Chiffrement de service avec clé client pour le Forum aux questions sur Office 365

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Outre le planning de référence, chiffrement de niveau de volume est activé par le biais BitLocker et distribué clé Manager (DKM), Office 365 propose une couche de chiffrement au niveau de l’application de contenu client dans Office 365, y compris les données à partir d’Exchange supplémentaire En ligne, Skype entreprise, SharePoint Online et OneDrive entreprise. Cette option est appelée chiffrement de service.

Clé client repose sur chiffrement de service et permet de vous permet de fournir et clés de contrôle qui sont utilisées pour chiffrer vos données au repos dans Office 365 comme décrit dans les Termes du contrat de Services en ligne (OST). Clé client vous permet de remplir les obligations de conformité car vous contrôler les clés de chiffrement qu’Office 365 utilise pour déchiffrer des données.

Pour envoyer vos commentaires sur clé client, y compris la documentation, envoyez vos idées, les suggestions et perspectives à customerkeyfeedback@microsoft.com.

Quel est le chiffrement service avec clé client ?

Clé client est une fonctionnalité qui vous permet de mettre en service et de gérer les clés utilisées pour chiffrer les données au repos dans Office 365. La fonctionnalité exploite chiffrement de service, qui est le chiffrement effectuée par Office 365 Exchange et SharePoint. Chiffrement de service présente des avantages au-delà de ce que Bitlocker peut fournir - c'est-à-dire supérieur défense en profondeur contre les attaques. Service de chiffrement est une mesure fort si un pirate informatique tente d’ignorer le système de contrôle d’accès Office 365 qui est utilisé pour traiter toutes les demandes d’accès aux données client. C’est parce que le chiffrement service signifie qu’un administrateur de serveur n’a pas de contrôle ou même pour accéder à chiffrement touches de direction et ne pouvez pas désactiver le chiffrement, à la différence avec Bitlocker. Par conséquent, un pirate ayant accès administratif à un serveur qui héberge les données client qui a été chiffrées à l’aide de chiffrement service ne sera pas en mesure de lire les données client et même si les données chiffrées sont copiées sur le serveur il reste inutile.

Quelles données Office 365 inactives sont couvertes par clé client ?

Contenu du site SharePoint Online et les fichiers stockés dans ce site et les fichiers téléchargés vers OneDrive entreprise sont couvertes. Contenu de boîte aux lettres Exchange Online (corps du message électronique, entrées de calendrier et le contenu des pièces jointes) est traité. Conversations du texte à partir de Skype entreprise sont traitées, mais les enregistrements de diffusion de réunion Skype et téléchargements de contenu de réunion Skype ne figurent pas. Diffusion de réunion Skype et Skype Meeting les téléchargements de contenu sont chiffrés ainsi que tout autre contenu dans Office 365, mais nous n’actuellement proposons contrôle customer des clés de chiffrement.

Quelle est la différence entre la clé de client et mettre votre propre clé (BYOK) avec la Protection des informations Azure pour Exchange Online ?

Activer les deux options vous permettent de fournir et contrôler vos propres clés de chiffrement ; Toutefois, le chiffrement service avec clé client chiffre vos données inactives, résidant dans Office 365 serveurs au repos, tandis que la BYOK avec Azure la Protection des informations pour Exchange Online chiffre vos données dans voies permanente en ligne et en mode hors connexion protection des messages électroniques et des pièces jointes pour Office 365. Clé client et BYOK avec Azure la Protection des informations pour Exchange Online sont complémentaires, et si vous choisissez d’utiliser les touches gérés par le service de Microsoft ou votre propre, chiffrer vos données au repos et voies peut fournir une protection ajoutée à partir de attaques.

BYOK avec Azure la Protection des informations pour Exchange Online est proposée dans les fonctionnalités de chiffrement de messages Office 365.

Chiffrement de messages Office 365 et mettre votre propre clé avec la Protection des informations Azure change approche de Microsoft aux demandes de données tiers comme comparaître ?

