Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La clé de disponibilité est une clé racine qui est automatiquement générée et approvisionnée lorsque vous créez une stratégie de chiffrement des données (DEP). Microsoft 365 stocke et protège cette clé.
La clé de disponibilité fonctionne comme les deux clés racines que vous fournissez pour la clé client. Il encapsule les clés d’un niveau inférieur dans la hiérarchie de clés. Contrairement aux clés que vous gérez dans Azure Key Vault, vous ne pouvez pas accéder directement à la clé de disponibilité. Les services automatisés Microsoft 365 le gèrent et l’utilisent par programmation.
Son objectif principal est de prendre en charge la récupération après une perte inattendue des clés racines que vous gérez (par exemple, par le biais d’une mauvaise gestion ou d’actions malveillantes). Si vous perdez le contrôle de vos clés racines, contactez Support Microsoft pour récupérer des données chiffrées avec la clé de disponibilité et migrer vers un nouveau DEP avec les nouvelles clés racines que vous provisionnez.
La clé de disponibilité diffère des clés Azure Key Vault de trois façons :
- Il fournit une option de récupération ou de secours si les deux clés de Key Vault Azure sont perdues.
- La séparation logique du contrôle et du stockage ajoute une défense en profondeur et permet d’éviter la perte totale de clés ou de données en raison d’une seule défaillance.
- Il prend en charge la haute disponibilité pendant les problèmes d’accès temporaires à Azure Key Vault pour le chiffrement du service Exchange ou multi-charges de travail. SharePoint et OneDrive utilisent uniquement la clé de disponibilité pendant une récupération explicite que vous demandez.
Microsoft partage la responsabilité de la protection de vos données par le biais de processus et de protections de gestion de clés en couche. Cette approche réduit le risque de perte de clé ou de données permanente. Vous êtes seul autorisé à désactiver ou à détruire la clé de disponibilité si vous quittez le service. Par conception, personne chez Microsoft ne peut accéder directement à la clé de disponibilité ; seul le code de service Microsoft 365 peut l’utiliser.
Pour plus d’informations sur la façon dont Microsoft sécurise les clés, consultez le Centre de gestion de la confidentialité Microsoft.
Utilisations de la clé de disponibilité
La clé de disponibilité prend en charge la récupération si un attaquant externe ou un initié malveillant prend le contrôle de votre coffre de clés ou si une mauvaise gestion entraîne la perte des clés racines. Cette fonctionnalité de récupération s’applique à tous les services Microsoft 365 qui prennent en charge la clé client. Certains services l’utilisent également pour les scénarios de haute disponibilité limités.
Comportement partagé :
- Récupération : prend en charge le déchiffrement des données afin que vous puissiez les chiffrer à nouveau avec un nouveau DEP et de nouvelles clés client.
- Utilisation par programmation uniquement : Access s’effectue via le code du service Microsoft 365. Il n’y a pas d’accès administrateur direct.
- Ne remplace pas les clés opérationnelles : vos deux clés client restent les racines de chiffrement principales.
Comportement du service par charge de travail :
En plus de la récupération, le service utilise la clé de disponibilité en cas de pannes ou d’erreurs réseau d’Azure Key Vault courtes. Cette fonctionnalité permet aux données de boîte aux lettres d’être accessibles aux tâches en arrière-plan requises :
- Analyse antivirus et anti-programme malveillant
- eDiscovery
- Protection contre la perte de données Microsoft Purview
- Déplacements de boîte aux lettres
- Indexation
Si une tentative de désencapsulation avec une clé client renvoie une erreur système, Exchange tente la deuxième clé. Si les deux tentatives échouent avec des erreurs système, elle revient à la clé de disponibilité. Les erreurs d’accès refusé ne le déclenchent pas pour les actions de l’utilisateur.
Sécurité de la clé de disponibilité
Microsoft partage la responsabilité de la protection de vos données en générant la clé de disponibilité et en appliquant des contrôles stricts pour les protéger.
Les clients n’ont pas d’accès direct à la clé de disponibilité. Par exemple, vous pouvez restaurer uniquement les clés que vous gérez dans Azure Key Vault. Microsoft gère la clé de disponibilité via le code de service automatisé sans l’exposer aux utilisateurs.
Pour plus d’informations, consultez Roll or rotate a Customer Key ou an availability key.
Magasins de secrets de clé de disponibilité
Microsoft protège les clés de disponibilité dans les magasins de secrets internes à accès contrôlé, comme Azure Key Vault. Les contrôles d’accès empêchent les administrateurs Microsoft de récupérer directement les secrets stockés. Toutes les opérations (y compris la rotation et la suppression) se produisent via le code de service automatisé.
