Mantenga los detalles de su propia clave (HYOK) para Azure Information Protection
Las configuraciones de Hold Your Own Key (HYOK) permiten a los clientes de AIP con el cliente clásico proteger el contenido altamente confidencial y mantener el control total de su clave. HYOK usa una clave adicional mantenida por el cliente que se almacena en el entorno local para contenido altamente confidencial, junto con la protección predeterminada basada en la nube que se usa para otro contenido.
Dado que la protección HYOK solo permite el acceso a los datos para aplicaciones y servicios locales, los clientes que usan HYOK también tienen una clave basada en la nube para los documentos en la nube.
Use HYOK para documentos que son:
- Restringido a solo unas pocas personas
- No compartido fuera de la organización
- Solo se consumen en la red interna.
Estos documentos suelen tener la clasificación más alta en su organización, como "Top Secret".
El contenido se puede cifrar mediante la protección HYOK solo si tiene el cliente clásico. Sin embargo, si tiene contenido protegido por HYOK, se puede ver en el cliente de etiquetado clásico y unificado.
Para más información sobre las claves raíz de inquilino basadas en la nube predeterminadas, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.
Protección basada en la nube frente a HYOK
Normalmente, la protección de documentos confidenciales y correos electrónicos mediante Azure Information Protection usa una clave basada en la nube generada por Microsoft o por el cliente mediante una configuración BYOK.
Las claves basadas en la nube se administran en Azure Key Vault, lo que proporciona a los clientes las siguientes ventajas:
No hay requisitos de infraestructura de servidor. Las soluciones en la nube son más rápidas y rentables para implementar y mantener que las soluciones locales.
La autenticación basada en la nube permite compartir fácilmente con asociados y usuarios de otras organizaciones.
Estrecha integración con otros servicios de Azure y Microsoft 365, como búsqueda, visores web, vistas dinamizadas, antimalware, eDiscovery y Delve.
Seguimiento de documentos, revocación y notificaciones por correo electrónico para documentos confidenciales que ha compartido.
Sin embargo, algunas organizaciones pueden tener requisitos normativos que requieren cifrado de contenido específico mediante una clave aislada de la nube. Este aislamiento significa que las aplicaciones locales y los servicios locales solo pueden leer el contenido cifrado.
Con las configuraciones de HYOK, los inquilinos del cliente tienen una clave basada en la nube que se puede usar con contenido que se puede almacenar en la nube y una clave local para el contenido que solo se debe proteger en el entorno local.
Instrucciones y procedimientos recomendados de HYOK
Al configurar HYOK, tenga en cuenta las siguientes recomendaciones:
- Contenido adecuado para HYOK
- Definir los usuarios que pueden ver las etiquetas configuradas por HYOK
- Soporte técnico de HYOK y correo electrónico
Importante
Una configuración de HYOK para Azure Information Protection no es un reemplazo de una implementación completa de AD RMS y Azure Information Protection, o una alternativa a migrar AD RMS a Azure Information Protection.
HYOK solo se admite mediante la aplicación de etiquetas, no ofrece paridad de características con AD RMS y no admite todas las configuraciones de implementación de AD RMS.
Contenido adecuado para HYOK
La protección HYOK no proporciona las ventajas de la protección basada en la nube y, a menudo, supone el costo de "opacidad de datos", ya que solo las aplicaciones y los servicios locales pueden acceder al contenido. Incluso para las organizaciones que usan la protección HYOK, normalmente es adecuado solo para un pequeño número de documentos.
Se recomienda usar HYOK solo para el contenido que coincida con los criterios siguientes:
- Contenido con la clasificación más alta de su organización ("Top Secret"), donde el acceso está restringido a solo unas pocas personas
- Contenido que no se comparte fuera de la organización
- Contenido que solo se consume en la red interna.
Definir los usuarios que pueden ver las etiquetas configuradas por HYOK
Para asegurarse de que solo los usuarios que necesiten aplicar la protección HYOK vean las etiquetas configuradas por HYOK, configure la directiva para esos usuarios con directivas con ámbito.
Soporte técnico de HYOK y correo electrónico
Microsoft 365 servicios y otros servicios en línea no pueden descifrar el contenido protegido por HYOK.
En el caso de los correos electrónicos, esta pérdida de funcionalidad incluye escáneres de malware, protección de solo cifrado, soluciones de prevención de pérdida de datos (DLP), reglas de enrutamiento de correo, registro en diario, eDiscovery, soluciones de archivado y Exchange ActiveSync.
Es posible que los usuarios no entiendan por qué algunos dispositivos no pueden abrir correos electrónicos protegidos por HYOK, lo que conduce a llamadas adicionales al departamento de soporte técnico. Tenga en cuenta estas limitaciones graves al configurar la protección HYOK con correos electrónicos.
Migración desde ADRMS
Si usa el cliente clásico con HYOK y ha migrado desde AD RMS, tiene redireccionamientos y el clúster de AD RMS que usa debe tener direcciones URL de licencia diferentes a las de los clústeres que ha migrado.
