Clé client pour Forum aux questions sur Office 365

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Outre le planning de référence, chiffrement de niveau de volume est activé par le biais BitLocker et distribué clé Manager (DKM), Office 365 propose une couche de chiffrement au niveau de l’application de contenu client dans Office 365, y compris les données à partir d’Exchange supplémentaire En ligne, Skype entreprise, SharePoint Online et OneDrive entreprise. Cette option est appelée chiffrement de service.

Clé client repose sur chiffrement de service et permet d’indiquer et clés de contrôle qui sont utilisées pour chiffrer vos données au repos dans Office 365 comme décrit dans les Termes du contrat de Services en ligne (OST). Clé client vous permet de remplir les obligations de conformité car vous contrôler les clés de chiffrement qu’Office 365 utilise pour déchiffrer des données.

Quelles données Office 365 inactives sont couvertes par clé client ?

Contenu du site SharePoint Online et les fichiers stockés dans ce site et les fichiers téléchargés vers OneDrive entreprise sont couvertes. Contenu de boîte aux lettres Exchange Online (corps du message électronique, entrées de calendrier et le contenu des pièces jointes) est traité. Conversations du texte à partir de Skype entreprise sont traitées, mais les enregistrements de diffusion de réunion Skype et téléchargements de contenu de réunion Skype ne figurent pas. Diffusion de réunion Skype et Skype Meeting les téléchargements de contenu sont chiffrés ainsi que tout autre contenu dans Office 365, mais nous n’actuellement proposons contrôle customer des clés de chiffrement.

Quelle est la différence entre la clé de client et mettre votre propre clé (BYOK) avec la Protection des informations Azure pour Exchange Online ?

Activer les deux options vous permettent de fournir et contrôler vos propres clés de chiffrement ; Toutefois, le chiffrement service avec clé client chiffre vos données inactives, résidant dans Office 365 serveurs au repos, tandis que la BYOK avec Azure la Protection des informations pour Exchange Online chiffre vos données voies permanente en ligne et en mode hors connexion protection des messages électroniques et des pièces jointes pour Office 365. Clé client et BYOK avec Azure la Protection des informations pour Exchange Online sont complémentaires, et si vous choisissez d’utiliser les touches gérés par le service de Microsoft ou votre propre, chiffrer vos données au repos et voies peut fournir une protection ajoutée à partir de attaques.

BYOK avec Azure la Protection des informations pour Exchange Online est proposée dans les fonctionnalités de chiffrement de messages Office 365.

Chiffrement de service avec clé client change approche de Microsoft aux demandes de données tiers comme comparaître ?

Non. Clé client n’a pas été conçu pour répondre à la loi l’application comparaître. Il a été conçu pour les clients réglementés leurs obligations de conformité internes ou externes. Microsoft est soucieux très ses demandes tiers pour les données client. Comme un fournisseur de services cloud, nous toujours représenter confidentialité des données client. En cas de bonne un cadre, nous toujours tenter de rediriger le tiers au client afin d’obtenir les informations. (Lisez le blog de Brad Smith : protection des données client contre la surveillance publique). Nous publient régulièrement des informations détaillées de la demande que nous recevons ici.

Consultez le Centre de gestion de la confidentialité Microsoft en ce qui concerne les demandes de données tiers et « Divulgation des données client » dans les Termes du contrat de Services en ligne (OST) pour plus d’informations.

Si mes touches sont destruction, comment puis-je récupérer ?

Microsoft fournit des ajouté protection contre la perte de clés. La clé de récupération vous offre la possibilité de récupérer la perte d’inattendues de clés racines que vous gérez. Microsoft sera soit vous aider à ce processus, soit fournissent des instructions sur la récupération sans l’aide de Microsoft.

Quelle est la clé de récupération ?

