Apportez vos propres détails de clé (BYOK) pour Azure Information Protection

Notes

Recherchez-vous Protection des données Microsoft Purview, anciennement Protection des données Microsoft (MIP) ?

Le client d’étiquetage unifié Azure Information Protection est désormais en mode maintenance. Nous vous recommandons d’utiliser des étiquettes intégrées à vos applications et services Office 365. Pour en savoir plus

Les organisations disposant d’un abonnement Azure Information Protection peuvent choisir de configurer leur locataire avec leur propre clé, au lieu d’une clé par défaut générée par Microsoft. Cette configuration est souvent appelée Bring Your Own Key (BYOK).

BYOK et la journalisation de l’utilisation fonctionnent en toute transparence avec les applications qui s’intègrent au service Azure Rights Management utilisé par Azure Information Protection.

Les applications prises en charge incluent :

  • Services cloud, tels que Microsoft SharePoint ou Microsoft 365

  • Services locaux exécutant des applications Exchange et SharePoint qui utilisent le service Azure Rights Management via le connecteur RMS

  • Applications clientes, telles qu’Office 2019, Office 2016 et Office 2013

Conseil

Si nécessaire, appliquez une sécurité supplémentaire à des documents spécifiques à l’aide d’une clé locale supplémentaire. Pour plus d’informations, consultez la protection DKE (Double Key Encryption) ( client d’étiquetage unifié uniquement).

Stockage de clés Azure Key Vault

Les clés générées par le client doivent être stockées dans l’Key Vault Azure pour la protection BYOK.

Notes

L’utilisation de clés protégées par HSM dans Azure Key Vault nécessite un niveau de service Azure Key Vault Premium, ce qui entraîne des frais d’abonnement mensuels supplémentaires.

Partage de coffres de clés et d’abonnements

Nous vous recommandons d’utiliser un coffre de clés dédié pour votre clé de locataire. Les coffres de clés dédiés permettent de s’assurer que les appels par d’autres services ne provoquent pas l’dépassement des limites de service . Le dépassement des limites de service sur le coffre de clés où votre clé de locataire est stockée peut entraîner une limitation du temps de réponse pour Azure Rights Management service.

Comme différents services ont des exigences de gestion des clés différentes, Microsoft recommande également d’utiliser un abonnement Azure dédié pour votre coffre de clés. Abonnements Azure dédiés :

  • Aider à protéger contre les erreurs de configuration

  • Sont plus sécurisés lorsque différents services ont des administrateurs différents

Pour partager un abonnement Azure avec d’autres services qui utilisent Azure Key Vault, assurez-vous que l’abonnement partage un ensemble commun d’administrateurs. Confirmant que tous les administrateurs qui utilisent l’abonnement ont une bonne compréhension de chaque clé qu’ils peuvent accéder, signifie qu’ils sont moins susceptibles de mal configurer vos clés.

Exemple : L’utilisation d’un abonnement Azure partagé lorsque les administrateurs de votre clé de locataire Azure Information Protection sont les mêmes personnes qui gèrent vos clés pour Office 365 clé client et CRM en ligne. Si les administrateurs clés de ces services sont différents, nous vous recommandons d’utiliser des abonnements dédiés.

Avantages de l’utilisation d’Azure Key Vault

Azure Key Vault fournit une solution de gestion des clés centralisée et cohérente pour de nombreux services cloud et locaux qui utilisent le chiffrement.

Outre la gestion des clés, Azure Key Vault offre à vos administrateurs de sécurité la même expérience de gestion pour stocker, utiliser et gérer les certificats et les secrets (comme les mots de passe) pour d’autres services et applications qui utilisent le chiffrement.

Le stockage de votre clé de locataire dans Azure Key Vault offre les avantages suivants :

Avantage Description
Interfaces intégrées Azure Key Vault prend en charge plusieurs interfaces intégrées pour la gestion de clés, notamment PowerShell, CLI, les API REST et le portail Azure.

D’autres services et outils ont été intégrés à Key Vault pour des fonctionnalités optimisées pour des tâches spécifiques, telles que la surveillance.

