Gérer la clé client

Après avoir configuré la clé client, l’étape suivante consiste à créer et à affecter une ou plusieurs stratégies de chiffrement des données (DEPs). Une fois attribués, vous pouvez gérer vos clés et stratégies de chiffrement comme décrit dans cet article.

La clé client Microsoft Purview prend également en charge Windows 365 PC cloud. Pour plus d’informations, consultez Clé client Microsoft Purview pour les PC cloud Windows 365.

Pour en savoir plus sur les concepts et la configuration de la clé client, consultez les articles connexes à la fin de cette page.

Créer un DEP à utiliser avec plusieurs charges de travail pour tous les utilisateurs du locataire

Avant de continuer, effectuez les étapes de configuration de la clé client. Pour obtenir des conseils, consultez Configurer la clé client.

Pour créer le DEP, vous devez récupérer les URI Key Vault lors de l’installation. Pour obtenir des instructions, consultez Obtenir l’URI pour chaque clé Azure Key Vault.

1. Sur votre ordinateur local, connectez-vous à l’aide d’un compte professionnel ou scolaire avec des autorisations d’administrateur de conformité et connectez-vous à Exchange Online PowerShell.

2. Exécutez l’applet de commande suivante pour créer une stratégie de chiffrement des données à plusieurs charges de travail :

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   Définitions de paramètres :

   • -Name: nom que vous souhaitez utiliser pour la stratégie. Aucun espace n’est autorisé.

   • -AzureKeyIDs: URI des deux clés Azure Key Vault utilisées dans la stratégie, séparées par des virgules.

     Exemple : "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

   • Description (facultatif) : description lisible de la stratégie.

     Exemple : "Policy for multiple workloads for all users in the tenant."

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

Affecter une stratégie multi-charges de travail

Après avoir créé une stratégie de chiffrement des données à plusieurs charges de travail (DEP), affectez-la à l’aide de l’applet de Set-M365DataAtRestEncryptionPolicyAssignment commande . Une fois attribué, Microsoft 365 chiffre les données de votre organization à l’aide des clés spécifiées dans le DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Remplacez par <PolicyName or ID> le nom ou le GUID de la stratégie.

Exemple :

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

PC Windows 365 cloud :

Après avoir affecté la stratégie, prévoyez de 3 à 4 heures pour que le centre d’administration Intune reflète la mise à jour. Une fois la mise à jour effectuée, suivez les étapes décrites dans le Centre d’administration pour chiffrer les PC cloud existants.

Pour plus d’informations, consultez Configurer des clés client pour vos PC Windows 365 Cloud.

Créer un DEP à utiliser avec des boîtes aux lettres Exchange

Avant de commencer, effectuez les étapes d’installation requises. Pour plus d’informations, consultez Configurer la clé client. Pour créer le DEP, vous aurez besoin des URI Azure Key Vault obtenus lors de l’installation. Pour plus d’informations, consultez Obtenir l’URI pour chaque clé Azure Key Vault.

Pour créer un DEP pour les boîtes aux lettres Exchange, procédez comme suit :

1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur Exchange, connectez-vous à Exchange Online PowerShell.

2. Créez un DEP à l’aide de l’applet de New-DataEncryptionPolicy commande :

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   Paramètre	Description	Exemple
   -Name	Entrez un nom pour la stratégie. Les noms ne peuvent pas contenir d’espaces.	USA_mailboxes
   -AzureKeyIDs	Entrez les URI de deux clés dans Azure coffres de clés distincts. Séparez-les par une virgule et un espace.	https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
   -Description	Description conviviale qui permet d’identifier l’objectif de la stratégie.	"Root key for mailboxes in USA and its territories"

   Exemple :

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

   Pour plus d’informations sur la syntaxe et les paramètres, consultez New-DataEncryptionPolicy.

Affecter un DEP à une boîte aux lettres

Affectez le DEP à l’aide de l’applet de Set-Mailbox commande . Une fois que vous avez attribué la stratégie, Microsoft 365 chiffre la boîte aux lettres avec les clés identifiées dans le DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Pour plus d’informations, consultez Set-Mailbox.

Affecter un DEP à des boîtes aux lettres hybrides

Dans les environnements hybrides, affectez un DEP aux données de boîte aux lettres locales synchronisées à l’aide de l’applet de commande Set-MailUser.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Pour plus d’informations, consultez Set-MailUser.

