desteği
| Uygulama | Koruma | Tüketim |
|---|---|---|
| Office Mobile: Word, Excel PowerPoint |
|
|
| Office Mobile: Yalnızca Outlook |
|
|
| Azure Information Protection Görüntüleyicisi | Uygulanamaz | |
HYOK Uygulama
Azure Information Protection, aşağıda listelenen tüm gereksinimlere uyan bir Active Directory Rights Management Services (AD RMS) varsa HYOK'yi destekler.
Kullanım hakları ilkeleri ve kuruluşun bu ilkeleri koruyan özel anahtarı yönetilir ve şirket içinde tutulurken, etiketleme ve sınıflandırma için Azure Information Protection ilkesi Azure'da yönetilir ve depolanır.
HYOK koruması uygulamak için:
Hazır olduğunuzda, Rights Management koruması için etiket yapılandırma bölümüne geçin.
AD RMS'nin HYOK'yi destekleme gereksinimleri
Ad RMS dağıtımı, Azure Information Protection etiketleri için HYOK koruması sağlamak üzere aşağıdaki gereksinimleri karşılamalıdır:
| Gereksinim | Açıklama |
|---|---|
| AD RMS yapılandırması | AD RMS sisteminizin HYOK'yi desteklemek için belirli şekillerde yapılandırılması gerekir. Daha fazla bilgi için aşağıya bakın. |
| Dizin eşitlemesi | Dizin eşitlemesi, şirket içi Active Directory ve Azure Active Directory arasında yapılandırılmalıdır. HYOK koruma etiketlerini kullanacak kullanıcıların çoklu oturum açma için yapılandırılması gerekir. |
| Açıkça tanımlanmış güvenler için yapılandırma | HYOK korumalı içeriği kuruluşunuzun dışındaki diğer kişilerle paylaşıyorsanız, AD RMS'nin diğer kuruluşlarla doğrudan noktadan noktaya ilişkide açıkça tanımlanmış güvenler için yapılandırılması gerekir. Bunu, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanılarak oluşturulan güvenilen kullanıcı etki alanlarını (TUD) veya federasyon güvenlerini kullanarak yapın. |
| desteklenen Microsoft Office sürüm | HYOK korumalı içeriği koruyan veya kullanan kullanıcılar şunlara sahip olmalıdır: - Office Information Rights Management (IRM) destekleyen bir sürümüne sahip olmalıdır. Microsoft Office Professional Plus sürüm 2013 veya üzeri, Windows 7 Service Pack 1 veya sonraki sürümlerde çalıştırılır. - Office 2016 Microsoft Installer (.msi) tabanlı sürüm için, 6 Mart 2018'de yayımlanan Microsoft Office 2016 güncelleştirme 4018295 sahip olmanız gerekir. Not: Office 2010 ve Office 2007 desteklenmez. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri. |
Önemli
HYOK korumasının sunduğu yüksek güvenceyi yerine getirmek için şunları öneririz:
AD RMS sunucularınızı DMZ'nizin dışında bulma ve bunların yalnızca yönetilen cihazlar tarafından kullanıldığından emin olun.
AD RMS kümenizi bir donanım güvenlik modülü (HSM) ile yapılandırın. Bu, AD RMS dağıtımınızın ihlal edilmesi veya güvenliğinin aşılması gerekiyorsa Sunucu Lisans Verme Sertifikası (SLC) özel anahtarınızın açığa çıkarılmamasını veya çalınmamasını sağlamaya yardımcı olur.
İpucu
AD RMS dağıtım bilgileri ve yönergeleri için Windows Server kitaplığındaki Active Directory Rights Management Services’e bakın.
