Guarde os seus próprios detalhes da tecla (HYOK) para proteção de informação do AzureHold your own key (HYOK) details for Azure Information Protection

Aplica-se a: Proteção de Informação AzureApplies to: Azure Information Protection

Instruções para: Azure Information Protection cliente clássico para WindowsInstructions for: Azure Information Protection classic client for Windows

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente Azure Information Protection (clássico) e a Label Management no Portal Azure estão a ser depreciados a partir de 31 de março de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este prazo permite que todos os clientes atuais da Azure Information Protection transitem para a nossa solução de rotulagem unificada utilizando a plataforma de rotulagem unificada da Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Saiba mais no aviso oficial de depreciação.Learn more in the official deprecation notice.

As configurações da Sua Própria Chave (HYOK) permitem aos clientes AIP com o cliente clássico proteger conteúdo altamente sensível, mantendo o controlo total da sua chave.Hold Your Own Key (HYOK) configurations enable AIP customers with the classic client to protect highly sensitive content while maintaining full control of their key. A HYOK utiliza uma chave adicional, detida pelo cliente, que é armazenada nas instalações para conteúdos altamente sensíveis, juntamente com a proteção padrão baseada na nuvem utilizada para outros conteúdos.HYOK uses an additional, customer-held key that's stored on premises for highly sensitive content, together with the default cloud-based protection used for other content.

Para obter mais informações sobre as chaves de raiz do inquilino padrão, consulte o Planeamento e implementação da chave do inquilino Azure Information Protection.For more information about the default, cloud-based tenant root keys, see Planning and implementing your Azure Information Protection tenant key.

Proteção baseada em nuvem vs. HYOKCloud-based protection vs. HYOK

Normalmente, proteger documentos e e-mails sensíveis usando a Azure Information Protection utiliza uma chave baseada na nuvem que é gerada pela Microsoft ou pelo cliente, utilizando uma configuração BYOK.Typically, protecting sensitive documents and emails using Azure Information Protection uses a cloud-based key that is either generated by Microsoft or by the customer, using a BYOK configuration.

As chaves baseadas em nuvem são geridas no Azure Key Vault, que proporciona aos clientes os seguintes benefícios:Cloud-based keys are managed in Azure Key Vault, which provides customers with the following benefits:

  • Sem requisitos de infraestrutura de servidor.No server infrastructure requirements. As soluções cloud são mais rápidas e económicas para implementar e manter do que as soluções no local.Cloud solutions are quicker and more cost-effective to deploy and maintain than on-premises solutions.

  • A autenticação baseada na nuvem permite uma partilha mais fácil com parceiros e utilizadores de outras organizações.Cloud-based authentication enables easier sharing with partners and users from other organizations.

  • Integração apertada com outros serviços Azure e Microsoft 365, como pesquisa, telespectadores web, vistas mais votadas, anti-malware, eDiscovery e Delve.Tight integration with other Azure and Microsoft 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Rastreio de documentos, revogaçãoe notificações por e-mail para documentos sensíveis que partilhou.Document tracking, revocation, and email notifications for sensitive documents that you have shared.

No entanto, algumas organizações podem ter requisitos regulamentares que exigem que conteúdo específico seja encriptado usando uma chave que está isolada da nuvem.However, some organizations may have regulatory requirements that require specific content to be encrypted using a key that is isolated from the cloud. Este isolamento significa que o conteúdo encriptado só pode ser lido através de aplicações no local e serviços no local.This isolation means that encrypted content can be read only by on-premises applications and on-premises services.

Com as configurações HYOK, os inquilinos do cliente têm uma chave baseada na nuvem para usar com conteúdo que pode ser armazenado na nuvem, e uma chave no local para conteúdo que deve ser protegido apenas no local.With HYOK configurations, customer tenants have both a cloud-based key to use with content that can be stored on the cloud, and an on-premises key for content that must be protected on-premises only.

Orientação hyok e boas práticasHYOK guidance and best practices

Ao configurar o HYOK, considere as seguintes recomendações:When configuring HYOK, consider the following recommendations:

Importante

Uma configuração HYOK para proteção de informações azure não substitui uma implementação totalmente AD RMS e Azure Information Protection, ou uma alternativa à migração de AD RMS para Azure Information Protection.An HYOK configuration for Azure Information Protection is not a replacement for a fully AD RMS and Azure Information Protection deployment, or an alternative to migrating AD RMS to Azure Information Protection.

O HYOK é suportado apenas aplicando rótulos, não oferece paridade de características com RMS AD, e não suporta todas as configurações de implementação de RMS AD.HYOK is supported only by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations.

