Planification et implémentation de votre clé de locataire Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Utilisez les informations de cet article pour planifier et gérer votre clé de locataire Azure Information Protection.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Par exemple, au lieu que Microsoft gère votre clé de locataire (par défaut), vous pouvez gérer votre propre clé de locataire afin de vous conformer à des réglementations spécifiques s'appliquant à votre organisation.For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. La gestion de votre propre clé de locataire est également appelée BYOK (Bring Your Own Key).Managing your own tenant key is also referred to as bring your own key, or BYOK.

Qu’est-ce la clé de locataire Azure Information Protection ?What is the Azure Information Protection tenant key?

  • La clé de locataire Azure Information Protection est une clé racine pour votre organisation.The Azure Information Protection tenant key is a root key for your organization. D’autres clés peuvent être dérivées de cette clé racine, comme les clés d’utilisateur, les clés d’ordinateur et les clés de chiffrement des documents.Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Quand Azure Information Protection utilise ces clés pour votre organisation, elles sont chaînées de façon chiffrée à votre clé de locataire Azure Information Protection.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • La clé de locataire Azure Information Protection est l’équivalent en ligne de la clé de certificat de licence serveur d’Active Directory Rights Management Services (AD RMS).The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

Aperçu rapide : Utilisez le tableau suivant comme guide rapide pour votre topologie de clé de locataire recommandée.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Ensuite, utilisez la documentation supplémentaire pour obtenir plus d’informations.Then, use the additional documentation for more information.

Besoin de l'entrepriseBusiness requirement Topologie de clé de locataire recommandéeRecommended tenant key topology
Déployez Azure Information Protection rapidement et sans matériel spécial, sans logiciel supplémentaire et sans abonnement Azure.Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

Par exemple : des environnements de test et quand votre organisation n’a pas de spécifications réglementaires pour la gestion des clés.For example: Testing environments and when your organization does not have regulatory requirements for key management.
Gestion par MicrosoftManaged by Microsoft
Réglementations de conformité, sécurité supplémentaire et contrôle sur toutes les opérations du cycle de vie.Compliance regulations, additional security, and control over all life cycle operations.

Par exemple : votre clé doit être protégée par un module de sécurité matériel (HSM).For example: Your key must be protected by a hardware security module (HSM).
BYOK [1]BYOK [1]

Si nécessaire, vous pouvez changer la topologie de clé de locataire après le déploiement à l’aide de l’applet de commande Set-AadrmKeyProperties.If required, you can change your tenant key topology after deployment, by using the Set-AadrmKeyProperties cmdlet.

Choix de la topologie de clé de locataire : gestion Microsoft (par défaut) ou gestion BYOKChoose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Choisissez la topologie de clé de locataire la plus adaptée à votre organisation.Decide which tenant key topology is best for your organization. Par défaut, Azure Information Protection génère votre clé de locataire et gère la plupart des aspects de son cycle de vie.By default, Azure Information Protection generates your tenant key and manages most aspects of the tenant key lifecycle. Il s'agit de l'option la plus simple, avec la charge administrative la plus faible.This is the simplest option with the lowest administrative overheads. Dans la plupart des cas, les utilisateurs n'ont même pas conscience de l'existence de cette clé de locataire.In most cases, you do not even need to know that you have a tenant key. Il leur suffit de s’inscrire à Azure Information Protection ; le reste du processus de gestion de la clé est traité par Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Choisissez la topologie de clé de locataire la plus adaptée à votre organisation :Decide which tenant key topology is best for your organization:

  • Gérée par Microsoft : Azure Information Protection génère automatiquement une clé de locataire pour votre organisation.Managed by Microsoft: Azure Information Protection automatically generates a tenant key for your organization. Par défaut, Microsoft utilise cette clé pour votre locataire et gère la plupart des aspects du cycle de vie de votre clé de locataire.By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    Il s'agit de l'option la plus simple, avec la charge administrative la plus faible.This is the simplest option with the lowest administrative overheads. Dans la plupart des cas, les utilisateurs n'ont même pas conscience de l'existence de cette clé de locataire.In most cases, you do not even need to know that you have a tenant key. Il leur suffit de s’inscrire à Azure Information Protection ; le reste du processus de gestion de la clé est traité par Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • Gérée par vous (BYOK) : pour un contrôle total sur votre clé de locataire, utilisez Azure Key Vault avec Azure Information Protection.Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. Pour cette topologie de clé de locataire, vous créez la clé, directement dans Key Vault ou localement.For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. Si vous la créez localement, vous transférez ou vous importez ensuite cette clé dans Key Vault.If you create it on-premises, you next transfer or import this key into Key Vault. Vous configurez ensuite Azure Information Protection pour utiliser cette clé, et vous la gérez dans Azure Key Vault.You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