AD RMS yapılandırma gereksinimleri
HYOK'u desteklemek için AD RMS sisteminizin aşağıdaki yapılandırmalara sahip olduğundan emin olun:
| Gereksinim | Açıklama |
|---|---|
| Windows sürümü | En azından, aşağıdaki Windows sürümlerinden biri: Üretim ortamları: Windows Server 2012 R2 Test/değerlendirme ortamları: Service Pack 1 ile Windows Server 2008 R2 |
| Topoloji | HYOK için aşağıdaki topolojilerden biri gerekir: - Tek bir AD RMS kümesine sahip tek bir orman - Her birinde AD RMS kümeleri olan birden çok orman. Birden çok orman için lisanslama Birden çok ormanınız varsa, her AD RMS kümesi aynı AD RMS kümesine işaret eden bir lisans URL'sini paylaşır. Bu AD RMS kümesinde, diğer tüm AD RMS kümelerindeki tüm güvenilen kullanıcı etki alanı (TUD) sertifikalarını içeri aktarın. Bu topoloji hakkında daha fazla bilgi için bkz . Güvenilen Kullanıcı Etki Alanı. Birden çok orman için genel ilke etiketleri Ayrı ormanlarda birden çok AD RMS kümeniz varsa, genel ilkede HYOK (AD RMS) koruması uygulayan tüm etiketleri silin ve her küme için kapsamlı bir ilke yapılandırın. Bir kullanıcının birden fazla kapsamlı ilkeye atanmasıyla sonuçlanan grupları kullanmadığınızdan emin olarak, her küme için kullanıcıları kendi kapsamlı ilkelerine atayın. Sonuç, her kullanıcının yalnızca bir AD RMS kümesi için etiketleri olmasıdır. |
| Şifreleme modu | AD RMS'niz Şifreleme Modu 2 ile yapılandırılmalıdır. AD RMS küme özelliklerini denetleyerek modu onaylayın, Genel sekmesi. |
| Sertifika URL'si yapılandırması | Sertifika URL'si için her AD RMS sunucusu yapılandırılmalıdır. Daha fazla bilgi için aşağıya bakın. |
| Hizmet bağlantı noktaları | Azure Information Protection ile AD RMS koruması kullandığınızda hizmet bağlantı noktası (SCP) kullanılmaz. AD RMS dağıtımınız için kayıtlı bir SCP'niz varsa, Azure Rights Management koruması için hizmet bulmanın başarılı olduğundan emin olmak için bu SCP'yi kaldırın. HYOK için yeni bir AD RMS kümesi yüklüyorsanız, ilk düğümü yapılandırırken SCP'yi kaydetmeyin. Her ek düğüm için, AD RMS rolünü eklemeden ve var olan kümeye katılmadan önce sunucunun sertifika URL'si için yapılandırıldığından emin olun. |
| SSL/TLS | Üretim ortamlarında AD RMS sunucuları, bağlanan istemciler tarafından güvenilen geçerli bir x.509 sertifikasıyla SSL/TLS kullanacak şekilde yapılandırılmalıdır. Bu, test veya değerlendirme amacıyla gerekli değildir. |
| Hak şablonları | AD RMS'niz için yapılandırılmış hak şablonlarınız olmalıdır. |
| IRM'Exchange | AD RMS'niz Exchange IRM için yapılandırılamaz. |
| Mobil cihazlar / Mac bilgisayarlar | Active Directory Rights Management Services Mobil Cihaz Uzantısı yüklü ve yapılandırılmış olmalıdır. |
SERTIFIKA URL'sini bulmak için AD RMS sunucularını yapılandırma
Kümedeki her AD RMS sunucusunda aşağıdaki kayıt defteri girdisini oluşturun:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`<Dize değeri> için aşağıdaki dizelerden birini belirtin:
Ortam Dize değeri Üretim
(SSL/TLS kullanan AD RMS kümeleri)https://<cluster_name>/_wmcs/certification/certification.asmxTest /değerlendirme
(SSL/TLS yok)http://<cluster_name>/_wmcs/certification/certification.asmxIIS’yi yeniden başlatın.
Azure Information Protection etiketiyle AD RMS koruması belirtmek için gereken bilgileri bulma
HYOK koruma etiketlerini yapılandırmak için AD RMS kümenizin lisans URL'sini belirtmeniz gerekir.
Ayrıca, kullanıcılara vermek istediğiniz izinlerle yapılandırdığınız bir şablon belirtmeniz veya kullanıcıların izinleri ve kullanıcıları tanımlamasını etkinleştirmeniz gerekir.
Active Directory Rights Management Services konsolundan şablon GUID ve lisans URL değerlerini bulmak için aşağıdakileri yapın:
Şablon GUID'lerini bulma
Kümeyi genişletin ve Hak İlkesi Şablonları'na tıklayın.
Dağıtılmış Hak İlkesi Şablonları bilgilerinden, kullanmak istediğiniz şablondan GUID'yi kopyalayın.
Örneğin: 82bf3474-6efe-4fa1-8827-d1bd93339119
Lisans URL'sini bulma
Küme adına tıklayın.
Küme Ayrıntıları bilgilerinden Lisans değerini /_wmcs/licensing dizesi hariç kopyalayın.
Örnek: https://rmscluster.contoso.com
Not
Farklı extranet ve intranet lisans değerleriniz varsa extranet değerini yalnızca korumalı içeriği iş ortaklarıyla paylaşacaksanız belirtin. Korumalı içeriği paylaşan iş ortakları açık noktadan noktaya güvenlerle tanımlanmalıdır.
Korumalı içeriği paylaşmıyorsanız intranet değerini kullanın ve Azure Information Protection ile AD RMS koruması kullanan tüm istemci bilgisayarların intranet bağlantısı üzerinden bağlandığından emin olun. Örneğin, uzak bilgisayarlar bir VPN bağlantısı kullanmalıdır.
Sonraki adımlar
Sisteminizi HYOK'u destekleyecek şekilde yapılandırmayı bitirdiğinizde, HYOK koruması için etiketleri yapılandırmaya devam edin. Daha fazla bilgi edinmek için bkz. Rights Management koruması için etiket yapılandırma.