Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMSHold your own key (HYOK) requirements and restrictions for AD RMS protection

Aplica-se a: Azure Information ProtectionApplies to: Azure Information Protection

Quando protege os documentos e e-mails mais confidenciais, normalmente fá-lo através da aplicação de proteção do Azure Rights Management (Azure RMS) para beneficiar do seguinte:When you protect your most sensitive documents and emails, you typically do this by applying Azure Rights Management (Azure RMS) protection to benefit from the following:

  • Não é necessária nenhuma infraestrutura de servidor, o que torna a solução mais rápida e económica para implementar e manter do que uma solução no local.No server infrastructure required, which makes the solution quicker and more cost effective to deploy and maintain than an on-premises solution.

  • Uma partilha mais fácil com parceiros e os utilizadores de outras organizações utilizando a autenticação baseada na cloud.Easier sharing with partners and users from other organizations by using cloud-based authentication.

  • Integração completa com os serviços do Office 365, como pesquisa, visualizadores Web, vistas dinâmicas, antimalware, Deteção de Dados Eletrónicos e Delve.Tight integration with Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Controlo, revogação e notificação por e-mail para documentos confidenciais que tenha partilhado.Document tracking, revocation, and email notification for sensitive documents that you have shared.

O Azure RMS protege os documentos e e-mails da sua organização através de uma chave privada para a organização gerida pela Microsoft (predefinição) ou gerida por si ("traga a sua própria chave" ou cenário BYOK).Azure RMS protects your organization's documents and emails by using a private key for the organization that is managed by Microsoft (the default), or managed by you (the "bring your own key" or BYOK scenario). As informações que proteger com o Azure RMS nunca são enviadas para a cloud; os documentos e e-mails protegidos não são armazenados no Azure, a menos que os armazene aí explicitamente ou utilize outro serviço na cloud que os armazene no Azure.The information that you protect with Azure RMS is never sent to the cloud; the protected documents and emails are not stored in Azure unless you explicitly store them there or use another cloud service that stores them in Azure. Para obter mais informações sobre as opções de chave de inquilino, consulte Planear e implementar a sua chave de inquilino do Azure Information Protection.For more information about the tenant key options, see Planning and implementing your Azure Information Protection tenant key.

No entanto, algumas organizações podem ter de proteger um pequeno subconjunto de documentos e e-mails com uma chave que está alojada no local.However, a few organizations might need to protect a small subset of documents and emails with a key that is hosted on-premises. Por exemplo, isto pode ser necessário por motivos de regulamentação e conformidade.For example, this might be required for regulatory and compliance reasons.

Esta configuração é, por vezes, referida como "tenha a sua própria chave" (HYOK) e é suportada pelo Azure Information Protection quando tem uma implementação de Serviços de Gestão de Direitos do Active Directory (AD RMS) ativa com os requisitos documentados na secção seguinte.This configuration is sometimes referred to as "hold your own key" (HYOK) and it is supported by Azure Information Protection when you have a working Active Directory Rights Management Services (AD RMS) deployment with the requirements that are documented in the next section.

Neste cenário de HYOK, as políticas de direitos e a chave privada da organização que protege estas políticas são geridas e mantidas no local, enquanto que a política do Azure Information Protection para etiquetagem e classificação permanece gerida e armazenada no Azure.In this HYOK scenario, the rights policies and the organization's private key that protects these policies are managed and kept on-premises while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure. Tal como acontece com a proteção do Azure RMS, as informações que proteger com o AD RMS nunca são enviadas para a cloud.As with Azure RMS protection, information that you protect with AD RMS is never sent to the cloud.

Nota

Utilize esta configuração apenas quando tiver de o fazer e apenas para os documentos e e-mails que a requeiram.Use this configuration only when you have to, and for just the documents and emails that require it. A proteção do AD RMS não fornece as vantagens que obtém quando utiliza a proteção do Azure RMS e o seu objetivo é a "opacidade de dados a todo o custo".AD RMS protection doesn't provide the listed benefits that you get when you use Azure RMS protection, and its purpose is "data opacity at all costs."

Normalmente, mesmo para as organizações que utilizam esta configuração, é adequada para menos de 10% de todos os conteúdos que têm de ser protegidos.Even for the organizations that use this configuration, it is typically suitable for less than 10% of all the content that needs to be protected. Como orientação, utilize-a apenas para documentos ou e-mails que correspondam a todos os seguintes critérios:As guidance, use it only for documents or emails that match all the following criteria:

  • Os conteúdos possuem a classificação mais elevada na sua organização ("Confidencial") e o acesso é restringido a apenas algumas pessoas.The content has the highest classification in your organization ("Top Secret") and access is restricted to just a few people.

