Configurer la clé client

Avec la clé client, vous contrôlez les clés de chiffrement de votre organization, puis configurez Microsoft 365 pour les utiliser pour chiffrer vos données au repos dans les centres de données de Microsoft. En d’autres termes, la clé client vous permet d’ajouter une couche de chiffrement qui vous appartient, avec vos clés.

Configurez Azure avant d’utiliser la clé client. Cet article décrit les étapes à suivre pour créer et configurer les ressources Azure requises, puis fournit les étapes de configuration de la clé client. Après avoir configuré Azure, vous déterminez la stratégie et, par conséquent, les clés, à affecter pour chiffrer les données sur différentes charges de travail Microsoft 365 dans votre organization. Pour plus d’informations sur la clé client ou pour obtenir une vue d’ensemble générale, consultez Vue d’ensemble de la clé client.

Importante

Nous vous recommandons vivement de suivre les meilleures pratiques décrites dans cet article. Ceux-ci sont appelés TIP et IMPORTANT. La clé client vous permet de contrôler les clés de chiffrement racine dont l’étendue peut être aussi grande que l’ensemble de votre organization. Cela signifie que les erreurs commises avec ces clés peuvent avoir un impact important et peuvent entraîner des interruptions de service ou une perte irréversible de vos données.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Windows 365 prise en charge de la clé client Microsoft Purview est en préversion publique et est susceptible d’être modifiée.

Avant de configurer la clé client

Avant de commencer, vérifiez que vous disposez des abonnements Azure et des licences Microsoft 365, Office 365 et Windows 365 appropriées pour votre organization. Vous devez utiliser des abonnements Azure payants. Les abonnements que vous avez reçus via gratuit, essai, parrainages, abonnements MSDN et abonnements sous support hérité ne sont pas éligibles.

Importante

Les licences Microsoft 365 et Office 365 valides qui offrent une clé client Microsoft 365 sont les suivantes :

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Conformité
  • Références SKU de gouvernance Microsoft 365 E5 Information Protection &
  • Sécurité et conformité Microsoft 365 pour FLW

Les licences Conformité avancée Office 365 existantes sont toujours prises en charge.

Pour comprendre les concepts et les procédures de cet article, consultez la documentation Azure Key Vault. Familiarisez-vous également avec les termes utilisés dans Azure, par exemple, Microsoft Entra locataire.

Si vous avez besoin d’une assistance supplémentaire au-delà de la documentation, contactez Microsoft Consulting Services (MCS), Premier Field Engineering (PFE) ou un partenaire Microsoft pour obtenir de l’aide. Pour fournir des commentaires sur la clé client, y compris la documentation, envoyez vos idées, suggestions et perspectives à customerkeyfeedback@microsoft.com.

Vue d’ensemble des étapes de configuration de la clé client

Pour configurer la clé client, effectuez ces tâches dans l’ordre indiqué. Le reste de cet article fournit des instructions détaillées pour chaque tâche ou des liens vers des informations supplémentaires pour chaque étape du processus.

Dans Azure et Microsoft FastTrack :

Remplissez les conditions préalables suivantes en vous connectant à distance à Azure PowerShell. Pour obtenir de meilleurs résultats, utilisez la version 4.4.0 ou ultérieure de Azure PowerShell :

Activation du locataire après avoir effectué les tâches précédentes :

Effectuer des tâches dans Azure Key Vault et Microsoft FastTrack pour la clé client

Effectuez ces tâches dans Azure Key Vault. Vous devez effectuer ces étapes pour tous les types de stratégies de chiffrement de données (DEPs) que vous utilisez avec la clé client.

Créer deux abonnements Azure

La clé client nécessite deux abonnements Azure. En guise de bonne pratique, Microsoft vous recommande de créer des abonnements Azure à utiliser avec la clé client. Les clés Key Vault Azure ne peuvent être autorisées que pour les applications du même locataire Microsoft Entra. Vous devez créer les nouveaux abonnements à l’aide du même locataire Microsoft Entra que celui utilisé avec votre organization où les PDP sont affectés. Par exemple, l’utilisation de votre compte professionnel ou scolaire qui dispose de privilèges d’administrateur général dans votre organization. Pour obtenir des instructions détaillées, consultez S’inscrire à Azure en tant que organization.

