Hyok-gegevens (Your Own Key) voor Azure Information Protection
Met HYOK-configuraties (Hold Your Own Key) kunnen AIP-klanten met de klassieke client zeer gevoelige inhoud beveiligen terwijl ze volledige controle over hun sleutel behouden. HYOK maakt gebruik van een extra, door de klant opgeslagen sleutel die on-premises wordt opgeslagen voor zeer gevoelige inhoud, samen met de standaardbeveiliging in de cloud die wordt gebruikt voor andere inhoud.
Omdat HYOK-beveiliging alleen toegang biedt tot gegevens voor on-premises toepassingen en services, hebben klanten die HYOK gebruiken ook een cloudsleutel voor clouddocumenten.
HYOK gebruiken voor documenten die:
- Beperkt tot slechts een paar personen
- Niet gedeeld buiten de organisatie
- Worden alleen gebruikt in het interne netwerk.
Deze documenten hebben doorgaans de hoogste classificatie in uw organisatie, als 'Top Secret'.
Inhoud kan alleen worden versleuteld met HYOK-beveiliging als u de klassieke client hebt. Als u echter HYOK-beveiligde inhoud hebt, kan deze worden weergegeven in zowel de klassieke als de geïntegreerde labelclient.
Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie over de standaardsleutels voor tenants in de cloud.
Cloudbeveiliging versus HYOK
Normaal gesproken gebruikt u het beveiligen van gevoelige documenten en e-mailberichten met behulp van Azure Information Protection een cloudsleutel die wordt gegenereerd door Microsoft of door de klant, met behulp van een BYOK-configuratie.
Cloudsleutels worden beheerd in Azure Key Vault, wat klanten de volgende voordelen biedt:
Er zijn geen vereisten voor de serverinfrastructuur. Cloudoplossingen zijn sneller en rendabeler om te implementeren en onderhouden dan on-premises oplossingen.
Met verificatie in de cloud kunt u eenvoudiger delen met partners en gebruikers van andere organisaties.
Nauwe integratie met andere Azure- en Microsoft 365-services, zoals zoeken, webviewers, gepimpte weergaven, antimalware, eDiscovery en Delve.
Documenttracking, intrekking en e-mailmeldingen voor gevoelige documenten die u hebt gedeeld.
Sommige organisaties hebben echter wettelijke vereisten waarvoor specifieke inhoud moet worden versleuteld met behulp van een sleutel die is geïsoleerd van de cloud. Deze isolatie betekent dat versleutelde inhoud alleen kan worden gelezen door on-premises toepassingen en on-premises services.
Met HYOK-configuraties hebben klanttenants zowel een cloudsleutel die kan worden gebruikt met inhoud die kan worden opgeslagen in de cloud en een on-premises sleutel voor inhoud die alleen on-premises moet worden beveiligd.
HYOK-richtlijnen en best practices
Houd bij het configureren van HYOK rekening met de volgende aanbevelingen:
- Inhoud die geschikt is voor HYOK
- De gebruikers definiëren die HYOK-geconfigureerde labels kunnen zien
- HYOK- en e-mailondersteuning
Belangrijk
Een HYOK-configuratie voor Azure Information Protection is geen vervanging voor een volledig AD RMS- en Azure Information Protection-implementatie, of een alternatief voor het migreren van AD RMS naar Azure Information Protection.
HYOK wordt alleen ondersteund door labels toe te passen, biedt geen functiepariteit met AD RMS en biedt geen ondersteuning voor alle AD RMS-implementatieconfiguraties.
Inhoud die geschikt is voor HYOK
HYOK-beveiliging biedt niet de voordelen van cloudbeveiliging en komt vaak ten koste van 'gegevensdoorzichtigheid', omdat de inhoud alleen toegankelijk is voor on-premises toepassingen en services. Zelfs voor organisaties die HYOK-beveiliging gebruiken, is het doorgaans alleen geschikt voor een klein aantal documenten.
U wordt aangeraden HYOK alleen te gebruiken voor inhoud die voldoet aan de volgende criteria:
- Inhoud met de hoogste classificatie in uw organisatie ("Top Secret"), waarbij de toegang beperkt is tot slechts een paar personen
- Inhoud die niet buiten de organisatie wordt gedeeld
- Inhoud die alleen wordt gebruikt in het interne netwerk.
