Uw Azure Information Protection-tenantsleutel plannen en implementeren

De Azure Information Protection-tenantsleutel is een hoofdsleutel voor uw organisatie. Andere sleutels kunnen worden afgeleid van deze hoofdsleutel, waaronder gebruikerssleutels, computersleutels of documentversleutelingssleutels. Wanneer Azure Information Protection deze sleutels gebruikt voor uw organisatie, worden deze cryptografisch gekoppeld aan uw Azure Information Protection-hoofdtenantsleutel.

Naast de hoofdsleutel van uw tenant vereist uw organisatie mogelijk on-premises beveiliging voor specifieke documenten. On-premises sleutelbeveiliging is doorgaans alleen vereist voor een kleine hoeveelheid inhoud en wordt daarom samen met een tenanthoofdsleutel geconfigureerd.

Azure Information Protection-sleuteltypen

De hoofdsleutel van uw tenant kan het volgende zijn:

• Gegenereerd door Microsoft
• Gegenereerd door klanten met BYOK-beveiliging (Bring Your Own Key).

Als u zeer gevoelige inhoud hebt waarvoor aanvullende on-premises beveiliging is vereist, raden we u aan dubbele sleutelversleuteling (DKE) te gebruiken.

Tenanthoofdsleutels gegenereerd door Microsoft

De standaardsleutel, die automatisch door Microsoft wordt gegenereerd, is de standaardsleutel die uitsluitend wordt gebruikt voor Azure Information Protection om de meeste aspecten van de levenscyclus van uw tenantsleutel te beheren.

Gebruik de standaard Microsoft-sleutel als u Azure Information Protection snel en zonder speciale hardware, software of een Azure-abonnement wilt implementeren. Voorbeelden hiervan zijn testomgevingen of organisaties zonder wettelijke vereisten voor sleutelbeheer.

Voor de standaardsleutel zijn geen verdere stappen vereist en kunt u rechtstreeks naar Aan de slag met uw tenanthoofdsleutel gaan.

BYOK-beveiliging (Bring Your Own Key)

BYOK-beveiliging maakt gebruik van sleutels die door klanten worden gemaakt, hetzij in De Azure Key Vault of on-premises in de klantorganisatie. Deze sleutels worden vervolgens overgedragen naar Azure Key Vault voor verder beheer.

Gebruik BYOK wanneer uw organisatie nalevingsregels heeft voor het genereren van sleutels, inclusief controle over alle levenscyclusbewerkingen. Wanneer uw sleutel bijvoorbeeld moet worden beveiligd door een hardwarebeveiligingsmodule.

Zie BYOK-beveiliging configureren voor meer informatie.

Zodra de sleutel is geconfigureerd, gaat u verder met de basissleutel van uw tenant voor meer informatie over het gebruik en het beheer van uw sleutel.

Dubbele sleutelversleuteling (DKE)

DKE-beveiliging biedt extra beveiliging voor uw inhoud met behulp van twee sleutels: één gemaakt en bewaard door Microsoft in Azure, en een andere die on-premises wordt gemaakt en opgeslagen door de klant.

DKE vereist beide sleutels voor toegang tot beveiligde inhoud, zodat Microsoft en andere derden nooit zelf toegang hebben tot beveiligde gegevens.

DKE kan worden geïmplementeerd in de cloud of on-premises, wat volledige flexibiliteit biedt voor opslaglocaties.

Gebruik DKE wanneer uw organisatie:

• Wil ervoor zorgen dat alleen ze beveiligde inhoud onder alle omstandigheden kunnen ontsleutelen.
• Wil niet dat Microsoft zelf toegang heeft tot beveiligde gegevens.
• Heeft wettelijke vereisten voor het bewaren van sleutels binnen een geografische grens. Met DKE worden door de klant bewaarde sleutels onderhouden binnen het datacentrum van de klant.

Zie dubbele sleutelversleuteling in de Microsoft 365-documentatie voor meer informatie.

Volgende stappen

Zie een van de volgende artikelen voor meer informatie over specifieke typen sleutels:

• Aan de slag met tenanthoofdsleutels
• BYOK-gegevens (Bring Your Own Key) voor Azure Information Protection
• Microsoft Purview Double Key Encryption

Als u migreert tussen tenants, zoals na een fusie van een bedrijf, raden we u aan onze blogpost over fusies en spin-offs te lezen voor meer informatie.