La clé de récupération est une clé racine qui est mis en service et protégée par Microsoft et équivaut aux clés racine qui sont fournies par vous pour une utilisation avec chiffrement service avec clé client. Étant donné que la clé de récupération est protégée par Microsoft, il utilise une conception de sécurité différent et des contrôles à partir de clés que vous gérez. Cette offre défense en profondeur et protection contre la perte de toutes les clés à partir d’une seule attaque ou point de panne. Partage de la responsabilité pour protéger les clés, lors de l’utilisation d’une variété de protection et les processus de gestion de clés, réduit finalement le risque que toutes les clés seront perdues ou destruction.

Stratégies de chiffrement de données (Dép.) combien puis-je créer ?

Exchange Online et Skype pour les entreprises : Vous pouvez créer jusqu'à 50 Dép..

SharePoint Online et OneDrive entreprise : Une DEP s’applique aux données dans un emplacement géographique, également appelée un geo. Si vous utilisez la fonctionnalité multi-geo d’Office 365 (actuellement en Preview), vous pouvez créer un DEP par geo. Si vous n’utilisez pas multi-geo, vous pouvez créer un dépôt

Comment vérifier que le chiffrement avec clé client est activé et Office 365 a terminé la chiffrant avec clé client ?

Exchange Online et Skype pour les entreprises : Vous pouvez vous connecter à Exchange Online à l’aide de remote PowerShell , puis utilisez l’applet de commande Get-MailboxStatistics pour chaque boîte aux lettres que vous souhaitez vérifier. Dans le résultat de l’applet de commande Get-MailboxStatistics, la propriété IsEncrypted renvoie la valeur true si la boîte aux lettres est chiffré et la valeur false si elle n’est pas. Si la boîte aux lettres est chiffré, la valeur renvoyée pour la propriété DataEncryptionPolicyID est le GUID de la DEP dont la boîte aux lettres est chiffré. Pour plus d’informations sur l’exécution de cette applet de commande, voir Get-MailboxStatistics et l’utilisation de PowerShell avec Exchange Online.

SharePoint Online et OneDrive entreprise : Vous pouvez vous connecter à SharePoint Online PowerShell, puis utilisez l’applet de commande Get-SPODataEncryptionPolicy pour vérifier l’état de votre client. La propriété State renvoie une valeur de enregistré si le chiffrement clé client est activé et tous les fichiers dans tous les sites ont été chiffrés. Si le chiffrement est toujours en cours, cette applet de commande fournit des informations sur le pourcentage de sites est terminé.

Si vous voulez basculer vers un autre jeu de clés, combien de temps faut-il pour le nouvel ensemble de clés pour protéger mes données ?

Exchange Online et Skype pour les entreprises : Il peut prendre jusqu'à 72 heures pour protéger une boîte aux lettres selon une stratégie de chiffrement nouvelles données (PED) à partir de l’heure que du nouveau DEP est affectée à la boîte aux lettres.

SharePoint Online et OneDrive entreprise : Il peut prendre jusqu'à quatre heures pour chiffrer à nouveau votre client entier lorsqu’une nouvelle clé a été affectée.

Mes données existantes stockées sans chiffrement à tout moment lorsqu’elle est déchiffré ou chiffré avec clé client ?

Non. Vos données sont toujours chiffrées au reste dans le service Office 365 avec BitLocker et DKM. Pour plus d’informations, voir la « Sécurité, confidentialité et les informations de conformité pour Office 365 »et comment Exchange Online protège votre secrets messagerie.

Si je ne voulez plus utiliser des clés de chiffrement gérés par le client, passer aux clés gérés par Microsoft ?

Exchange Online et Skype pour les entreprises : Pas encore. Ceci est pris en charge une fois que le chiffrement de service dans Office 365 avec touches gérés par Microsoft est largement transférée. Nous prévoyons à déployer cela dans le service après que nous chiffrement de service de publication avec clé client.

