Azure Information Protection kiracı anahtarınızı planlama ve uygulama

Not

Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.

Microsoft Purview Bilgi Koruması istemcisi (eklenti olmadan) genel olarak kullanılabilir.

Azure Information Protection kiracı anahtarı, kuruluşunuz için bir kök anahtardır. Kullanıcı anahtarları, bilgisayar anahtarları veya belge şifreleme anahtarları gibi diğer anahtarlar bu kök anahtardan türetilebilir. Azure Information Protection kuruluşunuz için bu anahtarları her kullandığında, azure information protection kök kiracı anahtarınıza şifrelemeyle zincirlenir.

Kiracı kök anahtarınıza ek olarak, kuruluşunuz belirli belgeler için şirket içi güvenlik gerektirebilir. Şirket içi anahtar koruması genellikle yalnızca az miktarda içerik için gereklidir ve bu nedenle bir kiracı kök anahtarıyla birlikte yapılandırılır.

Azure Information Protection anahtar türleri

Kiracı kök anahtarınız aşağıdakilerden biri olabilir:

Ek, şirket içi koruma gerektiren son derece hassas içeriğiniz varsa, Çift Anahtar Şifrelemesi (DKE) kullanmanızı öneririz.

Microsoft tarafından oluşturulan kiracı kök anahtarları

Microsoft tarafından otomatik olarak oluşturulan varsayılan anahtar, kiracı anahtarı yaşam döngünüzün çoğu yönünü yönetmek için yalnızca Azure Information Protection için kullanılan varsayılan anahtardır.

Azure Information Protection'ı özel donanım, yazılım veya Azure aboneliği olmadan hızlı bir şekilde dağıtmak istediğinizde varsayılan Microsoft anahtarını kullanmaya devam edin. Örnek olarak, anahtar yönetimi için mevzuat gereksinimleri olmayan test ortamları veya kuruluşlar verilebilir.

Varsayılan anahtar için başka adım gerekmez ve doğrudan Kiracı kök anahtarınızı kullanmaya başlama bölümüne gidebilirsiniz.

Not

Microsoft tarafından oluşturulan varsayılan anahtar, en düşük yönetim ek yüklerine sahip en basit seçenektir.

Çoğu durumda, Azure Information Protection'a kaydolabileceğiniz ve anahtar yönetimi işleminin geri kalanı Microsoft tarafından işlendiği için kiracı anahtarınız olduğunu bile bilmiyor olabilirsiniz.

Kendi Anahtarını Getir (BYOK) koruması

BYOK-protection, müşteriler tarafından Azure Key Vault'ta veya müşteri kuruluşundaki şirket içinde oluşturulan anahtarları kullanır. Bu anahtarlar daha sonra daha fazla yönetim için Azure Key Vault'a aktarılır.

Kuruluşunuzda tüm yaşam döngüsü işlemleri üzerinde denetim de dahil olmak üzere önemli oluşturma için uyumluluk düzenlemeleri olduğunda KAG kullanın. Örneğin, anahtarınızın bir donanım güvenlik modülü tarafından korunması gerektiğinde.

Daha fazla bilgi için bkz . KAG korumasını yapılandırma.

Yapılandırıldıktan sonra anahtarınızı kullanma ve yönetme hakkında daha fazla bilgi için Kiracı kök anahtarınızı kullanmaya başlama bölümüne geçin.

Çift Anahtarlı Şifreleme (DKE)

DKE koruması iki anahtar kullanarak içeriğiniz için ek güvenlik sağlar: biri Azure'da Microsoft tarafından oluşturulan ve tutulan, diğeri ise müşteri tarafından şirket içinde oluşturulan ve tutulan anahtarlar.

DKE, microsoft ve diğer üçüncü tarafların korumalı verilere hiçbir zaman kendi başlarına erişemeyeceklerinden emin olmak için her iki anahtarın da korumalı içeriğe erişmesini gerektirir.

DKE bulutta veya şirket içinde dağıtılabilir ve depolama konumları için tam esneklik sağlar.

Kuruluşunuzda DKE kullanın:

  • Her koşulda, korumalı içeriğin şifresini yalnızca onların çöze çalıştığından emin olmak istiyor.
  • Microsoft'un korumalı verilere kendi başına erişmesini istemeyin.
  • Anahtarları coğrafi bir sınır içinde tutmak için yasal gereksinimlere sahiptir. DKE ile, müşteri tarafından tutulan anahtarlar müşteri veri merkezinde tutulur.

Not

DKE, erişim kazanmak için hem banka anahtarı hem de müşteri anahtarı gerektiren bir güvenlik kasasına benzer. DKE koruması, korumalı içeriğin şifresini çözmek için hem Microsoft tarafından tutulan anahtarı hem de müşteri tarafından tutulan anahtarı gerektirir.

Daha fazla bilgi için Microsoft 365 belgelerindeki Çift anahtarlı şifreleme bölümüne bakın.

Sonraki adımlar

Belirli anahtar türleri hakkında daha fazla ayrıntı için aşağıdaki makalelerden herhangi birine bakın:

Şirket birleşmesi sonrası gibi kiracılar arasında geçiş gerçekleştiriyorsanız, daha fazla bilgi için birleştirmeler ve spinoff'lar hakkındaki blog gönderimizi okumanızı öneririz.