Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft 365 fournit un chiffrement de base au niveau du volume via BitLocker et Distributed Key Manager (DKM). Les disques de PC Windows 365 Entreprise et Business Cloud sont chiffrés à l’aide du chiffrement côté serveur Azure Storage (SSE).
Pour vous donner plus de contrôle, Microsoft 365 offre également une couche de chiffrement supplémentaire pour votre contenu via la clé client. Ce contenu inclut des données provenant de Microsoft Exchange, SharePoint, OneDrive, Teams et Windows 365 PC cloud (Entreprise), y compris Windows 365 les modes dédiés de première ligne et partagés.
BitLocker n’est pas pris en charge en tant qu’option de chiffrement pour Windows 365 PC cloud. Pour plus d’informations, consultez Utilisation de machines virtuelles Windows 10 dans Intune.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
Comment le chiffrement de service, BitLocker, SSE et la clé client fonctionnent ensemble
Vos données Microsoft 365 sont toujours chiffrées au repos à l’aide de BitLocker et de Distributed Key Manager (DKM). Pour plus d’informations, voir Comment Exchange sécurise vos secrets de messagerie.
La clé client ajoute une protection supplémentaire contre les accès non autorisés à vos données. Il complète le chiffrement de disque BitLocker et le chiffrement côté serveur (SSE) dans les centres de données Microsoft. La clé client vous aide à répondre aux exigences de conformité ou réglementaires en vous permettant de contrôler les clés de chiffrement racine au niveau de l’application.
Vous autorisez explicitement Microsoft 365 à utiliser vos clés de chiffrement pour fournir des services à valeur ajoutée tels que eDiscovery, anti-programme malveillant, anti-courrier indésirable et l’indexation de recherche. Microsoft 365 utilise ces clés pour chiffrer vos données au repos, comme décrit dans les Conditions des services en ligne (OST).
Clé client avec déploiements hybrides
La clé client chiffre uniquement les données au repos dans le cloud. Il ne protège pas les boîtes aux lettres ou les fichiers locaux. Pour protéger les données locales, utilisez une méthode distincte comme BitLocker.
En savoir plus sur les stratégies de chiffrement des données
Une stratégie de chiffrement des données (DEP) définit la hiérarchie de chiffrement. Les services utilisent cette hiérarchie pour chiffrer les données avec les clés que vous gérez et la clé de disponibilité que Microsoft protège. Vous créez un DEP à l’aide d’applets de commande PowerShell, puis vous l’attribuez pour chiffrer les données d’application.
La clé client prend en charge trois types de POINTS DEP. Chaque type utilise des applets de commande différentes et protège un type de données différent :
DEP pour plusieurs charges de travail Microsoft 365
Ces programmes DEP chiffrent les données sur plusieurs charges de travail Microsoft 365 pour tous les utilisateurs du locataire :
- Windows 365 PC Cloud (Entreprise), y compris les modes dédiés de première ligne et partagés (détails)
- Teams : messages de conversation, messages multimédias, appels/enregistrements de réunion (dans le stockage Teams), notifications, suggestions Cortana, status messages
- interactions Microsoft 365 Copilot
- Exchange : informations utilisateur/signal et boîtes aux lettres non couvertes par un DEP de boîte aux lettres
- Protection des données Microsoft Purview : données EDM (schémas, packages de règles, sels), configurations d’étiquettes de confidentialité
Remarque
Pour EDM et Teams, le DEP chiffre les nouvelles données à partir de l’affectation. Pour Exchange, il chiffre toutes les données existantes et nouvelles.
Non chiffré par les programmes DEP multi-charge de travail (protégés par d’autres méthodes) :
- Données SharePoint et OneDrive (utiliser SharePoint DEP)
- Fichiers et enregistrements Teams enregistrés dans SharePoint/OneDrive
- Événements en direct Teams, Viva Engage, Planificateur
Vous pouvez créer plusieurs POINTS DEP par locataire, mais n’en affecter qu’une seule à la fois. Le chiffrement commence automatiquement après l’affectation.
Deps pour les boîtes aux lettres Exchange
Les adresses DEP de boîte aux lettres vous permettent de mieux contrôler les boîtes aux lettres Exchange Online individuelles. Vous pouvez les utiliser pour chiffrer des données dans les boîtes aux lettres UserMailbox, MailUser, Group, PublicFolder et Shared.
Vous pouvez avoir jusqu’à 50 adresses DEP de boîte aux lettres actives par locataire. Vous pouvez affecter un DEP à plusieurs boîtes aux lettres, mais une seule DEP par boîte aux lettres.
Par défaut, les boîtes aux lettres Exchange sont chiffrées à l’aide de clés gérées par Microsoft. Lorsque vous affectez une clé client DEP, le service réencapsitre les boîtes aux lettres chiffrées existantes lors du prochain accès. Les boîtes aux lettres non chiffrées sont marquées pour un déplacement, le chiffrement se produisant une fois le déplacement terminé. Pour plus d’informations sur les priorités de déplacement, consultez Déplacer des demandes dans le service Microsoft 365.
Vous pouvez actualiser ultérieurement le programme DEP ou en affecter un autre, comme décrit dans Gérer la clé client pour Office 365.
Chaque boîte aux lettres doit respecter les exigences de licence pour utiliser la clé client. Pour plus d’informations, consultez Prérequis.
Vous pouvez affecter des POINTS DE à des boîtes aux lettres partagées, publiques et de groupe tant que votre locataire répond aux exigences de licence pour les boîtes aux lettres utilisateur. Vous n’avez pas besoin de licences distinctes pour les boîtes aux lettres non spécifiques à l’utilisateur.
Vous pouvez également demander à Microsoft de vider des points de terminaison spécifiques lors de la sortie du service. La révocation de l’accès à vos clés déclenche la suppression de la clé de disponibilité, ce qui entraîne la suppression par chiffrement de vos données. Pour plus d’informations, consultez Révoquer vos clés et démarrer le processus de vidage des données.
DEP pour SharePoint et OneDrive
Ce DEP chiffre le contenu stocké dans SharePoint et OneDrive, y compris les fichiers Teams stockés dans SharePoint. Les locataires multigéographiques peuvent créer un DEP par zone géographique ; les locataires géographiques uniques peuvent créer un dep. Pour obtenir des instructions d’installation, consultez Configurer la clé client.
Chiffrements de chiffrement utilisés par la clé client
La clé client utilise différents chiffrements pour protéger les clés, comme illustré dans les diagrammes suivants.
La hiérarchie de clés utilisée pour les deps de chiffrement des données sur plusieurs charges de travail Microsoft 365 est similaire à celle utilisée pour les boîtes aux lettres Exchange individuelles. La clé de charge de travail Microsoft 365 correspondante remplace la clé de boîte aux lettres.
Chiffrements de chiffrement utilisés pour chiffrer les clés pour Exchange
Chiffrements utilisés pour chiffrer les clés pour SharePoint et OneDrive
