Vue d’ensemble du chiffrement de service avec la clé client Microsoft Purview
Microsoft 365 fournit un chiffrement de base au niveau du volume activé via BitLocker et Distributed Key Manager (DKM). Les disques de PC Windows 365 Entreprise et Business Cloud sont chiffrés avec le chiffrement côté serveur (SSE) du stockage Azure. Microsoft 365 offre une couche supplémentaire de chiffrement pour votre contenu via la clé client. Ce contenu inclut des données provenant de Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams et Windows 365 PC cloud.
BitLocker n’est pas pris en charge en tant qu’option de chiffrement pour Windows 365 PC cloud. Pour plus d’informations, consultez Utilisation de machines virtuelles Windows 10 dans Intune.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Comment le chiffrement de service, BitLocker, SSE et la clé client fonctionnent ensemble
Vos données Microsoft 365 sont toujours chiffrées au repos dans le service Microsoft 365 avec BitLocker et DKM. Pour plus d’informations, consultez Comment Exchange Online sécurise vos secrets de messagerie. La clé client offre une protection supplémentaire contre l’affichage des données par des systèmes ou du personnel non autorisés, et complète le chiffrement de disque BitLocker et les SSE dans les centres de données Microsoft. Le chiffrement de service n’est pas destiné à empêcher le personnel Microsoft d’accéder à vos données. Au lieu de cela, la clé client vous aide à respecter les obligations réglementaires ou de conformité en matière de contrôle des clés racines. Vous autorisez explicitement les services Microsoft 365 à utiliser vos clés de chiffrement pour fournir des services cloud à valeur ajoutée, tels que eDiscovery, anti-programme malveillant, anti-courrier indésirable, indexation de recherche, etc.
La clé client repose sur le chiffrement de service et vous permet de fournir et de contrôler des clés de chiffrement. Microsoft 365 utilise ensuite ces clés pour chiffrer vos données au repos, comme décrit dans les Conditions des services en ligne (OST). La clé client vous aide à respecter les obligations de conformité, car vous contrôlez les clés de chiffrement que Microsoft 365 utilise pour chiffrer et déchiffrer les données.
La clé client améliore la capacité de votre organization à répondre aux exigences de conformité qui spécifient des accords clés avec le fournisseur de services cloud. Avec la clé client, vous fournissez et contrôlez les clés de chiffrement racine de vos données Microsoft 365 au repos au niveau de l’application. Par conséquent, vous contrôlez les clés de votre organization.
Clé client avec déploiements hybrides
La clé client chiffre uniquement les données au repos dans le cloud. La clé client ne fonctionne pas pour protéger vos boîtes aux lettres et vos fichiers locaux. Vous pouvez chiffrer vos données locales à l’aide d’une autre méthode, telle que BitLocker.
En savoir plus sur les stratégies de chiffrement des données
Une stratégie de chiffrement des données (DEP) définit la hiérarchie de chiffrement. Cette hiérarchie est utilisée par le service pour chiffrer les données à l’aide de chacune des clés que vous gérez et de la clé de disponibilité protégée par Microsoft. Vous créez un DEP à l’aide d’applets de commande PowerShell, puis vous attribuez un DEP pour chiffrer les données d’application. Il existe trois types de stratégies de chiffrement des données (DEPs) prises en charge par la clé client. Chaque type de stratégie utilise des applets de commande différentes et fournit une couverture pour un type de données différent. Vous pouvez définir ces types :
DEP pour plusieurs charges de travail Microsoft 365 Ces DEPs chiffrent les données sur plusieurs charges de travail Microsoft 365 pour tous les utilisateurs au sein du locataire. Ces charges de travail sont les suivantes :
Windows 365 PC cloud. Pour plus d’informations, consultez Clé client Microsoft Purview pour les PC Windows 365 Cloud.
Messages de conversation Teams (conversations 1:1, conversations de groupe, conversations de réunion et conversations de canal)
Messages multimédias Teams (images, extraits de code, messages vidéo, messages audio, images wiki)
Enregistrements d’appels et de réunions Teams stockés dans le stockage Teams
Notifications de conversation Teams
Suggestions de conversation Teams par Cortana
Messages status Teams
interactions Microsoft 365 Copilot
Informations sur l’utilisateur et le signal pour Exchange Online
Exchange Online boîtes aux lettres sans chiffrement appliqué à partir d’un DEP de boîte aux lettres
Protection des données Microsoft Purview :
Données de correspondance exacte des données (EDM), y compris les schémas de fichiers de données, les packages de règles et les sels utilisés pour hacher les données sensibles. Pour EDM et Microsoft Teams, le DEP à charges de travail multiples chiffre les nouvelles données à partir du moment où vous attribuez le DEP au locataire. Par Exchange Online, la clé client chiffre toutes les données existantes et nouvelles.
Configuration des étiquettes pour les étiquettes de confidentialité
Les PDP multi-charges de travail ne chiffrent pas les types de données suivants. Au lieu de cela, Microsoft 365 utilise d’autres types de chiffrement pour protéger ces données.
- Données SharePoint et OneDrive.
