Chiffrement du service avec la clé clientService encryption with Customer Key

Microsoft 365 fournit un chiffrement de base au niveau du volume activé via BitLocker et le Gestionnaire de clés distribuées (DKM).Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). Microsoft 365 offre une couche de chiffrement supplémentaire pour votre contenu.Microsoft 365 offers an added layer of encryption for your content. Ce contenu inclut des données provenant Exchange Online, Skype Entreprise, SharePoint Online, OneDrive Entreprise et Microsoft Teams.This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Microsoft Teams.

Comment le chiffrement de service, BitLocker et la clé client fonctionnent ensembleHow service encryption, BitLocker, and Customer Key work together

Vos données sont toujours chiffrées au repos dans le service Microsoft 365 avec BitLocker et DKM.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. Pour plus d’informations, voir How Exchange Online secures your email secrets.For more information, see How Exchange Online secures your email secrets. La clé client offre une protection supplémentaire contre l’affichage des données par des systèmes ou du personnel non autorisés, et complète le chiffrement de disque BitLocker dans les centres de données Microsoft.Customer Key provides extra protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft data centers. Le chiffrement de service n’est pas destiné à empêcher le personnel Microsoft d’accéder à vos données.Service encryption is not meant to prevent Microsoft personnel from accessing your data. Au lieu de cela, la clé client vous aide à respecter les obligations réglementaires ou de conformité en matière de contrôle des clés racine.Instead, Customer Key helps you meet regulatory or compliance obligations for controlling root keys. Vous autorisez explicitement les services Microsoft 365 à utiliser vos clés de chiffrement pour fournir des services cloud à valeur ajoutée, tels que eDiscovery, anti-programme malveillant, anti-courrier indésirable, indexation de recherche, etc.You explicitly authorize Microsoft 365 services to use your encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, and so on.

La clé client repose sur le chiffrement de service et vous permet de fournir et de contrôler les clés de chiffrement.Customer Key is built on service encryption and lets you provide and control encryption keys. Microsoft 365 ces clés pour chiffrer vos données au repos, comme décrit dans les conditions d’utilisation des services en ligne (OST).Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). La clé client vous aide à respecter les obligations de conformité, car vous contrôlez les clés de chiffrement Microsoft 365 que vous pouvez utiliser pour chiffrer et déchiffrer des données.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

La clé client améliore la capacité de votre organisation à répondre aux exigences de conformité qui spécifient des accords clés avec le fournisseur de services cloud.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. Avec la clé client, vous fournissez et contrôlez les clés de chiffrement racine pour Microsoft 365 données au repos au niveau de l’application.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. Par conséquent, vous exercez le contrôle sur les clés de votre organisation.As a result, you exercise control over your organization's keys.

Clé client avec déploiements hybridesCustomer Key with hybrid deployments

La clé client chiffre uniquement les données au repos dans le cloud.Customer Key only encrypts data at rest in the cloud. La clé client ne fonctionne pas pour protéger vos boîtes aux lettres et fichiers locaux.Customer Key does not work to protect your on-premises mailboxes and files. Vous pouvez chiffrer vos données sur site à l’aide d’une autre méthode, telle que BitLocker.You can encrypt your on-premises data using another method, such as BitLocker.

À propos des stratégies de chiffrement de donnéesAbout data encryption policies

Une stratégie de chiffrement de données (DEP) définit la hiérarchie de chiffrement.A data encryption policy (DEP) defines the encryption hierarchy. Cette hiérarchie est utilisée par le service pour chiffrer les données à l’aide de chacune des clés que vous gérez et de la clé de disponibilité protégée par Microsoft.This hierarchy is used by the service to encrypt data using each of the keys you manage and the availability key that's protected by Microsoft. Vous créez des PDP à l’aide des cmdlets PowerShell, puis vous les affectez pour chiffrer les données d’application.You create DEPs using PowerShell cmdlets, and then assign those DEPs to encrypt application data. Il existe trois types de PDP pris en charge par Microsoft 365 clé client, chaque type de stratégie utilise des cmdlets différentes et fournit une couverture pour un type de données différent.There are three types of DEPs supported by Microsoft 365 Customer Key, each policy type uses different cmdlets and provides coverage for a different type of data. Les DPS que vous pouvez définir sont les suivants :The DEPs you can define include:

PD DEP pour plusieurs charges Microsoft 365 charges de travail Ces DPS chiffrent les données sur plusieurs charges de travail M365 pour tous les utilisateurs au sein du client.DEP for multiple Microsoft 365 workloads These DEPs encrypt data across multiple M365 workloads for all users within the tenant. Ces charges de travail sont les suivantes :These workloads include:

  • Teams messages de conversation (conversations 1:1, conversations de groupe, conversations de réunion et conversations de canal)Teams chat messages (1:1 chats, group chats, meeting chats and channel conversations)

  • Teams messages multimédias (images, extraits de code, messages vidéo, messages audio, images Wiki)Teams media messages (images, code snippets, video messages, audio messages, wiki images)

