Saját kulcs (HYOK) adatainak kezelése az Azure Information Protection
A Saját kulcs (HYOK) konfigurációk lehetővé teszik, hogy a klasszikus ügyféllel rendelkező AIP-ügyfelek megvédjék a rendkívül bizalmas tartalmakat, miközben teljes mértékben kézben tarthatják a kulcsukat. A HYOK egy további, a helyszínen tárolt ügyfél által tárolt kulcsot használ a rendkívül bizalmas tartalmakhoz, valamint az egyéb tartalmakhoz használt alapértelmezett felhőalapú védelmet.
Mivel a HYOK-védelem csak a helyszíni alkalmazások és szolgáltatások számára teszi lehetővé az adatokhoz való hozzáférést, a HYOK-ot használó ügyfelek felhőalapú kulccsal is rendelkeznek a felhőalapú dokumentumokhoz.
A HYOK használata a következő dokumentumokhoz:
- Csak néhány emberre korlátozva
- Szervezeten kívül nincs megosztva
- Csak a belső hálózaton vannak felhasználva.
Ezek a dokumentumok általában a legmagasabb besorolást élvezik a szervezetben, mint "Szigorúan titkos".
A tartalom csak akkor titkosítható HYOK-védelemmel, ha a klasszikus ügyféllel rendelkezik. Ha azonban HYOK által védett tartalommal rendelkezik, az a klasszikus és az egységes címkézési ügyfélprogramban is megtekinthető.
Az alapértelmezett felhőalapú bérlői gyökérkulcsokkal kapcsolatos további információkért lásd az Azure Information Protection-bérlőkulcs tervezését és megvalósítását ismertető témakört.
Felhőalapú védelem és HYOK
A bizalmas dokumentumok és e-mailek Azure Information Protection használatával történő védelme általában egy felhőalapú kulcsot használ, amelyet vagy a Microsoft vagy az ügyfél állít előBYOK-konfigurációval.
A felhőalapú kulcsok kezelése az Azure Key Vault-ban történt, amely a következő előnyöket nyújtja az ügyfelek számára:
Nincsenek kiszolgálóinfrastruktúra-követelmények. A felhőalapú megoldások gyorsabban és költséghatékonyabban helyezhetők üzembe és tarthatók karban, mint a helyszíni megoldások.
A felhőalapú hitelesítés lehetővé teszi a más szervezetek partnereivel és felhasználóival való könnyebb megosztást.
Szoros integráció más Azure- és Microsoft 365-szolgáltatásokkal, például kereséssel, webes megjelenítőkkel, elforgatott nézetekkel, kártevőirtókkal, feltárással és Delve.
Dokumentumkövetési, visszavonási és e-mail-értesítések a megosztott bizalmas dokumentumokról.
Előfordulhat azonban, hogy egyes szervezetek szabályozási követelményekkel rendelkeznek, amelyek megkövetelik bizonyos tartalmak titkosítását egy, a felhőtől elkülönített kulccsal. Ez az elkülönítés azt jelenti, hogy a titkosított tartalmat csak a helyszíni alkalmazások és a helyszíni szolgáltatások olvashatják.
A HYOK-konfigurációkkal az ügyfélbérlelők rendelkeznek egy felhőalapú kulccsal , amelyet a felhőben tárolható tartalommal, valamint egy helyszíni kulccsal rendelkeznek a csak a helyszínen védendő tartalmakhoz.
HYOK-útmutató és ajánlott eljárások
A HYOK konfigurálásakor vegye figyelembe a következő javaslatokat:
- HYOK-ra alkalmas tartalom
- Azon felhasználók meghatározása, akik láthatják a HYOK által konfigurált címkéket
- HYOK- és e-mail-támogatás
Fontos
Az Azure Information Protection HYOK-konfigurációja nem helyettesíti a teljes AD RMS-t és az Azure Information Protection üzemelő példányt, és nem helyettesíti az AD RMS Azure Information Protection-be való migrálását.
A HYOK csak címkék alkalmazásával támogatott, nem nyújt szolgáltatásparitást az AD RMS-sel, és nem támogatja az összes AD RMS üzembehelyezési konfigurációt.
HYOK-ra alkalmas tartalom
A HYOK-védelem nem nyújtja a felhőalapú védelem előnyeit, és gyakran az "adatok átlátszatlansága" árán jár, mivel a tartalom csak helyszíni alkalmazások és szolgáltatások számára érhető el. Még a HYOK-védelmet használó szervezetek számára is jellemzően csak kevés dokumentumhoz alkalmas.
