Echanger ou alterner entre une clé client ou de disponibilité

  • Article

Attention

Lancez uniquement une clé de chiffrement que vous utilisez avec la clé client lorsque vos exigences de sécurité ou de conformité vous obligent à la restaurer. Ne supprimez ni ne désactivez pas les clés qui sont ou étaient associées à des stratégies, y compris les versions antérieures des clés que vous avez utilisées. Lorsque vous lancez vos clés, le contenu est chiffré avec les clés précédentes. Par exemple, même si les boîtes aux lettres actives sont fréquemment rechiffrées, les boîtes aux lettres inactives, déconnectées et désactivées peuvent toujours être chiffrées avec les clés précédentes. Microsoft SharePoint effectue une sauvegarde du contenu à des fins de restauration et de récupération, de sorte qu’il peut toujours y avoir du contenu archivé à l’aide de clés plus anciennes.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Windows 365 prise en charge de la clé client Microsoft Purview est en préversion publique et est susceptible d’être modifiée.

À propos du déploiement de la clé de disponibilité

Microsoft n’expose pas le contrôle direct de la clé de disponibilité aux clients. Par exemple, vous pouvez uniquement rouler (faire pivoter) les clés que vous possédez dans Azure Key Vault. Microsoft 365 déploie les clés de disponibilité selon une planification définie en interne. Il n’existe aucun contrat de niveau de service (SLA) côté client pour ces rouleaux de clés. Microsoft 365 fait pivoter la clé de disponibilité à l’aide du code de service Microsoft 365 dans un processus automatisé. Les administrateurs Microsoft peuvent lancer le processus de roll. La clé est roulée à l’aide de mécanismes automatisés sans accès direct au magasin de clés. L’accès au magasin de secrets de clé de disponibilité n’est pas approvisionné pour les administrateurs Microsoft. Le roulement de clé de disponibilité applique le même mécanisme que celui utilisé pour générer initialement la clé. Pour plus d’informations sur la clé de disponibilité, consultez Comprendre la clé de disponibilité.

Importante

Exchange Online clés de disponibilité peuvent être effectivement déployées par les clients qui créent un nouveau DEP, car une clé de disponibilité unique est générée pour chaque DEP que vous créez. Les clés de disponibilité pour SharePoint, Microsoft OneDrive pour les fichiers professionnels ou scolaires et Les fichiers Teams existent au niveau de la forêt et sont partagées entre les programmes DEP et les clients, ce qui signifie que le déploiement se produit uniquement selon une planification définie en interne par Microsoft. Pour atténuer le risque de ne pas déployer la clé de disponibilité chaque fois qu’un nouveau DEP est créé, SharePoint, OneDrive et Teams roll the tenant intermediate key (TIK), la clé encapsulée par les clés racines du client et la clé de disponibilité, chaque fois qu’un nouveau DEP est créé.

À propos du déploiement des clés racines gérées par le client

Il existe deux façons de déployer des clés racines gérées par le client : la mise à jour des clés existantes en demandant une nouvelle version de la clé et l’actualisation de la clé DEP, ou la création et l’utilisation d’une clé et d’une deP nouvellement générées. Vous trouverez des instructions pour chaque méthode de déploiement de vos clés dans la section suivante.

Demander une nouvelle version de chaque clé racine existante que vous souhaitez roll

Pour demander une nouvelle version d’une clé existante, vous utilisez la même applet de commande, Add-AzKeyVaultKey, avec la même syntaxe et le même nom de clé que vous avez utilisés à l’origine pour créer la clé. Une fois que vous avez terminé de déployer une clé associée à une stratégie de chiffrement des données (DEP), vous exécutez une autre applet de commande pour actualiser la clé DEP existante afin de vous assurer que la clé client utilise la nouvelle clé. Effectuez cette étape dans chaque azure Key Vault (AKV).