Non. Chiffrement de messages Office 365 et l’option pour fournir et contrôler vos propres clés de chiffrement avec mettre votre propre clé (BYOK) pour Azure informations Protection administrative n’est pas conçu pour répondre à la loi l’application comparaître. Chiffrement de messages Office 365 avec BYOK pour l’installation administrative a été conçu pour les clients de conformité axée que vous avez besoin de remplir les obligations de conformité internes ou externes. Microsoft est soucieux très ses demandes tiers pour les données client. Comme un fournisseur de services cloud, nous toujours représenter la confidentialité des données client. En cas de bonne un cadre, nous toujours tenter de rediriger le tiers au client afin d’obtenir les informations. (Lisez le blog de Brad Smith : protection des données client contre la surveillance publique). Nous publient régulièrement des informations détaillées de la demande nous recevons ici.

Consultez le Centre de gestion de la confidentialité de Microsoft en ce qui concerne les demandes de données tiers et « Divulgation des données client » dans les Termes du contrat de Services en ligne (OST)pour plus d’informations.

Chiffrement de service avec clé client change approche de Microsoft aux demandes de données tiers comme comparaître ?

Non. Clé client n’a pas été conçu pour répondre à la loi l’application comparaître. Il a été conçu pour les clients réglementés leurs obligations de conformité internes ou externes. Microsoft est soucieux très ses demandes tiers pour les données client. Comme un fournisseur de services cloud, nous toujours représenter la confidentialité des données client. En cas de bonne un cadre, nous toujours tenter de rediriger le tiers au client afin d’obtenir les informations. (Lisez le blog de Brad Smith : protection des données client contre la surveillance publique). Nous publient régulièrement des informations détaillées de la demande nous recevons ici.

Consultez le Centre de gestion de la confidentialité de Microsoft en ce qui concerne les demandes de données tiers et « Divulgation des données client » dans les Termes du contrat de Services en ligne (OST) pour plus d’informations.

Prise en charge FastTrack n’est disponible pour l’implémentation de clé client ?

Non. FastTrack est utilisé uniquement pour collecter les informations de configuration de client et le service qui exigeant requises pour vous inscrire à la clé du client. La clé client offres sont publiées via FastTrack afin qu’il soit pratique pour les clients et partenaires à soumettre ces informations nécessaires à l’aide de la même méthode et pour faciliter l’archivage des données qui fournissent des clients dans l’offre.

Si vous avez besoin d’une assistance supplémentaire au-delà de la documentation, contactez Microsoft Consulting Services (MCS), Premier champ ingénierie (PFE) ou un partenaire Microsoft pour obtenir une assistance.

Si mes touches sont destruction, comment puis-je récupérer ?

La clé de disponibilité vous offre la possibilité de récupérer la perte d’inattendues de clés racines que vous gérez. Si vous perdez vos clés racine, contacter le Support Microsoft et Microsoft vous aidera dans le processus d’activation de la clé de disponibilité. Vous allez utiliser la clé de disponibilité pour migrer vers une nouvelle stratégie de chiffrement des données avec de nouvelles clés sa mise en service par vous.

Quelle est la clé de disponibilité ?

La clé de disponibilité est une touche de racine est mis en service lorsque vous créez une règle de chiffrement des données. La clé de disponibilité est stockée et protégée dans Office 365 et est similaire aux clés deux racine qui sont fournies par vous pour une utilisation avec chiffrement service avec clé client. Contrairement aux clés que vous fournissez et de gestion de l’archivage sécurisé de clé Azure, vous ne pouvez pas accéder directement à la clé de disponibilité. Stockage et le contrôle de la clé de disponibilité sont délibérément différents à partir des clés de l’archivage sécurisé de clé Azure pour trois raisons : tout d’abord, la clé de disponibilité fournit une fonctionnalité de disponibilité dans le cas où les services Office 365 ne parvenez pas à communiquer aux clés hébergés dans Azure clé Archivage sécurisé ; Ensuite, la clé de disponibilité fournit une fonctionnalité « rompre verre » dans le cas où les deux clés de l’archivage sécurisé de clé Azure sont perdues ; et enfin, la séparation des contrôles logiques fournit défense en profondeur et protection contre la perte de toutes les clés à partir d’une seule attaque ou point de panne. Partage de la responsabilité pour protéger les clés, lors de l’utilisation d’une variété de protection et les processus de gestion de clés, réduit finalement le risque que toutes les clés (et par conséquent vos données) seront perdues ou destruction. Microsoft vous offre seuls à pouvoir par la destruction de la clé de disponibilité. Par la conception, personne chez Microsoft a accès à la clé de disponibilité, c’est uniquement accessible par le code de service Office 365.

