Plánování a implementace klíče tenanta služby Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

*Platí pro: Azure Information Protection**Applies to: Azure Information Protection*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Klíč tenanta Azure Information Protection je kořenový klíč pro vaši organizaci.The Azure Information Protection tenant key is a root key for your organization. Další klíče lze odvodit z tohoto kořenového klíče, včetně uživatelských klíčů, klíčů počítače nebo klíčů pro šifrování dokumentů.Other keys can be derived from this root key, including user keys, computer keys, or document encryption keys. Pokaždé, když Azure Information Protection používá tyto klíče pro vaši organizaci, kryptograficky se řetězí ke svému kořenovému klíči tenanta Azure Information Protection.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection root tenant key.

Kromě kořenového klíče tenanta může vaše organizace vyžadovat místní zabezpečení pro konkrétní dokumenty.In addition to your tenant root key, your organization may require on-premises security for specific documents. Místní ochrana klíčů se obvykle vyžaduje jenom pro malé množství obsahu, a proto se nakonfiguruje společně s kořenovým klíčem tenanta.On-premises key protection is typically required only for a small amount of content, and therefore is configured together with a tenant root key.

Azure Information Protection typy klíčůAzure Information Protection key types

Kořenový klíč tenanta může mít jednu z těchto příčin:Your tenant root key can either be:

Pokud máte vysoce citlivý obsah, který vyžaduje další místní ochranu, doporučujeme použít šifrování pomocí dke (Double Key Encryption).If you have highly sensitive content that requires additional, on-premises protection, we recommend using Double Key Encryption (DKE).

Tip

Pokud používáte klasického klienta a potřebujete další místní ochranu, použijte raději místo toho vlastní klíč (HYOK) .If you are using the classic client, and need additional, on-premises protection, use Hold Your Own Key (HYOK) instead.

Kořenové klíče tenanta vygenerované MicrosoftemTenant root keys generated by Microsoft

Výchozí klíč automaticky generovaný Microsoftem je výchozí klíč, který se používá výhradně pro Azure Information Protection ke správě většiny aspektů životního cyklu klíče tenanta.The default key, automatically generated by Microsoft, is the default key used exclusively for Azure Information Protection to manage most aspects of your tenant key life cycle.

Pokud chcete Azure Information Protection rychle a bez speciálního hardwaru, softwaru nebo předplatného Azure, můžete dál používat výchozí klíč Microsoftu.Continue using the default Microsoft key when you want to deploy Azure Information Protection quickly and without special hardware, software, or an Azure subscription. Mezi příklady patří testovací prostředí nebo organizace bez zákonných požadavků na správu klíčů.Examples include testing environments or organizations without regulatory requirements for key management.

Pro výchozí klíč se nevyžadují žádné další kroky a můžete přejít přímo k části Začínáme s kořenovým klíčem tenanta.For the default key, no further steps are required, and you can go directly to Getting started with your tenant root key.

Poznámka

Výchozím klíčem vygenerovaným společností Microsoft je nejjednodušší možnost s nejnižšími náklady na správu.The default key generated by Microsoft is the simplest option with the lowest administrative overheads.

Ve většině případů je možné, že ještě nevíte, že máte klíč tenanta, protože se můžete zaregistrovat Azure Information Protection a zbytek procesu správy klíčů zpracovává společnost Microsoft.In most cases, you may not even know that you have a tenant key, as you can sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Ochrana Bring Your Own Key (BYOK)Bring Your Own Key (BYOK) protection

BYOK-Protection používá klíče, které jsou vytvořené zákazníky, a to v Azure Key Vault nebo v místním prostředí v organizaci zákazníka.BYOK-protection uses keys that are created by customers, either in the Azure Key Vault or on-premises in the customer organization. Tyto klíče se pak přenesou do Azure Key Vault pro další správu.These keys are then transferred to Azure Key Vault for further management.

BYOK použijte, pokud má vaše organizace předpisy dodržování předpisů pro generování klíčů, včetně kontroly nad všemi operacemi životního cyklu.Use BYOK when your organization has compliance regulations for key generation, including control over all life-cycle operations. Například pokud váš klíč musí být chráněný modulem hardwarového zabezpečení.For example, when your key must be protected by a hardware security module.

Další informace najdete v tématu Konfigurace ochrany BYOK Protection.For more information, see Configure BYOK protection.

Po nakonfigurování pokračujte v části Začínáme s kořenovým klíčem tenanta , kde najdete další informace o používání a správě klíče.Once configured, continue to Getting started with your tenant root key for more information about using and managing your key.