Par exemple, analysez vos journaux d’utilisation clés avec Operations Management Suite Log Analytics, définissez des alertes lorsque des critères spécifiés sont respectés, et ainsi de suite.
Séparation des rôles Azure Key Vault fournit une séparation des rôles comme une bonne pratique de sécurité reconnue.

La séparation des rôles garantit que les administrateurs d’Azure Information Protection peuvent se concentrer sur leurs priorités les plus élevées, notamment la gestion de la classification et de la protection des données, ainsi que les clés de chiffrement et les stratégies pour des exigences de sécurité ou de conformité spécifiques.
Emplacement de clé principale Azure Key Vault est disponible dans divers emplacements et prend en charge les organisations avec des restrictions sur lesquelles les clés principales peuvent vivre.

Pour plus d’informations, consultez la page Disponibilité des produits par région sur le site Azure.
Domaines de sécurité séparés Azure Key Vault utilise des domaines de sécurité distincts pour ses centres de données dans des régions telles que Amérique du Nord, EMEA (Europe, Moyen-Orient et Afrique) et Asie.

Azure Key Vault utilise aussi différentes instances d’Azure, comme Microsoft Azure Allemagne et Azure Government.
Expérience unifiée Azure Key Vault permet également aux administrateurs de sécurité de stocker, d’accéder et de gérer des certificats et des secrets, tels que des mots de passe, pour d’autres services qui utilisent le chiffrement.

L’utilisation d’Azure Key Vault pour vos clés de locataire offre une expérience utilisateur transparente pour les administrateurs qui gèrent tous ces éléments.

Pour connaître les dernières mises à jour et découvrir comment d’autres services utilisent Azure Key Vault, consultez le blog de l’équipe Azure Key Vault.

Journalisation de l’utilisation pour BYOK

Les journaux d’utilisation sont générés par chaque application qui effectue des demandes au service Azure Rights Management.

Bien que la journalisation de l’utilisation soit facultative, nous vous recommandons d’utiliser les journaux d’utilisation en quasi temps réel d’Azure Information Protection pour voir exactement comment et quand votre clé de locataire est utilisée.

Pour plus d’informations sur la journalisation de l’utilisation des clés pour BYOK, consultez Journalisation et analyse de l’utilisation de la protection à partir d’Azure Information Protection.

Conseil

Pour obtenir une assurance supplémentaire, la journalisation de l’utilisation d’Azure Information Protection peut être référencée avec la journalisation des Key Vault Azure. Key Vault journaux fournissent une méthode fiable pour surveiller indépendamment que votre clé est utilisée uniquement par Azure Rights Management service.

Si nécessaire, révoquez immédiatement l’accès à votre clé en supprimant les autorisations sur le coffre de clés.

Options de création et de stockage de votre clé

Notes

Pour plus d’informations sur l’offre Managed HSM et sur la configuration d’un coffre et d’une clé, consultez la documentation d’Azure Key Vault.

Des instructions supplémentaires sur l’octroi d’une autorisation de clé sont décrites ci-dessous.

BYOK prend en charge les clés créées dans Azure Key Vault ou localement.

Si vous créez votre clé localement, vous devez ensuite le transférer ou l’importer dans votre Key Vault et configurer Azure Information Protection pour utiliser la clé. Effectuez toute gestion supplémentaire des clés à partir d’Azure Key Vault.

Options de création et de stockage de votre propre clé :

  • Créé dans Azure Key Vault. Créez et stockez votre clé dans Azure Key Vault en tant que clé protégée par HSM ou clé protégée par logiciel.

  • Créé localement. Créez votre clé localement et transférez-la vers Azure Key Vault à l’aide de l’une des options suivantes :

    • Clé protégée par HSM, transférée en tant que clé protégée par HSM. Méthode la plus classique choisie.

      Bien que cette méthode ait la surcharge administrative la plus importante, il peut être nécessaire que votre organisation suive des réglementations spécifiques. Les HSM utilisées par Azure Key Vault sont validées FIPS 140-2 Niveau 2.

    • Clé protégée par logiciel convertie et transférée vers Azure Key Vault en tant que clé protégée par HSM. Cette méthode est prise en charge uniquement lors de la migration à partir d’Active Directory Rights Management Services (AD RMS).

