Chiffrement de service

En plus d’utiliser le chiffrement au niveau du volume, Exchange Online, Microsoft Teams, SharePoint Online et OneDrive Entreprise également utiliser service encryption pour chiffrer les données client. Service Encryption permet deux options de gestion des clés :

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Clés gérées par Microsoft

Microsoft gère toutes les clés de chiffrement, y compris les clés racines pour le chiffrement de service. Cette option est actuellement activée par défaut pour Exchange Online, SharePoint Online OneDrive Entreprise. Les clés gérées par Microsoft fournissent un chiffrement de service par défaut, sauf si vous décidez d’intégrer à l’aide de la clé client. Si, à une date ultérieure, vous décidez d’arrêter d’utiliser la clé client sans suivre le chemin de vidage des données, vos données restent chiffrées à l’aide des clés gérées par Microsoft. Vos données sont toujours chiffrées à ce niveau par défaut au minimum.

Clé client

Vous fournissez les clés racines utilisées avec le chiffrement de service et vous gérez ces clés à l’aide d’Azure Key Vault. Microsoft gère toutes les autres clés. Cette option, appelée Clé client, est actuellement disponible pour Exchange Online, SharePoint Online et OneDrive Entreprise. (Précédemment appelé Chiffrement avancé avec BYOK.)

Le chiffrement de service offre plusieurs avantages :

• Fournit une couche de protection supplémentaire sur BitLocker.

• Permet de séparer les administrateurs du système d’exploitation Windows de l’accès aux données d’application stockées ou traitées par le système d’exploitation.

• Inclut une option clé client qui permet aux services multilocataires de fournir une gestion des clés par locataire.

• Améliore la capacité de Microsoft 365 à répondre aux demandes des clients qui ont des exigences de conformité spécifiques en matière de chiffrement.

À l’aide de la clé client, vous pouvez générer vos propres clés de chiffrement. Vous pouvez utiliser un module de service matériel (HSM) local ou Azure Key Vault (AKV) pour générer vos clés. AKV vous permet de contrôler et de gérer les clés de chiffrement utilisées par Microsoft 365. La clé client utilise les clés stockées dans l’AKV comme racine de l’un des trousseaux qui chiffrent les données ou fichiers de votre boîte aux lettres.

La clé client vous permet de mieux contrôler la façon dont Microsoft traite vos données. Par exemple, vous pouvez utiliser la clé client comme contrôle technique si vous souhaitez mettre fin au service avec Microsoft ou supprimer une partie de vos données stockées dans le cloud. La suppression de données garantit que personne, y compris Microsoft, ne peut accéder aux données ou les traiter. La clé client est en plus et complémentaire à Customer Lockbox que vous utilisez pour contrôler l’accès à vos données par le personnel Microsoft.

Pour savoir comment configurer la clé client pour Exchange Online, Microsoft Teams, SharePoint Online, y compris les sites d’équipe et OneDrive Entreprise, consultez les articles suivants :

• Chiffrement de service avec la clé client Microsoft Purview

• Configurer la clé client

• Gérer la clé client

• Echanger ou alterner entre une clé client ou de disponibilité

• Comprendre la clé de disponibilité