保留您自己的金鑰 (HYOK) Azure 資訊保護的詳細資料
保留您自己的金鑰 (HYOK) 設定可讓具有傳統用戶端的 AIP 客戶保護高度敏感性的內容,同時維持金鑰的完整控制權。 HYOK 會使用儲存在內部部署的其他客戶保存金鑰,以進行高度敏感性內容,以及用於其他內容的預設雲端式保護。
由於 HYOK 保護只允許存取內部部署應用程式和服務的資料,因此使用 HYOK 的客戶對於雲端檔也有雲端式金鑰。
針對下列檔使用 HYOK:
- 僅限少數人
- 未在組織外部共用
- 只會在內部網路上取用。
這些檔通常具有您組織中的最高分類,例如「最高秘密」。
只有在您擁有傳統用戶端時,才能使用 HYOK 保護來加密內容。 不過,如果您有 HYOK 保護的內容,則可以在傳統和統一標籤用戶端中檢視。
如需預設雲端式租使用者根金鑰的詳細資訊,請參閱規劃和實作 Azure 資訊保護租使用者金鑰。
雲端式保護與 HYOK
一般而言,使用 Azure 資訊保護保護機密檔和電子郵件,會使用由 Microsoft 或客戶產生的雲端式金鑰,並使用 BYOK設定。
雲端式金鑰是在 Azure 金鑰保存庫中管理,可提供下列優點:
沒有伺服器基礎結構需求。 雲端解決方案比內部部署解決方案更快速且更符合成本效益。
雲端式驗證 可讓您更輕鬆地與其他組織的合作夥伴和使用者共用。
與其他 Azure 和Microsoft 365服務的緊密整合,例如搜尋、Web 檢視器、樞紐檢視、反惡意程式碼、電子檔探索和Delve。
您已共用敏感性檔的檔追蹤、撤銷和電子郵件通知。
不過,某些組織可能會有法規需求,要求使用與雲端隔離的金鑰來加密特定內容。 此隔離表示加密的內容只能由內部部署應用程式和內部部署服務讀取。
使用 HYOK 設定時,客戶租使用者具有雲端 式金鑰 ,可與可儲存在雲端上的內容搭配使用,而內部部署金鑰則適用于僅限內部部署保護的內容。
HYOK 指導與最佳做法
設定 HYOK 時,請考慮下列建議:
重要
Azure 資訊保護的 HYOK 設定不是完全取代 AD RMS 和 Azure 資訊保護部署,或是將 AD RMS 移轉至 Azure 資訊保護的替代方案。
HYOK 僅支援套用標籤、不提供與 AD RMS 的功能同位,也不支援所有 AD RMS 部署設定。
適用于 HYOK 的內容
HYOK 保護不提供雲端式保護的優點,而且通常代價是「資料不透明度」,因為內容只能由內部部署應用程式和服務存取。 即使是使用 HYOK 保護的組織,它通常只適用于少數檔。
我們建議您只針對符合下列準則的內容使用 HYOK:
- 組織中具有最高分類的內容 (「最高密碼」) ,其中存取權僅限於少數人
- 未在組織外部共用的內容
- 僅在內部網路上取用的內容。
定義可以看到 HYOK 設定標籤的使用者
若要確保只有需要套用 HYOK 保護的使用者會看到 HYOK 設定的標籤,請為具有 範圍原則的使用者設定您的原則。
HYOK 和電子郵件支援
Microsoft 365服務和其他線上服務無法解密 HYOK 保護的內容。
對於電子郵件,這項功能遺失包括惡意程式碼掃描器、僅限加密保護、資料外泄防護 (DLP) 解決方案、郵件路由規則、日誌、電子檔探索、封存解決方案,以及Exchange ActiveSync。
使用者可能不知道為何某些裝置無法開啟 HYOK 保護的電子郵件,導致對技術支援中心進行其他通話。 使用電子郵件設定 HYOK 保護時,請注意這些嚴重限制。
從 ADRMS 移轉
如果您使用傳統用戶端搭配 HYOK,且已從 AD RMS 移轉,則您已就地重新導向,而您使用的 AD RMS 叢集必須具有與您移轉叢集中不同的授權 URL。
如需詳細資訊,請參閱 Azure 資訊保護檔中的從 AD RMS 移轉。
HYOK 支援的應用程式
使用 Azure 資訊保護標籤將 HYOK 套用至特定檔和電子郵件。 OFFICE 2013 版和更新版本都支援 HYOK。
HYOK 是標籤的系統管理員設定選項,無論內容是做為雲端式金鑰還是 HYOK,工作流程都會維持不變。
下表列出使用 HYOK 設定標籤保護及取用內容的支援案例:
注意
HYOK 不支援Office Web 和通用應用程式。
HYOK Windows應用程式支援
| Application | 保護 | 取用量 |
|---|---|---|
| 具有 Microsoft 365 應用程式、Office 2019、Office 2016 和 Office 2013: Word、Excel、PowerPoint、Outlook 的 Azure 資訊保護 用戶端 |
 |
|
