Contrôle de vos données dans Office 365 à l’aide de la clé du client

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Avec la clé du client, vous contrôler les clés de chiffrement de votre organisation, puis configurez Office 365 pour les utiliser pour chiffrer vos données au repos dans des centres de données de Microsoft. Données inactives incluent les données à partir d’Exchange Online et Skype pour les entreprises qui sont stockées dans les boîtes aux lettres et les fichiers qui sont stockés dans SharePoint Online et OneDrive entreprise.

Vous devez configurer Azure avant de pouvoir utiliser clé client pour Office 365. Cette rubrique décrit les étapes à suivre pour créer et configurer les ressources Azure requises et puis fournit les étapes de configuration de la clé client dans Office 365. Une fois que vous avez terminé le programme d’installation Azure, vous déterminez la stratégie et par conséquent, les clés, à affecter à des boîtes aux lettres et des fichiers dans votre organisation. Boîtes aux lettres et des fichiers pour lesquels vous n’affecter une stratégie utiliseront les stratégies de chiffrement qui sont contrôlés et gérés par Microsoft. Pour plus d’informations sur la clé du client, ou pour une vue d’ensemble, consultez la clé client pour le Forum aux questions sur Office 365.

Remarque : Nous vous recommandons vivement à respecter les recommandations fournies dans cette rubrique. Il s’agit comme IMPORTANTet de Conseil . Client clé vous permet de contrôler les clés de chiffrement racine dont l’étendue peut être aussi élevée que votre organisation entière. Cela signifie que les erreurs commises avec ces touches peuvent avoir un impact large et peuvent entraîner une interruption de service ou irrévocable perte de vos données.

Avant de commencer la configuration de clé client

Avant de commencer, assurez-vous que la licence appropriée pour votre organisation. Clé client dans Office 365 est proposé dans Office 365 E5 ou la référence de conformité avancées.

Ensuite, pour mieux comprendre les concepts et les procédures décrites dans cette rubrique, vous devez examiner la documentation de L’archivage sécurisé de clé Azure . En outre, vous familiariser avec les termes utilisés dans Azure, par exemple, le client.

Vue d’ensemble de la configuration de la clé du client pour Office 365

Pour configurer la clé du client, vous allez effectuer les tâches suivantes. Le reste de cette rubrique fournit des instructions détaillées pour chaque tâche, ou les liens arrière vers des informations supplémentaires pour chaque étape du processus.

Dans Azure et FastTrack Microsoft :   

Vous allez effectuer la plupart de ces tâches en vous connectant à distance à Azure PowerShell. Pour obtenir de meilleurs résultats, utilisez version 4.4.0 ou version ultérieure de PowerShell Azure.

Dans Office 365 :   

Exchange Online et Skype entreprise :

SharePoint Online et OneDrive entreprise :

Effectuer des tâches dans l’archivage sécurisé de clé Azure pour clé client

Effectuez les tâches suivantes dans l’archivage sécurisé de clé Azure afin de configurer la clé du client pour Office 365. Vous avez besoin effectuer ces étapes indépendamment de préciser si vous souhaitez configurer la clé client pour Exchange Online et Skype entreprise ou SharePoint Online et OneDrive entreprise ou pour tous les services pris en charge dans Office 365.

Créez deux nouveaux abonnements Azure

Deux abonnements Azure sont requis pour la clé du client. Pour obtenir les meilleurs résultats, Microsoft recommande que vous créez de nouveaux abonnements Azure pour une utilisation avec clé client. Touches de l’archivage sécurisé clé Azure ne peuvent être autorisées pour les applications dans un seul client Azure Active Directory (DAS), vous devez créer les nouveaux abonnements à l’aide de la même client Azure AD utilisé avec votre organisation Office 365 où la dép. doivent être affectées. Par exemple, à l’aide de votre compte professionnel ou scolaire avec des privilèges administrateur global dans votre organisation Office 365. Pour plus d’informations, voir vous inscrire Azure en tant qu’organisation.

Remarques : 

  • Clé client nécessite deux clés pour chaque stratégie de chiffrement des données (PED). Pour ce faire, vous devez créer deux abonnements Azure. Pour obtenir les meilleurs résultats, Microsoft recommande que vous avez distinctes membres de votre organisation configurer une clé dans chaque abonnement. En outre, ces abonnements Azure doivent uniquement être utilisés pour administrer des clés de chiffrement pour Office 365. Cela protège votre organisation en cas d’un de vos opérateurs intentionnellement accidentel ou malveillant supprime ou dans le cas contraire mismanages les touches dont ils sont responsables.

  • Nous vous recommandons de configurer les nouveaux abonnements Azure qui sont uniquement utilisées pour gérer les ressources de l’archivage sécurisé de clé Azure pour une utilisation avec clé client. Il n’existe aucune limite au nombre d’abonnements Azure que vous pouvez créer pour votre organisation. Suivant les meilleures pratiques permet de minimiser l’impact des erreurs humaines tout en aidant à gérer les ressources utilisées par clé client.