SharePoint Online et OneDrive entreprise : Oui. Vous pouvez choisir revenir à l’utilisation de touches gérés par Microsoft séparément pour chaque geo (si vous utilisez la fonctionnalité multi-geo) ou pour toutes vos données si elle est dans un seul geo.

Si je perds mes touches, combien de temps faut-il pour récupérer la disponibilité du service à l’aide de la clé de récupération ?

Exchange Online et Skype pour les entreprises : Une fois que vous appelez pour utiliser les boîtes aux lettres principales récupération seront accessibles quelques minutes.

SharePoint Online et OneDrive entreprise : Cette opération est proportionnelle au nombre de sites que vous avez. Une fois que vous contactez Microsoft pour utiliser la clé de récupération, vous serez entièrement en ligne au sein d’environ quatre heures.

Comment la clé de récupération est utilisée avec Exchange Online ?

Office 365 utilise la clé de récupération à la fois pour la disponibilité du service et de récupération à partir d’un état clé client défectueux pour Exchange Online. Il existe une hiérarchie de clés utilisées par clé client. La figure suivante illustre cette hiérarchie.

Cette illustration montre la hiérarchie des clés utilisées dans clé client pour Exchange Online

Si les deux clés de l’archivage sécurisé de clé Azure d’une stratégie de chiffrement unique données (PED) ne sont pas disponibles, Office 365 peuvent utiliser la récupération de clé pour effectuer la transition vers un nouveau Office 365 prévention détermine si vous souhaitez utiliser la clé de récupération de disponibilité du service différemment selon s’il faut un activité initialisé par l’utilisateur, par exemple, lorsqu’un utilisateur télécharge le courrier électronique pour le client Outlook ou une activité exécutée par le système, telles que l’indexation du contenu de la boîte aux lettres, ou pour les recherches de découverte électronique, déclenché le processus.

Office 365 suit ce processus en réponse aux actions initialisé par l’utilisateur pour déterminer si vous souhaitez utiliser la clé de récupération des boîtes aux lettres :

  1. Office 365 lit la DEP affectée de la boîte aux lettres afin de déterminer l’emplacement des clés deux client dans l’archivage sécurisé de clé Azure.

  2. Office 365 choisit une des deux clients clés dans la DEP et l’archivage sécurisé de clé Azure à renvoi de la clé de cette fonctionnalité en utilisant la clé client envoie une demande de manière aléatoire.

  3. Si la demande de renvoi de la DEP clé à l’aide de la clé client échoue et retourne une erreur, Office 365 envoie une deuxième demande l’archivage sécurisé Azure clé, cette fois demander au programme d’utiliser l’autre clé client (deuxième).

  4. Si la seconde demande de renvoi de la clé de cette fonctionnalité en utilisant l’échoue clés client et retourne une erreur, Office 365 examine les résultats de deux requêtes :

    • Si l’examen détermine que les erreurs ne sont pas reflètent une action explicite par une identité client, Office 365 utilise la clé de récupération pour déchiffrer la clé de cette fonctionnalité. La clé de cette fonctionnalité est ensuite utilisée pour déchiffrer la clé de boîte aux lettres et procéder à la demande de l’utilisateur.

      Dans ce cas, l’archivage sécurisé de clé Azure est pas pu répondre ou inaccessible pour une raison quelconque. Office 365 n’a aucun moyen de déterminer si le client a révoqué intentionnellement accès aux clés.

    • Si l’examen indique cette action délibérée a été redirigée pour le rendu des clés client indisponible, puis la clé de récupération n’est pas utilisée, Échec de la demande d’utilisateur et l’utilisateur reçoit un message d’erreur, par exemple d’échec de la connexion.

      Dans ce cas, le client est informé que service est affectée, et la condition de clé client ne fonctionne pas correctement. Par exemple, si un client utilise une DEP unique pour toutes les boîtes aux lettres dans l’organisation, l’utilisateur peut rencontrer une défaillance largement où les utilisateurs ne peuvent pas accéder à leur boîte aux lettres. Cela garantit que lorsque les deux clés client sont incorrects, le client est effectué prenant en charge de la nécessité de corriger la situation et restaurer le service dans un état correct.

