Planeamiento e implementación de su clave de inquilino de Azure Information Protection

Nota

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El cliente de etiquetado unificado de Azure Information Protection está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

La clave de inquilino de Azure Information Protection es una clave raíz para la organización. Otras claves se pueden derivar de esta clave raíz, incluidas las claves de usuario, las claves de equipo o las claves de cifrado de documentos. Siempre que Azure Information Protection use estas claves para su organización, se encadenan criptográficamente a la clave de inquilino raíz de Azure Information Protection.

Además de la clave raíz del inquilino, la organización puede requerir seguridad local para documentos específicos. Normalmente, la protección de claves local solo es necesaria para una pequeña cantidad de contenido y, por tanto, se configura junto con una clave raíz de inquilino.

Tipos de claves de Azure Information Protection

La clave raíz del inquilino puede ser:

Si tiene contenido altamente confidencial que requiere protección adicional local, se recomienda usar cifrado de doble clave (DKE).

Claves raíz del inquilino generadas por Microsoft

La clave predeterminada, generada automáticamente por Microsoft, es la clave predeterminada que se usa exclusivamente para Azure Information Protection para administrar la mayoría de los aspectos del ciclo de vida de la clave de inquilino.

Siga usando la clave de Microsoft predeterminada cuando quiera implementar Azure Information Protection rápidamente y sin hardware, software o una suscripción de Azure especial. Entre los ejemplos se incluyen entornos de prueba u organizaciones sin requisitos normativos para la administración de claves.

Para la clave predeterminada, no se requieren más pasos y puede ir directamente a Introducción a la clave raíz del inquilino.

Nota

La clave predeterminada generada por Microsoft es la opción más sencilla con las sobrecargas administrativas más bajas.

En la mayoría de los casos, es posible que ni siquiera sepa que tiene una clave de inquilino, ya que puede registrarse en Azure Information Protection y el resto del proceso de administración de claves lo controla Microsoft.

Protección de Bring Your Own Key (BYOK)

BYOK-protection usa claves creadas por los clientes, ya sea en azure Key Vault o en el entorno local de la organización del cliente. Estas claves se transfieren a Azure Key Vault para una administración adicional.

Use BYOK cuando su organización tenga regulaciones de cumplimiento para la generación de claves, incluido el control sobre todas las operaciones de ciclo de vida. Por ejemplo, cuando la clave debe estar protegida por un módulo de seguridad de hardware.

Para obtener más información, consulte Configuración de la protección BYOK.

Una vez configurado, vaya a Introducción a la clave raíz del inquilino para obtener más información sobre el uso y la administración de la clave.

La protección contra DKE proporciona seguridad adicional para el contenido mediante dos claves: una creada y mantenida por Microsoft en Azure, y otra creada y mantenida localmente por el cliente.

DKE requiere que ambas claves accedan al contenido protegido, lo que garantiza que Microsoft y otros terceros nunca tengan acceso a los datos protegidos por sí mismos.

DKE se puede implementar en la nube o en el entorno local, lo que proporciona una flexibilidad completa para las ubicaciones de almacenamiento.

Use DKE cuando la organización:

  • Quiere asegurarse de que solo puedan descifrar contenido protegido en todas las circunstancias.
  • No quieras que Microsoft tenga acceso a los datos protegidos por sí solos.
  • Tiene requisitos normativos para contener claves dentro de un límite geográfico. Con DKE, las claves mantenidas por el cliente se mantienen dentro del centro de datos del cliente.

Nota

DKE es similar a una caja de seguridad que requiere una clave bancaria y una clave de cliente para obtener acceso. La protección contra DKE requiere tanto la clave mantenida por Microsoft como la clave mantenida por el cliente para descifrar el contenido protegido.

Para obtener más información, vea Cifrado de clave doble en la documentación de Microsoft 365.

Pasos siguientes

Consulte cualquiera de los siguientes artículos para obtener más detalles sobre los tipos específicos de claves:

Si va a migrar entre inquilinos, como después de una fusión de la empresa, le recomendamos que lea nuestra entrada de blog sobre fusiones y spinoffs para obtener más información.