Guarde os seus próprios detalhes da tecla (HYOK) para o Azure Information Protection
As configurações da Sua Própria Chave (HYOK) permitem aos clientes AIP com o cliente clássico proteger conteúdo altamente sensível, mantendo o controlo total da sua chave. A HYOK utiliza uma chave adicional, detida pelo cliente, que é armazenada nas instalações para conteúdos altamente sensíveis, juntamente com a proteção padrão baseada na nuvem utilizada para outros conteúdos.
Uma vez que a proteção HYOK apenas permite o acesso a dados para aplicações e serviços no local, os clientes que usam o HYOK também têm uma chave baseada na nuvem para documentos na nuvem.
Utilize o HYOK para documentos que sejam:
- Restrito a apenas algumas pessoas
- Não partilhado fora da organização
- São consumidos apenas na rede interna.
Estes documentos normalmente têm a classificação mais alta da sua organização, como "Top Secret".
O conteúdo só pode ser encriptado utilizando a proteção HYOK se tiver o cliente clássico. No entanto, se tiver conteúdo protegido pelo HYOK, pode ser visto tanto no cliente de rotulagem clássico como unificado.
Para obter mais informações sobre as chaves de raiz do inquilino padrão, consulte o Planeamento e implementação da chave do seu Azure Information Protection inquilino.
Proteção baseada na nuvem vs HYOK
Normalmente, proteger documentos e e-mails sensíveis usando o Azure Information Protection utiliza uma chave baseada na nuvem que é gerada pela Microsoft ou pelo cliente, utilizando uma configuração BYOK.
As chaves baseadas em nuvem são geridas em Azure Key Vault, que proporciona aos clientes os seguintes benefícios:
Sem requisitos de infraestrutura de servidor. As soluções cloud são mais rápidas e económicas para implementar e manter do que as soluções no local.
A autenticação baseada na nuvem permite uma partilha mais fácil com parceiros e utilizadores de outras organizações.
Integração apertada com outros serviços Azure e Microsoft 365, tais como pesquisa, telespectadores web, vistas mais votadas, anti-malware, eDiscovery e Delve.
Documente o rastreio, revogação e notificações de e-mail para documentos sensíveis que partilhou.
No entanto, algumas organizações podem ter requisitos regulamentares que exigem que conteúdo específico seja encriptado usando uma chave que está isolada da nuvem. Este isolamento significa que o conteúdo encriptado só pode ser lido através de aplicações no local e serviços no local.
Com configurações HYOK, os inquilinos do cliente têm uma chave baseada na nuvem para usar com conteúdo que pode ser armazenado na nuvem, e uma chave no local para conteúdo que deve ser protegido apenas no local.
Orientação hyok e boas práticas
Ao configurar o HYOK, considere as seguintes recomendações:
- Conteúdo adequado para HYOK
- Defina os utilizadores que podem ver etiquetas configuradas pela HYOK
- HYOK e suporte de e-mail
Importante
Uma configuração HYOK para Azure Information Protection não é um substituto para uma implementação totalmente AD RMS e Azure Information Protection, ou uma alternativa à migração de RMS AD para Azure Information Protection.
O HYOK é suportado apenas aplicando rótulos, não oferece paridade de características com RMS AD, e não suporta todas as configurações de implementação de RMS AD.
Conteúdo adequado para HYOK
A proteção HYOK não fornece os benefícios da proteção baseada na nuvem, e muitas vezes vem à custa da "opacidade de dados", uma vez que o conteúdo só pode ser acedido através de aplicações e serviços no local. Mesmo para organizações que usam proteção HYOK, é normalmente adequado apenas para um pequeno número de documentos.
Recomendamos que utilize o HYOK apenas para conteúdos que correspondam aos seguintes critérios:
- Conteúdo com a classificação mais alta da sua organização ("Top Secret"), onde o acesso é restrito a apenas algumas pessoas
- Conteúdo que não é partilhado fora da organização
- Conteúdo que é consumido apenas na rede interna.
