Conserver les détails de votre propre clé (HYOK) pour Azure Information Protection

  • Article

Les configurations HYOK (Hold Your Own Key) permettent aux clients AIP avec le client classique de protéger le contenu hautement sensible tout en conservant le contrôle total de leur clé. HYOK utilise une clé basée sur le client supplémentaire stockée localement pour du contenu hautement sensible, ainsi que la protection basée sur le cloud par défaut utilisée pour d’autres contenus.

Étant donné que la protection HYOK autorise uniquement l’accès aux données pour les applications et services locaux, les clients qui utilisent HYOK disposent également d’une clé cloud pour les documents cloud.

Utilisez HYOK pour les documents suivants :

  • Limité à seulement quelques personnes
  • Non partagé en dehors de l’organisation
  • Sont consommés uniquement sur le réseau interne.

Ces documents ont généralement la classification la plus élevée dans votre organisation, comme « Top Secret ».

Le contenu peut être chiffré à l’aide de la protection HYOK uniquement si vous disposez du client classique. Toutefois, si vous avez du contenu protégé par HYOK, il peut être consulté dans le client d’étiquetage classique et unifié.

Pour plus d’informations sur les clés racine de locataire basées sur le cloud par défaut, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Protection basée sur le cloud et HYOK

En règle générale, la protection des documents et e-mails sensibles à l’aide d’Azure Information Protection utilise une clé basée sur le cloud générée par Microsoft ou par le client, à l’aide d’une configuration BYOK.

Les clés cloud sont gérées dans Azure Key Vault, ce qui offre aux clients les avantages suivants :

  • Aucune configuration requise pour l’infrastructure serveur. Les solutions cloud sont plus rapides et plus rentables pour déployer et gérer que les solutions locales.

  • L’authentification basée sur le cloud facilite le partage avec les partenaires et les utilisateurs d’autres organisations.

  • Intégration étroite avec d’autres services Azure et Microsoft 365, tels que la recherche, les visionneuses web, les vues croisés dynamiques, les logiciels anti-programme malveillant, eDiscovery et Delve.

  • Suivi des documents, révocation et notifications par e-mail pour les documents sensibles que vous avez partagés.

Toutefois, certaines organisations peuvent avoir des exigences réglementaires qui nécessitent un contenu spécifique à chiffrer à l’aide d’une clé isolée du cloud. Cette isolation signifie que le contenu chiffré peut être lu uniquement par les applications locales et les services locaux.

Avec les configurations HYOK, les locataires clients ont à la fois une clé basée sur le cloud à utiliser avec du contenu qui peut être stocké sur le cloud et une clé locale pour le contenu qui doit être protégé localement uniquement.

Conseils et bonnes pratiques pour la protection HYOK

Lors de la configuration de HYOK, tenez compte des recommandations suivantes :

Important

Une configuration HYOK pour Azure Information Protection n’est pas un remplacement pour un déploiement entièrement AD RMS et Azure Information Protection, ou une alternative à la migration d’AD RMS vers Azure Information Protection.

HYOK est pris en charge uniquement en appliquant des étiquettes, n’offre pas de parité des fonctionnalités avec AD RMS et ne prend pas en charge toutes les configurations de déploiement AD RMS.

Contenu adapté à HYOK

La protection HYOK ne fournit pas les avantages de la protection basée sur le cloud, et se produit souvent au coût de l'« opacité des données », car le contenu est accessible uniquement par les applications et services locaux. Même pour les organisations qui utilisent la protection HYOK, elle convient généralement uniquement à un petit nombre de documents.

Nous vous recommandons d’utiliser HYOK uniquement pour le contenu qui correspond aux critères suivants :

  • Contenu avec la classification la plus élevée dans votre organisation (« Top Secret »), où l’accès est limité à quelques personnes seulement
  • Contenu qui n’est pas partagé en dehors de l’organisation
  • Contenu consommé uniquement sur le réseau interne.

