Détails Bring Your Own Key (BYOK) pour Azure Information Protection

  • Article

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le nouveau client Protection des données Microsoft Purview (sans complément) est actuellement en préversion et planifié pour la disponibilité générale.

Les organisations disposant d’un abonnement Azure Information Protection peuvent choisir de configurer leur client avec leur propre clé, au lieu d’une clé par défaut générée par Microsoft. Ce scénario est souvent appelé « Bring Your Own Key » (BYOK).

BYOK et la journalisation de l’utilisation fonctionnent en toute transparence avec les applications qui s’intègrent au service Azure Rights Management utilisé par Azure Information Protection.

Les applications prises en charge sont les suivantes :

  • Services cloud, tels que Microsoft SharePoint ou Microsoft 365

  • Services locaux exécutant des applications Exchange et SharePoint qui utilisent le service Azure Rights Management via le connecteur RMS

  • Applications clientes, telles que Office 2019, Office 2016 et Office 2013

Conseil

Si nécessaire, appliquez une sécurité supplémentaire à des documents spécifiques à l’aide d’une clé locale supplémentaire. Pour plus d’informations, consultez la protection DKE (Chiffrement à clé double) (client d’étiquetage unifié uniquement).

Stockage de clés Azure Key Vault

Les clés générées par les clients doivent être stockées dans Azure Key Vault pour assurer la protection du BYOK.

Remarque

L’utilisation de clés protégées par HSM dans Azure Key Vault nécessite un niveau de service Premium Azure Key Vault, ce qui entraîne des frais d’abonnement mensuel supplémentaires.

Partage de coffres de clés et d’abonnements

Nous vous recommandons d’utiliser un coffre de clés dédié pour votre clé client. Les coffres de clés dédiés permettent de s’assurer que les appels par d’autres services ne provoquent pas le dépassement des limites de service. Le dépassement des limites de service sur le coffre de clés où votre clé client est stockée peut entraîner une limitation du temps de réponse pour le service Azure Rights Management.

Comme différents services ont des exigences de gestion des clés variables, Microsoft recommande également d’utiliser un abonnement Azure dédié pour votre coffre de clés. Abonnements Azure dédiés :

  • Protéger contre les mauvaises configurations

  • Sont plus sécurisés lorsque différents services ont des administrateurs différents

Pour partager un abonnement Azure avec d’autres services qui utilisent Azure Key Vault, assurez-vous que l’abonnement partage un ensemble commun d’administrateurs. Confirmant que tous les administrateurs qui utilisent l’abonnement ont une bonne compréhension de chaque clé qu’ils peuvent accéder, signifie qu’ils sont moins susceptibles de mal configurer vos clés.

Exemple : L’utilisation d’un abonnement Azure partagé lorsque les administrateurs de votre clé client Azure Information Protection sont les mêmes personnes que celles qui administrent vos clés pour Bureau clé client 365 et CRM en ligne. Si les administrateurs clés de ces services sont différents, nous vous recommandons d’utiliser des abonnements dédiés.

Avantages de l'utilisation d'Azure Key Vault

Azure Key Vault fournit une solution de gestion de clés centralisée et cohérente pour de nombreux services cloud et locaux qui utilisent le chiffrement.

Outre la gestion des clés, Azure Key Vault offre à vos administrateurs de sécurité la même expérience de gestion pour stocker, accéder et gérer des certificats et des secrets (tels que des mots de passe) pour d’autres services et applications qui utilisent le chiffrement.

Le stockage de votre clé client dans Azure Key Vault offre les avantages suivants :

Avantage Description
Interfaces intégrées Azure Key Vault prend en charge un certain nombre d’interfaces intégrées pour la gestion des clés, notamment PowerShell, l’interface CLI, les API REST et le Portail Azure.

D’autres services et outils sont intégrés à Key Vault pour des fonctionnalités optimisées pour des tâches spécifiques, telles que la surveillance.

Par exemple, analysez vos journaux d’utilisation clés avec Operations Management Suite Log Analytics, définissez des alertes lorsque des critères spécifiés sont remplies, et ainsi de suite.
Séparation des rôles Azure Key Vault fournit une séparation des rôles en tant que meilleure pratique de sécurité reconnue.

