Configurer la clé client

Avec la clé client, vous contrôlez les clés de chiffrement de votre organisation, puis configurez Microsoft 365 pour les utiliser pour chiffrer vos données au repos dans les centres de données de Microsoft. En d’autres termes, la clé client vous permet d’ajouter une couche de chiffrement qui vous appartient, avec vos clés.

Configurez Azure avant d’utiliser la clé client. Cet article décrit les étapes à suivre pour créer et configurer les ressources Azure requises, puis fournit les étapes de configuration de la clé client. Après avoir configuré Azure, vous déterminez la stratégie et, par conséquent, les clés, à attribuer pour chiffrer les données sur différentes charges de travail Microsoft 365 de votre organisation. Pour plus d’informations sur la clé client ou pour obtenir une vue d’ensemble générale, consultez Vue d’ensemble de la clé client.

Importante

Nous vous recommandons vivement de suivre les meilleures pratiques décrites dans cet article. Ceux-ci sont appelés TIP et IMPORTANT. La clé client vous permet de contrôler les clés de chiffrement racine dont l’étendue peut être aussi grande que celle de l’ensemble de votre organisation. Cela signifie que les erreurs commises avec ces clés peuvent avoir un impact important et peuvent entraîner des interruptions de service ou une perte irréversible de vos données.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

La prise en charge de Windows 365 pour la clé client Microsoft Purview est en préversion publique et est susceptible d’être modifiée.

Avant de configurer la clé client

Avant de commencer, vérifiez que vous disposez des abonnements Azure et des licences Microsoft 365, Office 365 et Windows 365 appropriés pour votre organisation. Vous devez utiliser des abonnements Azure payants. Les abonnements que vous avez reçus via gratuit, essai, parrainages, abonnements MSDN et abonnements sous support hérité ne sont pas éligibles.

Importante

Licences Microsoft 365 et Office 365 valides qui offrent une clé client Microsoft 365 :

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Conformité
  • Références SKU Microsoft 365 E5 Information Protection & Governance
  • Sécurité et conformité Microsoft 365 pour FLW

Les licences de conformité avancée Office 365 existantes sont toujours prises en charge.

Pour comprendre les concepts et les procédures de cet article, consultez la documentation Azure Key Vault . Familiarisez-vous également avec les termes utilisés dans Azure, par exemple, locataire Microsoft Entra.

Si vous avez besoin d’un support supplémentaire au-delà de la documentation, contactez le support Microsoft. Pour fournir des commentaires sur la clé client, y compris la documentation, envoyez vos idées, suggestions et perspectives à la Communauté Microsoft 365

Vue d’ensemble des étapes de configuration de la clé client

Pour configurer la clé client, effectuez ces tâches dans l’ordre indiqué. Le reste de cet article fournit des instructions détaillées pour chaque tâche ou des liens vers des informations supplémentaires pour chaque étape du processus.

Dans Azure :

Remplissez les conditions préalables suivantes en vous connectant à distance à Azure PowerShell. Pour obtenir de meilleurs résultats, utilisez la version 4.4.0 ou ultérieure d’Azure PowerShell :

Activation du locataire après avoir effectué les tâches précédentes :

Effectuer des tâches dans Azure Key Vault pour la clé client

Effectuez ces tâches dans Azure Key Vault. Vous devez effectuer ces étapes pour tous les types de stratégies de chiffrement de données (DEPs) que vous utilisez avec la clé client.

Créer deux abonnements Azure

La clé client nécessite deux abonnements Azure. En guise de bonne pratique, Microsoft vous recommande de créer des abonnements Azure à utiliser avec la clé client. Les clés Azure Key Vault ne peuvent être autorisées que pour les applications du même locataire Microsoft Entra. Vous devez créer les nouveaux abonnements à l’aide du même locataire Microsoft Entra que celui utilisé avec votre organisation où les PDP sont affectés. Par exemple, en utilisant votre compte professionnel ou scolaire qui dispose de privilèges d’administrateur général dans votre organisation. Pour obtenir des instructions détaillées, consultez S’inscrire à Azure en tant qu’organisation.

