Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les deux types de chiffrement suivants sont disponibles lorsque vous utilisez Microsoft Graph Data Connect (Connexion aux données) :
Chiffrement des données au repos : les clients peuvent utiliser la fonctionnalité de chiffrement des données au repos Azure et les clés gérées par le client lors de la configuration de leur compte de stockage Azure pour s’assurer qu’il est correctement verrouillé et sécurisé pour la remise des données.
Chiffrement des données en transit : Data Connect offre un chiffrement pour les données en transit via notre fonctionnalité de chiffrement personnalisé avec des clés appartenant au client. Il garantit également que toutes les demandes de données entre les ressources Microsoft 365 et Azure d’un client sont sécurisées à l’aide de normes de service approuvées soc.
Nous vous recommandons d’utiliser Azure Key Vault (AKV) pour générer et stocker vos clés publiques ou privées et les actualiser si nécessaire. Cet article décrit la fonctionnalité de chiffrement personnalisée qui peut être appliquée aux jeux de données demandés dans une application pour une remise de données sécurisée.
Activer le chiffrement personnalisé avec des clés appartenant au client pour les données en transit
Les clients (développeurs) peuvent utiliser le chiffrement personnalisé dans leur application Data Connect pour une distribution de jeux de données encore plus sécurisée. Pour activer la fonctionnalité, créez et configurez un AKV pour générer des clés RSA ou vérifiez que votre AKV existant dispose de la configuration correcte avec les clés RSA. Ensuite, activez le chiffrement lors de la configuration d’une nouvelle application Data Connect ou modifiez-en une existante pour activer le chiffrement et lier votre AKV actuel. Data Connect chiffre les jeux de données à l’aide de clés publiques autorisées à partir de votre AKV et les remet chiffrés avec une clé de déchiffrement. La clé de déchiffrement est chiffrée par Data Connect et peut être déchiffrée à l’aide de la clé privée du client.
Remarque
Le chiffrement personnalisé n’est pas disponible pour les clients qui utilisent toujours le processus de consentement PAM ou les flux de données managés (MDF).
Activer le chiffrement personnalisé pour votre application Data Connect
Si vous disposez d’une application Data Connect existante, procédez comme suit pour activer le chiffrement personnalisé :
Connectez-vous au portail Azure.
- Choisissez Connexion aux données Microsoft Graph et sélectionnez votre application actuelle.
- Choisissez les propriétés>Monolocataire et activez le chiffrement.
- Si vous n’avez pas d’AKV, ouvrez un nouvel onglet et suivez les instructions fournies dans Configuration de votre Key Vault Azure.
- Suivez les étapes décrites dans Utilisation de votre Key Vault Azure et Génération de clés RSA avec votre Key Vault Azure pour vous assurer que votre instance AKV dispose des autorisations de rôle appropriées et qu’elle est remplie avec des clés RSA.
- Dans le menu déroulant de l’application Data Connect, sélectionnez votre URI de Key Vault Azure (nom de l’AKV).
- Choisissez Mettre à jour les propriétés à enregistrer. Le chiffrement est appliqué lorsque votre administrateur approuve les modifications apportées aux propriétés de l’application.
Remarque
Le chiffrement sera appliqué uniquement aux jeux de données éligibles. L’AKV doit être configuré correctement pour que les jeux de données soient chiffrés.
Si vous n’avez pas d’application Data Connect existante, procédez comme suit pour en créer une :
Suivez le guide de prise en main pour créer votre application Data Connect.
Lorsque vous êtes à l’étape Inscrire votre application Microsoft Entra avec Microsoft Graph Data Connect, procédez comme suit :
- Renseignez les détails de l’application dans la page Informations d’inscription .
- Choisissez Activer le chiffrement pour les jeux de données.
- Pour Key Vault, dans le menu déroulant, sélectionnez l’URI AKV (nom de l’AKV).
- Si votre AKV n’existe pas, ouvrez un nouvel onglet et suivez les étapes décrites dans Configuration de votre Key Vault Azure.
- Retour à l’onglet de votre application Data Connect et recherchez votre AKV dans la liste déroulante pour le sélectionner. Vous devrez peut-être actualiser la page pour que l’AKV remplisse la liste déroulante.
Remarque
Le chiffrement s’applique à tous les jeux de données éligibles demandés dans l’application. Choisissez l’info-bulle en regard du chiffrement pour savoir quels jeux de données sont éligibles.