Pour en savoir plus sur la prise en charge des boîtes aux lettres hybrides, consultez Boîtes aux lettres locales utilisant Outlook pour iOS et Android avec l’authentification moderne hybride.

Affecter un DEP avant de migrer une boîte aux lettres vers le cloud

L’affectation d’une stratégie de chiffrement des données (DEP) avant la migration d’une boîte aux lettres garantit que le contenu de la boîte aux lettres est chiffré pendant la migration. Cette méthode est plus efficace que l’affectation du DEP après la migration, ce qui peut entraîner des retards pendant la fin du processus de chiffrement.

1. À l’aide d’un compte professionnel ou scolaire disposant des autorisations appropriées dans votre organization, connectez-vous à Exchange Online PowerShell.

2. Exécutez la commande suivante :

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   Paramètre	Description
   -Identity	Spécifie la boîte aux lettres utilisateur (ou l’utilisateur à extension messagerie)
   -DataEncryptionPolicy	Nom ou ID de la stratégie de chiffrement des données à appliquer.

   Pour plus d’informations, consultez Set-MailUser.

Afficher les PDP que vous avez créées pour les boîtes aux lettres Exchange

Vous pouvez afficher toutes les stratégies de chiffrement des données (DEP) créées pour les boîtes aux lettres Exchange à l’aide de PowerShell.

1. À l’aide d’un compte professionnel ou scolaire disposant des autorisations appropriées dans votre organization, connectez-vous à Exchange Online PowerShell.

2. Pour retourner toutes les PDP dans votre organization, exécutez la commande suivante :

   Get-DataEncryptionPolicy
   

   Pour obtenir des informations détaillées sur les applets de commande, consultez Get-DataEncryptionPolicy.

Déterminer le DEP affecté à une boîte aux lettres

Pour déterminer le DEP affecté à une boîte aux lettres, utilisez l’applet de commande Get-MailboxStatistics. L’applet de commande retourne un identificateur unique (GUID).

1. À l’aide d’un compte professionnel ou scolaire disposant des autorisations appropriées dans votre organization, connectez-vous à Exchange Online PowerShell.

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   Paramètre	Description
   -Identity	Spécifie la boîte aux lettres utilisateur (ou l’utilisateur à extension messagerie)
   DataEncryptionPolicyID	Retourne le GUID du DEP.

   Pour plus d’informations sur l’applet de commande Get-MailboxStatistics, consultez Get-MailboxStatistics.

2. Exécutez l’applet de commande Get-DataEncryptionPolicy pour connaître le nom convivial du dep auquel la boîte aux lettres est affectée.

   Get-DataEncryptionPolicy <GUID>
   

   Où GUID est le GUID retourné par l’applet de commande Get-MailboxStatistics à l’étape précédente.

Créer un DEP à utiliser avec SharePoint et OneDrive

Avant de commencer, veillez à effectuer les étapes de configuration requises. Pour plus d’informations, consultez Configurer la clé client.

Pour configurer la clé client pour SharePoint et OneDrive, utilisez SharePoint PowerShell.

À propos des stratégies de chiffrement des données :

Une stratégie de chiffrement des données (DEP) est associée à deux clés stockées dans des coffres de clés Azure distincts. Ces clés doivent résider dans différentes régions Azure pour éviter la géoredondance.

• Locataires géographiques uniques : vous pouvez créer un dep pour protéger toutes les données de votre zone géographique.

• Locataires multigéographiques : créez un DEP par zone géographique, chacun utilisant des clés différentes.

Vous avez besoin des URI Key Vault pour les deux clés. Pour plus d’informations, consultez Obtenir l’URI pour chaque clé Azure Key Vault.

1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire disposant des autorisations appropriées dans votre organization, connectez-vous à SharePoint PowerShell.

2. Utilisez l’applet Register-SPODataEncryptionPolicy de commande pour inscrire le DEP.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   Exemple :

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   Si vous utilisez le HSM managé : utilisez l’URL complète de la clé , y compris la version de chaque coffre.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>
   

   Exemple :

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388
   

   Remarque

   Une fois le DEP inscrit, le chiffrement des données de la zone géographique commence. Ce processus peut prendre un certain temps.

Pour obtenir une référence complète sur les applets de commande, consultez Register-SPODataEncryptionPolicy.

