HyOK-gegevens (Hold Your Own Key) voor Azure Information Protection

Van toepassing op: Azure Information Protection

*Relevant voor: Azure Information Protection klassieke client voor Windows. Zie Dubbele-sleutelversleuteling voor de client voor eenduidige labels.*

Als u een Windows versie 7 of Office 2010 hebt, zie AIP en verouderde Windows en Office versies.

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Met HYOK-configuraties (Hold Your Own Key) kunnen AIP-klanten met de klassieke client uiterst gevoelige inhoud beveiligen met behoud van de volledige controle over hun sleutel. HYOK maakt gebruik van een extra, door de klant opgeslagen sleutel die on-premises is opgeslagen voor uiterst gevoelige inhoud, samen met de standaardbeveiliging in de cloud die wordt gebruikt voor andere inhoud.

Zie Planning and implementing your Azure Information Protection tenant key (Uw tenantsleutel plannen en implementeren) voor meer informatie over de standaardsleutels voor tenants in Azure Information Protection cloud.

Cloudbeveiliging versus HYOK

Het beveiligen van gevoelige documenten en e-mailberichten met Azure Information Protection maakt doorgaans gebruik van een cloudsleutel die wordt gegenereerd door Microsoft of door de klant, met behulp van een BYOK-configuratie.

Cloudsleutels worden beheerd in Azure Key Vault, wat klanten de volgende voordelen biedt:

  • Er zijn geen vereisten voor de serverinfrastructuur. Cloudoplossingen zijn sneller en rendabeler te implementeren en te onderhouden dan on-premises oplossingen.

  • Met cloudverificatie kunt u eenvoudiger delen met partners en gebruikers van andere organisaties.

  • Nauwe integratie met andere Azure- en Microsoft 365-services, zoals zoeken, web viewers, draaiweergaven, antimalware, eDiscovery en Delve.

  • Documenttracking, intrekking en e-mailmeldingen voor gevoelige documenten die u hebt gedeeld.

Sommige organisaties hebben echter mogelijk wettelijke vereisten die vereisen dat specifieke inhoud wordt versleuteld met behulp van een sleutel die is geïsoleerd van de cloud. Deze isolatie betekent dat versleutelde inhoud alleen kan worden gelezen door on-premises toepassingen en on-premises services.

Met HYOK-configuraties hebben tenants van klanten zowel een cloudsleutel voor gebruik met inhoud die kan worden opgeslagen in de cloud als een on-premises sleutel voor inhoud die alleen on-premises moet worden beveiligd.

HYOK-richtlijnen en best practices

Houd bij het configureren van HYOK rekening met de volgende aanbevelingen:

Belangrijk

Een HYOK-configuratie voor Azure Information Protection is geen vervanging voor een volledige AD RMS- en Azure Information Protection-implementatie, of een alternatief voor het migreren van AD RMS naar Azure Information Protection.

HYOK wordt alleen ondersteund door labels toe te passen, biedt geen functiepariteit met AD RMS en biedt geen ondersteuning voor alle AD RMS implementatieconfiguraties.

Inhoud die geschikt is voor HYOK

HYOK-beveiliging biedt niet de voordelen van cloudbeveiliging en gaat vaak ten koste van 'ondoorzichtigheid van gegevens', omdat de inhoud alleen toegankelijk is voor on-premises toepassingen en services. Zelfs voor organisaties die HYOK-beveiliging gebruiken, is het doorgaans alleen geschikt voor een klein aantal documenten.

U wordt aangeraden HYOK alleen te gebruiken voor inhoud die voldoet aan de volgende criteria:

  • Inhoud met de hoogste classificatie in uw organisatie ('Topgeheim'), waarbij de toegang wordt beperkt tot slechts enkele personen
  • Inhoud die niet buiten de organisatie wordt gedeeld
  • Inhoud die alleen in het interne netwerk wordt gebruikt.

