Planera för och implementera din Azure Information Protection-klientnyckelPlanning and implementing your Azure Information Protection tenant key

Gäller för: Azure information Protection, Office 365Applies to: Azure Information Protection, Office 365

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection-klienten (klassisk) och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Azure Information Protection klient nyckeln är en rot nyckel för din organisation.The Azure Information Protection tenant key is a root key for your organization. Andra nycklar kan härledas från den här rot nyckeln, inklusive användar nycklar, dator nycklar eller dokument krypterings nycklar.Other keys can be derived from this root key, including user keys, computer keys, or document encryption keys. När Azure Information Protection använder dessa nycklar för din organisation så att de kryptografiskt kedjar till din Azure Information Protection rot klient nyckel.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection root tenant key.

Förutom din klients rot nyckel kan din organisation kräva lokal säkerhet för vissa dokument.In addition to your tenant root key, your organization may require on-premises security for specific documents. Lokalt nyckel skydd krävs vanligt vis endast för en liten mängd innehåll och konfigureras därför tillsammans med en klients rot nyckel.On-premises key protection is typically required only for a small amount of content, and therefore is configured together with a tenant root key.

Azure Information Protection nyckel typerAzure Information Protection key types

Din klients rot nyckel kan antingen vara:Your tenant root key can either be:

Lokal nyckel hantering skiljer sig åt för varje AIP-klient typ.On-premises key managements differ for each AIP client type. Om du har mycket känsligt innehåll som kräver ytterligare lokalt skydd kan du använda någon av följande metoder:If you have highly sensitive content that requires additional, on-premises protection, use one of the following methods:

Innehållet kan bara krypteras med HYOK-skydd om du har den klassiska klienten.Content can be encrypted using HYOK protection only if you have the classic client. Men om du har HYOK innehåll kan det visas både i den klassiska och enhetliga märknings klienten.However, if you have HYOK-protected content, it can be viewed in both the classic and unified labeling client.

Tips

Är du osäker på skillnaden mellan den klassiska klienten och den enhetliga märknings klienten?Not sure about the difference between the classic client and the unified labeling client? Mer information finns i vanliga frågor och svar.For more information, see this FAQ.

Klient rot nycklar som skapats av MicrosoftTenant root keys generated by Microsoft

Standard nyckeln, som genereras automatiskt av Microsoft, är den standard nyckel som används uteslutande för Azure Information Protection för att hantera de flesta aspekter av din klient nyckels livs cykel.The default key, automatically generated by Microsoft, is the default key used exclusively for Azure Information Protection to manage most aspects of your tenant key life cycle.

Fortsätt att använda Microsofts standard nyckel när du vill distribuera Azure Information Protection snabbt och utan speciell maskin vara, program vara eller en Azure-prenumeration.Continue using the default Microsoft key when you want to deploy Azure Information Protection quickly and without special hardware, software, or an Azure subscription. Exempel på detta är testnings miljöer eller organisationer utan myndighets krav för nyckel hantering.Examples include testing environments or organizations without regulatory requirements for key management.

För standard nyckeln krävs inga ytterligare steg, och du kan gå direkt till att komma igång med din klients rot nyckel.For the default key, no further steps are required, and you can go directly to Getting started with your tenant root key.

Anteckning

Standard nyckeln som genereras av Microsoft är det enklaste alternativet med de lägsta administrativa omkostnaderna.The default key generated by Microsoft is the simplest option with the lowest administrative overheads.

I de flesta fall kanske du inte ens vet att du har en klient nyckel, eftersom du kan registrera dig för Azure Information Protection och resten av nyckel hanterings processen hanteras av Microsoft.In most cases, you may not even know that you have a tenant key, as you can sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Bring Your Own Key (BYOK) skyddBring Your Own Key (BYOK) protection

BYOK-skydd använder nycklar som skapats av kunder, antingen i Azure Key Vault eller lokalt i kund organisationen.BYOK-protection uses keys that are created by customers, either in the Azure Key Vault or on-premises in the customer organization. Nycklarna överförs sedan till Azure Key Vault för ytterligare hantering.These keys are then transferred to Azure Key Vault for further management.

