Microsoft Customer keys 0365 en quelques mots

Teruin laurent



Qu’est que Customer key ?

La solution Customer Key est une solution qui crypte les données au repos dans Office 365 avec les clés fournies par votre organisation. Les données client au repos sont en effet toujours cryptées par les services Microsoft dans Microsoft 365 avec BitLocker et Distributed Key Manager (DKM). L’intérêt de l’ajout d’une clé du client permet d’ajouter une couche de cryptage supplémentaire que Microsoft appelle « cryptage de service ». Le cryptage de service n’est pas destiné à empêcher le personnel de Microsoft d’accéder aux données des clients. L’objectif principal est d’aider les clients à respecter les obligations réglementaires ou de conformité. En d’autres termes, Customer Key vous aide à respecter les obligations de conformité car vous contrôlez les clés de cryptage que Microsoft 365 utilise pour crypter et décrypter les données.

Qu’est-ce que cela chiffre ?

En utilisant les clés fournies par votre organisation, le service Customer Key crypte par conséquent les services suivants :

  • SharePoint Online, OneDrive for Business, et les fichiers Microsoft Teams (qui se trouvent dans SharePoint ou OneDrive for Business)
  • Fichiers téléchargés sur OneDrive for Business
  • Contenu de la boîte aux lettres en ligne, y compris le contenu du corps du courriel, les entrées du calendrier et le contenu des pièces jointes.
  • Conversations textuelles de Skype pour les entreprises (l’historique des discussions se trouve dans la boîte aux lettres Exchange)

En ce qui concerne Teams le service Customer Key crypte les données suivantes :

  • Messages de chat des équipes (chats 1:1, chats de groupe, chats de réunion et conversations de canal)
  • Flux média Teams (images, extraits de code, vidéos, images wiki)
  • Enregistrements des appels et des réunions Teams
  • Notifications Teams par chat
  • Suggestions Teams de chat par Cortana
  • Messages statut Teams
  • Informations sur les utilisateurs pour Exchange Online

Pour Teams, la clé client au niveau du Tenant crypte les nouvelles données à partir du moment où la politique de cryptage des données est attribué Tenant. La preview ne prend pas en charge le cryptage des données antérieures. Pour Exchange Online, la clé client crypte toutes les données existantes et nouvelles. Même si vous pouvez créer plusieurs politiques de cryptage des données par Tenant, vous ne pouvez en attribuer qu’une seule à tout moment. Lorsque vous attribuez la politique de cryptage des données, sachez que le cryptage commence automatiquement mais peut prendre un certain temps en fonction de la taille de votre Tenant.

Sachez également que

  • Si vous utilisez les fonctionnalités de Multi géo alors vous pourrez utilisez des clefs de cryptage différents par site Multi geo.
  • La politique de cryptage peut être appliquée à une boîte aux lettres partagée, une boîte aux lettres à dossier public et une boîte aux lettres de groupe Microsoft 365 pour les tenant qui satisfont à l’exigence de licence pour les boîtes aux lettres des utilisateurs, même si certains de ces types de boîtes aux lettres ne peuvent pas faire l’objet d’une licence attribuée (boîte aux lettres à dossier public et boîte aux lettres de groupe Microsoft 365) ou nécessitent une licence pour augmenter l’espace de stockage (boîte aux lettres partagée).

Quelles sont les licences nécessaires ?

Avant de commencer, assurez-vous que vous disposez de la licence appropriée pour votre organisation. Vous devez pour cela utiliser un abonnement Azure payant en utilisant soit un accord d’entreprise, soit un fournisseur de services cloud. Les abonnements Azure achetés avec des plans « Pay As You Go » ou par carte de crédit ne sont pas pris en charge. À partir du 1er avril 2020, la Customer Key dans Office 365 est proposée dans les licences Office 365 E5, M365 E5, M365 E5 Compliance et M365 E5 Information Protection & Governance.

Une fois que vous avez installer votre customer key et créer votre politique de cryptage (Procédure que je détaillerai plus tard) vous pourrez démarrer son affectation soit à un groupe de boites aux lettres soit à une boite aux lettre spécifique. Voir ci-dessous

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>.

 

Pour vérifier que celle-ci est correctement chiffrée utiliser la commande suivante

 

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

 

 

Vous noterez au passage que la boite aux lettres peut être indifféremment stockée online ou on prem dans un environnement Hybride

Pour SharePoint Online , OneDrive et Teams il vous suffira d’executer la commande suivante

Register-SPODataEncryptionPolicy -Identity https://workingtogether.sharepoint.com -PrimaryKeyVaultName ‘Myvault’ -PrimaryKeyName ‘SPKeyTest’ -PrimaryKeyVersion ‘A785a23bd4a44b9996ff6aadd88d42ba’ -SecondaryKeyVaultName ‘ Myvault2 ‘ -SecondaryKeyName ‘ SPKeyTest2’ -SecondaryKeyVersion ‘345fe8f1d754f438dacdec1f0945f251a’

Que se passe t’il si je ne veux plus utiliser la fonctionnalités Customer Key mais que j’ai des données chiffrées avec cette fonctionnalité ?

Si vous voulez revenir sur le chiffrement Microsoft après avoir chiffrer vos données (sans suppression de ces dernières) avec votre clef, cela est possible soit unitairement par exemple sur une boite aux lettres (Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy
$NULL) soit en demandant à Microsoft la révocation du service.

 

 


 

Publié par Teruin laurent

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s