Stratégies de chiffrement de données (Dép.) combien puis-je créer ?

Exchange Online et Skype pour les entreprises : Vous pouvez créer jusqu'à 50 Dép..

SharePoint Online et OneDrive entreprise : Une DEP s’applique aux données dans un emplacement géographique, également appelée un geo. Si vous utilisez la fonctionnalité multi-geo d’Office 365 (actuellement en Preview), vous pouvez créer un DEP par geo. Si vous n’utilisez pas multi-geo, vous pouvez créer un dépôt

Puis-je attribuer une stratégie de chiffrement de données avant de migrer une boîte aux lettres dans le cloud ?

Oui. Vous pouvez utiliser l’applet de commande Windows PowerShell Set-Utilisateur_mail pour attribuer une stratégie de chiffrement des données (PED) à l’utilisateur avant de migrer les boîtes aux lettres vers Office 365. Lorsque vous effectuez cette opération, le contenu de la boîte aux lettres est chiffré à l’aide de la DEP affectée comme le contenu est migré. Cela peut être plus efficace qu’affecter une DEP une fois la boîte aux lettres a déjà été migré et puis en attente de chiffrement se déroule, ce qui peut prendre plusieurs jours heures ou éventuellement.

Comment vérifier que le chiffrement avec clé client est activé et Office 365 a terminé la chiffrant avec clé client ?

Exchange Online et Skype pour les entreprises : Vous pouvez vous connecter à Exchange Online à l’aide de PowerShell distante et utiliser l’applet de commande Get-MailboxStatistics pour chaque boîte aux lettres que vous souhaitez vérifier. Dans le résultat de l’applet de commande Get-MailboxStatistics, la propriété IsEncrypted renvoie la valeur true si la boîte aux lettres est chiffré et la valeur false si elle n’est pas. Si la boîte aux lettres est chiffré, la valeur renvoyée pour la propriété DataEncryptionPolicyID est le GUID de la DEP dont la boîte aux lettres est chiffré. Pour plus d’informations sur l’exécution de cette applet de commande, voir Get-MailboxStatistics et l’utilisation de PowerShell avec Exchange Online.

SharePoint Online et OneDrive entreprise : Vous pouvez vous connecter à SharePoint Online PowerShell, puis utilisez l’applet de commande Get-SPODataEncryptionPolicy pour vérifier l’état de votre client. La propriété State renvoie une valeur de enregistré si le chiffrement clé client est activé et tous les fichiers dans tous les sites ont été chiffrés. Si le chiffrement est toujours en cours, cette applet de commande fournit des informations sur le pourcentage de sites est terminé.

Si vous voulez basculer vers un autre jeu de clés, combien de temps faut-il pour le nouvel ensemble de clés pour protéger mes données ?

Exchange Online et Skype pour les entreprises : Il peut prendre jusqu'à 72 heures pour protéger une boîte aux lettres selon une stratégie de chiffrement nouvelles données (PED) à partir de l’heure que du nouveau DEP est affectée à la boîte aux lettres.

SharePoint Online et OneDrive entreprise : Il peut prendre jusqu'à quatre heures pour chiffrer à nouveau votre client entier lorsqu’une nouvelle clé a été affectée.

Mes données existantes stockées sans chiffrement à tout moment lorsqu’elle est déchiffré ou chiffré avec clé client ?