| Azure 資訊保護用戶端與檔案總管 | |
|
| Azure 資訊保護檢視器 | 不適用 | |
| Azure 資訊保護用戶端與 PowerShell 標記 cmdlet | |
|
| Azure 資訊保護掃描器 | |
|
HYOK macOS應用程式支援
| Application | 保護 | 取用量 |
|---|---|---|
| Mac 版 Office: Word、Excel、PowerPoint、Outlook |
 |
|
HYOK iOS應用程式支援
| Application | 保護 | 取用量 |
|---|---|---|
| Office行動裝置版: Word、Excel、PowerPoint |
|
|
| Office Mobile: 僅限Outlook |
|
|
| Azure 資訊保護檢視器 | 不適用 | |
HYOK Android應用程式支援
| Application | 保護 | 取用量 |
|---|---|---|
| Office行動裝置版: Word、Excel、PowerPoint |
|
|
| Office Mobile: 僅限Outlook |
|
|
| Azure 資訊保護檢視器 | 不適用 | |
實作 HYOK
當您有符合下列所有需求的Active Directory Rights Management Services (AD RMS) 時,Azure 資訊保護支援 HYOK。
許可權原則和組織用來保護這些原則的私密金鑰會管理並保留在內部部署,而 Azure 資訊保護標籤和分類的原則仍會保留在 Azure 中管理和儲存。
若要實作 HYOK 保護:
當您準備好時,請繼續進行如何設定標籤以進行Rights Management保護。
AD RMS 支援 HYOK 的需求
AD RMS 部署必須符合下列需求,才能為 Azure 資訊保護標籤提供 HYOK 保護:
| 需求 | 描述 |
|---|---|
| AD RMS 設定 | 您的 AD RMS 系統必須以特定方式設定,才能支援 HYOK。 如需詳細資訊,請參閱下列內容。 |
| 目錄同步作業 | 您必須在內部部署的 Active Directory與Azure Active Directory之間設定目錄同步處理。 將使用 HYOK 保護標籤的使用者必須設定為單一登入。 |
| 明確定義信任的組態 | 如果您與組織外部其他人共用 HYOK 保護的內容,AD RMS 必須設定為與其他組織在直接點對點關係中明確定義信任。 請使用使用ACTIVE DIRECTORY 同盟服務 (AD FS) 建立的受信任使用者網域 (TUD) 或同盟信任來執行此動作。 |
| Microsoft Office支援的版本 | 保護或取用 HYOK 保護內容的使用者必須具有: - 支援資訊Rights Management (IRM) - Microsoft Office Professional Plus 2013 版或更新 Office版本 Service Pack 1,在 Windows 7 Service Pack 1 或更新版本上執行。 - 針對以 Office 2016 Microsoft Installer (.msi) 為基礎的版本,您必須擁有2018 年 3 月 6 日發行之 Microsoft Office 2016 的更新4018295。 注意:不支援 Office 2010 和 Office 2007。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本。 |
重要
若要滿足 HYOK 保護所提供的高保證,我們建議您:
找出 DMZ 外部的 AD RMS 伺服器,並確保它們只能由受管理的裝置使用。
使用硬體安全性模組設定 AD RMS 叢集, (HSM) 。 這有助於確保您的伺服器授權者憑證 (SLC) 私密金鑰無法公開或遭竊,如果您的 AD RMS 部署應該遭到入侵或遭入侵。
提示
如需 AD RMS 的部署資訊及指示,請參閱 Windows Server 文件庫中的 Active Directory Rights Management Services (Active Directory Rights Management 服務)。
AD RMS 設定需求
若要支援 HYOK,請確定您的 AD RMS 系統具有下列設定:
| 需求 | 描述 |
|---|---|
| Windows 版本 | 至少下列其中一個Windows版本: 生產環境:Windows Server 2012 R2 測試/評估環境:Windows Server 2008 R2 Service Pack 1 |
