Plánování a implementace klíče tenanta Azure Information Protection

Klíč tenanta Azure Information Protection je kořenový klíč pro vaši organizaci. Další klíče mohou být odvozeny od tohoto kořenového klíče, včetně uživatelských klíčů, klíčů počítače nebo šifrovacích klíčů dokumentů. Kdykoli Azure Information Protection používá tyto klíče pro vaši organizaci, kryptograficky zřetězují klíč kořenového tenanta služby Azure Information Protection.

Kromě kořenového klíče tenanta může vaše organizace pro konkrétní dokumenty vyžadovat místní zabezpečení. Ochrana místního klíče se obvykle vyžaduje jenom pro malý obsah, a proto se konfiguruje společně s kořenovým klíčem tenanta.

Typy klíčů služby Azure Information Protection

Kořenový klíč tenanta může být:

• Vygeneroval Microsoft
• Generuje se zákazníky s ochranou BYOK (Bring Your Own Key).

Pokud máte vysoce citlivý obsah, který vyžaduje další místní ochranu, doporučujeme použít dvojité šifrování klíčů (DKE).

Kořenové klíče tenanta vygenerované Microsoftem

Výchozí klíč, automaticky vygenerovaný Microsoftem, je výchozí klíč používaný výhradně pro Azure Information Protection ke správě většiny aspektů životního cyklu klíče tenanta.

Pokud chcete azure Information Protection rychle a bez speciálního hardwaru, softwaru nebo předplatného Azure nasadit, pokračujte v používání výchozího klíče Microsoftu. Mezi příklady patří testovací prostředí nebo organizace bez zákonných požadavků na správu klíčů.

Výchozí klíč nevyžaduje žádné další kroky a můžete přejít přímo na Začínáme s kořenovým klíčem tenanta.

Ochrana byok (Bring Your Own Key)

Ochrana BYOK používá klíče vytvořené zákazníky, a to buď v Azure Key Vaultu, nebo místně v organizaci zákazníka. Tyto klíče se pak přenesou do služby Azure Key Vault pro další správu.

Byok používejte, pokud má vaše organizace předpisy týkající se dodržování předpisů pro generování klíčů, včetně kontroly nad všemi operacemi životního cyklu. Pokud je například klíč potřeba chránit modulem hardwarového zabezpečení.

Další informace naleznete v tématu Konfigurace ochrany BYOK.

Po nakonfigurování pokračujte v začínáme s kořenovým klíčem tenanta, abyste získali další informace o používání a správě klíče.

Dvojité šifrování klíčů (DKE)

Ochrana DKE poskytuje další zabezpečení obsahu pomocí dvou klíčů: jednoho vytvořeného a uchovávaného Microsoftem v Azure a dalšího vytvořeného a uchovávaného místně zákazníkem.

DKE vyžaduje, aby oba klíče měly přístup k chráněnému obsahu, aby Microsoft a další třetí strany nikdy neměli přístup k chráněným datům sami.

DKE je možné nasadit buď v cloudu, nebo v místním prostředí a zajistit tak úplnou flexibilitu pro umístění úložiště.

Použití DKE v organizaci:

• Chce zajistit, aby za všech okolností dešifrovali chráněný obsah jenom oni.
• Nechcete, aby Microsoft měl přístup k chráněným datům samostatně.
• Má zákonné požadavky na uchovávání klíčů v rámci geografické hranice. Pomocí DKE se klíče uchovávané zákazníkem se spravují v rámci datacentra zákazníka.

Další informace najdete v tématu Dvojité šifrování klíčů v dokumentaci k Microsoftu 365.

Další kroky

Další podrobnosti o konkrétních typech klíčů najdete v některém z následujících článků:

• Začínáme s kořenovými klíči tenanta
• Podrobnosti o používání vlastního klíče (BYOK) pro Azure Information Protection
• Šifrování dvojitého klíče Microsoft Purview

Pokud migrujete mezi tenanty, například po sloučení společnosti, doporučujeme, abyste si přečetli blogový příspěvek o fúzi a odsunutí , kde najdete další informace.