Plus d’informations sur BYOKMore information about BYOK

Pour créer votre propre clé, vous disposez des options suivantes :To create your own key, you have the following options:

  • Une clé que vous créez localement, et que vous transférez ou que vous importez dans Key Vault :A key that you create on-premises and transfer or import to Key Vault:

    • Une clé protégée par module HSM que vous créez localement et que vous transférez dans Key Vault comme clé protégée par module HSM.An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • Une clé protégée par logiciel que vous créez localement, que vous convertissez et que vous transférez dans Key Vault comme clé protégée par module HSM.A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. Cette option est prise en charge seulement quand vous migrez depuis Active Directory Rights Management Services (AD RMS).This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • Une clé protégée par logiciel que vous créez localement et que vous importez dans Key Vault comme clé protégée par logiciel.A software-protected key that you create on-premises and import to Key Vault as a software-protected key. Cette option nécessite un fichier de certificat .PFX.This option requires a .PFX certificate file.

  • Une clé que vous créez dans Key Vault :A key that you create in Key Vault:

    • Une clé protégée par module HSM que vous créez dans Key Vault.An HSM-protected key that you create in Key Vault.

    • Une clé protégée par logiciel que vous créez dans Key Vault.A software-protected key that you create in Key Vault.

Parmi ces options BYOK, la plus courante est une clé protégée par module HSM que vous créez localement et que vous transférez dans Key Vault comme clé protégée par module HSM.Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. Bien que cette option nécessite le plus gros travail d’administration, elle peut être nécessaire pour permettre à votre organisation de se conformer à des réglementations spécifiques.Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. Les modules de sécurité matériels qui sont utilisés par Azure Key Vault sont validés pour FIPS 140-2 Niveau 2.The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

Cette option implique les étapes suivantes :With this option, the following happens:

  1. Générez votre clé de locataire en local, en accord avec vos stratégies informatiques et de sécurité.You generate your tenant key on your premises, in line with your IT policies and security policies. Cette clé est la copie maître.This key is the master copy. Elle reste sur le site local et vous êtes responsable de sa sauvegarde.It remains on-premises and you are responsible for backing it up.

  2. Vous créez une copie de cette clé et vous transférez de façon sécurisée cette copie de votre module HSM vers Azure Key Vault.You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. Notez que tout au long de ce processus, la copie maître de cette clé ne quitte jamais les limites de la protection matérielle.Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. La copie de la clé est protégée par Azure Key Vault.The copy of the key is protected by Azure Key Vault.

Note

En guise de mesure de protection supplémentaire, Azure Key Vault utilise des domaines de sécurité distincts pour ses centres de données dans des régions comme Amérique du Nord, EMEA (Europe, Moyen-Orient et Afrique) et Asie.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. Azure Key Vault utilise aussi différentes instances d’Azure, comme Microsoft Azure Allemagne et Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

Bien que cette action soit facultative, vous pouvez également utiliser les journaux d’utilisation quasiment en temps réel à partir d’Azure Information Protection pour voir exactement quand et comment votre clé de locataire est utilisée.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Quand vous avez décidé de votre topologie de clé de locataireWhen you have decided your tenant key topology

Si vous décidez de laisser Microsoft gérer votre clé de locataire :If you decide to let Microsoft manage your tenant key:

  • Sauf si vous migrez depuis AD RMS, aucune autre action n’est nécessaire de votre part pour générer la clé pour votre locataire. Vous pouvez passer directement à Étapes suivantes.Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • Si vous avez AD RMS et que vous voulez migrer AD RMS vers Azure Information Protection, utilisez les instructions de migration : Migration d’AD RMS vers Azure Information Protection.If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

Si vous décidez de gérer vous-même votre clé de locataire, lisez les sections suivantes pour plus d'informations.If you decide to manage your tenant key yourself, read the following sections for more information.