Définir les utilisateurs qui peuvent voir les étiquettes configurées par HYOK

Pour vous assurer que seuls les utilisateurs qui doivent appliquer la protection HYOK, consultez les étiquettes configurées par HYOK, configurez votre stratégie pour ces utilisateurs avec des stratégies délimitées.

HYOK et support par e-mail

Microsoft 365 services et autres services en ligne ne peuvent pas déchiffrer le contenu protégé par HYOK.

Pour les e-mails, cette perte de fonctionnalités inclut les scanneurs de programmes malveillants, la protection de chiffrement uniquement, les solutions de protection contre la perte de données (DLP), les règles de routage des messages, la journalisation, eDiscovery, les solutions d’archivage et les Exchange ActiveSync.

Les utilisateurs peuvent ne pas comprendre pourquoi certains appareils ne sont pas en mesure d’ouvrir des e-mails protégés par HYOK, ce qui entraîne des appels supplémentaires à votre support technique. Tenez compte de ces limitations graves lors de la configuration de la protection HYOK avec des e-mails.

Migration à partir d’ADRMS

Si vous utilisez le client classique avec HYOK et que vous avez migré à partir d’AD RMS, vous avez des redirections en place et le cluster AD RMS que vous utilisez doit avoir des URL de licence différentes vers celles des clusters que vous avez migrés.

Pour plus d’informations, consultez Migrer à partir d’AD RMS dans la documentation Azure Information Protection.

Applications prises en charge pour HYOK

Utilisez des étiquettes Azure Information Protection pour appliquer HYOK à des documents et e-mails spécifiques. HYOK est pris en charge pour Office versions 2013 et ultérieures.

HYOK est une option de configuration d’administrateur pour les étiquettes, et les flux de travail restent les mêmes, que le contenu utilise comme clé cloud ou HYOK.

Les tableaux suivants répertorient les scénarios pris en charge pour la protection et la consommation de contenu à l’aide d’étiquettes configurées par HYOK :

Notes

Office applications web et universelles ne sont pas prises en charge pour HYOK.

prise en charge des applications Windows pour HYOK

Application Protection Consommation
Client Azure Information Protection avec des applications Microsoft 365, Office 2019, Office 2016 et Office 2013:
Word, Excel, PowerPoint, Outlook		 yes yes
Client Azure Information Protection avec l’Explorateur de fichiers yes yes
Visionneuse Azure Information Protection Non applicable yes
Client Azure Information Protection avec les applets de commande d’étiquetage PowerShell yes yes
Scanneur Azure Information Protection yes yes

prise en charge des applications macOS pour HYOK

Application Protection Consommation
Office pour Mac :
Word, Excel, PowerPoint, Outlook		 no yes

prise en charge des applications iOS pour HYOK

Application Protection Consommation
Office Mobile :
Word, Excel, PowerPoint		 no yes
Office Mobile :
Outlook uniquement		 no no
Visionneuse Azure Information Protection Non applicable yes

prise en charge des applications Android pour HYOK

Application Protection Consommation
Office Mobile :
Word, Excel, PowerPoint		 no yes
Office Mobile :
Outlook uniquement		 no no
Visionneuse Azure Information Protection Non applicable yes

Implémentation de la protection HYOK

Azure Information Protection prend en charge HYOK lorsque vous disposez d’un active Directory Rights Management Services (AD RMS) conforme à toutes les exigences répertoriées ci-dessous.

Les stratégies de droits d’utilisation et la clé privée de l’organisation qui protègent ces stratégies sont gérées et conservées localement, tandis que la stratégie d’Information Protection Azure pour l’étiquetage et la classification reste gérée et stockée dans Azure.

Pour implémenter la protection HYOK :

  1. Assurez-vous que votre système est conforme aux exigences AD RMS
  2. Recherchez les informations que vous souhaitez protéger

Lorsque vous êtes prêt, passez à la configuration d’une étiquette pour la protection Rights Management.

