Vous avez des questions sur le fonctionnement du chiffrement à double clé que nous n’avons pas couvertes ailleurs ? Recherchez une réponse ici.
Quelles Microsoft 365 Apps puis-je utiliser avec DKE ?
Vous pouvez utiliser des étiquettes DKE pour protéger les documents à l’aide des versions de bureau de Word, Excel, PowerPoint et Outlook sur Windows. Pour vous assurer que vous utilisez une version prise en charge des applications Office, consultez les tableaux des fonctionnalités et la ligne Chiffrement à double clé (DKE).
Puis-je utiliser le chiffrement à double clé avec l’étiquetage de confidentialité intégré à Microsoft Office ?
Oui. L’utilisation peut utiliser l’étiquetage de confidentialité intégré avec les applications Office. Pour plus d’informations, consultez les tables de fonctionnalités et la ligne Double Key Encryption (DKE). Bien que vous puissiez utiliser le client de protection des informations pour protéger les documents avec chiffrement à double clé pour l’instant, cette méthode sera déconseillée à l’avenir.
En quoi le chiffrement à double clé est-il différent de la solution HYOK (Hold Your Own Key) existante ?
Le chiffrement à double clé chiffre vos données avec deux clés. Votre clé de chiffrement est sous votre contrôle et la deuxième clé est stockée dans Microsoft Azure, ce qui vous permet de déplacer vos données chiffrées vers le cloud. HYOK protège votre contenu avec une seule clé et la clé est toujours locale.
Les documents chiffrés à double clé peuvent-ils être partagés en externe ?
Vous pouvez partager des documents chiffrés à double clé avec des utilisateurs sur un locataire distinct, à condition que ces utilisateurs :
Disposez de l’autorisation requise pour accéder à votre clé dans votre service de chiffrement à double clé.
Disposez de l’autorisation requise pour accéder à votre clé dans Microsoft Azure.
Qu’advient-il des documents protégés par HYOK ?
Le déploiement du chiffrement à double clé n’affecte pas votre configuration HYOK existante. Toutefois, nous vous recommandons de commencer à utiliser le chiffrement à double clé parallèlement à HYOK.
Puis-je exécuter le chiffrement à double clé dans mon environnement non-Microsoft avec air-gapped ?
DKE ne prend pas en charge ces environnements, car le service nécessite l’accès à Microsoft Azure.
Où puis-je stocker des documents chiffrés à double clé ?
Vous pouvez stocker des documents chiffrés à double clé localement ou dans le cloud. Dans le cloud, vous pouvez déplacer du contenu chiffré vers SharePoint Online et OneDrive Entreprise. Vous ne pouvez pas afficher les documents chiffrés en ligne dans Office Web Apps.
Dans quelles régions et langues le chiffrement à double clé est-il disponible ? Le chiffrement à double clé est-il disponible dans le monde entier ?
Les étiquettes DKE sont localisées dans les mêmes langues que les autres étiquettes de confidentialité dans Protection des données Microsoft Purview. Le chiffrement à double clé est disponible dans le monde entier.
Puis-je convertir une étiquette non DKE en étiquette DKE ?
Non. Vous ne pouvez pas ajouter DKE à une étiquette après l’avoir créée. Au lieu de cela, vous devez choisir Utiliser le chiffrement à double clé et fournir l’URL de votre service de chiffrement à double clé lorsque vous créez l’étiquette.
Comment faire rouler mes clés DKE ?
Pour obtenir des instructions sur le roulement (également appelé rotation ou nouvelle clé) de la clé que vous stockez dans Azure, consultez Opérations pour votre clé de locataire Azure Information Protection. Pour plus d’informations sur la création d’une clé pour le service DKE, consultez Paramètres de locataire et de clé . Lorsque vous créez une clé, vous configurez un nom et un GUID. Ensuite, si vous faites pivoter une clé, vous conservez l’ancien enregistrement avec le nom et le GUID, mais ajoutez un nouvel enregistrement avec le même nom mais un GUID différent. La nouvelle clé est définie comme active afin que l’API de clé publique commence à la retourner pour un nouveau chiffrement. Les deux clés sont disponibles pour le déchiffrement afin que le nouveau contenu et l’ancien contenu puissent être déchiffrés.
Pourquoi ne puis-je pas accéder aux documents chiffrés à double clé ?
Le droit d’afficher du contenu protégé par DKE nécessite que les utilisateurs s’authentifient auprès des points de terminaison gérés par votre organization. Si les utilisateurs de votre organization ne peuvent pas afficher le contenu protégé par DKE, passez en revue la configuration des paramètres d’accès de clé.
Quel type de sécurité de couche de transport mutuel (mTLS) est pris en charge avec le service DKE sur les applications de bureau Office sur Windows ?
Avant 2402 : aucune prise en charge mTLS.
Après 2402 : les applications ne prennent pas en charge l’envoi de la certification cliente. Au lieu de cela, les applications de bureau envoient la requête avec
WINHTTP_NO_CLIENT_CERT_CONTEXT
. Pour plus d’informations, consultez SSL dans WinHTTP - Applications Win32.