De gebruikers definiëren die HYOK-geconfigureerde labels kunnen zien
Als u ervoor wilt zorgen dat alleen gebruikers die HYOK-beveiliging moeten toepassen, de HYOK-geconfigureerde labels zien, configureert u uw beleid voor gebruikers met een bereikbeleid.
HYOK- en e-mailondersteuning
Microsoft 365 services en andere onlineservices kunnen geen met HYOK beveiligde inhoud ontsleutelen.
Voor e-mailberichten omvat dit verlies van functionaliteit malwarescanners, versleutelingsbeveiliging, DLP-oplossingen (Preventie van gegevensverlies), regels voor e-mailroutering, logboekregistratie, eDiscovery, archiveringsoplossingen en Exchange ActiveSync.
Gebruikers begrijpen mogelijk niet waarom sommige apparaten geen met HYOK beveiligde e-mailberichten kunnen openen, wat leidt tot extra oproepen naar uw helpdesk. Houd rekening met deze ernstige beperkingen bij het configureren van HYOK-beveiliging met e-mailberichten.
Migreren vanuit ADRMS
Als u de klassieke client met HYOK gebruikt en vanuit AD RMS hebt gemigreerd, hebt u omleidingen en moet het AD RMS-cluster dat u gebruikt, verschillende licentie-URL's hebben naar de url's in de clusters die u hebt gemigreerd.
Zie Migreren vanuit AD RMS in de documentatie van Azure Information Protection voor meer informatie.
Ondersteunde toepassingen voor HYOK
Gebruik Azure Information Protection labels om HYOK toe te passen op specifieke documenten en e-mailberichten. HYOK wordt ondersteund voor Office versies 2013 en hoger.
HYOK is een configuratieoptie voor beheerders voor labels en werkstromen blijven hetzelfde, ongeacht of de inhoud wordt gebruikt als cloudsleutel of HYOK.
De volgende tabellen bevatten de ondersteunde scenario's voor het beveiligen en gebruiken van inhoud met behulp van HYOK-geconfigureerde labels:
- Windows toepassingsondersteuning voor HYOK
- macOS toepassingsondersteuning voor HYOK
- iOS toepassingsondersteuning voor HYOK
- Android toepassingsondersteuning voor HYOK
Notitie
Office Web- en Universele toepassingen worden niet ondersteund voor HYOK.
Windows toepassingsondersteuning voor HYOK
| Toepassing | Beveiliging | Verbruik |
|---|---|---|
| Azure Information Protection-client met Microsoft 365-apps, Office 2019, Office 2016 en Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Azure Information Protection-client met Bestandenverkenner | |
|
| Azure Information Protection Viewer | Niet van toepassing | |
| Azure Information Protection-client met PowerShell-labeling-cmdlets | |
|
| Azure Information Protection scanner | |
|
macOS toepassingsondersteuning voor HYOK
| Toepassing | Beveiliging | Verbruik |
|---|---|---|
| Office voor Mac: Word, Excel, PowerPoint, Outlook |
 |
|
iOS toepassingsondersteuning voor HYOK
| Toepassing | Beveiliging | Verbruik |
|---|---|---|
| Office Mobiel: Word, Excel, PowerPoint |
|
|
| Office Mobile: alleen Outlook |
|
|
| Azure Information Protection Viewer | Niet van toepassing | |
Android toepassingsondersteuning voor HYOK
| Toepassing | Beveiliging | Verbruik |
|---|---|---|
| Office Mobiel: Word, Excel, PowerPoint |
|
|
| Office Mobile: alleen Outlook |
|
|
| Azure Information Protection Viewer | Niet van toepassing | |
HYOK implementeren
Azure Information Protection biedt ondersteuning voor HYOK wanneer u een Active Directory Rights Management Services (AD RMS) hebt die voldoet aan alle onderstaande vereisten.
Gebruiksrechtenbeleid en de persoonlijke sleutel van de organisatie die dit beleid beschermt, worden on-premises beheerd en bewaard, terwijl het Azure Information Protection-beleid voor labelen en classificatie beheerd en opgeslagen blijft in Azure.
HYOK-beveiliging implementeren:
Wanneer u klaar bent, gaat u verder met het configureren van een label voor Rights Management-beveiliging.