Les opérations de gestion sont limitées à des ingénieurs spécifiques et nécessitent une escalade des privilèges via Lockbox. Les demandes doivent inclure une justification, être approuvées par le responsable, limitées dans le temps et automatiquement révoquées à l’expiration ou se déconnecter.
Les clés de disponibilité Exchange et multi-charges de travail sont stockées dans un magasin de secrets Exchange Active Directory à l’intérieur de conteneurs spécifiques au locataire dans le contrôleur domaine Active Directory. Ce magasin est isolé de celui utilisé par SharePoint et OneDrive.
Les clés de disponibilité SharePoint et OneDrive sont stockées dans un magasin de secrets interne avec des serveurs frontaux fournissant des points de terminaison d’application et un back-end SQL Database. Les clés sont encapsulées avec des clés de chiffrement de magasin de secrets qui utilisent AES-256 et HMAC. Ces clés sont stockées dans une zone de base de données isolée logiquement et chiffrées à l’aide de certificats RSA-2048 émis par l’autorité de certification Microsoft. Les certificats sont stockés sur les serveurs frontaux qui effectuent des opérations de base de données.
Défense en profondeur
Microsoft utilise une stratégie de défense en profondeur pour empêcher les acteurs malveillants de compromettre la confidentialité, l’intégrité ou la disponibilité des données client stockées dans le cloud Microsoft. Des contrôles de prévention et de détection spécifiques sont en place pour protéger le magasin de secrets et la clé de disponibilité dans le cadre de cette approche de sécurité en couches.
Microsoft 365 est conçu pour empêcher toute utilisation incorrecte de la clé de disponibilité. La couche Application est la seule interface qui peut utiliser des clés (y compris la clé de disponibilité) pour le chiffrement et le déchiffrement. Seul le code de service Microsoft 365 peut interpréter et parcourir la hiérarchie de clés. Il existe une isolation logique entre les emplacements de stockage des clés client, des clés de disponibilité, d’autres clés hiérarchiques et des données client. Cette séparation réduit le risque d’exposition des données si un emplacement est compromis. Chaque couche de la hiérarchie de clés inclut une détection continue des intrusions pour protéger les données stockées et les secrets.
Les contrôles d’accès empêchent l’accès non autorisé aux systèmes internes, notamment aux magasins de secrets de clé de disponibilité. Les ingénieurs Microsoft n’ont pas d’accès direct à ces magasins. Pour plus d’informations, consultez Contrôles d’accès administratifs dans Microsoft 365.
Les contrôles techniques empêchent également le personnel Microsoft de se connecter à des comptes de service à privilèges élevés, que les attaquants pourraient utiliser autrement pour emprunter l’identité des services Microsoft. Ces contrôles bloquent les tentatives de connexion interactive.
La journalisation et la surveillance de la sécurité sont d’autres mesures de protection dans l’approche de défense en profondeur de Microsoft. Les équipes de service déploient des solutions de surveillance qui génèrent des alertes et des journaux d’audit. Tous les journaux sont chargés dans un référentiel central, où ils sont agrégés et analysés. Les outils internes évaluent automatiquement ces enregistrements pour garantir que les services restent sécurisés, résilients et fonctionnent comme prévu. Les activités inhabituelles sont signalées pour révision.
Tout événement signalant une violation potentielle de la stratégie de sécurité Microsoft est transmis aux équipes de sécurité Microsoft. Les alertes de sécurité Microsoft 365 sont configurées pour détecter les tentatives d’accès aux magasins de secrets de clé de disponibilité et les tentatives de connexion non autorisées aux comptes de service. Le système détecte également les écarts par rapport au comportement de service de référence attendu. Toute tentative d’utilisation incorrecte des services Microsoft 365 déclenche des alertes et peut entraîner la suppression du contrevenant de l’environnement Microsoft Cloud.
Utiliser la clé de disponibilité pour récupérer après une perte de clé
Si vous perdez le contrôle de vos clés client, la clé de disponibilité vous permet de déchiffrer les données affectées et de les rechiffrer sous un nouveau DEP avec de nouvelles clés client.
- Créez deux nouvelles clés client dans des abonnements Azure distincts.
- Créez un DEP Exchange.
- Affectez le DEP aux boîtes aux lettres concernées.
- Autoriser le rechiffrement en arrière-plan (peut prendre jusqu’à 72 heures). La clé de disponibilité protège les données pendant la transition.