Azt javasoljuk, hogy a HYOK-ot csak az alábbi feltételeknek megfelelő tartalmakhoz használja:
- A szervezet legmagasabb besorolású tartalma ("Szigorúan titkos"), ahol a hozzáférés csak néhány személyre korlátozódik
- A szervezeten kívül nem megosztott tartalom
- Csak a belső hálózaton felhasznált tartalom.
Azon felhasználók meghatározása, akik láthatják a HYOK által konfigurált címkéket
Annak érdekében, hogy csak a HYOK-védelmet alkalmazó felhasználók láthassák a HYOK által konfigurált címkéket, konfigurálja a szabályzatot a hatókörrel rendelkező szabályzatokkal rendelkező felhasználók számára.
HYOK- és e-mail-támogatás
Microsoft 365 szolgáltatások és más online szolgáltatások nem tudják visszafejteni a HYOK által védett tartalmakat.
Az e-mailek esetében ez a funkcióvesztés magában foglalja a kártevő-ellenőrzőket, a csak titkosított védelmet, az adatveszteség-megelőzési (DLP) megoldásokat, az e-mailek útválasztási szabályait, a naplózást, az elektronikus feltárást, az archiválási megoldásokat és a Exchange ActiveSync protokoll.
Előfordulhat, hogy a felhasználók nem értik, hogy egyes eszközök miért nem tudják megnyitni a HYOK által védett e-maileket, ami további hívásokat eredményez az ügyfélszolgálathoz. Vegye figyelembe ezeket a súlyos korlátozásokat, amikor a HYOK-védelmet e-mailekkel konfigurálja.
Migrálás az ADRMS-ből
Ha a klasszikus ügyfelet használja a HYOK-tal, és az AD RMS-ről migrált, akkor átirányítások vannak érvényben, és a használt AD RMS-fürtnek eltérő licencelési URL-címekkel kell rendelkeznie az áttelepített fürtökben lévőkhöz.
További információ: Migrálás az AD RMS-ből az Azure Information Protection dokumentációjában.
A HYOK által támogatott alkalmazások
Az Azure Information Protection címkék használatával hyOK-ot alkalmazhat adott dokumentumokra és e-mailekre. A HYOK a 2013-Office és újabb verziókban támogatott.
A HYOK a címkék rendszergazdai konfigurációs beállítása, és a munkafolyamatok változatlanok maradnak, függetlenül attól, hogy a tartalom felhőalapú kulcsként vagy HYOK-ként használja-e.
Az alábbi táblázatok a HYOK által konfigurált címkékkel történő tartalomvédelem és -felhasználás támogatott forgatókönyveit sorolják fel:
- Windows hyok alkalmazástámogatása
- macOS hyok alkalmazástámogatása
- iOS hyok alkalmazástámogatása
- Android hyok alkalmazástámogatása
Megjegyzés
Office webes és univerzális alkalmazások nem támogatottak a HYOK esetében.
Windows hyok alkalmazástámogatása
| Alkalmazás | Védelem | Használat |
|---|---|---|
| Azure Information Protection-ügyfél Microsoft 365 alkalmazásokkal, Office 2019-ben, Office 2016-ban és Office 2013:Word, Excel, PowerPoint, Outlook |  |
|
| Azure Information Protection-ügyfél Fájlkezelő | |
|
| Azure Information Protection Viewer | Nem értelmezhető | |
| Azure Information Protection-ügyfél PowerShell-címkézési parancsmagokkal | |
|
| Azure Information Protection Scanner | |
|
macOS hyok alkalmazástámogatása
| Alkalmazás | Védelem | Használat |
|---|---|---|
| Mac Office: Word, Excel, PowerPoint, Outlook |  |
|
iOS hyok alkalmazástámogatása
| Alkalmazás | Védelem | Használat |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: csak Outlook | |
|
| Azure Information Protection Viewer | Nem értelmezhető | |
Android hyok alkalmazástámogatása
| Alkalmazás | Védelem | Használat |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint | |
|
| Office Mobile: csak Outlook | |
|
| Azure Information Protection Viewer | Nem értelmezhető | |
A HYOK implementálása
Az Azure Information Protection akkor támogatja a HYOK-ot, ha olyan Active Directory Rights Management Services (AD RMS) rendelkezik, amely megfelel az alább felsorolt követelményeknek.
A használati jogokra vonatkozó szabályzatok és a szabályzatokat védő szervezeti titkos kulcs kezelése és tárolása a helyszínen történik, míg az Azure Information Protection címkézési és besorolási szabályzata továbbra is az Azure-ban van kezelve és tárolva.