  • Teams enregistrements d’appels et de réunions stockés dans Teams stockageTeams call and meeting recordings stored in Teams storage

  • Teams notifications de conversationTeams chat notifications

  • Teams suggestions de conversation par CortanaTeams chat suggestions by Cortana

  • Teams messages d’étatTeams status messages

  • Informations sur l’utilisateur et le signal Exchange OnlineUser and signal information for Exchange Online

  • Exchange Online boîtes aux lettres qui ne sont pas déjà chiffrées par des deps de boîte aux lettresExchange Online mailboxes that aren't already encrypted by mailbox DEPs

  • Protection des données Microsoft :Microsoft Information Protection:

    • Données de correspondance de données exactes (EDM), y compris les schémas de fichiers de données, les packages de règles et les sels utilisés pour hachage des données sensibles.Exact data match (EDM) data, including data file schemas, rule packages, and the salts used to hash the sensitive data. Pour EDM et Microsoft Teams, le PED à charges multiples chiffre les nouvelles données à partir du moment où vous affectez le PED au client.For EDM and Microsoft Teams, the multi-workload DEP encrypts new data from the time you assign the DEP to the tenant. Par Exchange Online, la clé client chiffre toutes les données existantes et nouvelles.For Exchange Online, Customer Key encrypts all existing and new data.

    • Configuration des étiquettes pour les étiquettes de niveau de sensibilitéLabel configuration for sensitivity labels

Les dep multi-charges de travail ne chiffrent pas les types de données suivants.Multi-workload DEPs don't encrypt the following types of data. Au lieu de cela, Microsoft 365 utilise d’autres types de chiffrement pour protéger ces données.Instead, Microsoft 365 uses other types of encryption to protect this data.

  • SharePoint et OneDrive Entreprise données.SharePoint and OneDrive for Business data.
  • Microsoft Teams fichiers et certains enregistrements Teams appels et réunions enregistrés dans OneDrive Entreprise et SharePoint Online sont chiffrés à l’aide de SharePoint DeP online.Microsoft Teams files and some Teams call and meeting recordings saved in OneDrive for Business and SharePoint Online are encrypted using the SharePoint Online DEP.
  • D Microsoft 365 charges de travail telles que Yammer et planner qui ne sont actuellement pas pris en charge par la clé client.Other Microsoft 365 workloads such as Yammer and Planner that aren't currently supported by Customer Key.
  • Teams Données d’événement en direct.Teams Live Event data.

Vous pouvez créer plusieurs dep par client, mais n’attribuer qu’une seule PD DEP à la fois.You can create multiple DEPs per tenant but only assign one DEP at a time. Lorsque vous affectez le deP, le chiffrement commence automatiquement, mais prend un certain temps en fonction de la taille de votre client.When you assign the DEP, encryption begins automatically but takes some time to complete depending on the size of your tenant.

DePs pour les boîtes Exchange Online aux lettres Les ppp de boîte aux lettres permettent de contrôler plus précisément les boîtes aux lettres individuelles au sein Exchange Online.DEPs for Exchange Online mailboxes Mailbox DEPs provide more precise control over individual mailboxes within Exchange Online. Utilisez des deP de boîte aux lettres pour chiffrer les données stockées dans des boîtes aux lettres EXO de différents types tels que UserMailbox, MailUser, Group, PublicFolder et Les boîtes aux lettres partagées.Use mailbox DEPs to encrypt data stored in EXO mailboxes of different types such as UserMailbox, MailUser, Group, PublicFolder, and Shared mailboxes. Vous pouvez avoir jusqu’à 50 dep actifs par client et les affecter à des boîtes aux lettres individuelles.You can have up to 50 active DEPs per tenant and assign those DEPs to individual mailboxes. Vous pouvez affecter un deP à plusieurs boîtes aux lettres.You can assign one DEP to multiple mailboxes.

Par défaut, vos boîtes aux lettres sont chiffrées à l’aide de clés gérées par Microsoft.By default your mailboxes get encrypted using Microsoft-managed keys. Lorsque vous affectez un deP de clé client à une boîte aux lettres :When you assign a Customer Key DEP to a mailbox:

  • Si la boîte aux lettres est chiffrée à l’aide d’une PED multi-charge de travail, le service retente la boîte aux lettres à l’aide de la nouvelle boîte aux lettres à condition qu’un utilisateur ou une opération système accède aux données de la boîte aux lettres.If the mailbox is encrypted using a multi-workload DEP, the service rewraps the mailbox using the new mailbox DEP as long as a user or a system operation accesses the mailbox data.

  • Si la boîte aux lettres est déjà chiffrée à l’aide de clés gérées par Microsoft, le service réécrit la boîte aux lettres à l’aide de la nouvelle boîte aux lettres PED tant qu’un utilisateur ou une opération système accède aux données de la boîte aux lettres.If the mailbox is already encrypted using Microsoft-managed keys, the service rewraps the mailbox using the new mailbox DEP as long as a user or a system operation accesses the mailbox data.

