Partager via

Echanger ou alterner entre une clé client ou de disponibilité

Attention

Roll an encryption key used with Customer Key only if required by your organization security or compliance policies.

Ne supprimez ni ne désactivez aucune clé, y compris les versions antérieures, qui sont ou étaient associées à des stratégies de chiffrement. Lorsque vous lancez vos clés, certains contenus peuvent toujours être chiffrés avec les clés précédentes.

Par exemple :

  • Les boîtes aux lettres actives sont fréquemment rechiffrées, mais les boîtes aux lettres inactives, déconnectées ou désactivées peuvent encore utiliser des clés plus anciennes.
  • SharePoint conserve le contenu de sauvegarde pour la restauration et la récupération, qui peut également s’appuyer sur des clés plus anciennes.

À propos du déploiement de la clé de disponibilité

Microsoft ne fournit pas aux clients un contrôle direct sur la clé de disponibilité. Par exemple, vous pouvez uniquement restaurer les clés que vous gérez dans Azure Key Vault.

Microsoft 365 déploie la clé de disponibilité selon une planification interne. Il n’existe aucun contrat de niveau de service (SLA) côté client pour ces rotations de clés. Microsoft 365 utilise le code de service pour faire pivoter automatiquement la clé de disponibilité. Dans certains cas, les administrateurs Microsoft peuvent lancer le processus, mais la clé est déployée via des mécanismes automatisés qui n’autorisent pas l’accès direct au magasin de clés.

Les administrateurs Microsoft n’ont pas d’accès provisionné au magasin de secrets de clé de disponibilité. Le processus propagé utilise le même mécanisme que celui qui génère la clé lors de l’approvisionnement initial.

Pour plus d’informations, consultez Comprendre la clé de disponibilité.

Importante

Pour Exchange, vous pouvez déployer efficacement la clé de disponibilité en créant une nouvelle stratégie de chiffrement des données (DEP). Chaque nouveau DEP génère une clé de disponibilité unique.

En revanche, les clés de disponibilité pour la clé client dans SharePoint et OneDrive sont créées au niveau de la forêt et partagées entre les points de terminaison et les clients. Ces clés sont déployées uniquement selon une planification interne définie par Microsoft.

Pour réduire le risque de ne pas déployer la clé de disponibilité avec chaque nouveau DEP, SharePoint, OneDrive et Teams roll the tenant intermediate key (TIK) chaque fois que vous créez un DEP. La clé TIK est la clé encapsulée à la fois par les clés racines du client et par la clé de disponibilité.

À propos du déploiement des clés racines gérées par le client

Il existe deux façons de déployer des clés racines gérées par le client :

  • Mettez à jour la clé existante en demandant une nouvelle version et en actualisant la stratégie de chiffrement des données (DEP) associée.
  • Créez et utilisez une clé nouvellement générée avec un nouveau DEP.

Des instructions pour les deux méthodes sont fournies dans la section suivante.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Demander une nouvelle version de chaque clé racine existante que vous souhaitez roll

Pour demander une nouvelle version d’une clé existante, utilisez la même applet de commande, Add-AzKeyVaultKey, avec la même syntaxe et le même nom de clé que vous avez utilisés lors de la création de la clé d’origine.

Une fois que vous avez terminé de déployer une clé associée à une stratégie de chiffrement des données (DEP), exécutez une applet de commande distincte pour actualiser le DEP et vérifier que la clé client utilise la nouvelle version. Répétez ce processus dans chaque azure Key Vault (AKV).

Exemple :

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Exécutez l’applet de Add-AzKeyVaultKey commande :

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Dans cet exemple, une clé nommée Contoso-CK-EX-NA-VaultA1-Key001 existe déjà dans le coffre Contoso-CK-EX-NA-VaultA1. L’applet de commande crée une nouvelle version de la clé. Les versions précédentes sont conservées dans l’historique des versions de la clé.

    Vous devez accéder à la version précédente pour déchiffrer tout contenu qui est encore chiffré avec celle-ci.

