Azure Information Protection 테넌트 키 계획 및 구현

참고

이전에 MIP(Microsoft Information Protection)Microsoft Purview Information Protection 찾고 있나요?

이제 Azure Information Protection 통합 레이블 지정 클라이언트가 유지 관리 모드에 있습니다. Office 365 앱 및 서비스에 기본 제공되는 레이블을 사용하는 것이 좋습니다. 더 알아보세요

Azure Information Protection 테넌트 키는 조직의 루트 키입니다. 사용자 키, 컴퓨터 키 또는 문서 암호화 키를 비롯한 다른 키가 이 루트 키에서 파생될 수 있습니다. Azure Information Protection에서 조직에 대해 이러한 키를 사용할 때마다 Azure Information Protection 루트 테넌트 키에 암호화 방식으로 연결됩니다.

테넌트 루트 키 외에도 조직에 특정 문서에 대한 온-프레미스 보안이 필요할 수 있습니다. 온-프레미스 키 보호는 일반적으로 적은 양의 콘텐츠에만 필요하므로 테넌트 루트 키와 함께 구성됩니다.

Azure Information Protection 키 유형

테넌트 루트 키는 다음 중 하나일 수 있습니다.

추가적인 온-프레미스 보호가 필요한 매우 중요한 콘텐츠가 있는 경우 DKE(이중 키 암호화)를 사용하는 것이 좋습니다.

Microsoft에서 생성된 테넌트 루트 키

Microsoft에서 자동으로 생성하는 기본 키는 Azure Information Protection에서 테넌트 키 수명 주기의 대부분을 관리하는 데 독점적으로 사용되는 기본 키입니다.

특별한 하드웨어, 소프트웨어 또는 Azure 구독 없이 Azure Information Protection을 빠르게 배포하려는 경우 기본 Microsoft 키를 계속 사용합니다. 예를 들어 키 관리에 대한 규정 요구 사항이 없는 테스트 환경 또는 조직이 있습니다.

기본 키의 경우 추가 단계가 필요하지 않으며 테넌트 루트 키로 시작으로 바로 이동하면 됩니다.

참고

Microsoft에서 생성한 기본 키는 관리 오버헤드가 가장 낮은 가장 간단한 옵션입니다.

Azure Information Protection에 등록할 수 있고 나머지 키 관리 프로세스는 Microsoft에서 처리하므로 대부분의 경우에는 테넌트 키가 있는지도 모를 수 있습니다.

BYOK(Bring Your Own Key) 보호

BYOK 보호는 Azure Key Vault 또는 고객 조직의 온-프레미스에서 고객이 만든 키를 사용합니다. 그런 다음 이러한 키는 추가 관리를 위해 Azure Key Vault로 전송됩니다.

조직에 모든 수명 주기 작업에 대한 제어를 포함하여 키 생성에 대한 규정 준수 규정이 있는 경우 BYOK를 사용합니다. 예를 들어 키를 하드웨어 보안 모듈로 보호해야 하는 경우입니다.

자세한 내용은 BYOK 보호 구성을 참조하세요.

구성한 후 키 사용 및 관리에 대한 자세한 내용을 알아보려면 테넌트 루트 키 시작을 확인하세요.

DKE(이중 키 암호화)

DKE 보호는 두 가지 키를 사용하여 콘텐츠에 대한 추가 보안을 제공합니다. 하나는 Azure에서 Microsoft가 만들고 보유하고 다른 하나는 고객이 온-프레미스에서 만들고 보유합니다.

DKE는 보호되는 콘텐츠에 액세스하는 데 두 가지가 모두 필요하므로 Microsoft 및 다른 타사는 보호되는 데이터에 단독으로 액세스할 수 없습니다.

DKE는 클라우드 또는 온-프레미스에 배포할 수 있어 저장소 위치에 대한 완전한 유연성을 제공합니다.

조직은 다음과 같은 경우 DKE를 사용합니다.

  • 모든 상황에서 보호되는 콘텐츠의 암호를 해독할 수 있도록 하고자 함
  • 자체적으로 보호되는 데이터에 Microsoft가 액세스하는 것을 원하지 않음
  • 지리적 경계 내에서 키를 보유해야 하는 규정 요구 사항이 있음 DKE를 사용하면 고객이 보유한 키가 고객 데이터 센터 내에서 유지 관리됨

참고

DKE는 액세스하는 데 은행 키와 고객 키가 모두 필요한 안전 금고와 유사합니다. DKE 보호에는 보호되는 콘텐츠의 암호를 해독하기 위해 Microsoft 소유 키와 고객 소유 키가 모두 필요합니다.

자세한 내용은 Microsoft 365 설명서의 이중 키 암호화를 참조하세요.

다음 단계

특정 키 유형에 대한 자세한 내용은 다음 문서를 참조하세요.

회사 합병 후와 같이 테넌트 간에 마이그레이션하는 경우 자세한 내용은 합병 및 분할에 대한 블로그 게시물을 참조하는 것이 좋습니다.