Gérée par Microsoft : opérations de cycle de vie des clés de locatairesMicrosoft-managed: Tenant key lifecycle operations

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Si Microsoft gère votre clé de locataire pour Azure Information Protection (option par défaut), utilisez les sections suivantes pour obtenir plus d’informations sur les opérations de cycle de vie qui s’appliquent à cette topologie.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the lifecycle operations that are relevant to this topology.

Révocation de votre clé de locataireRevoke your tenant key

Quand vous annulez votre abonnement Azure Information Protection, Azure Information Protection arrête d’utiliser votre clé de locataire, et aucune action n’est nécessaire de votre part.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Renouvellement de votre clé de locataireRekey your tenant key

Le renouvellement de la clé est également appelé déploiement de la clé.Rekeying is also known as rolling your key. Ne renouvelez pas votre clé de locataire à moins que ce soit vraiment nécessaire.Do not rekey your tenant key unless it’s really necessary. Les clients plus anciens, tels qu’Office 2010, n’ont pas été conçus pour gérer naturellement les changements de clés.Older clients, such as Office 2010, were not designed to handle key changes gracefully. Dans ce scénario, vous devez effacer l’état Rights Management des ordinateurs à l’aide d’une stratégie de groupe ou d’un mécanisme similaire.In this scenario, you must clear the Rights Management state on computers by using Group Policy or an equivalent mechanism. Toutefois, certains événements légitimes peuvent vous obliger à renouveler votre clé de locataire.However, there are some legitimate events that may force you to rekey your tenant key. Exemple :For example:

  • Votre entreprise s'est divisée en deux sociétés distinctes ou plus.Your company has split into two or more companies. Quand vous renouvelez votre clé de locataire, la nouvelle société n’a pas accès au nouveau contenu publié par vos employés.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Elle pourra toujours accéder à l'ancien contenu si elle dispose d'une copie de l'ancienne clé de locataire.They can access the old content if they have a copy of the old tenant key.

  • Vous pensez que la copie principale de votre clé de locataire (celle en votre possession) a été compromise.You believe the master copy of your tenant key (the copy in your possession) was compromised.

Vous pouvez renouveler votre clé de locataire en contactant le support Microsoft pour ouvrir un dossier de support Azure Information Protection dans lequel vous demandez le renouvellement de votre clé de locataire Azure Information Protection.You can rekey your tenant key by contacting Microsoft Support to open an Azure Information Protection support case with a request to rekey your Azure Information Protection tenant key. Vous devez prouver que vous êtes administrateur de votre locataire Azure Information Protection et comprendre que la confirmation de ce processus prend plusieurs jours.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process will take several days to confirm. Des frais de prise en charge standard s’appliquent. Le renouvellement de votre clé de locataire n’est pas un service de support gratuit.Standard support charges apply; rekeying your tenant key is a not a free-of-charge support service.

Quand vous renouvelez votre clé de locataire, le nouveau contenu est protégé à l’aide de la nouvelle clé de locataire.When you rekey your tenant key, new content is protected by using the new tenant key. Vous obtenez ce résultat en plusieurs étapes. Ainsi, pendant un certain temps, certains nouveaux contenus continuent d’être protégés par l’ancienne clé de locataire.This happens in a phased manner, so for some time, some new content continues to be protected with the old tenant key. Le contenu précédemment protégé reste protégé par l'ancienne clé de locataire.Previously protected content stays protected to your old tenant key. Pour prendre en charge ce scénario, Azure Information Protection conserve votre ancienne clé de locataire afin de pouvoir émettre des licences pour l’ancien contenu.To support this scenario, Azure Information Protection retains your old tenant key so that it can issue licenses for old content.

Sauvegarde et récupération de votre clé de locataireBackup and recover your tenant key

Microsoft se charge de sauvegarder votre clé de locataire. Aucune action n'est requise de votre part.Microsoft is responsible for backing up your tenant key and no action is required from you.

Exportation de votre clé de locataireExport your tenant key

Vous pouvez exporter votre clé de locataire et votre configuration Azure Information Protection en suivant les instructions contenues dans les trois étapes suivantes :You can export your Azure Information Protection configuration and tenant key by following the instructions in these three steps:

Étape 1 : initiation d'une exportationStep 1: Initiate export

  • Pour effectuer cette opération, contactez le support Microsoft pour ouvrir un dossier de support Azure Information Protection dans lequel vous demandez l’exportation d’une clé Azure Information Protection.To do this, contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Vous devez prouver que vous êtes administrateur de votre locataire Azure Information Protection et comprendre que la confirmation de ce processus prend plusieurs jours.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Des frais de prise en charge standard s’appliquent. L’exportation de votre clé de locataire n’est pas un service de support technique gratuit.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Étape 2 : attente de la vérificationStep 2: Wait for verification

  • Microsoft vérifie la légitimité de votre demande d’émission de votre clé de locataire Azure Information Protection.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Cela peut prendre jusqu’à trois semaines.This process can take up to three weeks.

