Håll din egen nyckel (HYOK) information om Azure Information ProtectionHold your own key (HYOK) details for Azure Information Protection

*Gäller för: Azure information Protection**Applies to: Azure Information Protection*

*Relevant för: Azure information Protection Classic-klienten för Windows.*Relevant for: Azure Information Protection classic client for Windows. En enhetlig märknings klient finns i Double Key Encryption. *For the unified labeling client, see Double Key Encryption.*

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection klassiska klient -och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection classic client and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Håll dina egna nyckel (HYOK)-konfigurationer och gör det möjligt för AIP-kunder med den klassiska klienten att skydda mycket känsligt innehåll och samtidigt ha full kontroll över nyckeln.Hold Your Own Key (HYOK) configurations enable AIP customers with the classic client to protect highly sensitive content while maintaining full control of their key. HYOK använder ytterligare en kund lagrad nyckel som lagras lokalt för mycket känsligt innehåll, tillsammans med det standard molnbaserade skyddet som används för annat innehåll.HYOK uses an additional, customer-held key that's stored on premises for highly sensitive content, together with the default cloud-based protection used for other content.

Mer information om standard molnbaserade rot nycklar för klient organisationen finns i planera och implementera din Azure information Protection klient nyckel.For more information about the default, cloud-based tenant root keys, see Planning and implementing your Azure Information Protection tenant key.

Molnbaserad skydd jämfört med HYOKCloud-based protection vs. HYOK

Vanligt vis skyddar känsliga dokument och e-postmeddelanden med Azure Information Protection en molnbaserad nyckel som antingen genereras av Microsoft eller av kunden, med hjälp av en BYOK-konfiguration.Typically, protecting sensitive documents and emails using Azure Information Protection uses a cloud-based key that is either generated by Microsoft or by the customer, using a BYOK configuration.

Molnbaserade nycklar hanteras i Azure Key Vault, vilket ger kunderna följande fördelar:Cloud-based keys are managed in Azure Key Vault, which provides customers with the following benefits:

  • Inga krav på Server infrastruktur.No server infrastructure requirements. Moln lösningar går snabbare och mer kostnads effektivt att distribuera och underhålla än lokala lösningar.Cloud solutions are quicker and more cost-effective to deploy and maintain than on-premises solutions.

  • Med molnbaserad autentisering kan du enklare dela med partner och användare från andra organisationer.Cloud-based authentication enables easier sharing with partners and users from other organizations.

  • Tätt integrering med andra Azure-och Microsoft 365-tjänster, till exempel Sök, webbtittare, pivoterade vyer, program mot skadlig kod, EDiscovery och Delve.Tight integration with other Azure and Microsoft 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Dokument spårning, återkallning och e-postmeddelanden för känsliga dokument som du har delat.Document tracking, revocation, and email notifications for sensitive documents that you have shared.

Vissa organisationer kan dock ha myndighets krav som kräver att ett visst innehåll krypteras med en nyckel som är isolerad från molnet.However, some organizations may have regulatory requirements that require specific content to be encrypted using a key that is isolated from the cloud. Den här isoleringen innebär att krypterat innehåll kan läsas endast av lokala program och lokala tjänster.This isolation means that encrypted content can be read only by on-premises applications and on-premises services.

Med HYOK-konfigurationer har kund klienterna både en molnbaserad nyckel att använda med innehåll som kan lagras i molnet och en lokal nyckel för innehåll som endast måste skyddas lokalt.With HYOK configurations, customer tenants have both a cloud-based key to use with content that can be stored on the cloud, and an on-premises key for content that must be protected on-premises only.

HYOK-vägledning och bästa praxisHYOK guidance and best practices

När du konfigurerar HYOK bör du tänka på följande rekommendationer:When configuring HYOK, consider the following recommendations:

Viktigt

En HYOK-konfiguration för Azure Information Protection är inte en ersättning för en fullständigt AD RMS och Azure Information Protection distribution, eller ett alternativ till att migrera AD RMS till Azure information Protection.An HYOK configuration for Azure Information Protection is not a replacement for a fully AD RMS and Azure Information Protection deployment, or an alternative to migrating AD RMS to Azure Information Protection.

HYOK stöds endast genom att använda etiketter, erbjuder inte funktions paritet med AD RMS och har inte stöd för alla AD RMS-distributions konfigurationer.HYOK is supported only by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations.