Conteúdo adequado para HYOKContent suitable for HYOK

A proteção HYOK não fornece os benefícios da proteção baseada na nuvem, e muitas vezes vem à custa da "opacidade de dados", uma vez que o conteúdo só pode ser acedido através de aplicações e serviços no local.HYOK protection doesn't provide the benefits of cloud-based protection, and often comes at the cost of "data opacity", since the content can be accessed only by on-premises applications and services. Mesmo para organizações que usam proteção HYOK, é normalmente adequado apenas para um pequeno número de documentos.Even for organizations that use HYOK protection, it's typically suitable only for a small number of documents.

Recomendamos que utilize o HYOK apenas para conteúdos que correspondam aos seguintes critérios:We recommend that you use HYOK only for content that matches the following criteria:

  • Conteúdo com a classificação mais alta da sua organização ("Top Secret"), onde o acesso é restrito a apenas algumas pessoasContent with the highest classification in your organization ("Top Secret"), where access is restricted to just a few people
  • Conteúdo que não é partilhado fora da organizaçãoContent that isn't shared outside the organization
  • Conteúdo que é consumido apenas na rede interna.Content that is consumed only on the internal network.

Defina os utilizadores que podem ver etiquetas configuradas pela HYOKDefine the users who can see HYOK-configured labels

Para garantir que apenas os utilizadores que necessitem de aplicar a proteção HYOK consultem as etiquetas configuradas pela HYOK, configurem a sua política para os utilizadores com políticas de âmbito.To ensure that only users who need to apply HYOK protection see the HYOK-configured labels, configure your policy for those users with scoped policies.

HYOK e suporte de e-mailHYOK and email support

Os serviços microsoft 365 e outros serviços online não podem desencriptar conteúdo protegido pela HYOK.Microsoft 365 services and other online services can't decrypt HYOK-protected content.

Para e-mails, esta perda de funcionalidade inclui scanners de malware, proteção Encrypt-Only, soluções de prevenção de perda de dados (DLP), regras de encaminhamento de correio, diário, eDiscovery, soluções de arquivo e Exchange ActiveSync.For emails, this loss of functionality includes malware scanners, Encrypt-Only protection, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync.

Os utilizadores podem não entender porque é que alguns dispositivos não são capazes de abrir e-mails protegidos pelo HYOK, levando a chamadas adicionais para o seu balcão de ajuda.Users may not understand why some devices aren't able to open HYOK-protected emails, leading to additional calls to your help desk. Esteja ciente destas limitações severas ao configurar a proteção HYOK com e-mails.Be aware of these severe limitations when configuring HYOK protection with emails.

Candidaturas apoiadas para HYOKSupported applications for HYOK

Utilize etiquetas de proteção de informação Azure para aplicar HYOK a documentos e e-mails específicos.Use Azure Information Protection labels to apply HYOK to specific documents and emails. Hyok é suportado para versões office 2013 e superior.HYOK is supported for Office versions 2013 and higher.

HYOK é uma opção de configuração de administrador para etiquetas, e os fluxos de trabalho permanecem os mesmos, independentemente de o conteúdo usar como chave baseada na nuvem ou HYOK.HYOK is an administrator configuration option for labels, and workflows remain the same, regardless of whether the content uses as cloud-based key or HYOK.

As tabelas que se seguem listam os cenários suportados para proteger e consumir conteúdos utilizando etiquetas configuradas pela HYOK:The following tables list the supported scenarios for protecting and consuming content using HYOK-configured labels:

Nota

As aplicações Web e Universal do Office não são suportadas pela HYOK.Office Web and Universal applications are not supported for HYOK.

Suporte de aplicação do Windows para HYOKWindows application support for HYOK

AplicaçãoApplication ProteçãoProtection ConsumoConsumption
Cliente da Azure Information Protection com aplicações Microsoft 365, Office 2019, Office 2016 e Office 2013:Azure Information Protection client with Microsoft 365 apps, Office 2019, Office 2016, and Office 2013:
Palavra, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
sim sim
Cliente de Proteção de Informação Azure com Explorador de FicheirosAzure Information Protection client with File Explorer sim sim
Espectador de Proteção de Informação AzureAzure Information Protection Viewer Não aplicávelNot applicable sim
Cliente de Proteção de Informação Azure com cmdlets de rotulagem PowerShellAzure Information Protection client with PowerShell labeling cmdlets sim sim
Scanner de Proteção de Informação AzureAzure Information Protection scanner sim sim

suporte para aplicações macOS para HYOKmacOS application support for HYOK

AplicaçãoApplication ProteçãoProtection ConsumoConsumption
Escritório para Mac:Office for Mac:
Palavra, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
não sim

suporte para aplicações iOS para HYOKiOS application support for HYOK

AplicaçãoApplication ProteçãoProtection ConsumoConsumption
Escritório Móvel:Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
não sim
Escritório Móvel:Office Mobile:
Apenas perspetivasOutlook only
não não
Espectador de Proteção de Informação AzureAzure Information Protection Viewer Não aplicávelNot applicable sim

