Planera och implementera din klientorganisationsnyckel för Azure Information Protection
Kommentar
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Microsoft Purview Information Protection-klienten (utan tillägget) är allmänt tillgänglig.
Azure Information Protection-klientnyckeln är en rotnyckel för din organisation. Andra nycklar kan härledas från den här rotnyckeln, inklusive användarnycklar, datornycklar eller dokumentkrypteringsnycklar. När Azure Information Protection använder dessa nycklar för din organisation kedjar de kryptografiskt till din Azure Information Protection-rotklientnyckel.
Förutom klientorganisationens rotnyckel kan din organisation kräva lokal säkerhet för specifika dokument. Lokalt nyckelskydd krävs vanligtvis endast för en liten mängd innehåll och konfigureras därför tillsammans med en klientrotnyckel.
Azure Information Protection-nyckeltyper
Klientorganisationens rotnyckel kan antingen vara:
- Genereras av Microsoft
- Genereras av kunder med BYOK-skydd (Bring Your Own Key).
Om du har mycket känsligt innehåll som kräver ytterligare lokalt skydd rekommenderar vi att du använder DKE (Double Key Encryption).
Klientorganisationens rotnycklar som genereras av Microsoft
Standardnyckeln, som genereras automatiskt av Microsoft, är standardnyckeln som uteslutande används för Azure Information Protection för att hantera de flesta aspekter av klientnyckelns livscykel.
Fortsätt att använda Microsoft-standardnyckeln när du vill distribuera Azure Information Protection snabbt och utan särskild maskinvara, programvara eller en Azure-prenumeration. Exempel är testningsmiljöer eller organisationer utan regelkrav för nyckelhantering.
För standardnyckeln krävs inga ytterligare steg och du kan gå direkt till Komma igång med klientorganisationens rotnyckel.
Kommentar
Standardnyckeln som genereras av Microsoft är det enklaste alternativet med de lägsta administrativa kostnaderna.
I de flesta fall kanske du inte ens vet att du har en klientnyckel eftersom du kan registrera dig för Azure Information Protection och resten av nyckelhanteringsprocessen hanteras av Microsoft.
Byok-skydd (Bring Your Own Key)
BYOK-protection använder nycklar som skapas av kunder, antingen i Azure Key Vault eller lokalt i kundorganisationen. Dessa nycklar överförs sedan till Azure Key Vault för ytterligare hantering.
Använd BYOK när din organisation har efterlevnadsregler för nyckelgenerering, inklusive kontroll över alla livscykelåtgärder. Till exempel när nyckeln måste skyddas av en maskinvarusäkerhetsmodul.
Mer information finns i Konfigurera BYOK-skydd.
När du har konfigurerat fortsätter du till Komma igång med din klientrotnyckel för mer information om hur du använder och hanterar din nyckel.
Dubbelnyckelkryptering (DKE)
DKE-skydd ger ytterligare säkerhet för ditt innehåll genom att använda två nycklar: en som skapats och innehas av Microsoft i Azure och en annan som skapats och hålls lokalt av kunden.
DKE kräver båda nycklarna för att få åtkomst till skyddat innehåll, vilket säkerställer att Microsoft och andra tredje parter aldrig har åtkomst till skyddade data på egen hand.
DKE kan distribueras antingen i molnet eller lokalt, vilket ger fullständig flexibilitet för lagringsplatser.
Använd DKE när din organisation:
- Vill se till att endast de någonsin kan dekryptera skyddat innehåll, under alla omständigheter.
- Vill inte att Microsoft ska ha åtkomst till skyddade data på egen hand.
- Har regelkrav för att lagra nycklar inom en geografisk gräns. Med DKE underhålls kundhållna nycklar i kundens datacenter.
Kommentar
DKE liknar ett bankfack som kräver både en banknyckel och en kundnyckel för att få åtkomst. DKE-skydd kräver både Den Microsoft-hållna nyckeln och den kundhållna nyckeln för att dekryptera skyddat innehåll.
Mer information finns i Dubbelnyckelkryptering i Microsoft 365-dokumentationen.
Nästa steg
Mer information om specifika typer av nycklar finns i någon av följande artiklar:
- Komma igång med klientorganisationens rotnycklar
- Byok-information (Bring Your Own Key) för Azure Information Protection
- Microsoft Purview-kryptering med dubbelnyckel
Om du migrerar mellan klienter, till exempel efter en företagssammanslagning, rekommenderar vi att du läser vårt blogginlägg om fusioner och spinoffs för mer information.