Innehåll lämpligt för HYOKContent suitable for HYOK

HYOK Protection ger inte fördelarna med molnbaserad skydd, och kostar ofta att använda "dataopacitet", eftersom innehållet endast kan nås av lokala program och tjänster.HYOK protection doesn't provide the benefits of cloud-based protection, and often comes at the cost of "data opacity", since the content can be accessed only by on-premises applications and services. Även för organisationer som använder HYOK-skydd är det vanligt vis bara lämpligt för ett litet antal dokument.Even for organizations that use HYOK protection, it's typically suitable only for a small number of documents.

Vi rekommenderar att du endast använder HYOK för innehåll som uppfyller följande kriterier:We recommend that you use HYOK only for content that matches the following criteria:

  • Innehåll med den högsta klassificeringen i din organisation ("Top Secret"), där åtkomst är begränsad till bara några få personerContent with the highest classification in your organization ("Top Secret"), where access is restricted to just a few people
  • Innehåll som inte delas utanför organisationenContent that isn't shared outside the organization
  • Innehåll som endast används i det interna nätverket.Content that is consumed only on the internal network.

Definiera de användare som kan se HYOK-konfigurerade etiketterDefine the users who can see HYOK-configured labels

Se till att endast användare som behöver tillämpa HYOK-skydd finns i HYOK-konfigurerade etiketter, konfigurera principen för dessa användare med begränsade principer.To ensure that only users who need to apply HYOK protection see the HYOK-configured labels, configure your policy for those users with scoped policies.

Stöd för HYOK och e-postHYOK and email support

Det går inte att dekryptera HYOK-skyddat innehåll med Microsoft 365 tjänster och andra onlinetjänster.Microsoft 365 services and other online services can't decrypt HYOK-protected content.

För e-postmeddelanden inkluderar denna förlust av funktioner skadlig kod, endast kryptering, skydd mot data förlust (DLP), regler för e-postroutning, journal, eDiscovery, arkivering av lösningar och Exchange ActiveSync.For emails, this loss of functionality includes malware scanners, encrypt-only protection, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync.

Användare kanske inte förstår varför vissa enheter inte kan öppna HYOK-skyddade e-postmeddelanden, vilket leder till ytterligare anrop till supportavdelningen.Users may not understand why some devices aren't able to open HYOK-protected emails, leading to additional calls to your help desk. Tänk på dessa allvarliga begränsningar när du konfigurerar HYOK-skydd med e-post.Be aware of these severe limitations when configuring HYOK protection with emails.

Program som stöds för HYOKSupported applications for HYOK

Använd Azure Information Protection etiketter för att tillämpa HYOK på vissa dokument och e-postmeddelanden.Use Azure Information Protection labels to apply HYOK to specific documents and emails. HYOK stöds för Office-versionerna 2013 och senare.HYOK is supported for Office versions 2013 and higher.

HYOK är ett administratörs alternativ för etiketter och arbets flöden förblir desamma, oavsett om innehållet används som molnbaserad nyckel eller HYOK.HYOK is an administrator configuration option for labels, and workflows remain the same, regardless of whether the content uses as cloud-based key or HYOK.

I följande tabeller visas de scenarier som stöds för att skydda och konsumera innehåll med HYOK-konfigurerade etiketter:The following tables list the supported scenarios for protecting and consuming content using HYOK-configured labels:

Anteckning

Office Web och Universal Applications stöds inte för HYOK.Office Web and Universal applications are not supported for HYOK.

Windows program stöd för HYOKWindows application support for HYOK

ProgramApplication SkyddProtection FörbrukningConsumption
Azure Information Protection-klient med Microsoft 365 appar, Office 2019, Office 2016 och Office 2013:Azure Information Protection client with Microsoft 365 apps, Office 2019, Office 2016, and Office 2013:
Word, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
ja ja
Azure Information Protection-klient med UtforskarenAzure Information Protection client with File Explorer ja ja
Azure Information Protection ViewerAzure Information Protection Viewer Inte tillämpligtNot applicable ja
Azure Information Protection-klient med PowerShell-cmdletar för etiketteringAzure Information Protection client with PowerShell labeling cmdlets ja ja
Azure Information Protection skannerAzure Information Protection scanner ja ja

macOS-program stöd för HYOKmacOS application support for HYOK

ProgramApplication SkyddProtection FörbrukningConsumption
Office för Mac:Office for Mac:
Word, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
nej ja

stöd för iOS-program för HYOKiOS application support for HYOK

ProgramApplication SkyddProtection FörbrukningConsumption
Office Mobile:Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
nej ja
Office Mobile:Office Mobile:
Endast OutlookOutlook only
nej nej
Azure Information Protection ViewerAzure Information Protection Viewer Inte tillämpligtNot applicable ja

