Planning and implementing your Azure Information Protection tenant key (Planear e implementar a chave do seu inquilino do Azure Information Protection)

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível em geral.

A chave de locatário da Proteção de Informações do Azure é uma chave raiz para sua organização. Outras chaves podem ser derivadas dessa chave raiz, incluindo chaves de usuário, chaves de computador ou chaves de criptografia de documentos. Sempre que a Proteção de Informações do Azure usa essas chaves para sua organização, elas são encadeadas criptograficamente à sua chave de locatário raiz da Proteção de Informações do Azure.

Além da chave raiz do locatário, sua organização pode exigir segurança local para documentos específicos. A proteção de chave local normalmente é necessária apenas para uma pequena quantidade de conteúdo e, portanto, é configurada junto com uma chave raiz do locatário.

Tipos de chave da Proteção de Informações do Azure

Sua chave raiz do locatário pode ser:

Se você tiver conteúdo altamente confidencial que exija proteção local adicional, recomendamos o uso da Criptografia de Chave Dupla (DKE).

Chaves raiz do locatário geradas pela Microsoft

A chave padrão, gerada automaticamente pela Microsoft, é a chave padrão usada exclusivamente para a Proteção de Informações do Azure para gerenciar a maioria dos aspetos do ciclo de vida da chave de locatário.

Continue usando a chave padrão da Microsoft quando quiser implantar a Proteção de Informações do Azure rapidamente e sem hardware, software ou uma assinatura especial do Azure. Os exemplos incluem ambientes de teste ou organizações sem requisitos normativos para o gerenciamento de chaves.

Para a chave padrão, nenhuma etapa adicional é necessária, e você pode ir diretamente para Introdução à chave raiz do locatário.

Nota

A chave padrão gerada pela Microsoft é a opção mais simples com as menores despesas administrativas.

Na maioria dos casos, talvez você nem saiba que tem uma chave de locatário, pois pode se inscrever na Proteção de Informações do Azure e o restante do processo de gerenciamento de chaves é tratado pela Microsoft.

Traga a sua própria chave (BYOK) proteção

A proteção BYOK usa chaves criadas pelos clientes, no Cofre de Chaves do Azure ou localmente na organização do cliente. Essas chaves são transferidas para o Cofre de Chaves do Azure para gerenciamento adicional.

Use o BYOK quando sua organização tiver regulamentos de conformidade para geração de chaves, incluindo controle sobre todas as operações do ciclo de vida. Por exemplo, quando sua chave deve ser protegida por um módulo de segurança de hardware.

Para obter mais informações, consulte Configurar a proteção BYOK.

Uma vez configurada, continue em Introdução à chave raiz do locatário para obter mais informações sobre como usar e gerenciar sua chave.

Encriptação de chave dupla (DKE)

A proteção DKE fornece segurança adicional para seu conteúdo usando duas chaves: uma criada e mantida pela Microsoft no Azure e outra criada e mantida no local pelo cliente.

O DKE exige ambas as chaves para acessar conteúdo protegido, garantindo que a Microsoft e outros terceiros nunca tenham acesso a dados protegidos por conta própria.

O DKE pode ser implantado na nuvem ou no local, oferecendo total flexibilidade para locais de armazenamento.

Use DKE quando sua organização:

  • Quer garantir que apenas eles podem desencriptar conteúdo protegido, em todas as circunstâncias.
  • Não queira que a Microsoft tenha acesso a dados protegidos por conta própria.
  • Tem requisitos regulamentares para manter chaves dentro de um limite geográfico. Com o DKE, as chaves mantidas pelo cliente são mantidas dentro do data center do cliente.

Nota

O DKE é semelhante a um cofre que requer uma chave bancária e uma chave de cliente para obter acesso. A proteção DKE requer a chave mantida pela Microsoft e a chave mantida pelo cliente para descriptografar o conteúdo protegido.

Para obter mais informações, consulte Criptografia de chave dupla na documentação do Microsoft 365.

Próximos passos

Consulte qualquer um dos seguintes artigos para obter mais detalhes sobre tipos específicos de chaves:

Se você estiver migrando entre locatários, como após uma fusão de empresa, recomendamos que leia nossa postagem no blog sobre fusões e cisões para obter mais informações.