Envoyez une demande d’activer la clé de client pour Office 365 via Microsoft FastTrack

Une fois que vous avez terminé les étapes Azure, vous devez envoyer une demande d’offre dans le portail Microsoft FastTrack. Lorsque vous soumettez votre demande par le biais FastTrack, Microsoft vérifie votre configuration de l’archivage sécurisé de clé Azure et recueille des informations de contact importantes que nous aurons besoin si vous choisissez de révoquer l’accès d’Office 365 à vos clés. Vous devez faire une fois cette étape pour activer la clé du client pour Exchange Online et Skype pour la couverture de l’entreprise et une deuxième fois activer la clé du client pour SharePoint Online et OneDrive entreprise.

Pour envoyer une offre d’activer la clé du client, procédez comme suit :

  1. À l’aide d’un compte professionnel ou scolaire avec des autorisations d’administrateur général dans votre organisation Office 365, ouvrez une session le portail Microsoft FastTrack.

  2. Une fois que vous êtes connecté, accédez au tableau de bord.

  3. Choisissez l’offre, puis examinez la liste des offres actuelles.

  4. Choisissez Plus d’informations pour l’offre s’applique à vous :

    • Exchange Online et Skype pour les entreprises : Sélectionnez Plus d’informations sur l’offre de Clé client pour Exchange.

    • SharePoint Online et OneDrive entreprise : Choisissez Plus d’informations sur l’offre de Clé client pour SharePoint et SkyDrive Pro.

  5. Dans la page Détails de l’offre, sélectionnez Créer une demande.

  6. Remplissez tous les codes applicables et les informations demandées dans le formulaire d’offre, puis sélectionnez Envoyer.

    Une fois que vous avez envoyé le formulaire d’offre, attendez que Microsoft vous avertit que vous pouvez continuer. Ce processus peut prendre jusqu'à cinq jours ouvrés une fois que Microsoft a été informé de votre requête.

Enregistrer des abonnements Azure comme effectuez pas annuler (DCN)

La perte temporaire ou permanente des clés de chiffrement racine peut être très interruption ou même grave à opération de service et peut entraîner la perte de données. Pour cette raison, les ressources utilisées avec clé client nécessitent une protection renforcée. Toutes les ressources Azure qui sont utilisés avec client clé offrent des mécanismes de protection au-delà de la configuration par défaut. Abonnements Azure peuvent être ajouté une balise ou enregistrés d’une manière qui empêche l’annulation immédiate et irrévocable. Il s’agit de comme effectuez pas annuler (DCN). Les étapes nécessaires pour enregistrer des abonnements Azure besoin de la collaboration avec l’équipe Office 365. Ce processus peut prendre plusieurs jours.

Avant de contacter l’équipe Office 365, vous devez effectuer les étapes suivantes pour chaque abonnement Azure que vous utilisez avec clé client :

  1. Connectez-vous à votre abonnement avec PowerShell Azure Azure. Pour plus d’informations, voir se connecter à l’aide de PowerShell Azure.

  2. Exécutez l’applet de commande AzureRmProviderFeature de Registre pour enregistrer vos abonnements comme Ne pas annuler.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Contactez Microsoft pour le processus finalisé. Pour SharePoint et OneDrive équipe commerciale, contactez spock@microsoft.com. Pour Exchange Online et Skype pour les entreprises, contactez exock@microsoft.com. Le Service (contrat de niveau) d’achèvement de ce processus est cinq jours ouvrés une fois que Microsoft a été averti (et vérifié) que vous avez enregistré vos abonnements aux DCN.

  4. Attendez que Microsoft vous avertit que vous pouvez continuer. Cela peut prendre jusqu'à cinq jours.

  5. Une fois que vous recevez une notification de Microsoft, vérifiez l’état de votre inscription en exécutant l’applet de commande Get-AzureRmProviderFeature comme suit :

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  6. Une fois que la propriété de Statut d’enregistrement à partir de l’applet de commande Get-AzureRmProviderFeature renvoie une valeur inscrit, exécutez la commande suivante pour terminer le processus :

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Créer une prime l’archivage sécurisé de clé Azure dans chaque abonnement

Les étapes pour créer un archivage sécurisé clé sont présentées dans Prise en main l’archivage sécurisé de clé Azure, qui vous guide lors de l’installation et lancement Azure PowerShell, connexion à votre abonnement Azure, créez un groupe de ressources, et Création d’un archivage sécurisé clé dans ce groupe de ressources.

Lorsque vous créez un archivage sécurisé clé, vous devez choisir une référence SKU : Standard ou Premium. La référence (SKU) Standard permet aux clés de l’archivage sécurisé de clé Azure à protéger avec le logiciel – il n’existe aucune protection de clé Module de sécurité matériel (HSM) – et la référence (SKU) Premium permet d’utiliser HSM pour la protection des clés de l’archivage sécurisé clé. Clé client accepte chambres fortes clés qui utilisent une référence (SKU), bien que Microsoft recommande que vous utilisez uniquement la référence SKU Premium. Le coût des opérations avec des clés de type étant identiques, la seule différence de coût est le prix par mois pour chaque clé protégées par HSM. Pour plus d’informations, voir l’archivage sécurisé clé tarifs .

Remarque : Utilisez les touches de protégées par HSM et le chambres fortes clés Premium référence (SKU) pour les données de production et utiliser uniquement chambres fortes clés de référence (SKU) Standard et touches fins de test et validation.