A HYOK-védelem megvalósítása:
- Győződjön meg arról, hogy a rendszer megfelel az AD RMS követelményeinek
- Keresse meg a védeni kívánt információkat
Ha elkészült, folytassa a címkék konfigurálását Rights Management védelemhez.
Az AD RMS követelményei a HYOK támogatásához
Az AD RMS üzembe helyezésének meg kell felelnie az alábbi követelményeknek ahhoz, hogy HYOK-védelmet biztosítson az Azure Information Protection címkék számára:
| Követelmény | Leírás |
|---|---|
| Az AD RMS konfigurálása | Az AD RMS-rendszert speciális módon kell konfigurálni a HYOK támogatásához. További információkért lásd alább. |
| Címtár-szinkronizálás | A címtár-szinkronizálást a helyi Active Directory és a Azure Active Directory között kell konfigurálni. A HYOK védelmi címkét használó felhasználókat egyszeri bejelentkezésre kell konfigurálni. |
| Explicit módon definiált megbízhatósági kapcsolatok konfigurálása | Ha hyok által védett tartalmat oszt meg a szervezeten kívüli másokkal, az AD RMS-t explicit módon meghatározott megbízhatósági kapcsolatokra kell konfigurálni a többi szervezettel való közvetlen pont–pont kapcsolatban. Ezt a Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával létrehozott megbízható felhasználói tartományok (TUD-k) vagy összevont megbízhatósági kapcsolatok használatával teheti meg. |
| Microsoft Office támogatott verzió | A HYOK által védett tartalmakat védő vagy használó felhasználóknak a következőkkel kell rendelkezniük: - A Office olyan verziója, amely támogatja az Információ Rights Management (IRM) szolgáltatást – Microsoft Office Professional Plus 2013-at vagy újabb verziót a Service Pack 1 szervizcsomaggal, amely a Windows 7 Service Pack 1-es vagy újabb verzióján fut. – A Office 2016 Microsoft Installer (.msi)-alapú kiadásához a 2018. március 6-án kiadott Microsoft Office 2016-os frissítési 4018295 kell rendelkeznie. Megjegyzés: a 2010-Office és a 2007-Office nem támogatott. További információ: AIP, örökölt Windows és Office verziók. |
Fontos
A HYOK protection által kínált magas szintű garancia teljesítéséhez a következőket javasoljuk:
Az AD RMS-kiszolgálók DMZ-en kívüli helyének keresése, és annak biztosítása, hogy csak felügyelt eszközök használják őket.
Konfigurálja az AD RMS-fürtöt egy hardveres biztonsági modullal (HSM). Ez segít biztosítani, hogy a Kiszolgálói licenciaadó tanúsítvány (SLC) titkos kulcsát ne lehessen felfedni vagy ellopni, ha az AD RMS üzemelő példányát valaha is feltörték vagy feltörték.
Tipp
Az Active Directory tartalomvédelmi szolgáltatások telepítési információi és útmutatója Active Directory Rights Management Services menüpont alatt található a Windows Server könyvtárában.
Az AD RMS konfigurációs követelményei
A HYOK támogatásához győződjön meg arról, hogy az AD RMS-rendszer a következő konfigurációkkal rendelkezik:
| Követelmény | Leírás |
|---|---|
| Windows-verzió | Legalább az alábbi Windows verziók egyike: Éles környezetek: Windows Server 2012 R2tesztelési/kiértékelési környezetek: Windows Server 2008 R2 Service Pack 1 csomaggal |
| Topológia | A HYOK a következő topológiák egyikét igényli: - Egyetlen erdő, egyetlen AD RMS-fürttel – Több erdő, mindegyikben AD RMS-fürtök. Több erdő licencelése Ha több erdővel rendelkezik, minden AD RMS-fürtnek meg van osztva egy licencelési URL-címe, amely ugyanarra az AD RMS-fürtre mutat. Ezen az AD RMS-fürtön importálja az összes megbízható felhasználói tartomány (TUD) tanúsítványt az összes többi AD RMS-fürtből. Erről a topológiáról további információt a Megbízható felhasználói tartomány című témakörben talál. Globális szabályzatcímkék több erdőhöz Ha több AD RMS-fürt van külön erdőkben, törölje a hyok (AD RMS) védelmet alkalmazó globális házirend címkéit, és konfiguráljon egy hatókörrel rendelkező szabályzatot az egyes fürtökhöz. Rendeljen felhasználókat az egyes fürtökhöz a hatókörrel rendelkező szabályzathoz, és győződjön meg arról, hogy nem használ olyan csoportokat, amelyek miatt egy felhasználó egynél több hatókörrel rendelkező szabályzathoz lesz hozzárendelve. Ennek az az eredménye, hogy minden felhasználó csak egy AD RMS-fürt címkéivel rendelkezik. |