Importante

La clé client nécessite deux clés pour chaque stratégie de chiffrement des données (DEP). Pour ce faire, vous devez créer deux abonnements Azure. En guise de bonne pratique, Microsoft recommande d’avoir des membres distincts de votre organization de configurer une clé dans chaque abonnement. Vous devez uniquement utiliser ces abonnements Azure pour administrer les clés de chiffrement pour Microsoft 365. Cela protège vos organization en cas de suppression accidentelle, intentionnelle ou malveillante par l’un de vos opérateurs des clés dont il est responsable.

Il n’existe aucune limite pratique au nombre d’abonnements Azure que vous pouvez créer pour votre organization. Le respect de ces bonnes pratiques réduit l’impact des erreurs humaines tout en aidant à gérer les ressources utilisées par la clé client.

Envoyer une demande d’activation de la clé client pour Microsoft 365

Si vous avez un locataire du secteur public, ignorez « Envoyer une demande d’activation de la clé client pour Microsoft 365 » et passez à Inscrire les principaux de service requis.

Une fois que vous avez créé les deux nouveaux abonnements Azure, envoyez la demande d’offre clé client appropriée dans le portail Microsoft FastTrack. Les sélections que vous effectuez dans le formulaire d’offre concernant les désignations autorisées au sein de votre organization sont essentielles et nécessaires pour terminer l’inscription de la clé client. Les responsables de ces rôles sélectionnés au sein de votre organization garantir l’authenticité de toute demande de révocation et de destruction de toutes les clés utilisées avec une stratégie de chiffrement des données de clé client. Effectuez cette étape une fois pour chaque type DEP de clé client que vous envisagez d’utiliser pour votre organization.

L’équipe FastTrack ne fournit pas d’assistance pour la clé client. Microsoft 365 utilise simplement le portail FastTrack pour vous permettre d’envoyer le formulaire et de nous aider à suivre les offres pertinentes pour la clé client. Une fois que vous avez envoyé la demande FastTrack, contactez l’équipe d’intégration de clé client correspondante pour démarrer le processus d’intégration.

Pour soumettre une offre d’activation de la clé client, procédez comme suit :

  1. À l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization, connectez-vous au portail Microsoft FastTrack.

  2. Une fois que vous êtes connecté, sélectionnez le domaine approprié.

  3. Pour le domaine sélectionné, choisissez Déployer dans la barre de navigation supérieure, puis passez en revue la liste des offres disponibles.

  4. Choisissez les informations carte pour l’offre qui vous concerne :

    • Plusieurs charges de travail Microsoft 365 : Choisissez l’offre Demander l’aide sur la clé de chiffrement pour Microsoft 365 .

    • Exchange Online : choisissez l’offre Demander l’aide sur la clé de chiffrement pour Exchange.

    • Fichiers Microsoft SharePoint, Microsoft OneDrive et Teams : Choisissez l’option Demander l’aide sur la clé de chiffrement pour SharePoint et OneDrive Entreprise offre.

  5. Une fois que vous avez examiné les détails de l’offre, choisissez Passer à l’étape 2.

  6. Renseignez tous les détails applicables et les informations demandées sur le formulaire d’offre. Portez une attention particulière à vos sélections pour les responsables de votre organization que vous souhaitez autoriser à approuver la destruction permanente et irréversible des clés et des données de chiffrement. Une fois que vous avez terminé le formulaire, choisissez Envoyer.

Inscrire les principaux de service requis

Pour utiliser la clé client, votre locataire doit avoir les principaux de service requis inscrits dans le locataire. Dans les sections suivantes, des instructions sont fournies pour case activée si les principaux de service sont déjà inscrits dans votre locataire. S’ils ne sont pas inscrits, exécutez l’applet de commande « New-AzADServicePrincipal » comme indiqué.

