Pianificazione e implementazione della chiave del tenant di Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Si applica a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Nota

Per offrire un'esperienza per i clienti unificata e semplificata, il client di Azure Information Protection client (versione classica) e la Gestione etichette nel portale di Azure vengono deprecati a partire dal 31 marzo 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. In questo intervallo di tempo tutti i clienti correnti di Azure Information Protection possono passare alla soluzione di etichettatura unificata usando la piattaforma di etichettatura unificata di Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Altre informazioni nell'avviso ufficiale sulla deprecazione.Learn more in the official deprecation notice.

La chiave del tenant di Azure Information Protection è una chiave radice per l'organizzazione.The Azure Information Protection tenant key is a root key for your organization. È possibile derivare altre chiavi da questa chiave radice, inclusi chiavi utente, chiavi computer o chiavi di crittografia del documento.Other keys can be derived from this root key, including user keys, computer keys, or document encryption keys. Ogni volta che Azure Information Protection usa queste chiavi per l'organizzazione, vengono concatenate in modo crittografico alla chiave del tenant Azure Information Protection radice.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection root tenant key.

Oltre alla chiave radice del tenant, è possibile che l'organizzazione richieda una sicurezza locale per documenti specifici.In addition to your tenant root key, your organization may require on-premises security for specific documents. La protezione della chiave locale è in genere necessaria solo per una piccola quantità di contenuto e pertanto viene configurata insieme a una chiave radice del tenant.On-premises key protection is typically required only for a small amount of content, and therefore is configured together with a tenant root key.

Tipi di chiavi di Azure Information ProtectionAzure Information Protection key types

La chiave radice del tenant può essere:Your tenant root key can either be:

Le gestione delle chiavi locali sono diverse per ogni tipo di client AIP.On-premises key managements differ for each AIP client type. Se si dispone di contenuto altamente sensibile che richiede una protezione aggiuntiva locale, usare uno dei metodi seguenti:If you have highly sensitive content that requires additional, on-premises protection, use one of the following methods:

Il contenuto può essere crittografato con la protezione HYOK solo se si dispone del client classico.Content can be encrypted using HYOK protection only if you have the classic client. Tuttavia, se si dispone di contenuto protetto da HYOK, può essere visualizzato sia nel client di etichettatura classico che in quello unificato.However, if you have HYOK-protected content, it can be viewed in both the classic and unified labeling client.

Suggerimento

Non si è certi della differenza tra il client classico e il client Unified Labeling?Not sure about the difference between the classic client and the unified labeling client? Per ulteriori informazioni, vedere le domande frequenti.For more information, see this FAQ.

Chiavi radice del tenant generate da MicrosoftTenant root keys generated by Microsoft

La chiave predefinita, generata automaticamente da Microsoft, è la chiave predefinita usata esclusivamente per Azure Information Protection per gestire la maggior parte degli aspetti del ciclo di vita della chiave del tenant.The default key, automatically generated by Microsoft, is the default key used exclusively for Azure Information Protection to manage most aspects of your tenant key life cycle.

Continuare a usare la chiave Microsoft predefinita quando si vuole distribuire Azure Information Protection rapidamente e senza hardware speciale, software o una sottoscrizione di Azure.Continue using the default Microsoft key when you want to deploy Azure Information Protection quickly and without special hardware, software, or an Azure subscription. Gli esempi includono ambienti di testing o organizzazioni senza requisiti normativi per la gestione delle chiavi.Examples include testing environments or organizations without regulatory requirements for key management.

Per la chiave predefinita, non sono necessari altri passaggi ed è possibile passare direttamente a Introduzione alla chiave radice del tenant.For the default key, no further steps are required, and you can go directly to Getting started with your tenant root key.

Nota

La chiave predefinita generata da Microsoft è l'opzione più semplice con il sovraccarico amministrativo più basso.The default key generated by Microsoft is the simplest option with the lowest administrative overheads.

Nella maggior parte dei casi, è possibile che non si disponga di una chiave del tenant, in quanto è possibile iscriversi a Azure Information Protection e il resto del processo di gestione delle chiavi è gestito da Microsoft.In most cases, you may not even know that you have a tenant key, as you can sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Protezione Bring Your Own Key (BYOK)Bring Your Own Key (BYOK) protection

BYOK-Protection usa le chiavi create dai clienti, sia nel Azure Key Vault che in locale nell'organizzazione del cliente.BYOK-protection uses keys that are created by customers, either in the Azure Key Vault or on-premises in the customer organization. Queste chiavi vengono quindi trasferite a Azure Key Vault per una gestione aggiuntiva.These keys are then transferred to Azure Key Vault for further management.