Utilisation de la clé de disponibilité
Lorsque vous créez une stratégie de chiffrement des données (DEP) avec une clé client, Microsoft 365 génère une clé DEP associée à cette stratégie. Le service chiffre la clé DEP trois fois : une fois avec chacune de vos clés client et une fois avec la clé de disponibilité. Seules les versions chiffrées de la clé DEP sont stockées. Une clé DEP ne peut être déchiffrée qu’avec l’une des clés client ou la clé de disponibilité.
La clé DEP est utilisée pour chiffrer les clés de boîte aux lettres, qui à leur tour chiffrent des boîtes aux lettres individuelles.
Microsoft 365 utilise le processus suivant pour déchiffrer et fournir l’accès aux données de boîte aux lettres :
- Déchiffrez la clé DEP à l’aide d’une clé client.
- Utilisez la clé DEP déchiffrée pour déchiffrer la clé de boîte aux lettres.
- Utilisez la clé de boîte aux lettres déchiffrée pour déchiffrer la boîte aux lettres et fournir l’accès aux données.
Déclencheurs de clé de disponibilité
Microsoft 365 déclenche la clé de disponibilité uniquement dans des circonstances spécifiques, et ces circonstances diffèrent selon le service.
Microsoft 365 suit cette séquence lorsqu’il a besoin d’une clé DEP pour une opération de boîte aux lettres :
- Il lit la stratégie de chiffrement des données (DEP) affectée à la boîte aux lettres pour identifier les deux clés client stockées dans Azure Key Vault.
- Il sélectionne de manière aléatoire l’une des deux clés et envoie une requête à Azure Key Vault pour désencapsuler (déchiffrer) la clé DEP.
- Si cette demande échoue, elle envoie une deuxième requête à l’aide de la clé de remplacement.
- Si les deux demandes échouent, Microsoft 365 évalue le type d’échec :
- Erreurs système (par exemple, service Azure Key Vault indisponible, délais d’expiration, erreurs réseau temporaires) : la clé de disponibilité est utilisée pour désencapsuler la clé DEP. La clé DEP déchiffre ensuite la clé de boîte aux lettres et le service termine l’opération.
- Erreurs d’accès refusé (clé supprimée, suppression des autorisations, suppression intentionnelle ou accidentelle pendant les processus de vidage) : la clé de disponibilité n’est pas utilisée pour les actions lancées par l’utilisateur. La demande de l’utilisateur échoue et retourne une erreur.
Importante
Le code de service conserve des jetons valides pour le traitement interne requis. Tant que vous n’avez pas supprimé la clé de disponibilité, les opérations Exchange internes (telles que le déplacement de boîtes aux lettres, l’indexation, l’analyse antivirus, eDiscovery, DLP) peuvent toujours revenir à la clé de disponibilité lorsque les deux clés client sont inaccessibles, que la cause soit une erreur système ou un accès refusé. Cette conception permet de préserver la résilience du service pendant l’examen.
Journaux d’audit et clé de disponibilité
Le traitement en arrière-plan automatisé (antivirus, eDiscovery, DLP, indexation) ne génère pas de journaux visibles par le client ; Le personnel Microsoft n’accède pas aux données pendant les opérations normales.
Quand Exchange accède à la clé de disponibilité pour fournir le service, Microsoft 365 crée des journaux visibles par le client. Vous pouvez accéder à ces journaux à partir du portail Microsoft Purview. Chaque fois que le service utilise la clé de disponibilité, il génère une entrée de journal d’audit.
Les événements de secours créent des entrées de journal d’audit unifié :
- Type d’enregistrement : CustomerKeyServiceEncryption
- Activité : Secours à la clé de disponibilité
Les champs incluent la date, l’heure, l’activité, l’ID organization, l’ID DEP, l’ID de stratégie, l’ID de version de la clé d’étendue, l’ID de demande (schéma commun de l’activité de gestion).
Dans les détails du journal, le champ Workload affiche Exchange.
Clé de disponibilité dans la hiérarchie de clé client
Microsoft 365 utilise la clé de disponibilité pour encapsuler le niveau de clés en dessous dans la hiérarchie de chiffrement de clé client. Chaque service a une hiérarchie de clés différente. Les algorithmes de clé varient également entre les clés de disponibilité et les autres clés de la hiérarchie.
Les algorithmes de clé de disponibilité utilisés par chaque service sont les suivants :
- Les clés de disponibilité Exchange utilisent AES-256.
- Les clés de disponibilité multi-charges de travail utilisent AES-256.
- Les clés de disponibilité SharePoint et OneDrive utilisent RSA-2048.
Chiffrements de chiffrement utilisés pour chiffrer les clés pour Exchange
Chiffrements utilisés pour chiffrer les clés pour SharePoint