  • Os conteúdos nunca serão partilhados fora da organização.The content is never shared outside the organization.

  • Os conteúdos só serão consumidos na rede interna.The content is only consumed on the internal network.

  • Os conteúdos não precisam de ser consumidos em computadores Mac ou dispositivos móveis.The content does not need to be consumed on Mac computers or mobile devices.

Os utilizadores não sabem quando uma etiqueta utiliza a proteção do AD RMS em vez da proteção do Azure RMS.Users are not aware when a label uses AD RMS protection rather than Azure RMS protection. Devido às limitações e restrições inerentes da proteção do AD RMS, certifique-se de que fornece orientações claras sobre as exceções para quando os utilizadores devem selecionar etiquetas que aplicam a proteção do AD RMS.Because of the restrictions and limitations that come with AD RMS protection, make sure that you provide clear guidance about the exceptions for when users should select labels that apply AD RMS protection.

As políticas de âmbito são uma boa forma de garantir que apenas os utilizadores que precisam de aplicar a proteção do AD RMS veem as etiquetas configuradas para a proteção do AD RMS.Scoped policies are a good way to ensure that only the users who need to apply AD RMS protection see labels that are configured for AD RMS protection.

Limitações adicionais ao utilizar HYOKAdditional limitations when using HYOK

Além de não suportar as vantagens indicadas que obtém quando utiliza a proteção do Azure RMS, utilizar a proteção do AD RMS com o Azure Information Protection tem as seguintes limitações:In addition to not supporting the listed benefits that you get when you use Azure RMS protection, using AD RMS protection with Azure Information Protection has the following limitations:

  • Não suporta o Office 2010 ou o Office 2007.Does not support Office 2010 or Office 2007.

  • Instruir os utilizadores não a selecionar não reencaminhar no Outlook, ou fornecer orientações específicas.Instruct users not to select Do Not Forward in Outlook, or provide specific guidance.

    Embora seja possível configurar uma etiqueta para não reencaminhar para utilizar HYOK ou o serviço Azure Rights Management, os utilizadores podem também selecionar não reencaminhar próprios.Although you can configure a label for Do Not Forward to use HYOK or the Azure Rights Management service, users can also select Do Not Forward themselves. Pode selecionar esta opção, utilizando o não reencaminhar botão no mensagem separador do friso Office ou ao utilizar opções de menu do Outlook.They can select this option by using the Do Not Forward button on the Message tab of the Office ribbon, or by using Outlook menu options. O não reencaminhar opções de menu estão localizadas em ficheiro > permissõese o permissões botão do o opções separador no Friso.The Do Not Forward menu options are located in File > Permissions, and from the Permissions button from the Options tab on the ribbon.

    O cliente Azure Information Protection utiliza sempre o Azure RMS quando os utilizadores selecionam a não reencaminhar botão no Outlook.The Azure Information Protection client always uses Azure RMS when users select the Do Not Forward button in Outlook. Se não quiser este comportamento, pode ocultar o botão Não Reencaminhar no Outlook ao configurar uma definição de cliente avançado.If you do not want this behavior, you can hide the Do Not Forward button in Outlook by configuring an advanced client setting.

    Quando os utilizadores selecionam não reencaminhar de uma opção de menu do Outlook, podem escolher de entre o Azure RMS ou o AD RMS, mas poderão não saber qual é a opção para selecionar para a sua mensagem de correio eletrónico.When users select Do Not Forward from an Outlook menu option, they can choose from Azure RMS or AD RMS, but they might not know which option to select for their email message. Se o AD RMS é utilizado quando deve ser utilizado o Azure RMS, as pessoas que partilha com externamente não é possível abrir estas mensagens de e-mailIf AD RMS is used when Azure RMS should be used, people that you share with externally cannot open these email messages

  • Se configurar permissões de utilizador definida para Word, Excel, PowerPoint e Explorador de ficheiros: no Explorador de ficheiros, a proteção é sempre aplicada ao utilizar o Azure RMS em vez de proteção de HYOK (AD RMS).If you configure user defined permissions for Word, Excel, PowerPoint, and File Explorer: In File Explorer, the protection is always applied by using Azure RMS rather than HYOK (AD RMS) protection. Esta limitação não se aplica à versão de pré-visualização atual do cliente.This limitation does not apply to the current preview version of the client.

  • Se os utilizadores escolherem uma etiqueta no Outlook que aplica a proteção do AD RMS e, em seguida, mudarem de ideias antes de enviar o e-mail e selecionarem uma etiqueta que aplica a proteção do Azure RMS, a última etiqueta selecionada não será aplicada.If users choose a label in Outlook that applies AD RMS protection, and then change their minds before sending the email and select a label that applies Azure RMS protection, the newly selected label fails to apply. Os utilizadores verão a seguinte mensagem de erro: O Azure Information Protection não pode aplicar esta etiqueta. Não tem permissão para efetuar esta ação.Users see the following error message: Azure Information Protection cannot apply this label. You don't have permission to perform this action.