La séparation des rôles garantit qu’Azure Information Protection administrateurs peuvent se concentrer sur leurs priorités les plus élevées, notamment la gestion de la classification et de la protection des données, ainsi que les clés de chiffrement et les stratégies pour des exigences de sécurité ou de conformité spécifiques.
Emplacement de la clé principale Azure Key Vault est disponible dans divers emplacements et prend en charge les organisations avec des restrictions dans lesquelles les clés principales peuvent être actives.

Pour plus d’informations, consultez le guide Disponibilité des produits Azure par région sur le site Azure.
Domaines de sécurité séparés Azure Key Vault utilise des domaines de sécurité distincts pour ses centres de données dans des régions telles que Amérique du Nord, EMEA (Europe, Moyen-Orient et Afrique) et l’Asie.

Azure Key Vault utilise également différentes instances d’Azure, telles que Microsoft Azure Allemagne et Azure Government.
Expérience unifiée Azure Key Vault permet également aux administrateurs de la sécurité de stocker, d’accéder et de gérer des certificats et des secrets, tels que des mots de passe, pour d’autres services qui utilisent le chiffrement.

L’utilisation d’Azure Key Vault pour vos clés de client offre une expérience utilisateur transparente pour les administrateurs qui gèrent tous ces éléments.

Pour connaître les dernières mises à jour et découvrir comment d’autres services utilisent Azure Key Vault, consultez le blog de l’équipe Azure Key Vault.

Journalisation de l’utilisation de BYOK

Les journaux d’utilisation sont générés par chaque application qui effectue des demandes au service Azure Rights Management.

Bien que la journalisation de l’utilisation soit facultative, nous vous recommandons d’utiliser les journaux d’utilisation en temps quasi réel d’Azure Information Protection pour voir exactement comment et quand votre clé client est utilisée.

Pour plus d’informations sur la journalisation de l’utilisation des clés pour BYOK, consultez Journalisation et analyse de l’utilisation de la protection à partir d’Azure Information Protection.

Conseil

Pour obtenir une assurance supplémentaire, la journalisation de l’utilisation d’Azure Information Protection peut être croisée avec la journalisation Azure Key Vault. Les journaux Key Vault fournissent une méthode fiable pour surveiller indépendamment que votre clé est utilisée uniquement par le service Azure Rights Management.

Si nécessaire, révoquez immédiatement l’accès à votre clé en supprimant les autorisations sur le coffre de clés.

Options de création et de stockage de votre clé

Remarque

Pour plus d’informations sur l’offre HSM managée et sur la configuration d’un coffre et d’une clé, consultez la documentation Azure Key Vault.

Des instructions supplémentaires sur l’octroi d’une autorisation de clé sont décrites ci-dessous.

BYOK prend en charge les clés créées dans Azure Key Vault ou localement.

Si vous créez votre clé localement, vous devez le transférer ou l’importer dans votre coffre de clés et configurer Azure Information Protection pour utiliser la clé. Effectuez toute gestion supplémentaire des clés à partir d’Azure Key Vault.

Options de création et de stockage de votre propre clé :

  • Créez dans Azure Key Vault. Créez et stockez votre clé dans Azure Key Vault en tant que clé protégée par HSM ou clé protégée par logiciel.

  • Créer localement. Créez votre clé localement et transférez-la vers Azure Key Vault à l’aide de l’une des options suivantes :

    • Clé protégée par HSM, transférée en tant que clé protégée par HSM. Méthode la plus classique choisie.

      Bien que cette méthode ait la charge administrative la plus élevée, il peut être nécessaire que votre organisation suive des réglementations spécifiques. Les modules HSM utilisés par Azure Key Vault ont une validation FIPS 140.

    • Clé protégée par logiciel qui est convertie et transférée vers Azure Key Vault en tant que clé protégée par HSM. Cette méthode est prise en charge uniquement lors de la migration à partir de services AD RMS (Active Directory Rights Management Services) (AD RMS).