Använd BYOK när din organisation har regler för efterlevnad för nyckel generering, inklusive kontroll över alla livs cykel åtgärder.Use BYOK when your organization has compliance regulations for key generation, including control over all life-cycle operations. Till exempel när din nyckel måste skyddas av en modul för maskin varu säkerhet.For example, when your key must be protected by a hardware security module.

Mer information finns i Konfigurera BYOK-skydd.For more information, see Configure BYOK protection.

När du har konfigurerat fortsätter du till att komma igång med din klients rot nyckel för mer information om hur du använder och hanterar din nyckel.Once configured, continue to Getting started with your tenant root key for more information about using and managing your key.

Håll din egen nyckel (HYOK) (endast AIP Classic-klient)Hold Your Own Key (HYOK) (AIP classic client only)

HYOK-Protection använder en nyckel som skapas och hålls av kunder på en plats som är isolerad från molnet.HYOK-protection uses a key that is created and held by customers, in a location isolated from the cloud. Eftersom HYOK-skydd endast ger åtkomst till data för lokala program och tjänster, har kunder som använder HYOK också en molnbaserad nyckel för moln dokument.Since HYOK-protection only enables access to data for on-premises applications and services, customers that use HYOK also have a cloud-based key for cloud documents.

Använd HYOK för dokument som är:Use HYOK for documents that are:

  • Begränsat till bara några få personerRestricted to just a few people
  • Delas inte utanför organisationenNot shared outside the organization
  • Används bara i det interna nätverket.Are consumed only on the internal network.

Dessa dokument har vanligt vis den högsta klassificeringen i din organisation, som "Top Secret".These documents typically have the highest classification in your organization, as "Top Secret".

Mer information finns i informationen om att hålla din egen nyckel (HYOK).For more information, see Hold Your Own Key (HYOK) details.

Double Key Encryption (DKE) (endast AIP Unified Labeling-klienten)Double Key Encryption (DKE) (AIP unified labeling client only)

DKE Protection ger ytterligare säkerhet för ditt innehåll med hjälp av två nycklar: en som skapats och innehas av Microsoft i Azure och en annan som har skapats och hålls lokalt av kunden.DKE protection provides additional security for your content by using two keys: one created and held by Microsoft in Azure, and another created and held on-premises by the customer.

DKE kräver att båda nycklarna har åtkomst till skyddat innehåll, vilket garanterar att Microsoft och andra tredje parter aldrig har åtkomst till skyddade data på egen hand.DKE requires both keys to access protected content, ensuring that Microsoft and other third parties never have access to protected data on their own.

DKE kan distribueras antingen i molnet eller lokalt, vilket ger full flexibilitet för lagrings platser.DKE can be deployed either in the cloud or on-premises, providing full flexibility for storage locations.

Använd DKE när din organisation:Use DKE when your organization:

  • Vill se till att de aldrig kan dekryptera skyddat innehåll under alla omständigheter.Wants to ensure that only they can ever decrypt protected content, under all circumstances.
  • Vill inte att Microsoft ska ha åtkomst till skyddade data på egen hand.Don't want Microsoft to have access to protected data on its own.
  • Har myndighets krav för att hålla nycklar inom en geografisk gräns.Has regulatory requirements to hold keys within a geographical boundary. Med DKE underhålls kundliggande nycklar i kundens Data Center.With DKE, customer-held keys are maintained within the customer data center.

Anteckning

DKE liknar en säkerhets insättnings ruta som kräver både en bank nyckel och en kund nyckel för att få åtkomst.DKE is similar to a safety deposit box that requires both a bank key and a customer key to gain access. DKE-skydd kräver både den Microsoft-lagrade nyckeln och den kundbaserade nyckeln för att dekryptera skyddat innehåll.DKE-protection requires both the Microsoft-held key and the customer-held key to decrypt protected content.

Mer information finns i Double Key Encryption i Microsoft 365-dokumentationen.For more information, see Double key encryption in the Microsoft 365 documentation.