Pour chaque service Office 365 avec laquelle vous allez utiliser la clé de client, créez un archivage sécurisé clé dans chacune des deux abonnements Azure que vous avez créé. Par exemple, pour Exchange Online et Skype entreprise uniquement ou SharePoint Online et OneDrive entreprise uniquement, vous allez créer qu’une seule paire de chambres fortes. Pour activer la clé du client pour Exchange Online et SharePoint Online, vous allez créer deux paires de clés chambres fortes.

Utiliser une convention d’appellation pour chambres fortes clés qui reflète l’usage de la DEP avec laquelle vous allez associer les chambres fortes. Consultez la section recommandations en dessous des recommandations convention d’affectation de noms.

Créer un jeu distinct, paires de chambres fortes pour chaque stratégie de chiffrement des données. Pour Exchange Online, l’étendue d’une stratégie de chiffrement des données est choisie par vous lorsque vous affectez la stratégie à la boîte aux lettres. Une boîte aux lettres peut avoir une seule stratégie affectée, et vous pouvez créer des stratégies jusqu'à cinquante. Pour SharePoint Online la portée d’une stratégie est toutes les données au sein d’une organisation dans un emplacement géographique ou geo.

La création de chambres fortes clés nécessite également la création de groupes de ressources Azure, étant donné que chambres fortes clés besoin capacité de stockage (s’il est très petit) et l’archivage sécurisé clé journalisation, si activé, génère des données stockées. Meilleurs résultats Microsoft recommande l’utilisation de distincts pour les administrateurs pour gérer chaque groupe de ressources, avec l’administration alignée sur l’ensemble des administrateurs qui gérera toutes les ressources client clé associées.

Remarques : 

  • Pour optimiser la disponibilité, votre clés chambres fortes peuvent être régions près de votre service Office 365. Par exemple, si votre organisation Exchange Online est en Amérique du Nord, placez vos clés chambres fortes en Amérique du Nord. Si votre organisation Exchange Online est Europe, placez vos clés chambres fortes en Europe.

  • Utiliser un préfixe commun pour chambres fortes clés et inclure une abréviation de l’utilisation et la portée des touches et l’archivage sécurisé clé (par exemple, pour le service de Contoso SharePoint emplacement en Amérique du Nord, une paire possible de noms des chambres fortes est Contoso-O365SP-NA-VaultA1 et Contoso-O365SP-NA-VaultA2. Noms de l’archivage sécurisé sont des chaînes globalement uniques dans Azure, vous serez peut-être amené à essayer variantes de vos noms de votre choix dans le cas où les noms de votre choix sont déjà réclamés par d’autres clients Azure. À partir de juillet 2017 l’archivage sécurisé noms ne sont pas modifiables, pour une meilleure solution consiste à disposer d’un plan écrit pour le programme d’installation et utilisez une seconde personne pour vérifier que le plan est exécuté correctement.

  • Si possible, créez votre chambres fortes dans les régions non associés. Régions Azure pour augmenter la disponibilité sur plusieurs domaines de l’échec du service. Par conséquent, paires régionaux peuvent être considérés en tant que l’autre zone sauvegarde. Cela signifie qu’une ressource Azure qui est placée dans une zone géographique automatiquement se distingue par tolérance de panne via la région appariée. Pour cette raison, choisissez régions pour deux chambres fortes utilisées dans une DEP où les zones sont appariés signifie qu’uniquement un total de deux régions de disponibilité sont en cours d’utilisation. La plupart des régions ont uniquement deux régions, pour qu’il n’est pas encore possible de sélectionner des régions non associés. Si possible, choisissez deux régions non appariés pour les deux chambres fortes utilisées avec un logicielle. Cela tire parti d’un total de quatre zones de disponibilité. Pour plus d’informations, voir entreprise continuité et récupération d’urgence (BCDR) : régions appariés Azure pour obtenir la liste actuelle des paires régionaux.

Attribuer des autorisations à chaque l’archivage sécurisé clé

Pour chaque l’archivage sécurisé clé, vous devez définir trois ensembles d’autorisations pour la clé du client, selon votre implémentation distincts. Par exemple, vous devez définir un ensemble d’autorisations pour chacun des éléments suivants :

  • Les administrateurs de l’archivage sécurisé clé qui effectue la gestion quotidienne de votre l’archivage sécurisé clé pour votre organisation. Ces tâches comprennent sauvegarde, créer, obtenir, importer, répertorier et restaurer.

    Remarque : Le jeu d’autorisations affectées aux administrateurs de l’archivage sécurisé clés n’inclut pas l’autorisation de supprimer des clés. Il s’agit voulu et un exercice important. Suppression de clés de chiffrement est généralement pas effectuée, dans la mesure où effectuant donc définitivement supprime des données. Pour obtenir les meilleurs résultats, ne pas cette autorisation aux administrateurs de l’archivage sécurisé clés par défaut. À la place, cela réserver aux collaborateurs clés de l’archivage sécurisé et uniquement les affecter à un administrateur de manière à court terme une fois clairement les conséquences est compris.

    Pour attribuer les autorisations suivantes à un utilisateur de votre organisation Office 365, connectez-vous à votre abonnement avec PowerShell Azure Azure. Pour plus d’informations, voir se connecter à l’aide de PowerShell Azure.

