Gérée par Microsoft : opérations de cycle de vie des clés de locataireMicrosoft-managed: Tenant key life cycle operations

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Si Microsoft gère votre clé de locataire pour Azure Information Protection (l’option par défaut), utilisez les sections suivantes pour obtenir plus d’informations sur les opérations de cycle de vie qui s’appliquent à cette topologie.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Révocation de votre clé de locataireRevoke your tenant key

Quand vous annulez votre abonnement Azure Information Protection, Azure Information Protection arrête d’utiliser votre clé de locataire, et aucune action n’est nécessaire de votre part.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Renouvellement de votre clé de locataireRekey your tenant key

Le renouvellement de la clé est également appelé déploiement de la clé.Rekeying is also known as rolling your key. Quand vous effectuez cette opération, Azure Information Protection cesse d’utiliser la clé de locataire existante pour protéger les documents et les e-mails, et commence à utiliser une autre clé.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Les stratégies et les modèles sont immédiatement abandonnés, mais ce changement est progressif pour les clients et les services existants qui utilisent Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Ainsi, pendant quelque temps, certains nouveaux contenus continuent d’être protégés par l’ancienne clé de locataire.So for some time, some new content continues to be protected with the old tenant key.

Pour renouveler la clé, vous devez configurer l’objet de clé de locataire et spécifier la clé de remplacement à utiliser.To rekey, you must configure the tenant key object and specify the alternative key to use. Ensuite, la clé précédemment utilisée est automatiquement marquée comme archivée pour Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Cette configuration garantit que le contenu protégé à l’aide de cette clé reste accessible.This configuration ensures that content that was protected by using this key remains accessible.

Exemples de scénarios dans lesquels il peut être nécessaire de renouveler la clé pour Azure Information Protection :Examples of when you might need to rekey for Azure Information Protection:

  • Vous avez effectué la migration à partir des services AD RMS (Active Directory Rights Management Services) avec une clé en mode de chiffrement 1.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Une fois la migration terminée, vous souhaitez passer à une clé qui utilise le mode de chiffrement 2.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Votre entreprise s'est divisée en deux sociétés distinctes ou plus.Your company has split into two or more companies. Quand vous renouvelez votre clé de locataire, la nouvelle société n’a pas accès au nouveau contenu publié par vos employés.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Elle pourra toujours accéder à l'ancien contenu si elle dispose d'une copie de l'ancienne clé de locataire.They can access the old content if they have a copy of the old tenant key.

  • Vous voulez passer d’une topologie de gestion des clés à une autre.You want to move from one key management topology to another.

  • Vous pensez que la copie principale de votre clé de locataire a été compromise.You believe the master copy of your tenant key is compromised.

Pour renouveler la clé, vous pouvez sélectionner une autre clé gérée par Microsoft comme clé de locataire, mais vous ne pouvez pas créer une clé gérée par Microsoft.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Pour créer une clé, vous devez passer à une topologie de clé gérée par le client (BYOK).To create a new key, you must change your key topology to be customer-managed (BYOK).

Si vous avez effectué la migration à partir des services AD RMS (Active Directory Rights Management Services) et que vous avez choisi la topologie de clé gérée par Microsoft pour Azure Information Protection, vous disposez de plusieurs clés gérées par Microsoft.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. Dans ce scénario, vous avez au moins deux clés gérées par Microsoft pour votre locataire.In this scenario, you have at least two Microsoft-managed keys for your tenant. Au moins une clé a été importée à partir d’AD RMS.One key, or more, is the key or keys that you imported from AD RMS. Vous disposez également de la clé par défaut qui a été automatiquement créée pour votre locataire Azure Information Protection.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Pour sélectionner une autre clé comme clé de locataire actif pour Azure Information Protection, utilisez l’applet de commande Set-AadrmKeyProperties à partir du module AADRM.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AadrmKeyProperties cmdlet from the AADRM module. Pour vous aider à identifier la clé à utiliser, utilisez l’applet de commande Get-AadrmKeys.To help you identify which key to use, use the Get-AadrmKeys cmdlet. Vous pouvez identifier la clé par défaut qui a été automatiquement créée pour votre locataire Azure Information Protection en exécutant la commande suivante :You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1

Pour passer à une topologie de clé gérée par le client (BYOK), consultez Implémentation de BYOK pour votre clé de locataire Azure Information Protection.To change your key topology to be customer-managed (BYOK), see Implementing BYOK for your Azure Information Protection tenant key.

Sauvegarde et récupération de votre clé de locataireBackup and recover your tenant key

Microsoft se charge de sauvegarder votre clé de locataire. Aucune action n'est requise de votre part.Microsoft is responsible for backing up your tenant key and no action is required from you.

Exportation de votre clé de locataireExport your tenant key

Vous pouvez exporter votre clé de locataire et votre configuration Azure Information Protection en suivant les instructions contenues dans les trois étapes suivantes :You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

Étape 1 : initiation d'une exportationStep 1: Initiate export

  • Contactez le support Microsoft pour ouvrir un dossier de support Azure Information Protection dans lequel vous demandez l’exportation d’une clé Azure Information Protection.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Vous devez prouver que vous êtes administrateur de votre locataire Azure Information Protection et comprendre que la confirmation de ce processus prend plusieurs jours.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Des frais de prise en charge standard s’appliquent. L’exportation de votre clé de locataire n’est pas un service de support technique gratuit.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Étape 2 : attente de la vérificationStep 2: Wait for verification

  • Microsoft vérifie la légitimité de votre demande d’émission de votre clé de locataire Azure Information Protection.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Cela peut prendre jusqu’à trois semaines.This process can take up to three weeks.

