Планирование и реализация ключа клиента Azure Information Protection

Примечание

Ищете Information Protection Microsoft Purview, ранее Microsoft informācijas aizsardzība (MIP)?

Клиент унифицированных меток Azure Information Protection теперь находится в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Mer informasjon

Ключ клиента Azure Information Protection — это корневой ключ вашей организации. Другие ключи могут быть производными от этого корневого ключа, включая ключи пользователя, ключи компьютера или ключи шифрования документов. Каждый раз, когда Azure Information Protection использует эти ключи для вашей организации, они криптографически цепляются с ключом корневого клиента Azure Information Protection.

Помимо корневого ключа клиента, вашей организации может потребоваться локальная безопасность для определенных документов. Защита локальных ключей обычно требуется только для небольшого объема содержимого, поэтому настраивается вместе с корневым ключом клиента.

Типы ключей azure Information Protection

Корневой ключ клиента может быть следующим:

Если у вас есть высокочувствительный контент, требующий дополнительной локальной защиты, рекомендуется использовать двойное шифрование ключей (DKE).

Корневые ключи клиента, созданные корпорацией Майкрософт

Ключ по умолчанию, автоматически созданный корпорацией Майкрософт, является ключом по умолчанию, используемым исключительно для Azure Information Protection для управления большинством аспектов жизненного цикла ключа клиента.

Продолжайте использовать ключ Майкрософт по умолчанию, если вы хотите быстро развернуть Azure Information Protection без специального оборудования, программного обеспечения или подписки Azure. К примерам относятся среды тестирования или организации без нормативных требований для управления ключами.

Для ключа по умолчанию дальнейшие действия не требуются, и вы можете перейти непосредственно к началу работы с корневым ключом клиента.

Примечание

Ключ по умолчанию, созданный корпорацией Майкрософт, является самым простым вариантом с наименьшими административными издержками.

В большинстве случаев вы даже не знаете, что у вас есть ключ клиента, так как вы можете зарегистрироваться в Azure Information Protection, а остальная часть процесса управления ключами обрабатывается корпорацией Майкрософт.

Защита собственных ключей (BYOK)

Защита BYOK использует ключи, созданные клиентами, в Azure 密钥保管库 или локальной организации клиента. Затем эти ключи передаются в Azure 密钥保管库 для дальнейшего управления.

Используйте BYOK, если в вашей организации есть правила соответствия для создания ключей, включая контроль над всеми операциями жизненного цикла. Например, если ключ должен быть защищен аппаратным модулем безопасности.

Дополнительные сведения см. в разделе "Настройка защиты BYOK".

После настройки перейдите к началу работы с корневым ключом клиента , чтобы получить дополнительные сведения об использовании ключа и управлении ими.

Двойное шифрование ключей (DKE)

Защита DKE обеспечивает дополнительную безопасность для содержимого с помощью двух ключей: одного созданного и удерживаемого корпорацией Майкрософт в Azure, а также другого, созданного и удерживаемого клиентом в локальной среде.

DKE требует, чтобы оба ключа имели доступ к защищенному содержимому, чтобы корпорация Майкрософт и другие третьи стороны не имели доступа к защищенным данным самостоятельно.

DKE можно развернуть в облаке или локально, обеспечивая полную гибкость для расположений хранилища.

Используйте DKE, если ваша организация:

  • Хочет убедиться, что только они могут расшифровать защищенное содержимое при всех обстоятельствах.
  • Не хотите, чтобы корпорация Майкрософт самостоятельно имели доступ к защищенным данным.
  • Имеет нормативные требования для хранения ключей в пределах географической границы. При использовании DKE ключи, удерживаемые клиентом, хранятся в центре обработки данных клиента.

Примечание

DKE похож на сейф, который требует как банковского ключа, так и ключа клиента для получения доступа. Для защиты DKE требуется ключ, удерживаемый корпорацией Майкрософт, и ключ, удерживаемый клиентом, для расшифровки защищенного содержимого.

Дополнительные сведения см. в статье о шифровании двойного ключа в документации по Microsoft 365.

Дальнейшие шаги

Дополнительные сведения о конкретных типах ключей см. в следующих статьях:

Если вы выполняете миграцию между клиентами, например после слияния компании, мы рекомендуем ознакомиться с нашей записью блога о слияниях и спин-офф для получения дополнительных сведений.