Vereisten voor AD RMS ter ondersteuning van HYOK
Een AD RMS-implementatie moet voldoen aan de volgende vereisten om HYOK-beveiliging te bieden voor Azure Information Protection-labels:
| Vereiste | Beschrijving |
|---|---|
| AD RMS-configuratie | Uw AD RMS-systeem moet op specifieke manieren worden geconfigureerd om HYOK te ondersteunen. Zie hieronder voor meer informatie. |
| Adreslijstsynchronisatie | Adreslijstsynchronisatie moet worden geconfigureerd tussen uw on-premises Active Directory en de Azure Active Directory. Gebruikers die HYOK-beveiligingslabels gebruiken, moeten worden geconfigureerd voor eenmalige aanmelding. |
| Configuratie voor expliciet gedefinieerde vertrouwensrelaties | Als u met HYOK beveiligde inhoud deelt met anderen buiten uw organisatie, moet AD RMS worden geconfigureerd voor expliciet gedefinieerde vertrouwensrelaties in een directe punt-naar-punt-relatie met de andere organisaties. Doe dit met behulp van vertrouwde gebruikersdomeinen (TUD's) of federatieve vertrouwensrelaties die worden gemaakt met behulp van Active Directory Federation Services (AD FS). |
| Microsoft Office ondersteunde versie | Gebruikers die HYOK-beveiligde inhoud beveiligen of gebruiken, moeten beschikken over: - Een versie van Office die Ondersteuning biedt voor Information Rights Management (IRM) - Microsoft Office Professional Plus versie 2013 of hoger met Service Pack 1, uitgevoerd op Windows 7 Service Pack 1 of hoger. - Voor de Office 2016 Microsoft Installer (.msi)-editie moet u de update hebben 4018295 voor Microsoft Office 2016 die op 6 maart 2018 is uitgebracht. Opmerking: Office 2010 en Office 2007 worden niet ondersteund. Zie AIP en verouderde Windows en Office versies voor meer informatie. |
Belangrijk
Om te voldoen aan de hoge zekerheid die HYOK-beveiliging biedt, raden we het volgende aan:
Zoek uw AD RMS-servers buiten uw DMZ en zorg ervoor dat ze alleen worden gebruikt door beheerde apparaten.
Configureer uw AD RMS-cluster met een hardwarebeveiligingsmodule (HSM). Dit helpt ervoor te zorgen dat uw SLC-persoonlijke sleutel (Server Licentiecertificaat) niet kan worden weergegeven of gestolen als uw AD RMS-implementatie ooit wordt geschonden of aangetast.
Tip
Zie Active Directory Rights Management Services in de Windows Server-bibliotheek voor implementatie-informatie en instructies voor AD RMS.
AD RMS-configuratievereisten
Zorg ervoor dat uw AD RMS-systeem de volgende configuraties heeft om HYOK te ondersteunen:
| Vereiste | Beschrijving |
|---|---|
| Windows-versie | Minimaal een van de volgende Windows versies: Productieomgevingen: Windows Server 2012 R2 Test-/evaluatieomgevingen: Windows Server 2008 R2 met Service Pack 1 |
| Topologie | HYOK vereist een van de volgende topologieën: - Een enkel forest, met één AD RMS-cluster - Meerdere forests, met AD RMS-clusters in elk ervan . Licenties voor meerdere forests Als u meerdere forests hebt, deelt elk AD RMS-cluster een licentie-URL die verwijst naar hetzelfde AD RMS-cluster. Importeer op dit AD RMS-cluster alle TUD-certificaten (Trusted User Domain Domain) uit alle andere AD RMS-clusters. Zie Trusted User Domain voor meer informatie over deze topologie. Globale beleidslabels voor meerdere forests Wanneer u meerdere AD RMS-clusters in afzonderlijke forests hebt, verwijdert u alle labels in het globale beleid waarop HYOK-beveiliging (AD RMS) wordt toegepast en configureert u een scoped beleid voor elk cluster. Wijs gebruikers voor elk cluster toe aan hun scoped beleid. Zorg ervoor dat u geen groepen gebruikt die ertoe leiden dat een gebruiker wordt toegewezen aan meer dan één scoped beleid. Het resultaat moet zijn dat elke gebruiker alleen labels voor één AD RMS-cluster heeft. |