Renseignez le reste des détails de l’application requise et envoyez la demande pour que votre administrateur Microsoft 365 l’examine.
Remarque
Notez votre principal de service existant ; vous en aurez besoin plus tard.
Maintenant que vous avez soumis l’application, suivez les étapes décrites dans Utilisation de votre Key Vault Azure et génération de clés RSA avec votre Key Vault Azure pour vous assurer que votre AKV dispose des autorisations de rôle appropriées et qu’il est rempli avec des clés RSA.
Le chiffrement sera appliqué à tous les jeux de données éligibles dans l’application une fois que votre administrateur approuvera l’application. Si vous exécutez un pipeline sans configurer les autorisations de rôle appropriées et générer des clés RSA dans votre AKV, vos données demandées ne seront pas chiffrées.
Déchiffrement du jeu de données après la remise des données
Une fois les données chiffrées remises, le client est responsable du déchiffrement des données. Data Connect ne déchiffre pas les données après la remise. Cette section décrit comment déchiffrer les données après la remise.
Configuration requise
Vérifiez que votre Key Vault Azure est correctement configuré. Pour plus d’informations, consultez Utilisation d’Azure Key Vault pour le chiffrement personnalisé.
Métadonnées et chiffrement
La partie publique de la paire de clés RSA est utilisée pour chiffrer la clé de déchiffrement. Vous pouvez utiliser sa partie privée correspondante pour déchiffrer la clé de déchiffrement après la remise des données. Microsoft stocke votre clé de déchiffrement ; seule votre application peut déchiffrer la clé de déchiffrement à l’aide de la clé privée. Vous seul avez accès à la clé privée. La clé de déchiffrement est une clé symétrique AES 256 bits utilisée pour chiffrer le fichier.
Votre application doit inverser le processus de chiffrement et de compression pour accéder aux données d’origine. Pour accéder aux données client à partir de la suppression de données :
Obtenez la clé de déchiffrement de fichier à partir des métadonnées d’extraction.
Déchiffrez la clé de chiffrement avec la clé privée du client (fournie dans le Key Vault Azure). Pour plus d’informations, consultez API de déchiffrement d’Azure Key Vault.
Déchiffrez le fichier à l’aide de la clé de chiffrement de fichier. Pour obtenir un exemple C#, consultez Chiffrement des données.
Fichier de métadonnées
Après l’extraction, vous recevrez une suppression de données. Chaque suppression de données inclut un fichier encryptionKeyDetails.json, avec un chemin metadata/MoreMetadata/EncryptedDatasets dans le répertoire racine. Ce fichier JSON contient des détails sur l’activité de copie. Le tableau suivant décrit le schéma.
| Field | Description |
|---|---|
| DecryptionKeyDetails | Détails sur la clé de déchiffrement. |
| PublicKeyVersion | Version de la clé publique. Cela est nécessaire pour que le partenaire identifie la version de la clé privée correspondante qu’il doit utiliser pour le déchiffrement. |
| DecryptionKeyValue | Représentation Base64 de la valeur de la clé de déchiffrement. |
| DecryptionKeyIV | Représentation Base64 du vecteur d’initialisation utilisé pour créer la clé de déchiffrement. |
Clés de déchiffrement
La clé de déchiffrement est chiffrée sous la forme d’une chaîne Base64 avec la clé publique de locataire par client fournie dans le Key Vault Azure. Les clés de déchiffrement se composent des composants suivants :
- value : représentation en Base64 de la valeur de la clé de déchiffrement. Par exemple :
oF8xFGjrhxC2LsrsrUA3eTCWDl2fYlBkUe886jRLnKFwdbH/9SRA+55ekL42JCcL+iXsQNZdMWmy3LnLgk2nSfZ96ecU/++sOM7QB/6kWrS2Wmg+5XCW5FErodnyBZKCbOo1RETgrxTH8YlcoLX5319VCmBleSMxgitn0Jl+VCM+NjfE87oPWyLo+vifaBtFnIgSOkzKh20dZm/Ue1AxXQlYQ/WptHBRa4Lmza/oXgbTpqk9Y+Mw+4IhVtHbCdcEt0DqQ0FRb/qjlwMPaYqOlZ5GxFTiQFsAtYVTpnvcffkDBp1gzlOL2iLhudc66PP4h6v4cBxHx6RTz8bO4KiaQg== - iv : représentation en Base64 du vecteur d’initialisation utilisé pour créer la clé de déchiffrement. Par exemple :
vLvaqqAN8GaYI9gGuX1bsQ==
Encoding
Quelques détails d’encodage doivent être pris en compte pendant le processus de déchiffrement. Les données suivantes contiennent ces types d’encodage :
- Clé de déchiffrement : UTF-8
- Clé de déchiffrement IV : UTF-8
- Remplissage pour AES : CBC/PKCS5 PKCS7 en C# est identique à PKCS5 en Java
En outre, la sortie de l’API REST Azure Key Vault Déchiffrer est une URL encodée en Base64. Vous devez décoder la valeur de l’URL base64 en octets, puis encoder le résultat en Base64.