  • Si la boîte aux lettres n’est pas encore chiffrée à l’aide du chiffrement par défaut, le service marque la boîte aux lettres pour un déplacement.If the mailbox is not yet encrypted using default encryption, then the service marks the mailbox for a move. Le chiffrement a lieu une fois le déplacement terminé.The encryption takes place once the move is complete. Les déplacements de boîtes aux lettres sont régis en fonction des priorités définies pour toutes les Microsoft 365.Mailbox moves are governed based on priorities set for all of Microsoft 365. Pour plus d’informations, voir les demandes de déplacement dans le service Microsoft 365.For more information, see, Move requests in the Microsoft 365 service. Si les boîtes aux lettres ne sont pas chiffrées dans le délai spécifié, contactez Microsoft.If the mailboxes aren't encrypted within the specified time, contact Microsoft.

Plus tard, vous pouvez actualiser le deP ou affecter un autre deP à la boîte aux lettres comme décrit dans Gérer la clé client pour Office 365.Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. Chaque boîte aux lettres doit avoir les licences appropriées pour se voir attribuer un dep.Each mailbox must have appropriate licenses to be assigned a DEP. Pour plus d’informations sur la gestion des licences, voir Avant de configurer la clé client.For more information about licensing, see Before you set up Customer Key.

Les dep peuvent être affectés à une boîte aux lettres partagée, une boîte aux lettres de dossiers publics et une boîte aux lettres de groupe Microsoft 365 pour les locataires qui répondent aux conditions de licence requises pour les boîtes aux lettres utilisateur.DEPs can be assigned to a shared mailbox, public folder mailbox, and Microsoft 365 group mailbox for tenants that meet the licensing requirement for user mailboxes. Vous n’avez pas besoin de licences distinctes pour les boîtes aux lettres non spécifiques à l’utilisateur pour attribuer la clé client DEP.You don't need separate licenses for non-user-specific mailboxes to assign Customer Key DEP.

Pour les DPS de clé client que vous affectez à des boîtes aux lettres individuelles, vous pouvez demander à Microsoft de purger des DPS spécifiques lorsque vous quittez le service.For Customer Key DEPs that you assign to individual mailboxes, you can request that Microsoft purge specific DEPs when you leave the service. Pour plus d’informations sur le processus de purge des données et la révocation de clés, voir Révoquer vos clés et démarrer le processus de purge des données.For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

Lorsque vous révoquez l’accès à vos clés dans le cadre de la sortie du service, la clé de disponibilité est supprimée, ce qui entraîne la suppression par chiffrement de vos données.When you revoke access to your keys as part of leaving the service, the availability key is deleted, resulting in cryptographic deletion of your data. La suppression cryptographique atténue le risque de rémanence des données, ce qui est important pour respecter les obligations de sécurité et de conformité.Cryptographic deletion mitigates the risk of data remanence, which is important for meeting both security and compliance obligations.

PDN pour SharePoint Online et OneDrive Entreprise Cette PDV est utilisée pour chiffrer le contenu stocké dans SPO et OneDrive Entreprise, y compris Microsoft Teams fichiers stockés dans SPO.DEP for SharePoint Online and OneDrive for Business This DEP is used to encrypt content stored in SPO and OneDrive for Business, including Microsoft Teams files stored in SPO. Si vous utilisez la fonctionnalité multigéogé, vous pouvez créer un PD DEP par géo pour votre organisation.If you're using the multi-geo feature, you can create one DEP per geo for your organization. Si vous n’utilisez pas la fonctionnalité multigéogé, vous ne pouvez créer qu’un seul dep par client.If you're not using the multi-geo feature, you can only create one DEP per tenant. Reportez-vous aux détails dans Configurer la clé client.Refer to the details in Set up Customer Key.

Chiffrements de chiffrement utilisés par la clé clientEncryption ciphers used by Customer Key

La clé client utilise différents chiffrements de chiffrement pour chiffrer les clés, comme illustré dans les figures suivantes.Customer Key uses various encryption ciphers to encrypt keys as shown in the following figures.

La hiérarchie clé utilisée pour les PD DEP qui chiffrent les données de plusieurs charges de travail Microsoft 365 est similaire à la hiérarchie utilisée pour les dep pour les boîtes aux lettres Exchange Online individuelles.The key hierarchy used for DEPs that encrypt data for multiple Microsoft 365 workloads is similar to the hierarchy used for DEPs for individual Exchange Online mailboxes. La seule différence est que la clé de boîte aux lettres est remplacée par la clé Microsoft 365 charge de travail correspondante.The only difference is that the Mailbox Key is replaced with the corresponding Microsoft 365 Workload Key.

Chiffrements de chiffrement utilisés pour chiffrer les clés pour Exchange Online et Skype EntrepriseEncryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Chiffrements de chiffrement pour Exchange Online clé client

Chiffrements de chiffrement utilisés pour chiffrer les clés pour SharePoint en ligne, OneDrive Entreprise et Teams fichiersEncryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

Chiffrements de chiffrement pour SharePoint client en ligne