Mantenha seus próprios detalhes de chave (HYOK) para o Azure Proteção de Informações
As configurações do HYOK (Hold Your Own Key) permitem que os clientes da AIP com o cliente clássico protejam conteúdo altamente confidencial, mantendo o controle total de sua chave. O HYOK usa uma chave adicional mantida pelo cliente armazenada no local para conteúdo altamente confidencial, juntamente com a proteção padrão baseada em nuvem usada para outros conteúdos.
Como a proteção HYOK permite apenas o acesso a dados para aplicativos e serviços locais, os clientes que usam HYOK também têm uma chave baseada em nuvem para documentos de nuvem.
Use HYOK para documentos que são:
- Restrito a apenas algumas pessoas
- Não compartilhado fora da organização
- São consumidos somente na rede interna.
Esses documentos normalmente têm a classificação mais alta em sua organização, como "Top Secret".
O conteúdo só poderá ser criptografado usando a proteção HYOK se você tiver o cliente clássico. No entanto, se você tiver conteúdo protegido por HYOK, ele poderá ser exibido no cliente de rotulagem clássico e unificado.
Para obter mais informações sobre as chaves raiz de locatário padrão baseadas em nuvem, consulte Planejamento e implementação da chave de locatário do Azure Proteção de Informações.
Proteção baseada em nuvem versus HYOK
Normalmente, proteger documentos confidenciais e emails usando o Azure Proteção de Informações usa uma chave baseada em nuvem gerada pela Microsoft ou pelo cliente, usando uma configuração BYOK.
As chaves baseadas em nuvem são gerenciadas no Azure Key Vault, o que fornece aos clientes os seguintes benefícios:
Nenhum requisito de infraestrutura de servidor. As soluções de nuvem são mais rápidas e econômicas para implantar e manter do que as soluções locais.
A autenticação baseada em nuvem permite o compartilhamento mais fácil com parceiros e usuários de outras organizações.
Integração apertada com outros serviços do Azure e Microsoft 365, como pesquisa, visualizadores da Web, exibições dinâmicas, antimalware, Descoberta Eletrônica e Delve.
Notificações de acompanhamento, revogação e email de documentos confidenciais que você compartilhou.
No entanto, algumas organizações podem ter requisitos regulatórios que exigem que conteúdo específico seja criptografado usando uma chave isolada da nuvem. Esse isolamento significa que o conteúdo criptografado só pode ser lido por aplicativos locais e serviços locais.
Com as configurações do HYOK, os locatários do cliente têm uma chave baseada em nuvem a ser usada com conteúdo que pode ser armazenado na nuvem e uma chave local para conteúdo que deve ser protegido apenas localmente.
Orientação e melhores práticas de HYOK
Ao configurar o HYOK, considere as seguintes recomendações:
- Conteúdo adequado para HYOK
- Definir os usuários que podem ver rótulos configurados por HYOK
- Suporte a HYOK e email
Importante
Uma configuração HYOK para o Azure Proteção de Informações não é uma substituição para uma implantação totalmente do AD RMS e do Azure Proteção de Informações ou uma alternativa à migração do AD RMS para o Azure Proteção de Informações.
O HYOK tem suporte apenas com a aplicação de rótulos, não oferece paridade de recursos com o AD RMS e não dá suporte a todas as configurações de implantação do AD RMS.
Conteúdo adequado para HYOK
A proteção HYOK não oferece os benefícios da proteção baseada em nuvem e geralmente vem ao custo de "opacidade de dados", já que o conteúdo só pode ser acessado por aplicativos e serviços locais. Mesmo para organizações que usam a proteção HYOK, normalmente é adequado apenas para um pequeno número de documentos.
Recomendamos que você use HYOK somente para conteúdo que corresponda aos seguintes critérios:
- Conteúdo com a classificação mais alta em sua organização ("Top Secret"), onde o acesso é restrito a apenas algumas pessoas
- Conteúdo que não é compartilhado fora da organização
- Conteúdo consumido somente na rede interna.
Definir os usuários que podem ver rótulos configurados por HYOK
Para garantir que somente os usuários que precisam aplicar a proteção HYOK vejam os rótulos configurados por HYOK, configure sua política para os usuários com políticas com escopo.
Suporte a HYOK e email
Microsoft 365 serviços e outros serviços online não podem descriptografar o conteúdo protegido por HYOK.
Para emails, essa perda de funcionalidade inclui scanners de malware, proteção somente criptografia, soluções de DLP (prevenção contra perda de dados), regras de roteamento de email, diário, Descoberta Eletrônica, soluções de arquivamento e Exchange ActiveSync.
Os usuários podem não entender por que alguns dispositivos não são capazes de abrir emails protegidos por HYOK, levando a chamadas adicionais ao seu suporte técnico. Lembre-se dessas limitações severas ao configurar a proteção HYOK com emails.
Migrando do ADRMS
Se você estiver usando o cliente clássico com HYOK e tiver migrado do AD RMS, você terá redirecionamentos em vigor e o cluster do AD RMS que você usa deverá ter URLs de licenciamento diferentes para as que você migrou nos clusters.