Inscrire le principal de service pour l’application d’intégration de clé client

Pour case activée si l’application Customer Key Onboarding est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Inscrire le principal de service pour l’application M365DataAtRestEncryption

Pour case activée si l’application M365DataAtRestEncryption est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4 

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Inscrire le principal de service pour l’application Office 365 Exchange Online

Pour case activée si l’application Office 365 Exchange Online est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000 

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Créer un Key Vault Azure Premium dans chaque abonnement

Les étapes de création d’un coffre de clés sont documentées dans Prise en main avec Azure Key Vault. Ces étapes vous guident dans l’installation et le lancement de Azure PowerShell, la connexion à votre abonnement Azure, la création d’un groupe de ressources et la création d’un coffre de clés dans ce groupe de ressources.

Lorsque vous créez un coffre de clés, vous devez choisir une référence SKU : Standard ou Premium. La référence SKU Standard permet de protéger les clés Azure Key Vault avec des logiciels ( il n’existe aucune protection de clé de module de sécurité matériel (HSM) - et la référence SKU Premium permet d’utiliser des HSM pour la protection des clés Key Vault. Customer Key accepte les coffres de clés qui utilisent l’une ou l’autre référence SKU, bien que Microsoft vous recommande vivement d’utiliser uniquement la référence SKU Premium. Le coût des opérations avec les clés des deux types est le même. Par conséquent, la seule différence de coût est le coût par mois pour chaque clé protégée par HSM. Pour plus d’informations, consultez tarification Key Vault.

Importante

Utilisez les coffres de clés de référence SKU Premium et les clés protégées par HSM pour les données de production, et utilisez uniquement des coffres de clés et des clés de référence SKU Standard à des fins de test et de validation.

Pour chaque service Microsoft 365 avec lequel vous utilisez la clé client, créez un coffre de clés dans chacun des deux abonnements Azure que vous avez créés.

Par exemple, pour permettre à la clé client d’utiliser des PDP pour des scénarios Exchange Online, SharePoint et multi-charges de travail, créez trois paires de coffres de clés, pour un total de 6 coffres. Utilisez une convention de nommage pour les coffres de clés qui reflète l’utilisation prévue du DEP auquel vous associez les coffres. Le tableau suivant montre comment mapper chaque azure Key Vault (AKV) à chaque charge de travail.

nom de Key Vault Autorisations pour plusieurs charges de travail Microsoft 365 (M365DataAtRestEncryption) Autorisations Exchange Online Autorisations pour SharePoint et OneDrive
ContosoM365AKV01 Oui Non Non
ContosoM365AKV02 Oui Non Non
ContosoEXOAKV01 Non Oui Non
ContosoEXOAKV02 Non Oui Non
ContosoSPOAKV01 Non Non Oui
ContosoSPOAKV02 Non Non Oui

La création de coffres de clés nécessite également la création de groupes de ressources Azure, car les coffres de clés ont besoin d’une capacité de stockage (bien que petite) et Key Vault journalisation, si elle est activée, génère également des données stockées. En guise de bonne pratique, Microsoft recommande d’utiliser des administrateurs distincts pour gérer chaque groupe de ressources, avec l’administration alignée sur l’ensemble d’administrateurs qui gère toutes les ressources de clé client associées.

Par Exchange Online, l’étendue d’une stratégie de chiffrement des données est choisie lorsque vous affectez la stratégie à la boîte aux lettres. Une seule stratégie peut être affectée à une boîte aux lettres, et vous pouvez créer jusqu’à 50 stratégies. L’étendue d’une stratégie SharePoint inclut toutes les données d’un organization dans un emplacement géographique ou géographique. L’étendue d’une stratégie multi-charges de travail inclut toutes les données des charges de travail prises en charge pour tous les utilisateurs.

Importante

Si vous envisagez d’utiliser la clé client pour plusieurs charges de travail Microsoft 365, Exchange Online et SharePoint, veillez à créer 2 coffres de clés Azure pour chaque charge de travail. Au total, 6 coffres doivent être créés.

Attribuer des autorisations à chaque coffre de clés

Définissez les autorisations requises pour chaque coffre de clés à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Les actions de configuration d’Azure Key Vault sont effectuées à l’aide du Portail Azure. Cette section explique comment appliquer les autorisations appropriées à l’aide de RBAC.