  • Exécutez l’applet de commande Set-AzureRmKeyVaultAccessPolicy pour attribuer des autorisations nécessaires.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Par exemple :

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Collaborateurs de l’archivage sécurisé clé qui peut modifier les autorisations sur l’archivage sécurisé de clé Azure lui-même. Vous devez modifier ces autorisations définies comme employés quitter ou participer à votre équipe, ou dans le cas extrêmement rare que la touche vault administrateurs couramment faut une autorisation Supprimer ou restaurer une clé. Cet ensemble de l’archivage sécurisé clés collaborateurs doit être attribuer le rôle de collaborateur sur votre l’archivage sécurisé clé. Vous pouvez attribuer ce rôle à l’aide du Gestionnaire de ressources Azure. Pour plus d’informations, voir Contrôle d’accès Use Role-Based pour gérer l’accès à vos ressources abonnement Azure. L’administrateur qui crée un abonnement a cet accès implicitement, ainsi que la fonctionnalité permettant d’affecter des autres administrateurs pour le rôle de collaborateur.

  • Si vous envisagez d’utiliser la clé de client avec Exchange Online et Skype pour les entreprises, vous devez octroyer des autorisations à Office 365 pour utiliser l’archivage sécurisé clé au nom d’Exchange Online et Skype pour les entreprises. De même, si vous prévoyez d’utiliser clé client avec SharePoint Online et OneDrive entreprise, vous devez ajouter d’autorisation pour les plans Office 365 à utiliser l’archivage sécurisé clé au nom de SharePoint Online et OneDrive for Business. Pour octroyer des autorisations à Office 365, exécutez l’applet de commande Set-AzureRmKeyVaultAccessPolicy à l’aide de la syntaxe suivante :

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Où :

    • vaultname est le nom de l’archivage sécurisé clé que vous avez créé.

    • Pour Exchange Online et Skype entreprise, remplacez Office 365 identificateur par 00000002-0000-0ff1-ce00-000000000000

    • Pour SharePoint Online et OneDrive entreprise, remplacez Office 365 identificateur par 00000003-0000-0ff1-ce00-000000000000

    Exemple : Définir des autorisations pour Exchange Online et Skype entreprise :

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Exemple : Définir des autorisations pour SharePoint Online et OneDrive entreprise

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Activer et puis confirmer la suppression de bordures sur votre clés chambres fortes

Lorsque vous pouvez rapidement récupérer vos clés, vous êtes moins susceptibles de rencontrer une interruption de service étendu en raison de clés supprimées accidentel ou malveillant. Vous devez activer cette configuration, appelée supprimer des bordures, avant de pouvoir utiliser vos clés avec clé client. L’activation de supprimer des bordures vous permet de récupérer les clés ou chambres fortes dans les 90 jours de suppression sans avoir à les restaurer à partir de sauvegarde.

Pour activer l’option Supprimer les bordures sur votre clés chambres fortes, procédez comme suit :

  1. Connectez-vous à votre abonnement Azure avec Windows Powershell. Pour plus d’informations, voir se connecter à l’aide de PowerShell Azure.

  2. Exécutez l’applet de commande Get-AzureRmKeyVault comme suit :

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    vaultname correspond au nom de l’archivage sécurisé clé pour lequel vous activez le logiciel supprimer.

  3. Confirmer la suppression temporaire est configurée pour l’archivage sécurisé clé en exécutant l’applet de commande Get-AzureRmKeyVault :

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Si Supprimer logicielle est correctement configuré pour l’archivage sécurisé clé, la propriété Soft Delete Enabled? renvoie la valeur True.

Ajouter une clé à chaque l’archivage sécurisé clé soit en créant ou importation d’une clé

Il existe deux manières d’ajouter des touches à un archivage sécurisé Azure clé ; Vous pouvez créer une clé directement dans l’archivage sécurisé clé, ou vous pouvez importer une clé. Création d’une clé directement dans l’archivage sécurisé clé est la méthode moins compliquée, tandis que l’importation d’une clé fournit contrôle total sur la façon dont la clé est générée.

Pour créer une clé directement dans votre l’archivage sécurisé clé, exécutez l’applet de commande Add-AzureKeyVaultKey comme suit :

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Où :

  • vaultname est le nom de l’archivage sécurisé clé dans lequel vous voulez créer la clé.

  • nom est le nom que vous voulez attribuer à la nouvelle clé.

    Remarque : Clés de nom à l’aide d’une convention d’appellation similaire comme décrit ci-dessus pour chambres fortes clés. Ainsi, dans outils affichent uniquement le nom de clé, la chaîne est automatique qui décrit.

  • Si vous envisagez de protéger la clé avec un HSM, assurez-vous que vous spécifiez HSM comme la valeur du paramètre Destination , dans le cas contraire, spécifiez les logiciels.

Par exemple,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Pour importer une clé directement dans votre l’archivage sécurisé clé, vous devez avoir un nShield Thales Module de sécurité matériel.

Certaines organisations préfèrent cette approche pour établir la provenance de leur clé et cette méthode fournit également les éléments suivants :

  • L’ensemble d’outils utilisé pour l’importation inclut attestation de Thales que la clé de Exchange clé (KEK) qui est utilisé pour chiffrer la clé que vous générez n’est pas exportable et est généré à l’intérieur d’un module HSM authentique qui a été développé par des Thales.

