Azure 信息保护的“保留自己的密钥”(HYOK) 详细信息

适用于:Azure 信息保护

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 对于统一标记客户端,请参阅双重密钥加密

*如果你有 Windows 7 或 Office 2010,请参阅 AIP 与旧版 Windows 和 Office

备注

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不对经典客户端提供进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

有关详细信息,请参阅已删除和停用的服务

使用经典客户端的 AIP 客户可以通过“保留自己的密钥”(HYOK) 配置来保护高度敏感的内容,同时保持对其密钥的完全控制。 HYOK 使用客户持有的、存储在本地的附加密钥来保护高度敏感内容,并对其他内容使用基于云的默认保护。

有关基于云的默认租户根密钥的详细信息,请参阅规划和实施 Azure 信息保护租户密钥

基于云的保护与HYOK

通常,使用 Azure 信息保护来保护敏感文档和电子邮件时,使用的是 Microsoft 生成的客户使用 BYOK 配置生成的基于云的密钥。

基于云的密钥在 Azure 密钥保管库中进行管理,这可为客户带来以下好处:

  • 没有服务器基础结构方面的要求。 与本地解决方案相比,部署和维护云解决方案更快速、更经济高效。

  • 使用基于云的身份验证可以更方便地与合作伙伴和其他组织中的用户共享。

  • 与搜索、Web 查看器、透视图、反恶意软件、电子数据展示和 Delve 等其他 Azure 与 Microsoft 365 服务紧密集成

  • 为共享的敏感文档进行文档跟踪吊销电子邮件通知

但是,某些组织的管制要求可能规定要使用与云隔离的密钥来加密特定内容。 这种隔离意味着加密的内容只能由本地应用程序和本地服务读取。

使用 HYOK 配置时,客户租户既可以获得一个基于云的密钥用于处理可在云中存储的内容,也能获得一个本地密钥用于处理只能在本地保护的内容。

HYOK 指导和最佳做法

配置 HYOK 时,请考虑以下建议:

重要

Azure 信息保护的 HYOK 配置不能替代整个 AD RMS 和 Azure 信息保护部署。

只能通过应用标签来支持 HYOK,HYOK 不提供与 AD RMS 的功能奇偶一致性,也不支持所有的 AD RMS 部署配置。

适用于 HYOK 的内容

HYOK 保护不能提供基于云的保护所具备的优势,并且往往伴随着“数据不透明”的代价,因为内容只能由本地应用程序和服务访问。 即使对于使用 HYOK 保护的组织而言,它通常也只适合用于保护少量的文档。

建议仅将 HYOK 用于符合以下条件的内容:

  • 组织中分类最高的,仅限少数几个人访问的内容(“最高机密”)
  • 不会在组织外部共享的内容
  • 仅在内部网络中使用的内容。

定义可以查看配置了 HYOK 的标签的用户

为了确保只有需要应用 HYOK 保护的用户才能看到配置了 HYOK 的标签,请使用作用域内策略为这些用户配置策略。

HYOK 和电子邮件支持

Microsoft 365 服务和其他联机服务无法解密受 HYOK 保护的内容。

对于电子邮件,恶意软件扫描程序、仅限加密的保护、数据丢失防护 (DLP) 解决方案、邮件路由规则、日记、电子数据展示、存档解决方案和 Exchange ActiveSync 都将因此而无法正常工作。

用户可能不知道为何有些设备无法打开受 HYOK 保护的电子邮件,从而导致支持人员接到的求助电话增多。 在对电子邮件配置 HYOK 保护时,请注意这些严格的限制。

HYOK 支持的应用程序

使用 Azure 信息保护标签可对特定的文档和电子邮件应用 HYOK。 Office 2013 和更高版本支持 HYOK。

HYOK 是适用于标签的管理员配置选项,无论内容使用的是基于云的密钥还是 HYOK,工作流都保持不变。

下表列出了支持通过配置了 HYOK 的标签保护和使用内容的方案:

注意

Office Web 和通用应用程序不支持 HYOK。

Windows 应用程序对 HYOK 的支持

应用程序 保护 消耗
装有 Microsoft 365 应用、Office 2019、Office 2016 和 Office 2013:
Word, Excel, PowerPoint, Outlook的 Azure 信息保护客户端
是 是
具有文件资源管理器的 Azure 信息保护客户端 是 是
Azure 信息保护查看器 不适用 是
带有 PowerShell 标签 cmdlet 的 Azure 信息保护客户端 是 是
Azure 信息保护扫描程序 是 是

macOS 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office for Mac:
Word、Excel、PowerPoint Outlook
否 是

iOS 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office 移动:
Word、Excel、PowerPoint
否 是
Office 移动:
仅Outlook
否 否
Azure 信息保护查看器 不适用 是

Android 应用程序对 HYOK 的支持

应用程序 保护 消耗
Office 移动:
Word、Excel、PowerPoint
否 是
Office 移动:
仅Outlook
否 否
Azure 信息保护查看器 不适用 是

实现 HYOK

如果你已安装符合下列所有要求的 Active Directory Rights Management Services (AD RMS),则 Azure 信息保护支持 HYOK。

使用权策略以及用于保护这些策略的组织私钥将在本地进行管理和保留,而用于标记和分类的 Azure 信息保护策略仍在 Azure 中进行管理和存储。

若要实现 HYOK 保护:

  1. 确保系统符合 AD RMS 要求
  2. 找到想要保护的信息

准备就绪后,继续阅读如何为 Rights Management 保护配置标签

AD RMS 支持 HYOK 的要求

AD RMS 部署必须满足以下要求才能为 Azure 信息保护标签提供 HYOK 保护:

