Gérée par Microsoft : opérations de cycle de vie des clés de client
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.
Le nouveau client Microsoft Protection des données (sans le complément) est actuellement en préversion et planifié pour la disponibilité générale.
Si Microsoft gère votre clé client pour Azure Information Protection (valeur par défaut), utilisez les sections suivantes pour plus d’informations sur les opérations de cycle de vie pertinentes pour cette topologie.
Révoquer votre clé client
Lorsque vous annulez votre abonnement pour Azure Information Protection, Azure Information Protection cesse d’utiliser votre clé client et aucune action n’est nécessaire pour vous.
Retaper votre clé client
La retapage est également connue sous le nom de déploiement de votre clé. Lorsque vous effectuez cette opération, Azure Information Protection cesse d’utiliser la clé client existante pour protéger les documents et les emails, et commence à utiliser une autre clé. Les stratégies et les modèles sont immédiatement résignés, mais cette modification est progressive pour les clients et services existants à l’aide d’Azure Information Protection. Par conséquent, pendant un certain temps, certains nouveaux contenus continuent d’être protégés avec l’ancienne clé client.
Pour retaper, vous devez configurer l’objet de clé client et spécifier l’autre clé à utiliser. Ensuite, la clé précédemment utilisée est automatiquement marquée comme archivée pour Azure Information Protection. Cette configuration garantit que le contenu protégé à l’aide de cette clé reste accessible.
Exemples de cas où vous devrez peut-être retaper pour Azure Information Protection :
Vous avez migré à partir de services AD RMS (Active Directory Rights Management Services) (AD RMS) avec une clé de mode de chiffrement 1. Une fois la migration terminée, vous souhaitez passer à l’utilisation d’une clé qui utilise le mode de chiffrement 2.
Votre entreprise s’est divisée en deux entreprises ou plus. Lorsque vous retapez votre clé client, la nouvelle entreprise n’aura pas accès au nouveau contenu que vos employés publient. Ils peuvent accéder à l’ancien contenu s’ils ont une copie de l’ancienne clé client.
Vous souhaitez passer d’une topologie de gestion de clés à une autre.
Vous pensez que la copie principale de votre clé client est compromise.
Pour retaper, vous pouvez sélectionner une autre clé gérée par Microsoft pour devenir votre clé client, mais vous ne pouvez pas créer une clé gérée par Microsoft. Pour créer une clé, vous devez modifier votre topologie de clé pour qu’elle soit gérée par le client (BYOK).
Vous avez plusieurs clés gérées par Microsoft si vous avez migré à partir de services AD RMS (Active Directory Rights Management Services) (AD RMS) et choisi la topologie de clé gérée par Microsoft pour Azure Information Protection. Dans ce scénario, vous avez au moins deux clés gérées par Microsoft pour votre client. Une clé, ou plus, est la clé ou les clés que vous avez importées à partir d’AD RMS. Vous disposez également de la clé par défaut qui a été créée automatiquement pour votre client Azure Information Protection.
Pour sélectionner une autre clé client active pour Azure Information Protection, utilisez l’applet de commande Set-AipServiceKeyProperties à partir du module AIPService. Pour vous aider à identifier la clé à utiliser, utilisez l’applet de commande Get-AipServiceKeys . Vous pouvez identifier la clé par défaut qui a été créée automatiquement pour votre client Azure Information Protection en exécutant la commande suivante :
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Pour modifier la topologie de clé pour qu’elle soit gérée par le client (BYOK), consultez Planification et implémentation de votre clé client Azure Information Protection.
Sauvegarder et récupérer votre clé client
Microsoft est responsable de la sauvegarde de votre clé client et aucune action n’est nécessaire de votre part.
Exporter votre clé client
Vous pouvez exporter votre clé client et de configuration Azure Information Protection en suivant les instructions décrites dans les trois étapes suivantes :
Étape 1 : lancer l’exportation
- Contactez Support Microsoft pour ouvrir un cas de support Azure Information Protection avec une demande d’exportation de clé Azure Information Protection. Vous devez prouver que vous êtes administrateur général de votre client et comprendre que ce processus prend plusieurs jours pour confirmer. Les frais de support standard s’appliquent ; l’exportation de votre clé client n’est pas un service de support gratuit.
Étape 2 : attendre la vérification
- Microsoft vérifie que votre demande de publication de votre clé client Azure Information Protection est légitime. Ce processus peut prendre jusqu’à trois semaines.