  • L’ensemble d’outils inclut attestation de Thales que le monde de sécurité de l’archivage sécurisé de clé Azure a également été généré sur un HSM genuine développé par Thales. Cette attestation s’avère vous que Microsoft utilise également le matériel Thales authentique.

Vérifiez auprès de votre groupe de sécurité pour déterminer si les attestations ci-dessus sont nécessaires. Pour obtenir la procédure détaillée créer une clé en local et importer dans votre l’archivage sécurisé clé, voir Comment faire pour générer et transférer des clés protégées par HSM pour l’archivage sécurisé de clé Azure. Utilisez les instructions Azure pour créer une clé dans chaque l’archivage sécurisé clé.

Vérifier le niveau de restauration de vos clés

Office 365 requiert que l’abonnement de l’archivage sécurisé de clé Azure est défini sur ne pas annuler et que les clés utilisées par clé client ont suppression temporaire activée. Vous pouvez vérifier ceci en consultant le niveau de restauration sur vos clés.

Pour vérifier le niveau de restauration d’une clé, dans Azure PowerShell, exécutez l’applet de commande Get-AzureKeyVaultKey comme suit :

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Si la propriété Recovery Level renvoie autre chose qu’une valeur de Récupérable + ProtectedSubscription, vous devrez examiner cette rubrique et vous assurer que vous avez suivi les étapes pour mettre la liste ne pas annuler l’abonnement et que vous avez suppression temporaire activée sur chacun de vos clés chambres fortes.

Archivage sécurisé clé Azure sauvegarde

Immédiatement après la création ou toute modification apportée à une clé, effectuer une sauvegarde et stocker des copies de la sauvegarde, en ligne et en mode hors connexion. Copies en mode hors connexion ne doivent pas être connectés à un réseau, tels que dans un emplacement de stockage physique approuvés ou professionnelle. Au moins une copie de la sauvegarde doit être stockée dans un emplacement accessible en cas de sinistre. Les objets BLOB sauvegarde sont le seul moyen de restaurer le matériel de clé doit une clé de l’archivage sécurisé clé définitivement destruction ou sinon le rendu inutilisable. Clés qui sont externes à l’archivage sécurisé de clé Azure et ont été importés à l’archivage sécurisé de clé Azure ne peuvent être comme une sauvegarde, car les métadonnées nécessaires pour client clé utiliser la clé n’existent pas avec la touche externes. Uniquement une sauvegarde extraite de l’archivage sécurisé de clé Azure peut être utilisée pour les opérations de restauration avec clé client. Par conséquent, il est essentiel qu’une sauvegarde de l’archivage sécurisé de clé Azure soit apportée une fois qu’une clé est téléchargée ou créée.

Pour créer une sauvegarde d’une clé de l’archivage sécurisé de clé Azure, exécutez l’applet de commande Sauvegarde AzureKeyVaultKey comme suit :

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Assurez-vous que votre fichier de sortie utilise le suffixe .backup.

Le fichier de sortie résultant de cette applet de commande est chiffré et ne peuvent pas être utilisé en dehors de l’archivage sécurisé de clé Azure. La sauvegarde peut être restaurée uniquement à l’abonnement Azure à partir de laquelle la sauvegarde a été effectuée.

Remarque : Pour le fichier de sortie, choisissez une combinaison de votre nom de l’archivage sécurisé et le nom de la clé. Cette option permettra que le nom de fichier décrivant automatique. Il garantit également que les noms de fichier de sauvegarde n’entrent pas en conflit.

Par exemple :

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Validez les paramètres de configuration de l’archivage sécurisé de clé Azure

Exécution de la validation avant d’utiliser les touches dans une DEP est facultatif, mais vivement recommandé. En particulier, si vous utilisez les étapes pour configurer vos clés et chambres fortes autres que ceux décrits dans cette rubrique, vous devez valider l’état de vos ressources de l’archivage sécurisé de clé Azure avant de configurer clé client.

Pour vérifier que vos clés ont opérations get, wrapKey et unwrapKey activées :

Exécutez l’applet de commande Get-AzureRmKeyVault comme suit :

Get-AzureRMKeyVault -VaultName <vaultname>

Dans la sortie, rechercher la stratégie d’accès et l’identité Exchange Online (GUID) ou l’identité SharePoint Online (GUID) le cas échéant. Les trois autorisations ci-dessus doivent être indiquées sous autorisations aux clés.

Si la configuration de stratégie d’accès est incorrecte, exécutez l’applet de commande Set-AzureRmKeyVaultAccessPolicy comme suit :

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Par exemple, pour Exchange Online et Skype entreprise :

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Par exemple, pour SharePoint Online et OneDrive entreprise :

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

Pour vérifier qu’une date d’expiration n’est pas définie pour vos clés :

Exécutez l’applet de commande Get-AzureKeyVaultKey comme suit :

Get-AzureKeyVaultKey -VaultName <vaultname> -KeyName <keyname> 

Une clé qui a expiré ne peut pas être utilisée par clé client et opérations a tenté avec une clé qui a expiré échoue et éventuellement entraîner une interruption de service. Nous vous recommandons vivement que clés utilisées avec la clé client n’ont pas une date d’expiration. Une date d’expiration, une fois que le jeu, ne peut pas être supprimé, mais peuvent être modifiées vers une autre date. Si une clé doit être utilisée qui est défini pour une date d’expiration, modifiez la valeur d’expiration et 31/12/9999. Clés avec une date d’expiration définies à une date différente de 31/12/9999 ne peut pas passer validation Office 365.