Para obter mais informações, consulte Migrar do AD RMS na documentação do Azure Proteção de Informações.
Aplicativos com suporte para HYOK
Use os rótulos de Proteção de Informações do Azure para aplicar HYOK a documentos e emails específicos. O HYOK tem suporte para Office versões 2013 e superiores.
HYOK é uma opção de configuração de administrador para rótulos e os fluxos de trabalho permanecem os mesmos, independentemente de o conteúdo ser usado como chave baseada em nuvem ou HYOK.
As tabelas a seguir listam os cenários com suporte para proteger e consumir conteúdo usando rótulos configurados por HYOK:
- Windows suporte a aplicativos para HYOK
- suporte ao aplicativo macOS para HYOK
- iOS suporte a aplicativos para HYOK
- Android suporte a aplicativos para HYOK
Observação
Office aplicativos Web e Universal não têm suporte para HYOK.
Windows suporte a aplicativos para HYOK
| Aplicativo | Proteção | Consumo |
|---|---|---|
| Cliente Proteção de Informações do Azure com aplicativos Microsoft 365, Office 2019, Office 2016 e Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Cliente da Proteção de Informações do Azure com o Explorador de Arquivos | |
|
| Visualizador da Proteção de Informações do Azure | Não aplicável | |
| Cliente da Proteção de Informações do Azure com cmdlets de rotulação do PowerShell | |
|
| Verificador de Proteção de Informações do Azure | |
|
suporte ao aplicativo macOS para HYOK
| Aplicativo | Proteção | Consumo |
|---|---|---|
| Office para Mac: Word, Excel, PowerPoint, Outlook |
 |
|
iOS suporte a aplicativos para HYOK
| Aplicativo | Proteção | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: somente Outlook |
|
|
| Visualizador da Proteção de Informações do Azure | Não aplicável | |
Android suporte a aplicativos para HYOK
| Aplicativo | Proteção | Consumo |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: somente Outlook |
|
|
| Visualizador da Proteção de Informações do Azure | Não aplicável | |
Implementação de HYOK
O Azure Proteção de Informações dá suporte ao HYOK quando você tem um AD RMS (Active Directory Rights Management Services) que atende a todos os requisitos listados abaixo.
As políticas de direitos de uso e a chave privada da organização que protege essas políticas são gerenciadas e mantidas localmente, enquanto a política de Proteção de Informações do Azure para rotulagem e classificação permanece gerenciada e armazenada no Azure.
Para implementar a proteção HYOK:
- Verifique se o sistema está em conformidade com os requisitos do AD RMS
- Localizar as informações que você deseja proteger
Quando estiver pronto, continue com Como configurar um rótulo para Rights Management proteção.
Requisitos para o AD RMS dar suporte a HYOK
Uma implantação do AD RMS deve atender aos seguintes requisitos para fornecer proteção HYOK para rótulos de Proteção de Informações do Azure:
| Requisito | Descrição |
|---|---|
| Configuração do AD RMS | Seu sistema AD RMS deve ser configurado de maneiras específicas para dar suporte ao HYOK. Para obter mais informações, confira abaixo. |
| Sincronização de diretório | A sincronização de diretório deve ser configurada entre o Active Directory local e o Azure Active Directory. Os usuários que usarão rótulos de proteção HYOK devem ser configurados para logon único. |
| Configuração para relações de confiança definidas explicitamente | Se você compartilhar conteúdo protegido por HYOK com outras pessoas fora da sua organização, o AD RMS deverá ser configurado para confianças explicitamente definidas em uma relação ponto a ponto direta com as outras organizações. Faça isso usando TUDs (domínios de usuário confiáveis) ou fundos federados criados usando Serviços de Federação do Active Directory (AD FS) (AD FS). |
| Microsoft Office versão com suporte | Os usuários que estão protegendo ou consumindo conteúdo protegido por HYOK devem ter: - Uma versão do Office que dá suporte a Gerenciamento de Direitos de Informação (IRM) – Microsoft Office Professional Plus versão 2013 ou posterior com o Service Pack 1, em execução Windows 7 Service Pack 1 ou posterior. - Para a edição baseada em Office Microsoft Installer (.msi) de 2016, você deve ter o 4018295 de atualização para Microsoft Office 2016 que foi lançado em 6 de março de 2018. Observação: não há suporte para Office 2010 e Office 2007. Para saber mais, confira AIP e versões herdadas do Windows e do Office. |
Importante
Para atender à alta garantia que a proteção HYOK oferece, recomendamos:
Localizando seus servidores do AD RMS fora do DMZ e garantindo que eles sejam usados apenas por dispositivos gerenciados.
Configure seu cluster do AD RMS com um HSM (módulo de segurança de hardware). Isso ajuda a garantir que sua chave privada SLC (Certificado de Licenciamento de Servidor) não possa ser exposta ou roubada se a implantação do AD RMS for violada ou comprometida.
Dica
Para obter informações sobre implantação e instruções para o AD RMS, confira Visão geral do Active Directory Rights Management Services na biblioteca do Windows Server.
