规划和实施 Azure 信息保护租户密钥

适用于:Azure信息保护

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

Azure 信息保护租户密钥是组织的根密钥。 其他密钥可以派生自此根密钥,包括用户密钥、计算机密钥或文档加密密钥。 每当 Azure 信息保护为组织使用这些密钥时,它们就会以加密方式链接至 Azure 信息保护根租户密钥。

除了租户根密钥,组织可能还需要特定文档本地安全性。 本地密钥保护通常仅对少量内容是必需的,因此与租户根密钥一起配置。

Azure 信息保护密钥类型

租户根密钥可以是:

如果具有需要额外本地保护的高度敏感内容,我们建议使用DKE (双密钥) 。

提示

如果使用经典客户端,并且需要额外的本地保护,请改为使用 HYOK (自己的) 密钥。

Microsoft 生成的租户根密钥

由 Microsoft 自动生成的默认密钥是专用于 Azure 信息保护的默认密钥,用于管理租户密钥生命周期中的大多数方面。

若要在不特殊硬件、软件或 Azure 订阅的情况下快速部署 Azure 信息保护,请继续使用默认的 Microsoft 密钥。 示例包括测试环境或没有密钥管理法规要求的组织。

对于默认密钥,无需执行其他步骤,可以直接转到租户根密钥 入门

注意

Microsoft 生成的默认密钥是最简单的选项,管理开销最低。

在大多数情况下,你甚至可能不知道你有租户密钥,因为可以注册 Azure 信息保护,其余的密钥管理过程由 Microsoft 处理。

自带密钥 (BYOK) 保护

BYOK-protection 使用客户在 Azure Key Vault 或客户组织本地创建的密钥。 然后,这些密钥将传输到 Azure Key Vault 进行进一步管理。

当组织具有密钥生成合规性法规(包括控制所有生命周期操作)时,请使用 BYOK。 例如,当密钥必须受硬件安全模块保护时。

有关详细信息,请参阅配置 BYOK 保护

配置后,请 继续访问租户 根密钥入门,详细了解密钥的使用和管理。

DKE 加密 (双密钥)

相关:仅 AIP 统一标签客户端

DKE 保护使用两个密钥为内容提供额外的安全性:一个密钥由 Microsoft 在 Azure 中创建和持有,另一个密钥由客户在本地创建和持有。

DKE 要求这两个密钥访问受保护的内容,确保 Microsoft 和其他第三方永远不会自己访问受保护的数据。

DKE 可以部署在云中或本地,为存储位置提供完全的灵活性。

在组织:

  • 想要确保在任何情况下,只有他们才能解密受保护的内容。
  • 不希望 Microsoft 自己访问受保护的数据。
  • 有在地理边界内保存密钥的法规要求。 使用 DKE 时,客户保留的密钥在客户数据中心内维护。

注意

DKE 类似于需要银行密钥和客户密钥才能获取访问权限的安全存款箱。 DKE 保护需要 Microsoft 持有密钥和客户持有密钥来解密受保护的内容。

有关详细信息,请参阅密码文档中的双密钥Microsoft 365加密。

将自己的密钥 (HYOK)

相关:仅 AIP 经典客户端

HYOK 保护使用客户在独立于云的位置创建并持有密钥。 由于 HYOK 保护仅允许访问本地应用程序和服务的数据,因此使用 HYOK 的客户对云文档也具有基于云的密钥。

对文档使用 HYOK::

  • 仅限少数人员
  • 未在组织外部共享
  • 仅在内部网络上使用。

这些文档通常在你的组织中具有最高的分类,即"最高机密"。

只有在具有经典客户端时,才能使用 HYOK 保护对内容进行加密。 但是,如果有受 HYOK 保护的内容,可以在经典和统一标签客户端中查看。

有关详细信息,请参阅在 HYOK 中 (自己的) 详细信息

下一步

有关特定类型的密钥的更多详细信息,请参阅以下任何文章:

如果要跨租户迁移,例如公司合并后,建议阅读有关合并和调整的博客 文章,了解 详细信息。