Pour modifier une date d’expiration a été définie sur une valeur autre que 31/12/9999, exécutez l’applet de commande Set-AzureKeyVaultKeyAttribute comme suit :

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Remarque : Ne définissez les dates d’expiration sur les clés de chiffrement que vous utilisez avec clé client.

Obtenir l’URI pour chaque clé l’archivage sécurisé de clé Azure

Une fois que vous avez effectué toutes les étapes dans Azure pour configurer votre clés chambres fortes et ajouté vos clés, exécutez la commande suivante pour obtenir l’URI de la clé dans chaque l’archivage sécurisé clé. Vous devrez utiliser ces URI lorsque vous créez et attribuer ultérieurement, chaque DEP donc enregistrer ces informations dans un emplacement sécurisé. N’oubliez pas d’exécuter cette commande une fois pour chaque l’archivage sécurisé clé.

Dans Azure PowerShell :

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365 : Configuration de la clé du client pour Exchange Online et Skype entreprise

Avant de commencer, vérifiez que vous avez terminé les tâches dans les sections suivantes :

Pour définir la clé du client pour Exchange Online et Skype entreprise, vous devez effectuer ces étapes en vous connectant à distance à Exchange Online avec Windows PowerShell.

Créer une stratégie de chiffrement des données (PED) pour une utilisation avec Exchange Online et Skype entreprise

Une DEP est associée à un ensemble de clés stockées dans l’archivage sécurisé de clé Azure. Vous affectez une DEP à une boîte aux lettres dans Office 365. Office 365 utilise touches identifiées dans la stratégie pour chiffrer la boîte aux lettres. Pour créer la DEP, vous devez les URI de l’archivage sécurisé clé obtenues précédemment. Pour obtenir des instructions, voir obtenir l’URI pour une clé de l’archivage sécurisé de clé Azure .

N’oubliez pas ! Lorsque vous créez une DEP, vous spécifiez deux clés qui résident dans deux différentes chambres fortes de clé Azure. Assurez-vous que ces touches sont trouvent dans deux régions Azure distinctes pour garantir la geo redondance.

Pour créer la DEP, procédez comme suit :

  1. Sur votre ordinateur local, à l’aide d’un compte professionnel ou scolaire avec des autorisations d’administrateur général dans votre organisation Office 365, vous connecter à Exchange Online PowerShell en ouvrant Windows PowerShell et en exécutant la commande suivante commande.

    $UserCredential = Get-Credential
  2. Dans la boîte de dialogue demande des informations d’identification Windows PowerShell, entrez votre travail ou scolaire des informations de compte et puis cliquez sur OK , puis la commande suivante.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Exécutez la commande suivante.

    Import-PSSession $Session
  4. Pour créer une DEP, utilisez l’applet de commande New-DataEncryptionPolicy en tapant la commande suivante.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Où :

    • Stratégie est le nom que vous souhaitez utiliser pour la stratégie. Les noms ne peuvent pas contenir d’espaces. Par exemple, USA_mailboxes.

    • PolicyDescription est une description conviviale de la stratégie qui vous aidera à mémoriser ce qui concerne la stratégie. Vous pouvez inclure des espaces dans la description. Par exemple, racine clé des boîtes aux lettres des États-Unis et ses territoires.

    • KeyVaultURI1 est l’URI pour la première clé dans la stratégie. Par exemple, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 est l’URI pour la deuxième clé dans la stratégie. Par exemple, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Séparez les deux URI par une virgule et un espace.

Exemple :

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Affecter une DEP à une boîte aux lettres

Affecter la DEP à une boîte aux lettres à l’aide de l’applet de commande Set-boîte aux lettres. Une fois que vous affectez la stratégie, Office 365 peut chiffrer la boîte aux lettres avec la touche désignée dans la prévention

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

MailboxIdParameter indique une boîte aux lettres. Pour plus d’informations sur l’applet de commande Set-boîte aux lettres, voir Set-boîte aux lettres.

Valider le chiffrement de boîte aux lettres

Chiffrer une boîte aux lettres peut prendre un certain temps. Pour première affectation de stratégie de temps, la boîte aux lettres doit également terminer le déplacement d’une base de données à l’autre avant que le service peut chiffrer la boîte aux lettres. Nous vous conseillons d’attendre 72 heures avant d’essayer valider le chiffrement une fois que vous modifiez une DEP ou la première fois que vous attribuez une DEP à une boîte aux lettres.

Utiliser l’applet de commande Get-MailboxStatistics pour déterminer si une boîte aux lettres est chiffré.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La propriété IsEncrypted renvoie la valeur true si la boîte aux lettres est chiffré et la valeur false si la boîte aux lettres n’est pas chiffré.