Defina os utilizadores que podem ver etiquetas configuradas pela HYOK
Para garantir que apenas os utilizadores que precisam de aplicar a proteção HYOK consultem as etiquetas configuradas pela HYOK, configurar a sua política para os utilizadores com políticas de âmbito.
HYOK e suporte de e-mail
Microsoft 365 serviços e outros serviços online não podem desencriptar conteúdo protegido pela HYOK.
Para e-mails, esta perda de funcionalidade inclui scanners de malware, proteção apenas encriptada, soluções de prevenção de perda de dados (DLP), regras de encaminhamento de correio, diário, eDiscovery, soluções de arquivo e Exchange ActiveSync.
Os utilizadores podem não entender porque é que alguns dispositivos não são capazes de abrir e-mails protegidos pelo HYOK, levando a chamadas adicionais para o seu balcão de ajuda. Esteja ciente destas limitações severas ao configurar a proteção HYOK com e-mails.
Migração do ADRMS
Se estiver a utilizar o cliente clássico com HYOK e tiver migrado do AD RMS, tem redirecionamentos no lugar, e o cluster AD RMS que utiliza deve ter URLs de licenciamento diferentes para os dos clusters que emigrou.
Para mais informações, consulte Migrar da AD RMS na documentação Azure Information Protection.
Candidaturas apoiadas para HYOK
Utilize etiquetas Information Protection Azure para aplicar HYOK a documentos e e-mails específicos. Hyok é suportado para versões Office 2013 e superior.
HYOK é uma opção de configuração de administrador para etiquetas, e os fluxos de trabalho permanecem os mesmos, independentemente de o conteúdo usar como chave baseada na nuvem ou HYOK.
As tabelas que se seguem listam os cenários suportados para proteger e consumir conteúdos utilizando rótulos configurados pela HYOK:
- Windows apoio à candidatura para a HYOK
- macOS apoio à candidatura para a HYOK
- iOS apoio à candidatura para a HYOK
- Android apoio à candidatura para a HYOK
Nota
Office aplicações Web e Universal não são suportadas para HYOK.
Windows apoio à candidatura para a HYOK
| Aplicação | Proteção | Consumo |
|---|---|---|
| Azure Information Protection cliente com aplicações de Microsoft 365, Office 2019, Office 2016 e Office 2013: Palavra, Excel, PowerPoint, Outlook |
 |
|
| Azure Information Protection cliente com Explorador de Ficheiros | |
|
| Espectador de Azure Information Protection | Não aplicável | |
| Azure Information Protection cliente com cmdlets de rotulagem PowerShell | |
|
| Scanner Azure Information Protection | |
|
macOS apoio à candidatura para a HYOK
| Aplicação | Proteção | Consumo |
|---|---|---|
| Office para Mac: Palavra, Excel, PowerPoint, Outlook |
 |
|
iOS apoio à candidatura para a HYOK
| Aplicação | Proteção | Consumo |
|---|---|---|
| Office Mobile: Palavra, Excel, PowerPoint |
|
|
| Office Mobile: apenas Outlook |
|
|
| Espectador de Azure Information Protection | Não aplicável | |
Android apoio à candidatura para a HYOK
| Aplicação | Proteção | Consumo |
|---|---|---|
| Office Mobile: Palavra, Excel, PowerPoint |
|
|
| Office Mobile: apenas Outlook |
|
|
| Espectador de Azure Information Protection | Não aplicável | |
Implementação hyok
A Azure Information Protection suporta o HYOK quando tem um Serviços de Gestão de Direitos do Ative Directory (AD RMS) que cumpre todos os requisitos listados abaixo.
As políticas de direitos de utilização e a chave privada da organização que protege estas políticas são geridas e mantidas no local, enquanto a política de Information Protection Azure para a rotulagem e classificação permanece gerida e armazenada em Azure.