    Une fois que vous avez terminé le déploiement d’une clé associée à un DEP, exécutez une autre applet de commande pour vous assurer que la clé client commence à utiliser la nouvelle version. Les sections suivantes décrivent ces applets de commande plus en détail.

    Mettre à jour les clés pour les programmes d’administration à charge de travail multiples

    Lorsque vous déployez l’une des clés Azure Key Vault associées à une stratégie de chiffrement des données (DEP) utilisée sur plusieurs charges de travail, vous devez mettre à jour le DEP pour référencer la nouvelle version de clé. Cette action ne fait pas pivoter la clé de disponibilité.

    La DataEncryptionPolicyID propriété reste la même lors de la mise à jour du DEP avec une nouvelle version de la même clé.

    Pour indiquer à la clé client d’utiliser la nouvelle clé pour le chiffrement sur plusieurs charges de travail, procédez comme suit :

    1. Sur votre ordinateur local, utilisez un compte professionnel ou scolaire avec les autorisations appropriées et connectez-vous à Exchange PowerShell.

    2. Exécutez l’applet de Set-M365DataAtRestEncryptionPolicy commande :

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    Paramètre Description
    -Identity Nom unique ou GUID de la stratégie de chiffrement des données

    Mettre à jour les clés pour les programmes DEP Exchange

    Lorsque vous déployez l’une des clés Azure Key Vault associées à une stratégie de chiffrement des données (DEP) utilisée avec Exchange, vous devez mettre à jour le DEP pour référencer la nouvelle version de clé. Cette étape ne fait pas pivoter la clé de disponibilité.

    La DataEncryptionPolicyID propriété de la boîte aux lettres reste la même lors de la mise à jour de la stratégie avec une nouvelle version de la même clé.

    Pour indiquer à la clé client d’utiliser la nouvelle clé pour le chiffrement de boîte aux lettres, procédez comme suit :

    1. Sur votre ordinateur local, utilisez un compte professionnel ou scolaire avec les autorisations appropriées et connectez-vous à Exchange PowerShell.

    2. Exécutez l’applet de Set-DataEncryptionPolicy commande :

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    Paramètre Description
    -Identity Nom unique ou GUID de la stratégie de chiffrement des données

Utiliser une clé nouvellement générée pour votre DEP

Si vous choisissez d’utiliser des clés nouvellement générées au lieu de mettre à jour les clés existantes, le processus de mise à jour de vos stratégies de chiffrement des données est différent. Au lieu d’actualiser une stratégie existante, vous devez créer et affecter une nouvelle stratégie de chiffrement des données qui fait référence à la nouvelle clé.

  1. Pour créer une clé et l’ajouter à votre coffre de clés, suivez les étapes décrites dans Ajouter une clé à chaque coffre de clés en créant ou en important une clé.

  2. Après avoir ajouté la clé à votre coffre de clés, créez une stratégie de chiffrement des données à l’aide de l’URI de clé de la clé nouvellement générée. Pour obtenir des instructions détaillées, consultez Gérer la clé client pour Microsoft 365.

Mettre à jour les clés pour SharePoint et OneDrive

SharePoint prend en charge le roulement d’une seule clé à la fois. Si vous envisagez de déployer les deux clés dans un coffre de clés, attendez que la première opération se termine avant de commencer la seconde. Pour éviter les conflits, Microsoft recommande d’échelonner vos opérations.

Lorsque vous déployez l’une des clés Azure Key Vault associées à une stratégie de chiffrement des données (DEP) utilisée avec SharePoint et OneDrive, vous devez mettre à jour la clé DEP pour référencer la nouvelle clé. Ce processus ne fait pas pivoter la clé de disponibilité.

  1. Pour lancer une clé pour SharePoint et OneDrive, exécutez l’applet de Update-SPODataEncryptionPolicy commande :

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Cette applet de commande démarre l’opération de roll de clé, mais la modification ne prend pas effet immédiatement.

  2. Pour mettre à jour une stratégie SharePoint et OneDrive à l’aide de clés stockées dans un HSM managé, exécutez la commande suivante :

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. Pour case activée la progression de l’opération de roll de clé, exécutez :

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
  • Last updated on