    • Créé localement en tant que clé protégée par logiciel et transféré vers Azure Key Vault en tant que clé protégée par logiciel. Cette méthode nécessite un . Fichier de certificat PFX.

Par exemple, procédez comme suit pour utiliser une clé créée localement :

  1. Générez votre clé de locataire localement, conformément aux stratégies informatiques et de sécurité de votre organisation. Cette clé est la copie maître. Il reste local et vous êtes requis pour sa sauvegarde.

  2. Créez une copie de la clé principale et transférez-la en toute sécurité de votre HSM vers Azure Key Vault. Tout au long de ce processus, la copie principale de la clé ne quitte jamais la limite de protection matérielle.

Une fois transférée, la copie de la clé est protégée par Azure Key Vault.

Exportation de votre domaine de publication approuvé

Si vous décidez d’arrêter d’utiliser Azure Information Protection, vous aurez besoin d’un domaine de publication approuvé (TPD) pour déchiffrer du contenu protégé par Azure Information Protection.

Toutefois, l’exportation de votre TPD n’est pas prise en charge si vous utilisez BYOK pour votre clé Information Protection Azure.

Pour préparer ce scénario, veillez à créer un TPD approprié à l’avance. Pour plus d’informations, consultez Comment préparer un plan Azure Information Protection « Sortie cloud ».

Implémentation de BYOK pour votre clé de locataire Azure Information Protection

Suivez les étapes suivantes pour implémenter BYOK :

  1. Passer en revue les prérequis BYOK
  2. Choisir un emplacement Key Vault
  3. Créer et configurer votre clé

Configuration requise pour BYOK

Les prérequis BYOK varient en fonction de votre configuration système. Vérifiez que votre système est conforme aux conditions préalables suivantes en fonction des besoins :

Condition requise Description
Abonnement Azure Obligatoire pour toutes les configurations.
Pour plus d’informations, consultez Vérifier que vous disposez d’un abonnement Azure compatible BYOK.
Module PowerShell AIPService pour Azure Information Protection Obligatoire pour toutes les configurations.
Pour plus d’informations, consultez Installation du module PowerShell AIPService.
Prérequis d’Azure Key Vault pour BYOK Si vous utilisez une clé protégée par HSM créée localement, assurez-vous que vous respectez également les conditions préalables pour BYOK répertoriées dans la documentation Azure Key Vault.
Microprogramme Thales version 11.62 Vous devez disposer d’une version du microprogramme Thales de 11.62 si vous migrez d’AD RMS vers Azure Information Protection à l’aide de la clé logicielle vers la clé matérielle et utilisez le microprogramme Thales pour votre HSM.
Contournement du pare-feu pour les services Microsoft approuvés Si le coffre de clés qui contient votre clé de locataire utilise Réseau virtuel points de terminaison de service pour Azure Key Vault, vous devez autoriser les services Microsoft approuvés à contourner ce pare-feu.
Pour plus d’informations, consultez Réseau virtuel points de terminaison de service pour Azure Key Vault.

Vérifier que vous disposez d’un abonnement Azure compatible BYOK

Votre locataire Azure Information Protection doit avoir un abonnement Azure. Si vous n’en avez pas encore, vous pouvez vous inscrire à un compte gratuit. Toutefois, pour utiliser une clé protégée par HSM, vous devez disposer du niveau de service Azure Key Vault Premium.

L’abonnement Azure gratuit qui fournit l’accès à la configuration Azure Active Directory et Azure Rights Management configuration de modèle personnalisé n’est pas suffisant pour l’utilisation d’Azure Key Vault.

Pour vérifier si vous disposez d’un abonnement Azure compatible avec BYOK, procédez comme suit pour vérifier, à l’aide de Azure PowerShell applets de commande :

  1. Démarrez une session Azure PowerShell en tant qu’administrateur.

  2. Connectez-vous en tant qu’administrateur général pour votre locataire Azure Information Protection à l’aide Connect-AzAccountde .

  3. Copiez le jeton affiché dans votre Presse-papiers. Ensuite, dans un navigateur, accédez au https://microsoft.com/devicelogin jeton copié.

