Gérée par le client : opérations de cycle de vie des clés de locatairesCustomer-managed: Tenant key lifecycle operations

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Si vous gérez votre clé de locataire pour Azure Information Protection (dans le cadre d’un scénario BYOK, ou Bring Your Own Key), utilisez les sections suivantes pour obtenir plus d’informations sur les opérations de cycle de vie qui s’appliquent à cette topologie.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the lifecycle operations that are relevant to this topology.

Révocation de votre clé de locataireRevoke your tenant key

Dans Azure Key Vault, vous pouvez modifier les autorisations sur le coffre de clés qui contient votre clé de locataire Azure Information Protection pour que le service Azure Rights Management ne puisse plus accéder à la clé.In Azure Key Vault, you can change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Cependant, si vous effectuez cette opération, personne ne peut ouvrir les documents et les e-mails que vous avez précédemment protégés à l’aide du service Azure Rights Management.However, when you do this, nobody will be able to open documents and emails that you previously protected with the Azure Rights Management service.

Quand vous annulez votre abonnement Azure Information Protection, Azure Information Protection arrête d’utiliser votre clé de locataire, et aucune action n’est nécessaire de votre part.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Renouvellement de votre clé de locataireRekey your tenant key

Le renouvellement de la clé est également appelé déploiement de la clé.Rekeying is also known as rolling your key. Ne renouvelez pas votre clé de locataire à moins que ce soit vraiment nécessaire.Do not rekey your tenant key unless it’s really necessary. Les clients plus anciens, tels qu’Office 2010, n’ont pas été conçus pour gérer naturellement les changements de clés.Older clients, such as Office 2010, were not designed to handle key changes gracefully. Dans ce scénario, vous devez effacer l’état Rights Management des ordinateurs à l’aide d’une stratégie de groupe ou d’un mécanisme similaire.In this scenario, you must clear the Rights Management state on computers by using Group Policy or an equivalent mechanism. Toutefois, certains événements légitimes peuvent vous obliger à renouveler votre clé de locataire.However, there are some legitimate events that may force you to rekey your tenant key. Exemple :For example:

  • Votre entreprise s'est divisée en deux sociétés distinctes ou plus.Your company has split into two or more companies. Quand vous renouvelez votre clé de locataire, la nouvelle société n’a pas accès au nouveau contenu publié par vos employés.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Elle pourra toujours accéder à l'ancien contenu si elle dispose d'une copie de l'ancienne clé de locataire.They can access the old content if they have a copy of the old tenant key.

  • Vous pensez que la copie principale de votre clé de locataire (celle en votre possession) a été compromise.You believe the master copy of your tenant key (the copy in your possession) was compromised.

Quand vous renouvelez votre clé de locataire, le nouveau contenu est protégé à l’aide de la nouvelle clé de locataire.When you rekey your tenant key, new content is protected by using the new tenant key. Vous obtenez ce résultat en plusieurs étapes. Ainsi, pendant un certain temps, certains nouveaux contenus continueront d'être protégés par l'ancienne clé de locataire.This happens in a phased manner, so for a period of time, some new content will continue to be protected with the old tenant key. Le contenu précédemment protégé reste protégé par l'ancienne clé de locataire.Previously protected content stays protected to your old tenant key. Pour prendre en charge ce scénario, Azure Information Protection conserve votre ancienne clé de locataire afin de pouvoir émettre des licences pour l’ancien contenu.To support this scenario, Azure Information Protection retains your old tenant key so that it can issue licenses for old content.

Pour renouveler votre clé de locataire, commencez par renouveler votre clé de locataire Azure Information Protection dans Key Vault.To rekey your tenant key, first rekey your Azure Information Protection tenant key in Key Vault. Exécutez ensuite l’applet de commande Use-AadrmKeyVaultKey en indiquant l’URL de la nouvelle clé.Then run the Use-AadrmKeyVaultKey cmdlet again, specifying the new key URL.

Sauvegarde et récupération de votre clé de locataireBackup and recover your tenant key

Vous êtes responsable de la sauvegarde de votre clé de locataire.You are responsible for backing up your tenant key. Si vous avez généré votre clé de locataire dans un module de sécurité matériel Thales, pour sauvegarder la clé, il vous suffit de sauvegarder le fichier de clé tokénisée, le fichier Word ainsi que les cartes Administrateur.If you generated your tenant key in a Thales HSM, to back up the key, just back up the Tokenized Key file, the World file, and the Administrator Cards.

