規劃及實作 Azure 資訊保護租用戶金鑰

注意

您是否正在尋找先前Microsoft 資訊保護 ( MIP) Microsoft Purview 資訊保護?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

Azure 資訊保護租用戶金鑰是組織的根金鑰。 其他金鑰可以衍生自此根金鑰,包括使用者金鑰、電腦金鑰或檔加密金鑰。 每當 Azure 資訊保護為您的組織使用這些金鑰時,都會以密碼編譯方式鏈結至您的 Azure 資訊保護根租使用者金鑰。

除了租使用者根金鑰之外,您的組織可能需要特定檔的內部部署安全性。 內部部署金鑰保護通常只需要少量內容,因此會與租使用者根金鑰一起設定。

Azure 資訊保護金鑰類型

您的租使用者根金鑰可以是:

如果您有高度敏感性的內容需要額外的內部部署保護,建議您使用 雙金鑰加密 (DKE)

Microsoft 產生的租使用者根金鑰

由 Microsoft 自動產生的預設金鑰是專門用於 Azure 資訊保護的預設金鑰,可管理租使用者金鑰生命週期的大部分層面。

當您想要快速且不含特殊硬體、軟體或 Azure 訂用帳戶的情況下,快速部署 Azure 資訊保護時,請繼續使用預設的 Microsoft 金鑰。 範例包括測試環境或組織,而不需要金鑰管理的法規需求。

針對預設金鑰,不需要任何進一步的步驟,而且您可以直接移至開始使用 您的租使用者根金鑰

注意

Microsoft 產生的預設金鑰是最簡單的選項,具有最低的系統管理額外負荷。

在大部分情況下,您甚至可能不知道您有租使用者金鑰,因為您可以註冊 Azure 資訊保護,而其餘的金鑰管理程式則由 Microsoft 處理。

攜帶您自己的金鑰 (BYOK) 保護

BYOK 保護會使用客戶在 Azure 金鑰保存庫 或客戶組織內部部署中建立的金鑰。 這些金鑰接著會傳送至 Azure 金鑰保存庫以進行進一步管理。

當您的組織具有關鍵產生合規性法規時,請使用 BYOK,包括控制所有生命週期作業。 例如,當金鑰必須受到硬體安全性模組的保護時。

如需詳細資訊,請參閱 設定 BYOK 保護

設定之後,請繼續 開始使用租使用者根金鑰 ,以取得使用和管理金鑰的詳細資訊。

雙重金鑰加密 (DKE)

DKE 保護會使用兩個金鑰為您的內容提供額外的安全性:一個由 Microsoft 在 Azure 中建立並保留,另一個是由客戶在內部部署建立並保留。

DKE 需要這兩個金鑰才能存取受保護的內容,確保 Microsoft 和其他協力廠商永遠不會自行存取受保護的資料。

DKE 可以部署在雲端或內部部署中,為儲存位置提供完整的彈性。

當您的組織時,請使用 DKE:

  • 想要確保在所有情況下,只有他們能夠解密受保護的內容。
  • 不想讓 Microsoft 自行存取受保護的資料。
  • 具有法規需求,可在地理界限內保存金鑰。 使用 DKE 時,客戶持有的金鑰會保留在客戶資料中心內。

注意

DKE 類似于需要銀行金鑰和客戶金鑰才能取得存取權的安全保存箱。 DKE 保護需要 Microsoft 保存的金鑰和客戶持有的金鑰,才能解密受保護的內容。

如需詳細資訊,請參閱 Microsoft 365 檔中的 雙重金鑰加密

後續步驟

如需特定金鑰類型的詳細資訊,請參閱下列任何文章:

如果您要跨租使用者移轉,例如在公司合併之後,建議您閱讀有關 合併和微調的部落格文章 ,以取得詳細資訊。