FAQ sur le chiffrement à double clé

Vous pouvez utiliser des étiquettes DKE pour protéger les documents à l’aide des versions de bureau de Word, Excel, PowerPoint et Outlook sur Windows. Pour vous assurer que vous utilisez une version prise en charge des applications Office, consultez les tableaux des fonctionnalités et la ligne Chiffrement à double clé (DKE).

Oui. L’utilisation peut utiliser l’étiquetage de confidentialité intégré avec les applications Office. Pour plus d’informations, consultez les tables de fonctionnalités et la ligne Double Key Encryption (DKE). Bien que vous puissiez utiliser le client de protection des informations pour protéger les documents avec chiffrement à double clé pour l’instant, cette méthode sera déconseillée à l’avenir.

Le chiffrement à double clé chiffre vos données avec deux clés. Votre clé de chiffrement est sous votre contrôle et la deuxième clé est stockée dans Microsoft Azure, ce qui vous permet de déplacer vos données chiffrées vers le cloud. HYOK protège votre contenu avec une seule clé et la clé est toujours locale.

Vous pouvez partager des documents chiffrés à double clé avec des utilisateurs sur un locataire distinct, à condition que ces utilisateurs :

• Disposez de l’autorisation requise pour accéder à votre clé dans votre service de chiffrement à double clé.

• Disposez de l’autorisation requise pour accéder à votre clé dans Microsoft Azure.

Le déploiement du chiffrement à double clé n’affecte pas votre configuration HYOK existante. Toutefois, nous vous recommandons de commencer à utiliser le chiffrement à double clé parallèlement à HYOK.

DKE ne prend pas en charge ces environnements, car le service nécessite l’accès à Microsoft Azure.

Vous pouvez stocker des documents chiffrés à double clé localement ou dans le cloud. Dans le cloud, vous pouvez déplacer du contenu chiffré vers SharePoint Online et OneDrive Entreprise. Vous ne pouvez pas afficher les documents chiffrés en ligne dans Office Web Apps.

Les étiquettes DKE sont localisées dans les mêmes langues que les autres étiquettes de confidentialité dans Protection des données Microsoft Purview. Le chiffrement à double clé est disponible dans le monde entier.

Non. Vous ne pouvez pas ajouter DKE à une étiquette après l’avoir créée. Au lieu de cela, vous devez choisir Utiliser le chiffrement à double clé et fournir l’URL de votre service de chiffrement à double clé lorsque vous créez l’étiquette.

Pour obtenir des instructions sur le roulement (également appelé rotation ou nouvelle clé) de la clé que vous stockez dans Azure, consultez Opérations pour votre clé de locataire Azure Information Protection. Pour plus d’informations sur la création d’une clé pour le service DKE, consultez Paramètres de locataire et de clé . Lorsque vous créez une clé, vous configurez un nom et un GUID. Ensuite, si vous faites pivoter une clé, vous conservez l’ancien enregistrement avec le nom et le GUID, mais ajoutez un nouvel enregistrement avec le même nom mais un GUID différent. La nouvelle clé est définie comme active afin que l’API de clé publique commence à la retourner pour un nouveau chiffrement. Les deux clés sont disponibles pour le déchiffrement afin que le nouveau contenu et l’ancien contenu puissent être déchiffrés.

Le droit d’afficher du contenu protégé par DKE nécessite que les utilisateurs s’authentifient auprès des points de terminaison gérés par votre organization. Si les utilisateurs de votre organization ne peuvent pas afficher le contenu protégé par DKE, passez en revue la configuration des paramètres d’accès de clé.

• Avant 2402 : aucune prise en charge mTLS.

• Après 2402 : les applications ne prennent pas en charge l’envoi de la certification cliente. Au lieu de cela, les applications de bureau envoient la requête avec WINHTTP_NO_CLIENT_CERT_CONTEXT. Pour plus d’informations, consultez SSL dans WinHTTP - Applications Win32.