Attribution d’autorisations à l’aide de la méthode RBAC

Pour attribuer wrapKeydes autorisations , unwrapkeyet get sur votre Key Vault Azure, vous devez attribuer le rôle « Key Vault Utilisateur de chiffrement du service de chiffrement » à l’application Microsoft 365 correspondante. Consultez Accorder aux applications l’autorisation d’accéder à un coffre de clés Azure à l’aide d’Azure RBAC | Microsoft Learn.

Recherche les noms suivants pour chaque application Microsoft 365 lors de l’ajout du rôle à votre Key Vault Azure :

  • Pour Exchange Online :Office 365 Exchange Online

  • Pour les fichiers SharePoint, OneDrive et Teams : Office 365 SharePoint Online

  • Pour la stratégie multi-charges de travail (Exchange, Teams, Protection des données Microsoft Purview) :M365DataAtRestEncryption

Si vous ne voyez pas l’application Microsoft 365 correspondante, vérifiez que vous avez inscrit l’application dans le locataire.

Pour plus d’informations sur l’attribution de rôles et d’autorisations, consultez Utiliser le contrôle d’accès en fonction du rôle pour gérer l’accès aux ressources de votre abonnement Azure.

Attribution de rôles d’utilisateur

  • Administrateurs de coffre de clés qui gèrent quotidiennement votre coffre de clés pour votre organization. Ces tâches incluent la sauvegarde, la création, l’obtention, l’importation, la liste et la restauration.

    Importante

    Le jeu d’autorisations attribué aux administrateurs de coffre de clés n’inclut pas l’autorisation de supprimer des clés. C’est intentionnel et une pratique importante. La suppression des clés de chiffrement n’est généralement pas effectuée, car cela détruit définitivement les données. En guise de bonne pratique, n’accordez pas l’autorisation de suppression des clés de chiffrement aux administrateurs de coffre de clés par défaut. Au lieu de cela, réservez cette autorisation aux contributeurs du coffre de clés et attribuez-la à un administrateur à court terme uniquement une fois qu’une compréhension claire des conséquences est comprise.

  • Contributeurs de coffre de clés qui peuvent modifier les autorisations sur l’Key Vault Azure lui-même. Modifiez ces autorisations à mesure que les employés quittent ou rejoignent votre équipe. Dans les rares situations où les administrateurs de coffre de clés ont légitimement besoin d’une autorisation pour supprimer ou restaurer une clé, vous devez également modifier les autorisations. Ce jeu de contributeurs de coffre de clés doit se voir attribuer le rôle Contributeur sur votre coffre de clés. Vous pouvez attribuer ce rôle à l’aide de RBAC. L’administrateur qui crée un abonnement dispose implicitement de cet accès et de la possibilité d’affecter d’autres administrateurs au rôle Contributeur.

Ajouter une clé à chaque coffre de clés en créant ou en important une clé

Il existe deux façons d’ajouter des clés à un Key Vault Azure : vous pouvez créer une clé directement dans Key Vault ou importer une clé. La création d’une clé directement dans Key Vault est moins compliquée, mais l’importation d’une clé offre un contrôle total sur la façon dont la clé est générée. Utilisez les clés RSA. Customer Key prend en charge les longueurs de clé RSA allant jusqu’à 4 096. Azure Key Vault ne prend pas en charge l’habillage et le désencapsulation avec des touches de courbe elliptique.

Pour obtenir des instructions sur l’ajout d’une clé à chaque coffre, consultez Add-AzKeyVaultKey.

Pour obtenir des instructions détaillées pour créer une clé localement et l’importer dans votre coffre de clés, consultez Comment générer et transférer des clés protégées par HSM pour Azure Key Vault. Utilisez les instructions Azure pour créer une clé dans chaque coffre de clés.