    A única solução é fechar a mensagem de e-mail e começar novamente.The only workaround is to close the email message and start again. A mesma limitação é aplicável se os utilizadores escolherem primeiro uma etiqueta que aplica a proteção do Azure RMS e, em seguida, alterarem a etiqueta para uma que aplica a proteção do AD RMS.The same limitation applies if similarly, users first choose a label that applies Azure RMS protection and then change the label to one that applies AD RMS protection.

Requisitos para HYOKRequirements for HYOK

Verifique se a sua implementação do AD RMS cumpre os requisitos seguintes para fornecer proteção do AD RMS para o Azure Information Protection.Check that your AD RMS deployment meets the following requirements to provide AD RMS protection for Azure Information Protection.

  • Configuração do AD RMS:AD RMS configuration:

    • Versão mínima do Windows Server 2012 R2: necessária para ambientes de produção, mas para fins de teste ou avaliação, pode utilizar uma versão mínima do Windows Server 2008 R2 com o Service Pack 1.Minimal version of Windows Server 2012 R2: Required for production environments but for testing or evaluation purposes, you can use a minimal version of Windows Server 2008 R2 with Service Pack 1.

    • Uma das seguintes topologias:One of the following topologies:

      • Floresta única com um único cluster de raiz de AD RMS.Single forest with a single AD RMS root cluster.

      • Várias florestas com clusters independentes de raiz de AD RMS e os utilizadores não têm acesso ao conteúdo que está protegido pelos utilizadores nas outras florestas.Multiple forests with independent AD RMS root clusters and users don't have access to the content that's protected by the users in the other forests.

      • Clusters de várias florestas com o AD RMS em cada um deles.Multiple forests with AD RMS clusters in each of them. Cada cluster de AD RMS partilhas de um URL de licenciamento que aponta para o mesmo cluster de AD RMS.Each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster. Neste cluster de AD RMS, tem de importar todos os certificados de domínio (TUD) de utilizadores fidedignos de todos os outros clusters de AD RMS.On this AD RMS cluster, you must import all the trusted user domain (TUD) certificates from all the other AD RMS clusters. Para obter mais informações sobre esta topologia, consulte utilizador domínio fidedigno.For more information about this topology, see Trusted User Domain.

      Quando tiver vários clusters de AD RMS em florestas diferentes, elimine as etiquetas na política de global que aplicarem a proteção de HYOK (AD RMS) e configurar um âmbito política para cada cluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster. Em seguida, atribua utilizadores para cada cluster a respetiva política de âmbito, certificando-se de que não utilize grupos que resultariam num utilizador que está a ser atribuído a mais de uma política no âmbito.Then, assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy. O resultado deve ser que cada utilizador tem as etiquetas para um cluster AD RMS.The result should be that each user has labels for one AD RMS cluster only.

    • Modo criptográfico 2: pode confirmar o modo ao verificar as propriedades de cluster de AD RMS, geral separador.Cryptographic Mode 2: You can confirm the mode by checking the AD RMS cluster properties, General tab.

    • Um ponto de ligação de serviço (SCP) não pode estar registado no Active Directory: não são utilizados SCPs ao utilizar a proteção do AD RMS com o Azure Information Protection.A service connection point (SCP) is not registered in Active Directory: An SCP is not used when you use AD RMS protection with Azure Information Protection. Se tiver registado um SCP na implementação do AD RMS, tem de removê-lo para que a deteção do serviço seja bem-sucedida para a proteção do Azure Rights Management.If you have a registered an SCP for your AD RMS deployment, you must remove it so that service discovery is successful for Azure Rights Management protection.

    • Os servidores do AD RMS estão configurados para utilizar SSL/TLS com um certificado x.509 válido que seja considerado fidedigno pelos clientes ligados: necessários para ambientes de produção, mas não para fins de teste ou avaliação.The AD RMS servers are configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients: Required for production environments but not required for testing or evaluation purposes.

    • Modelos de direitos configurados.Configured rights templates.

  • A sincronização de diretórios está configurada entre o Active Directory no local e o Azure Active Directory, e os utilizadores que irão utilizar a proteção do AD RMS estão configurados para início de sessão único.Directory synchronization is configured between your on-premises Active Directory and Azure Active Directory, and users who will use AD RMS protection are configured for single sign-on.