    • Créé localement en tant que clé protégée par logiciel et transféré vers Azure Key Vault en tant que clé protégée par logiciel. Cette méthode nécessite un fichier de certificat .PFX.

Par exemple, procédez comme suit pour utiliser une clé créée localement :

  1. Générez votre clé client localement, conformément aux stratégies informatiques et de sécurité de votre organisation. Cette clé est la copie principale. Il reste local et vous êtes requis pour sa sauvegarde.

  2. Créez une copie de la clé principale et transférez-la en toute sécurité de votre HSM vers Azure Key Vault. Tout au long de ce processus, la copie principale de la clé ne quitte jamais la limite de protection matérielle.

Une fois transférée, la copie de la clé est protégée par Azure Key Vault.

Exportation de votre domaine de publication approuvé

Si vous décidez d’arrêter d’utiliser Azure Information Protection, vous aurez besoin d’un domaine de publication approuvé (TPD) pour déchiffrer le contenu protégé par Azure Information Protection.

Toutefois, l’exportation de votre TPD n’est pas prise en charge si vous utilisez BYOK pour votre clé Azure Information Protection.

Pour préparer ce scénario, veillez à créer un TPD approprié à l’avance. Pour plus d'informations, consultez Comment préparer un plan de « sortie du nuage » d'Azure Information Protection.

Implémentation BYOK pour votre clé client Azure Information Protection

Utilisez les étapes suivantes pour l’implémentation de BYOK :

  1. Passer en revue les prérequis de BYOK
  2. Choisir un emplacement Key Vault
  3. Créer et configurer votre clé

Prérequis pour BYOK

Les prérequis BYOK varient en fonction de la configuration du système. Vérifiez que votre système est conforme aux conditions préalables suivantes en fonction des besoins :

Condition requise Description
Abonnement Azure Obligatoire pour toutes les configurations.
Pour plus d’informations, consultez Vérifier que vous disposez d’un abonnement Azure compatible BYOK.
Module PowerShell AIPService pour Azure Information Protection Obligatoire pour toutes les configurations.
Pour plus d’informations, consultez Installation d’un module PowerShell AIPService.
Conditions préalables Azure Key Vault pour BYOK Si vous utilisez une clé protégée par HSM créée localement, vérifiez que vous respectez également les conditions préalables pour BYOK répertoriées dans la documentation Azure Key Vault.
Microprogramme Thales version 11.62 Vous devez disposer d’une version du microprogramme Thales 11.62 si vous migrez d’AD RMS vers Azure Information Protection à l’aide de la clé logicielle vers la clé matérielle et utilisez le microprogramme Thales pour votre HSM.
Contournement du pare-feu pour les services Microsoft de confiance Si le coffre de clés qui contient votre clé client utilise Réseau virtuel points de terminaison de service pour Azure Key Vault, vous devez autoriser les services Microsoft approuvés à contourner ce pare-feu.
Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel pour Azure Key Vault.

Vérifier que vous disposez d’un abonnement Azure compatible BYOK

Votre client Azure Information Protection doit disposer d’un abonnement Azure. Si vous n’en avez pas, vous pouvez vous inscrire pour un compte gratuit. Toutefois, pour utiliser une clé protégée par HSM, vous devez disposer du niveau de service Premium Azure Key Vault.

L’abonnement Azure gratuit qui fournit l’accès à la configuration microsoft Entra et à la configuration de modèle personnalisé Azure Rights Management n’est pas suffisant pour utiliser Azure Key Vault.

Pour vérifier si vous disposez d’un abonnement Azure compatible avec BYOK, procédez comme suit pour vérifier, à l’aide d’applets de commande Azure PowerShell :

  1. Démarrez une session Azure PowerShell en tant qu’administrateur.

  2. Connectez-vous en tant qu’administrateur général pour votre client Azure Information Protection à l’aide de Connect-AzAccount.

  3. Copiez le jeton affiché dans votre presse-papiers. Ensuite, dans un navigateur, accédez au https://microsoft.com/devicelogin jeton copié et entrez le jeton copié.

    Pour plus d’informations, consultez Se connecter avec Azure PowerShell.