De gebruikers definiëren die HYOK-geconfigureerde labels kunnen zien

Om ervoor te zorgen dat alleen gebruikers die HYOK-beveiliging moeten toepassen de met HYOK geconfigureerde labels zien, configureert u uw beleid voor die gebruikers met een scoped beleid.

HYOK- en e-mailondersteuning

Microsoft 365-services en andere onlineservices kunnen met HYOK beveiligde inhoud niet ontsleutelen.

Voor e-mailberichten omvat dit verlies van functionaliteit malwarescanners, alleen-versleutelingsbeveiliging, DLP-oplossingen (preventie van gegevensverlies), regels voor e-mailroutering, logboeken, eDiscovery, archiveringsoplossingen en Exchange ActiveSync.

Gebruikers begrijpen mogelijk niet waarom sommige apparaten geen met HYOK beveiligde e-mailberichten kunnen openen, wat leidt tot extra oproepen naar de helpdesk. Let op deze ernstige beperkingen bij het configureren van HYOK-beveiliging met e-mailberichten.

Ondersteunde toepassingen voor HYOK

Gebruik Azure Information Protection labels om HYOK toe te passen op specifieke documenten en e-mailberichten. HYOK wordt ondersteund voor Office versies 2013 en hoger.

HYOK is een configuratieoptie voor beheerders voor labels en werkstromen blijven hetzelfde, ongeacht of de inhoud wordt gebruikt als cloudsleutel of HYOK.

De volgende tabellen bevatten de ondersteunde scenario's voor het beveiligen en gebruiken van inhoud met behulp van labels die met HYOK zijn geconfigureerd:

Notitie

Office Web- en universele toepassingen worden niet ondersteund voor HYOK.

Windows voor HYOK

Toepassing Beveiliging Verbruik
Azure Information Protection-client Microsoft 365 apps, Office 2019, Office 2016 en Office 2013:
Word, Excel, PowerPoint, Outlook
ja ja
Azure Information Protection met Verkenner ja ja
Azure Information Protection Viewer Niet van toepassing ja
Azure Information Protection-client met PowerShell-cmdlets voor labelen ja ja
Azure Information Protection scanner ja ja

ondersteuning voor macOS-toepassingen voor HYOK

Toepassing Beveiliging Verbruik
Office voor Mac:
Word, Excel, PowerPoint, Outlook
nee ja

Ondersteuning voor iOS-toepassingen voor HYOK

Toepassing Beveiliging Verbruik
Office Mobiele:
Word, Excel, PowerPoint
nee ja
Office Mobiele:
Outlook alleen
nee nee
Azure Information Protection Viewer Niet van toepassing ja

Ondersteuning voor Android-toepassingen voor HYOK

Toepassing Beveiliging Verbruik
Office Mobiele:
Word, Excel, PowerPoint
nee ja
Office Mobiele:
Outlook alleen
nee nee
Azure Information Protection Viewer Niet van toepassing ja

HYOK implementeren

Azure Information Protection biedt ondersteuning voor HYOK wanneer u een Active Directory Rights Management Services (AD RMS) hebt die voldoet aan alle onderstaande vereisten.

Beleidsregels voor gebruiksrechten en de persoonlijke sleutel van de organisatie die dit beleid beschermt, worden on-premises beheerd en bewaard, terwijl het Azure Information Protection-beleid voor labelen en classificatie beheerd blijft en opgeslagen in Azure.

HYOK-beveiliging implementeren:

  1. Zorg ervoor dat uw systeem voldoet aan de AD RMS vereisten
  2. Zoek de informatie die u wilt beveiligen

Wanneer u klaar bent, gaat u verder met Een label configureren voor Rights Management beveiliging.

Vereisten voor AD RMS ondersteuning van HYOK

Een AD RMS moet voldoen aan de volgende vereisten om HYOK-beveiliging te bieden voor Azure Information Protection labels:

Vereiste Beschrijving
AD RMS configureren Uw AD RMS moet op specifieke manieren worden geconfigureerd om HYOK te ondersteunen. Zie hieronder voor meer informatie.
Adreslijstsynchronisatie Adreslijstsynchronisatie moet worden geconfigureerd tussen uw on-premises Active Directory en de Azure Active Directory.