Non. Vos données sont toujours chiffrées au reste dans le service Office 365 avec BitLocker et DKM. Pour plus d’informations, voir la « Sécurité, confidentialité et les informations de conformité pour Office 365 » et comment Exchange Online protège votre secrets de messagerie.

Si je ne voulez plus utiliser des clés de chiffrement gérés par le client, passer aux clés gérés par Microsoft ?

Exchange Online et Skype pour les entreprises : Pas encore. Ceci est pris en charge une fois que le chiffrement de service dans Office 365 avec touches gérés par Microsoft est largement transférée. Nous prévoyons à déployer cela dans le service après que nous chiffrement de service de publication avec clé client.

SharePoint Online et OneDrive entreprise : Oui. Vous pouvez choisir revenir à l’utilisation de touches gérés par Microsoft séparément pour chaque geo (si vous utilisez la fonctionnalité multi-geo) ou pour toutes vos données si elle est dans un seul geo.

Si je perds mes touches, combien de temps faut-il pour récupérer la disponibilité du service à l’aide de la clé de récupération ?

Exchange Online et Skype pour les entreprises : Une fois que vous appelez dans utiliser la clé de disponibilité, boîtes aux lettres seront accessibles quelques minutes.

SharePoint Online et OneDrive entreprise : Cette opération est proportionnelle au nombre de sites que vous avez. Une fois que vous contactez Microsoft pour utiliser la clé de disponibilité, vous serez entièrement en ligne au sein d’environ quatre heures.

Comment la clé de disponibilité est utilisée avec Exchange Online ?

Il existe trois manières que la clé de disponibilité est utilisée avec Exchange Online :

  • Disponibilité - services dans le cas où les clés de l’archivage sécurisé de clé Azure sont inaccessibles.

  • Actions initié par le code de service Office 365 - par exemple, création d’index de recherche ou déplacement boîtes aux lettres.

  • Récupérer les clés perte - tels que la perte des deux clés de l’archivage sécurisé de Azure clé associée à une seule prévention

Utilisation de la clé de disponibilité pour la disponibilité du service en cas de clés de l’archivage sécurisé de clé Azure sont inaccessibles.

Office 365 utilise la clé de disponibilité pour la disponibilité du service et récupération d’un état clé client mauvais état pour Exchange Online. Il existe une hiérarchie de clés utilisées par clé client. La figure suivante illustre cette hiérarchie.

Si les deux clés de l’archivage sécurisé de clé Azure d’une stratégie de chiffrement unique données (PED) ne sont pas disponibles, Office 365 peuvent utiliser la disponibilité clé pour utiliser un nouveau Office 365 prévention détermine si vous souhaitez utiliser la clé de disponibilité pour la disponibilité de service varie selon qu’un activité initialisé par l’utilisateur, par exemple, lorsqu’un utilisateur télécharge le courrier électronique pour le client Outlook ou une activité exécutée par le système, telles que l’indexation du contenu de la boîte aux lettres, ou pour les recherches de découverte électronique, déclenché le processus.

Office 365 suit ce processus en réponse aux actions initialisé par l’utilisateur pour déterminer si vous souhaitez utiliser la clé de disponibilité des boîtes aux lettres :

  1. Office 365 lit la DEP affectée de la boîte aux lettres afin de déterminer l’emplacement des clés deux client dans l’archivage sécurisé de clé Azure.

  2. Office 365 choisit une des deux clients clés dans la DEP et l’archivage sécurisé de clé Azure à renvoi de la clé de cette fonctionnalité en utilisant la clé client envoie une demande de manière aléatoire.

  3. Si la demande de renvoi de la DEP clé à l’aide de la clé client échoue et retourne une erreur, Office 365 envoie une deuxième demande l’archivage sécurisé Azure clé, cette fois demander au programme d’utiliser l’autre clé client (deuxième).