| 拓撲 | HYOK 需要下列其中一個拓撲: - 單一樹系,具有單一 AD RMS 叢集 - 多個樹系,其中每一個都有 AD RMS 叢集。 多個樹系的 授權如果您有多個樹系,每個 AD RMS 叢集都會共用指向相同 AD RMS 叢集的授權 URL。 在此 AD RMS 叢集上,從所有其他 AD RMS 叢集匯入所有受信任的使用者網域 (TUD) 憑證。 如需此拓撲的詳細資訊,請參閱 受信任的使用者網域。 多個樹系的全域原則卷 標當您在個別樹系中有多個 AD RMS 叢集時,請刪除套用 HYOK (AD RMS) 保護的全域原則中的任何標籤,並為每個叢集設定範圍原則。 將每個叢集的使用者指派給其範圍原則,確定您不使用會導致使用者指派給多個範圍原則的群組。 結果應該是每個使用者只有一個 AD RMS 叢集的標籤。 |
| 密碼編譯模式 | AD RMS 必須使用 密碼編譯模式 2進行設定。 藉由檢查 AD RMS 叢集屬性[ 一般 ] 索引標籤來確認模式。 |
| 認證 URL 設定 | 每個 AD RMS 伺服器都必須針對認證 URL 進行設定。 如需詳細資訊,請參閱 下方。 |
| 服務連接點 | 當您搭配 Azure 資訊保護 使用 AD RMS 保護時,不會使用 SCP) 的服務連接 (點。 如果您已註冊 AD RMS 部署的 SCP,請將其移除,以確保 Azure Rights Management保護的服務探索成功。 如果您要為 HYOK 安裝新的 AD RMS 叢集,請勿在設定第一個節點時註冊 SCP。 對於每個額外的節點,在您新增 AD RMS 角色並加入現有的叢集之前,請務必針對憑證 URL 來設定伺服器。 |
| SSL/TLS | 在生產環境中,AD RMS 伺服器必須設定為使用 SSL/TLS 搭配連線用戶端信任的有效 x.509 憑證。 這不需要用於測試或評估用途。 |
| 權限範本 | 您必須為 AD RMS 設定權限範本。 |
| Exchange IRM | 您的 AD RMS 無法針對 Exchange IRM 進行設定。 |
| 行動裝置/Mac 電腦 | 您必須安裝並設定行動裝置擴充功能Active Directory Rights Management Services。 |
設定 AD RMS 伺服器以找出憑證 URL
在叢集中每個 AD RMS 伺服器上,建立下列登錄項目:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`<針對字串值 > ,指定下列其中一個字串:
環境 字串值 生產
使用 SSL/TLS) (AD RMS 叢集https://<cluster_name>/_wmcs/certification/certification.asmx測試/評估
(無 SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmx重新啟動 IIS。
尋找以 Azure 資訊保護標籤指定 AD RMS 保護的詳細資訊
設定 HYOK 保護標籤需要您指定 AD RMS 叢集的授權 URL。
此外,您必須指定您已使用您想要授與使用者的許可權來設定的範本,或讓使用者定義許可權和使用者。
請執行下列動作,從 Active Directory Rights Management Services 主控台找出範本 GUID 和授權 URL 值:
找出範本 GUID
請展開叢集,然後按一下 [權限原則範本]。
從 分散式許可權原則範本 資訊中,從您想要使用的範本複製 GUID。
例如: 82bf3474-6efe-4fa1-8827-d1bd93339119
找出授權 URL
按一下叢集名稱。
從 [叢集詳細資料] 資訊中,複製 [授權] 值,並減去 /_wmcs/licensing 字串。
例如:https://rmscluster.contoso.com
注意
如果您有不同的外部網路和內部網路授權值,只有在您將與合作夥伴共用受保護的內容時,才指定外部網路值。 共用受保護內容的合作夥伴必須使用明確的點對點信任來定義。
如果您未共用受保護的內容,請使用內部網路值,並確定所有使用 AD RMS 保護搭配 Azure 的用戶端電腦,資訊保護透過內部網路連線進行連線。 例如,遠端電腦必須使用 VPN 連線。
後續步驟
當您完成設定系統以支援 HYOK 時,請繼續設定 HYOK 保護的標籤。 如需詳細資訊,請參閱如何針對 Rights Management 保護設定標籤。