Importante

La clé client nécessite deux clés pour chaque stratégie de chiffrement des données (DEP). Pour ce faire, vous devez créer deux abonnements Azure. En guise de bonne pratique, Microsoft recommande que des membres distincts de votre organisation configurent une clé dans chaque abonnement. Vous devez uniquement utiliser ces abonnements Azure pour administrer les clés de chiffrement pour Microsoft 365. Cela protège votre organisation en cas de suppression accidentelle, intentionnelle ou malveillante par l’un de vos opérateurs des clés dont il est responsable.

Il n’existe aucune limite pratique au nombre d’abonnements Azure que vous pouvez créer pour votre organisation. Le respect de ces bonnes pratiques réduit l’impact des erreurs humaines tout en aidant à gérer les ressources utilisées par la clé client.

Inscrire les principaux de service requis

Pour utiliser la clé client, votre locataire doit avoir les principaux de service requis inscrits dans le locataire. Dans les sections suivantes, des instructions sont fournies pour vérifier si les principaux de service sont déjà inscrits dans votre locataire. S’ils ne sont pas inscrits, exécutez l’applet de commande « New-AzADServicePrincipal » comme indiqué.

Inscrire le principal de service pour l’application d’intégration de clé client

Pour vérifier si l’application Customer Key Onboarding est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Inscrire le principal de service pour l’application M365DataAtRestEncryption

Pour vérifier si l’application M365DataAtRestEncryption est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4 

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Inscrire le principal de service pour l’application Office 365 Exchange Online

Pour vérifier si l’application Office 365 Exchange Online est déjà inscrite dans votre locataire, avec des privilèges d’administrateur général, exécutez la commande suivante :

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000 

Si l’application n’est pas inscrite dans le locataire, exécutez la commande suivante :

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Créer un coffre de clés Azure Key Vault Premium dans chaque abonnement

Les étapes de création d’un coffre de clés sont documentées dans Prise en main d’Azure Key Vault. Ces étapes vous guident tout au long de l’installation et du lancement d’Azure PowerShell, de la connexion à votre abonnement Azure, de la création d’un groupe de ressources et de la création d’un coffre de clés dans ce groupe de ressources.

Lorsque vous créez un coffre de clés, vous devez choisir une référence SKU : Standard ou Premium. La référence SKU Standard permet aux clés Azure Key Vault d’être protégées avec des logiciels ( il n’existe aucune protection de clé de module de sécurité matériel (HSM) - et la référence SKU Premium permet d’utiliser des HSM pour la protection des clés Key Vault. Customer Key accepte les coffres de clés qui utilisent l’une ou l’autre référence SKU, bien que Microsoft vous recommande vivement d’utiliser uniquement la référence SKU Premium. Le coût des opérations avec les clés des deux types est le même. Par conséquent, la seule différence de coût est le coût par mois pour chaque clé protégée par HSM. Pour plus d’informations, consultez Tarification de Key Vault .

La clé client a récemment ajouté la prise en charge des clés RSA stockées dans un HSM managé qui est une solution compatible FIPS 140-2 de niveau 3. Le HSM managé Azure Key Vault est un service cloud entièrement managé, hautement disponible, monolocataire et conforme aux normes qui vous permet de protéger les clés de chiffrement pour vos applications cloud, à l’aide de HSM validés FIPS 140-2 De niveau 3. Pour plus d’informations sur le HSM managé, consultez la vue d’ensemble.

Importante

Utilisez les coffres de clés de référence SKU Premium et les clés protégées par HSM pour les données de production. Utilisez uniquement des coffres de clés et des clés de référence SKU Standard à des fins de test et de validation.

Pour chaque service Microsoft 365 avec lequel vous utilisez la clé client, créez un coffre de clés ou un HSM managé dans chacun des deux abonnements Azure que vous avez créés.

