Поделиться через


Планирование и реализация ключа клиента Azure Information Protection.

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.

Ключ клиента Azure Information Protection — это корневой ключ для вашей организации. Другие ключи могут быть производными от этого корневого ключа, включая ключи пользователя, ключи компьютера или ключи шифрования документов. Каждый раз, когда Azure Information Protection использует эти ключи для вашей организации, они криптографически цепочки с корневым ключом клиента Azure Information Protection.

Помимо корневого ключа клиента, вашей организации может потребоваться локальная безопасность для определенных документов. Защита локальных ключей обычно требуется только для небольшого количества содержимого, поэтому настраивается вместе с корневым ключом клиента.

Типы ключей Azure Information Protection

Корневой ключ клиента может быть следующим:

Если у вас есть высокочувствительный контент, требующий дополнительной локальной защиты, рекомендуется использовать шифрование двойного ключа (DKE).

Корневые ключи клиента, созданные корпорацией Майкрософт

Ключ по умолчанию, автоматически созданный корпорацией Майкрософт, — это ключ по умолчанию, используемый исключительно для Azure Information Protection для управления большинством аспектов жизненного цикла ключа клиента.

Продолжайте использовать ключ Майкрософт по умолчанию, если вы хотите быстро развернуть Azure Information Protection без специального оборудования, программного обеспечения или подписки Azure. Примеры включают тестирование сред или организаций без нормативных требований для управления ключами.

Для ключа по умолчанию дальнейшие действия не требуются, и вы можете перейти непосредственно к началу работы с корневым ключом клиента.

Примечание.

Ключ по умолчанию, созданный корпорацией Майкрософт, является самым простым вариантом с наименьшими административными затратами.

В большинстве случаев вы даже не знаете, что у вас есть ключ клиента, так как вы можете зарегистрироваться в Azure Information Protection, а остальная часть процесса управления ключами обрабатывается корпорацией Майкрософт.

Защита собственного ключа (BYOK)

Защита BYOK использует ключи, созданные клиентами, в Azure Key Vault или локальной организации клиента. Затем эти ключи передаются в Azure Key Vault для дальнейшего управления.

Используйте BYOK, если в организации есть правила соответствия для создания ключей, включая контроль над всеми операциями жизненного цикла. Например, если ключ должен быть защищен аппаратным модулем безопасности.

Дополнительные сведения см. в разделе "Настройка защиты BYOK".

После настройки перейдите к началу работы с корневым ключом клиента, чтобы получить дополнительные сведения об использовании ключа и управлении ими.

Двойное шифрование ключей (DKE)

Защита DKE обеспечивает дополнительную безопасность для содержимого с помощью двух ключей: одного созданного и удерживаемого корпорацией Майкрософт в Azure, а также другого, созданного и удерживаемого клиентом в локальной среде.

DKE требует, чтобы оба ключа имели доступ к защищенному содержимому, гарантируя, что корпорация Майкрософт и другие сторонние стороны не имеют доступа к защищенным данным самостоятельно.

DKE можно развернуть в облаке или локально, обеспечивая полную гибкость расположения хранилища.

Используйте DKE, если ваша организация:

  • Хочет убедиться, что только они могут расшифровать защищенное содержимое во всех обстоятельствах.
  • Не хотите, чтобы корпорация Майкрософт имели доступ к защищенным данным самостоятельно.
  • Имеет нормативные требования для хранения ключей в пределах географической границы. При использовании DKE ключи, удерживаемые клиентом, сохраняются в центре обработки данных клиента.

Примечание.

DKE похож на сейф, который требует как ключа банка, так и ключа клиента для получения доступа. Защита от DKE требует как ключа, удерживаемого корпорацией Майкрософт, так и ключа, удерживаемого клиентом, для расшифровки защищенного содержимого.

Дополнительные сведения см. в документации по Microsoft 365 с шифрованием двойного ключа.

Следующие шаги

Дополнительные сведения о конкретных типах ключей см. в следующих статьях:

Если вы выполняете миграцию между клиентами, например после слияния компании, мы рекомендуем ознакомиться с нашей записью блога о слияниях и спин-офф для получения дополнительных сведений.