  • Se partilhar documentos ou e-mails protegidos pelo AD RMS com outras pessoas fora da sua organização: o AD RMS está configurado para confianças explicitamente definidas numa relação ponto a ponto direta com as outras organizações utilizando domínios de utilizadores fidedignos (TUDs) ou confianças federadas criadas utilizando os Serviços de Federação do Active Directory (AD FS).If you share documents or emails that are protected by AD RMS with others outside your organization: AD RMS is configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations by using either trusted user domains (TUDs) or federated trusts that are created by using Active Directory Federation Services (AD FS).

  • Os utilizadores têm uma versão do Office 2013 Pro Plus com Service Pack 1 ou do Office 2016 Pro Plus em execução no Windows 7 com Service Pack 1 ou posterior.Users have a version of Office that is Office 2013 Pro Plus with Service Pack 1 or Office 2016 Pro Plus, running on Windows 7 Service Pack 1 or later. Tenha em atenção que o Office 2010 e o Office 2007 não são suportados neste cenário.Note that Office 2010 and Office 2007 are not supported for this scenario.

Importante

Para cumprir a certeza elevada oferecida por este cenário, recomendamos que os servidores do AD RMS não estejam localizados na sua rede de perímetro e sejam utilizados apenas por computadores bem geridos (por exemplo, sem ser dispositivos móveis ou computadores de grupo de trabalho).To fulfill the high assurance that this scenario offers, we recommend that your AD RMS servers are not located in your DMZ, and that they are used by only well-managed computers (for example, not mobile devices or workgroup computers).

Recomendamos também que o cluster do AD RMS utilize um módulo de segurança de hardware (HSM), para que a chave privada do Certificado de Licenciante para Servidor (SLC) não possa ser exposta ou roubada caso a sua implementação do AD RMS seja alguma vez violada ou comprometida.We also recommend that your AD RMS cluster uses a hardware security module (HSM), so that the private key for your Server Licensor Certificate (SLC) cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Para obter informações de implementação e instruções para o AD RMS, veja Serviços de Gestão de Direitos do Active Directory na biblioteca do Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Localizar as informações para especificar a proteção do AD RMS com uma etiqueta do Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

Quando configurar uma etiqueta para HYOK (AD RMS) proteção, tem de especificar o URL de licenciamento do cluster do AD RMS.When you configure a label for HYOK (AD RMS) protection, you must specify the licensing URL of your AD RMS cluster. Além disso, tem de especificar a um modelo que configurou para conhecer as permissões conceder aos utilizadores ou permitir que os utilizadores a definir as permissões e os utilizadores.In addition, you must specify either a template that you've configured for the permissions to grant users, or let users define the permissions and users.

Pode encontrar o GUID do modelo e licenciamento valores do URL da consola de serviços de gestão de direitos do Active Directory:You can find the template GUID and licensing URL values from the Active Directory Rights Management Services console:

  • Para localizar um GUID do modelo: expanda o cluster e clique em modelos de política de direitos.To locate a template GUID: Expand the cluster and click Rights Policy Templates. A partir das informações em Modelos de Política de Direitos Distribuídos, pode copiar o GUID do modelo que pretende utilizar.From the Distributed Rights Policy Templates information, you can then copy the GUID from the template you want to use. Por exemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

  • Para localizar o URL de licenciamento: clique no nome do cluster.To locate the licensing URL: Click the cluster name. A partir das informações em Detalhes do Cluster, copie o valor de Licenciamento menos a cadeia /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string. Por exemplo: https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

    Se tiver um valor de licenciamento de extranet, bem como um valor de licenciamento de intranet e forem diferentes: especifique o valor de extranet apenas se for partilhar documentos ou e-mails protegidos com parceiros que definiu com confianças ponto a ponto explícitas.If you have an extranet licensing value as well as an intranet licensing value, and they are different: Specify the extranet value only if you will share protected documents or emails with partners that you have defined with explicit point-to-point trusts. Caso contrário, utilize o valor de intranet e certifique-se de que todos os computadores cliente que utilizam a proteção do AD RMS com o Azure Information Protection se ligam através de uma ligação de intranet (por exemplo, computadores remotos que utilizam uma ligação VPN).Otherwise, use the intranet value and make sure that all your client computers that use AD RMS protection with Azure Information Protection connect by using an intranet connection (for example, remote computers use a VPN connection).

Próximos passosNext steps

Para obter mais informações sobre esta funcionalidade e orientações para quando a utilizar, consulte o anúncio do blogue Azure Information Protection com HYOK (Tenha a Sua Própria Chave).To read more information about this feature and guidance for when to use it, see the blog post announcement, Azure Information Protection with HYOK (Hold Your Own Key).

Para configurar uma etiqueta para a proteção do AD RMS, veja Como configurar uma etiqueta para a proteção do Rights Management.To configure a label for AD RMS protection, see How to configure a label for Rights Management protection.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.