Comme vous avez transféré votre clé en suivant les procédures décrites dans la section Implémentation de BYOK (Bring Your Own Key) de l’article Planification et implémentation de la clé de locataire Azure Rights Management, Key Vault conserve le fichier de clé tokenisée pour se protéger des défaillances des nœuds du service.Because you transferred your key by following the procedures in the Implementing bring your own key (BYOK) section from the Planning and implementing your Azure Rights Management tenant key article, Key Vault will persist the Tokenized Key File, to protect against failure of any service nodes. Ce fichier est lié à la sécurité de l’instance ou de la région Azure spécifique.This file is bound to the security world for the specific Azure region or instance. Cependant, il ne s'agit pas là d'une sauvegarde complète.However, do not consider this to be a full backup. Par exemple, si vous avez besoin d’une copie en texte brut de votre clé pour l’utiliser en dehors d’un HSM Thales, Azure Key Vault ne peut pas la récupérer à votre place, car il a seulement une copie non récupérable.For example, if you ever need a plain text copy of your key to use outside a Thales HSM, Azure Key Vault will not be able to retrieve it for you because it only has a non-recoverable copy.

Exportation de votre clé de locataireExport your tenant key

Si vous utilisez BYOK, vous ne pouvez pas exporter votre clé de locataire à partir d’Azure Key Vault ou d’Azure Information Protection.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. La copie dans Azure Key Vault est non récupérable.The copy in Azure Key Vault is non-recoverable.

Réponse à une violationRespond to a breach

Un système de sécurité est incomplet sans un processus de réponse aux violations.No security system, no matter how strong, is complete without a breach response process. Votre clé de locataire peut être compromise ou volée.Your tenant key might be compromised or stolen. Même si elle est bien protégée, des vulnérabilités peuvent être détectées dans la technologie actuelle du module de sécurité matériel (HSM), ou dans les longueurs et les algorithmes des clés.Even when it’s well protected well, vulnerabilities might be found in current generation HSM technology or current key lengths and algorithms.

Microsoft dispose d'une équipe chargée de répondre aux incidents de sécurité survenant dans ses produits et services.Microsoft has a dedicated team to respond to security incidents in its products and services. Dès la réception d'un rapport d'incident avéré, cette équipe met tout en œuvre pour analyser la portée, la cause première et les actions de correction à mettre en place.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Si ces incidents affectent vos ressources, Microsoft envoie une notification par e-mail (à l’adresse fournie lors de la création de l’abonnement) aux administrateurs de votre locataire Azure Information Protection.If this incident affects your assets, then Microsoft will notify your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

En cas de violation, la meilleure mesure que vous ou Microsoft puissiez prendre dépend de la portée de la violation. Microsoft vous accompagnera dans ce processus.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Le tableau suivant présente des situations type et les réponses que vous pouvez mettre en place. Toutefois, la réponse exacte que vous apporterez dépendra des informations obtenues lors de l'analyse.The following table shows some typical situations and the likely response, although the exact response will depend on all the information that is revealed during the investigation.

Description de l'incidentIncident description Réponse possibleLikely response
Votre clé de locataire a fait l'objet d'une fuite.Your tenant key is leaked. Renouvelez votre clé de locataire.Rekey your tenant key. Consultez Renouvellement de votre clé de locataire.See Rekey your tenant key.
Une personne non autorisée ou un programme malveillant a obtenu le droit d'utiliser votre clé de locataire, sans que celle-ci ait fait l'objet d'une fuite.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Dans ce cas, le renouvellement de votre clé de locataire n’est pas utile et une analyse de la cause première est obligatoire.Rekeying your tenant key does not help here and requires root-cause analysis. Si un bogue au niveau d'un processus ou d'un logiciel est responsable de l'accès de l'individu non autorisé, cette situation doit être résolue.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Vulnérabilité détectée dans la technologie HSM actuelle.Vulnerability discovered in the current-generation HSM technology. Microsoft doit mettre à jour les modules de sécurité matériels.Microsoft must update the HSMs. S'il y a des raisons de penser que les clés ont été exposées via cette vulnérabilité, Microsoft demandera à tous les clients de renouveler leur clé de locataire.If there is reason to believe that the vulnerability exposed keys, then Microsoft will instruct all customers to renew their tenant keys.
Une vulnérabilité a été découverte dans l'algorithme RSA ou la longueur de la clé, ou des attaques en force brute peuvent être envisagées au niveau informatique.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft doit mettre à jour Azure Key Vault ou Azure Information Protection pour prendre en charge de nouveaux algorithmes et des clés plus longues qui sont résilientes. Elle doit également indiquer à tous les clients qu’ils doivent renouveler leur clé de locataire.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.