Implémentation de BYOK pour votre clé de locataire Azure Information ProtectionImplementing BYOK for your Azure Information Protection tenant key

Utilisez les informations et les procédures de cette section si vous souhaitez générer et gérer vous-même votre clé de locataire (solution BYOK) :Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Note

Si vous avez commencé à utiliser Azure Information Protection avec une clé de locataire gérée par Microsoft et que vous souhaitez à présent la gérer vous-même (c’est-à-dire passer à un scénario BYOK), les documents et e-mails précédemment protégés restent accessibles à l’aide d’une clé archivée.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

Conditions requises pour la solution BYOKPrerequisites for BYOK

Reportez-vous au tableau suivant pour connaître les conditions requises pour la solution Bring your own key (BYOK).See the following table for a list of prerequisites for bring your own key (BYOK).

Condition requiseRequirement Plus d'informationsMore information
Votre locataire Azure Information Protection doit avoir un abonnement Azure.Your Azure Information Protection tenant must have an Azure subscription. Si vous n’en avez pas, vous pouvez vous inscrire pour un compte gratuit.If you do not have one, you can sign up for a free account.

Pour utiliser une clé protégée par module HSM, vous devez avoir le niveau de service Azure Key Vault Premium.To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
L’abonnement Azure gratuit qui fournit l’accès pour configurer Azure Active Directory et la configuration de modèles personnalisés Azure Rights Management (Accès à Azure Active Directory) n’est pas suffisant pour utiliser Azure Key Vault.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. Pour vérifier que vous disposez d’un abonnement Azure que vous pouvez utiliser pour la solution BYOK, utilisez les applets de commande PowerShell d’Azure Resource Manager :To confirm that you have an Azure subscription that you can use for BYOK, use the Azure Resource Manager PowerShell cmdlets:

1. Démarrez une session Azure PowerShell en activant l’option Exécuter en tant qu’administrateur et connectez-vous en tant qu’administrateur global pour votre locataire Azure Information Protection, via la commande suivante :Login-AzureRmAccount1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant with the following command: Login-AzureRmAccount

2. Saisissez ce qui suit et vérifiez que des valeurs s’affichent pour le nom et l’ID de votre abonnement ainsi que votre ID de locataire AIP, et que l’état est activé : Get-AzureRmSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzureRmSubscription

Si aucune valeur n’est affichée et que vous revenez simplement à l’invite, c’est que vous n’avez pas d’abonnement Azure utilisable pour la solution BYOK.If no values are displayed and you are simply returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Remarque : En plus des prérequis de la solution BYOK, si vous migrez d’AD RMS vers Azure Information Protection en passant d’une clé logicielle à une clé matérielle, vous devez disposer au minimum de la version 11.62 pour le microprogramme Thales.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Pour utiliser une clé protégée par module HSM que vous créez localement : tous les prérequis répertoriés pour Key Vault BYOK.To use an HSM-protected key that you create on-premises: All the prerequisites listed for Key Vault BYOK. Consultez Prérequis pour la solution BYOK dans la documentation d’Azure Key Vault.See Prerequisites for BYOK from the Azure Key Vault documentation.

Remarque : En plus des prérequis de la solution BYOK, si vous migrez d’AD RMS vers Azure Information Protection en passant d’une clé logicielle à une clé matérielle, vous devez disposer au minimum de la version 11.62 pour le microprogramme Thales.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Le module d’administration Azure Rights Management pour Windows PowerShell.The Azure Rights Management administration module for Windows PowerShell. Pour obtenir des instructions d’installation, consultez Installation de Windows PowerShell pour Azure Rights Management.For installation instructions, see Installing Windows PowerShell for Azure Rights Management.

Si vous avez déjà installé ce module Windows PowerShell, exécutez la commande suivante pour vérifier que le numéro de votre version est au minimum 2.9.0.0 : (Get-Module aadrm -ListAvailable).VersionIf you have previously installed this Windows PowerShell module, run the following command to check that your version number is at least 2.9.0.0: (Get-Module aadrm -ListAvailable).Version

Pour plus d’informations sur les modules de sécurité matériels Thales et comment ils sont utilisés avec Azure Key Vault, consultez le site web de Thales.For more information about Thales HSMs and how they are used with Azure Key Vault, see the Thales website.

