Azure 信息保护的“保留自己的密钥”(HYOK) 详细信息

适用范围:Azure 信息保护**

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 对于统一标记客户端,请参阅双重密钥加密

如果你有 Windows 7 或 Office 2010,请参阅 AIP 与旧版 Windows 和 Office

备注

为了提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 3 月 31 日弃用 。 虽然经典客户端可以继续按配置运行,但不提供进一步的支持,也不再发布经典客户端的维护版本。

建议迁移到统一标记并升级到统一标记客户端。 有关详细信息,请查看我们最近的弃用博客

使用经典客户端的 AIP 客户可以通过“保留自己的密钥”(HYOK) 配置来保护高度敏感的内容,同时保持对其密钥的完全控制。 HYOK 使用客户持有的、存储在本地的附加密钥来保护高度敏感内容,并对其他内容使用基于云的默认保护。

有关基于云的默认租户根密钥的详细信息,请参阅规划和实施 Azure 信息保护租户密钥

基于云的保护与HYOK

通常,使用 Azure 信息保护来保护敏感文档和电子邮件时,使用的是 Microsoft 生成的客户使用 BYOK 配置生成的基于云的密钥。

基于云的密钥在 Azure 密钥保管库中进行管理,这可为客户带来以下好处:

  • 没有服务器基础结构方面的要求。 与本地解决方案相比,部署和维护云解决方案更快速、更经济高效。

  • 使用 基于云的身份验证 可以更方便地与合作伙伴和其他组织中的用户共享。

  • 与搜索、Web 查看器、透视图、反恶意软件、电子数据展示和 Delve 等其他 Azure 与 Microsoft 365 服务紧密集成

  • 为共享的敏感文档进行 文档跟踪吊销电子邮件通知

但是,某些组织的管制要求可能规定要使用与云隔离的密钥来加密特定内容。 这种隔离意味着加密的内容只能由本地应用程序和本地服务读取。

使用 HYOK 配置时,客户租户既可以获得一个基于云的密钥用于处理可在云中存储的内容,也能获得一个本地密钥用于处理只能在本地保护的内容。

HYOK 指导和最佳做法

配置 HYOK 时,请考虑以下建议:

重要

Azure 信息保护的 HYOK 配置不是完全 AD RMS 和 Azure 信息保护部署的替代方案,也不是将 AD RMS 迁移到 Azure 信息保护的替代方法。

只能通过应用标签来支持 HYOK,HYOK 不提供与 AD RMS 的功能奇偶一致性,也不支持所有的 AD RMS 部署配置。

适用于 HYOK 的内容

HYOK 保护不能提供基于云的保护所具备的优势,并且往往伴随着“数据不透明”的代价,因为内容只能由本地应用程序和服务访问。 即使对于使用 HYOK 保护的组织而言,它通常也只适合用于保护少量的文档。

建议仅将 HYOK 用于符合以下条件的内容:

  • 组织中分类最高的,仅限少数几个人访问的内容(“最高机密”)
  • 不会在组织外部共享的内容
  • 仅在内部网络中使用的内容。

定义可以查看配置了 HYOK 的标签的用户

为了确保只有需要应用 HYOK 保护的用户才能看到配置了 HYOK 的标签,请使用作用域内策略为这些用户配置策略。

HYOK 和电子邮件支持

Microsoft 365 服务和其他联机服务无法解密受 HYOK 保护的内容。

对于电子邮件,恶意软件扫描程序、仅限加密的保护、数据丢失防护 (DLP) 解决方案、邮件路由规则、日记、电子数据展示、存档解决方案和 Exchange ActiveSync 都将因此而无法正常工作。