| Cryptografische modus | Uw AD RMS moet worden geconfigureerd met cryptografische modus 2. Bevestig de modus door de eigenschappen van het AD RMS-cluster op het tabblad Algemeen te controleren. |
| Configuratie van certificerings-URL | Elke AD RMS-server moet worden geconfigureerd voor de certificerings-URL. Zie hieronder voor meer informatie. |
| Serviceaansluitpunten | Een serviceaansluitpunt (SCP) wordt niet gebruikt wanneer u AD RMS-beveiliging gebruikt met Azure Information Protection. Als u een SCP hebt geregistreerd voor uw AD RMS-implementatie, verwijdert u deze om ervoor te zorgen dat de servicedetectie is geslaagd voor Azure Rights Management beveiliging. Als u een nieuw AD RMS-cluster voor HYOK installeert, moet u het SCP niet registreren bij het configureren van het eerste knooppunt. Voor elk extra knooppunt moet u ervoor zorgen dat de server is geconfigureerd voor de certificerings-URL voordat u de AD RMS-rol toevoegt en het bestaande cluster toevoegt. |
| SSL/TLS | In productieomgevingen moeten de AD RMS-servers worden geconfigureerd voor het gebruik van SSL/TLS met een geldig x.509-certificaat dat wordt vertrouwd door de verbindingsclients. Dit is niet vereist voor test- of evaluatiedoeleinden. |
| Rechtensjablonen | U moet rechtensjablonen hebben geconfigureerd voor uw AD RMS. |
| Exchange IRM | Uw AD RMS kan niet worden geconfigureerd voor Exchange IRM. |
| Mobiele apparaten/Mac-computers | U moet de Active Directory Rights Management Services-extensie voor mobiele apparaten hebben geïnstalleerd en geconfigureerd. |
AD RMS-servers configureren om de certificerings-URL te vinden
Maak op elke AD RMS-server in het cluster de volgende registervermelding:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Geef voor de <tekenreekswaarde> een van de volgende tekenreeksen op:
Omgeving Tekenreekswaarde Productie
(AD RMS-clusters met SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxTesten/evalueren
(geen SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxStart IIS opnieuw.
De informatie zoeken waarmee AD RMS-beveiliging met een Azure Information Protection-label wordt opgegeven
Voor het configureren van HYOK-beveiligingslabels moet u de licentie-URL van uw AD RMS-cluster opgeven.
Daarnaast moet u een sjabloon opgeven die u hebt geconfigureerd met de machtigingen die u wilt verlenen aan gebruikers, of gebruikers toestemming geven om machtigingen en gebruikers te definiëren.
Ga als volgt te werk om de sjabloon-GUID- en licentie-URL-waarden te vinden vanuit de Active Directory Rights Management Services-console:
Een sjabloon-GUID zoeken
Vouw het cluster uit en klik op Rights Policy Templates.
Kopieer vanuit de informatie over gedistribueerde rechtenbeleidssjablonen de GUID uit de sjabloon die u wilt gebruiken.
Bijvoorbeeld : 82bf3474-6efe-4fa1-8827-d1bd93339119
De licentie-URL zoeken
Klik op de clusternaam.
Kopieer uit de gegevens bij Clusterdetails de waarde van Licentieverlening minus de tekenreeks /_wmcs/licensing.
Bijvoorbeeld: https://rmscluster.contoso.com
Notitie
Als u verschillende extranet- en intranetlicentiewaarden hebt, geeft u de extranetwaarde alleen op als u beveiligde inhoud deelt met partners. Partners die beveiligde inhoud delen, moeten worden gedefinieerd met expliciete punt-naar-punt-vertrouwensrelaties.
Als u geen beveiligde inhoud deelt, gebruikt u de intranetwaarde en zorgt u ervoor dat alle clientcomputers die AD RMS-beveiliging gebruiken met Azure Information Protection verbinding maken via een intranetverbinding. Externe computers moeten bijvoorbeeld een VPN-verbinding gebruiken.
Volgende stappen
Wanneer u klaar bent met het configureren van uw systeem ter ondersteuning van HYOK, gaat u verder met het configureren van labels voor HYOK-beveiliging. Zie Een label configureren voor Rights Management-beveiliging voor meer informatie.