Para implementar a proteção HYOK:
- Certifique-se de que o seu sistema está em conformidade com os requisitos de RMS da AD
- Localize as informações que pretende proteger
Quando estiver pronto, continue com como configurar uma etiqueta para Rights Management proteção.
Requisitos para que a AD RMS apoie o HYOK
Uma implantação de RMS AD deve satisfazer os seguintes requisitos para fornecer proteção HYOK para rótulos Information Protection Azure:
| Requisito | Description |
|---|---|
| Configuração AD RMS | O seu sistema AD RMS tem de ser configurado de forma específica para suportar o HYOK. Para mais informações, consulte abaixo. |
| Sincronização de diretórios | A sincronização do diretório deve ser configurada entre o seu Ative Directory no local e o Azure Ative Directory. Os utilizadores que utilizarem etiquetas de proteção HYOK devem ser configurados para uma única s placagem. |
| Configuração para fidedignidades explicitamente definidas | Se partilhar conteúdo protegido pela HYOK com outros fora da sua organização, o RMS AD deve ser configurado para fidedignidades explicitamente definidas numa relação direta ponto a ponto com as outras organizações. Faça isto utilizando domínios de utilizador fidedignos (TUDs) ou fidedignidades federadas que são criadas usando Serviços de Federação do Ative Directory (AD FS) (AD FS). |
| Microsoft Office versão suportada | Os utilizadores que protejam ou consumam conteúdo protegido pelo HYOK devem ter: - Uma versão de Office que suporte a informação Rights Management (IRM) - Microsoft Office versão Professional Plus 2013 ou posteriormente com o Service Pack 1, em execução no Windows 7 Service Pack 1 ou posterior. - Para a Office edição baseada em Microsoft Installer (.msi) de 2016, deverá ter a 4018295 de atualização para Microsoft Office 2016 que foi lançada a 6 de março de 2018. Nota: Office 2010 e Office 2007 não são apoiados. Para mais informações, consulte AIP e as Windows e Office versões. |
Importante
Para cumprir a alta garantia que a proteção HYOK oferece, recomendamos:
Localizar os seus servidores AD RMS fora do seu DMZ e garantir que são utilizados apenas por dispositivos geridos.
Configure o seu cluster AD RMS com um módulo de segurança de hardware (HSM). Isto ajuda a garantir que a tecla privada do Certificado de Licenciamento do Servidor (SLC) não possa ser exposta ou roubada se a sua implementação de RMS AD alguma vez for violada ou comprometida.
Dica
Para obter informações de implementação e instruções para o AD RMS, veja Serviços de Gestão de Direitos do Active Directory na biblioteca do Windows Server.
Requisitos de configuração AD RMS
Para apoiar o HYOK, certifique-se de que o seu sistema AD RMS tem as seguintes configurações:
| Requisito | Description |
|---|---|
| Versão do Windows | No mínimo, uma das seguintes versões Windows: Ambientes de produção: ambientes deteste/avaliação de Windows Server 2012 R2 : Windows Server 2008 R2 com Service Pack 1 |
| Topologia | HYOK requer uma das seguintes topologias: - Uma única floresta, com um único aglomerado de RMS AD - Múltiplas florestas, com aglomerados de RMS AD em cada uma delas. Licenciamento para múltiplas florestas Se tiver múltiplas florestas, cada cluster AD RMS partilha um URL de licenciamento que aponta para o mesmo cluster AD RMS. Neste cluster AD RMS, importe todos os certificados de domínio de utilizador fidedignos (TUD) de todos os outros clusters AD RMS. Para obter mais informações sobre esta topologia, consulte o Domínio do Utilizador Fidedigno. Rótulos de política global para múltiplas florestas Quando tiver vários aglomerados de RMS AD em florestas separadas, elimine quaisquer rótulos na política global que apliquem a proteção HYOK (AD RMS) e configuure uma política de mira para cada cluster. Atribua os utilizadores para cada cluster à sua política de mira, certificando-se de que não utiliza grupos que resultariam na atribuição de um utilizador a mais de uma política de âmbito. O resultado deve ser que cada utilizador tenha etiquetas apenas para um cluster AD RMS. |