用户可能不知道为何有些设备无法打开受 HYOK 保护的电子邮件,从而导致支持人员接到的求助电话增多。 在对电子邮件配置 HYOK 保护时,请注意这些严格的限制。

HYOK 支持的应用程序

使用 Azure 信息保护标签可对特定的文档和电子邮件应用 HYOK。 Office 2013 和更高版本支持 HYOK。

HYOK 是适用于标签的管理员配置选项,无论内容使用的是基于云的密钥还是 HYOK,工作流都保持不变。

下表列出了支持通过配置了 HYOK 的标签保护和使用内容的方案:

备注

Office Web 和通用应用程序不支持 HYOK。

Windows 应用程序对 HYOK 的支持

应用程序 保护 消耗
装有 Microsoft 365 应用、Office 2019、Office 2016 和 Office 2013 的 Azure 信息保护客户端:
Word、Excel、PowerPoint、Outlook
是 是
具有文件资源管理器的 Azure 信息保护客户端 是 是
Azure 信息保护查看器 不适用 是
带有 PowerShell 标签 cmdlet 的 Azure 信息保护客户端 是 是
Azure 信息保护扫描程序 是 是

macOS 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office for Mac:
Word、Excel、PowerPoint、Outlook
否 是

iOS 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office Mobile:
Word、Excel、PowerPoint
否 是
Office Mobile:
仅限 Outlook
否 否
Azure 信息保护查看器 不适用 是

Android 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office Mobile:
Word、Excel、PowerPoint
否 是
Office Mobile:
仅限 Outlook
否 否
Azure 信息保护查看器 不适用 是

实现 HYOK

如果你已安装符合下列所有要求的 Active Directory Rights Management Services (AD RMS),则 Azure 信息保护支持 HYOK。

使用权策略以及用于保护这些策略的组织私钥将在本地进行管理和保留,而用于标记和分类的 Azure 信息保护策略仍在 Azure 中进行管理和存储。

若要实现 HYOK 保护:

  1. 确保系统符合 AD RMS 要求
  2. 找到想要保护的信息

准备就绪后,继续阅读如何为 Rights Management 保护配置标签

AD RMS 支持 HYOK 的要求

AD RMS 部署必须满足以下要求才能为 Azure 信息保护标签提供 HYOK 保护:

要求 说明
AD RMS 配置 必须以特定的方式配置 AD RMS 系统才能支持 HYOK。 有关详细信息,请参阅下文
目录同步 必须在本地 Active Directory 与 Azure Active Directory 之间配置目录同步。

必须为使用 HYOK 保护标签的用户配置单一登录。
显式定义的信任的配置 如果要与组织外部的其他人共享 HYOK 保护的内容,必须在与其他组织建立的直接点对点关系中,为显式定义的信任配置 AD RMS。

为此,可以使用受信任的用户域 (TUD),或使用通过 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。
支持的 Microsoft Office 版本 保护内容或使用受 HYOK 保护的内容的用户必须具有:

- 支持信息权限管理 (IRM) 的 Office 版本
-Microsoft Office 在 Windows 7 service pack 1 或更高版本上运行 Professional Plus 版本2013或更高版本。
-对于 Office 2016 Microsoft Installer (.msi 基于) 的版本,你必须对年3月 6 2018 日发布的 Microsoft Office 2016 更新 4018295

注意:不支持 Office 2010 和 Office 2007。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本

重要

为了实现 HYOK 保护所能提供的较高保障,我们建议:

  • 将 AD RMS 服务器置于外围网络的外部,并确保这些服务器仅供托管设备使用。

  • 使用硬件安全模块 (HSM) 配置 AD RMS 群集。 这有助于确保在 AD RMS 部署万一遭到入侵或泄密时,服务器许可方证书 (SLC) 私钥不会被透露或盗窃。

提示

有关 AD RMS 的部署信息和说明,请参阅 Windows Server 库中的 Active Directory Rights Management Services

AD RMS 配置要求

若要支持 HYOK,请确保 AD RMS 系统采用以下配置:

要求 说明
Windows 版本 至少要使用以下 Windows 版本之一:

