Plánování a implementace klíče tenanta Azure Information Protection

Poznámka:

Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?

Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.

Klient Microsoft Purview Information Protection (bez doplňku) je obecně dostupný.

Klíč tenanta Azure Information Protection je kořenový klíč pro vaši organizaci. Další klíče mohou být odvozeny od tohoto kořenového klíče, včetně uživatelských klíčů, klíčů počítače nebo šifrovacích klíčů dokumentů. Kdykoli Azure Information Protection používá tyto klíče pro vaši organizaci, kryptograficky zřetězují klíč kořenového tenanta služby Azure Information Protection.

Kromě kořenového klíče tenanta může vaše organizace pro konkrétní dokumenty vyžadovat místní zabezpečení. Ochrana místního klíče se obvykle vyžaduje jenom pro malý obsah, a proto se konfiguruje společně s kořenovým klíčem tenanta.

Typy klíčů služby Azure Information Protection

Kořenový klíč tenanta může být:

Pokud máte vysoce citlivý obsah, který vyžaduje další místní ochranu, doporučujeme použít dvojité šifrování klíčů (DKE).

Kořenové klíče tenanta vygenerované Microsoftem

Výchozí klíč, automaticky vygenerovaný Microsoftem, je výchozí klíč používaný výhradně pro Azure Information Protection ke správě většiny aspektů životního cyklu klíče tenanta.

Pokud chcete azure Information Protection rychle a bez speciálního hardwaru, softwaru nebo předplatného Azure nasadit, pokračujte v používání výchozího klíče Microsoftu. Mezi příklady patří testovací prostředí nebo organizace bez zákonných požadavků na správu klíčů.

Výchozí klíč nevyžaduje žádné další kroky a můžete přejít přímo na Začínáme s kořenovým klíčem tenanta.

Poznámka:

Výchozí klíč vygenerovaný Microsoftem je nejjednodušší volbou s nejnižší režií na správu.

Ve většině případů nemusíte ani vědět, že máte klíč tenanta, protože se můžete zaregistrovat ke službě Azure Information Protection a zbytek procesu správy klíčů zpracovává Microsoft.

Ochrana byok (Bring Your Own Key)

Ochrana BYOK používá klíče vytvořené zákazníky, a to buď v Azure Key Vaultu, nebo místně v organizaci zákazníka. Tyto klíče se pak přenesou do služby Azure Key Vault pro další správu.

Byok používejte, pokud má vaše organizace předpisy týkající se dodržování předpisů pro generování klíčů, včetně kontroly nad všemi operacemi životního cyklu. Pokud je například klíč potřeba chránit modulem hardwarového zabezpečení.

Další informace naleznete v tématu Konfigurace ochrany BYOK.

Po nakonfigurování pokračujte v začínáme s kořenovým klíčem tenanta, abyste získali další informace o používání a správě klíče.

Dvojité šifrování klíčů (DKE)

Ochrana DKE poskytuje další zabezpečení obsahu pomocí dvou klíčů: jednoho vytvořeného a uchovávaného Microsoftem v Azure a dalšího vytvořeného a uchovávaného místně zákazníkem.

DKE vyžaduje, aby oba klíče měly přístup k chráněnému obsahu, aby Microsoft a další třetí strany nikdy neměli přístup k chráněným datům sami.

DKE je možné nasadit buď v cloudu, nebo v místním prostředí a zajistit tak úplnou flexibilitu pro umístění úložiště.

Použití DKE v organizaci:

  • Chce zajistit, aby za všech okolností dešifrovali chráněný obsah jenom oni.
  • Nechcete, aby Microsoft měl přístup k chráněným datům samostatně.
  • Má zákonné požadavky na uchovávání klíčů v rámci geografické hranice. Pomocí DKE se klíče uchovávané zákazníkem se spravují v rámci datacentra zákazníka.

Poznámka:

DKE se podobá trezoru, který k získání přístupu vyžaduje bankovní klíč i klíč zákazníka. Ochrana před útoky DKE vyžaduje k dešifrování chráněného obsahu klíč uložený Microsoftem i klíč uložený zákazníkem.

Další informace najdete v tématu Dvojité šifrování klíčů v dokumentaci k Microsoftu 365.

Další kroky

Další podrobnosti o konkrétních typech klíčů najdete v některém z následujících článků:

Pokud migrujete mezi tenanty, například po sloučení společnosti, doporučujeme, abyste si přečetli blogový příspěvek o fúzi a odsunutí , kde najdete další informace.