Prérequis d’un déploiement AD RMS pour prendre en charge HYOK

Un déploiement AD RMS doit répondre aux exigences suivantes pour fournir une protection HYOK pour les étiquettes Azure Information Protection :

Condition requise Description
Configuration AD RMS Votre système AD RMS doit être configuré de manière spécifique pour prendre en charge HYOK. Pour plus d’informations, voir ci-dessous.
Synchronisation de répertoires La synchronisation d’annuaires doit être configurée entre votre Active Directory local et le Azure Active Directory.

Les utilisateurs qui utiliseront des étiquettes de protection HYOK doivent être configurés pour l’authentification unique.
Configuration pour les approbations définies explicitement Si vous partagez du contenu protégé par HYOK avec d’autres personnes extérieures à votre organisation, AD RMS doit être configuré pour des approbations définies explicitement dans une relation point à point directe avec les autres organisations.

Pour ce faire, utilisez des domaines utilisateur approuvés (TUD) ou des approbations fédérées créées à l’aide de Services ADFS (AD FS).
Microsoft Office version prise en charge Les utilisateurs qui protègent ou consomment du contenu protégé par HYOK doivent avoir : -

Une version de Office qui prend en charge l’information Rights Management (IRM)
- Microsoft Office Professional Plus version 2013 ou ultérieure avec Service Pack 1, s’exécutant sur Windows 7 Service Pack 1 ou version ultérieure.
- Pour l’édition microsoft Installer (.msi) Office 2016, vous devez disposer de la mise à jour 4018295 pour Microsoft Office 2016 publiée le 6 mars 2018.

Remarque : Office 2010 et Office 2007 ne sont pas pris en charge. Pour plus d’informations, consultez AIP et versions héritées de Windows et d’Office.

Important

Pour garantir la haute assurance que la protection HYOK offre, nous vous recommandons :

  • Recherchez vos serveurs AD RMS en dehors de votre zone DMZ et assurez-vous qu’ils sont utilisés uniquement par les appareils gérés.

  • Configurez votre cluster AD RMS avec un module de sécurité matériel (HSM). Cela permet de s’assurer que votre clé privée SLC (Server Certificate Certificate) ne peut pas être exposée ou volée si votre déploiement AD RMS doit jamais être violé ou compromis.

Conseil

Pour obtenir des informations et des instructions sur le déploiement pour AD RMS, consultez Services AD RMS (Active Directory Rights Management Services) dans la bibliothèque Windows Server.

Configuration requise pour AD RMS

Pour prendre en charge HYOK, vérifiez que votre système AD RMS a les configurations suivantes :

Condition requise Description
Version de Windows Au minimum, l’une des versions de Windows suivantes : environnements de production :

Windows Server 2012environnements de test/évaluation R2
: Windows Server 2008 R2 avec Service Pack 1
Topologie HYOK nécessite l’une des topologies suivantes :
- Une seule forêt, avec un seul cluster
AD RMS - Plusieurs forêts, avec des clusters AD RMS dans chacun d’eux.

Licences
pour plusieurs forêts Si vous avez plusieurs forêts, chaque cluster AD RMS partage une URL de licence qui pointe vers le même cluster AD RMS.
Sur ce cluster AD RMS, importez tous les certificats TUD (Trusted User Domain) de tous les autres clusters AD RMS.
Pour plus d’informations sur cette topologie, consultez Domaine utilisateur approuvé.

Étiquettes
de stratégie globale pour plusieurs forêts Lorsque vous avez plusieurs clusters AD RMS dans des forêts distinctes, supprimez toutes les étiquettes de la stratégie globale qui appliquent la protection HYOK (AD RMS) et configurez une stratégie étendue pour chaque cluster.
Affectez des utilisateurs pour chaque cluster à leur stratégie étendue, en vous assurant que vous n’utilisez pas de groupes qui entraîneraient l’attribution d’un utilisateur à plusieurs stratégies étendues.
Le résultat doit être que chaque utilisateur a des étiquettes pour un seul cluster AD RMS.
Mode de chiffrement Votre AD RMS doit être configuré avec le mode de chiffrement 2.
Confirmez le mode en vérifiant les propriétés du cluster AD RMS, onglet Général .
Configuration de l’URL de certification Chaque serveur AD RMS doit être configuré pour l’URL de certification.
Pour plus d’informations, voir ci-dessous.
Points de connexion de service Un point de connexion de service (SCP) n’est pas utilisé lorsque vous utilisez la protection AD RMS avec Azure Information Protection.