Suporte para aplicações android para HYOKAndroid application support for HYOK

AplicaçãoApplication ProteçãoProtection ConsumoConsumption
Escritório Móvel:Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
não sim
Escritório Móvel:Office Mobile:
Apenas perspetivasOutlook only
não não
Espectador de Proteção de Informação AzureAzure Information Protection Viewer Não aplicávelNot applicable sim

Implementação hyokImplementing HYOK

A Azure Information Protection suporta o HYOK quando tem um Ative Directory Rights Management Services (AD RMS) que cumpre todos os requisitos listados abaixo.Azure Information Protection supports HYOK when you have an Active Directory Rights Management Services (AD RMS) that complies with all of the requirements listed below.

As políticas de direitos de utilização e a chave privada da organização que protege estas políticas são geridas e mantidas no local, enquanto a política de proteção da informação Azure para rotulagem e classificação permanece gerida e armazenada em Azure.Usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

Para implementar a proteção HYOK:To implement HYOK protection:

  1. Certifique-se de que o seu sistema está em conformidade com os requisitos de RMS da ADMake sure your system complies with the AD RMS requirements
  2. Localize as informações que pretende protegerLocate the information you want to protect

Quando estiver pronto, continue com como configurar um rótulo para proteção de gestão de direitos.When you're ready, continue with How to configure a label for Rights Management protection.

Requisitos para que a AD RMS apoie o HYOKRequirements for AD RMS to support HYOK

Uma implantação de RMS AD deve satisfazer os seguintes requisitos para fornecer proteção HYOK para etiquetas de proteção de informação Azure:An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels:

RequisitoRequirement DescriptionDescription
Configuração AD RMSAD RMS configuration O seu sistema AD RMS tem de ser configurado de formas específicas de suporte ao HYOK.Your AD RMS system must be configured in specific ways to support HYOK. Para mais informações, consulte abaixo.For more information, see below.
Sincronização de diretóriosDirectory synchronization A sincronização do diretório deve ser configurada entre o seu Diretório Ativo no local e o Diretório Ativo Azure.Directory synchronization must be configured between your on-premises Active Directory and the Azure Active Directory.

Os utilizadores que utilizarem etiquetas de proteção HYOK devem ser configurados para uma única s placagem.Users who will use HYOK protection labels must be configured for single-sign-on.
Configuração para fidedignidades explicitamente definidasConfiguration for explicitly defined trusts Se partilhar conteúdo protegido pela HYOK com outros fora da sua organização, o RMS AD deve ser configurado para fidedignidades explicitamente definidas numa relação direta ponto a ponto com as outras organizações.If you share HYOK-protected content with others outside your organization, AD RMS must be configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations.

Faça isto utilizando domínios de utilizador fidedignos (TUDs) ou fidedignidades federadas que são criadas usando serviços da Federação de Diretórios Ativos (AD FS).Do this using trusted user domains (TUDs) or federated trusts that are created using Active Directory Federation Services (AD FS).
Versão suportada pelo Microsoft OfficeMicrosoft Office supported version Os utilizadores que protejam ou consumam conteúdo protegido pelo HYOK devem ter:Users who are protecting or consuming HYOK-protected content must have:

- Uma versão do Office que apoia a Gestão dos Direitos de Informação (IRM)- A version of Office that supports Information Rights Management (IRM)
- Versão Microsoft Office Professional Plus 2013 ou posterior com o Service Pack 1, em execução no Windows 7 Service Pack 1 ou posterior.- Microsoft Office Professional Plus version 2013 or later with Service Pack 1, running on Windows 7 Service Pack 1 or later.
- Para a edição baseada no Microsoft Installer (.msi)do Office 2016, deve ter a atualização 4018295 para o Microsoft Office 2016 que foi lançada a 6 de março de 2018.- For the Office 2016 Microsoft Installer (.msi)-based edition, you must have the update 4018295 for Microsoft Office 2016 that was released on March 6, 2018.

