计划和实施 Azure 信息保护租户密钥

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

Microsoft Purview 信息保护客户端(不含加载项)已正式发布

Azure 信息保护租户密钥是组织的根密钥。 可以从此根密钥派生出其他密钥,包括用户密钥、计算机密钥和文档加密密钥。 每当 Azure 信息保护使用组织的这些密钥时,它们会以加密方式链接到你的 Azure 信息保护根租户密钥。

除了租户根密钥外,组织可能需要特定文档的本地安全性。 本地密钥保护通常只需要少量内容,因此它是与租户根密钥一起配置的。

Azure 信息保护密钥类型

租户根密钥可以:

如果具有需要额外的本地保护的高度敏感内容,建议使用双重密钥加密 (DKE)

Microsoft 生成的租户根密钥

由 Microsoft 自动生成的默认密钥是 Azure 信息保护专用的默认密钥,用于管理租户密钥生命周期的大多数方面。

如果希望快速部署 Azure 信息保护,而无需特殊的硬件、软件或 Azure 订阅,请继续使用默认的 Microsoft 密钥。 示例包括没有密钥管理监管要求的测试环境或组织。

对于默认密钥,无需执行其他步骤,你可以直接转到租户根密钥入门

注意

Microsoft 生成的默认密钥是具有最低管理开销的建议选项。

在大多数情况下,你可能不知道自己具有租户密钥,因为你可以注册 Azure 信息保护,并将密钥管理过程的剩余部分交由 Microsoft 处理。

创建自己的密钥 (BYOK) 保护

BYOK 保护使用客户在 Azure Key Vault 或在客户组织中本地创建的密钥。 然后,这些密钥将传输到 Azure Key Vault 以进行进一步的管理。

组织具有针对密钥生成的符合性规定(包括对所有生命周期操作的控制)时,请使用 BYOK。 例如,密钥必须由硬件安全模块保护的情况下。

有关详细信息,请参阅配置 BYOK 保护

配置后,请继续参阅租户根密钥入门,了解有关使用和管理密钥的详细信息。

双重密钥加密 (DKE)

DKE 保护通过使用以下两个密钥来为内容提供额外的安全性:一个密钥由 Microsoft 在 Azure 中创建并持有,另一个密钥由客户本地创建并持有。

DKE 要求使用这两个密钥才能访问受保护的内容,能够确保 Microsoft 和其他第三方本身决不会拥有受保护数据的访问权限。

可以在云中或本地部署 DKE,从而为存储位置提供完全的灵活性。

在组织符合以下条件时使用 DKE:

  • 想要确保在所有情况下,只有组织能够解密受保护的内容。
  • 不希望 Microsoft 自行拥有对受保护数据的访问权限。
  • 具有在地理边界内保存密钥的法规要求。 使用 DKE,客户持有的密钥在客户数据中心内维护。

注意

DKE 类似于要求使用银行密钥和客户密钥才能获得访问权限的保险箱。 DKE 保护需要 Microsoft 持有的密钥和客户持有的密钥来解密受保护的内容。

有关详细信息,请参阅 Microsoft 365 文档中的双重密钥加密

后续步骤

有关特定类型的密钥的详细信息,请参阅以下任意文章:

如果要跨租户进行迁移(例如,在公司合并之后),我们建议阅读我们的有关公司合并与分拆的博客文章了解详细信息。