Planear e implementar a sua chave de inquilino do Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente Azure Information Protection (clássico) e a Label Management no Portal Azure estão a ser depreciados a partir de 31 de março de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este prazo permite que todos os clientes atuais da Azure Information Protection transitem para a nossa solução de rotulagem unificada utilizando a plataforma de rotulagem unificada da Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Saiba mais no aviso oficial de depreciação.Learn more in the official deprecation notice.

A chave do inquilino da Azure Information Protection é uma chave de raiz para a sua organização.The Azure Information Protection tenant key is a root key for your organization. Outras teclas podem ser derivadas desta chave de raiz, incluindo chaves do utilizador, chaves de computador ou chaves de encriptação de documentos.Other keys can be derived from this root key, including user keys, computer keys, or document encryption keys. Sempre que a Azure Information Protection utiliza estas chaves para a sua organização, elas criptograficamente acorrentam a sua chave de inquilina raiz de proteção de informação Azure.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection root tenant key.

Além da chave raiz do seu inquilino, a sua organização pode necessitar de segurança no local para documentos específicos.In addition to your tenant root key, your organization may require on-premises security for specific documents. No local, a proteção chave é normalmente necessária apenas para uma pequena quantidade de conteúdo, e, portanto, é configurada juntamente com uma chave raiz do inquilino.On-premises key protection is typically required only for a small amount of content, and therefore is configured together with a tenant root key.

Tipos-chave de proteção de informação AzureAzure Information Protection key types

A chave raiz do seu inquilino pode ser:Your tenant root key can either be:

As gestões-chave no local diferem para cada tipo de cliente AIP.On-premises key managements differ for each AIP client type. Se tiver conteúdo altamente sensível que exija proteção adicional no local, utilize um dos seguintes métodos:If you have highly sensitive content that requires additional, on-premises protection, use one of the following methods:

O conteúdo só pode ser encriptado utilizando a proteção HYOK se tiver o cliente clássico.Content can be encrypted using HYOK protection only if you have the classic client. No entanto, se tiver conteúdo protegido pelo HYOK, pode ser visto tanto no cliente de rotulagem clássico como unificado.However, if you have HYOK-protected content, it can be viewed in both the classic and unified labeling client.

Dica

Não tem certeza sobre a diferença entre o cliente clássico e o cliente de rotulagem unificado?Not sure about the difference between the classic client and the unified labeling client? Para mais informações, consulte este FAQ.For more information, see this FAQ.

Chaves de raiz do inquilino geradas pela MicrosoftTenant root keys generated by Microsoft

A chave padrão, gerada automaticamente pela Microsoft, é a chave padrão utilizada exclusivamente para a Azure Information Protection para gerir a maioria dos aspetos do ciclo de vida chave do seu inquilino.The default key, automatically generated by Microsoft, is the default key used exclusively for Azure Information Protection to manage most aspects of your tenant key life cycle.

Continue a utilizar a tecla padrão da Microsoft quando pretender implementar a Azure Information Protection rapidamente e sem hardware, software ou uma subscrição Azure especial.Continue using the default Microsoft key when you want to deploy Azure Information Protection quickly and without special hardware, software, or an Azure subscription. Exemplos incluem ambientes de teste ou organizações sem requisitos regulamentares para a gestão de chaves.Examples include testing environments or organizations without regulatory requirements for key management.

Para a chave predefinida, não são necessários mais passos, e você pode ir diretamente para começar com a chave raiz do seu inquilino.For the default key, no further steps are required, and you can go directly to Getting started with your tenant root key.

Nota

A chave padrão gerada pela Microsoft é a opção mais simples com as despesas administrativas mais baixas.The default key generated by Microsoft is the simplest option with the lowest administrative overheads.

Na maioria dos casos, pode nem saber que tem uma chave de inquilino, pois pode inscrever-se na Azure Information Protection e o resto do processo de gestão de chaves é tratado pela Microsoft.In most cases, you may not even know that you have a tenant key, as you can sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Traga a sua própria chave (BYOK) proteçãoBring Your Own Key (BYOK) protection

A proteção BYOK utiliza chaves criadas pelos clientes, quer no Cofre da Chave Azure, quer no local da organização do cliente.BYOK-protection uses keys that are created by customers, either in the Azure Key Vault or on-premises in the customer organization. Estas chaves são então transferidas para o Azure Key Vault para posterior gestão.These keys are then transferred to Azure Key Vault for further management.