Nota: O Office 2010 e o Office 2007 não são apoiados.Note: Office 2010 and Office 2007 are not supported.

Importante

Para cumprir a alta garantia que a proteção HYOK oferece, recomendamos:To fulfill the high assurance that HYOK protection offers, we recommend:

  • Localizar os seus servidores AD RMS fora do seu DMZ e garantir que são utilizados apenas por dispositivos geridos.Locating your AD RMS servers outside of your DMZ, and ensuring that they are used only by managed devices.

  • Configure o seu cluster AD RMS com um módulo de segurança de hardware (HSM).Configure your AD RMS cluster with a hardware security module (HSM). Isto ajuda a garantir que a tecla privada do Certificado de Licenciamento do Servidor (SLC) não possa ser exposta ou roubada se a sua implementação de RMS AD alguma vez for violada ou comprometida.This helps to ensure that your Server Licensor Certificate (SLC) private key cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Dica

Para obter informações de implementação e instruções para o AD RMS, veja Serviços de Gestão de Direitos do Active Directory na biblioteca do Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Requisitos de configuração AD RMSAD RMS configuration requirements

Para apoiar o HYOK, certifique-se de que o seu sistema AD RMS tem as seguintes configurações:To support HYOK, ensure that your AD RMS system has the following configurations:

RequisitoRequirement DescriptionDescription
Versão do WindowsWindows version No mínimo, uma das seguintes versões do Windows:At minimum, one of the following Windows versions:

Ambientes de produção: Windows Server 2012 R2Production environments: Windows Server 2012 R2
Ambientes de teste/avaliação: Windows Server 2008 R2 com Pacote de Serviço 1Testing/evaluation environments: Windows Server 2008 R2 with Service Pack 1
TopologiaTopology A HYOK requer uma das seguintes topologias:HYOK requires one of the following topologies:
- Uma única floresta, com um único aglomerado de RMS AD- A single forest, with a single AD RMS cluster
- Múltiplas florestas, com aglomerados de RMS AD em cada uma delas.- Multiple forests, with AD RMS clusters in each of them.

Licenciamento para múltiplas florestasLicensing for multiple forests
Se tiver múltiplas florestas, cada cluster AD RMS partilha um URL de licenciamento que aponta para o mesmo cluster AD RMS.If you have multiple forests, each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster.
Neste cluster AD RMS, importe todos os certificados de domínio de utilizador fidedignos (TUD) de todos os outros clusters AD RMS.On this AD RMS cluster, import all the trusted user domain (TUD) certificates from all other AD RMS clusters.
Para obter mais informações sobre esta topologia, consulte o Domínio do Utilizador Fidedigno.For more information about this topology, see Trusted User Domain.

Rótulos de política global para múltiplas florestasGlobal policy labels for multiple forests
Quando tiver vários aglomerados de RMS AD em florestas separadas, elimine quaisquer rótulos na política global que apliquem a proteção HYOK (AD RMS) e configuure uma política de mira para cada cluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster.
Atribua os utilizadores de cada cluster à sua política de mira, certificando-se de que não utiliza grupos que resultariam na atribuição de um utilizador a mais de uma política de âmbito.Assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy.
O resultado deve ser que cada utilizador tenha etiquetas apenas para um cluster AD RMS.The result should be that each user has labels for one AD RMS cluster only.
Modo criptográficoCryptographic mode O seu AD RMS deve ser configurado com o Modo Criptográfico 2.Your AD RMS must be configured with Cryptographic Mode 2.
Confirme o modo verificando as propriedades do cluster AD RMS, separador geral.Confirm the mode by checking the AD RMS cluster properties, General tab.
Configuração de URL de certificaçãoCertification URL configuration Cada servidor AD RMS deve ser configurado para o URL de certificação.Each AD RMS server must be configured for the certification URL.
Para mais informações, consulte abaixo.For more information, see below.
Pontos de ligação de serviçoService connection points Um ponto de ligação de serviço (SCP) não é utilizado quando utiliza proteção RMS AD com Proteção de Informação Azure.A service connection point (SCP) is not used when you use AD RMS protection with Azure Information Protection.

Se tiver um SCP registado para a sua implementação de RMS AD, remova-o para garantir que a descoberta do serviço é bem sucedida para a proteção da Azure Rights Management.If you have an SCP registered for your AD RMS deployment, remove it to ensure that service discovery is successful for Azure Rights Management protection.