Étape 3 : recevoir des instructions clés de CSS
Les services d'assistance à la clientèle de Microsoft (CSS) vous envoient votre configuration Azure Information Protection et votre clé client chiffrées dans un fichier protégé par mot de passe. Ce fichier a une extension de nom de fichier .tpd. Pour ce faire, CSS vous envoie d’abord (en tant que personne qui a lancé l’exportation) un outil par email. Vous devez exécuter l’outil à partir d’une invite de commandes comme suit :
AadrmTpd.exe -createkeyCela génère une paire de clés RSA et enregistre les moitiés publiques et privées sous forme de fichiers dans le dossier actif. Par exemple : PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt et PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Répondez à l’email à partir de CSS, en joignant le fichier dont le nom commence par PublicKey. CSS vous envoie ensuite un fichier TPD en tant que fichier .xml chiffré avec votre clé RSA. Copiez ce fichier dans le même dossier que vous avez exécuté l’outil AadrmTpd à l’origine, puis réexécutez l’outil à l’aide de votre fichier commençant par PrivateKey et le fichier à partir de CSS. Par exemple :
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlLa sortie de cette commande doit être de deux fichiers : un contient le mot de passe en texte brut pour le TPD protégé par mot de passe, et l’autre est le TPD protégé par mot de passe lui-même. Les fichiers ont un nouveau GUID, par exemple :
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Sauvegardez ces fichiers et stockez-les en toute sécurité pour vous assurer que vous pouvez continuer à déchiffrer le contenu protégé avec cette clé client. En outre, si vous migrez vers AD RMS, vous pouvez importer ce fichier TPD (fichier qui commence par ExportTDP) vers votre serveur AD RMS.
Étape 4 : en cours : protéger votre clé client
Après avoir reçu votre clé client, gardez-la bien protégée, car si quelqu’un y accède, il peut déchiffrer tous les documents protégés à l’aide de cette clé.
Si la raison de l’exportation de votre clé client est que vous ne souhaitez plus utiliser Azure Information Protection, comme bonne pratique, désactivez maintenant le service Azure Rights Management à partir de votre client Azure Information Protection. Ne retardez pas cette opération après avoir reçu votre clé client, car cette précaution permet de minimiser les conséquences si votre clé client est accessible par quelqu’un qui ne devrait pas l’avoir. Pour plus d’informations, consultez Désaffectation et désactivation d’Azure Rights Management.
Répondre à une violation
Aucun système de sécurité, quel que soit le niveau de force, est terminé sans processus de réponse aux violations. Votre clé client peut être compromise ou volée. Même s’il est protégé correctement, des vulnérabilités peuvent être trouvées dans la technologie de clé de génération actuelle ou dans les longueurs et algorithmes de clé actuels.
Microsoft dispose d’une équipe dédiée pour répondre aux incidents de sécurité dans ses produits et services. Dès qu’il existe un rapport crédible d’un incident, cette équipe s’engage à examiner l’étendue, la cause racine et les atténuations. Si cet incident affecte vos ressources, Microsoft informe les administrateurs généraux de votre client par email.
Si vous avez une violation, la meilleure action que vous ou Microsoft pouvez entreprendre dépend de l’étendue de la violation ; Microsoft vous accompagne tout au long de ce processus. Le tableau suivant présente certaines situations courantes et la réponse probable, bien que la réponse exacte dépend de toutes les informations qui sont révélées pendant l’enquête.
| Description de l'incident | Réponse probable |
|---|---|
| Votre clé client est divulguée. | Retaper votre clé client. Consultez la section retaper votre clé client dans cet article. |
| Une personne ou un programme malveillant non autorisé a obtenu des droits pour utiliser votre clé client, mais la clé elle-même n’a pas fui. | Le retapage de votre clé client n’aide pas ici et nécessite une analyse de la cause racine. Si un processus ou un bogue logiciel était responsable de l’accès non autorisé, cette situation doit être résolue. |
| Les vulnérabilités découvertes dans l’algorithme RSA, ou la longueur de clé, ou les attaques par force brute deviennent réalisables en calcul. | Microsoft doit mettre à jour Azure Information Protection pour prendre en charge de nouveaux algorithmes et des longueurs de clés plus longues qui sont résilientes, et demander à tous les clients de retaper leur clé client. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour