Azure 信息保护的“保留自己的密钥”(HYOK) 详细信息
使用经典客户端的 AIP 客户可以通过“保留自己的密钥”(HYOK) 配置来保护高度敏感的内容,同时保持对其密钥的完全控制。 HYOK 使用客户持有的、存储在本地的附加密钥来保护高度敏感内容,并对其他内容使用基于云的默认保护。
由于 HYOK 保护只允许访问本地应用程序和服务的数据,使用 HYOK 的客户也对云文档具有基于云的密钥。
对以下文档使用 HYOK:
- 仅限少数人使用
- 不在组织外共享
- 仅在内部网络上使用。
这些文档通常在组织中具有最高的分类,称为“顶级机密”。
仅当使用的是经典客户端时,才能使用 HYOK 保护对内容进行加密。 但是,如果你有受 HYOK 保护的内容,则可以在经典标记客户端和统一标记客户端中查看该内容。
有关基于云的默认租户根密钥的详细信息,请参阅规划和实施 Azure 信息保护租户密钥。
基于云的保护与HYOK
通常,使用 Azure 信息保护来保护敏感文档和电子邮件时,使用的是 Microsoft 生成的或客户使用 BYOK 配置生成的基于云的密钥。
基于云的密钥在 Azure 密钥保管库中进行管理,这可为客户带来以下好处:
没有服务器基础结构方面的要求。 与本地解决方案相比,部署和维护云解决方案更快速、更经济高效。
使用基于云的身份验证可以更方便地与合作伙伴和其他组织中的用户共享。
与搜索、Web 查看器、透视图、反恶意软件、电子数据展示和 Delve 等其他 Azure 与 Microsoft 365 服务紧密集成。
为共享的敏感文档进行文档跟踪、吊销和电子邮件通知。
但是,某些组织的管制要求可能规定要使用与云隔离的密钥来加密特定内容。 这种隔离意味着加密的内容只能由本地应用程序和本地服务读取。
使用 HYOK 配置时,客户租户既可以获得一个基于云的密钥用于处理可在云中存储的内容,也能获得一个本地密钥用于处理只能在本地保护的内容。
HYOK 指导和最佳做法
配置 HYOK 时,请考虑以下建议:
重要
Azure 信息保护的 HYOK 配置不能替代整个 AD RMS 和 Azure 信息保护部署,也不能替代将 AD RMS 迁移到 Azure 信息保护。
只能通过应用标签来支持 HYOK,HYOK 不提供与 AD RMS 的功能奇偶一致性,也不支持所有的 AD RMS 部署配置。
适用于 HYOK 的内容
HYOK 保护不能提供基于云的保护所具备的优势,并且往往伴随着“数据不透明”的代价,因为内容只能由本地应用程序和服务访问。 即使对于使用 HYOK 保护的组织而言,它通常也只适合用于保护少量的文档。
建议仅将 HYOK 用于符合以下条件的内容:
- 组织中分类最高的,仅限少数几个人访问的内容(“最高机密”)
- 不会在组织外部共享的内容
- 仅在内部网络中使用的内容。
定义可以查看配置了 HYOK 的标签的用户
为了确保只有需要应用 HYOK 保护的用户才能看到配置了 HYOK 的标签,请使用作用域内策略为这些用户配置策略。
HYOK 和电子邮件支持
Microsoft 365 服务和其他联机服务无法解密受 HYOK 保护的内容。
对于电子邮件,恶意软件扫描程序、仅限加密的保护、数据丢失防护 (DLP) 解决方案、邮件路由规则、日记、电子数据展示、存档解决方案和 Exchange ActiveSync 都将因此而无法正常工作。
用户可能不知道为何有些设备无法打开受 HYOK 保护的电子邮件,从而导致支持人员接到的求助电话增多。 在对电子邮件配置 HYOK 保护时,请注意这些严格的限制。
从 ADRMS 迁移
如果将经典客户端与 HYOK 配合使用并且已从 AD RMS 迁移,则已就地重定向,而使用的 AD RMS 群集必须具有不同的许可 URL,才能迁移到已迁移的群集中。
有关详细信息,请参阅 Azure 信息保护 文档中的“从 AD RMS 迁移”。
HYOK 支持的应用程序
使用 Azure 信息保护标签可对特定的文档和电子邮件应用 HYOK。 Office 2013 和更高版本支持 HYOK。
HYOK 是适用于标签的管理员配置选项,无论内容使用的是基于云的密钥还是 HYOK,工作流都保持不变。
下表列出了支持通过配置了 HYOK 的标签保护和使用内容的方案:
注意
Office Web 和通用应用程序不支持 HYOK。
Windows 应用程序对 HYOK 的支持
| 应用程序 | 保护 | 消耗 |
|---|---|---|
| 装有 Microsoft 365 应用、Office 2019、Office 2016 和 Office 2013: Word, Excel, PowerPoint, Outlook的 Azure 信息保护客户端 |
 |
|
| 具有文件资源管理器的 Azure 信息保护客户端 | |
|
| Azure 信息保护查看器 | 不适用 | |
| 带有 PowerShell 标签 cmdlet 的 Azure 信息保护客户端 | |
|
| Azure 信息保护扫描程序 | |
|
macOS 应用程序对 HYOK 的支持
| 应用程序 | 保护 | 消耗 |
|---|---|---|
| Office for Mac: Word、Excel、PowerPoint Outlook |
 |
|
iOS 应用程序对 HYOK 的支持
| 应用程序 | 保护 | 消耗 |
|---|---|---|
| Office 移动: Word、Excel、PowerPoint |
|
|
| Office 移动: 仅Outlook |
|
|
| Azure 信息保护查看器 | 不适用 | |
Android 应用程序对 HYOK 的支持
| 应用程序 | 保护 | 消耗 |
|---|---|---|
| Office 移动: Word、Excel、PowerPoint |
|
|
| Office 移动: 仅Outlook |
|
|
| Azure 信息保护查看器 | 不适用 | |
实现 HYOK
如果你已安装符合下列所有要求的 Active Directory Rights Management Services (AD RMS),则 Azure 信息保护支持 HYOK。
使用权策略以及用于保护这些策略的组织私钥将在本地进行管理和保留,而用于标记和分类的 Azure 信息保护策略仍在 Azure 中进行管理和存储。
若要实现 HYOK 保护:
准备就绪后,继续阅读如何为 Rights Management 保护配置标签。
AD RMS 支持 HYOK 的要求
AD RMS 部署必须满足以下要求才能为 Azure 信息保护标签提供 HYOK 保护:
| 要求 | 说明 |
|---|---|
| AD RMS 配置 | 必须以特定的方式配置 AD RMS 系统才能支持 HYOK。 有关详细信息,请参阅下文。 |
| 目录同步 | 必须在本地 Active Directory 与 Azure Active Directory 之间配置目录同步。 必须为使用 HYOK 保护标签的用户配置单一登录。 |
| 显式定义的信任的配置 | 如果要与组织外部的其他人共享 HYOK 保护的内容,必须在与其他组织建立的直接点对点关系中,为显式定义的信任配置 AD RMS。 为此,可以使用受信任的用户域 (TUD),或使用通过 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。 |
| 支持的 Microsoft Office 版本 | 保护或使用受 HYOK 保护的内容的用户必须拥有: - 支持信息权限管理 (IRM) 的 Office 版本 - 在 Windows 7 Service Pack 1 或更高版本上运行的带有 Service Pack 1 的 Microsoft Office Professional Plus 版本 2013 或更高版本。 - 对于基于 Office 2016 Microsoft Installer (.msi) 的版本,必须拥有 2018 年 3 月 6 日发布的 Microsoft Office 2016 更新 4018295。 注意:不支持 Office 2010 和 Office 2007。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本。 |
重要
为了实现 HYOK 保护所能提供的较高保障,我们建议:
将 AD RMS 服务器置于外围网络的外部,并确保这些服务器仅供托管设备使用。
使用硬件安全模块 (HSM) 配置 AD RMS 群集。 这有助于确保在 AD RMS 部署万一遭到入侵或泄密时,服务器许可方证书 (SLC) 私钥不会被透露或盗窃。
提示
有关 AD RMS 的部署信息和说明,请参阅 Windows Server 库中的 Active Directory Rights Management Services。
AD RMS 配置要求
若要支持 HYOK,请确保 AD RMS 系统采用以下配置:
| 要求 | 说明 |
|---|---|
| Windows 版本 | 至少以下版本的Windows: 生产环境:Windows Server 2012 R2 测试/评估环境:Windows Server 2008 R2(Service Pack 1) |
| 拓扑 | HYOK 需要以下拓扑之一: - 一个林,具有一个AD RMS群集 - 多个林,每一个里都有AD RMS群集。 多个林许可 如果你有多个林,则每个 AD RMS 群集将共享一个指向相同 AD RMS 群集的许可 URL 。 在此 AD RMS 群集上,从所有其他 AD RMS 群集导入所有受信任用户域 (TUD) 证书。 有关此拓扑的详细信息,请参阅 。 多个林全局策略标签 如果单独林AD RMS多个群集,请删除全局策略中应用 HYOK (AD RMS) 保护的任何标签,并为每个群集配置 。 将每个群集的用户分配到其作用域内策略,确保不会使用将导致用户分配到多个作用域内策略的组。 结果应为每个用户仅有一个 AD RMS 群集的标签。 |
| 加密模式 | 必须为 AD RMS 配置加密模式 2。 可以通过检查 AD RMS群集熟悉、常规选项卡来 确认此模式。 |
| 认证 URL 配置 | 必须配置每个 AD RMS 服务器的认证 URL。 有关详细信息,请参阅 。 |
| 服务连接点 | 将 AD RMS 保护与 Azure 信息保护配合使用时,不会使用服务连接点 (SCP)。 如果为 AD RMS 部署注册了 SCP,必须删除该 SCP,以确保 Azure Rights Management 保护能够成功 。 如果要为 HYOK 安装新的 AD RMS 群集 ,请不要在配置第一个节点时注册 SCP 。 对于每个其他节点,请确保在添加 AD RMS 角色并加入现有群集前,服务器已针对证书 URL 进行了配置。 |
| SSL/TLS | 在生产环境中,必须将 AD RMS 服务器配置为结合连接方客户端所信任的有效 x.509 证书使用 SSL/TLS。 如果是要进行测试或评估,则不需要这样做。 |
| 权限模板 | 必须为 AD RMS 配置权限模板。 |
| Exchange IRM | 不能为 Exchange IRM 配置 AD RMS。 |
| 移动设备/Mac 计算机 | 必须安装和配置 Active Directory Rights Management Services 移动设备扩展。 |
配置 AD RMS 服务器以找到证书 URL
在群集中的每个 AD RMS 服务器上,创建以下注册表项:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`对于 <字符串值>,请指定以下字符串之一:
环境 字符串值 生产(使用 SSL/TLS 的 AD RMS 群集) https://<cluster_name>/_wmcs/certification/certification.asmx测试/评估 (无 SSL/TLS) http://<cluster_name>/_wmcs/certification/certification.asmx重启 IIS。
查找相关信息以使用 Azure 信息保护标签指定 AD RMS 保护
配置 HYOK 保护标签需要指定 AD RMS 群集的许可 URL。
此外,必须指定一个已配置了要授予用户的权限的模板,或者允许用户定义权限和用户。
执行以下操作可从 Active Directory Rights Management Services 控制台中找到模板 GUID 和许可 URL 值:
查找模板 GUID
展开群集,并单击“权限策略模板”。
在“分布式权限策略模板”信息中,复制要使用的模板中的 GUID。
例如:82bf3474-6efe-4fa1-8827-d1bd93339119
查找许可 URL
单击群集名称。
从“群集详细信息”信息中,复制除 /_wmcs/licensing 字符串以外的“授权”值。
例如:https://rmscluster.contoso.com
注意
如果你的 Extranet 和 Intranet 许可值不同,请仅当你要与合作伙伴共享受保护的内容时,才指定 Extranet 值。 必须使用显式的点对点信任来定义要共享受保护内容的合作伙伴。
如果你不共享受保护的内容,请使用 Intranet 值,并确保将 AD RMS 保护与 Azure 信息保护配合使用的所有客户端计算机都通过 Intranet 进行连接。 例如,远程计算机必须使用 VPN 连接。
后续步骤
完成将系统配置为支持 HYOK 后,请继续为 HYOK 保护配置标签。 有关详细信息,请参阅如何配置标签以进行 Rights Management 保护。