Requisitos de configuração do AD RMS
Para dar suporte ao HYOK, verifique se o sistema AD RMS tem as seguintes configurações:
| Requisito | Descrição |
|---|---|
| Versão do Windows | No mínimo, uma das seguintes versões de Windows: ambientes de produção: Windows Server 2012ambientes de teste/avaliação R2 : Windows Server 2008 R2 com Service Pack 1 |
| Topologia | O HYOK requer uma das seguintes topologias: – uma única floresta, com um único cluster do AD RMS – várias florestas, com clusters do AD RMS em cada uma delas. Licenciamento para várias florestas Se você tiver várias florestas, cada cluster do AD RMS compartilhará uma URL de licenciamento que aponta para o mesmo cluster do AD RMS. Neste cluster do AD RMS, importe todos os certificados TUD (domínio de usuário confiável) de todos os outros clusters do AD RMS. Para obter mais informações sobre essa topologia, consulte Domínio de Usuário Confiável. Rótulos de política global para várias florestas Quando você tiver vários clusters do AD RMS em florestas separadas, exclua todos os rótulos na política global que aplicam a proteção do HYOK (AD RMS) e configure uma política com escopo para cada cluster. Atribua usuários para cada cluster à política de escopo, certificando-se de que você não use grupos que resultariam na atribuição de um usuário a mais de uma política de escopo. O resultado deve ser que cada usuário tenha rótulos apenas para um cluster do AD RMS. |
| Modo criptográfico | Seu AD RMS deve ser configurado com o Modo Criptográfico 2. Confirme o modo verificando as propriedades do cluster do AD RMS, guia Geral . |
| Configuração da URL de certificação | Cada servidor AD RMS deve ser configurado para a URL de certificação. Para obter mais informações, confira abaixo. |
| Pontos de conexão de serviço | Um SCP (ponto de conexão de serviço) não é usado quando você usa a proteção do AD RMS com o Azure Proteção de Informações. Se você tiver um SCP registrado para sua implantação do AD RMS, remova-o para garantir que a descoberta de serviço seja bem-sucedida para a proteção do Azure Rights Management. Se você estiver instalando um novo cluster do AD RMS para HYOK, não registre o SCP ao configurar o primeiro nó. Para cada nó adicional, certifique-se de que o servidor esteja configurado para o URL de certificação antes de adicionar a função do AD RMS e ingressar no cluster existente. |
| SSL/TLS | Em ambientes de produção, os servidores do AD RMS devem ser configurados para usar o SSL/TLS com um certificado x.509 válido confiável pelos clientes que se conectam. Isso não é necessário para fins de teste ou avaliação. |
| Modelos de direitos | Você deve ter modelos de direitos configurados para o AD RMS. |
| Exchange IRM | O AD RMS não pode ser configurado para Exchange IRM. |
| Dispositivos móveis/computadores Mac | Você deve ter o Active Directory Rights Management Services Extensão de Dispositivo Móvel instalado e configurado. |
Configurar servidores AD RMS para localizar o URL de certificação
Em cada servidor AD RMS no cluster, crie a seguinte entrada de registro:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Para o valor> da <cadeia de caracteres, especifique uma das seguintes cadeias de caracteres:
Ambiente Valor da cadeia de caracteres Produção
(Clusters do AD RMS usando SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxTeste/avaliação
(sem SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxReinicie o IIS.
Localizando as informações para especificar a proteção do AD RMS com um rótulo do Azure Information Protection
Configurar rótulos de proteção HYOK requer que você especifique a URL de licenciamento do cluster do AD RMS.
Além disso, você deve especificar um modelo configurado com as permissões que deseja conceder aos usuários ou permitir que os usuários definam permissões e usuários.
Faça o seguinte para localizar o GUID do modelo e os valores de URL de licenciamento do console Active Directory Rights Management Services:
Localizar um GUID de modelo
Expanda o cluster e clique em Modelos de Política de Direitos.
Nas informações de Modelos de Política de Direitos Distribuídos , copie o GUID do modelo que você deseja usar.
Por exemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119
Localizar a URL de licenciamento
Clique no nome do cluster.
Com base nas informações de Detalhes do Cluster, copie o valor de Licenciamento menos a cadeia de caracteres /_wmcs/licensing.
Por exemplo: https://rmscluster.contoso.com
Observação
Se você tiver valores diferentes de licenciamento de extranet e intranet, especifique o valor de extranet somente se você estiver compartilhando conteúdo protegido com parceiros. Os parceiros que compartilham conteúdo protegido devem ser definidos com confianças ponto a ponto explícitas.
Se você não estiver compartilhando conteúdo protegido, use o valor da intranet e verifique se todos os computadores cliente que estão usando a proteção do AD RMS com o Azure Proteção de Informações se conectar por meio de uma conexão de intranet. Por exemplo, computadores remotos devem usar uma conexão VPN.
Próximas etapas
Quando terminar de configurar seu sistema para dar suporte ao HYOK, continue com a configuração de rótulos para a proteção HYOK. Para saber mais, veja Como configurar um rótulo para a proteção do Rights Management.