Gérée par le client : opérations de cycle de vie des clés de locatairesCustomer-managed: Tenant key life cycle operations

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Si vous gérez votre clé de locataire pour Azure Information Protection (dans le cadre d’un scénario BYOK, ou Bring Your Own Key), utilisez les sections suivantes pour obtenir plus d’informations sur les opérations de cycle de vie qui s’appliquent à cette topologie.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Révocation de votre clé de locataireRevoke your tenant key

Dans Azure Key Vault, vous pouvez modifier les autorisations sur le coffre de clés qui contient votre clé de locataire Azure Information Protection pour que le service Azure Rights Management ne puisse plus accéder à la clé.In Azure Key Vault, you can change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Cependant, si vous effectuez cette opération, personne ne peut ouvrir les documents et les e-mails que vous avez précédemment protégés à l’aide du service Azure Rights Management.However, when you do this, nobody will be able to open documents and emails that you previously protected with the Azure Rights Management service.

Quand vous annulez votre abonnement Azure Information Protection, Azure Information Protection arrête d’utiliser votre clé de locataire, et aucune action n’est nécessaire de votre part.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Renouvellement de votre clé de locataireRekey your tenant key

Le renouvellement de la clé est également appelé déploiement de la clé.Rekeying is also known as rolling your key. Quand vous effectuez cette opération, Azure Information Protection cesse d’utiliser la clé de locataire existante pour protéger les documents et les e-mails, et commence à utiliser une autre clé.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Les stratégies et les modèles sont immédiatement abandonnés, mais ce changement est progressif pour les clients et les services existants qui utilisent Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Ainsi, pendant quelque temps, certains nouveaux contenus continuent d’être protégés par l’ancienne clé de locataire.So for some time, some new content continues to be protected with the old tenant key.

Pour renouveler la clé, vous devez configurer l’objet de clé de locataire et spécifier la clé de remplacement à utiliser.To rekey, you must configure the tenant key object and specify the alternative key to use. Ensuite, la clé précédemment utilisée est automatiquement marquée comme archivée pour Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Cette configuration garantit que le contenu protégé à l’aide de cette clé reste accessible.This configuration ensures that content that was protected by using this key remains accessible.

Exemples de scénarios dans lesquels il peut être nécessaire de renouveler la clé pour Azure Information Protection :Examples of when you might need to rekey for Azure Information Protection:

  • Votre entreprise s'est divisée en deux sociétés distinctes ou plus.Your company has split into two or more companies. Quand vous renouvelez votre clé de locataire, la nouvelle société n’a pas accès au nouveau contenu publié par vos employés.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Elle pourra toujours accéder à l'ancien contenu si elle dispose d'une copie de l'ancienne clé de locataire.They can access the old content if they have a copy of the old tenant key.

  • Vous voulez passer d’une topologie de gestion des clés à une autre.You want to move from one key management topology to another.

  • Vous pensez que la copie principale de votre clé de locataire (celle en votre possession) est compromise.You believe the master copy of your tenant key (the copy in your possession) is compromised.

Pour renouveler la clé et obtenir ainsi une autre clé que vous gérez, vous pouvez créer une clé dans Azure Key Vault ou utiliser une autre clé déjà présente dans Azure Key Vault.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Suivez ensuite les mêmes procédures que celles que vous avez effectuées pour implémenter BYOK pour Azure Information Protection.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Uniquement si la nouvelle clé se trouve dans un coffre de clés différent de celui que vous utilisez déjà pour Azure Information Protection : autorisez Azure Information Protection à utiliser le coffre de clés à l’aide de l’applet de commande Set-AzureRmKeyVaultAccessPolicy.Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzureRmKeyVaultAccessPolicy cmdlet.

  2. Si Azure Information Protection n’a pas encore d’informations sur la clé que vous voulez utiliser, exécutez l’applet de commande Use-AadrmKeyVaultKey.If Azure Information Protection doesn't already know about the key you want to use, run Use-AadrmKeyVaultKey cmdlet.

  3. Configurez l’objet clé du locataire à l’aide de l’applet de commande Set-AadrmKeyProperties.Configure the tenant key object, by using the run Set-AadrmKeyProperties cmdlet.