Par exemple, pour permettre à la clé client d’utiliser des points de terminaison pour les scénarios Exchange, SharePoint et multi-charges de travail, créez trois paires de coffres de clés ou de HSM managés, pour un total de 6. Utilisez une convention de nommage qui reflète l’utilisation prévue du DEP auquel vous associez les coffres. Le tableau suivant montre comment mapper chaque azure Key Vault (AKV) ou HSM managé à chaque charge de travail.

Nom du coffre de clés Autorisations pour plusieurs charges de travail Microsoft 365 (M365DataAtRestEncryption) Autorisations pour Exchange Autorisations pour SharePoint et OneDrive
ContosoM365AKV01 Oui Non Non
ContosoM365AKV02 Oui Non Non
ContosoEXOAKV01 Non Oui Non
ContosoEXOAKV02 Non Oui Non
ContosoSPOAKV01 Non Non Oui
ContosoSPOAKV02 Non Non Oui

La création de coffres de clés nécessite également la création de groupes de ressources Azure, car les coffres de clés ont besoin d’une capacité de stockage (bien que petite) et la journalisation key vault, si elle est activée, génère également des données stockées. En guise de bonne pratique, Microsoft recommande d’utiliser des administrateurs distincts pour gérer chaque groupe de ressources, avec l’administration alignée sur l’ensemble d’administrateurs qui gère toutes les ressources de clé client associées.

Pour Exchange, l’étendue d’une stratégie de chiffrement des données est choisie lorsque vous affectez la stratégie à la boîte aux lettres. Une seule stratégie peut être affectée à une boîte aux lettres, et vous pouvez créer jusqu’à 50 stratégies. L’étendue d’une stratégie SharePoint inclut toutes les données au sein d’une organisation dans un emplacement géographique ou géographique. L’étendue d’une stratégie multi-charges de travail inclut toutes les données des charges de travail prises en charge pour tous les utilisateurs.

Importante

Si vous envisagez d’utiliser la clé client pour plusieurs charges de travail Microsoft 365, Exchange et SharePoint & OneDrive, veillez à créer 2 coffres de clés Azure pour chaque charge de travail. Au total, 6 coffres doivent être créés.

Attribuer des autorisations à chaque coffre de clés

Définissez les autorisations requises pour chaque coffre de clés à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Les actions de configuration d’Azure Key Vault sont effectuées à l’aide du portail Azure. Cette section explique comment appliquer les autorisations appropriées à l’aide de RBAC.

Attribution d’autorisations à l’aide de la méthode RBAC

Pour attribuer wrapKeydes autorisations , unwrapkeyet get sur votre coffre de clés Azure Key Vault, vous devez attribuer le rôle « Utilisateur de chiffrement du service de chiffrement key vault » à l’application Microsoft 365 correspondante. Consultez Accorder aux applications l’autorisation d’accéder à un coffre de clés Azure à l’aide d’Azure RBAC | Microsoft Learn.

Pour attribuer wrapKeydes autorisations , unwrapkeyet get sur votre HSM managé, vous devez attribuer le rôle « Utilisateur de chiffrement du service de chiffrement de HSM managé » à l’application Microsoft 365 correspondante. Consultez Gestion des rôles HSM managé | Microsoft Learn.

Recherchez les noms suivants pour chaque application Microsoft 365 lors de l’ajout du rôle à votre coffre de clés Azure :

  • Pour Exchange : Office 365 Exchange Online

  • Pour SharePoint et OneDrive : Office 365 SharePoint Online

  • Pour la stratégie multi-charges de travail (Exchange, Teams, Microsoft Purview Information Protection) : M365DataAtRestEncryption

Si vous ne voyez pas l’application Microsoft 365 correspondante, vérifiez que vous avez inscrit l’application dans le locataire.

Pour plus d’informations sur l’attribution de rôles et d’autorisations, consultez Utiliser le contrôle d’accès en fonction du rôle pour gérer l’accès aux ressources de votre abonnement Azure.

Attribution de rôles d’utilisateur

  • Administrateurs de coffre de clés ou administrateurs de HSM managés qui gèrent quotidiennement votre coffre de clés pour votre organisation. Ces tâches incluent la sauvegarde, la création, l’obtention, l’importation, la liste et la restauration.