Vérifier la date d’expiration de vos clés

Pour vérifier qu’aucune date d’expiration n’est définie pour vos clés, exécutez l’applet de commande Get-AzKeyVaultKey comme suit :

Get-AzKeyVaultKey -VaultName <vault name>

La clé client ne peut pas utiliser une clé expirée. Les opérations tentées avec une clé expirée échouent et peuvent entraîner une panne de service. Nous recommandons vivement que les clés utilisées avec la clé client n’aient pas de date d’expiration. Une date d’expiration, une fois définie, ne peut pas être supprimée, mais peut être remplacée par une autre date. Si vous devez utiliser une clé dont la date d’expiration est définie, remplacez la valeur d’expiration par 31/12/9999. Les clés dont la date d’expiration est définie sur une date autre que le 31/12/9999 échouent à la validation Microsoft 365.

Pour modifier une date d’expiration définie sur une valeur autre que 31/12/9999, exécutez l’applet de commande Update-AzKeyVaultKey comme suit :

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Attention

Ne définissez pas de dates d’expiration sur les clés de chiffrement que vous utilisez avec la clé client.

Vérifier le niveau de récupération de vos clés

Microsoft 365 exige que l’abonnement Azure Key Vault soit défini sur Ne pas annuler et que la suppression réversible soit activée pour les clés utilisées par la clé client. Vous pouvez confirmer les paramètres de vos abonnements en examinant le niveau de récupération sur vos clés.

Pour case activée le niveau de récupération d’une clé, dans Azure PowerShell, exécutez l’applet de commande Get-AzKeyVaultKey comme suit :

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Conseil

Avant de continuer, si la propriété Niveau de récupération renvoie autre chose qu’une valeur de Recoverable+ProtectedSubscription, assurez-vous d’inscrire la fonctionnalité MandatoryRetentionPeriodEnabled sur l’abonnement et que la suppression réversible est activée sur chacun de vos coffres de clés.

Dessin

Vérifiez que la suppression réversible est activée sur vos coffres de clés

Lorsque vous pouvez récupérer rapidement vos clés, vous êtes moins susceptible de rencontrer une panne de service étendue en raison de clés supprimées accidentellement ou de manière malveillante. Activez cette configuration, appelée suppression réversible, avant de pouvoir utiliser vos clés avec la clé client. L’activation de la suppression réversible vous permet de récupérer des clés ou des coffres dans les 90 jours suivant la suppression sans avoir à les restaurer à partir de la sauvegarde.

Pour activer la suppression réversible sur vos coffres de clés, procédez comme suit :

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Exécutez l’applet de commande Get-AzKeyVault . Dans cet exemple, le nom du coffre est le nom du coffre de clés pour lequel vous activez la suppression réversible :

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Vérifiez que la suppression réversible est configurée pour le coffre de clés en exécutant l’applet de commande Get-AzKeyVault . Si la suppression réversible est configurée correctement pour le coffre de clés, la propriété Suppression réversible activée retourne la valeur True :

    Get-AzKeyVault -VaultName <vault name> | fl
    

Avant de continuer, assurez-vous que la suppression réversible est activée ? est défini sur « True » et « Période de rétention de suppression réversible (jours) » est défini sur « 90 ». SoftDelete

Sauvegarder azure Key Vault

Immédiatement après la création ou toute modification apportée à une clé, effectuez une sauvegarde et stockez des copies de la sauvegarde, à la fois en ligne et hors connexion. Pour créer une sauvegarde d’une clé Key Vault Azure, exécutez l’applet de commande Backup-AzKeyVaultKey.

Obtenir l’URI de chaque clé Key Vault Azure

Une fois que vous avez configuré vos coffres de clés et ajouté vos clés, exécutez la commande suivante pour obtenir l’URI de la clé dans chaque coffre de clés. Utilisez ces URI lorsque vous créez et attribuez chaque DEP ultérieurement. Enregistrez donc ces informations dans un endroit sûr. Exécutez cette commande une fois pour chaque coffre de clés.