Gebruikers die HYOK-beveiligingslabels gaan gebruiken, moeten zijn geconfigureerd voor een aanmelding.
Configuratie voor expliciet gedefinieerde vertrouwensrelatie Als u met HYOK beveiligde inhoud deelt met anderen buiten uw organisatie, moeten AD RMS worden geconfigureerd voor expliciet gedefinieerde vertrouwensrelatie in een directe point-to-point-relatie met de andere organisaties.

Doe dit met behulp van vertrouwde gebruikersdomeinen (TUD's) of federatief vertrouwensrelatie die zijn gemaakt met Active Directory Federation Services (AD FS).
Microsoft Office ondersteunde versie Gebruikers die met HYOK beveiligde inhoud beveiligen of gebruiken, moeten het volgende hebben:

- Een versie van Office die ondersteuning biedt voor Information Rights Management (IRM)
- Microsoft Office Professional Plus-versie 2013 of hoger met Service Pack 1, uitgevoerd op Windows 7 Service Pack 1 of hoger.
- Voor de editie Office 2016 van Microsoft Installer (.msi) moet u de update 4018295 voor Microsoft Office 2016 hebben die is uitgebracht op 6 maart 2018.

Opmerking: Office 2010 en Office 2007 worden niet ondersteund. Zie AIP and legacy Windows and Office versions (AIPen verouderde Office versies) voor meer informatie.

Belangrijk

Om te voldoen aan de hoge zekerheid die HYOK-beveiliging biedt, raden we het volgende aan:

  • Het zoeken AD RMS servers buiten uw DMZ en ervoor zorgen dat ze alleen worden gebruikt door beheerde apparaten.

  • Configureer AD RMS cluster met een Hardware Security Module (HSM). Dit zorgt ervoor dat de persoonlijke sleutel van uw servercertificaat (SLC) niet kan worden blootgesteld of gestolen als uw AD RMS-implementatie ooit moet worden geschonden of aangetast.

Tip

Zie Active Directory Rights Management Services in de Windows Server-bibliotheek voor implementatie-informatie en instructies voor AD RMS.

AD RMS configureren

Zorg ervoor dat uw AD RMS de volgende configuraties heeft om HYOK te ondersteunen:

Vereiste Beschrijving
Windows versie Minimaal een van de volgende Windows versies:

Productieomgevingen: Windows Server 2012 R2
Test-/evaluatieomgevingen: Windows Server 2008 R2 met Service Pack 1
Topologie HYOK vereist een van de volgende topologies:
- Eén forest met één AD RMS cluster
- Meerdere forests, met AD RMS clusters in elk ervan.

Licentieverlening voor meerdere forests
Als u meerdere forests hebt, deelt AD RMS cluster een licentie-URL die naar hetzelfde AD RMS cluster wijst.
Importeer op AD RMS cluster alle VERTROUWDE GEBRUIKERSdomeincertificaten uit alle andere AD RMS clusters.
Zie Trusted User Domain voor meer informatie over deze topologie.

Globale beleidslabels voor meerdere forests
Wanneer u meerdere AD RMS-clusters in afzonderlijke forests hebt, verwijdert u labels in het globale beleid die HYOK-beveiliging (AD RMS) toepassen en configureert u een scoped beleid voor elk cluster.
Wijs gebruikers voor elk cluster toe aan hun scoped beleid, en zorg ervoor dat u geen groepen gebruikt die ertoe leiden dat een gebruiker wordt toegewezen aan meer dan één scoped beleid.
Het resultaat moet zijn dat elke gebruiker labels heeft voor één AD RMS cluster.
Cryptografische modus Uw AD RMS moet worden geconfigureerd met cryptografische modus 2.
Controleer de modus door de eigenschappen van AD RMS cluster te controleren, tabblad Algemeen.
Configuratie van certificerings-URL Elke AD RMS server moet worden geconfigureerd voor de certificerings-URL.
Zie hieronder voor meer informatie.
Serviceverbindingspunten Er wordt geen serviceverbindingspunt (SCP) gebruikt wanneer u AD RMS gebruikt met Azure Information Protection.