Šifrování s dvojitým klíčem (DKE)Double Key Encryption (DKE)

Relevantní pro: jenom klienta AIP Unified labelingRelevant for: AIP unified labeling client only

DKE Protection poskytuje další zabezpečení vašeho obsahu pomocí dvou klíčů: One vytvořeného a držené Microsoftem v Azure a další vytvořeného a uloženého místně zákazníkem.DKE protection provides additional security for your content by using two keys: one created and held by Microsoft in Azure, and another created and held on-premises by the customer.

DKE vyžaduje pro přístup k chráněnému obsahu oba klíče, což zajistí, že společnost Microsoft a ostatní třetí strany nemají nikdy přístup k chráněným datům.DKE requires both keys to access protected content, ensuring that Microsoft and other third parties never have access to protected data on their own.

DKE je možné nasadit v cloudu nebo místně, což poskytuje úplnou flexibilitu pro umístění úložišť.DKE can be deployed either in the cloud or on-premises, providing full flexibility for storage locations.

Použijte DKE, pokud vaše organizace:Use DKE when your organization:

  • Chce zajistit, aby při všech případech mohli dešifrovat chráněný obsah jen někdy.Wants to ensure that only they can ever decrypt protected content, under all circumstances.
  • Nepřejte, aby Microsoft měl přístup k chráněným datům sami.Don't want Microsoft to have access to protected data on its own.
  • Má zákonné požadavky na uchovávání klíčů v rámci geografické hranice.Has regulatory requirements to hold keys within a geographical boundary. Díky DKE se klíče držené zákazníkem uchovávají v rámci zákaznického datového centra.With DKE, customer-held keys are maintained within the customer data center.

Poznámka

DKE je podobná bezpečnostnímu poli vkladu, které pro získání přístupu vyžaduje bankovní klíč i klíč zákazníka.DKE is similar to a safety deposit box that requires both a bank key and a customer key to gain access. DKE-Protection vyžaduje k dešifrování chráněného obsahu jak klíč podrženého společností Microsoft, tak i klíč zákazníka.DKE-protection requires both the Microsoft-held key and the customer-held key to decrypt protected content.

Další informace najdete v dokumentaci k Microsoft 365 v tématu šifrování s dvojitým klíčem .For more information, see Double key encryption in the Microsoft 365 documentation.

Držte si vlastní klíč (HYOK)Hold Your Own Key (HYOK)

Relevantní pro: jenom klasického klienta AIPRelevant for: AIP classic client only

HYOK-Protection používá klíč, který je vytvořený a uchovávaný zákazníky, v izolovaném umístění, které je izolované od cloudu.HYOK-protection uses a key that is created and held by customers, in a location isolated from the cloud. Vzhledem k tomu, že HYOK chrání jenom přístup k datům pro místní aplikace a služby, zákazníci, kteří používají HYOK, mají také cloudový klíč pro cloudové dokumenty.Since HYOK-protection only enables access to data for on-premises applications and services, customers that use HYOK also have a cloud-based key for cloud documents.

Použijte HYOK pro dokumenty, které jsou:Use HYOK for documents that are:

  • Omezeno pouze na pár lidíRestricted to just a few people
  • Nesdílí se mimo organizaci.Not shared outside the organization
  • Se spotřebovávají jenom v interní síti.Are consumed only on the internal network.

Tyto dokumenty mají většinou nejvyšší klasifikaci ve vaší organizaci, a to jako "hlavní tajný klíč".These documents typically have the highest classification in your organization, as "Top Secret".

Obsah lze zašifrovat pomocí HYOK Protection pouze v případě, že máte klasického klienta.Content can be encrypted using HYOK protection only if you have the classic client. Pokud ale máte obsah chráněný HYOK, je možné ho zobrazit v klientovi klasického i jednotného označování.However, if you have HYOK-protected content, it can be viewed in both the classic and unified labeling client.

Další informace najdete v tématu podržení podrobností o vlastním klíči (HYOK).For more information, see Hold Your Own Key (HYOK) details.

Další krokyNext steps

Další podrobnosti o konkrétních typech klíčů najdete v některém z následujících článků:See any of the following articles for more details about specific types of keys:

Pokud migrujete mezi klienty, například po fúzi společnosti, doporučujeme si přečíst Blogový příspěvek o fúzích a spinoffs , kde najdete další informace.If you are migrating across tenants, such as after a company merger, we recommend that you read our blog post on mergers and spinoffs for more information.