| Modo criptográfico | O seu AD RMS deve ser configurado com o Modo Criptográfico 2. Confirme o modo verificando as propriedades do cluster AD RMS, separador geral . |
| Configuração de URL de certificação | Cada servidor AD RMS deve ser configurado para o URL de certificação. Para mais informações, consulte abaixo. |
| Pontos de ligação de serviço | Um ponto de ligação de serviço (SCP) não é utilizado quando utiliza proteção RMS AD com Information Protection Azure. Se tiver um SCP registado para a sua implementação de RMS AD, remova-o para garantir que a descoberta do serviço é bem sucedida para a proteção Rights Management Azure. Se estiver a instalar um novo cluster AD RMS para o HYOK, não registe o SCP ao configurar o primeiro nó. Para cada nó adicional, certifique-se de que o servidor está configurado para o URL de certificação antes de adicionar a função AD RMS e juntar-se ao cluster existente. |
| SSL/TLS | Em ambientes de produção, os servidores AD RMS devem ser configurados para utilizar SSL/TLS com um certificado x.509 válido que seja fidedigno pelos clientes de ligação. Isto não é necessário para fins de teste ou avaliação. |
| Modelos de direitos | Você deve ter modelos de direitos configurados para o seu AD RMS. |
| IRM Exchange | O seu RMS AD não pode ser configurado para Exchange IRM. |
| Dispositivos móveis / computadores Mac | Tem de ter a extensão do dispositivo móvel Serviços de Gestão de Direitos do Ative Directory instalada e configurada. |
Configurar servidores AD RMS para localizar o URL de certificação
Em cada servidor AD RMS no cluster, crie a seguinte entrada de registo:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Para o valor> da <cadeia, especifique uma das seguintes cordas:
Ambiente Valor das cordas Produção
(agrupamentos de RMS AD utilizando SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxTeste/avaliação
(sem SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxReinicie o IIS.
Localizar as informações para especificar a proteção do AD RMS com uma etiqueta do Azure Information Protection
Configurar as etiquetas de proteção HYOK requer que especifique o URL de licenciamento do seu cluster AD RMS.
Além disso, deve especificar um modelo que configurar com as permissões que pretende conceder aos utilizadores, ou permitir que os utilizadores definam permissões e utilizadores.
Faça o seguinte para localizar o modelo GUID e licenciar os valores de URL da consola Serviços de Gestão de Direitos do Ative Directory:
Localize um modelo GUIADO
Expandir o cluster e clicar em modelos de política de direitos.
A partir das informações de Modelos de Política de Direitos Distribuídos , copie o GUID do modelo que pretende utilizar.
Por exemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119
Localizar o URL de licenciamento
Clique no nome do cluster.
A partir das informações em Detalhes do Cluster, copie o valor de Licenciamento menos a cadeia /_wmcs/licensing.
Por exemplo: https://rmscluster.contoso.com
Nota
Se tiver diferentes valores de extranet e de licenciamento intranet, especifique o valor da extranet apenas se partilhará conteúdo protegido com parceiros. Os parceiros que partilham conteúdos protegidos devem ser definidos com fidedignidades explícitas ponto a ponto.
Se não estiver a partilhar conteúdo protegido, utilize o valor intranet e certifique-se de que todos os computadores clientes que utilizam a proteção RMS AD com a Azure Information Protection se ligar através de uma ligação intranet. Por exemplo, os computadores remotos devem utilizar uma ligação VPN.
Passos seguintes
Quando terminar de configurar o seu sistema para apoiar o HYOK, continue com as etiquetas de configuração para a proteção HYOK. Para obter mais informações, consulte Como configurar uma etiqueta para a proteção do Rights Management.