    Importante

    Le jeu d’autorisations attribué aux administrateurs de coffre de clés n’inclut pas l’autorisation de supprimer des clés. C’est intentionnel et une pratique importante. La suppression des clés de chiffrement n’est généralement pas effectuée, car cela détruit définitivement les données. En guise de bonne pratique, n’accordez pas l’autorisation de suppression des clés de chiffrement aux administrateurs de coffre de clés par défaut. Au lieu de cela, réservez cette autorisation aux contributeurs du coffre de clés et attribuez-la à un administrateur à court terme uniquement une fois qu’une compréhension claire des conséquences est comprise.

  • Pour attribuer ces autorisations à un utilisateur de votre organisation à l’aide de RBAC, consultez Attribuer des rôles Azure à l’aide du portail Azure et attribuer le rôle Administrateur Key Vault .

  • Contributeurs qui peuvent modifier les autorisations sur Azure Key Vault lui-même. Modifiez ces autorisations à mesure que les employés quittent ou rejoignent votre équipe. Dans les rares situations où les administrateurs de coffre de clés ont légitimement besoin d’une autorisation pour supprimer ou restaurer une clé, vous devez également modifier les autorisations. Ce jeu de contributeurs de coffre de clés doit se voir attribuer le rôle Contributeur sur votre coffre de clés. Vous pouvez attribuer ce rôle à l’aide de RBAC. L’administrateur qui crée un abonnement dispose implicitement de cet accès et de la possibilité d’affecter d’autres administrateurs au rôle Contributeur.

Ajouter une clé à chaque coffre de clés en créant ou en important une clé

Il existe deux façons d’ajouter des clés à un coffre de clés Azure ou à un HSM managé : vous pouvez créer une clé directement dans la ressource ou importer une clé. La création d’une clé directement dans Key Vault est moins compliquée, mais l’importation d’une clé offre un contrôle total sur la façon dont la clé est générée. Utilisez les clés RSA. Customer Key prend en charge les longueurs de clé RSA allant jusqu’à 4 096. Azure Key Vault ne prend pas en charge l’encapsulation et le désencapsulation avec des clés à courbe elliptique.

Les HSM managés prennent uniquement en charge les clés protégées par HSM. Lorsque vous créez une clé pour un HSM managé, vous devez créer une clé RSA-HSM, et non un autre type.

Pour obtenir des instructions sur l’ajout d’une clé à chaque coffre ou HSM managé, consultez Add-AzKeyVaultKey.

Pour obtenir des instructions détaillées pour créer une clé localement et l’importer dans votre coffre de clés, consultez Comment générer et transférer des clés protégées par HSM pour Azure Key Vault. Utilisez les instructions Azure pour créer une clé dans chaque coffre de clés.

Vérifier la date d’expiration de vos clés

Pour vérifier qu’aucune date d’expiration n’est définie pour vos clés, exécutez l’applet de commande Get-AzKeyVaultKey .

Pour Azure Key Vault :

Get-AzKeyVaultKey -VaultName <vault name>

Pour le HSM managé :

Get-AzKeyVaultKey -HsmName <HSM name>

La clé client ne peut pas utiliser une clé expirée. Les opérations tentées avec une clé expirée échouent et peuvent entraîner une panne de service. Nous recommandons vivement que les clés utilisées avec la clé client n’aient pas de date d’expiration.

Une date d’expiration, une fois définie, ne peut pas être supprimée, mais peut être modifiée à une autre date. Si une clé ayant une date d’expiration doit être utilisée, remplacez la valeur d’expiration par 31/12/9999 et utilisez le processus d’intégration hérité. Les clés dont la date d’expiration est définie sur une date autre que le 31/12/9999 échouent à la validation Microsoft 365. Le service d’intégration de clé client accepte uniquement les clés sans date d’expiration.

Pour modifier une date d’expiration définie sur une valeur autre que 31/12/9999, exécutez l’applet de commande Update-AzKeyVaultKey .