Vérifier que le chiffrement avec la clé client est terminé

Après avoir propagé une clé client, affecté une nouvelle stratégie de chiffrement des données (DEP) ou migré une boîte aux lettres, suivez les étapes décrites dans cette section pour vérifier que le chiffrement est terminé.

Vérifier que le chiffrement est terminé pour les boîtes aux lettres Exchange

Le chiffrement d’une boîte aux lettres peut prendre du temps. Pour le premier chiffrement, la boîte aux lettres doit être entièrement déplacée vers une nouvelle base de données avant que le chiffrement puisse se terminer.

Pour case activée si une boîte aux lettres est chiffrée, utilisez l’applet de Get-MailboxStatistics commande :

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La IsEncrypted propriété retourne true si la boîte aux lettres est chiffrée, et false si ce n’est pas le cas.

Le temps nécessaire pour effectuer le déplacement des boîtes aux lettres dépend du nombre de boîtes aux lettres chiffrées pour la première fois et de leur taille. Si une boîte aux lettres n’est pas chiffrée dans la semaine suivant l’attribution de la stratégie de chiffrement des données (DEP), contactez Support Microsoft.

Vérifier que le chiffrement est terminé pour SharePoint et OneDrive

Vérifiez la status du chiffrement en exécutant l’applet de commande Get-SPODataEncryptionPolicy comme suit :

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

La sortie de cette applet de commande inclut :

• URI de clé primaire

  URI de la clé primaire.

• URI de clé secondaire

  URI de la clé primaire.

• État du chiffrement pour la zone géographique

  Le status peut être l’un des états suivants :

  • Non: Le chiffrement de clé client n’est pas appliqué.
  • Enregistrement: Le chiffrement de la clé client est en cours. Si la clé de la zone géographique est en cours d’inscription, la sortie inclut le pourcentage de sites chiffrés afin que vous puissiez surveiller la progression.
  • Recommandé: Le chiffrement de clé client est terminé. Tous les fichiers de tous les sites sont chiffrés.
  • Roulage: Un rouleau de clé est en cours. Si la clé de la zone géographique est propagée, la sortie inclut le pourcentage de déploiements de site terminés afin que vous puissiez surveiller la progression.

• Sites intégrés

  Pourcentage de sites intégrés pour le chiffrement.

Obtenir des détails sur les PDP que vous utilisez avec plusieurs charges de travail

Pour afficher les détails des PDP que vous avez créés pour une utilisation avec plusieurs charges de travail, procédez comme suit :

1. Sur votre ordinateur local, utilisez un compte professionnel ou scolaire disposant des autorisations d’administrateur de conformité pour vous connecter à Exchange Online PowerShell.

2. Exécutez la commande suivante pour répertorier toutes les PDP multi-charges de travail dans votre organization :

   Get-M365DataAtRestEncryptionPolicy
   

3. Pour afficher les détails d’un DEP spécifique, utilisez la commande suivante. Cet exemple montre des informations pour le DEP nommé Contoso_Global:

   Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
   

Obtenir des informations sur l’affectation DEP à charge de travail multiple

Pour identifier le DEP actuellement affecté à votre locataire, procédez comme suit :

1. Sur votre ordinateur local, utilisez un compte professionnel ou scolaire disposant des autorisations d’administrateur de conformité pour vous connecter à Exchange Online PowerShell.

2. Exécutez la commande suivante :

   Get-M365DataAtRestEncryptionPolicyAssignment
   

Désactiver un DEP à charges de travail multiples

Avant de désactiver un DEP à plusieurs charges de travail, annulez l’affectation du DEP des charges de travail de votre locataire. Pour désactiver un DEP utilisé avec plusieurs charges de travail, procédez comme suit :

1. Sur votre ordinateur local, utilisez un compte professionnel ou scolaire disposant des autorisations d’administrateur de conformité pour vous connecter à Exchange Online PowerShell.

2. Exécutez la commande suivante, en PolicyName remplaçant par le nom ou l’ID unique de la stratégie (par exemple, Contoso_Global) :

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

   Exemple :

   Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false
   

Restaurer les clés Azure Key Vault

Avant d’effectuer une restauration, utilisez la fonctionnalité de suppression réversible pour récupérer des clés si possible. La suppression réversible doit être activée pour toutes les clés utilisées avec la clé client. La suppression réversible fonctionne comme une corbeille et vous permet de récupérer des clés supprimées pendant jusqu’à 90 jours sans avoir besoin d’une restauration complète.

