Pianificazione e implementazione della chiave del tenant di Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare etichette integrate nelle app e nei servizi di Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

La chiave del tenant di Azure Information Protection è una chiave radice per l'organizzazione. Altre chiavi possono essere derivate da questa chiave radice, incluse le chiavi utente, le chiavi del computer o le chiavi di crittografia dei documenti. Ogni volta che Azure Information Protection usa queste chiavi per l'organizzazione, esegue la concatenazione crittografica alla chiave del tenant radice di Azure Information Protection.

Oltre alla chiave radice del tenant, l'organizzazione potrebbe richiedere la sicurezza locale per documenti specifici. La protezione delle chiavi locali è in genere necessaria solo per una piccola quantità di contenuto e pertanto viene configurata insieme a una chiave radice del tenant.

Tipi di chiave di Azure Information Protection

La chiave radice del tenant può essere:

Se si dispone di contenuto altamente sensibile che richiede una protezione aggiuntiva locale, è consigliabile usare la crittografia a chiave doppia (DKE).

Chiavi radice del tenant generate da Microsoft

La chiave predefinita, generata automaticamente da Microsoft, è la chiave predefinita usata esclusivamente per Azure Information Protection per gestire la maggior parte degli aspetti del ciclo di vita della chiave del tenant.

Continuare a usare la chiave Microsoft predefinita quando si vuole distribuire Azure Information Protection rapidamente e senza hardware, software o una sottoscrizione di Azure speciale. Gli esempi includono ambienti di test o organizzazioni senza requisiti normativi per la gestione delle chiavi.

Per la chiave predefinita, non sono necessari altri passaggi ed è possibile passare direttamente a Introduzione alla chiave radice del tenant.

Nota

La chiave predefinita generata da Microsoft è l'opzione più semplice con i costi amministrativi più bassi.

Nella maggior parte dei casi, è possibile che non si sappia nemmeno di avere una chiave del tenant, perché è possibile iscriversi ad Azure Information Protection e il resto del processo di gestione delle chiavi viene gestito da Microsoft.

Protezione BYOK (Bring Your Own Key)

La protezione BYOK usa chiavi create dai clienti, in Azure Key Vault o in locale nell'organizzazione del cliente. Queste chiavi vengono quindi trasferite ad Azure Key Vault per un'ulteriore gestione.

Usare BYOK quando l'organizzazione dispone di normative di conformità per la generazione di chiavi, incluso il controllo su tutte le operazioni del ciclo di vita. Ad esempio, quando la chiave deve essere protetta da un modulo di sicurezza hardware.

Per altre informazioni, vedere Configurare la protezione BYOK.

Dopo la configurazione, passare a Introduzione alla chiave radice del tenant per altre informazioni sull'uso e sulla gestione della chiave.

Crittografia a chiave doppia (DKE)

La protezione DKE offre sicurezza aggiuntiva per il contenuto usando due chiavi: una creata e mantenuta da Microsoft in Azure e un'altra creata e mantenuta in locale dal cliente.

DKE richiede che entrambe le chiavi accedano al contenuto protetto, assicurando che Microsoft e altre terze parti non abbiano accesso ai dati protetti autonomamente.

DKE può essere distribuito nel cloud o in locale, offrendo la massima flessibilità per le posizioni di archiviazione.

Usare DKE quando l'organizzazione:

  • Vuole assicurarsi che solo essi possano decrittografare il contenuto protetto, in tutte le circostanze.
  • Non si vuole che Microsoft abbia accesso ai dati protetti autonomamente.
  • Ha requisiti normativi per contenere le chiavi all'interno di un limite geografico. Con DKE, le chiavi gestite dal cliente vengono mantenute all'interno del data center del cliente.

Nota

DKE è simile a una cassetta di deposito di sicurezza che richiede sia una chiave bancaria che una chiave del cliente per ottenere l'accesso. La protezione DKE richiede sia la chiave gestita da Microsoft che la chiave gestita dal cliente per decrittografare il contenuto protetto.

Per altre informazioni, vedere Crittografia a chiave doppia nella documentazione di Microsoft 365.

Passaggi successivi

Per altre informazioni sui tipi specifici di chiavi, vedere uno degli articoli seguenti:

Se si esegue la migrazione tra tenant, ad esempio dopo una fusione aziendale, è consigliabile leggere il post di blog sulle fusioni e sugli spinoff per altre informazioni.