Use a BYOK quando a sua organização tiver regulamentos de conformidade para a geração de chaves, incluindo o controlo de todas as operações do ciclo de vida.Use BYOK when your organization has compliance regulations for key generation, including control over all life-cycle operations. Por exemplo, quando a sua chave deve ser protegida por um módulo de segurança de hardware.For example, when your key must be protected by a hardware security module.

Para mais informações, consulte a proteção Configure BYOK.For more information, see Configure BYOK protection.

Uma vez configurado, continue a começar com a chave raiz do seu inquilino para mais informações sobre como usar e gerir a sua chave.Once configured, continue to Getting started with your tenant root key for more information about using and managing your key.

Mantenha a sua própria chave (HYOK) (apenas cliente clássico da AIP)Hold Your Own Key (HYOK) (AIP classic client only)

A proteção HYOK utiliza uma chave que é criada e detida pelos clientes, num local isolado da nuvem.HYOK-protection uses a key that is created and held by customers, in a location isolated from the cloud. Uma vez que a proteção HYOK apenas permite o acesso a dados para aplicações e serviços no local, os clientes que usam o HYOK também têm uma chave baseada na nuvem para documentos na nuvem.Since HYOK-protection only enables access to data for on-premises applications and services, customers that use HYOK also have a cloud-based key for cloud documents.

Utilize o HYOK para documentos que sejam:Use HYOK for documents that are:

  • Restrito a apenas algumas pessoasRestricted to just a few people
  • Não partilhado fora da organizaçãoNot shared outside the organization
  • São consumidos apenas na rede interna.Are consumed only on the internal network.

Estes documentos normalmente têm a classificação mais alta da sua organização, como "Top Secret".These documents typically have the highest classification in your organization, as "Top Secret".

Para obter mais informações, consulte os detalhes da Sua Própria Chave (HYOK).For more information, see Hold Your Own Key (HYOK) details.

Encriptação de chave dupla (DKE) (cliente de rotulagem unificada AIP)Double Key Encryption (DKE) (AIP unified labeling client only)

A proteção DKE proporciona segurança adicional para o seu conteúdo utilizando duas teclas: uma criada e detida pela Microsoft em Azure, e outra criada e mantida no local pelo cliente.DKE protection provides additional security for your content by using two keys: one created and held by Microsoft in Azure, and another created and held on-premises by the customer.

O DKE requer ambas as chaves para aceder a conteúdos protegidos, garantindo que a Microsoft e outros terceiros nunca tenham acesso a dados protegidos por si próprios.DKE requires both keys to access protected content, ensuring that Microsoft and other third parties never have access to protected data on their own.

O DKE pode ser implantado na nuvem ou no local, proporcionando total flexibilidade para locais de armazenamento.DKE can be deployed either in the cloud or on-premises, providing full flexibility for storage locations.

Use DKE quando a sua organização:Use DKE when your organization:

  • Quer garantir que só eles podem desencriptar conteúdo protegido, em todas as circunstâncias.Wants to ensure that only they can ever decrypt protected content, under all circumstances.
  • Não quero que a Microsoft tenha acesso a dados protegidos por si só.Don't want Microsoft to have access to protected data on its own.
  • Tem requisitos regulamentares para manter as chaves dentro de um limite geográfico.Has regulatory requirements to hold keys within a geographical boundary. Com o DKE, as chaves detidas pelo cliente são mantidas dentro do centro de dados do cliente.With DKE, customer-held keys are maintained within the customer data center.

Nota

O DKE é semelhante a um cofre que requer tanto uma chave bancária como uma chave de cliente para ter acesso.DKE is similar to a safety deposit box that requires both a bank key and a customer key to gain access. A proteção DKE requer tanto a chave da Microsoft como a chave detida pelo cliente para desencriptar conteúdo protegido.DKE-protection requires both the Microsoft-held key and the customer-held key to decrypt protected content.

Para obter mais informações, consulte a encriptação de chave dupla na documentação do Microsoft 365.For more information, see Double key encryption in the Microsoft 365 documentation.