Par exemple :

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Exécutez l’applet de commande Add-AzKeyVaultKey comme indiqué dans l’exemple suivant :

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Dans cet exemple, étant donné qu’une clé nommée Contoso-CK-EX-NA-VaultA1-Key001 existe dans le coffre Contoso-CK-EX-NA-VaultA1 , l’applet de commande crée une nouvelle version de la clé. Cette opération conserve les versions précédentes de la clé dans l’historique des versions de la clé. Vous avez besoin de la version précédente de la clé pour déchiffrer les données qu’elle chiffre toujours. Une fois que vous avez terminé le déploiement d’une clé associée à un DEP, exécutez une applet de commande supplémentaire pour vous assurer que la clé client commence à utiliser la nouvelle clé. Les sections suivantes décrivent les applets de commande plus en détail.

    Mettre à jour les clés pour les programmes d’administration à charge de travail multiples

    Lorsque vous déployez l’une des clés Azure Key Vault associées à un DEP utilisé avec plusieurs charges de travail, vous devez mettre à jour le DEP pour qu’il pointe vers la nouvelle clé. Ce processus ne fait pas pivoter la clé de disponibilité. La propriété DataEncryptionPolicyID ne change pas lorsque vous la mettez à jour avec une nouvelle version de la même clé.

    Pour indiquer à Customer Key d’utiliser la nouvelle clé pour chiffrer plusieurs charges de travail, procédez comme suit :

    1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur général ou d’administrateur de conformité dans votre organization, connectez-vous à Exchange Online PowerShell.

    2. Exécutez l’applet de commande Set-M365DataAtRestEncryptionPolicy :

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      Policy est le nom ou l’ID unique de la stratégie.

    Mettre à jour les clés pour Exchange Online p.D.P.P.

    Lorsque vous rollez l’une des clés Azure Key Vault associées à un DEP utilisé avec Exchange Online, vous devez mettre à jour le DEP pour qu’il pointe vers la nouvelle clé. Cette action ne fait pas pivoter la clé de disponibilité. La propriété DataEncryptionPolicyID de la boîte aux lettres ne change pas lorsque vous la mettez à jour avec une nouvelle version de la même clé.

    Pour indiquer à Customer Key d’utiliser la nouvelle clé pour chiffrer les boîtes aux lettres, procédez comme suit :

    1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur général ou d’administrateur de conformité dans votre organization, connectez-vous à Exchange Online PowerShell.

    2. Exécutez l’applet de commande Set-DataEncryptionPolicy :

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      Policy est le nom ou l’ID unique de la stratégie.

Utilisation d’une clé nouvellement générée pour votre DEP

Lorsque vous choisissez d’utiliser des clés nouvellement générées au lieu de mettre à jour les clés existantes, le processus de mise à jour de vos stratégies de chiffrement des données diffère. Au lieu d’actualiser une stratégie existante, vous devez créer et affecter une stratégie de chiffrement des données adaptée à la nouvelle clé.

  1. Pour créer une clé et l’ajouter à votre coffre de clés, suivez les instructions fournies dans Ajouter une clé à chaque coffre de clés en créant ou en important une clé.

  2. Une fois ajouté à votre coffre de clés, vous devez créer une stratégie de chiffrement des données avec l’URI de clé de la clé nouvellement créée. Vous trouverez des instructions sur la création et l’attribution de stratégies de chiffrement des données dans Gérer la clé client pour Microsoft 365.

Mettre à jour les clés pour les fichiers SharePoint, OneDrive professionnel ou scolaire et Teams

SharePoint ne vous permet de rouler qu’une seule clé à la fois. Si vous souhaitez déployer les deux clés dans un coffre de clés, attendez que la première opération se termine. Microsoft vous recommande d’échelonner vos opérations pour éviter ce problème. Lorsque vous rollez l’une des clés Azure Key Vault associées à un DEP utilisé avec SharePoint et OneDrive pour le travail ou l’établissement scolaire, vous devez mettre à jour le DEP pour qu’il pointe vers la nouvelle clé. Cette action ne fait pas pivoter la clé de disponibilité.

  1. Exécutez l’applet de commande Update-SPODataEncryptionPolicy comme suit :

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Bien que cette applet de commande démarre l’opération de roll de clé pour SharePoint et OneDrive pour le travail ou l’école, l’action ne se termine pas immédiatement.

  2. Pour voir la progression de l’opération de roll de clé, exécutez l’applet de commande Get-SPODataEncryptionPolicy comme suit :

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>