Office 365 : Configuration de la clé du client pour SharePoint Online et OneDrive entreprise

Avant de commencer, vérifiez que vous avez terminé les tâches dans les sections suivantes :

Pour configurer la clé du client pour SharePoint Online et OneDrive entreprise, vous devez effectuer ces étapes en vous connectant à distance à SharePoint Online avec Windows PowerShell.

Créer une stratégie de chiffrement des données (PED) pour chaque SharePoint Online et OneDrive pour les entreprises geo

Une DEP est associée à un ensemble de clés stockées dans l’archivage sécurisé de clé Azure. Vous appliquez une DEP à toutes vos données dans un emplacement géographique, également appelée un geo. Si vous utilisez la fonctionnalité multi-geo d’Office 365 (actuellement en Preview), vous pouvez créer un DEP par geo. Si vous n’utilisez pas multi-geo, vous pouvez créer un DEP dans Office 365 pour une utilisation avec SharePoint Online et OneDrive entreprise. Office 365 utilise touches identifiées dans la DEP pour chiffrer vos données dans cette zone géographique. Pour créer la DEP, vous devez les URI de l’archivage sécurisé clé obtenues précédemment. Pour obtenir des instructions, voir obtenir l’URI pour une clé de l’archivage sécurisé de clé Azure .

N’oubliez pas ! Lorsque vous créez une DEP, vous spécifiez deux clés qui résident dans deux différentes chambres fortes de clé Azure. Assurez-vous que ces touches sont trouvent dans deux régions Azure distinctes pour garantir la geo redondance.

Pour créer une DEP, vous devez vous connecter à distance à SharePoint Online à l’aide de Windows PowerShell.

  1. Sur votre ordinateur local, un compte professionnel ou scolaire avec des autorisations d’administrateur général dans votre organisation Office 365, vous connecter à SharePoint Online Powershellà l’aide.

  2. Dans Microsoft SharePoint Online Management Shell, exécutez l’applet de commande Registre SPODataEncryptionPolicy comme suit :

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Lorsque vous enregistrez la DEP, le chiffrement commence les données dans la zone géographique. Cela peut prendre un certain temps.

Valider le chiffrement des Sites de groupe, les Sites d’équipe et OneDrive entreprise

Vous pouvez vérifier l’état de chiffrement en exécutant l’applet de commande Get-SPODataEncryptionPolicy comme suit :

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Le résultat de cette applet de commande inclut :

  • URI de la clé primaire.

  • URI de la clé secondaire.

  • L’état de chiffrement de la zone géographique. États possibles sont les suivantes :

    • Non enregistré : Chiffrement de clé client n’a pas encore été appliqué.

    • Inscription : Chiffrement de clé client a été appliqué et vos fichiers sont en cours de chiffrement. Si votre geo est dans cet état, vous devez également être affichées d’informations sur le pourcentage de sites dans la zone géographique sont terminées afin que vous pouvez surveiller l’avancement de chiffrement.

    • Enregistré : Chiffrement de clé client a été appliqué, et tous les fichiers dans tous les sites ont été chiffrés.

    • Yeux : Appliquer une clé est en cours. Si votre geo est dans cet état, vous devez également être affichées d’informations sur le pourcentage de sites le terminée pellicule clés afin que vous pouvez surveiller l’avancement.

Gestion de la clé du client pour Office 365

Après avoir configuré la clé du client pour Office 365, vous pouvez effectuer ces tâches de gestion supplémentaires.

Restaurer les clés de l’archivage sécurisé de clé Azure

Avant d’effectuer une restauration, utilisez les fonctionnalités de récupération fournies par suppression temporaire. Toutes les clés qui sont utilisés avec clé client sont requises pour que bordures supprime activé. Suppression temporaire se comporte comme une Corbeille et permet de récupération pendant 90 jours sans avoir à restaurer. Restaurer convient uniquement dans des circonstances extrêmes ou inhabituels, par exemple, si la clé ou l’archivage sécurisé clé est perdue. Si vous devez restaurer une clé à utiliser avec la clé du client, Azure PowerShell, exécutez l’applet de commande Restaurer AzureKeyVaultKey comme suit :

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Par exemple :

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Si une clé portant le même nom existe déjà dans l’archivage sécurisé clé, l’opération de restauration échoue. Restaurer AzureKeyVaultKey restaure toutes les versions principales et toutes les métadonnées de la clé, y compris le nom de clé.

Yeux ou faire pivoter une clé dans l’archivage sécurisé clé Azure que vous utilisez avec clé client

Touches des yeux n’exigeant pas obligatoire en soit l’archivage sécurisé de clé Azure ou par clé client. En outre, les clés qui sont protégées par un HSM sont pratiquement impossibles de compromettre. Même si une clé racine ont été en possession d’un acteur malveillant il n’existe aucun moyen possible de l’utiliser pour déchiffrer des données, étant donné que seul le code Office 365 sait comment l’utiliser. Toutefois, yeux une clé prend en charge clé client.

