Fonctionnalités de chiffrement gérées par le client

Pour plus d’informations sur ces technologies, consultez les descriptions du service Microsoft 365.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Gestion des droits Azure

Azure Rights Management (Azure RMS) est la technologie de protection utilisée par Azure Information Protection. Il utilise des stratégies de chiffrement, d’identité et d’autorisation pour sécuriser vos fichiers et vos e-mails sur plusieurs plateformes et appareils (téléphones, tablettes et PC). Les informations peuvent être protégées à l’intérieur et à l’extérieur de votre organization, car la protection reste avec les données. Azure RMS fournit une protection permanente de tous les types de fichiers, protège les fichiers en tout lieu, prend en charge la collaboration interentreprises et un large éventail d’appareils Windows et non Windows. La protection Azure RMS peut également augmenter les stratégies de protection contre la perte de données (DLP). Pour plus d’informations sur les applications et les services qui peuvent utiliser le service Azure Rights Management à partir d’Azure Information Protection, consultez Comment les applications prennent en charge le service Azure Rights Management.

Azure RMS est intégré à Microsoft 365 et disponible pour tous les clients. Pour configurer Microsoft 365 afin d’utiliser Azure RMS, consultez Configurer irm pour utiliser Azure Rights Management et Configurer la gestion des droits relatifs à l’information (IRM) dans le Centre d’administration SharePoint. Si vous utilisez Active Directory local serveur RMS (AD), vous pouvez également configurer IRM pour utiliser un serveur AD RMS local, mais nous vous recommandons vivement de migrer vers Azure RMS pour utiliser de nouvelles fonctionnalités telles que la collaboration sécurisée avec d’autres organisations.

Lorsque vous protégez les données client avec Azure RMS, Azure RMS utilise une clé asymétrique RSA 2048 bits avec l’algorithme de hachage SHA-256 pour l’intégrité afin de chiffrer les données. La clé symétrique pour les documents et les e-mails Office est AES 128 bits. Pour chaque document ou e-mail protégé par Azure RMS, Azure RMS crée une clé AES unique (la « clé de contenu ») et cette clé est incorporée dans le document et conservée dans les éditions du document. La clé de contenu est protégée par la clé RSA du organization (la « clé de locataire Azure Information Protection ») dans le cadre de la stratégie dans le document, et la stratégie est également signée par l’auteur du document. Cette clé de locataire est commune à tous les documents et e-mails protégés par Azure RMS pour le organization et cette clé ne peut être modifiée par un administrateur Azure Information Protection que si le organization utilise une clé de locataire gérée par le client. Pour plus d’informations sur les contrôles de chiffrement utilisés par Azure RMS, consultez Fonctionnement d’Azure RMS ? Sous le capot.

Dans une implémentation Azure RMS par défaut, Microsoft génère et gère la clé racine unique pour chaque locataire. Les clients peuvent gérer le cycle de vie de leur clé racine dans Azure RMS avec Azure Key Vault Services à l’aide d’une méthode de gestion des clés appelée BYOK (Bring Your Own Key) qui vous permet de générer votre clé dans des HSM locaux (modules de sécurité matériels) et de garder le contrôle de cette clé après son transfert vers les HSM validés FIPS 140-2 de Microsoft. L’accès à la clé racine n’est accordé à aucun personnel, car les clés ne peuvent pas être exportées ou extraites des modules HSM qui les protègent. En outre, vous pouvez accéder à un journal en quasi-temps réel affichant tout accès à la clé racine à tout moment. Pour plus d’informations, consultez Journalisation et analyse de l’utilisation des Azure Rights Management.

Azure Rights Management permet d’atténuer les menaces telles que les écoutes téléphoniques, les attaques de l’intercepteur, le vol de données et les violations involontaires des stratégies de partage de l’organisation. En même temps, tout accès injustifié aux données client en transit ou au repos par un utilisateur non autorisé qui ne dispose pas des autorisations appropriées est empêché par le biais de stratégies qui suivent ces données, ce qui réduit le risque que ces données tombent entre de mauvaises mains, sciemment ou inconsciemment, et fournit des fonctions de protection contre la perte de données. S’il est utilisé dans le cadre d’Azure Information Protection, Azure RMS fournit également des fonctionnalités de classification et d’étiquetage des données, de marquage du contenu, de suivi de l’accès aux documents et de révocation d’accès. Pour en savoir plus sur ces fonctionnalités, consultez Présentation d’Azure Information Protection, Feuille de route de déploiement d’Azure Information Protection et Didacticiel de démarrage rapide pour Azure Information Protection.

Secure Multipurpose Internet Mail Extension

Secure/Multipurpose Internet Mail Extensions (S/MIME) est une norme pour le chiffrement à clé publique et la signature numérique des données MIME. S/MIME est défini dans les RFC 3369, 3370, 3850, 3851 et autres. Il permet à un utilisateur de chiffrer un e-mail et de signer numériquement un e-mail. Un e-mail chiffré à l’aide de S/MIME peut uniquement être déchiffré par le destinataire de l’e-mail à l’aide de sa clé privée, qui n’est disponible que pour ce destinataire. Par conséquent, les e-mails ne peuvent pas être déchiffrés par une personne autre que le destinataire de l’e-mail.

Microsoft prend en charge S/MIME. Les certificats publics sont distribués aux Active Directory local du client et stockés dans des attributs qui peuvent être répliqués sur un locataire Microsoft 365. Les clés privées qui correspondent aux clés publiques restent locales et ne sont jamais transmises à Office 365. Les utilisateurs peuvent composer, chiffrer, déchiffrer, lire et signer numériquement des e-mails entre deux utilisateurs dans un organization à l’aide d’Outlook, de Outlook sur le web et de clients Exchange ActiveSync.

Chiffrement de messages Office 365

Office 365 Chiffrement des messages (OME) basé sur Azure Information Protection (AIP) vous permet d’envoyer des messages chiffrés et protégés par des droits à tout le monde. OME atténue les menaces telles que les attaques par écoute et l’intercepteur, ainsi que d’autres menaces, telles que l’accès injustifié aux données par un utilisateur non autorisé qui ne dispose pas des autorisations appropriées. Nous avons fait des investissements qui vous offrent une expérience de messagerie plus simple, plus intuitive et sécurisée, basée sur Azure Information Protection. Vous pouvez protéger les messages envoyés à partir de Microsoft 365 à toute personne à l’intérieur ou à l’extérieur de votre organization. Ces messages peuvent être affichés sur un ensemble diversifié de clients de messagerie à l’aide de n’importe quelle identité, notamment Azure Active Directory, compte Microsoft et ID Google. Pour plus d’informations sur la façon dont votre organization peut utiliser des messages chiffrés, consultez Office 365 Chiffrement des messages.

Transport Layer Security

Si vous souhaitez garantir une communication sécurisée avec un partenaire, vous pouvez utiliser des connecteurs entrants et sortants pour assurer la sécurité et l’intégrité des messages. Vous pouvez configurer le protocole TLS entrant et sortant forcé sur chaque connecteur, à l’aide d’un certificat. L’utilisation d’un canal SMTP chiffré peut empêcher le vol de données via une attaque de l’intercepteur. Pour plus d’informations, consultez Comment Exchange Online utilise TLS pour sécuriser les connexions de messagerie.

Courrier identifié par les clés de domaine

Exchange Online Protection (EOP) et Exchange Online prennent en charge la validation entrante des messages DKIM (Domain Keys Identified Mail). DKIM est une méthode permettant de valider qu’un message a été envoyé à partir du domaine dont il indique qu’il provient et qu’il n’a pas été usurpé par quelqu’un d’autre. Il lie un message électronique à l’organization responsable de son envoi et fait partie d’un paradigme plus large du chiffrement des e-mails. Pour plus d’informations sur les trois parties de ce paradigme, consultez :