Dans Azure PowerShell :

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Intégrer à l’aide du service d’intégration de clé client (préversion)

Nous sommes heureux de présenter le service d’intégration de clé client Microsoft 365, un service qui vous permet d’activer la clé client au sein de votre propre locataire. Cette fonctionnalité valide automatiquement les ressources de clé client requises. Si vous le souhaitez, vous pouvez valider vos ressources séparément avant de passer à l’activation de la clé client au sein de votre locataire. Cette approche simplifiée réduit considérablement la durée globale de l’intégration, ce qui vous offre un processus pratique et auto-dirigé.

Importante

Cette préversion n’est pas encore disponible pour les locataires du secteur public. Si vous avez un locataire du secteur public, ignorez cette section et passez à « Intégrer à la clé client à l’aide de la méthode manuelle ».

Le compte utilisé pour l’intégration doit avoir les rôles suivants qui satisfont aux autorisations minimales :

  1. Administrateur général : inscription des principaux de service requis.
  2. Lecteur : sur chacun des coffres de clés Azure utilisés dans l’applet de commande d’intégration.

Installer le module PowerShell « M365CustomerKeyOnboarding »

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Installez la dernière version du module M365CustomerKeyOnboarding disponible à partir du PowerShell Gallery. Démarrez une session PowerShell en tant qu’administrateur. Copiez et collez la commande dans Azure PowerShell et exécutez-la pour installer le package. Sélectionnez l’option « Oui à Tout » si vous y êtes invité. L’installation prend quelques instants.

Utilisation des 3 modes d’intégration différents

Il existe 3 modes d’intégration différents utilisés à des fins différentes dans le processus d’intégration. Ces 3 modes sont « Valider », « Préparer », « Activer ». Lors de l’exécution de l’applet de commande dans Créer une demande d’intégration, indiquez le mode à l’aide du paramètre « -OnboardingMode ».

Valider

Utilisez le mode « Valider » pour vérifier que la configuration de vos ressources utilisées pour la clé client est correcte. Aucune action n’est effectuée sur l’une de vos ressources dans ce mode.

Importante

Vous pouvez exécuter ce mode autant de fois que vous le souhaitez si vous modifiez la configuration de l’une de vos ressources.

Préparation

Le mode « Préparer » effectue une action sur vos ressources de clé client en inscrivant les 2 abonnements Azure qui ont été indiqués dans l’applet de commande pour utiliser un MandatoryRetentionPeriod. La perte temporaire ou permanente des clés de chiffrement racine peut être perturbante ou même catastrophique pour le fonctionnement du service et peut entraîner une perte de données. Pour cette raison, les ressources utilisées avec la clé client nécessitent une protection renforcée. Une période de rétention obligatoire empêche l’annulation immédiate et irréversible de votre abonnement Azure. Après l’exécution de l’applet de commande, les abonnements peuvent prendre jusqu’à 1 heure pour refléter la modification. Pour case activée l’status de l’inscription MandatoryRetentionPeriod, après avoir exécuté l’applet de commande en mode préparation, passez au mode de validation.

Importante

L’inscription de l’option MandatoryRetentionPeriod pour vos abonnements Azure est obligatoire. Vous ne devrez exécuter ce mode qu’une seule fois, sauf si vous y êtes invité à le faire à nouveau par l’applet de commande.

Activer

Utilisez ce mode lorsque vous êtes prêt à intégrer la clé client. « Activer » active uniquement votre locataire pour la clé client pour la charge de travail indiquée par le paramètre -Scenario . Si vous souhaitez activer la clé client pour Exchange et M365DataAtRestEncryption, exécutez l’applet de commande d’intégration 2 fois au total, une fois pour chaque charge de travail. Avant d’exécuter l’applet de commande en mode « enable », vérifiez que vos ressources sont correctement configurées, indiquées par « Passé » sous « ValidationResult ».

Importante

Activer n’intégrera correctement votre locataire à la clé client que si vos ressources satisfont aux vérifications en mode Valider.

Création d’une demande d’intégration

La première étape de ce processus d’automatisation consiste à créer une demande. PowerShell vous permet de compacter les résultats des applets de commande dans des variables. Compactez la nouvelle requête dans une variable. Vous pouvez créer une variable à l’aide du symbole « $ » suivi du nom de la variable.

Dans l’exemple, $request est la variable que vous pouvez affecter à une demande d’intégration.

