Megosztás a következőn keresztül:

Az Azure Information Protection-bérlőkulcs tervezése és implementálása

  • Cikk

Feljegyzés

Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?

Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.

A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.

Az Azure Information Protection bérlőkulcsa a szervezet gyökérkulcsa. Más kulcsok is származhatnak ebből a gyökérkulcsból, beleértve a felhasználói kulcsokat, a számítógépkulcsokat vagy a dokumentumtitkosítási kulcsokat. Amikor az Azure Information Protection ezeket a kulcsokat használja a szervezetéhez, kriptográfiai módon az Azure Information Protection gyökérbérlõkulcsához láncolt.

A bérlő gyökérkulcsán kívül a szervezet helyszíni biztonságot is megkövetelhet adott dokumentumokhoz. A helyszíni kulcsvédelem általában csak kis mennyiségű tartalomhoz szükséges, ezért a bérlő főkulcsával együtt van konfigurálva.

Azure Information Protection-kulcstípusok

A bérlő gyökérkulcsa a következő lehet:

Ha rendkívül érzékeny tartalommal rendelkezik, amely további helyszíni védelmet igényel, javasoljuk a Dupla kulcsos titkosítás (DKE) használatát.

A Microsoft által létrehozott bérlői főkulcsok

A Microsoft által automatikusan létrehozott alapértelmezett kulcs az alapértelmezett kulcs, amelyet kizárólag az Azure Information Protection használ a bérlőkulcs életciklusának legtöbb aspektusának kezeléséhez.

Folytassa az alapértelmezett Microsoft-kulcsot, ha az Azure Information Protectiont gyorsan és speciális hardver, szoftver vagy Azure-előfizetés nélkül szeretné üzembe helyezni. Ilyenek például a tesztelési környezetek vagy a kulcskezelésre vonatkozó szabályozási követelmények nélküli szervezetek.

Az alapértelmezett kulcshoz nincs szükség további lépésekre, és közvetlenül a bérlői gyökérkulcs használatának első lépéseihez léphet.

Feljegyzés

A Microsoft által létrehozott alapértelmezett kulcs a legegyszerűbb lehetőség a legalacsonyabb rendszergazdai többletterheléssel.

A legtöbb esetben előfordulhat, hogy nem is tudja, hogy rendelkezik bérlői kulccsal, mivel regisztrálhat az Azure Information Protection szolgáltatásra, és a kulcskezelési folyamat többi részét a Microsoft kezeli.

Saját kulcs (BYOK) védelme

A BYOK-protection olyan kulcsokat használ, amelyeket az ügyfelek hoztak létre az Azure Key Vaultban vagy a helyszíni ügyfélszervezetben. Ezek a kulcsok ezután tovább lesznek továbbítva az Azure Key Vaultba további felügyelet céljából.

Akkor használja a BYOK-ot, ha szervezete rendelkezik a kulcsgenerálásra vonatkozó megfelelőségi előírásokkal, beleértve az összes életciklus-művelet vezérlését is. Ha például a kulcsot hardveres biztonsági modullal kell védeni.

További információ: BYOK-védelem konfigurálása.

A konfigurálást követően folytassa a bérlői gyökérkulcs használatának első lépéseivel, hogy további információt tudjon meg a kulcs használatáról és kezeléséről.

Dupla kulcsos titkosítás (DKE)

A DKE-védelem további biztonságot nyújt a tartalmak számára két kulcs használatával: az egyiket a Microsoft hozta létre és tartja az Azure-ban, a másikat pedig az ügyfél hozta létre és tartja a helyszínen.

A DKE-nek mindkét kulcsra szüksége van a védett tartalmak eléréséhez, biztosítva, hogy a Microsoft és más harmadik felek soha ne férhessenek hozzá önállóan a védett adatokhoz.

A DKE üzembe helyezhető a felhőben vagy a helyszínen, így teljes rugalmasságot biztosít a tárolási helyek számára.

A DKE használata a szervezetnél:

  • Biztosítani szeretné, hogy minden körülmények között csak ők fejthetik vissza a védett tartalmakat.
  • Ne szeretné, hogy a Microsoft önállóan hozzáférjen a védett adatokhoz.
  • A kulcsok földrajzi határokon belüli tárolására vonatkozó szabályozási követelményekkel rendelkezik. A DKE-vel az ügyfél által tárolt kulcsok az ügyfél adatközpontjában maradnak.

Feljegyzés

A DKE hasonló a biztonsági letéti dobozhoz, amelyhez bankkulcs és ügyfélkulcs is szükséges a hozzáférés megszerzéséhez. A DKE-védelemhez a Microsoft által birtokolt kulcs és az ügyfél által birtokolt kulcs is szükséges a védett tartalom visszafejtéséhez.

További információ: Duplakulcsos titkosítás a Microsoft 365 dokumentációjában.

Következő lépések

Az egyes kulcstípusokról az alábbi cikkekben talál további információt:

Ha bérlőkre migrál, például egy cég egyesülése után, javasoljuk, hogy olvassa el az egyesülésekről és a spinoffokról szóló blogbejegyzésünket további információkért.