La clé client Azure Information Protection est une clé racine pour votre organisation. D’autres clés peuvent être dérivées de cette clé racine, notamment les clés utilisateur, les clés d’ordinateur ou les clés de chiffrement de document. Chaque fois qu’Azure Information Protection utilise ces clés pour votre organisation, elles sont chaînées par chiffrement à votre clé client racine Azure Information Protection.
En plus de votre clé racine de client, votre organisation peut nécessiter une sécurité locale pour des documents spécifiques. La protection de clé locale est généralement nécessaire uniquement pour une petite quantité de contenu et est donc configurée avec une clé racine de client.
Si vous avez du contenu hautement sensible qui nécessite une protection locale supplémentaire, nous vous recommandons d’utiliser DKE (Chiffrement à clé double).
Clés racines du client générées par Microsoft
La clé par défaut, générée automatiquement par Microsoft, est la clé par défaut utilisée exclusivement pour Azure Information Protection pour gérer la plupart des aspects de votre cycle de vie de clé client.
Continuez à utiliser la clé Microsoft par défaut lorsque vous souhaitez déployer Azure Information Protection rapidement et sans matériel, logiciel ou abonnement Azure spécial. Les exemples incluent des environnements de test ou des organisations sans exigences réglementaires pour la gestion des clés.
La clé par défaut générée par Microsoft est l’option la plus simple avec les frais administratifs les plus bas.
Dans la plupart des cas, vous ne savez peut-être pas que vous disposez d’une clé client, car vous pouvez vous inscrire à Azure Information Protection et le reste du processus de gestion des clés est géré par Microsoft.
Protection Bring Your Own Key (BYOK)
BYOK-protection utilise des clés créées par les clients, soit dans Azure Key Vault, soit localement dans l’organisation cliente. Ces clés sont ensuite transférées vers Azure Key Vault pour une gestion plus poussée.
Utilisez BYOK lorsque votre organisation dispose de réglementations de conformité pour la génération de clés, y compris le contrôle sur toutes les opérations de cycle de vie. Par exemple, lorsque votre clé doit être protégée par un module de sécurité matériel.
Une fois configuré, continuez à bien démarrer avec votre clé racine de client pour plus d’informations sur l’utilisation et la gestion de votre clé.
Chiffrement à double clé (DKE)
La protection DKE assure une sécurité supplémentaire pour votre contenu à l’aide de deux clés : une créée et détenue par Microsoft dans Azure, et une autre créée et conservée localement par le client.
DKE nécessite que les deux clés accèdent au contenu protégé, ce qui garantit que Microsoft et d’autres tiers n’ont jamais accès aux données protégées par eux-mêmes.
DKE peut être déployé dans le cloud ou en local, offrant une flexibilité totale pour les emplacements de stockage.
Utilisez DKE lorsque votre organisation :
Souhaite s’assurer qu’ils ne peuvent jamais déchiffrer le contenu protégé, dans toutes les circonstances.
Ne souhaitez pas que Microsoft ait accès à des données protégées par elle-même.
A des exigences réglementaires pour contenir des clés dans une limite géographique. Avec DKE, les clés détenues par le client sont conservées dans le centre de données client.
Notes
DKE est similaire à une boîte de dépôt de sécurité qui nécessite à la fois une clé bancaire et une clé client pour obtenir l’accès.
La protection DKE nécessite à la fois la clé détenue par Microsoft et la clé détenue par le client pour déchiffrer le contenu protégé.
Découvrez comment concevoir une architecture conceptuelle pour les classifications de données avec la résidence des données pour Microsoft 365 et les services Dynamics 365 tout en utilisant les régions Azure et Customer Lockbox. Gérez les notifications de violations dans le portail d’approbation de services et Microsoft Defender pour le cloud. Par ailleurs, chiffrez les données tout au long de leur cycle de vie.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
Découvrez les étapes suivantes après la planification de la gestion de la clé racine de votre locataire, y compris la clé par défaut générée par Microsoft et la protection BYOK.
Description du fonctionnement d’Azure RMS, des contrôles de chiffrement qu’il utilise et des diagrammes étape par étape expliquant le fonctionnement du processus.