Choix de l’emplacement de votre coffre de clésChoosing your key vault location

Quand vous créez un coffre de clés pour contenir la clé à utiliser comme votre clé de locataire pour Azure Information Protection, vous devez spécifier un emplacement.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Cet emplacement est une région Azure ou une instance Azure.This location is an Azure region, or Azure instance.

Faites votre choix en tenant d’abord compte de la conformité, et ensuite pour minimiser la latence réseau :Make your choice first for compliance, and then to minimize network latency:

  • Si vous avez choisi la topologie de clé BYOK pour des raisons de conformité, les spécifications de conformité peuvent imposer la région Azure ou l’instance Azure qui stocke votre clé de locataire Azure Information Protection.If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • Étant donné que tous les appels de chiffrement pour la protection sont chaînés à votre clé de locataire Azure Information Protection, vous souhaitez minimiser la latence réseau subie par ces appels.Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. Pour cela, créez votre coffre de clés dans la même région ou la même instance Azure que votre locataire Azure Information Protection.To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Pour identifier l’emplacement de votre locataire Azure Information Protection, utilisez l’applet de commande PowerShell Get-AadrmConfiguration et identifiez la région à partir des URL.To identify the location of your Azure Information Protection tenant, use the Get-AadrmConfiguration PowerShell cmdlet and identify the region from the URLs. Exemple :For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

La région est identifiable dans rms.na.aadrm.com et pour cet exemple, elle est North America (Amérique du Nord).The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Utilisez le tableau suivant pour identifier la région ou l’instance Azure recommandée pour minimiser la latence réseau.Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Région ou instance AzureAzure region or instance Emplacement recommandé pour votre coffre de clésRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com Nord-Centre des États-Unis ou Est des États-UnisNorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Europe du Nord ou Europe de l’OuestNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Asie de l’Est ou Asie du Sud-EstEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com États-Unis de l’Ouest ou Est des États-UnisWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com Centre des États-Unis ou Est des États-Unis 2Central US or East US 2

Instructions pour BYOKInstructions for BYOK

Utilisez la documentation d’Azure Key Vault pour créer un coffre de clés et la clé que vous voulez utiliser pour Azure Information Protection.Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. Par exemple, consultez Bien démarrer avec Azure Key Vault.For example, see Get started with Azure Key Vault.

Vérifiez que la longueur de clé est de 2 048 bits (recommandé) ou de 1 024 bits.Make sure that the key length is 2048 bits (recommended) or 1024 bits. Les autres longueurs de clé ne sont pas prises en charge par Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Pour créer une clé locale protégée par module HSM et la transférer à votre coffre de clés comme clé protégée par module HSM, suivez les procédures décrites dans Génération et transfert de clés protégées par HSM pour Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Une clé qui est stockée dans Key Vault a un ID de clé.A key that is stored in Key Vault has a key ID. Cet ID de clé est une URL contenant le nom du coffre de clés, le conteneur de clés, le nom de la clé et la version de la clé.This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Par exemple : https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Vous devez configurer Azure Information Protection pour l’utilisation de cette clé en spécifiant son URL Key Vault.You must configure Azure Information Protection to use this key, by specifying its Key Vault URL.

Avant qu’Azure Information Protection puisse utiliser la clé, le service Azure Rights Management doit être autorisé à utiliser la clé dans le coffre de clés de votre organisation.Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. Pour cela, l’administrateur d’Azure Key Vault utilise l’applet de commande PowerShell de Key Vault, Set-AzureRmKeyVaultAccessPolicy, et accorde des autorisations au principal du service Azure Rights Management à l’aide du GUID 00000012-0000-0000-c000-000000000000.To do this, the Azure Key Vault administrator uses the Key Vault PowerShell cmdlet, Set-AzureRmKeyVaultAccessPolicy and grants permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Exemple :For example:

