Compartir a través de


Planeamiento e implementación de su clave de inquilino de Azure Information Protection

Nota:

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.

El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.

La clave de inquilino de Azure Information Protection es una clave raíz para su organización. Otras claves se pueden derivar de esta clave raíz, incluidas las claves de usuario, las claves de equipo o las claves de cifrado de documentos. Cada vez que Azure Information Protection usa estas claves para su organización, se encadenan criptográficamente a la clave raíz de inquilino de Azure Information Protection.

Además de la clave raíz de inquilino, la organización puede requerir seguridad local para documentos específicos. Normalmente, la protección de claves local solo es necesaria para una pequeña cantidad de contenido y, por tanto, se configura junto con una clave raíz de inquilino.

Tipos de claves de Azure Information Protection

La clave raíz de inquilino puede ser:

Si tiene contenido altamente confidencial que requiere protección adicional local, se recomienda usar Cifrado de doble clave (DKE).

Claves raíz de inquilino generadas por Microsoft

La clave predeterminada, generada automáticamente por Microsoft, es la clave predeterminada que se usa exclusivamente para Azure Information Protection para administrar la mayoría de los aspectos del ciclo de vida de la clave de inquilino.

Siga usando la clave de Microsoft predeterminada cuando quiera implementar Azure Information Protection rápidamente y sin hardware, software o una suscripción de Azure especial. Algunos ejemplos incluyen entornos de prueba u organizaciones sin requisitos normativos para la administración de claves.

Para la clave predeterminada, no se requieren pasos adicionales y puede ir directamente a Introducción a la clave raíz de inquilino.

Nota:

La clave predeterminada generada por Microsoft es la opción más sencilla con las sobrecargas administrativas más bajas.

En la mayoría de los casos, es posible que ni siquiera sepa que tiene una clave de inquilino, ya que puede registrarse en Azure Information Protection y el resto del proceso de administración de claves lo controla Microsoft.

Protección Bring Your Own Key (BYOK)

La protección BYOK usa claves creadas por los clientes, ya sea en Azure Key Vault o en las instalaciones de la organización del cliente. Estas claves se transfieren a Azure Key Vault para una administración adicional.

Use BYOK cuando su organización tenga regulaciones de cumplimiento para la generación de claves, incluido el control sobre todas las operaciones de ciclo de vida. Por ejemplo, cuando la clave debe estar protegida por un módulo de seguridad de hardware.

Para más información, consulte Configurar la protección BYOK.

Una vez configurado, continúe con Introducción a la clave raíz de inquilino para obtener más información sobre el uso y la administración de la clave.

Cifrado de doble clave (DKE)

La protección contra DKE proporciona seguridad adicional para el contenido mediante dos claves: una creada y mantenida por Microsoft en Azure, y otra creada y mantenida localmente por el cliente.

DKE requiere que ambas claves accedan al contenido protegido, lo que garantiza que Microsoft y otros terceros nunca tengan acceso a los datos protegidos por sí mismos.

DKE se puede implementar en la nube o en el entorno local, lo que proporciona una flexibilidad completa para las ubicaciones de almacenamiento.

Use DKE cuando su organización:

  • Quiera asegurarse de que solo puedan descifrar contenido protegido en todas las circunstancias.
  • No quiera que Microsoft tenga acceso a los datos protegidos por sí solos.
  • Tenga requisitos normativos para contener claves dentro de un límite geográfico. Con DKE, las claves mantenidas por el cliente se mantienen dentro del centro de datos del cliente.

Nota:

DKE es similar a una caja de seguridad que requiere una clave bancaria y una clave de cliente para obtener acceso. La protección contra DKE requiere tanto la clave mantenida por Microsoft como la clave mantenida por el cliente para descifrar el contenido protegido.

Para obtener más información, consulte Cifrado de doble clave en la documentación de Microsoft 365.

Pasos siguientes

Consulte cualquiera de los siguientes artículos para obtener más información sobre tipos específicos de claves:

Si va a migrar de un inquilino a otro, por ejemplo tras la fusión de una empresa, le recomendamos que lea nuestra entrada de blog sobre fusiones y disoluciones para obtener más información.