Pour Azure Key Vault :

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Pour le HSM managé :

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Attention

Ne définissez pas de dates d’expiration sur les clés de chiffrement que vous utilisez avec la clé client.

Vérifiez que la suppression réversible est activée sur vos coffres de clés

Lorsque vous pouvez récupérer rapidement vos clés, vous êtes moins susceptible de rencontrer une panne de service étendue en raison de clés supprimées accidentellement ou de manière malveillante. Cette configuration est appelée suppression réversible. L’activation de la suppression réversible vous permet de récupérer des clés ou des coffres dans les 90 jours suivant la suppression sans avoir à les restaurer à partir de la sauvegarde. Cette configuration est automatiquement activée lors de la création de nouveaux coffres de clés Azure. La suppression réversible ne peut pas être désactivée pour les ressources HSM managées. Si vous utilisez des coffres existants pour lesquels ce paramètre n’est pas activé, vous pouvez l’activer.

Pour activer la suppression réversible sur vos coffres de clés, procédez comme suit :

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Exécutez l’applet de commande Get-AzKeyVault . Dans cet exemple, le nom du coffre est le nom du coffre de clés pour lequel vous activez la suppression réversible :

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Vérifiez que la suppression réversible est configurée pour le coffre de clés en exécutant l’applet de commande Get-AzKeyVault . Si la suppression réversible est configurée correctement pour le coffre de clés, la propriété Suppression réversible activée retourne la valeur True :

    Get-AzKeyVault -VaultName <vault name> | fl
    

Avant de continuer, assurez-vous que la suppression réversible est activée ? est défini sur « True » et « Période de rétention de suppression réversible (jours) » est défini sur « 90 ». SoftDelete

Sauvegarder Azure Key Vault

Immédiatement après la création ou toute modification apportée à une clé, effectuez une sauvegarde et stockez des copies de la sauvegarde, à la fois en ligne et hors connexion. Pour créer une sauvegarde d’un coffre de clés Azure ou d’une clé HSM managée, exécutez l’applet de commande Backup-AzKeyVaultKey .

Obtenir l’URI de chaque clé Azure Key Vault

Une fois que vous avez configuré vos coffres de clés et ajouté vos clés, exécutez la commande suivante pour obtenir l’URI de la clé dans chaque coffre de clés. Utilisez ces URI lorsque vous créez et attribuez chaque DEP ultérieurement. Enregistrez donc ces informations dans un endroit sûr. Exécutez cette commande une fois pour chaque coffre de clés.

Dans Azure PowerShell :

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Pour le HSM managé :

(Get-AzKeyVaultKey -HsmName <HSM name>).Id

Intégrer à l’aide du service d’intégration de clé client

Le service d’intégration de clé client Microsoft 365 est un service qui vous permet d’activer la clé client au sein de votre propre locataire. Cette fonctionnalité valide automatiquement les ressources de clé client requises. Si vous le souhaitez, vous pouvez valider vos ressources séparément avant de passer à l’activation de la clé client au sein de votre locataire.

Importante

Ce service n’est pas encore disponible pour les scénarios suivants :

  • Locataires du secteur public : consultez « Intégration à la clé client pour les locataires du secteur public » ci-dessous.
  • SharePoint et OneDrive : voir « Intégrer à la clé client pour SharePoint et OneDrive » ci-dessous.
  • Locataires utilisant des HSM managés : consultez « Intégration à la clé client à l’aide de la méthode héritée » ci-dessous.

Le compte utilisé pour l’intégration doit avoir les rôles suivants qui satisfont aux autorisations minimales :

  1. Administrateur général : inscription des principaux de service requis.
  2. Lecteur : sur chacun des coffres de clés Azure utilisés dans l’applet de commande d’intégration.

Installer le module PowerShell « M365CustomerKeyOnboarding »

  1. Connectez-vous à votre abonnement Azure avec Azure PowerShell. Pour obtenir des instructions, consultez Se connecter avec Azure PowerShell.