生产环境:Windows Server 2012 R2
测试/评估环境:Windows Server 2008 R2 Service Pack 1
拓扑 HYOK 需要以下拓扑之一:
- 包含单个 AD RMS 群集的单个林
- 多个林,每个林包含 AD RMS 群集。

多个林的许可
如果你有多个林,则每个 AD RMS 群集将共享一个指向相同 AD RMS 群集的许可 URL。
在此 AD RMS 群集上,从所有其他 AD RMS 群集导入所有受信任用户域 (TUD) 证书。
有关此拓扑的详细信息,请参阅受信任的用户域

多个林的全局策略标签
如果单独的林中具有多个 AD RMS 群集,删除应用 HYOK (AD RMS) 保护并为每个群集配置作用域策略的全局策略中的任何标签。
将每个群集的用户分配到其各自的作用域内策略,并确保使用的组不会导致将用户分配到多个作用域内策略。
结果应是每个用户仅有一个 AD RMS 群集的标签。
加密模式 必须为 AD RMS 配置加密模式 2
可以通过在“常规”选项卡上检查 AD RMS 群集属性来确认模式。
认证 URL 配置 必须配置每个 AD RMS 服务器的认证 URL。
有关详细信息,请参阅下文
服务连接点 将 AD RMS 保护与 Azure 信息保护配合使用时,不会使用服务连接点 (SCP)。

如果为 AD RMS 部署注册了 SCP,必须删除该 SCP,以确保 Azure Rights Management 保护能够成功 发现服务

如果要为 HYOK 安装新的 AD RMS 群集,请不要在配置第一个节点时注册 SCP。 对于每个其他节点,请确保在添加 AD RMS 角色并加入现有群集前,服务器已针对证书 URL 进行了配置。
SSL/TLS 在生产环境中,必须将 AD RMS 服务器配置为结合连接方客户端所信任的有效 x.509 证书使用 SSL/TLS。

如果是要进行测试或评估,则不需要这样做。
权限模板 必须为 AD RMS 配置权限模板。
Exchange IRM 不能为 Exchange IRM 配置 AD RMS。
移动设备/Mac 计算机 必须安装并配置Active Directory Rights Management Services 移动设备扩展

配置 AD RMS 服务器以找到证书 URL

  1. 在群集中的每个 AD RMS 服务器上,创建以下注册表项:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    对于 <string value>,请指定以下字符串之一:

    环境 字符串值
    生产
    (使用 SSL/TLS 的 AD RMS 群集)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    测试/评估
    (不使用 SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. 重启 IIS。

查找相关信息以使用 Azure 信息保护标签指定 AD RMS 保护

配置 HYOK 保护标签需要指定 AD RMS 群集的许可 URL。

此外,必须指定一个已配置了要授予用户的权限的模板,或者允许用户定义权限和用户。

执行以下操作可从 Active Directory Rights Management Services 控制台中找到模板 GUID 和许可 URL 值:

查找模板 GUID

  1. 展开群集,并单击“权限策略模板”。

  2. 在“分布式权限策略模板”信息中,复制要使用的模板中的 GUID。

例如:82bf3474-6efe-4fa1-8827-d1bd93339119

查找许可 URL

  1. 单击群集名称。

  2. 从“群集详细信息”信息中,复制除 /_wmcs/licensing 字符串以外的“授权”值。

例如:https://rmscluster.contoso.com

备注

如果你的 Extranet 和 Intranet 许可值不同,请仅当你要与合作伙伴共享受保护的内容时,才指定 Extranet 值。 必须使用显式的点对点信任来定义要共享受保护内容的合作伙伴。

如果你不共享受保护的内容,请使用 Intranet 值,并确保将 AD RMS 保护与 Azure 信息保护配合使用的所有客户端计算机都通过 Intranet 进行连接。 例如,远程计算机必须使用 VPN 连接。

后续步骤

完成将系统配置为支持 HYOK 后,请继续为 HYOK 保护配置标签。 有关详细信息,请参阅如何配置标签以进行 Rights Management 保护