Pour plus d’informations sur chacune de ces étapes :For more information about each of these steps:

Sauvegarde et récupération de votre clé de locataireBackup and recover your tenant key

Étant donné que vous gérez votre clé de locataire, vous êtes responsable de la sauvegarde de la clé utilisée par Azure Information Protection.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Si vous avez généré votre clé de locataire localement, dans un HSM Thales : Pour sauvegarder la clé, sauvegardez le fichier de clé tokenisée, le fichier du monde et les cartes d’administrateur.If you generated your tenant key on premises, in a Thales HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Quand vous transférez votre clé vers Azure Key Vault, le service enregistre le fichier de clé tokenisée pour se protéger des défaillances des nœuds de service.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Ce fichier est lié à la sécurité de l’instance ou de la région Azure spécifique.This file is bound to the security world for the specific Azure region or instance. Cependant, il ne s'agit pas là d'une sauvegarde complète.However, do not consider this to be a full backup. Par exemple, si vous avez besoin d’une copie en texte brut de votre clé pour l’utiliser en dehors d’un HSM Thales, Azure Key Vault ne peut pas la récupérer à votre place car il a seulement une copie non récupérable.For example, if you ever need a plain text copy of your key to use outside a Thales HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault dispose d’une applet de commande de sauvegarde que vous pouvez utiliser pour sauvegarder une clé en la téléchargeant et en la stockant dans un fichier.Azure Key Vault has a backup cmdlet that you can use to backup a key by downloading it and storing it in a file. Le contenu téléchargé étant chiffré, il ne peut pas être utilisé à l’extérieur d’Azure Key Vault.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Exportation de votre clé de locataireExport your tenant key

Si vous utilisez BYOK, vous ne pouvez pas exporter votre clé de locataire à partir d’Azure Key Vault ou d’Azure Information Protection.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. La copie dans Azure Key Vault est non récupérable.The copy in Azure Key Vault is non-recoverable.

Réponse à une violationRespond to a breach

Un système de sécurité est incomplet sans un processus de réponse aux violations.No security system, no matter how strong, is complete without a breach response process. Votre clé de locataire peut être compromise ou volée.Your tenant key might be compromised or stolen. Même si elle est bien protégée, des vulnérabilités peuvent être détectées dans la technologie actuelle de la clé ou dans les longueurs et algorithmes des clés.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft dispose d'une équipe chargée de répondre aux incidents de sécurité survenant dans ses produits et services.Microsoft has a dedicated team to respond to security incidents in its products and services. Dès la réception d'un rapport d'incident avéré, cette équipe met tout en œuvre pour analyser la portée, la cause première et les actions de correction à mettre en place.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Si ces incidents affectent vos ressources, Microsoft envoie une notification par e-mail (à l’adresse fournie lors de la création de l’abonnement) aux administrateurs de votre locataire Azure Information Protection.If this incident affects your assets, Microsoft notifies your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

En cas de violation, la meilleure mesure que vous ou Microsoft puissiez prendre dépend de la portée de la violation. Microsoft vous accompagnera dans ce processus.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Le tableau suivant présente des situations type et les réponses que vous pouvez mettre en place. Toutefois, la réponse exacte que vous apporterez dépend des informations obtenues lors de l’analyse.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Description de l'incidentIncident description Réponse possibleLikely response
Votre clé de locataire a fait l'objet d'une fuite.Your tenant key is leaked. Renouvelez votre clé de locataire.Rekey your tenant key. Consultez Renouvellement de votre clé de locataire.See Rekey your tenant key.
Une personne non autorisée ou un programme malveillant a obtenu le droit d'utiliser votre clé de locataire, sans que celle-ci ait fait l'objet d'une fuite.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Dans ce cas, le renouvellement de votre clé de locataire n’est pas utile et une analyse de la cause première est obligatoire.Rekeying your tenant key does not help here and requires root-cause analysis. Si un bogue au niveau d'un processus ou d'un logiciel est responsable de l'accès de l'individu non autorisé, cette situation doit être résolue.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Vulnérabilité détectée dans la technologie HSM actuelle.Vulnerability discovered in the current-generation HSM technology. Microsoft doit mettre à jour les modules de sécurité matériels.Microsoft must update the HSMs. S’il y a des raisons de penser que les clés ont été exposées à cause de cette vulnérabilité, Microsoft demande à tous les clients de renouveler leur clé de locataire.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to renew their tenant keys.
Une vulnérabilité a été découverte dans l'algorithme RSA ou la longueur de la clé, ou des attaques en force brute peuvent être envisagées au niveau informatique.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft doit mettre à jour Azure Key Vault ou Azure Information Protection pour prendre en charge de nouveaux algorithmes et des clés plus longues qui sont résilientes. Elle doit également indiquer à tous les clients qu’ils doivent renouveler leur clé de locataire.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.