    Pour plus d’informations, consultez Se connecter avec Azure PowerShell.

  4. Dans votre session PowerShell, entrez et vérifiez Get-AzSubscriptionque les valeurs suivantes sont affichées :

    • Nom et ID de votre abonnement
    • VOTRE ID de locataire Azure Information Protection
    • Confirmation que l’état est activé

    Si aucune valeur n’est affichée et que vous êtes retourné à l’invite, vous n’avez pas d’abonnement Azure qui peut être utilisé pour BYOK.

Choix de l’emplacement de votre coffre de clés

Quand vous créez un coffre de clés pour contenir la clé à utiliser comme votre clé de locataire pour Azure Information Protection, vous devez spécifier un emplacement. Cet emplacement est une région Azure ou une instance Azure.

Faites votre choix en tenant d’abord compte de la conformité, et ensuite pour minimiser la latence réseau :

  • Si vous avez choisi la méthode de clé BYOK pour des raisons de conformité, ces exigences de conformité peuvent également mandater la région ou l’instance Azure pour stocker votre clé de locataire Azure Information Protection.

  • Tous les appels de chiffrement pour la chaîne de protection à votre clé Azure Information Protection. Par conséquent, vous pouvez réduire la latence réseau requise par ces appels en créant votre coffre de clés dans la même région ou instance Azure que votre locataire Azure Information Protection.

Pour identifier l’emplacement de votre locataire Azure Information Protection, utilisez l’applet de commande PowerShell Get-AipServiceConfiguration et identifiez la région à partir des URL. Par exemple :

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

La région est identifiable dans rms.na.aadrm.com et pour cet exemple, elle est North America (Amérique du Nord).

Le tableau suivant répertorie les régions et instances Azure recommandées pour réduire la latence réseau :

Région ou instance Azure Emplacement recommandé pour votre coffre de clés
rms.na.aadrm.com USA Centre Nord ou USA Est
rms.eu.aadrm.com Europe Nord ou Europe Ouest
rms.ap.aadrm.com Asie Est ou Asie Sud-Est
rms.sa.aadrm.com USA Ouest ou USA Est
rms.govus.aadrm.com USA Centre ou USA Est 2
rms.aadrm.us US Gov Virginie ou US Gov Arizona
rms.aadrm.cn Chine Est 2 ou Chine Nord 2

Créer et configurer votre clé

Créez un Key Vault Azure et la clé que vous souhaitez utiliser pour Azure Information Protection. Pour plus d’informations, consultez la documentation sur Azure Key Vault.

Notez les éléments suivants pour configurer votre Key Vault Azure et votre clé pour BYOK :

Exigences en matière de longueur de clé

Lors de la création de votre clé, assurez-vous que la longueur de la clé est de 2048 bits (recommandé) ou de 1024 bits. Les autres longueurs de clé ne sont pas prises en charge par Azure Information Protection.

Notes

Les clés 1024 bits ne sont pas considérées comme offrant un niveau de protection adéquat pour les clés de locataire actives.

Microsoft ne approuve pas l’utilisation de longueurs de clés inférieures, telles que les clés RSA 1024 bits et l’utilisation associée de protocoles qui offrent des niveaux de protection insuffisants, tels que SHA-1.

Création d’une clé protégée par HSM localement et transfert vers votre coffre de clés

Pour créer une clé protégée par HSM localement et la transférer vers votre coffre de clés en tant que clé protégée par HSM, suivez les procédures décrites dans la documentation Azure Key Vault : Comment générer et transférer des clés protégées par HSM pour Azure Key Vault.

Pour qu’Azure Information Protection utiliser la clé transférée, toutes les opérations Key Vault doivent être autorisées pour la clé, notamment :

  • encrypt
  • decrypt
  • wrapKey
  • unwrapKey
  • sign
  • verify

Par défaut, toutes les opérations de Key Vault sont autorisées.

Pour vérifier les opérations autorisées pour une clé spécifique, exécutez la commande PowerShell suivante :

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Si nécessaire, ajoutez des opérations autorisées à l’aide de Update-AzKeyVaultKeykey et du paramètre KeyOps .

Configuration d’Azure Information Protection avec votre ID de clé

Les clés stockées dans Azure Key Vault chacune ont un ID de clé.