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>

Paramètre Description Exemple
-Organisation Entrez votre ID de locataire au format xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx. abcd1234-abcd-efgh-hijk-abcdef123456
-Scénario Entrez la charge de travail à laquelle vous souhaitez intégrer. Les options d’entrée sont les suivantes : « MDEP » – Clé client pour plusieurs charges de travail
'EXO' – Clé client pour Exchange Online
MDEP
ou
EXO
-Subscription1 Entrez l’ID d’abonnement Azure du premier abonnement que vous avez inscrit pour une période de rétention obligatoire. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 Entrez le nom du coffre du premier Key Vault Azure que vous avez configuré pour la clé client. EXOVault1
-KeyName1 Entrez le nom de la première clé Azure Key Vault dans votre premier coffre de clés Azure que vous avez configuré pour la clé client. EXOKey1
-Subscription2 Entrez l’ID d’abonnement Azure du deuxième abonnement que vous avez inscrit pour une période de rétention obligatoire. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 Entrez le nom du coffre du deuxième Key Vault Azure que vous avez configuré pour la clé client. EXOVault2
-KeyName2 Entrez le nom de la deuxième clé Azure Key Vault dans votre deuxième coffre de clés Azure que vous avez configuré pour la clé client. EXOKey2
-Mode d’intégration « Préparer » : la configuration nécessaire s’effectue sur vos ressources en appliquant l’option MandatoryRetentionPeriod sur vos abonnements. L’application peut prendre jusqu’à 1 heure .
« Valider » : validez uniquement les ressources Azure Key Vault et d’abonnement Azure, ne pas intégrer à la clé client. Ce mode est utile si vous souhaitez vérifier toutes vos ressources, mais choisir d’intégrer officiellement ultérieurement.
« Activer » : validez les ressources Azure Key Vault et Abonnement, puis activez la clé client au sein de votre locataire si la validation réussit.
Préparation
ou
Activer
ou
Valider

Connectez-vous avec vos informations d’identification d’administrateur de locataire

Une fenêtre de navigateur s’ouvre et vous invite à vous connecter avec votre compte privilégié. Connectez-vous à l’aide des informations d’identification appropriées.

Page de connexion CKO

Afficher les détails de validation et d’activation

Une fois la connexion établie, revenez à votre fenêtre PowerShell. Exécutez la variable avec laquelle vous avez compacté l’applet de commande d’intégration pour obtenir une sortie de votre demande d’intégration.

$request

Sortie de la requête CKO

Vous recevez une sortie avec l’ID, CreatedDate, ValidationResult et EnablementResult.

Sortie Description
ID ID associé à la demande d’intégration créée.
CreatedDate Date de création de la demande.
Validationresult Indicateur de validation réussie/infructueuse.
EnablementResult Indicateur d’activation réussie/infructueuse.

Un locataire prêt à utiliser la clé client a la mention « Réussite » sous « ValidationResult » et « EnablementResult » comme indiqué :

Sortie réussie de CKO

Passez à Étapes suivantes si le locataire s’est correctement intégré à la clé client.

Détails de la résolution des échecs de validation

Si la validation échoue pour le locataire, les étapes suivantes sont un guide pour examiner la cause racine des ressources mal configurées. Pour case activée les ressources mal configurées qui provoquent l’échec de la validation, stockez le résultat de l’intégration dans une variable et accédez à ses résultats de validation.

  1. Recherchez l’ID de la demande que vous souhaitez examiner en répertoriant toutes les demandes.
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> 
  1. Stocker la demande d’intégration spécifique dans la variable « $request »
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 
  1. Exécutez la commande suivante :
$request.FailedValidations 

Échec de la validation CKO

La valeur attendue de chaque règle apparaît dans la colonne « ExpectedValue », tandis que la valeur réelle apparaît dans la colonne « ActualValue ». La colonne « étendue » affiche les cinq premiers caractères de votre ID d’abonnement, ce qui vous permet de déterminer quel abonnement et le coffre de clés sous-jacents ont rencontré le problème. La section « Détails » fournit une description de la cause racine de l’erreur et de la façon de la gérer.


