Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels

Hinweis

Suchen Sie Microsoft Purview Information Protection, früher Microsoft Information Protection (MIP)?

Der Azure Information Protection Client für einheitliche Bezeichnungen befindet sich jetzt im Wartungsmodus. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365 Apps und Dienste integriert sind. Weitere Informationen

Der Azure Information Protection-Mandantenschlüssel ist ein Stammschlüssel für Ihre Organisation. Von diesem Stammschlüssel können weitere Schlüssel abgeleitet werden, z. B. Benutzerschlüssel, Computerschlüssel oder Schlüssel zur Verschlüsselung von Dokumenten. Wann immer Azure Information Protection diese Schlüssel für Ihr Unternehmen verwendet, werden sie kryptografisch mit Ihrem Azure Information Protection-Stammschlüssel verknüpft.

Zusätzlich zu Ihrem Mandantenstammschlüssel benötigen Ihre Organisation möglicherweise lokale Sicherheit für bestimmte Dokumente. Der lokale Schlüsselschutz ist in der Regel nur für eine kleine Menge von Inhalten erforderlich und wird daher zusammen mit einem Mandantenstammschlüssel konfiguriert.

Azure Information Protection-Schlüsseltypen

Der Mandantenstammschlüssel kann entweder folgendes sein:

Wenn Sie hochsensible Inhalte haben, die einen zusätzlichen Schutz vor Ort erfordern, empfehlen wir die Verwendung von Double Key Encryption (DKE).

Von Microsoft generierte Mandantenstammschlüssel

Der von Microsoft generierte Standardschlüssel ist der Standardschlüssel, der ausschließlich für Azure Information Protection verwendet wird, um die meisten Aspekte Ihres Mandantenschlüssellebenszyklus zu verwalten.

Verwenden Sie den Standardmäßigen Microsoft-Schlüssel, wenn Sie Azure Information Protection schnell und ohne spezielle Hardware, Software oder ein Azure-Abonnement bereitstellen möchten. Beispiele sind Testumgebungen oder Organisationen ohne regulatorische Anforderungen für die Schlüsselverwaltung.

Für den Standardschlüssel sind keine weiteren Schritte erforderlich, und Sie können direkt zu Einstieg mit Ihrem Mieterstammschlüssel gehen.

Hinweis

Der von Microsoft generierte Standardschlüssel ist die einfachste Option mit den niedrigsten Verwaltungskosten.

In den meisten Fällen wissen Sie möglicherweise nicht, dass Sie über einen Mandantenschlüssel verfügen, da Sie sich für Azure Information Protection registrieren können und der rest des Schlüsselverwaltungsprozesses von Microsoft behandelt wird.

Bring Your Own Key (BYOK)-Schutz

BYOK-Protection verwendet Schlüssel, die von Kunden erstellt werden, entweder in azure Key Vault oder lokal in der Kundenorganisation. Diese Schlüssel werden dann in Azure Key Vault für die weitere Verwaltung übertragen.

Verwenden Sie BYOK, wenn Ihre Organisation Compliancebestimmungen für die Schlüsselgenerierung hat, einschließlich Kontrolle über alle Lebenszyklusvorgänge. Zum Beispiel, wenn Ihr Schlüssel durch ein Hardware-Sicherheitsmodul geschützt werden muss.

Weitere Informationen finden Sie unter Konfigurieren des BYOK-Schutzes.

Nach der Konfiguration finden Sie unter Einführung in die Arbeit mit Ihrem Mandantenstammschlüssel weitere Informationen zur Verwendung und Verwaltung Ihres Schlüssels.

Verschlüsselung mit doppeltem Schlüssel (DKE)

DKE-Schutz bietet zusätzliche Sicherheit für Ihre Inhalte mithilfe von zwei Schlüsseln: einer, der von Microsoft in Azure erstellt und gespeichert wird, und eine andere, die lokal vom Kunden erstellt und gespeichert wird.

DKE erfordert beide Schlüssel zum Zugriff auf geschützte Inhalte, um sicherzustellen, dass Microsoft und andere Dritte niemals Zugriff auf geschützte Daten haben.

DKE kann entweder in der Cloud oder lokal bereitgestellt werden und bietet volle Flexibilität für Speicherorte.

Verwenden Sie DKE, wenn Ihre Organisation:

  • Möchte sicherstellen, dass nur sie geschützte Inhalte unter allen Umständen entschlüsseln können.
  • Möchten Sie nicht, dass Microsoft auf geschützte Daten zugreifen kann.
  • Verfügt über regulatorische Anforderungen zum Halten von Schlüsseln innerhalb einer geografischen Grenze. Mit DKE werden Kundenschlüssel im Kundencenter verwaltet.

Hinweis

DKE ähnelt einem Guthabenfeld, das sowohl einen Bankschlüssel als auch einen Kundenschlüssel benötigt, um Zugriff zu erhalten. DKE-Schutz erfordert sowohl den microsoft-gehaltenen Schlüssel als auch den vom Kunden gehaltenen Schlüssel zum Entschlüsseln geschützter Inhalte.

Weitere Informationen finden Sie unter Doppelschlüsselverschlüsselung in der Microsoft 365-Dokumentation.

Nächste Schritte

Weitere Informationen zu bestimmten Schlüsseltypen finden Sie in den folgenden Artikeln:

Wenn Sie auf andere Mandant migrieren, z. B. nach einer Unternehmensfusion, empfehlen wir Ihnen, unseren Blogbeitrag über Fusionen und Abspaltungen zu lesen, um weitere Informationen zu erhalten.