Usare BYOK quando l'organizzazione dispone di normative di conformità per la generazione di chiavi, incluso il controllo su tutte le operazioni del ciclo di vita.Use BYOK when your organization has compliance regulations for key generation, including control over all life-cycle operations. Ad esempio, quando la chiave deve essere protetta da un modulo di protezione hardware.For example, when your key must be protected by a hardware security module.

Per altre informazioni, vedere Configure BYOK Protection.For more information, see Configure BYOK protection.

Una volta configurata, continuare con l'introduzione alla chiave radice del tenant per altre informazioni sull'uso e sulla gestione della chiave.Once configured, continue to Getting started with your tenant root key for more information about using and managing your key.

Mantieni una chiave personalizzata (HYOK) (solo per il client classico AIP)Hold Your Own Key (HYOK) (AIP classic client only)

HYOK-Protection usa una chiave creata e mantenuta dai clienti, in una località isolata dal cloud.HYOK-protection uses a key that is created and held by customers, in a location isolated from the cloud. Poiché HYOK-Protection consente solo l'accesso ai dati per le applicazioni e i servizi locali, i clienti che usano HYOK hanno anche una chiave basata sul cloud per i documenti cloud.Since HYOK-protection only enables access to data for on-premises applications and services, customers that use HYOK also have a cloud-based key for cloud documents.

Usare HYOK per i documenti:Use HYOK for documents that are:

  • Limitato a poche personeRestricted to just a few people
  • Non condiviso all'esterno dell'organizzazioneNot shared outside the organization
  • Vengono utilizzati solo nella rete interna.Are consumed only on the internal network.

Questi documenti in genere hanno la classificazione più alta nell'organizzazione, come "Top Secret".These documents typically have the highest classification in your organization, as "Top Secret".

Per ulteriori informazioni, vedere la pagina relativa ai Dettagli HYOK.For more information, see Hold Your Own Key (HYOK) details.

Crittografia a chiave doppia (DKE) (solo per client di assegnazione unificata AIP)Double Key Encryption (DKE) (AIP unified labeling client only)

La protezione DKE offre una maggiore sicurezza per i contenuti usando due chiavi: una creata e conservata da Microsoft in Azure e un'altra creata e mantenuta in locale dal cliente.DKE protection provides additional security for your content by using two keys: one created and held by Microsoft in Azure, and another created and held on-premises by the customer.

DKE richiede entrambe le chiavi per accedere al contenuto protetto, assicurando che Microsoft e altre terze parti non possano mai accedere ai dati protetti autonomamente.DKE requires both keys to access protected content, ensuring that Microsoft and other third parties never have access to protected data on their own.

DKE può essere distribuito nel cloud o in locale, garantendo una flessibilità completa per i percorsi di archiviazione.DKE can be deployed either in the cloud or on-premises, providing full flexibility for storage locations.

Usare DKE quando l'organizzazione:Use DKE when your organization:

  • Si vuole assicurare che solo gli utenti possano decrittografare il contenuto protetto, in tutte le circostanze.Wants to ensure that only they can ever decrypt protected content, under all circumstances.
  • Non si vuole che Microsoft abbia accesso ai dati protetti autonomamente.Don't want Microsoft to have access to protected data on its own.
  • Dispone di requisiti normativi per mantenere le chiavi all'interno di un confine geografico.Has regulatory requirements to hold keys within a geographical boundary. Con DKE, le chiavi detenute dal cliente vengono mantenute all'interno del data center del cliente.With DKE, customer-held keys are maintained within the customer data center.

Nota

DKE è simile a una cassetta di sicurezza che richiede l'accesso sia a una chiave della banca che a una chiave del cliente.DKE is similar to a safety deposit box that requires both a bank key and a customer key to gain access. DKE-Protection richiede che sia la chiave di Microsoft e la chiave posseduta dal cliente per decrittografare il contenuto protetto.DKE-protection requires both the Microsoft-held key and the customer-held key to decrypt protected content.

Per ulteriori informazioni, vedere crittografia a chiave doppia nella documentazione di Microsoft 365.For more information, see Double key encryption in the Microsoft 365 documentation.