要求 说明
AD RMS 配置 必须以特定的方式配置 AD RMS 系统才能支持 HYOK。 有关详细信息,请参阅下文
目录同步 必须在本地 Active Directory 与 Azure Active Directory 之间配置目录同步。

必须为使用 HYOK 保护标签的用户配置单一登录。
显式定义的信任的配置 如果要与组织外部的其他人共享 HYOK 保护的内容,必须在与其他组织建立的直接点对点关系中,为显式定义的信任配置 AD RMS。

为此,可以使用受信任的用户域 (TUD),或使用通过 Active Directory 联合身份验证服务 (AD FS) 创建的联合信任。
支持的 Microsoft Office 版本 保护或使用受 HYOK 保护的内容的用户必须拥有:

- 支持信息 Rights Management (IRM)的 Office 版本
- 信息 Rights Management (IRM) 仅支持 Microsoft 365 企业应用版 (内部版本 11731.10000 或更高版本) 。


:不支持 Office 2010、Office 2013 和其他 Office 2016 版本。

重要

为了实现 HYOK 保护所能提供的较高保障,我们建议:

  • 将 AD RMS 服务器置于外围网络的外部,并确保这些服务器仅供托管设备使用。

  • 使用硬件安全模块 (HSM) 配置 AD RMS 群集。 这有助于确保在 AD RMS 部署万一遭到入侵或泄密时,服务器许可方证书 (SLC) 私钥不会被透露或盗窃。

提示

有关 AD RMS 的部署信息和说明,请参阅 Windows Server 库中的 Active Directory Rights Management Services

AD RMS 配置要求

若要支持 HYOK,请确保 AD RMS 系统采用以下配置:

要求 说明
Windows 版本 至少以下版本的Windows:

生产环境:Windows Server 2012 R2
测试/评估环境:Windows Server 2008 R2(Service Pack 1)
拓扑 HYOK 需要以下拓扑之一:
- 一个林,具有一个AD RMS群集
- 多个林,每一个里都有AD RMS群集。

多个林许可
如果你有多个林,则每个 AD RMS 群集将共享一个指向相同 AD RMS 群集的许可 URL

在此 AD RMS 群集上,从所有其他 AD RMS 群集导入所有受信任用户域 (TUD) 证书。
有关此拓扑的详细信息,请参阅


多个林全局策略标签
如果单独林AD RMS多个群集,请删除全局策略中应用 HYOK (AD RMS) 保护的任何标签,并为每个群集配置


将每个群集的用户分配到其作用域内策略,确保不会使用将导致用户分配到多个作用域内策略的组。
结果应为每个用户仅有一个 AD RMS 群集的标签。
加密模式 必须为 AD RMS 配置加密模式 2。 可以通过检查 AD RMS群集熟悉、常规选项卡来
确认此模式。
认证 URL 配置 必须配置每个 AD RMS 服务器的认证 URL。
有关详细信息,请参阅
服务连接点 将 AD RMS 保护与 Azure 信息保护配合使用时,不会使用服务连接点 (SCP)。

如果为 AD RMS 部署注册了 SCP,必须删除该 SCP,以确保 Azure Rights Management 保护能够成功



如果要为 HYOK 安装新的 AD RMS 群集
,请不要在配置第一个节点时注册 SCP
。 对于每个其他节点,请确保在添加 AD RMS 角色并加入现有群集前,服务器已针对证书 URL 进行了配置。
SSL/TLS 在生产环境中,必须将 AD RMS 服务器配置为结合连接方客户端所信任的有效 x.509 证书使用 SSL/TLS。

如果是要进行测试或评估,则不需要这样做。
权限模板 必须为 AD RMS 配置权限模板。
Exchange IRM 不能为 Exchange IRM 配置 AD RMS。

配置 AD RMS 服务器以找到证书 URL

  1. 在群集中的每个 AD RMS 服务器上,创建以下注册表项:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    对于 <字符串值>,请指定以下字符串之一:

    环境 字符串值
    生产
    (使用 SSL/TLS 的 AD RMS 群集)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    测试/评估
    (无 SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. 重启 IIS。

查找相关信息以使用 Azure 信息保护标签指定 AD RMS 保护

配置 HYOK 保护标签需要指定 AD RMS 群集的许可 URL。

此外,必须指定一个已配置了要授予用户的权限的模板,或者允许用户定义权限和用户。

执行以下操作可从 Active Directory Rights Management Services 控制台中找到模板 GUID 和许可 URL 值:

查找模板 GUID

  1. 展开群集,并单击“权限策略模板”

  2. 在“分布式权限策略模板”信息中,复制要使用的模板中的 GUID。

例如:82bf3474-6efe-4fa1-8827-d1bd93339119

查找许可 URL

  1. 单击群集名称。

  2. 从“群集详细信息”信息中,复制除 /_wmcs/licensing 字符串以外的“授权”值。

例如:https://rmscluster.contoso.com

注意

如果你的 Extranet 和 Intranet 许可值不同,请仅当你要与合作伙伴共享受保护的内容时,才指定 Extranet 值。 必须使用显式的点对点信任来定义要共享受保护内容的合作伙伴。

如果你不共享受保护的内容,请使用 Intranet 值,并确保将 AD RMS 保护与 Azure 信息保护配合使用的所有客户端计算机都通过 Intranet 进行连接。 例如,远程计算机必须使用 VPN 连接。

后续步骤

完成将系统配置为支持 HYOK 后,请继续为 HYOK 保护配置标签。 有关详细信息,请参阅如何配置标签以进行 Rights Management 保护