Pianificazione e implementazione della chiave del tenant di Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

La chiave del tenant di Azure Information Protection è una chiave radice per l'organizzazione. Altre chiavi possono essere derivate da questa chiave radice, incluse le chiavi utente, le chiavi del computer o le chiavi di crittografia dei documenti. Ogni volta che Azure Information Protection usa queste chiavi per l'organizzazione, concatena in modo crittografico alla chiave del tenant radice di Azure Information Protection.

Oltre alla chiave radice del tenant, l'organizzazione potrebbe richiedere la sicurezza locale per documenti specifici. La protezione delle chiavi locali è in genere necessaria solo per una piccola quantità di contenuto e pertanto viene configurata insieme a una chiave radice del tenant.

Tipi di chiavi di Azure Information Protection

La chiave radice del tenant può essere:

Se si dispone di contenuti estremamente sensibili che richiedono una protezione aggiuntiva locale, è consigliabile usare la crittografia a chiave doppia (DKE).

Chiavi radice del tenant generate da Microsoft

La chiave predefinita, generata automaticamente da Microsoft, è la chiave predefinita usata esclusivamente per Azure Information Protection per gestire la maggior parte degli aspetti del ciclo di vita della chiave del tenant.

Continuare a usare la chiave Microsoft predefinita quando si vuole distribuire Azure Information Protection rapidamente e senza hardware, software o una sottoscrizione di Azure speciale. Gli esempi includono ambienti di test o organizzazioni senza requisiti normativi per la gestione delle chiavi.

Per la chiave predefinita, non sono necessari altri passaggi ed è possibile passare direttamente a Introduzione alla chiave radice del tenant.

Nota

La chiave predefinita generata da Microsoft è l'opzione più semplice con i sovraccarichi amministrativi più bassi.

Nella maggior parte dei casi, è possibile che non si sappia nemmeno di avere una chiave del tenant, perché è possibile iscriversi ad Azure Information Protection e il resto del processo di gestione delle chiavi viene gestito da Microsoft.

Protezione BYOK (Bring Your Own Key)

La protezione BYOK usa le chiavi create dai clienti, in Azure Key Vault o in locale nell'organizzazione del cliente. Queste chiavi vengono quindi trasferite ad Azure Key Vault per un'ulteriore gestione.

Usare BYOK quando l'organizzazione ha normative di conformità per la generazione delle chiavi, incluso il controllo su tutte le operazioni del ciclo di vita. Ad esempio, quando la chiave deve essere protetta da un modulo di sicurezza hardware.

Per altre informazioni, vedere Configurare la protezione BYOK.

Dopo aver configurato, passare a Introduzione alla chiave radice del tenant per altre informazioni sull'uso e sulla gestione della chiave.

Crittografia a chiave doppia (DKE)

La protezione DKE offre sicurezza aggiuntiva per il contenuto usando due chiavi: una creata e gestita da Microsoft in Azure e un'altra creata e mantenuta in locale dal cliente.

DKE richiede che entrambe le chiavi acceda al contenuto protetto, assicurandosi che Microsoft e altre terze parti non abbiano mai accesso ai dati protetti autonomamente.

DKE può essere distribuito nel cloud o in locale, offrendo la massima flessibilità per le posizioni di archiviazione.

Usare DKE quando l'organizzazione:

  • Vuole garantire che solo essi possano decrittografare il contenuto protetto, in tutte le circostanze.
  • Non si vuole che Microsoft abbia accesso ai dati protetti autonomamente.
  • Dispone di requisiti normativi per contenere le chiavi all'interno di un limite geografico. Con DKE, le chiavi gestite dal cliente vengono mantenute all'interno del data center del cliente.

Nota

DKE è simile a una casella di deposito di sicurezza che richiede sia una chiave bancaria che una chiave del cliente per ottenere l'accesso. La protezione DKE richiede sia la chiave gestita da Microsoft che la chiave mantenuta dal cliente per decrittografare il contenuto protetto.

Per altre informazioni, vedere Crittografia a chiave doppia nella documentazione di Microsoft 365.

Passaggi successivi

Per altre informazioni sui tipi specifici di chiavi, vedere uno degli articoli seguenti:

Se si esegue la migrazione tra tenant, ad esempio dopo una fusione aziendale, è consigliabile leggere il post di blog sulle fusioni e sugli spinoff per altre informazioni.