La restauration de clé ne doit être nécessaire que dans des cas rares ou exceptionnels, par exemple, si une clé ou un coffre de clés est définitivement perdu.

Pour restaurer une clé à l’aide de Azure PowerShell, exécutez la commande suivante :

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Exemple :

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Gérer les autorisations du coffre de clés

Vous pouvez utiliser Azure PowerShell pour afficher ou supprimer les autorisations du coffre de clés. Par exemple, vous devrez peut-être supprimer l’accès d’un utilisateur lorsqu’il quitte l’équipe.

Pour afficher les autorisations d’un coffre de clés, exécutez la commande suivante :

Get-AzKeyVault -VaultName <vault name>

Exemple :

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Pour supprimer l’accès d’un utilisateur à un coffre de clés, utilisez la commande suivante :

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Exemple :

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Restaurer la clé client vers les clés gérées par Microsoft

Si nécessaire, vous pouvez revenir à l’utilisation de clés gérées par Microsoft. Lorsque vous effectuez une restauration, vos données sont rechiffrées à l’aide de la méthode de chiffrement par défaut prise en charge par chaque charge de travail. Par exemple, les PC Exchange et Windows 365 Cloud utilisent des clés gérées par Microsoft pour le chiffrement par défaut.

Restaurer à partir de la clé client pour plusieurs charges de travail

Si vous ne souhaitez plus utiliser la clé client avec des stratégies de chiffrement des données à charge de travail multiples , envoyez une demande de support via Support Microsoft. Incluez les informations suivantes dans votre demande :

• Nom de domaine complet (FQDN) du locataire
• Contact client pour la demande de restauration
• Motif de l’arrêt de la clé client
• Numéro d’incident

Restaurer à partir de la clé client pour Exchange

Si vous ne souhaitez plus chiffrer des boîtes aux lettres individuelles à l’aide de stratégies de chiffrement de données (DEP) au niveau de la boîte aux lettres, vous pouvez annuler l’affectation de ces adresses DEP de toutes les boîtes aux lettres.

Pour annuler l’affectation d’un DEP au niveau de la boîte aux lettres, procédez comme suit :

1. Utilisez un compte professionnel ou scolaire disposant des autorisations PowerShell Exchange Online nécessaires et connectez-vous à Exchange Online PowerShell.

2. Exécutez l’applet de commande suivante.

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

Cette commande annule l’affectation du DEP actuel et rechiffre la boîte aux lettres à l’aide des clés gérées par Microsoft par défaut.

Restaurer à partir de la clé client pour SharePoint et OneDrive

La restauration de la clé client vers des clés gérées par Microsoft n’est pas prise en charge pour SharePoint ou OneDrive.

Révoquez vos clés et démarrez le chemin de vidage des données

Vous contrôlez la révocation de toutes les clés racines, y compris la clé de disponibilité. La clé client vous permet de contrôler le processus de planification des sorties requis par de nombreuses normes réglementaires. Si vous décidez de révoquer vos clés pour vider les données et quitter le service, la clé de disponibilité est supprimée une fois le processus de vidage des données terminé.

Cette fonctionnalité n’est prise en charge que pour les deps de clés client affectées à des boîtes aux lettres individuelles.

Microsoft 365 audite et valide le processus de vidage des données. Pour plus d’informations, consultez le rapport SSAE 18 SOC 2 disponible sur le portail d’approbation de services.

Microsoft recommande également de consulter les documents suivants :

• Guide d’évaluation et de conformité des risques pour les institutions financières dans le cloud Microsoft

• Considérations relatives à la planification de la sortie de Microsoft 365

Si vous quittez complètement les services Microsoft 365, découvrez comment supprimer un locataire dans Microsoft Entra ID.

Révoquer vos clés client et la clé de disponibilité pour Exchange

Lorsque vous lancez le chemin de vidage des données pour Exchange, vous placez une demande de vidage des données permanente sur une stratégie de chiffrement des données (DEP). Cette action supprime définitivement les données chiffrées dans toutes les boîtes aux lettres affectées à ce DEP.