  2. Installez la dernière version du module M365CustomerKeyOnboarding disponible dans PowerShell Gallery. Vérifiez que vous téléchargez la dernière version en affichant l’onglet « Historique des versions » en bas de la page. Démarrez une session PowerShell en tant qu’administrateur. Copiez et collez la commande dans Azure PowerShell et exécutez-la pour installer le package. Sélectionnez l’option « Oui à Tout » si vous y êtes invité. L’installation prend quelques instants.

Utilisation des 3 modes d’intégration différents

Il existe 3 modes d’intégration différents utilisés à des fins différentes dans le processus d’intégration. Ces 3 modes sont « Valider », « Préparer », « Activer ». Lors de l’exécution de l’applet de commande dans Créer une demande d’intégration, indiquez le mode à l’aide du paramètre « -OnboardingMode ».

Valider

Utilisez le mode « Valider » pour vérifier que la configuration de vos ressources utilisées pour la clé client est correcte. Aucune action n’est effectuée sur l’une de vos ressources dans ce mode.

Importante

Vous pouvez exécuter ce mode autant de fois que vous le souhaitez si vous modifiez la configuration de l’une de vos ressources.

Préparation

Le mode « Préparer » effectue une action sur vos ressources de clé client en inscrivant les 2 abonnements Azure qui ont été indiqués dans l’applet de commande pour utiliser un MandatoryRetentionPeriod. La perte temporaire ou permanente des clés de chiffrement racine peut être perturbante ou même catastrophique pour le fonctionnement du service et peut entraîner une perte de données. Pour cette raison, les ressources utilisées avec la clé client nécessitent une protection renforcée. Une période de rétention obligatoire empêche l’annulation immédiate et irréversible de votre abonnement Azure. Après l’exécution de l’applet de commande, les abonnements peuvent prendre jusqu’à 1 heure pour refléter la modification. Pour vérifier l’état de l’inscription MandatoryRetentionPeriod, après avoir exécuté l’applet de commande en mode préparation, passez au mode « valider ».

Importante

L’inscription de l’option MandatoryRetentionPeriod pour vos abonnements Azure est obligatoire. Vous ne devrez exécuter ce mode qu’une seule fois, sauf si vous y êtes invité à le faire à nouveau par l’applet de commande.

Activer

Utilisez ce mode lorsque vous êtes prêt à intégrer la clé client. « Activer » active uniquement votre locataire pour la clé client pour la charge de travail indiquée par le paramètre -Scenario . Si vous souhaitez activer la clé client pour Exchange et M365DataAtRestEncryption, exécutez l’applet de commande d’intégration 2 fois au total, une fois pour chaque charge de travail. Avant d’exécuter l’applet de commande en mode « enable », vérifiez que vos ressources sont correctement configurées, indiquées par « Passé » sous « ValidationResult ».

Importante

Activer n’intégrera correctement votre locataire à la clé client que si vos ressources satisfont aux vérifications en mode « valider ».

Création d’une demande d’intégration

La première étape de ce processus d’automatisation consiste à créer une demande. PowerShell vous permet de compacter les résultats des applets de commande dans des variables. Compactez la nouvelle requête dans une variable. Vous pouvez créer une variable à l’aide du symbole « $ » suivi du nom de la variable.

Dans l’exemple, $request est la variable que vous pouvez affecter à une demande d’intégration.

