Хранение собственных ключей (HYOK) для Azure Information Protection
Хранение конфигураций собственных ключей (HYOK) позволяет клиентам AIP с классическим клиентом защищать содержимое с высоким уровнем конфиденциальности, сохраняя при этом полный контроль над ключом. HYOK использует дополнительный ключ, который хранится в локальной среде для содержимого с высоким уровнем конфиденциальности, а также облачную защиту по умолчанию, используемую для другого содержимого.
Так как защита HYOK обеспечивает доступ только к данным для локальных приложений и служб, клиенты, использующие HYOK, также имеют облачный ключ для облачных документов.
Используйте HYOK для документов, которые:
- Ограничено только несколькими людьми
- Не предоставлен общий доступ за пределами организации
- Используются только во внутренней сети.
Эти документы обычно имеют наивысшую классификацию в вашей организации, как "Top Secret".
Содержимое можно шифровать с помощью защиты HYOK только в том случае, если у вас есть классический клиент. Однако если у вас есть содержимое с защитой HYOK, его можно просмотреть как в классическом, так и в клиенте унифицированных меток.
Дополнительные сведения о ключах корневого клиента, используемых по умолчанию, см. в статье "Планирование и реализация ключа клиента azure Information Protection".
Защита на основе облака и HYOK
Как правило, защита конфиденциальных документов и электронных писем с помощью Azure Information Protection использует облачный ключ, созданный корпорацией Майкрософт или клиентом, с помощью конфигурации BYOK.
Облачные ключи управляются в Azure Key Vault, что обеспечивает клиентам следующие преимущества:
Серверная инфраструктура не требуется. Облачные решения являются более быстрыми и экономичными для развертывания и обслуживания, чем локальные решения.
Облачная проверка подлинности позволяет упростить общий доступ с партнерами и пользователями из других организаций.
Тесная интеграция с другими службами Azure и Microsoft 365, такими как поиск, веб-зрители, сводные представления, защита от вредоносных программ, обнаружение электронных данных и Delve.
Отслеживание документов, отзыв и уведомления по электронной почте о конфиденциальных документах , к которым вы предоставили доступ.
Однако некоторые организации могут иметь нормативные требования, требующие шифрования конкретного содержимого с помощью ключа, изолированного от облака. Такая изоляция означает, что зашифрованное содержимое может считываться только локальными приложениями и локальными службами.
При использовании конфигураций HYOK клиенты имеют облачный ключ для использования с содержимым, которое может храниться в облаке, и локальный ключ для содержимого, который должен быть защищен только в локальной среде.
Советы и рекомендации по использованию HYOK
При настройке HYOK учитывайте следующие рекомендации:
- Содержимое, подходящее для HYOK
- Определите пользователей, которые могут просматривать метки, настроенные hyOK
- Поддержка HYOK и электронной почты
Важно!
Конфигурация HYOK для Azure Information Protection не является заменой полного развертывания AD RMS и Azure Information Protection или альтернативой миграции AD RMS в Azure Information Protection.
HYOK поддерживается только путем применения меток, не обеспечивает четность функций с AD RMS и не поддерживает все конфигурации развертывания AD RMS.
Содержимое, подходящее для HYOK
Защита HYOK не обеспечивает преимущества облачной защиты и часто приходится за счет "непрозрачности данных", так как доступ к содержимому может осуществляться только локальными приложениями и службами. Даже для организаций, использующих защиту HYOK, обычно подходит только для небольшого количества документов.
Рекомендуется использовать HYOK только для содержимого, соответствующего следующим критериям:
- Содержимое с наивысшей классификацией в организации ("Top Secret"), где доступ ограничен лишь несколькими людьми
- Содержимое, которое не предоставляется за пределами организации
- Содержимое, используемое только во внутренней сети.
Определите пользователей, которые могут просматривать метки, настроенные hyOK
Чтобы убедиться, что только пользователи, которым требуется применить защиту HYOK, видят метки, настроенные hyOK, настройте политику для этих пользователей с политиками с заданной областью действия.
Поддержка HYOK и электронной почты
Microsoft 365 службы и другие веб-службы не могут расшифровать содержимое, защищенное HYOK.
Для сообщений электронной почты эта потеря функциональности включает сканеры вредоносных программ, защиту только для шифрования, решения защиты от потери данных (DLP), правила маршрутизации почты, журналирование, обнаружение электронных данных, решения архивации и Exchange ActiveSync.
Пользователи могут не понять, почему некоторые устройства не могут открывать сообщения электронной почты с защитой HYOK, что приводит к дополнительным звонкам в службу поддержки. Помните об этих серьезных ограничениях при настройке защиты HYOK с помощью сообщений электронной почты.
Миграция с ADRMS
Если вы используете классический клиент с HYOK и перешли с AD RMS, у вас есть перенаправления, а используемый кластер AD RMS должен иметь разные URL-адреса лицензирования для перенесенных кластеров.
Дополнительные сведения см. в статье "Миграция из AD RMS" в документации по Azure Information Protection.