- Les fichiers Microsoft Teams et certains enregistrements d’appels et de réunions Teams enregistrés dans OneDrive et SharePoint sont chiffrés à l’aide de sharePoint DEP.
- Autres charges de travail Microsoft 365 que la clé client ne prend pas en charge, telles que Viva Engage et Planificateur.
- Données d’événement en direct Teams.
Vous pouvez créer plusieurs PED par locataire, mais n’affecter qu’un seul DEP à la fois. Lorsque vous attribuez le DEP, le chiffrement commence automatiquement, mais prend un certain temps en fonction de la taille de votre locataire.
Les adresses DEP pour les boîtes aux lettres Exchange Online les adresses DEP de boîte aux lettres fournissent un contrôle plus précis sur les boîtes aux lettres individuelles au sein de Exchange Online. Utilisez les adresses DEP de boîte aux lettres pour chiffrer les données stockées dans des boîtes aux lettres EXO de différents types tels que les boîtes aux lettres UserMailbox, MailUser, Group, PublicFolder et Shared. Vous pouvez avoir jusqu’à 50 points de service actifs par locataire et les affecter à des boîtes aux lettres individuelles. Vous pouvez affecter une dep à plusieurs boîtes aux lettres.
Par défaut, vos boîtes aux lettres sont chiffrées à l’aide de clés gérées par Microsoft. Lorsque vous affectez une clé client DEP à une boîte aux lettres :
Si la boîte aux lettres est chiffrée à l’aide d’un DEP à plusieurs charges de travail, le service réencapsitre la boîte aux lettres à l’aide de la nouvelle boîte aux lettres DEP tant qu’un utilisateur ou une opération système accède aux données de la boîte aux lettres.
Si la boîte aux lettres est déjà chiffrée à l’aide de clés gérées par Microsoft, le service réencapsitre la boîte aux lettres à l’aide de la nouvelle boîte aux lettres DEP tant qu’un utilisateur ou une opération système accède aux données de la boîte aux lettres.
Si la boîte aux lettres n’est pas encore chiffrée à l’aide du chiffrement par défaut, le service marque la boîte aux lettres pour un déplacement. Le chiffrement a lieu une fois le déplacement terminé. Les déplacements de boîte aux lettres sont régis en fonction des priorités définies pour l’ensemble de Microsoft 365. Pour plus d’informations, consultez Déplacer des demandes dans le service Microsoft 365. Si les boîtes aux lettres ne sont pas chiffrées dans le délai spécifié, contactez Microsoft.
Par la suite, vous pouvez actualiser le programme DEP ou affecter un autre DEP à la boîte aux lettres, comme décrit dans Gérer la clé client pour Office 365. Chaque boîte aux lettres doit avoir les licences appropriées pour recevoir un DEP. Pour plus d’informations sur les licences, consultez Avant de configurer la clé client.
Vous pouvez affecter des points de terminaison à une boîte aux lettres partagée, à une boîte aux lettres de dossiers publics et à une boîte aux lettres de groupe Microsoft 365 pour les locataires qui répondent aux exigences de licence pour les boîtes aux lettres utilisateur. Vous n’avez pas besoin de licences distinctes pour les boîtes aux lettres non spécifiques à l’utilisateur pour affecter la clé client DEP.
Pour les points de terminaison de clé client que vous affectez à des boîtes aux lettres individuelles, vous pouvez demander à Microsoft de vider les points de terminaison spécifiques lorsque vous quittez le service. Pour plus d’informations sur le processus de vidage des données et la révocation des clés, consultez Révoquer vos clés et démarrer le processus de vidage des données.
Lorsque vous révoquez l’accès à vos clés dans le cadre de la sortie du service, la clé de disponibilité est supprimée, ce qui entraîne la suppression par chiffrement de vos données. La suppression du chiffrement atténue le risque de rémanence des données, ce qui est important pour répondre aux obligations de sécurité et de conformité.
DEP pour SharePoint et OneDrive Ce DEP est utilisé pour chiffrer le contenu stocké dans SharePoint et OneDrive, y compris les fichiers Microsoft Teams stockés dans SharePoint. Si vous utilisez la fonctionnalité multigéographique, vous pouvez créer un DEP par zone géographique pour votre organization. Si vous n’utilisez pas la fonctionnalité multigéographique, vous ne pouvez créer qu’un seul DEP par locataire. Reportez-vous aux détails dans Configurer la clé client.
Chiffrements de chiffrement utilisés par la clé client
La clé client utilise différents chiffrements pour chiffrer les clés, comme illustré dans les illustrations suivantes.
La hiérarchie de clés utilisée pour les PDP qui chiffrent les données de plusieurs charges de travail Microsoft 365 est similaire à la hiérarchie utilisée pour les PDP pour les boîtes aux lettres de Exchange Online individuelles. La seule différence est que la clé de boîte aux lettres est remplacée par la clé de charge de travail Microsoft 365 correspondante.
Chiffrements utilisés pour chiffrer les clés pour Exchange Online
Chiffrements utilisés pour chiffrer les clés pour SharePoint et OneDrive