| Titkosítási mód | Az AD RMS-t a 2. titkosítási móddal kell konfigurálni. Erősítse meg a módot az AD RMS-fürt tulajdonságainak Általános lapján. |
| Tanúsítvány URL-konfigurációja | Minden AD RMS-kiszolgálót konfigurálni kell a minősítési URL-címhez. További információkért lásd alább. |
| Szolgáltatáskapcsolati pontok | A szolgáltatáskapcsolódási pont (SCP) nem használható, ha az AD RMS-védelmet az Azure Information Protection használja. Ha regisztrált egy SCP-t az AD RMS üzemelő példányához, távolítsa el, hogy a szolgáltatásfelderítés sikeres legyen Azure Tartalomvédelmi szolgáltatások védelemhez. Ha új AD RMS-fürtöt telepít a HYOK-hoz, ne regisztrálja az SCP-t az első csomópont konfigurálásakor. Minden további csomópont esetében győződjön meg arról, hogy a kiszolgáló konfigurálva van a minősítési URL-címhez, mielőtt hozzáadja az AD RMS-szerepkört, és csatlakozna a meglévő fürthöz. |
| SSL/TLS | Éles környezetben az AD RMS-kiszolgálókat úgy kell konfigurálni, hogy ssl/TLS protokollt használjanak a csatlakozó ügyfelek által megbízhatónak számító érvényes x.509-tanúsítvánnyal. Ez tesztelési vagy kiértékelési célokra nem szükséges. |
| Tartalomvédelmi sablonok | Az AD RMS-hez konfigurált tartalomvédelmi sablonokkal kell rendelkeznie. |
| IRM Exchange | Az AD RMS nem konfigurálható Exchange IRM-hez. |
| Mobileszközök / Mac számítógépek | Telepítve és konfigurálva kell lennie a Active Directory Rights Management Services mobileszköz-bővítménynek. |
Az AD RMS-kiszolgálók konfigurálása a tanúsítvány URL-címének megkereséséhez
A fürt minden AD RMS-kiszolgálóján hozza létre a következő beállításjegyzék-bejegyzést:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`A sztringértékhez <>adja meg az alábbi sztringek egyikét:
Környezet Sztring Termelés (AD RMS-fürtök SSL/TLS használatával) https://<cluster_name>/_wmcs/certification/certification.asmxTesztelés /értékelés (nincs SSL/TLS) http://<cluster_name>/_wmcs/certification/certification.asmxIndítsa újra az IIS-t.
Az információ behatárolása az AD RMS tartalomvédelem megadásához egy Azure Information Protection-címkével
A HYOK-védelmi címkék konfigurálásához meg kell adnia az AD RMS-fürt licencelési URL-címét.
Emellett meg kell adnia egy sablont, amelyet konfigurált a felhasználóknak adni kívánt engedélyekkel, vagy engedélyeznie kell a felhasználóknak az engedélyek és a felhasználók meghatározását.
Az alábbi lépéseket követve keresse meg a sablon GUID- és licencelési URL-értékeit a Active Directory Rights Management Services konzolon:
Sablon GUID azonosítóinak megkeresése
Bontsa ki a fürtöt, és kattintson a Rights Policy-sablonok elemre.
Az Elosztottjogszabályzat-sablonok információiból másolja ki a GUID-t a használni kívánt sablonból.
Például: 82bf3474-6efe-4fa1-8827-d1bd93339119
A licencelési URL-cím megkeresése
Kattintson a fürt nevére.
A Fürt részletes adataiinformációból másolja ki a Licencelés értékét, kivéve a /_wmcs/licensing sztringet.
Például: https://rmscluster.contoso.com
Megjegyzés
Ha eltérő extranetes és intranetes licencértékekkel rendelkezik, csak akkor adja meg az extranet értékét, ha védett tartalmat fog megosztani a partnerekkel. A védett tartalmakat megosztó partnereket explicit pont–pont megbízhatósági kapcsolattal kell definiálni.
Ha nem oszt meg védett tartalmat, használja az intranetes értéket, és győződjön meg arról, hogy az AD RMS-védelmet az Azure-ral használó összes ügyfélszámítógép Information Protection intranetes kapcsolaton keresztül csatlakozik. A távoli számítógépeknek például VPN-kapcsolatot kell használniuk.
Következő lépések
Ha végzett a rendszer HYOK-támogatással való konfigurálásával, folytassa a címkék KONfigurálásával a HYOK-védelemhez. További információ: Címkék konfigurálása a Rights Management-védelem aktiválásához.