  4. Si la seconde demande de renvoi de la clé de cette fonctionnalité en utilisant l’échoue clés client et retourne une erreur, Office 365 examine les résultats de deux requêtes :

    • Si l’examen détermine que les erreurs ne sont pas reflètent une action explicite par une identité client, Office 365 utilise la clé de disponibilité pour déchiffrer la clé de cette fonctionnalité. La clé de cette fonctionnalité est ensuite utilisée pour déchiffrer la clé de boîte aux lettres et procéder à la demande de l’utilisateur.

      Dans ce cas, l’archivage sécurisé de clé Azure est pas pu répondre ou inaccessible pour une raison quelconque. Office 365 n’a aucun moyen de déterminer si le client a révoqué intentionnellement accès aux clés.

    • Si l’examen indique cette action délibérée a été redirigée pour le rendu des clés client indisponible, puis la clé de disponibilité n’est pas utilisée, Échec de la demande d’utilisateur et l’utilisateur reçoit un message d’erreur, par exemple d’échec de la connexion.

      Dans ce cas, le client est informé que service est affectée, et la condition de clé client ne fonctionne pas correctement. Par exemple, si un client utilise une DEP unique pour toutes les boîtes aux lettres dans l’organisation, l’utilisateur peut rencontrer une défaillance largement où les utilisateurs ne peuvent pas accéder à leur boîte aux lettres. Cela garantit que lorsque les deux clés client sont incorrects, le client est effectué prenant en charge de la nécessité de corriger la situation et restaurer le service dans un état correct.

Utilisation de la clé de disponibilité pour les actions initiées par code de service Office 365.

Code d’Office 365 service a un jeton de connexion valide toujours et ne peuvent pas être bloqué. Par conséquent, jusqu'à ce que la clé de disponibilité a été supprimée, il peut être utilisé pour les actions initié par, ou interne, code de service Office 365, telles que la création d’index de recherche ou en déplaçant les boîtes aux lettres.

Utilisation de la clé de disponibilité pour récupérer contre la perte de clés.

Vous pouvez utiliser la clé de disponibilité pour restaurer la perte des deux clés de l’archivage sécurisé de clé Azure qui sont associées à la même DEP, comme décrit dans la réponse à l’entrée du Forum aux questions » si mes touches sont destruction, comment puis-je récupérer ? ».

Comment la clé de disponibilité est utilisée avec SharePoint Online et OneDrive entreprise ?

Les SharePoint Online et OneDrive architecture d’entreprise et l’implémentation de clé clé client et disponibilité sont différents dans Exchange Online et Skype pour les entreprises.

Lorsqu’un client se déplace vers clés gérés par le client, Office 365 crée une clé intermédiaire spécifique au client (TIK). Office 365 chiffre le TIK deux fois, une fois avec chacune des clés de client et stocke les deux versions chiffrées de la TIK. Uniquement des versions chiffrées de la TIK sont stockées et un TIK peut uniquement être déchiffré avec les touches de client. La TIK, est utilisé pour chiffrer les clés de site, qui sont alors utilisés pour chiffrer les clés blob. Les objets BLOB eux-mêmes sont chiffrées et stockées dans le service de stockage d’objets Blob Microsoft Azure.

Office 365 suit ce processus pour accéder à un blob qui comporte les données de fichier client :

  1. Déchiffrer la TIK à l’aide de la clé client.

  2. Utilisez le TIK déchiffré pour déchiffrer une clé de site.

  3. Utilisez la touche site déchiffré pour déchiffrer une clé d’objets blob.

  4. Utilisez la touche blob déchiffré pour déchiffrer le blob.

Lors du déchiffrement un TIK, Office 365 émet deux demandes déchiffrement à l’archivage sécurisé de clé Azure avec un décalage légère. La première personne à terminer apporte le résultat, annulation de la demande d’autres.

Au cas où le client perd l’accès à leur clé de client, Office 365 également chiffre le TIK avec une clé de disponibilité et il stocke ainsi que les TIKs chiffrées avec chaque clé client. La TIK chiffrée avec la clé de disponibilité est utilisé uniquement lorsque le client appelle Microsoft à vous inscrire le chemin d’accès de récupération lorsqu’ils ont plus accéder à leur clé, intentionnellement ou accidentellement.