Clé de récupération est disponible pour les actions initiée par, ou interne à Office 365, telles que la création d’index de recherche ou en déplaçant les boîtes aux lettres jusqu'à ce que la clé de récupération est supprimée. Cela évite la perte de données accidentel, qui peut se produire si la clé de récupération n’est pas utilisée dans ces conditions.

Comment la clé de récupération est utilisée avec SharePoint Online et OneDrive entreprise ?

La SharePoint Online et OneDrive architecture d’entreprise et l’implémentation de clé de client et récupération de clés est la différence entre Exchange Online et Skype pour les entreprises.

Lorsqu’un client onboards aux clés gérés par le client, Office 365 crée une clé d’intermédiaire spécifiques au client (TIK). Office 365 chiffre le TIK deux fois, une fois avec chacune des clés de client et stocke les deux versions chiffrées de la TIK. Uniquement des versions chiffrées de la TIK sont stockées et un TIK peut uniquement être déchiffré avec les touches de client. La TIK, est utilisé pour chiffrer les clés de site, qui sont alors utilisés pour chiffrer les clés blob. Les objets BLOB eux-mêmes sont chiffrées et stockées dans le service de stockage d’objets Blob Microsoft Azure.

Office 365 suit ce processus pour accéder à un blob qui comporte les données de fichier client :

  1. Déchiffrer la TIK à l’aide de la clé client.

  2. Utilisez le TIK déchiffré pour déchiffrer une clé de site.

  3. Utilisez la touche site déchiffré pour déchiffrer une clé d’objets blob.

  4. Utilisez la touche blob déchiffré pour déchiffrer le blob.

Lors du déchiffrement un TIK, Office 365 émet deux demandes déchiffrement à l’archivage sécurisé de clé Azure avec un décalage légère. La première personne à terminer apporte le résultat, abandon d’autres la demande.

Au cas où le client perd l’accès à leur clé de client, Office 365 également chiffre le TIK avec une clé de récupération et il stocke ainsi que les TIKs chiffrées avec chaque clé client. La TIK chiffrée avec la clé de récupération est utilisé uniquement lorsque le client appelle Microsoft à vous inscrire le chemin d’accès de récupération lorsqu’ils ont plus accéder à leur clé, intentionnellement ou accidentellement.

Pour des raisons d’échelle et disponibilité, TIKs déchiffrés sont mis en cache dans un cache mémoire limitée dans le temps. Deux heures avant un cache TIK est configuré pour expirer, Office 365 tente de déchiffrer chaque TIK. Déchiffrer les TIKs étend la durée de vie du cache. Si le déchiffrement TIK échoue pour une quantité importante de temps, Office 365 génère une alerte pour être averti ingénierie avant l’expiration du cache. Uniquement si le client appelle Microsoft Office 365 lancera l’opération de restauration, qui consiste à déchiffrer de que la TIK avec la clé de récupération stockées dans de Microsoft store secret et d’intégration du client à l’aide de la déchiffré TIK et un nouvel ensemble touches de l’archivage sécurisé de clé Azure fourni par le client.

À partir d’aujourd'hui, clé client est impliquée dans la chaîne de chiffrement et de déchiffrement SharePoint Online des données de fichiers stockées dans le magasin d’objets blob Azure, mais pas les éléments de liste SharePoint Online ou de métadonnées stockées dans la base de données SQL. Office 365 n’utilise pas la clé de récupération pour SharePoint Online ou OneDrive entreprise différent de la casse ci-dessus, c'est-à-dire client démarrée. Comme décrit ci-dessus, humaine accès aux données client est protégé par client référentiel sécurisé.

Pour plus d’informations

Pour commencer à utiliser la clé du client, voir contrôler vos données dans Office 365 à l’aide de la clé du client.

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×