Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.
Klucz dzierżawy usługi Azure Information Protection jest kluczem głównym organizacji. Inne klucze mogą pochodzić z tego klucza głównego, w tym kluczy użytkownika, kluczy komputerów lub kluczy szyfrowania dokumentów. Za każdym razem, gdy usługa Azure Information Protection używa tych kluczy w organizacji, kryptograficznie łączą się one z głównym kluczem dzierżawy usługi Azure Information Protection.
Oprócz klucza głównego dzierżawy organizacja może wymagać zabezpieczeń lokalnych dla określonych dokumentów. Ochrona klucza lokalnego jest zwykle wymagana tylko dla niewielkiej ilości zawartości i dlatego jest konfigurowana razem z kluczem głównym dzierżawy.
Typy kluczy usługi Azure Information Protection
Klucz główny dzierżawy może być:
- Wygenerowane przez firmę Microsoft
- Generowane przez klientów z ochroną byOK (Bring Your Own Key).
Jeśli masz wysoce wrażliwą zawartość, która wymaga dodatkowej ochrony lokalnej, zalecamy użycie podwójnego szyfrowania kluczy (DKE).
Klucze główne dzierżawy generowane przez firmę Microsoft
Domyślny klucz generowany automatycznie przez firmę Microsoft to domyślny klucz używany wyłącznie dla usługi Azure Information Protection do zarządzania większością aspektów cyklu życia klucza dzierżawy.
Kontynuuj korzystanie z domyślnego klucza firmy Microsoft, jeśli chcesz szybko wdrożyć usługę Azure Information Protection bez specjalnego sprzętu, oprogramowania lub subskrypcji platformy Azure. Przykłady obejmują środowiska testowe lub organizacje bez wymagań prawnych dotyczących zarządzania kluczami.
W przypadku klucza domyślnego nie są wymagane żadne dalsze kroki i możesz przejść bezpośrednio do sekcji Wprowadzenie do klucza głównego dzierżawy.
Uwaga
Domyślny klucz generowany przez firmę Microsoft jest najprostszą opcją z najniższymi obciążeniami administracyjnymi.
W większości przypadków możesz nawet nie wiedzieć, że masz klucz dzierżawy, ponieważ możesz zarejestrować się w usłudze Azure Information Protection, a reszta procesu zarządzania kluczami jest obsługiwana przez firmę Microsoft.
Ochrona byOK (Bring Your Own Key)
Funkcja BYOK używa kluczy tworzonych przez klientów w usłudze Azure Key Vault lub lokalnie w organizacji klienta. Te klucze są następnie przenoszone do usługi Azure Key Vault w celu dalszego zarządzania.
Użyj rozwiązania BYOK, gdy organizacja ma przepisy dotyczące zgodności dla generowania kluczy, w tym kontrolę nad wszystkimi operacjami cyklu życia. Na przykład gdy klucz musi być chroniony przez sprzętowy moduł zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Konfigurowanie ochrony byOK.
Po skonfigurowaniu przejdź do sekcji Wprowadzenie do klucza głównego dzierżawy, aby uzyskać więcej informacji na temat korzystania z klucza i zarządzania nim.
Podwójne szyfrowanie kluczy (DKE)
Ochrona DKE zapewnia dodatkowe zabezpieczenia zawartości przy użyciu dwóch kluczy: jeden utworzony i przechowywany przez firmę Microsoft na platformie Azure, a drugi utworzony i przechowywany lokalnie przez klienta.
DKE wymaga, aby oba klucze miały dostęp do chronionej zawartości, zapewniając, że firma Microsoft i inne podmioty trzecie nigdy nie mają dostępu do chronionych danych samodzielnie.
Magazyn DKE można wdrożyć w chmurze lub lokalnie, zapewniając pełną elastyczność lokalizacji przechowywania.
Użyj DKE, gdy organizacja:
- Chce mieć pewność, że tylko oni mogą odszyfrować chronioną zawartość we wszystkich okolicznościach.
- Nie chcesz, aby firma Microsoft miała dostęp do chronionych danych samodzielnie.
- Ma wymagania prawne dotyczące przechowywania kluczy w granicach geograficznych. W przypadku DKE klucze przechowywane przez klienta są przechowywane w centrum danych klienta.
Uwaga
DKE jest podobna do skrzynki zabezpieczającej, która wymaga zarówno klucza bankowego, jak i klucza klienta w celu uzyskania dostępu. Ochrona DKE wymaga zarówno klucza przechowywanego przez firmę Microsoft, jak i klucza przechowywanego przez klienta w celu odszyfrowania chronionej zawartości.
Aby uzyskać więcej informacji, zobacz Podwójne szyfrowanie klucza w dokumentacji platformy Microsoft 365.
Następne kroki
Aby uzyskać więcej informacji na temat konkretnych typów kluczy, zobacz dowolny z następujących artykułów:
- Wprowadzenie do kluczy głównych dzierżawy
- Szczegóły byOK (Bring Your Own Key) dla usługi Azure Information Protection
- Podwójne szyfrowanie klucza w usłudze Microsoft Purview
Jeśli przeprowadzasz migrację między dzierżawami, na przykład po połączeniu firmy, zalecamy przeczytanie naszego wpisu w blogu dotyczącego fuzji i spinoffs, aby uzyskać więcej informacji.