Étape 3 : réception d'instructions concernant la clé de la part du support techniqueStep 3: Receive key instructions from CSS

  • Les services de support technique Microsoft vous envoient votre clé de locataire et votre configuration Azure Information Protection sous forme chiffrée dans un fichier protégé par mot de passe.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. L’extension de nom de fichier est .tpd.This file has a .tpd file name extension. Pour ce faire, le support technique vous envoie (vous, la personne ayant demandé un export) tout d'abord un outil par e-mail.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Vous devez exécuter cet outil à partir d'une invite de commande, comme suit :You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Cette opération génère une paire de clés RSA et enregistre les moitiés publique et privée sous forme de fichiers dans le dossier actuel.This generates an RSA key pair and saves the public and private halves as files in the current folder. Par exemple : PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt et PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Répondez à l’e-mail que vous a envoyé le support technique et joignez à celui-ci le fichier portant un nom commençant par PublicKey.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. Le support technique vous envoie ensuite un fichier TPD au format .xml, chiffré à l’aide de votre clé RSA.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Copiez ce fichier dans le dossier dans lequel vous avez initialement exécuté l’outil AadrmTpd, puis réexécutez l’outil à l’aide de votre fichier dont le nom commence par PrivateKey et du fichier reçu du support technique.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Exemple :For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Cette commande doit générer deux fichiers : l’un contient le mot de passe en clair pour le TPD protégé par mot de passe, tandis que l’autre contient le TPD protégé par mot de passe en question.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Les fichiers ont un nouveau GUID, par exemple :The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Sauvegardez ces fichiers et stockez-les dans un emplacement sécurisé de façon à pouvoir continuer à déchiffrer le contenu protégé par cette clé de locataire.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. De plus, si vous migrez vers AD RMS, vous pouvez importer ce fichier de TPD (dont le nom commence par ExportedTDP) sur votre serveur AD RMS.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Étape 4 : En cours : Protection de votre clé de locataireStep 4: Ongoing: Protect your tenant key

Après avoir reçu votre clé de locataire, conservez-la en lieu sûr, car toute personne y ayant accès peut déchiffrer tous les documents qu'elle protège.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Si vous exportez votre clé de locataire parce que vous ne voulez plus utiliser Azure Information Protection, nous vous conseillons de désactiver le service Azure Rights Management à partir de votre locataire Azure Information Protection.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Ne reportez pas cela à plus tard après avoir reçu votre clé de locataire, car cette précaution vous permet de minimiser les conséquences éventuelles d’un accès à votre clé de locataire par une personne non autorisée.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Pour obtenir des instructions, consultez Mise hors service et désactivation d’Azure Rights Management.For instructions, see Decommissioning and deactivating Azure Rights Management.

Réponse à une violationRespond to a breach

Un système de sécurité est incomplet sans un processus de réponse aux violations.No security system, no matter how strong, is complete without a breach response process. Votre clé de locataire peut être compromise ou volée.Your tenant key might be compromised or stolen. Même si elle est bien protégée, des vulnérabilités peuvent être détectées dans la technologie actuelle de la clé ou dans les longueurs et algorithmes des clés.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft dispose d'une équipe chargée de répondre aux incidents de sécurité survenant dans ses produits et services.Microsoft has a dedicated team to respond to security incidents in its products and services. Dès la réception d'un rapport d'incident avéré, cette équipe met tout en œuvre pour analyser la portée, la cause première et les actions de correction à mettre en place.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Si cet incident affecte vos ressources, Microsoft envoie une notification par e-mail (à l’adresse fournie lors de la création de l’abonnement) aux administrateurs de votre locataire Azure Information Protection.If this incident affects your assets, Microsoft will notify your Azure Information Protection tenant administrators by email, by using the email address that you supplied when you subscribed.

En cas de violation, la meilleure mesure que vous ou Microsoft puissiez prendre dépend de la portée de la violation. Microsoft vous accompagnera dans ce processus.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Le tableau suivant présente des situations type et les réponses que vous pouvez mettre en place. Toutefois, la réponse exacte que vous apporterez dépend des informations obtenues lors de l’analyse.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Description de l'incidentIncident description Réponse possibleLikely response
Votre clé de locataire a fait l'objet d'une fuite.Your tenant key is leaked. Renouvelez votre clé de locataire.Rekey your tenant key. Consultez la section Renouvellement de votre clé de locataire dans cet article.See the Rekey your tenant key section in this article.
Une personne non autorisée ou un programme malveillant a obtenu le droit d'utiliser votre clé de locataire, sans que celle-ci ait fait l'objet d'une fuite.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Dans ce cas, le renouvellement de votre clé de locataire n’est pas utile et une analyse de la cause première est obligatoire.Rekeying your tenant key does not help here and requires root-cause analysis. Si un bogue au niveau d'un processus ou d'un logiciel est responsable de l'accès de l'individu non autorisé, cette situation doit être résolue.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Une vulnérabilité a été découverte dans l'algorithme RSA ou la longueur de la clé, ou des attaques en force brute peuvent être envisagées au niveau informatique.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft doit mettre à jour Azure Information Protection pour prendre en charge de nouveaux algorithmes et des clés plus longues qui sont résilientes. Elle doit également indiquer à tous les clients qu’ils doivent renouveler leur clé de locataire.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.