Поддерживаемые приложения для HYOK
Используйте метки Azure Information Protection для применения HYOK к определенным документам и сообщениям электронной почты. HYOK поддерживается для Office версий 2013 и более поздних версий.
HYOK — это параметр конфигурации администратора для меток, и рабочие процессы остаются неизменными независимо от того, используется ли содержимое в качестве облачного ключа или HYOK.
В следующих таблицах перечислены поддерживаемые сценарии защиты и использования содержимого с помощью меток, настроенных hyOK:
- поддержка приложений Windows для HYOK
- поддержка приложений macOS для HYOK
- поддержка приложений iOS для HYOK
- поддержка приложений Android для HYOK
Примечание
Office веб-приложения и универсальные приложения не поддерживаются для HYOK.
поддержка приложений Windows для HYOK
| Приложение | Защита | Потребление |
|---|---|---|
| Клиент Azure Information Protection с приложениями Microsoft 365, Office 2019, Office 2016 и Office 2013: Word, Excel, PowerPoint, Outlook |
 |
|
| Клиент Azure Information Protection с проводником | |
|
| Azure Information Protection Viewer | Неприменимо | |
| Клиент Azure Information Protection с командлетами создания меток PowerShell | |
|
| Средство проверки Azure Information Protection | |
|
поддержка приложений macOS для HYOK
| Приложение | Защита | Потребление |
|---|---|---|
| Office для Mac: Word, Excel, PowerPoint, Outlook |
 |
|
поддержка приложений iOS для HYOK
| Приложение | Защита | Потребление |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: только Outlook |
|
|
| Azure Information Protection Viewer | Неприменимо | |
поддержка приложений Android для HYOK
| Приложение | Защита | Потребление |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: только Outlook |
|
|
| Azure Information Protection Viewer | Неприменимо | |
Реализация HYOK
Azure Information Protection поддерживает HYOK, если у вас есть службы Active Directory Rights Management (AD RMS), которая соответствует всем требованиям, перечисленным ниже.
Политики прав на использование и закрытый ключ организации, которые защищают эти политики, управляются и хранятся в локальной среде, а политика Azure Information Protection для маркировки и классификации остается управляемой и сохраненной в Azure.
Чтобы реализовать защиту HYOK, выполните приведенные далее действия.
- Убедитесь, что система соответствует требованиям AD RMS
- Найдите сведения, которые требуется защитить
Когда все будет готово, перейдите к настройке метки для защиты Rights Management.
Требования к AD RMS для поддержки HYOK
Развертывание AD RMS должно соответствовать следующим требованиям, чтобы обеспечить защиту HYOK для меток Azure Information Protection:
| Требование | Описание |
|---|---|
| Конфигурация AD RMS | Система AD RMS должна быть настроена определенным образом для поддержки HYOK. Дополнительную информацию см. ниже. |
| Синхронизация каталогов | Синхронизация каталогов должна быть настроена между локальная служба Active Directory и Azure Active Directory. Пользователи, которые будут использовать метки защиты HYOK, должны быть настроены для единого входа. |
| Конфигурация для явно определенных отношений доверия | Если вы предоставляете общий доступ к содержимому, защищенному HYOK, другим пользователям за пределами организации, служба AD RMS должна быть настроена для явно определенных отношений доверия в прямой связи "точка — точка" с другими организациями. Для этого используются доверенные домены пользователей (TUD) или федеративные отношения доверия, созданные с помощью службы федерации Active Directory (AD FS) (AD FS). |
| поддерживаемая версия Microsoft Office | Пользователи, которые защищают или используют содержимое с защитой HYOK, должны иметь: — версия Office, поддерживающая сведения Rights Management (IRM) — Microsoft Office Professional plus версии 2013 или более поздней с пакетом обновления 1 (SP1), работающей в Windows 7 с пакетом обновления 1 (SP1) или более поздней. — Для выпуска microsoft Installer Office 2016 (.msi) необходимо иметь обновление 4018295 для Microsoft Office 2016 г., выпущенного 6 марта 2018 г. Примечание. Office 2010 и Office 2007 не поддерживаются. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office. |
Важно!
Чтобы обеспечить высокую уверенность в том, что меры защиты HYOK обеспечиваются, рекомендуется:
Поиск серверов AD RMS за пределами сети периметра и обеспечение их использования только управляемыми устройствами.
Настройте кластер AD RMS с аппаратным модулем безопасности (HSM). Это помогает убедиться, что закрытый ключ сертификата сертификатов сервера (SLC) не может быть предоставлен или украден, если развертывание AD RMS никогда не должно быть нарушено или скомпрометировано.
Совет
Сведения о развертывании и инструкции для AD RMS см. в статье Службы Active Directory Rights Management в библиотеке Windows Server.
