Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.
Der Azure Information Protection-Mandantenschlüssel ist ein Stammschlüssel für Ihre Organisation. Von diesem Stammschlüssel können weitere Schlüssel abgeleitet werden, z. B. Benutzerschlüssel, Computerschlüssel oder Schlüssel zur Verschlüsselung von Dokumenten. Wann immer Azure Information Protection diese Schlüssel für Ihr Unternehmen verwendet, werden sie kryptografisch mit Ihrem Azure Information Protection-Stammschlüssel verknüpft.
Zusätzlich zu Ihrem Mandantenstammschlüssel benötigen Ihre Organisation möglicherweise lokale Sicherheit für bestimmte Dokumente. Der lokale Schlüsselschutz ist in der Regel nur für eine kleine Menge von Inhalten erforderlich und wird daher zusammen mit einem Mandantenstammschlüssel konfiguriert.
Azure Information Protection-Schlüsseltypen
Der Mandantenstammschlüssel kann entweder folgendes sein:
- Generiert von Microsoft
- Erzeugt von Kunden mit Bring Your Own Key (BYOK) Schutz.
Wenn Sie hochsensible Inhalte haben, die einen zusätzlichen Schutz vor Ort erfordern, empfehlen wir die Verwendung von Double Key Encryption (DKE).
Von Microsoft generierte Mandantenstammschlüssel
Der von Microsoft generierte Standardschlüssel ist der Standardschlüssel, der ausschließlich für Azure Information Protection verwendet wird, um die meisten Aspekte Ihres Mandantenschlüssellebenszyklus zu verwalten.
Verwenden Sie den Standardmäßigen Microsoft-Schlüssel, wenn Sie Azure Information Protection schnell und ohne spezielle Hardware, Software oder ein Azure-Abonnement bereitstellen möchten. Beispiele sind Testumgebungen oder Organisationen ohne regulatorische Anforderungen für die Schlüsselverwaltung.
Für den Standardschlüssel sind keine weiteren Schritte erforderlich, und Sie können direkt zu Einstieg mit Ihrem Mieterstammschlüssel gehen.
Hinweis
Der von Microsoft generierte Standardschlüssel ist die einfachste Option mit den niedrigsten Verwaltungskosten.
In den meisten Fällen wissen Sie möglicherweise nicht, dass Sie über einen Mandantenschlüssel verfügen, da Sie sich für Azure Information Protection registrieren können und der rest des Schlüsselverwaltungsprozesses von Microsoft behandelt wird.
Bring Your Own Key (BYOK)-Schutz
BYOK-Protection verwendet Schlüssel, die von Kunden erstellt werden, entweder in azure Key Vault oder lokal in der Kundenorganisation. Diese Schlüssel werden dann in Azure Key Vault für die weitere Verwaltung übertragen.
Verwenden Sie BYOK, wenn Ihre Organisation Compliancebestimmungen für die Schlüsselgenerierung hat, einschließlich Kontrolle über alle Lebenszyklusvorgänge. Zum Beispiel, wenn Ihr Schlüssel durch ein Hardware-Sicherheitsmodul geschützt werden muss.
Weitere Informationen finden Sie unter Konfigurieren des BYOK-Schutzes.
Nach der Konfiguration finden Sie unter Einführung in die Arbeit mit Ihrem Mandantenstammschlüssel weitere Informationen zur Verwendung und Verwaltung Ihres Schlüssels.
Verschlüsselung mit doppeltem Schlüssel (DKE)
DKE-Schutz bietet zusätzliche Sicherheit für Ihre Inhalte mithilfe von zwei Schlüsseln: einer, der von Microsoft in Azure erstellt und gespeichert wird, und eine andere, die lokal vom Kunden erstellt und gespeichert wird.
DKE erfordert beide Schlüssel zum Zugriff auf geschützte Inhalte, um sicherzustellen, dass Microsoft und andere Dritte niemals Zugriff auf geschützte Daten haben.
DKE kann entweder in der Cloud oder lokal bereitgestellt werden und bietet volle Flexibilität für Speicherorte.
Verwenden Sie DKE, wenn Ihre Organisation:
- Möchte sicherstellen, dass nur sie geschützte Inhalte unter allen Umständen entschlüsseln können.
- Möchten Sie nicht, dass Microsoft auf geschützte Daten zugreifen kann.
- Verfügt über regulatorische Anforderungen zum Halten von Schlüsseln innerhalb einer geografischen Grenze. Mit DKE werden Kundenschlüssel im Kundencenter verwaltet.
Hinweis
DKE ähnelt einem Guthabenfeld, das sowohl einen Bankschlüssel als auch einen Kundenschlüssel benötigt, um Zugriff zu erhalten. DKE-Schutz erfordert sowohl den microsoft-gehaltenen Schlüssel als auch den vom Kunden gehaltenen Schlüssel zum Entschlüsseln geschützter Inhalte.
Weitere Informationen finden Sie unter Doppelschlüsselverschlüsselung in der Microsoft 365-Dokumentation.
Nächste Schritte
Weitere Informationen zu bestimmten Schlüsseltypen finden Sie in den folgenden Artikeln:
- Erste Schritte mit Stammschlüsseln für Mandanten
- Details zu „Bring Your Own Key“ (BYOK) für Azure Information Protection
- Microsoft Purview-Doppelschlüsselverschlüsselung
Wenn Sie auf andere Mandant migrieren, z. B. nach einer Unternehmensfusion, empfehlen wir Ihnen, unseren Blogbeitrag über Fusionen und Abspaltungen zu lesen, um weitere Informationen zu erhalten.