Uw Azure Information Protection-tenantsleutel plannen en implementeren
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De Microsoft Purview Informatiebeveiliging-client (zonder de invoegtoepassing) is algemeen beschikbaar.
De Azure Information Protection-tenantsleutel is een hoofdsleutel voor uw organisatie. Andere sleutels kunnen worden afgeleid van deze hoofdsleutel, waaronder gebruikerssleutels, computersleutels of documentversleutelingssleutels. Wanneer Azure Information Protection deze sleutels gebruikt voor uw organisatie, worden deze cryptografisch gekoppeld aan uw Azure Information Protection-hoofdtenantsleutel.
Naast de hoofdsleutel van uw tenant vereist uw organisatie mogelijk on-premises beveiliging voor specifieke documenten. On-premises sleutelbeveiliging is doorgaans alleen vereist voor een kleine hoeveelheid inhoud en wordt daarom samen met een tenanthoofdsleutel geconfigureerd.
Azure Information Protection-sleuteltypen
De hoofdsleutel van uw tenant kan het volgende zijn:
- Gegenereerd door Microsoft
- Gegenereerd door klanten met BYOK-beveiliging (Bring Your Own Key).
Als u zeer gevoelige inhoud hebt waarvoor aanvullende on-premises beveiliging is vereist, raden we u aan dubbele sleutelversleuteling (DKE) te gebruiken.
Tenanthoofdsleutels gegenereerd door Microsoft
De standaardsleutel, die automatisch door Microsoft wordt gegenereerd, is de standaardsleutel die uitsluitend wordt gebruikt voor Azure Information Protection om de meeste aspecten van de levenscyclus van uw tenantsleutel te beheren.
Gebruik de standaard Microsoft-sleutel als u Azure Information Protection snel en zonder speciale hardware, software of een Azure-abonnement wilt implementeren. Voorbeelden hiervan zijn testomgevingen of organisaties zonder wettelijke vereisten voor sleutelbeheer.
Voor de standaardsleutel zijn geen verdere stappen vereist en kunt u rechtstreeks naar Aan de slag met uw tenanthoofdsleutel gaan.
Notitie
De standaardsleutel die door Microsoft wordt gegenereerd, is de eenvoudigste optie met de laagste administratieve overhead.
In de meeste gevallen weet u misschien niet eens dat u een tenantsleutel hebt, omdat u zich kunt registreren voor Azure Information Protection en de rest van het sleutelbeheerproces wordt verwerkt door Microsoft.
BYOK-beveiliging (Bring Your Own Key)
BYOK-beveiliging maakt gebruik van sleutels die door klanten worden gemaakt, hetzij in De Azure Key Vault of on-premises in de klantorganisatie. Deze sleutels worden vervolgens overgedragen naar Azure Key Vault voor verder beheer.
Gebruik BYOK wanneer uw organisatie nalevingsregels heeft voor het genereren van sleutels, inclusief controle over alle levenscyclusbewerkingen. Wanneer uw sleutel bijvoorbeeld moet worden beveiligd door een hardwarebeveiligingsmodule.
Zie BYOK-beveiliging configureren voor meer informatie.
Zodra de sleutel is geconfigureerd, gaat u verder met de basissleutel van uw tenant voor meer informatie over het gebruik en het beheer van uw sleutel.
Dubbele sleutelversleuteling (DKE)
DKE-beveiliging biedt extra beveiliging voor uw inhoud met behulp van twee sleutels: één gemaakt en bewaard door Microsoft in Azure, en een andere die on-premises wordt gemaakt en opgeslagen door de klant.
DKE vereist beide sleutels voor toegang tot beveiligde inhoud, zodat Microsoft en andere derden nooit zelf toegang hebben tot beveiligde gegevens.
DKE kan worden geïmplementeerd in de cloud of on-premises, wat volledige flexibiliteit biedt voor opslaglocaties.
Gebruik DKE wanneer uw organisatie:
- Wil ervoor zorgen dat alleen ze beveiligde inhoud onder alle omstandigheden kunnen ontsleutelen.
- Wil niet dat Microsoft zelf toegang heeft tot beveiligde gegevens.
- Heeft wettelijke vereisten voor het bewaren van sleutels binnen een geografische grens. Met DKE worden door de klant bewaarde sleutels onderhouden binnen het datacentrum van de klant.
Notitie
DKE is vergelijkbaar met een kluisje waarvoor zowel een banksleutel als een klantsleutel nodig is om toegang te krijgen. Voor DKE-beveiliging zijn zowel de door Microsoft bewaarde sleutel als de sleutel van de klant vereist om beveiligde inhoud te ontsleutelen.
Zie dubbele sleutelversleuteling in de Microsoft 365-documentatie voor meer informatie.
Volgende stappen
Zie een van de volgende artikelen voor meer informatie over specifieke typen sleutels:
- Aan de slag met tenanthoofdsleutels
- BYOK-gegevens (Bring Your Own Key) voor Azure Information Protection
- Microsoft Purview Double Key Encryption
Als u migreert tussen tenants, zoals na een fusie van een bedrijf, raden we u aan onze blogpost over fusies en spin-offs te lezen voor meer informatie.