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>

Paramètre Description Exemple
-Organisation Entrez votre ID de locataire au format xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx. abcd1234-abcd-efgh-hijk-abcdef123456
-Scénario Entrez la charge de travail à laquelle vous souhaitez intégrer. Les options d’entrée sont les suivantes : « MDEP » – Clé client pour plusieurs charges de travail
'EXO' – Clé client pour Exchange
MDEP
ou
EXO
-Subscription1 Entrez l’ID d’abonnement Azure du premier abonnement que vous avez inscrit pour une période de rétention obligatoire. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 Entrez le nom du coffre du premier coffre Azure Key Vault que vous avez configuré pour la clé client. EXOVault1
-KeyName1 Entrez le nom de la première clé Azure Key Vault dans votre premier coffre de clés Azure que vous avez configuré pour la clé client. EXOKey1
-Subscription2 Entrez l’ID d’abonnement Azure du deuxième abonnement que vous avez inscrit pour une période de rétention obligatoire. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 Entrez le nom du coffre du deuxième coffre Azure Key Vault que vous avez configuré pour la clé client. EXOVault2
-KeyName2 Entrez le nom de la deuxième clé Azure Key Vault dans votre deuxième coffre de clés Azure que vous avez configuré pour la clé client. EXOKey2
-Mode d’intégration « Préparer » : la configuration nécessaire s’effectue sur vos ressources en appliquant l’option MandatoryRetentionPeriod sur vos abonnements. L’application peut prendre jusqu’à 1 heure .
« Valider » : validez uniquement azure Key Vault et les ressources d’abonnement Azure, ne l’intégrez pas à la clé client. Ce mode est utile si vous souhaitez vérifier toutes vos ressources, mais choisir d’intégrer officiellement ultérieurement.
« Activer » : validez les ressources Azure Key Vault et Abonnement, puis activez la clé client au sein de votre locataire si la validation réussit.
Préparation
ou
Activer
ou
Valider

Connectez-vous avec vos informations d’identification d’administrateur de locataire

Une fenêtre de navigateur s’ouvre et vous invite à vous connecter avec votre compte privilégié. Connectez-vous à l’aide des informations d’identification appropriées.

Page de connexion CKO

Afficher les détails de validation et d’activation

Une fois la connexion établie, revenez à votre fenêtre PowerShell. Exécutez la variable avec laquelle vous avez compacté l’applet de commande d’intégration pour obtenir une sortie de votre demande d’intégration.

$request

Sortie de la requête CKO

Vous recevez une sortie avec l’ID, CreatedDate, ValidationResult et EnablementResult.

Sortie Description
ID ID associé à la demande d’intégration créée.
CreatedDate Date de création de la demande.
ValidationResult Indicateur de validation réussie/infructueuse.
EnablementResult Indicateur d’activation réussie/infructueuse.

Un locataire prêt à utiliser la clé client a la mention « Réussite » sous « ValidationResult » et « EnablementResult » comme indiqué :

Sortie réussie de CKO

Passez à Étapes suivantes si le locataire s’est correctement intégré à la clé client.

Détails de la résolution des échecs de validation

Si la validation échoue pour le locataire, les étapes suivantes sont un guide pour examiner la cause racine des ressources mal configurées. Pour vérifier quelles ressources mal configurées provoquent l’échec de la validation, stockez le résultat de l’intégration dans une variable et accédez à ses résultats de validation.

  1. Recherchez l’ID de la demande que vous souhaitez examiner en répertoriant toutes les demandes.
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> 
  1. Stocker la demande d’intégration spécifique dans la variable « $request »
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 
  1. Exécutez la commande suivante :
$request.FailedValidations 

Échec de la validation CKO

La valeur attendue de chaque règle apparaît dans la colonne « ExpectedValue », tandis que la valeur réelle apparaît dans la colonne « ActualValue ». La colonne « étendue » affiche les cinq premiers caractères de votre ID d’abonnement, ce qui vous permet de déterminer quel abonnement et le coffre de clés sous-jacents ont rencontré le problème. La section « Détails » fournit une description de la cause racine de l’erreur et de la façon de la gérer.

