Compartilhar via


Planejamento e implementação da sua chave de locatário da Proteção de Informações do Azure

Observação

Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?

O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível para o público em geral.

A chave de locatário da Proteção de Informações do Azure é uma chave raiz para sua organização. Outras chaves podem ser derivadas dessa chave raiz, incluindo chaves de usuário, chaves de computador ou chaves de criptografia de documento. Sempre que a Proteção de Informações do Azure usa essas chaves para sua organização, elas são encadeadas criptograficamente à sua chave de locatário raiz da Proteção de Informações do Azure.

Além da chave raiz do locatário, sua organização pode exigir segurança local para documentos específicos. A proteção de chave local normalmente é necessária apenas para uma pequena quantidade de conteúdo e, portanto, é configurada junto com uma chave raiz do locatário.

Tipos de chave da Proteção de Informações do Azure

Sua chave raiz do locatário pode ser:

Se você tiver conteúdo altamente confidencial que exija proteção local adicional, recomendamos o uso da Criptografia de Chave Dupla (DKE).

Chaves raiz do locatário geradas pela Microsoft

A chave padrão, gerada automaticamente pela Microsoft, é a chave padrão usada exclusivamente para a Proteção de Informações do Azure para gerenciar a maioria dos aspectos do ciclo de vida da chave do locatário.

Continue usando a chave padrão da Microsoft quando quiser implantar a Proteção de Informações do Azure rapidamente e sem hardware, software ou uma assinatura especial do Azure. Exemplos incluem ambientes de teste ou organizações sem requisitos regulamentares para gerenciamento de chaves.

Para a chave padrão, nenhuma etapa adicional é necessária, e você pode ir diretamente para Introdução à chave raiz do locatário.

Observação

A chave padrão gerada pela Microsoft é a opção mais simples com as menores despesas administrativas.

Na maioria dos casos, talvez você nem saiba que tem uma chave de locatário, pois pode se inscrever na Proteção de Informações do Azure e o restante do processo de gerenciamento de chaves é manipulado pela Microsoft.

Proteção BYOK (Bring Your Own Key)

A proteção BYOK usa chaves criadas por clientes, no Azure Key Valt ou no local na organização do cliente. Essas chaves são transferidas para o Azure Key Vault para gerenciamento adicional.

Use BYOK quando sua organização tiver regulamentos de conformidade para geração de chaves, incluindo controle sobre todas as operações do ciclo de vida. Por exemplo, quando sua chave deve ser protegida por um módulo de segurança de hardware.

Para obter mais informações, confira Configurar a proteção BYOK.

Depois de configurar, continue em Introdução à chave raiz do locatário para obter mais informações sobre como usar e gerenciar sua chave.

DKE (Double Key Encryption)

A proteção DKE fornece segurança adicional para seu conteúdo usando duas chaves: uma criada e mantida pela Microsoft no Azure e outra criada e mantida no local pelo cliente.

O DKE requer ambas as chaves para acessar conteúdo protegido, garantindo que a Microsoft e outros terceiros nunca tenham acesso a dados protegidos por conta própria.

O DKE pode ser implantado na nuvem ou localmente, fornecendo total flexibilidade para locais de armazenamento.

Use o DKE quando sua organização:

  • quer garantir que apenas eles possam descriptografar conteúdo protegido, em todas as circunstâncias.
  • não quer que a Microsoft tenha acesso a dados protegidos por conta própria.
  • possui requisitos regulamentares para manter chaves dentro de um limite geográfico. Com o DKE, as chaves mantidas pelo cliente são mantidas no data center do cliente.

Observação

O DKE é semelhante a um cofre que requer uma chave bancária e uma chave de cliente para obter acesso. A proteção DKE requer a chave mantida pela Microsoft e a chave mantida pelo cliente para descriptografar o conteúdo protegido.

Para obter mais informações, confira Criptografia de chave dupla na documentação do Microsoft 365.

Próximas etapas

Consulte qualquer um dos seguintes artigos para obter mais detalhes sobre tipos específicos de chaves:

Se você estiver migrando entre locatários, como após uma fusão de empresas, recomendamos que leia nossa postagem no blog sobre fusões e cisões para obter mais informações.