Para más información, consulte Migración desde AD RMS en la documentación de Azure Information Protection.
Aplicaciones admitidas para HYOK
Use etiquetas de Azure Information Protection para aplicar HYOK a documentos y correos electrónicos específicos. HYOK es compatible con Office versiones 2013 y posteriores.
HYOK es una opción de configuración de administrador para etiquetas y los flujos de trabajo siguen siendo los mismos, independientemente de si el contenido usa como clave basada en la nube o HYOK.
En las tablas siguientes se enumeran los escenarios admitidos para proteger y consumir contenido mediante etiquetas configuradas por HYOK:
- compatibilidad de aplicaciones de Windows con HYOK
- compatibilidad con aplicaciones macOS para HYOK
- compatibilidad de aplicaciones iOS con HYOK
- compatibilidad con aplicaciones de Android para HYOK
Nota:
Office aplicaciones web y universales no se admiten para HYOK.
compatibilidad de aplicaciones de Windows con HYOK
| Application | Protección | Consumo |
|---|---|---|
| Cliente de Azure Information Protection con aplicaciones de Microsoft 365, Office 2019, Office 2016 y Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Cliente de Azure Information Protection con el Explorador de archivos | |
|
| Visor de Azure Information Protection | No aplicable | |
| Cliente de Azure Information Protection con cmdlets de etiquetado de PowerShell | |
|
| Analizador de Azure Information Protection | |
|
compatibilidad con aplicaciones macOS para HYOK
| Application | Protección | Consumo |
|---|---|---|
| Office para Mac: Word, Excel, PowerPoint, Outlook |
 |
|
compatibilidad de aplicaciones iOS con HYOK
| Application | Protección | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: solo Outlook |
|
|
| Visor de Azure Information Protection | No aplicable | |
compatibilidad con aplicaciones de Android para HYOK
| Application | Protección | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: solo Outlook |
|
|
| Visor de Azure Information Protection | No aplicable | |
Implementación de HYOK
Azure Information Protection admite HYOK cuando tiene un Active Directory Rights Management Services (AD RMS) que cumple todos los requisitos que se enumeran a continuación.
Las directivas de derechos de uso y la clave privada de la organización que protegen estas directivas se administran y mantienen en el entorno local, mientras que la directiva de Azure Information Protection para etiquetar y clasificar permanece administrada y almacenada en Azure.
Para implementar la protección HYOK:
- Asegúrese de que el sistema cumple los requisitos de AD RMS.
- Busque la información que desea proteger
Cuando esté listo, continúe con Configuración de una etiqueta para Rights Management protección.
Requisitos de AD RMS para admitir HYOK
Una implementación de AD RMS debe cumplir los siguientes requisitos para proporcionar protección HYOK para las etiquetas de Azure Information Protection:
| Requisito | Descripción |
|---|---|
| Configuración de AD RMS | El sistema de AD RMS debe configurarse de maneras específicas para admitir HYOK. Para más información, consulte más adelante. |
| Sincronización de directorios | La sincronización de directorios debe configurarse entre el Active Directory local y el Azure Active Directory. Los usuarios que usarán etiquetas de protección HYOK deben configurarse para el inicio de sesión único. |
| Configuración de confianzas definidas explícitamente | Si comparte contenido protegido con HYOK con otras personas ajenas a su organización, AD RMS debe configurarse para las confianzas definidas explícitamente en una relación directa de punto a punto con las demás organizaciones. Para ello, use dominios de usuario de confianza (TUD) o confianzas federadas que se creen mediante Servicios de federación de Active Directory (AD FS) (AD FS). |
| Microsoft Office versión admitida | Los usuarios que protegen o consumen contenido protegido por HYOK deben tener: - Una versión de Office que admita Information Rights Management (IRM): Microsoft Office Professional Plus versión 2013 o posterior con Service Pack 1, que se ejecuta en Windows 7 Service Pack 1 o posterior. - Para la edición basada en Microsoft Installer (.msi) de Office 2016, debe tener la actualización 4018295 para Microsoft Office 2016 que se publicó el 6 de marzo de 2018. Nota: no se admiten Office 2010 ni Office 2007. Para más información, consulte AIP y versiones heredadas de Windows y Office. |
Importante
Para cumplir con la alta garantía de que la protección HYOK ofrece, se recomienda:
Busque los servidores de AD RMS fuera de la red perimetral y asegúrese de que solo los usan los dispositivos administrados.
Configure el clúster de AD RMS con un módulo de seguridad de hardware (HSM). Esto ayuda a garantizar que la clave privada del certificado de licencia de servidor (SLC) no se pueda exponer o robar si la implementación de AD RMS se debe infringir o poner en peligro.
Sugerencia
Para obtener información e instrucciones sobre la implementación de AD RMS, consulte Active Directory Rights Management Services en la biblioteca de Windows Server.