Требования к конфигурации AD RMS
Чтобы обеспечить поддержку HYOK, убедитесь, что в системе AD RMS есть следующие конфигурации:
| Требование | Описание |
|---|---|
| Версия Windows | Как минимум, одна из следующих версий Windows: рабочие среды: Windows Server 2012R2 Testing/evaluation environments: Windows Server 2008 R2 с пакетом обновления 1 (SP1) |
| Топология | ДЛЯ HYOK требуется одна из следующих топологий: один лес с одним кластером AD RMS — несколькими лесами с кластерами AD RMS в каждом из них. Лицензирование для нескольких лесов Если у вас несколько лесов, каждый кластер AD RMS использует URL-адрес лицензирования, указывающий на один и тот же кластер AD RMS. В этом кластере AD RMS импортируйте все сертификаты доверенного домена пользователей (TUD) из всех остальных кластеров AD RMS. Дополнительные сведения об этой топологии см. в разделе "Доверенный домен пользователя". Метки глобальной политики для нескольких лесов При наличии нескольких кластеров AD RMS в отдельных лесах удалите все метки в глобальной политике, которые применяют защиту HYOK (AD RMS) и настраивают политику с заданной областью для каждого кластера. Назначьте пользователей для каждого кластера политике с заданной областью, убедившись, что группы не используются, что приведет к тому, что пользователю назначается несколько политик с заданной областью. Результатом должно быть то, что каждый пользователь имеет метки только для одного кластера AD RMS. |
| Режим шифрования | Служба AD RMS должна быть настроена в режиме шифрования 2. Проверьте режим, проверив свойства кластера AD RMS, вкладку "Общие ". |
| Конфигурация URL-адреса сертификации | Каждый сервер AD RMS должен быть настроен для URL-адреса сертификации. Дополнительные сведения см. ниже. |
| Точки подключения службы | Точка подключения службы (SCP) не используется при использовании защиты AD RMS с azure Information Protection. Если вы зарегистрировали SCP для развертывания AD RMS, удалите его, чтобы убедиться, что обнаружение службы прошло успешно для защиты Rights Management Azure. Если вы устанавливаете новый кластер AD RMS для HYOK, не регистрируйте SCP при настройке первого узла. Прежде чем добавлять роль AD RMS на каждый дополнительный узел и присоединять существующий кластер, убедитесь, что сервер настроен для URL-адреса сертификации. |
| SSL/TLS | В рабочих средах серверы AD RMS должны быть настроены для использования SSL/TLS с действительным сертификатом x.509, доверенным для подключающихся клиентов. Это не требуется для тестирования или оценки. |
| Шаблоны прав | Для ad RMS необходимо настроить шаблоны прав. |
| Exchange IRM | Не удается настроить AD RMS для Exchange IRM. |
| Мобильные устройства и компьютеры Mac | Необходимо установить и настроить расширение мобильных устройств службы Active Directory Rights Management. |
Настройка серверов AD RMS для поиска URL-адреса сертификации
На каждом сервере AD RMS в кластере создайте следующий параметр реестра:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`Для строкового <значения> укажите одну из следующих строк:
Среда Строковое значение Производства
(Кластеры AD RMS с использованием SSL/TLS)https://<cluster_name>/_wmcs/certification/certification.asmxТестирование и оценка
(без SSL/TLS)http://<cluster_name>/_wmcs/certification/certification.asmxПерезапустите IIS.
Поиск информации, указываемой при настройке защиты AD RMS с меткой Azure Information Protection
Для настройки меток защиты HYOK необходимо указать URL-адрес лицензирования кластера AD RMS.
Кроме того, необходимо указать шаблон, настроенный с разрешениями, которые вы хотите предоставить пользователям, или разрешить пользователям определять разрешения и пользователей.
Выполните следующие действия, чтобы найти значения GUID шаблона и URL-адреса лицензирования в консоли службы Active Directory Rights Management:
Поиск идентификатора GUID шаблона
разверните кластер и нажмите кнопку Шаблоны политики прав.
Из сведений о шаблонах политик распределенных прав скопируйте GUID из шаблона, который вы хотите использовать.
Например: 82bf3474-6efe-4fa1-8827-d1bd93339119
Поиск URL-адреса лицензирования
Щелкните имя кластера.
В разделе Сведения о кластере скопируйте параметр Лицензирования и удалите конечную строку /_wmcs/licensing.
Например: https://rmscluster.contoso.com
Примечание
Если у вас разные значения лицензирования экстрасети и интрасети, укажите значение экстрасети только в том случае, если вы будете совместно использовать защищенное содержимое с партнерами. Партнеры, которые совместно используют защищенное содержимое, должны быть определены с явными отношениями доверия "точка — точка".
Если вы не предоставляете общий доступ к защищенному содержимому, используйте значение интрасети и убедитесь, что все клиентские компьютеры, использующие защиту AD RMS, с помощью Azure Information Protection подключаться через подключение к интрасети. Например, удаленные компьютеры должны использовать VPN-подключение.
Дальнейшие действия
Завершив настройку системы для поддержки HYOK, продолжайте настраивать метки для защиты HYOK. Дополнительные сведения см. в статье Как настроить метку для применения защиты Rights Management.