Stöd för Android-program för HYOKAndroid application support for HYOK

ProgramApplication SkyddProtection FörbrukningConsumption
Office Mobile:Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
nej ja
Office Mobile:Office Mobile:
Endast OutlookOutlook only
nej nej
Azure Information Protection ViewerAzure Information Protection Viewer Inte tillämpligtNot applicable ja

Implementera HYOKImplementing HYOK

Azure Information Protection stöder HYOK när du har en Active Directory Rights Management Services (AD RMS) som uppfyller alla krav som anges nedan.Azure Information Protection supports HYOK when you have an Active Directory Rights Management Services (AD RMS) that complies with all of the requirements listed below.

Användnings rättigheter och organisationens privata nyckel som skyddar dessa principer hanteras och hålls lokalt, medan Azure Information Protection principen för etiketter och klassificering förblir hanterad och lagras i Azure.Usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

Så här implementerar du HYOK-skydd:To implement HYOK protection:

  1. Kontrol lera att systemet uppfyller AD RMS kravenMake sure your system complies with the AD RMS requirements
  2. Hitta den information som du vill skyddaLocate the information you want to protect

När du är klar fortsätter du med hur du konfigurerar en etikett för Rights Management skydd.When you're ready, continue with How to configure a label for Rights Management protection.

Krav för AD RMS som stöder HYOKRequirements for AD RMS to support HYOK

En AD RMS-distribution måste uppfylla följande krav för att tillhandahålla HYOK-skydd för Azure Information Protection etiketter:An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels:

KravRequirement BeskrivningDescription
AD RMS konfigurationAD RMS configuration Ditt AD RMS system måste konfigureras på olika sätt för att stödja HYOK.Your AD RMS system must be configured in specific ways to support HYOK. Mer information finns nedan.For more information, see below.
KatalogsynkroniseringDirectory synchronization Directory-synkronisering måste konfigureras mellan den lokala Active Directory och Azure Active Directory.Directory synchronization must be configured between your on-premises Active Directory and the Azure Active Directory.

Användare som ska använda HYOK skydds etiketter måste konfigureras för enkel inloggning.Users who will use HYOK protection labels must be configured for single-sign-on.
Konfiguration för explicit definierade förtroendenConfiguration for explicitly defined trusts Om du delar HYOK innehåll med andra utanför organisationen måste AD RMS konfigureras för explicit definierade förtroenden i en direkt punkt-till-punkt-relation med de andra organisationerna.If you share HYOK-protected content with others outside your organization, AD RMS must be configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations.

Gör detta med hjälp av betrodda användar domäner (TUD) eller federerade förtroenden som skapas med hjälp av Active Directory Federation Services (AD FS) (AD FS).Do this using trusted user domains (TUDs) or federated trusts that are created using Active Directory Federation Services (AD FS).
Microsoft Office version som stödsMicrosoft Office supported version Användare som skyddar eller använder HYOK-skyddat innehåll måste ha:Users who are protecting or consuming HYOK-protected content must have:

– En version av Office som stöder Information Rights Management (IRM)- A version of Office that supports Information Rights Management (IRM)
-Microsoft Office Professional Plus version 2013 eller senare med Service Pack 1, som körs på Windows 7 Service Pack 1 eller senare.- Microsoft Office Professional Plus version 2013 or later with Service Pack 1, running on Windows 7 Service Pack 1 or later.
– För Office 2016 Microsoft Installer (. msi)-baserad utgåva måste du ha uppdateringen 4018295 för Microsoft Office 2016 som släpptes den 6 mars 2018.- For the Office 2016 Microsoft Installer (.msi)-based edition, you must have the update 4018295 for Microsoft Office 2016 that was released on March 6, 2018.

Obs! Office 2010 och Office 2007 stöds inte.Note: Office 2010 and Office 2007 are not supported. Mer information finns i AIP och äldre Windows-och Office-versioner.For more information, see AIP and legacy Windows and Office versions.