Veillez à prendre en compte ces différences d’encodage lorsque vous déchiffrez les données. Si les données encodées sont incorrectement déchiffrées, vous pouvez obtenir une erreur semblable à la suivante : Invalid AES key length: 88 bytes.
Eligiblité du jeu de données pour le chiffrement
Les jeux de données suivants sont éligibles au chiffrement pour Data Connect :
- Tous les jeux de données pour Azure Active Directory
- Tous les jeux de données pour Outlook et Exchange Online
- Tous les jeux de données pour Microsoft Teams
- Tous les jeux de données pour les groupes Microsoft
- Tous les jeux de données pour OneDrive et SharePoint
Les jeux de données suivants ne sont pas encore éligibles pour le chiffrement :
- Tous les jeux de données pour Viva Insights
Remarque
Si le chiffrement est activé dans votre application et contient une combinaison de jeux de données éligibles et non éligibles, seuls les jeux de données éligibles sont chiffrés.
approbation de l’application Administration
Les administrateurs utilisent le processus suivant pour approuver les applications Data Connect :
Connectez-vous au portail d’autorisation d’administrateur Microsoft 365 avec vos informations d’identification d’administrateur.
Choisissez l’onglet Sécurité & Confidentialité dans Paramètres de l’organisation, puis sélectionnez Applications Microsoft Graph Data Connect, comme illustré dans l’image suivante.
Sélectionnez l’application prête à être examinée. Dans la section Vue d’ensemble des détails de l’application, vérifiez que le chiffrement est activé.
Dans la section Révision des détails de l’application, vérifiez que le chiffrement est sélectionné et passez en revue les jeux de données.
Remarque
Si le chiffrement est activé lors de l’inscription de l’application, il s’applique à tous les jeux de données éligibles dans l’application.
Après avoir examiné l’application, sélectionnez Approuver, Refuser ou Annuler. Une action doit être effectuée et Data Connect n’applique le chiffrement qu’après l’approbation de l’application. Pour plus d’informations, consultez Autorisation d’application.
Utilisation d’Azure Key Vault pour le chiffrement personnalisé
Si vous n’avez pas configuré AKV, suivez les étapes de l’onglet Configuration d’Azure Key Vault avant de passer à l’onglet suivant.
Une fois que vous disposez d’un AKV existant, accédez à l’onglet Utilisation de votre Key Vault Azure pour activer les autorisations de rôle requises. Ensuite, accédez à l’onglet Génération de clés RSA avec votre Key Vault Azure pour créer les clés RSA requises dans votre AKV pour le chiffrement personnalisé.
Aucune action n’est requise de la part de l’administrateur Microsoft 365 pour activer le chiffrement personnalisé.
- Configuration de votre Key Vault Azure
- Utilisation de votre Key Vault Azure
- Génération de clés RSA avec votre Key Vault Azure
1.Connectez-vous au Portail Azure avec vos informations d’identification de développeur et choisissez l’icône Azure Key Vault.
Si vous n’avez pas d’AKV existant, choisissez Créer. Pour plus d’informations, consultez Créer un coffre de clés à l’aide de la Portail Azure.
Choisissez Contrôle d’accès en fonction du rôle Azure (recommandé) sous Modèle d’autorisation.
Sous l’onglet Mise en réseau , choisissez Activer l’accès public pour autoriser La connexion aux données à accéder à toutes les clés publiques qui ont été générées et stockées. Data Connect est autorisé uniquement à accéder à certaines clés publiques.
Suivez les étapes et sélectionnez Vérifier + créer lorsque vous avez terminé.