Als u een SCP hebt geregistreerd voor uw AD RMS implementatie, verwijdert u deze om ervoor te zorgen dat servicedetectie slaagt voor Azure Rights Management beveiliging.

Als u een nieuw cluster AD RMS HYOK installeert, moet u het SCP niet registreren bij het configureren van het eerste knooppunt. Zorg ervoor dat voor elk extra knooppunt de server is geconfigureerd voor de certificerings-URL voordat u de AD RMS toevoegt en lid wordt van het bestaande cluster.
SSL/TLS In productieomgevingen moeten de AD RMS-servers worden geconfigureerd voor het gebruik van SSL/TLS met een geldig x.509-certificaat dat wordt vertrouwd door de verbindende clients.

Dit is niet vereist voor test- of evaluatiedoeleinden.
Rechtensjablonen U moet rechtensjablonen hebben geconfigureerd voor uw AD RMS.
Exchange IRM Uw AD RMS kan niet worden geconfigureerd voor Exchange IRM.
Mobiele apparaten /Mac-computers U moet de extensie Active Directory Rights Management Services mobiele apparaten hebben geïnstalleerd en geconfigureerd.

Configureren AD RMS servers om de certificerings-URL te vinden

  1. Maak op AD RMS server in het cluster de volgende registerinvoer:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    Geef voor <string value> de een van de volgende tekenreeksen op:

    Omgeving Tekenreekswaarde
    Productie
    (AD RMS clusters met SSL/TLS)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    Testen/evalueren
    (geen SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. Start IIS opnieuw.

De informatie zoeken waarmee AD RMS-beveiliging met een Azure Information Protection-label wordt opgegeven

Voor het configureren van HYOK-beveiligingslabels moet u de licentie-URL van uw AD RMS cluster opgeven.

Daarnaast moet u een sjabloon opgeven die u hebt geconfigureerd met de machtigingen die u gebruikers wilt verlenen, of gebruikers in staat stellen machtigingen en gebruikers te definiëren.

Ga als volgt te werk om de sjabloon-GUID en licentie-URL-waarden te vinden in Active Directory Rights Management Services console:

Een sjabloon-GUID zoeken

  1. Vouw het cluster uit en klik op Rights Policy-sjablonen.

  2. Kopieer in de informatie over Distributed Rights Policy Templates de GUID van de sjabloon die u wilt gebruiken.

Bijvoorbeeld: 82bf3474-6efe-4fa1-8827-d1bd93339119

Zoek de licentie-URL

  1. Klik op de clusternaam.

  2. Kopieer uit de gegevens bij Clusterdetails de waarde van Licentieverlening minus de tekenreeks /_wmcs/licensing.

Bijvoorbeeld: https://rmscluster.contoso.com

Notitie

Als u verschillende extranet- en intranetlicentiewaarden hebt, geeft u de extranetwaarde alleen op als u beveiligde inhoud met partners wilt delen. Partners die beveiligde inhoud delen, moeten worden gedefinieerd met expliciete point-to-point vertrouwensrelatie.

Als u geen beveiligde inhoud deelt, gebruikt u de intranetwaarde en zorgt u ervoor dat alle clientcomputers die gebruikmaken van AD RMS-beveiliging met Azure Information Protection verbinding maken via een intranetverbinding. Externe computers moeten bijvoorbeeld een VPN-verbinding gebruiken.

Volgende stappen

Wanneer u klaar bent met het configureren van uw systeem om HYOK te ondersteunen, gaat u verder met het configureren van labels voor HYOK-beveiliging. Zie Een label configureren voor Rights Management-beveiliging voor meer informatie.