Étape 3 : réception d'instructions concernant la clé de la part du support techniqueStep 3: Receive key instructions from CSS

  • Les services de support technique Microsoft vous envoient votre clé de locataire et votre configuration Azure Information Protection sous forme chiffrée dans un fichier protégé par mot de passe.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. L’extension de nom de fichier est .tpd.This file has a .tpd file name extension. Pour ce faire, le support technique vous envoie (vous, la personne ayant demandé un export) tout d'abord un outil par e-mail.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Vous devez exécuter cet outil à partir d'une invite de commande, comme suit :You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Cette opération génère une paire de clés RSA et enregistre les moitiés publique et privée sous forme de fichiers dans le dossier actuel.This generates an RSA key pair and saves the public and private halves as files in the current folder. Par exemple : PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt et PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Répondez à l’e-mail que vous a envoyé le support technique et joignez à celui-ci le fichier portant un nom commençant par PublicKey.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. Le support technique vous enverra ensuite un fichier de domaine de publication approuvé (TPD) au format .xml, chiffré à l'aide de votre clé RSA.CSS will next send you a TPD file as an .xml file that is encrypted with your RSA key. Copiez ce fichier dans le dossier dans lequel vous avez initialement exécuté l’outil AadrmTpd, puis réexécutez l’outil à l’aide de votre fichier dont le nom commence par PrivateKey et du fichier reçu du support technique.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Exemple :For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Cette commande doit générer deux fichiers : l’un contient le mot de passe en clair pour le TPD protégé par mot de passe, tandis que l’autre contient le TPD protégé par mot de passe en question.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Les fichiers ont un nouveau GUID, par exemple :The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

    Sauvegardez ces fichiers et stockez-les dans un emplacement sécurisé de façon à pouvoir continuer à déchiffrer le contenu protégé par cette clé de locataire.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. De plus, si vous migrez vers AD RMS, vous pouvez importer ce fichier de TPD (dont le nom commence par ExportedTDP) sur votre serveur AD RMS.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Étape 4 : En cours : Protection de votre clé de locataireStep 4: Ongoing: Protect your tenant key

  • Après avoir reçu votre clé de locataire, conservez-la en lieu sûr, car toute personne y ayant accès peut déchiffrer tous les documents qu'elle protège.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

    Si vous exportez votre clé de locataire parce que vous ne voulez plus utiliser Azure Information Protection, nous vous conseillons de désactiver le service Azure Rights Management à partir de votre locataire Azure Information Protection.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Ne reportez pas cela à plus tard après avoir reçu votre clé de locataire, car cette précaution vous permet de minimiser les conséquences éventuelles d’un accès à votre clé de locataire par une personne non autorisée.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Pour obtenir des instructions, consultez Mise hors service et désactivation d’Azure Rights Management.For instructions, see Decommissioning and deactivating Azure Rights Management.

Réponse à une violationRespond to a breach

Un système de sécurité est incomplet sans un processus de réponse aux violations.No security system, no matter how strong, is complete without a breach response process. Votre clé de locataire peut être compromise ou volée.Your tenant key might be compromised or stolen. Même si elle est bien protégée, des vulnérabilités peuvent être détectées dans la technologie actuelle du module de sécurité matériel (HSM), ou dans les longueurs et les algorithmes des clés.Even when it’s well-protected, vulnerabilities might be found in current generation HSM technology or current key lengths and algorithms.

Microsoft dispose d'une équipe chargée de répondre aux incidents de sécurité survenant dans ses produits et services.Microsoft has a dedicated team to respond to security incidents in its products and services. Dès la réception d'un rapport d'incident avéré, cette équipe met tout en œuvre pour analyser la portée, la cause première et les actions de correction à mettre en place.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Si ces incidents affectent vos ressources, Microsoft envoie une notification par e-mail (à l’adresse fournie lors de la création de l’abonnement) aux administrateurs de votre locataire Azure Information Protection.If this incident affects your assets, then Microsoft will notify your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

En cas de violation, la meilleure mesure que vous ou Microsoft puissiez prendre dépend de la portée de la violation. Microsoft vous accompagnera dans ce processus.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Le tableau suivant présente des situations type et les réponses que vous pouvez mettre en place. Toutefois, la réponse exacte que vous apporterez dépend des informations obtenues lors de l’analyse.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Description de l'incidentIncident description Réponse possibleLikely response
Votre clé de locataire a fait l'objet d'une fuite.Your tenant key is leaked. Renouvelez votre clé de locataire.Rekey your tenant key. Consultez la section Renouvellement de votre clé de locataire dans cet article.See the Rekey your tenant key section in this article.
Une personne non autorisée ou un programme malveillant a obtenu le droit d'utiliser votre clé de locataire, sans que celle-ci ait fait l'objet d'une fuite.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Dans ce cas, le renouvellement de votre clé de locataire n’est pas utile et une analyse de la cause première est obligatoire.Rekeying your tenant key does not help here and requires root-cause analysis. Si un bogue au niveau d'un processus ou d'un logiciel est responsable de l'accès de l'individu non autorisé, cette situation doit être résolue.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Une vulnérabilité a été découverte dans l'algorithme RSA ou la longueur de la clé, ou des attaques en force brute peuvent être envisagées au niveau informatique.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft doit mettre à jour Azure Information Protection pour prendre en charge de nouveaux algorithmes et des clés plus longues qui sont résilientes. Elle doit également indiquer à tous les clients qu’ils doivent renouveler leur clé de locataire.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.