Si vous disposez d’un SCP inscrit pour votre déploiement AD RMS, supprimez-le pour vous assurer que la découverte de service réussit pour Azure Rights Management protection.

Si vous installez un nouveau cluster AD RMS pour HYOK, n’inscrivez pas le SCP lors de la configuration du premier nœud. Pour chaque nœud supplémentaire, assurez-vous que le serveur est configuré pour l’URL de certification avant d’ajouter le rôle AD RMS et de rejoindre le cluster existant.
SSL/TLS Dans les environnements de production, les serveurs AD RMS doivent être configurés pour utiliser SSL/TLS avec un certificat x.509 valide approuvé par les clients connectés.

Cela n’est pas obligatoire à des fins de test ou d’évaluation.
Modèles de droits Vous devez disposer de modèles de droits configurés pour votre AD RMS.
Exchange IRM Votre ad RMS ne peut pas être configuré pour Exchange IRM.
Appareils mobiles / Ordinateurs Mac L’extension d’appareil mobile Active Directory Rights Management Services doit être installée et configurée.

Configuration de serveurs AD RMS pour localiser l’URL de certification

  1. Sur chaque serveur AD RMS dans le cluster, créez l’entrée de registre suivante :

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`

    Pour la <valeur> de chaîne, spécifiez l’une des chaînes suivantes :

    Environnement Valeur de chaîne
    Production
    (Clusters AD RMS utilisant SSL/TLS)    		 https://<cluster_name>/_wmcs/certification/certification.asmx
    Test /évaluation
    (pas SSL/TLS)    		 http://<cluster_name>/_wmcs/certification/certification.asmx

  2. Redémarrez IIS.

Recherche d’informations pour spécifier la protection AD RMS avec une étiquette Azure Information Protection

La configuration des étiquettes de protection HYOK nécessite que vous spécifiiez l’URL de licence de votre cluster AD RMS.

En outre, vous devez spécifier un modèle que vous avez configuré avec les autorisations que vous souhaitez accorder aux utilisateurs, ou autoriser les utilisateurs à définir des autorisations et des utilisateurs.

Procédez comme suit pour rechercher les valeurs d’URL de guid et d’URL de licence du modèle à partir de la console Active Directory Rights Management Services :

Localiser un GUID de modèle

  1. développez le cluster, puis cliquez sur Modèles de stratégies de droits.

  2. À partir des informations sur les modèles de stratégie de droits distribués , copiez le GUID à partir du modèle que vous souhaitez utiliser.

Par exemple : 82bf3474-6efe-4fa1-8827-d1bd93339119

Rechercher l’URL de licence

  1. Cliquez sur le nom du cluster.

  2. Dans Détails du cluster, copiez la valeur Gestion des licences valeur sans la chaîne /_wmcs/licensing.

Par exemple : https://rmscluster.contoso.com

Notes

Si vous avez des valeurs de licences extranet et intranet différentes, spécifiez la valeur extranet uniquement si vous partagez du contenu protégé avec des partenaires. Les partenaires qui partagent du contenu protégé doivent être définis avec des approbations explicites de point à point.

Si vous ne partagez pas de contenu protégé, utilisez la valeur intranet et assurez-vous que tous les ordinateurs clients qui utilisent la protection AD RMS avec Azure Information Protection se connecter via une connexion intranet. Par exemple, les ordinateurs distants doivent utiliser une connexion VPN.

Étapes suivantes

Lorsque vous avez terminé la configuration de votre système pour prendre en charge HYOK, continuez à configurer des étiquettes pour la protection HYOK. Pour en savoir plus, voir Comment configurer une étiquette pour la protection offerte par Rights Management.