Se estiver a instalar um novo cluster AD RMS para o HYOK, não registe o SCP ao configurar o primeiro nó.If you are installing a new AD RMS cluster for HYOK, do not register the SCP when configuring the first node. Para cada nó adicional, certifique-se de que o servidor está configurado para o URL de certificação antes de adicionar a função AD RMS e juntar-se ao cluster existente.For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.
SSL/TLSSSL/TLS Em ambientes de produção, os servidores AD RMS devem ser configurados para utilizar SSL/TLS com um certificado x.509 válido que seja fidedigno pelos clientes de ligação.In production environments, the AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients.

Isto não é necessário para fins de teste ou avaliação.This is not required for testing or evaluation purposes.
Modelos de direitosRights templates Você deve ter modelos de direitos configurados para o seu AD RMS.You must have rights templates configured for your AD RMS.
Troca de IRMExchange IRM O seu RMS AD não pode ser configurado para exchange IRM.Your AD RMS cannot not be configured for Exchange IRM.
Dispositivos móveis / computadores MacMobile devices / Mac computers Deve ter a Extensão de Dispositivo Móvel dos Serviços de Gestão de Direitos do Diretório Ativo instalada e configurada.You must have the Active Directory Rights Management Services Mobile Device Extension installed and configured.

Configurar servidores AD RMS para localizar o URL de certificaçãoConfiguring AD RMS servers to locate the certification URL

  1. Em cada servidor AD RMS no cluster, crie a seguinte entrada de registo:On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    Para o <string value> , especificar uma das seguintes cordas:For the <string value>, specify one of the following strings:

    AmbienteEnvironment Valor das cordasString value
    ProduçãoProduction
    (Agrupamentos de RMS AD utilizando SSL/TLS)(AD RMS clusters using SSL/TLS)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    Teste/avaliaçãoTesting / evaluation
    (sem SSL/TLS)(no SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. Reinicie o IIS.Restart IIS.

Localizar as informações para especificar a proteção do AD RMS com uma etiqueta do Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

Configurar as etiquetas de proteção HYOK requer que especifique o URL de licenciamento do seu cluster AD RMS.Configuring HYOK-protection labels requires that you specify the licensing URL of your AD RMS cluster.

Além disso, deve especificar um modelo que configurar com as permissões que pretende conceder aos utilizadores, ou permitir que os utilizadores definam permissões e utilizadores.Additionally, you must either specify a template that you've configured with the permissions you want to grant users, or enable users to define permissions and users.

Faça o seguinte para localizar o modelo GUID e licenciar os valores de URL da consola Ative Directory Rights Management Services:Do the following to locate the template GUID and licensing URL values from the Active Directory Rights Management Services console:

Localize um modelo GUIADOLocate a template GUID

  1. Expandir o cluster e clicar em modelos de política de direitos.Expand the cluster and click Rights Policy Templates.

  2. A partir das informações de Modelos de Política de Direitos Distribuídos, copie o GUID do modelo que pretende utilizar.From the Distributed Rights Policy Templates information, copy the GUID from the template you want to use.

Por exemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

Localizar o URL de licenciamentoLocate the licensing URL

  1. Clique no nome do cluster.Click the cluster name.

  2. A partir das informações em Detalhes do Cluster, copie o valor de Licenciamento menos a cadeia /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string.

Por exemplo: https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

Nota

Se tiver diferentes valores de extranet e de licenciamento intranet, especifique o valor da extranet apenas se partilhará conteúdo protegido com parceiros.If you have different extranet and intranet licensing values, specify the extranet value only if you will be sharing protected content with partners. Os parceiros que partilham conteúdos protegidos devem ser definidos com fidedignidades explícitas ponto a ponto.Partners who share protected content must be defined with explicit point-to-point trusts.

Se não estiver a partilhar conteúdo protegido, utilize o valor intranet e certifique-se de que todos os computadores clientes que utilizam a proteção RMS AD com a Azure Information Protection se ligam através de uma ligação intranet.If you are not sharing protected content, use the intranet value and make sure that all client computers that are using AD RMS protection with Azure Information Protection connect via an intranet connection. Por exemplo, os computadores remotos devem utilizar uma ligação VPN.For example, remote computers must use a VPN connection.

Passos seguintesNext steps

Quando terminar de configurar o seu sistema para apoiar o HYOK, continue com as etiquetas de configuração para a proteção HYOK.When you're done configuring your system to support HYOK, continue with configuring labels for HYOK protection. Para obter mais informações, consulte Como configurar um rótulo de proteção de gestão de direitos.FOr more information, see How to configure a label for Rights Management protection.