Viktigt

För att uppfylla den höga garantin som HYOK-skydd erbjuder rekommenderar vi:To fulfill the high assurance that HYOK protection offers, we recommend:

  • Hitta AD RMS-servrar utanför din DMZ och se till att de endast används av hanterade enheter.Locating your AD RMS servers outside of your DMZ, and ensuring that they are used only by managed devices.

  • Konfigurera AD RMS-klustret med en maskinvaru-säkerhetsmodul (HSM).Configure your AD RMS cluster with a hardware security module (HSM). Detta hjälper till att se till att din privata nyckel för Server licens givar certifikat (Server licens GIVAR certifikat) inte kan exponeras eller blir stulen om din AD RMS-distribution aldrig skulle vara överträtt eller komprometteras.This helps to ensure that your Server Licensor Certificate (SLC) private key cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Tips

Distributionsinformation och instruktioner för AD RMS finns i Active Directory Rights Management Services i Windows Server-biblioteket.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

AD RMS konfigurations kravAD RMS configuration requirements

För att stödja HYOK, se till att AD RMS systemet har följande konfigurationer:To support HYOK, ensure that your AD RMS system has the following configurations:

KravRequirement BeskrivningDescription
Windows-versionWindows version Som minst en av följande Windows-versioner:At minimum, one of the following Windows versions:

Produktions miljöer: Windows Server 2012 R2Production environments: Windows Server 2012 R2
Testning/utvärderings miljöer: Windows Server 2008 R2 med Service Pack 1Testing/evaluation environments: Windows Server 2008 R2 with Service Pack 1
TopologiTopology HYOK kräver en av följande topologier:HYOK requires one of the following topologies:
– En enda skog, med ett enda AD RMS kluster- A single forest, with a single AD RMS cluster
– Flera skogar, med AD RMS kluster i var och en av dem.- Multiple forests, with AD RMS clusters in each of them.

Licensiering för flera skogarLicensing for multiple forests
Om du har flera skogar delar varje AD RMS-kluster en licensierings-URL som pekar på samma AD RMS-kluster.If you have multiple forests, each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster.
På det här AD RMS-klustret importerar du alla betrodda användar domän certifikat från alla andra AD RMS-kluster.On this AD RMS cluster, import all the trusted user domain (TUD) certificates from all other AD RMS clusters.
Mer information om den här topologin finns i Trusted User Domain.For more information about this topology, see Trusted User Domain.

Globala princip etiketter för flera skogarGlobal policy labels for multiple forests
När du har flera AD RMS kluster i separata skogar, tar du bort alla etiketter i den globala principen som tillämpar HYOK (AD RMS) skydd och konfigurerar en princip omfattning för varje kluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster.
Tilldela användare för varje kluster till sin princip omfattning, se till att du inte använder grupper som leder till att en användare tilldelas fler än en princip omfattning.Assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy.
Resultatet bör vara att varje användare har etiketter för ett AD RMS endast kluster.The result should be that each user has labels for one AD RMS cluster only.
Kryptografi lägeCryptographic mode Din AD RMS måste konfigureras med kryptografi läge 2.Your AD RMS must be configured with Cryptographic Mode 2.
Bekräfta läget genom att kontrol lera AD RMS kluster egenskaper på fliken Allmänt .Confirm the mode by checking the AD RMS cluster properties, General tab.
Konfiguration av certifierings-URLCertification URL configuration Varje AD RMS server måste konfigureras för certifierings-URL: en.Each AD RMS server must be configured for the certification URL.
Mer information finns nedan.For more information, see below.
Tjänst anslutnings punkterService connection points En tjänst anslutnings punkt (SCP) används inte när du använder AD RMS skydd med Azure Information Protection.A service connection point (SCP) is not used when you use AD RMS protection with Azure Information Protection.

Om du har en SCP som är registrerad för AD RMS-distributionen tar du bort den för att säkerställa att tjänst identifieringen lyckas för Azure Rights Management-skyddet.If you have an SCP registered for your AD RMS deployment, remove it to ensure that service discovery is successful for Azure Rights Management protection.