RuleName Description Solution
MandatoryRetentionPeriodState Retourne l’état de l’objet MandatoryRetentionPeriod. Vérifier l’état de votre abonnement
SubscriptionInRequestOrganization Votre abonnement Azure se trouve dans votre organization. Vérifiez que l’abonnement fourni a été créé dans le locataire indiqué
VaultExistsinSubscription Votre Key Vault Azure se trouve dans votre abonnement Azure. Vérifiez que le Key Vault Azure a été créé dans l’abonnement indiqué
SubscriptionUniquePerScenario Votre abonnement est unique pour la clé client. Vérifier que vous utilisez deux ID d’abonnement uniques
SubscriptionsCountPerScenario Vous avez deux abonnements par scénario. Vérifiez que vous utilisez deux abonnements dans la demande
RecoveryLevel Le niveau de récupération de votre clé AKV est Récupérable+ProtectedSubscription. Vérifier le niveau de récupération de vos clés
KeyOperationsSupported Votre coffre de clés dispose des autorisations requises pour la charge de travail appropriée. Attribuer les autorisations appropriées aux clés AKV
KeyNeverExpires Votre clé AKV n’a pas de date d’expiration. Vérifier l’expiration de vos clés
KeyAccessPermissions Votre clé AKV dispose des autorisations d’accès requises Attribuer les autorisations appropriées aux clés AKV
OrganizationHasRequiredServicePlan Votre organization dispose du plan de service approprié pour utiliser la clé client. Vérifiez que votre locataire dispose des licences requises

Vérification des validations réussies

Pour case activée pour voir quelles validations ont réussi, exécutez les commandes suivantes :

  1. Stocker la demande d’intégration spécifique dans la variable « $request »
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 
  1. Exécutez la commande suivante :
$request.PassedValidations 

CKO PassedValidation

Intégrer à la clé client à l’aide de la méthode héritée

Si vous avez un locataire du secteur public, après avoir effectué toutes les étapes de configuration de vos coffres de clés et abonnements Azure Key Vault, contactez l’alias Microsoft correspondant pour l’intégrer manuellement. Ignorez cette section si vous avez utilisé le service d’intégration de clé client et passez à Étapes suivantes.

Inscrire des abonnements Azure pour utiliser une période de rétention obligatoire

Importante

Avant de contacter l’équipe Microsoft 365, vous devez effectuer les étapes suivantes pour chaque abonnement Azure que vous utilisez avec la clé client. Avant de commencer, vérifiez que le module Az Azure PowerShell est installé.

  1. Connectez-vous avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Exécutez l’applet de commande Register-AzProviderFeature pour inscrire vos abonnements afin d’utiliser une période de rétention obligatoire. Effectuez cette action pour chaque abonnement.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    

Atteindre l’alias Microsoft correspondant

  • Pour activer la clé client pour Exchange Online ou la clé client pour plusieurs charges de travail Microsoft 365, contactez m365-ck@service.microsoft.com.

  • Pour activer la clé client pour l’attribution de points de terminaison afin de chiffrer le contenu SharePoint et OneDrive (y compris les fichiers Teams) pour tous les utilisateurs du locataire, contactez spock@microsoft.com.

  • Incluez les informations suivantes dans votre e-mail :

    Objet: Clé client pour < le nom de domaine complet de votre locataire>

    Corps: Incluez les ID de demande FastTrack et les ID d’abonnement pour chacun des services de clé client auxquels vous souhaitez être intégré. Ces ID d’abonnement sont ceux auxquels vous souhaitez effectuer la période de rétention obligatoire et la sortie de Get-AzProviderFeature pour chaque abonnement.

Le contrat de niveau de service (SLA) pour l’achèvement de ce processus est de cinq jours ouvrables une fois que Microsoft est informé (et vérifié) que vous avez inscrit vos abonnements pour utiliser une période de rétention obligatoire.

Étapes suivantes

Une fois que vous avez effectué les étapes décrites dans cet article, vous êtes prêt à créer et à affecter des PDP. Pour obtenir des instructions, consultez Gérer la clé client.