  4. Dans votre session PowerShell, entrez Get-AzSubscription et vérifiez que les valeurs suivantes sont affichées :

    • Nom et ID de votre abonnement
    • Votre ID de clé client Azure Information Protection
    • Confirmation que l’état est activé

    Si aucune valeur n’est affichée et que vous êtes retourné à l’invite, vous n’avez pas d’abonnement Azure qui peut être utilisé pour BYOK.

Choix de votre emplacement de coffre de clés

Lorsque vous créez un coffre de clés pour contenir la clé à utiliser comme clé client pour Azure Information, vous devez spécifier un emplacement. Cet emplacement est une région Azure ou une instance Azure.

Faites d’abord votre choix pour la conformité, puis réduisez la latence réseau :

  • Si vous avez choisi la méthode de clé BYOK pour des raisons de conformité, ces exigences de conformité peuvent également imposer quelle région ou instance Azure peut être utilisée pour stocker votre clé client Azure Information Protection.

  • Tous les appels de chiffrement pour la chaîne de protection vers votre clé Azure Information Protection. Par conséquent, vous pouvez réduire la latence réseau requise par ces appels en créant votre coffre de clés dans la même région ou instance Azure que votre client Azure Information Protection.

Pour identifier l’emplacement de votre client Azure Information Protection, utilisez l’applet de commande PowerShell Get-AipServiceConfiguration et identifiez la région à partir des URL. Par exemple :

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

La région est identifiable à partir de rms.na.aadrm.com et, pour cet exemple, elle se trouve dans Amérique du Nord.

Le tableau suivant répertorie les régions et instances Azure recommandées pour réduire la latence réseau :

Région ou instance Azure Emplacement recommandé pour votre coffre de clés
rms.na.aadrm.com USA Centre Nord ou USA Est
rms.eu.aadrm.com Europe Nord ou Europe Ouest
rms.ap.aadrm.com​ Asie Est ou Asie Sud-Est
rms.sa.aadrm.com USA Ouest ou USA Est
rms.govus.aadrm.com​ USA Centre, USA Est 2
rms.aadrm.us US Gov Arizona et US Gov Virginie
rms.aadrm.cn Chine Est 2 ou Chine Nord 2

Créer et configurer votre clé

Important

Pour plus d’informations spécifiques aux HSM managés, consultez Activation de l’autorisation de clé pour les clés HSM managées via Azure CLI.

Créez un Azure Key Vault et la clé que vous souhaitez utiliser pour Azure Information Protection. Pour plus d’informations, consultez la documentation sur Azure Key Vault.

Notez ce qui suit pour configurer votre coffre de clés Azure et votre clé pour BYOK :

Exigences en termes de longueur de la clé

Lors de la création de votre clé, assurez-vous que la longueur de la clé est de 2 048 bits (recommandé) ou de 1 024 bits. Les autres longueurs de clé ne sont pas prises en charge par Azure Information Protection.

Remarque

Les clés 1 024 bits ne sont pas considérées comme offrant un niveau de protection adéquat pour les clés de client actives.

Microsoft n’approuve pas l’utilisation de longueurs de clés inférieures, telles que les clés RSA 1024 bits, et l’utilisation associée de protocoles qui offrent des niveaux de protection insuffisants, tels que SHA-1.

Création d’une clé protégée par HSM localement et transfert vers votre coffre de clés

Pour créer une clé protégée par HSM localement et la transférer vers votre coffre de clés en tant que clé protégée par HSM, suivez les procédures décrites dans la documentation Azure Key Vault : Comment générer et transférer des clés protégées par HSM pour Azure Key Vault.

Pour qu’Azure Information Protection utiliser la clé transférée, toutes les opérations Key Vault doivent être autorisées pour la clé, notamment :

  • encrypt
  • decrypt
  • wrapKey
  • unwrapKey
  • sign
  • verify

Par défaut, toutes les opérations coffre de clés sont autorisées.

Pour vérification les opérations autorisées pour une clé spécifique, exécutez la commande PowerShell suivante :

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Si nécessaire, ajoutez des opérations autorisées à l’aide de Update-AzKeyVaultKey et du paramètre KeyOps .