Om du installerar ett nytt AD RMS kluster för HYOK ska du inte registrera SCP: n när du konfigurerar den första noden.If you are installing a new AD RMS cluster for HYOK, do not register the SCP when configuring the first node. För varje ytterligare nod kontrollerar du att servern har kon figurer ATS för certifierings-URL: en innan du lägger till AD RMS rollen och ansluter till det befintliga klustret.For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.
SSL/TLSSSL/TLS I produktions miljöer måste AD RMS-servrarna konfigureras för att använda SSL/TLS med ett giltigt x. 509-certifikat som är betrott av de anslutande klienterna.In production environments, the AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients.

Detta krävs inte för testning eller utvärdering.This is not required for testing or evaluation purposes.
PrincipmallarRights templates Du måste ha rättighets mallar konfigurerade för AD RMS.You must have rights templates configured for your AD RMS.
Exchange IRMExchange IRM Din AD RMS kan inte konfigureras för Exchange IRM.Your AD RMS cannot not be configured for Exchange IRM.
Mobila enheter/Mac-datorerMobile devices / Mac computers Du måste ha installerat och konfigurerat Active Directory Rights Management Services mobil enhets tillägg .You must have the Active Directory Rights Management Services Mobile Device Extension installed and configured.

Konfigurera AD RMS-servrar för att hitta certifierings-URL: enConfiguring AD RMS servers to locate the certification URL

  1. Skapa följande register post på varje AD RMS server i klustret:On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    För <string value> anger du en av följande strängar:For the <string value>, specify one of the following strings:

    MiljöEnvironment Sträng värdeString value
    ProduktionProduction
    (AD RMS kluster med SSL/TLS)(AD RMS clusters using SSL/TLS)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    Testning/utvärderingTesting / evaluation
    (ingen SSL/TLS)(no SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. Starta om IIS.Restart IIS.

Hitta information för att ange AD RMS-skydd med en Azure Information Protection-etikettLocating the information to specify AD RMS protection with an Azure Information Protection label

Att konfigurera HYOK-skydds etiketter kräver att du anger licensierings-URL: en för AD RMS klustret.Configuring HYOK-protection labels requires that you specify the licensing URL of your AD RMS cluster.

Dessutom måste du antingen ange en mall som du har konfigurerat med de behörigheter som du vill tilldela användare eller Aktivera användare för att definiera behörigheter och användare.Additionally, you must either specify a template that you've configured with the permissions you want to grant users, or enable users to define permissions and users.

Gör följande för att hitta mall-GUID och licensierings-URL-värden från Active Directory Rights Management Services-konsolen:Do the following to locate the template GUID and licensing URL values from the Active Directory Rights Management Services console:

Hitta en mall-GUIDLocate a template GUID

  1. Expandera klustret och klicka på principmallar för rättigheter.Expand the cluster and click Rights Policy Templates.

  2. Kopiera GUID från den mall som du vill använda från informationen om distribuerade principmallar.From the Distributed Rights Policy Templates information, copy the GUID from the template you want to use.

Till exempel: 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

Hitta licensierings-URL: enLocate the licensing URL

  1. Klicka på kluster namnet.Click the cluster name.

  2. I Information om kluster kopierar du Licensieringsvärdet minus strängen /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string.

Exempel: https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

Anteckning

Om du har olika licensierings värden för extra nät och intranät anger du endast extra näts värdet om du kommer att dela skyddat innehåll med partner.If you have different extranet and intranet licensing values, specify the extranet value only if you will be sharing protected content with partners. Partner som delar skyddat innehåll måste definieras med explicita punkt-till-plats-förtroenden.Partners who share protected content must be defined with explicit point-to-point trusts.

Om du inte delar skyddat innehåll använder du intranät svärdet och ser till att alla klient datorer som använder AD RMS skydd med Azure Information Protection ansluter via en intranät anslutning.If you are not sharing protected content, use the intranet value and make sure that all client computers that are using AD RMS protection with Azure Information Protection connect via an intranet connection. Fjärranslutna datorer måste till exempel använda en VPN-anslutning.For example, remote computers must use a VPN connection.

Nästa stegNext steps

När du är klar med att konfigurera systemet så att det stöder HYOK fortsätter du med att konfigurera etiketter för HYOK-skydd.When you're done configuring your system to support HYOK, continue with configuring labels for HYOK protection. Mer information finns i Konfigurera en etikett för Rights Management-skydd.For more information, see How to configure a label for Rights Management protection.