規劃和實作 Azure 資訊保護租用戶金鑰

  • 發行項

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP) 嗎?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作

Azure 資訊保護 租使用者密鑰是貴組織的根密鑰。 其他金鑰可以衍生自此根金鑰,包括使用者金鑰、計算機金鑰或檔案加密金鑰。 每當 Azure 資訊保護 為您的組織使用這些金鑰時,都會以密碼編譯方式鏈結至您的 Azure 資訊保護 根租使用者密鑰。

除了租使用者根密鑰之外,您的組織可能需要特定文件的內部部署安全性。 內部部署金鑰保護通常只需要少量內容,因此會與租使用者根密鑰一起設定。

Azure 資訊保護 金鑰類型

您的租使用者根金鑰可以是:

如果您有高度敏感的內容需要額外的內部部署保護,建議您使用 雙金鑰加密 (DKE)

Microsoft 產生的租使用者根密鑰

Microsoft 自動產生的預設金鑰是專用於 Azure 資訊保護 的預設金鑰,用來管理租使用者密鑰生命週期的大部分層面。

當您想要快速部署 Azure 資訊保護 且不需要特殊硬體、軟體或 Azure 訂用帳戶時,請繼續使用預設的 Microsoft 密鑰。 範例包括測試環境或組織,而不需要密鑰管理的法規需求。

針對預設金鑰,不需要任何進一步的步驟,而且您可以直接移至 開始使用租使用者根密鑰

注意

Microsoft 所產生的預設金鑰是具有最低系統管理負擔的最簡單選項。

在大部分情況下,您甚至可能不知道您有租使用者密鑰,因為您可以註冊 Azure 資訊保護,其餘的密鑰管理程式是由 Microsoft 處理。

攜帶您自己的金鑰 (BYOK) 保護

BYOK 保護會使用客戶在 Azure 金鑰保存庫 或客戶組織內部部署中建立的密鑰。 然後,這些金鑰會傳輸至 Azure 金鑰保存庫,以進行進一步的管理。

當您的組織有密鑰產生合規性法規時,請使用 BYOK,包括控制所有生命週期作業。 例如,當金鑰必須受到硬體安全性模組的保護時。

如需詳細資訊,請參閱 設定 BYOK 保護

設定好之後,請繼續 開始使用您的租使用者根密鑰 ,以取得使用和管理密鑰的詳細資訊。

雙重金鑰加密 (DKE)

DKE 保護會使用兩個密鑰為您的內容提供額外的安全性:一個由 Microsoft 在 Azure 中建立並保留,另一個是由客戶在內部部署建立和保留。

DKE 需要這兩個密鑰才能存取受保護的內容,確保 Microsoft 和其他第三方無法自行存取受保護的數據。

DKE 可以部署在雲端或內部部署中,為記憶體位置提供完整的彈性。

當您的組織時,請使用 DKE:

  • 想要確保所有情況下,只有他們才能解密受保護的內容。
  • 不要讓 Microsoft 自行存取受保護的數據。
  • 具有在地理界限內保存密鑰的法規需求。 使用 DKE 時,客戶持有的金鑰會在客戶資料中心內維護。

注意

DKE 類似於需要銀行金鑰和客戶金鑰才能存取的保險箱。 DKE 保護需要 Microsoft 保留的金鑰和客戶持有的金鑰,才能解密受保護的內容。

如需詳細資訊,請參閱 Microsoft 365 檔中的雙重密鑰加密

下一步

如需特定金鑰類型的詳細資訊,請參閱下列任何文章:

如果您要跨租使用者移轉,例如在公司合併之後,建議您閱讀有關 合併和分拆的 部落格文章,以取得詳細資訊。