L’ID de clé est une URL qui contient le nom du coffre de clés, le conteneur de clés, le nom de la clé et la version de la clé. Par exemple : https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Configurez Azure Information Protection pour utiliser votre clé en spécifiant son URL de coffre de clés.

Autorisation du service Azure Rights Management d’utiliser votre clé

Le service Azure Rights Management doit être autorisé à utiliser votre clé. Les administrateurs Key Vault Azure peuvent activer cette autorisation à l’aide de la Portail Azure ou de l’Azure PowerShell.

Activation de l’autorisation de clé à l’aide du Portail Azure
  1. Connectez-vous au Portail Azure et accédez aux coffres>< de cléspour ajouterde nouvelles stratégies d’accès au nom >> de votre coffre de clés.>

  2. Dans le volet Ajouter une stratégie d’accès, dans la zone de liste Configurer à partir du modèle (facultatif), sélectionnez Azure Information Protection BYOK, puis cliquez sur OK.

    Le modèle sélectionné a la configuration suivante :

    • La valeur Select principal est définie sur Microsoft Rights Management Services.
    • Les autorisations de clé sélectionnées incluent Get, Decrypt et Sign.
Activation de l’autorisation de clé à l’aide de PowerShell

Exécutez l’applet de commande PowerShell Key Vault, Set-AzKeyVaultAccessPolicy et accordez des autorisations au principal du service Azure Rights Management à l’aide du GUID 000000-0000-0000-c0000-0000000000000000.

Par exemple :

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Activation de l’autorisation de clé pour les clés HSM managées via Azure CLI

Pour accorder les autorisations d’utilisateur du principal de service Azure Rights Management en tant qu’utilisateur de chiffrement HSM managé, exécutez la commande suivante :

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Où :

  • ContosoMHSM est un exemple de nom HSM. Lors de l’exécution de cette commande, remplacez cette valeur par votre propre nom HSM.

Le rôle utilisateur de chiffrement HSM managé permet à l’utilisateur de déchiffrer, de signer et d’obtenir des autorisations sur la clé, qui sont toutes requises pour la fonctionnalité HSM managée.

Configurer Azure Information Protection pour utiliser votre clé

Une fois que vous avez effectué toutes les étapes ci-dessus, vous êtes prêt à configurer Azure Information Protection pour utiliser cette clé comme clé de locataire de votre organisation.

À l’aide des applets de commande Azure RMS, exécutez les commandes suivantes :

  1. Connectez-vous au service Azure Rights Management et connectez-vous :

    Connect-AipService
    
  2. Exécutez l’applet de commande Use-AipServiceKeyVaultKeyKey, en spécifiant l’URL de clé. Par exemple :

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Important

    Dans cet exemple, <key-version> il s’agit de la version de la clé que vous souhaitez utiliser. Si vous ne spécifiez pas la version, la version actuelle de la clé est utilisée par défaut et la commande peut sembler fonctionner. Toutefois, si votre clé est mise à jour ou renouvelée ultérieurement, le service Azure Rights Management cesse de fonctionner pour votre locataire, même si vous exécutez à nouveau la commande Use-AipServiceKeyVaultKeyKey.

    Utilisez la commande Get-AzKeyVaultKeyKey si nécessaire pour obtenir le numéro de version de la clé actuelle.

    Par exemple : Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Pour vérifier que l’URL de clé est correctement définie pour Azure Information Protection, exécutez la commande Get-AzKeyVaultKeyKey dans Azure Key Vault pour afficher l’URL de la clé.

  3. Si le service Azure Rights Management est déjà activé, exécutez Set-AipServiceKeyProperties pour indiquer à Azure Information Protection d’utiliser cette clé comme clé de locataire active pour le service Azure Rights Management.

Azure Information Protection est maintenant configuré pour utiliser votre clé au lieu de la clé créée par défaut par Microsoft qui a été créée automatiquement pour votre locataire.

Étapes suivantes

Une fois que vous avez configuré la protection BYOK, continuez à bien démarrer avec votre clé racine de locataire pour plus d’informations sur l’utilisation et la gestion de votre clé.