RuleName Description Solution
MandatoryRetentionPeriodState Retourne l’état de l’objet MandatoryRetentionPeriod. Vérifiez que le mode « Préparer » a été exécuté. Si le problème persiste, accédez à État de période de rétention obligatoire incorrect.
SubscriptionInRequestOrganization Votre abonnement Azure se trouve au sein de votre organisation. Vérifiez que l’abonnement fourni a été créé dans le locataire indiqué
VaultExistsinSubscription Votre coffre de clés Azure se trouve dans votre abonnement Azure. Vérifiez que le coffre de clés Azure a été créé dans l’abonnement indiqué
SubscriptionUniquePerScenario Votre abonnement est unique pour la clé client. Vérifier que vous utilisez deux ID d’abonnement uniques
SubscriptionsCountPerScenario Vous avez deux abonnements par scénario. Vérifiez que vous utilisez deux abonnements dans la demande
RecoveryLevel Le niveau de récupération de votre clé AKV est Récupérable+ProtectedSubscription. État de période de rétention obligatoire incorrect
KeyOperationsSupported Votre coffre de clés dispose des autorisations requises pour la charge de travail appropriée. Attribuer les autorisations appropriées aux clés AKV
KeyNeverExpires Votre clé AKV n’a pas de date d’expiration. Vérifier l’expiration de vos clés
KeyAccessPermissions Votre clé AKV dispose des autorisations d’accès requises Attribuer les autorisations appropriées aux clés AKV
OrganizationHasRequiredServicePlan Votre organisation dispose du plan de service approprié pour utiliser la clé client. Vérifiez que votre locataire dispose des licences requises

État de période de rétention obligatoire incorrect

Si l’objet MandatoryRetentionPeriodState est défini sur « Récupérable » ou « Récupérable + Purgeable » une heure après l’exécution de l’applet de commande d’intégration en mode « Préparer » et que la suppression réversible est activée sur vos coffres de clés Azure, procédez comme suit :

  1. Vérifiez que les deux abonnements Azure retournent l’état « Inscrit » en exécutant les commandes suivantes :
Set-AzContext -SubscriptionId <Subscription ID>
Get-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources  
  1. Réinscrivez les fournisseurs de ressources « Microsoft.Resources » et « Microsoft.KeyVault » sur les deux abonnements.

    • La réinscription peut être effectuée à l’aide de trois méthodes : portail Azure, Azure CLI et Azure PowerShell.
      • Azure PowerShell :
          Register-AzResourceProvider -ProviderNamespace Microsoft.Resources 
          Register-AzResourceProvider -ProviderNamespace Microsoft.Keyvault 
        
      • Azure CLI :
          az provider register --namespace Microsoft.Resources 
          az provider register --namespace Microsoft.Keyvault 
        
      • Portail Azure : Réinscrire le fournisseur de ressources
  2. Pour vérifier le niveau de récupération d’une clé, dans Azure PowerShell, exécutez l’applet de commande Get-AzKeyVaultKey comme suit :

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Vérification des validations réussies

Pour vérifier quelles validations ont réussi, exécutez les commandes suivantes :

  1. Stocker la demande d’intégration spécifique dans la variable « $request »
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 
  1. Exécutez la commande suivante :
$request.PassedValidations 

CKO PassedValidation

Intégrer à la clé client à l’aide de la méthode héritée

Utilisez cette méthode uniquement si les scénarios non pris en charge du service d’intégration de clé client s’appliquent à votre locataire. Si vous souhaitez intégrer la clé client à l’aide de la méthode héritée, après avoir effectué toutes les étapes de configuration de vos coffres de clés et abonnements Azure Key Vault, contactez le support Microsoft pour demander le support technique de la clé client.

Intégrer à la clé client pour les locataires du secteur public

Si vous avez un locataire situé dans GCC-H ou DoD et que vous souhaitez activer la clé client, après avoir effectué toutes les étapes de configuration de vos abonnements et coffres de clés Azure, contactez le support Microsoft pour demander le support technique pour les locataires du secteur public.

Intégrer à la clé client pour SharePoint et OneDrive

Il existe deux conditions préalables à l’intégration à la clé client pour SharePoint et OneDrive.

  1. Le locataire a déjà été intégré à la clé client pour Exchange ou à la clé client pour plusieurs charges de travail.

  2. Les deux abonnements sont inscrits pour utiliser une période de rétention obligatoire.

Si votre locataire remplit les deux conditions préalables, accédez à Créer un DEP à utiliser avec SharePoint et OneDrive

Étapes suivantes

Une fois que vous avez effectué les étapes décrites dans cet article, vous êtes prêt à créer et à affecter des PDP. Pour obtenir des instructions, consultez Gérer la clé client.