Set-AzureRmKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Vous êtes maintenant prêt à configurer Azure Information Protection pour utiliser cette clé comme clé de locataire Azure Information Protection de votre organisation.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. En utilisant des applets de commande Azure RMS, établissez d’abord une connexion au service Azure Rights Management, puis connectez-vous :Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AadrmService

Ensuite, exécutez l’applet de commande Add-AadrmKeyVaultKey en spécifiant l’URL de la clé.Then run the Use-AadrmKeyVaultKey cmdlet, specifying the key URL. Exemple :For example:

Use-AadrmKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"
Important

Dans cet exemple, « aaaabbbbcccc111122223333 » est la version de la clé à utiliser.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Si vous ne spécifiez pas la version, la version actuelle de la clé est utilisée sans avertissement, et la commande semble fonctionner.If you do not specify the version, the current version of the key is used without warning and the command appears to work. Toutefois, si votre clé dans Key Vault est ultérieurement mise à jour (renouvelée), le service Azure Rights Management cessera de fonctionner pour votre locataire, même si vous réexécutez la commande Use-AadrmKeyVaultKey.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AadrmKeyVaultKey command again.

Veillez à spécifier la version de clé en plus du nom de clé quand vous exécutez cette commande.Make sure that you specify the key version, in addition to the key name when you run this command. Vous pouvez utiliser la commande Azure Key Vault (Get-AzureKeyVaultKey) afin d’obtenir le numéro de version de la clé actuelle.You can use the Azure Key Vault cmd, Get-AzureKeyVaultKey, to get the version number of the current key. Par exemple : Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Si vous devez vérifier que l’URL de la clé est définie correctement pour Azure Information Protection : dans Azure Key Vault, exécutez Get-AzureKeyVaultKey pour voir l’URL de la clé.If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzureKeyVaultKey to see the key URL.

Enfin, si le service Azure Rights Management est déjà activé, exécutez Set-AadrmKeyProperties pour indiquer à Azure Information Protection d’utiliser cette clé comme clé de locataire active pour le service Azure Rights Management.Finally, if the Azure Rights Management service is already activated, run Set-AadrmKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. Si vous n’effectuez pas cette étape, Azure Information Protection continue à utiliser la clé par défaut gérée par Microsoft qui a été créée automatiquement pour votre locataire.If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key, that was automatically created for your tenant.

Étapes suivantesNext steps

Maintenant que vous avez planifié et, le cas échéant, créé et configuré votre clé de locataire, procédez comme suit :Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. Commencez à utiliser votre clé de locataire :Start to use your tenant key:

    • Si ce n’est déjà fait, vous devez maintenant activer le service Rights Management pour que votre organisation puisse commencer à utiliser Azure Information Protection.If you haven’t already done so, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Les utilisateurs peuvent commencer immédiatement à utiliser votre clé de locataire (gérée par Microsoft ou par vous dans Azure Key Vault).Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      Pour plus d’informations sur l’activation, consultez Activation d’Azure Rights Management.For more information about activation, see Activating Azure Rights Management.

    • Si vous avez déjà activé le service Rights Management et que vous avez décidé de gérer votre propre clé de locataire, les utilisateurs passent graduellement de l’ancienne clé de locataire à la nouvelle. Cette transition progressive s’effectue en quelques semaines.If you had already activated the Rights Management service and then decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key, and this staggered transition can take a few weeks to complete. Les documents et fichiers protégés par l'ancienne clé de locataire restent accessibles pour les utilisateurs autorisés.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Envisagez l’activation de la journalisation de l’utilisation, qui consigne chaque transaction effectuée par le service Azure Rights Management.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Si vous avez décidé de gérer vous-même votre clé de locataire, la journalisation inclut des informations utiles sur son utilisation.If you decided to manage your own tenant key, logging includes information about using your tenant key. Consultez l’extrait de code suivant, tiré d’un fichier journal affiché dans Excel, où les types de requête KeyVaultDecryptRequest et KeyVaultSignRequest montrent que la clé de locataire est utilisée.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    fichier journal dans Excel où la clé de locataire est utilisée

    Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation du service Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service.

  3. Gérez votre clé de locataire.Manage your tenant key.

    Pour plus d’informations sur les opérations du cycle de vie de votre clé de locataire, consultez Opérations pour votre clé de locataire Azure Information Protection.For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.