Étant donné que l’applet de commande PowerShell ne fonctionne que sur un seul DEP à la fois, envisagez de réaffecter un seul DEP à toutes les boîtes aux lettres avant de commencer le processus de vidage des données.

Pour lancer le chemin de vidage des données, procédez comme suit :

1. Supprimez les autorisations d’habillage et de désencapsulation pour les Exchange Online O365 de vos coffres de clés Azure.

2. Utilisez un compte professionnel ou scolaire avec les autorisations PowerShell Exchange Online appropriées et connectez-vous à Exchange Online PowerShell.

3. Pour chaque DEP qui inclut des boîtes aux lettres que vous souhaitez vider, exécutez l’applet de Set-DataEncryptionPolicy commande :

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   Si la commande échoue, vérifiez que Exchange Online autorisations ont été supprimées des deux clés dans le Azure Key Vault, comme indiqué précédemment. Une fois que vous avez exécuté l’applet Set-DataEncryptionPolicy de commande avec le -PermanentDataPurgeRequested commutateur, le DEP ne peut plus être affecté aux boîtes aux lettres.

4. Contactez Support Microsoft et demandez l’eDocument de vidage des données.

   Microsoft envoie un document juridique pour confirmer et autoriser le vidage des données. La personne qui le signe est généralement un cadre ou un autre représentant légalement autorisé.

5. Une fois que votre représentant a signer le document, retournez-le à Microsoft (généralement par le biais d’une signature électronique).

   Une fois que Microsoft a reçu le document électronique signé, il vérifie l’authenticité de la signature et de la signe. Une fois vérifiés, ils exécutent les applets de commande nécessaires pour terminer le vidage des données. Ce processus supprime le DEP, marque les boîtes aux lettres affectées pour suppression définitive et supprime la clé de disponibilité. Une fois le processus terminé, les données sont purgées, inaccessibles à Exchange et ne peuvent pas être récupérées.

Révoquer vos clés client et la clé de disponibilité pour SharePoint et OneDrive

La purge des points de terminaison d’accès pour SharePoint et OneDrive n’est pas prise en charge dans la clé client. Si vous quittez complètement les services Microsoft 365, vous pouvez suivre le processus documenté pour supprimer votre locataire.

Pour plus d’informations, consultez comment supprimer un locataire dans Microsoft Entra ID.

Migrer vos coffres de clés du modèle de stratégie d’accès hérité vers RBAC

Si vous avez intégré la clé client à l’aide du modèle de stratégie d’accès hérité, procédez comme suit pour migrer tous les coffres de clés Azure afin d’utiliser le contrôle d’accès en fonction du rôle (RBAC). Pour comparer les deux modèles et comprendre pourquoi Microsoft recommande RBAC, consultez Azure le contrôle d’accès en fonction du rôle (Azure RBAC) et les stratégies d’accès (héritées).

Supprimer les stratégies d’accès héritées

Pour supprimer les stratégies d’accès existantes de vos coffres de clés, utilisez l’applet de Remove-AzKeyVaultAccessPolicy commande .

1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir de l’aide, consultez Se connecter avec Azure PowerShell.

2. Exécutez la commande suivante pour supprimer l’accès au principal du service Microsoft 365 :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. Exécutez la commande suivante pour supprimer l’accès au principal Exchange Online :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. Exécutez la commande suivante pour supprimer l’accès pour le principal de service SharePoint et OneDrive professionnel ou scolaire :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

Modification du modèle d’autorisation de configuration d’accès

Après avoir supprimé les stratégies d’accès, mettez à jour le modèle d’autorisation pour chaque Key Vault dans le Portail Azure :

1. Dans le Portail Azure, accédez à votre Key Vault.

2. Dans le menu de gauche, sous Paramètres, sélectionnez Configuration de l’accès.

3. Sous Modèle d’autorisation, choisissez Azure contrôle d’accès en fonction du rôle.

4. Sélectionnez Appliquer en bas de l’écran.

   

   

Attribution d’autorisations RBAC

Après avoir basculé le modèle d’autorisation, suivez les étapes décrites dans Attribuer des autorisations à chaque Key Vault pour accorder les rôles nécessaires.

Articles connexes

• Vue d’ensemble de la clé client

• En savoir plus sur la clé de disponibilité

• Configurer la clé client

• Echanger ou alterner entre une clé client ou de disponibilité

• Référentiel sécurisé client

• Service de chiffrement et de gestion des clés