Configuration d’Azure Information Protection avec votre ID de clé

Les clés stockées dans Azure Key Vault ont chacun un ID de clé.

L’ID de clé est une URL qui contient le nom du coffre de clés, le conteneur de clés, le nom de la clé et la version de la clé. Par exemple : https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Configurez Azure Information Protection pour utiliser votre clé en spécifiant son URL de coffre de clés.

Autorisation du service Azure Rights Management d’utiliser votre clé

Le service Azure Rights Management doit être autorisé à utiliser votre clé. Les administrateurs Azure Key Vault peuvent activer cette autorisation à l’aide de Portail Azure ou d’Azure PowerShell.

Activation de l’autorisation de clé à l’aide du Portail Azure

  1. Connectez-vous au portail Azure et allez dans coffre de clés><votre nom de coffre de clés>>Stratégies d'accès>Ajouter nouveau.

  2. Dans le volet Ajouter une stratégie d'accès, dans la zone de liste Configurer à partir du modèle (facultatif), sélectionnez Azure Information Protection BYOK, puis cliquez sur OK.

    Le modèle sélectionné a la configuration suivante :

    • La valeur Select principal est définie sur Microsoft Rights Management Services.
    • Les autorisations de clé sélectionnées incluent Get, Decrypt et Sign.
Activation de l’autorisation de clé à l’aide de PowerShell

Exécutez l’applet de commande PowerShell Key Vault, Set-AzKeyVaultAccessPolicy et accordez des autorisations au principal du service Azure Rights Management à l’aide du GUID 00000012-0000-0000-c000-000000000000.

Par exemple :

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Activation de l’autorisation de clé pour les clés HSM managées via Azure CLI

Pour accorder au service Azure Rights Management des autorisations d'utilisateur principal en tant qu'utilisateur Crypto HSM managé, exécutez la commande suivante :

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Où :

  • ContosoMHSM est un exemple de nom HSM. Lors de l’exécution de cette commande, remplacez cette valeur par votre propre nom HSM.

Le rôle d'utilisateur Crypto HSM managé permet à l'utilisateur de décrypter, de signer et d'obtenir des autorisations pour la clé, ce qui est nécessaire pour la fonctionnalité HSM managé.

Configuration de Azure Information Protection pour utiliser votre clé

Une fois que vous avez terminé toutes les étapes ci-dessus, vous êtes prêt à configurer Azure Information Protection pour utiliser cette clé comme clé client de votre organisation.

Exécutez les commandes suivantes à l’aide des applets de commande d’Azure RMS :

  1. Connecter au service Azure Rights Management et connectez-vous :

    Connect-AipService

  2. Exécutez l’applet de commande Use-AipServiceKeyVaultKey, en spécifiant l’URL de la clé. Par exemple :

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"

    Important

    Dans cet exemple, <key-version> est la version de la clé que vous souhaitez utiliser. Si vous ne spécifiez pas la version, la version actuelle de la clé est utilisée par défaut et la commande peut sembler fonctionner. Toutefois, si votre clé est mise à jour ou renouvelée ultérieurement, le service Azure Rights Management cesse de fonctionner pour votre client, même si vous réexécutez la commande Use-AipServiceKeyVaultKeyKey .

    Utilisez la commande Get-AzKeyVaultKey si nécessaire pour obtenir le numéro de version de la clé active.

    Par exemple : Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Pour vérifier que l’URL de la clé est correctement définie pour Azure Information Protection, exécutez la commande Get-AzKeyVaultKey dans Azure Key Vault pour afficher l’URL de la clé.

  3. Si le service Azure Rights Management est déjà activé, exécutez Set-AipServiceKeyProperties pour indiquer à Azure Information Protection d’utiliser cette clé comme clé client active pour le service Azure Rights Management.

Azure Information Protection est désormais configuré pour utiliser votre clé au lieu de la clé créée par Microsoft par défaut qui a été créée automatiquement pour votre client.

Étapes suivantes

Une fois que vous avez configuré la protection BYOK, poursuivez avec la clé racine de votre client pour plus d’informations sur l’utilisation et la gestion de votre clé.