Pour des raisons d’échelle et disponibilité, TIKs déchiffrés sont mis en cache dans un cache mémoire limitée dans le temps. Deux heures avant un cache TIK est configuré pour expirer, Office 365 tente de déchiffrer chaque TIK. Déchiffrer les TIKs étend la durée de vie du cache. Si le déchiffrement TIK échoue pour une quantité importante de temps, Office 365 génère une alerte pour être averti ingénierie avant l’expiration du cache. Uniquement si le client appelle Microsoft Office 365 lancera l’opération de restauration, qui consiste à déchiffrer de que la TIK avec la touche disponibilité stockées dans de Microsoft store secret et d’intégration du client à l’aide de la déchiffré TIK et un nouvel ensemble touches de l’archivage sécurisé de clé Azure fourni par le client.

À partir d’aujourd'hui, clé client est impliquée dans la chaîne de chiffrement et de déchiffrement SharePoint Online des données de fichiers stockées dans le magasin d’objets blob Azure, mais pas les éléments de liste SharePoint Online ou de métadonnées stockées dans la base de données SQL. Office 365 n’utilise pas la clé disponibilité, pour SharePoint Online ou OneDrive entreprise différent de la casse ci-dessus, c'est-à-dire client démarrée. Comme décrit ci-dessus, humaine accès aux données client est protégé par client référentiel sécurisé.

Comment clé client est sous licence ?

Clé client est proposé dans la Suite Office 365 entreprise, « E5 » et la conformité avancées référence (SKU). En outre, les clients doivent également acheter la licence appropriée pour l’utilisation de l’archivage sécurisé de clé Azure.

Chaque utilisateur bénéficiant de clé client doit être sous licence s’ils le souhaitent doivent être couverts par la clé du client.

Pour SharePoint Online, l’administrateur de 365 Office qui configure clé client doit également être une licence, pour effectuer les étapes de configuration. En outre, les utilisateurs bénéficiant de la fonction devront forcément – comprend le propriétaire du site et les utilisateurs l’accès à des fichiers sur un ou plusieurs sites qui sont chiffrés à l’aide de la clé du client. Les utilisateurs externes n’avez pas besoin de posséder une licence pour accéder aux fichiers sur un ou plusieurs sites qui sont chiffrés à l’aide de la clé du client.

Pour Exchange Online, boîtes aux lettres « utilisateurs » et « utilisateur de messagerie » doit être une licence. Tous les autres, tels que des boîtes aux lettres partagées, ou groupe pas doivent disposer d’une licence pour la clé du client.

Puis-je activer la clé du client pour un abonnement d’évaluation ?

Non. Par définition, abonnements d’évaluation ont une durée de vie limitée. Clés de chiffrement qui sont hébergés dans les abonnements d’évaluation peuvent être perdues à la fin de la durée de vie d’évaluation. Étant donné que Microsoft ne peut pas et n’empêche pas les clients de placer des données client importantes dans les abonnements d’évaluation, l’utilisation de clé client avec abonnements d’évaluation est interdit.

Combien seront à l’aide de coût clé client ?

Outre la licence requis pour la clé du client, les clients verront un coût pour réduire l’utilisation de l’archivage sécurisé clé. L’archivage sécurisé de clé Azure tarifs décrit le modèle de coût et aideront à estimation. Il n’existe aucun moyen de prédire le coût exact n’importe quel client entraînera parce que des modèles d’utilisation peuvent varier. L’expérience a montré que le coût est très faible et généralement est comprise dans la plage de 0,002 $ à $0,005 par utilisateur par mois et le coût des clés de secours HSM. Le coût varie également en fonction de la configuration de journalisation choisie par le client et la quantité de stockage Azure utilisé pour les journaux de l’archivage sécurisé de clé Azure.

Pour plus d’informations

Pour commencer à utiliser la clé du client, voir contrôler vos données dans Office 365 à l’aide de la clé du client.

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×