Remarques : 

  • Uniquement restaurer une clé de chiffrement que vous utilisez avec clé client lorsqu’un motif effacer technique existe ou une exigence de conformité indique que vous devrez déployer la clé. En outre, ne supprimez pas les clés qui sont ou ont été associées à des stratégies. Lorsque vous faites vos clés, qu’il n’y être contenu chiffré avec les touches précédente. Par exemple, tandis que les boîtes aux lettres actives seront ré-chiffrés fréquemment, inactive, boîtes aux lettres déconnectés » et « désactivés peuvent toujours être chiffrés avec les touches précédente. SharePoint Online effectue sauvegarde de contenu pour des raisons de restaurer et de restauration, c’est pourquoi il peut contenus archivés à l’aide des touches plus anciens.

  • Pour garantir la sécurité de vos données, SharePoint Online permettra ne dépasse pas une opération de clé opérationnelle en cours à la fois. Si vous souhaitez que les deux clés d’opérationnelle dans un archivage sécurisé clé, vous devez attendre la première opération pellicule clés totalement terminé. Nous vous recommandons consiste à espacer vos opérations pellicule clés à des intervalles différents, afin qu’il ne s’agit pas d’un problème.

Lorsque vous faites une clé, vous demandez une nouvelle version d’une clé existante. Pour demander une nouvelle version d’une clé existante, vous utilisez l’applet de commande même, Ajouter AzureKeyVaultKey, avec la même syntaxe que vous avez utilisé pour créer la clé en premier lieu.

Par exemple :

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

Dans cet exemple, dans la mesure où il existe une clé nommée Contoso-O365EX-NA-VaultA1-Key001 est déjà dans l’archivage sécurisé Contoso-O365EX-NA-VaultA1, une nouvelle version clée est créée. L’opération ajoute une nouvelle version de clé. Cette opération permet de conserver les versions précédentes clées dans l’historique de version de la clé, afin que les données précédemment chiffrées avec cette touche toujours possible de déchiffrer. Une fois que vous avez terminé de n’importe quelle touche associé à une DEP des yeux, vous devez ensuite exécuter une applet de commande supplémentaire pour vous assurer que la clé client commence à l’aide de la nouvelle clé.

Activer Exchange Online et Skype entreprise pour utiliser une nouvelle clé après avoir opérationnelle ou faire pivoter clés dans l’archivage sécurisé de clé Azure

Lorsque vous faites une des clés de l’archivage sécurisé de clé Azure associées à une DEP utilisé avec Exchange Online et Skype entreprise, vous devez exécuter la commande suivante pour mettre à jour la DEP et activer Office 365 commencer à utiliser la nouvelle clé.

Pour demander à la clé client pour utiliser la nouvelle clé pour chiffrer les boîtes aux lettres dans Office 365, exécutez l’applet de commande Set-DataEncryptionPolicy comme suit :

Set-DataEncryptionPolicy <policyname> -Refresh 

Sous 48 heures, les boîtes aux lettres actives chiffrés à l’aide de cette stratégie sera associés à la clé de mise à jour. Suivez les étapes déterminer la DEP affectée à une boîte aux lettres pour vérifier la valeur de la propriété DataEncryptionPolicyID pour la boîte aux lettres. La valeur de cette propriété changera une fois la clé de mise à jour a été appliquée.

Activer SharePoint Online et OneDrive entreprise à utiliser une nouvelle clé après avoir opérationnelle ou faire pivoter clés dans l’archivage sécurisé de clé Azure

Lorsque vous faites une des clés de l’archivage sécurisé de Azure clé associées à une DEP utilisée avec SharePoint Online et OneDrive entreprise, vous devez exécuter l’applet de commande Mise à jour SPODataEncryptionPolicy pour mettre à jour la DEP et activer Office 365 commencer à l’aide de la nouvelle clé.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

L’opération pellicule clés pour SharePoint Online et OneDrive entreprise démarre. Cette action n’est pas immédiatement. Pour afficher la progression de la clé opérationnelle opération, exécutez l’applet de commande Get-SPODataEncryptionPolicy comme suit :

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Gérer les autorisations de l’archivage sécurisé clés

Applets de commande plusieurs sont disponibles qui permettent d’afficher et, si nécessaire, supprimer des autorisations de l’archivage sécurisé clés. Vous devrez peut-être supprimer des autorisations, par exemple, lorsqu’un employé quitte l’équipe.

Pour afficher les autorisations de l’archivage sécurisé clés, exécutez l’applet de commande Get-AzureRmKeyVault :

Get-AzureRmKeyVault -VaultName <vaultname>

Par exemple :

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Pour supprimer des autorisations d’administrateur, exécutez l’applet de commande Supprimer AzureRmKeyVaultAccessPolicy :

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Par exemple :

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Déterminer la DEP affectée à une boîte aux lettres

Pour déterminer la DEP affectée à une boîte aux lettres, utilisez l’applet de commande Get-MailboxStatistics. L’applet de commande renvoie un identificateur unique (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

GeneralMailboxOrMailUserIdParameter indique une boîte aux lettres. Pour plus d’informations sur l’applet de commande Get-MailboxStatistics, voir Get-MailboxStatistics.

Utilisez le GUID pour déterminer le nom convivial de la DEP auquel la boîte aux lettres est affectée en exécutant l’applet de commande suivante.

Get-DataEncryptionPolicy <GUID>

GUID est celui retourné par l’applet de commande Get-MailboxStatistics à l’étape précédente.

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×