Planification et implémentation de votre clé client Azure Information Protection
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.
Le client Protection des données Microsoft Purview (sans complément) est généralement disponible.
La clé client Azure Information Protection est une clé racine pour votre organisation. D’autres clés peuvent être dérivées de cette clé racine, notamment les clés utilisateur, les clés d’ordinateur ou les clés de chiffrement de document. Chaque fois qu’Azure Information Protection utilise ces clés pour votre organisation, elles sont chaînées par chiffrement à votre clé client racine Azure Information Protection.
En plus de votre clé racine de client, votre organisation peut nécessiter une sécurité locale pour des documents spécifiques. La protection de clé locale est généralement nécessaire uniquement pour une petite quantité de contenu et est donc configurée avec une clé racine de client.
Types de clés Azure Information Protection
Votre clé racine de client peut être :
- Généré par Microsoft
- Généré par les clients avec la protection BYOK (Bring Your Own Key).
Si vous avez du contenu hautement sensible qui nécessite une protection locale supplémentaire, nous vous recommandons d’utiliser DKE (Chiffrement à clé double).
Clés racines du client générées par Microsoft
La clé par défaut, générée automatiquement par Microsoft, est la clé par défaut utilisée exclusivement pour Azure Information Protection pour gérer la plupart des aspects de votre cycle de vie de clé client.
Continuez à utiliser la clé Microsoft par défaut lorsque vous souhaitez déployer Azure Information Protection rapidement et sans matériel, logiciel ou abonnement Azure spécial. Les exemples incluent des environnements de test ou des organisations sans exigences réglementaires pour la gestion des clés.
Pour la clé par défaut, aucune étape supplémentaire n’est requise et vous pouvez accéder directement à La prise en main de votre clé racine de client.
Remarque
La clé par défaut générée par Microsoft est l’option la plus simple avec les frais administratifs les plus bas.
Dans la plupart des cas, vous ne savez peut-être pas que vous disposez d’une clé client, car vous pouvez vous inscrire à Azure Information Protection et le reste du processus de gestion des clés est géré par Microsoft.
Protection Bring Your Own Key (BYOK)
BYOK-protection utilise des clés créées par les clients, soit dans Azure Key Vault, soit localement dans l’organisation cliente. Ces clés sont ensuite transférées vers Azure Key Vault pour une gestion plus poussée.
Utilisez BYOK lorsque votre organisation dispose de réglementations de conformité pour la génération de clés, y compris le contrôle sur toutes les opérations de cycle de vie. Par exemple, lorsque votre clé doit être protégée par un module de sécurité matériel.
Pour plus d’informations, consultez Configurer la protection BYOK.
Une fois configuré, continuez à bien démarrer avec votre clé racine de client pour plus d’informations sur l’utilisation et la gestion de votre clé.
Chiffrement à double clé (DKE)
La protection DKE assure une sécurité supplémentaire pour votre contenu à l’aide de deux clés : une créée et détenue par Microsoft dans Azure, et une autre créée et conservée localement par le client.
DKE nécessite que les deux clés accèdent au contenu protégé, ce qui garantit que Microsoft et d’autres tiers n’ont jamais accès aux données protégées par eux-mêmes.
DKE peut être déployé dans le cloud ou en local, offrant une flexibilité totale pour les emplacements de stockage.
Utilisez DKE lorsque votre organisation :
- Souhaite s’assurer qu’ils ne peuvent jamais déchiffrer le contenu protégé, dans toutes les circonstances.
- Ne souhaitez pas que Microsoft ait accès à des données protégées par elle-même.
- A des exigences réglementaires pour contenir des clés dans une limite géographique. Avec DKE, les clés détenues par le client sont conservées dans le centre de données client.
Remarque
DKE est similaire à une boîte de dépôt de sécurité qui nécessite à la fois une clé bancaire et une clé client pour obtenir l’accès. La protection DKE nécessite à la fois la clé détenue par Microsoft et la clé détenue par le client pour déchiffrer le contenu protégé.
Pour plus d’informations, consultez le chiffrement à clé double dans la documentation Microsoft 365.
Étapes suivantes
Pour plus d’informations sur les types de clés spécifiques, consultez l’un des articles suivants :
- Bien démarrer avec les clés racines de client
- Détails Bring Your Own Key (BYOK) pour Azure Information Protection
- Chiffrement à clé double Microsoft Purview
Si vous migrez entre clients, par exemple après une fusion d’entreprise, nous vous recommandons de lire notre billet de blog sur les fusions et les spinoffs pour plus d’informations.