Requisitos de configuración de AD RMS
Para admitir HYOK, asegúrese de que el sistema de AD RMS tenga las siguientes configuraciones:
| Requisito | Descripción |
|---|---|
| Versión de Windows | Como mínimo, una de las siguientes versiones de Windows: entornos de producción: entornos de Windows Server 2012 R2 Testing/evaluation: Windows Server 2008 R2 con Service Pack 1 |
| Topología | HYOK requiere una de las topologías siguientes: - Un único bosque, con un único clúster de AD RMS: varios bosques, con clústeres de AD RMS en cada uno de ellos. Licencias para varios bosques Si tiene varios bosques, cada clúster de AD RMS comparte una dirección URL de licencia que apunta al mismo clúster de AD RMS. En este clúster de AD RMS, importe todos los certificados de dominio de usuario de confianza (TUD) de todos los demás clústeres de AD RMS. Para obtener más información sobre esta topología, vea Dominio de usuario de confianza. Etiquetas de directivas globales para varios bosques Cuando tenga varios clústeres de AD RMS en bosques independientes, elimine las etiquetas de la directiva global que apliquen la protección HYOK (AD RMS) y configure una directiva con ámbito para cada clúster. Asigne usuarios para cada clúster a su directiva con ámbito, asegurándose de no usar grupos que darían lugar a que un usuario se asigne a más de una directiva con ámbito. El resultado debe ser que cada usuario solo tenga etiquetas para un clúster de AD RMS. |
| Modo criptográfico | El AD RMS debe configurarse con el modo criptográfico 2. Para confirmar el modo, compruebe las propiedades del clúster de AD RMS, pestaña General . |
| Configuración de la dirección URL de certificación | Cada servidor de AD RMS debe configurarse para la dirección URL de certificación. Para obtener más información, consulte a continuación. |
| Puntos de conexión de servicio | No se usa un punto de conexión de servicio (SCP) cuando se usa la protección de AD RMS con Azure Information Protection. Si tiene un SCP registrado para la implementación de AD RMS, quítelo para asegurarse de que la detección de servicios sea correcta para Azure Rights Management protección. Si va a instalar un nuevo clúster de AD RMS para HYOK, no registre el SCP al configurar el primer nodo. Para cada nodo adicional, asegúrese de que el servidor está configurado para la dirección URL de certificación antes de agregar el rol de AD RMS y unirse al clúster existente. |
| SSL/TLS | En entornos de producción, los servidores de AD RMS deben configurarse para usar SSL/TLS con un certificado x.509 válido de confianza para los clientes que se conectan. Esto no es necesario para fines de prueba o evaluación. |
| Plantillas de derechos | Debe tener plantillas de derechos configuradas para AD RMS. |
| IRM de Exchange | No se puede configurar AD RMS para Exchange IRM. |
| Dispositivos móviles o equipos Mac | Debe tener instalada y configurada la extensión de dispositivo móvil Active Directory Rights Management Services. |
Configuración de servidores de AD RMS para buscar la dirección URL de certificación
En cada servidor de AD RMS del clúster, cree la entrada del Registro siguiente:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Para el <valor> de cadena, especifique una de las siguientes cadenas:
Entorno Valor de cadena Producción
(Clústeres de AD RMS mediante SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxPruebas y evaluación
(sin SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxReinicie IIS.
Buscar la información para especificar la protección de AD RMS con una etiqueta de Azure Information Protection
La configuración de etiquetas de protección HYOK requiere que especifique la dirección URL de licencia del clúster de AD RMS.
Además, debe especificar una plantilla que haya configurado con los permisos que desea conceder a los usuarios o permitir que los usuarios definan permisos y usuarios.
Haga lo siguiente para buscar el GUID de plantilla y los valores de dirección URL de licencia de la consola de Active Directory Rights Management Services:
Búsqueda de un GUID de plantilla
expanda el clúster y haga clic en Plantillas de directiva de derechos.
En la información plantillas de directiva de derechos distribuidos , copie el GUID de la plantilla que desea usar.
Por ejemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119
Busque la dirección URL de licencia.
Haga clic en el nombre del clúster.
En la información Detalles del clúster, copie el valor Licencias menos la cadena /_wmcs/licensing.
Por ejemplo: https://rmscluster.contoso.com
Nota:
Si tiene valores de licencia de extranet e intranet diferentes, especifique el valor de extranet solo si va a compartir contenido protegido con asociados. Los partners que comparten contenido protegido deben definirse con confianzas explícitas de punto a punto.
Si no comparte contenido protegido, use el valor de intranet y asegúrese de que todos los equipos cliente que usan la protección de AD RMS con Azure Information Protection conectarse a través de una conexión de intranet. Por ejemplo, los equipos remotos deben usar una conexión VPN.
Pasos siguientes
Cuando haya terminado de configurar el sistema para admitir HYOK, continúe con la configuración de etiquetas para la protección HYOK. Para obtener más información, consulte Configuración de una etiqueta para aplicar protección de Rights Management.