Forum aux questions sur la protection des données dans Azure Information Protection

Vous avez une question sur le service de protection des données Azure Rights Management d’Azure Information Protection ? Vous trouverez peut-être une réponse ici.

Pour bénéficier de la protection d’Azure Rights Management, les fichiers doivent-ils se trouver dans le cloud ?

Non, il s’agit d’une idée fausse répandue. Le service Azure Rights Management (et plus généralement Microsoft) ne voit pas et ne stocke pas vos données dans le cadre du processus de protection des informations. Les informations que vous protégez ne sont jamais stockées dans Azure, sauf si vous indiquez expressément votre volonté de les y stocker, ou si vous utilisez un autre service cloud qui les stocke dans Azure.

Pour plus d'informations, voir Comment fonctionne Azure RMS ? Sous le capot pour comprendre comment une formule secrète de cola créée et stockée localement est protégée par le service Azure Rights Management tout en restant locale.

Quelle est la différence entre le chiffrement Azure Rights Management et le chiffrement dans d’autres services cloud Microsoft ?

Microsoft propose plusieurs technologies de chiffrement qui vous permettent de protéger vos données dans des scénarios différents et souvent complémentaires. Par exemple, si Office 365 offre le chiffrement au repos des données stockées dans Office 365, le service Azure Rights Management d’Azure Information Protection chiffre indépendamment vos données pour les protéger, quel que soit leur emplacement ou leur mode de transmission.

Pour utiliser ces technologies de chiffrement complémentaires, vous devez les activer et les configurer indépendamment. Dans ce cas, vous pouvez être invité à fournir votre propre clé de chiffrement, un scénario également connu sous le nom de « BYOK ». L'activation de BYOK pour l'une de ces technologies n'affecte pas les autres. Vous pouvez ainsi utiliser BYOK avec Azure Information Protection et ne pas l’utiliser avec d’autres technologies de chiffrement, ou vice versa. Les clés utilisées par ces différentes technologies peuvent être identiques ou non, selon la façon dont vous configurez les options de chiffrement pour chaque service.

Puis-je désormais utiliser Bring Your Own Key avec Exchange Online ?

Oui, vous pouvez maintenant utiliser BYOK avec Exchange Online quand vous suivez les instructions dans Configurer de nouvelles fonctionnalités de chiffrement de messages Office 365 reposant sur Azure Information Protection. Ces instructions activent les nouvelles fonctionnalités dans Exchange Online qui prennent en charge BYOK pour Azure Information Protection, ainsi que le nouveau chiffrement de messages Office 365.

Pour plus d’informations sur ce changement, consultez l’annonce du blog : Chiffrement de messages Office 365 avec les nouvelles fonctionnalités

Existe-t-il un pack d’administration ou un mécanisme de surveillance similaire pour le connecteur RMS ?

Bien que le connecteur Rights Management consigne les messages d’information, d’avertissement et d’erreur dans le journal des événements, il n’existe pas de pack d’administration qui inclut la surveillance de ces événements. Toutefois, la liste des événements et leurs descriptions, ainsi que des informations supplémentaires pour vous aider à prendre une action corrective, sont documentées dans Surveiller le connecteur Azure Rights Management.

Comment créer un nouveau modèle personnalisé dans le portail Azure ?

Les modèles personnalisés ont été déplacés dans le portail Azure, où vous pouvez continuer à les gérer en tant que modèles, ou les convertir en étiquettes. Pour créer un nouveau modèle, créez une nouvelle étiquette et configurez les paramètres de protection des données pour Azure RMS. En pratique, cela crée un nouveau modèle qui est ensuite accessible pour les services et applications qui s’intègrent avec les modèles Rights Management.

Pour plus d’informations sur les modèles dans le portail Azure, consultez Configuration et gestion des modèles pour Azure Information Protection.

J’ai protégé un document et je souhaite à présent changer les droits d’utilisation ou ajouter des utilisateurs. Dois-je reprotéger le document ?

Si le document est protégé à l’aide d’une étiquette ou d’un modèle, il est inutile de le reprotéger. Modifiez l’étiquette ou le modèle en changeant les droits d’utilisation ou en ajoutant de nouveaux groupes (ou utilisateurs), puis enregistrez et publiez ces changements :

  • Si un utilisateur n’as pas accédé au document avant la publication des changements, ceux-ci prennent effet quand il ouvre le document.

  • Si un utilisateur a déjà accédé au document, les changements prennent effet quand sa licence d’utilisation arrive à expiration. Ne reprotégez le document que si vous ne pouvez pas attendre l’expiration de la licence d’utilisation. La reprotection crée une nouvelle version du document, et donc une nouvelle licence d’utilisation pour l’utilisateur.

Si vous avez déjà configuré un groupe pour les autorisations nécessaires, vous pouvez également changer l’appartenance dans le groupe pour inclure ou exclure des utilisateurs. Dans ce cas, il est inutile de changer l’étiquette ou le modèle. Il peut y avoir un bref délai avant l’entrée en vigueur des changements, car l’appartenance dans le groupe est mise en cache par le service Azure Rights Management.

Si le document est protégé au moyen d’autorisations personnalisées, vous ne pouvez pas changer les autorisations du document existant. Vous devez reprotéger le document et spécifier tous les utilisateurs et droits d’utilisation exigés pour cette nouvelle version du document. Pour reprotéger un document protégé, vous devez avoir le droit d’utilisation Contrôle total.

Conseil : Pour vérifier si un document a été protégé avec un modèle ou une autorisation personnalisée, utilisez l’applet de commande PowerShell Get-AIPFileStatus. Vous verrez systématiquement une description de modèle Accès limité pour les autorisations personnalisées, avec un ID de modèle unique qui ne s’affiche pas quand vous exécutez Get-RMSTemplate.

J’ai un déploiement hybride d’Exchange avec certains utilisateurs sur Exchange Online et d’autres utilisateurs sur Exchange Server. Est-ce compatible avec Azure RMS ?

Absolument, et l’avantage est que les utilisateurs peuvent protéger et consommer sans problème des e-mails et pièces jointes protégés entre les deux déploiements d’Exchange. Pour cette configuration, activez Azure RMS et Gestion des droits relatifs à l’information (IRM) pour Exchange Online, puis déployez et configurez le connecteur RMS pour Exchange Server.

Si j’utilise cette protection pour mon environnement de production, ma société est-elle enfermée dans la solution ou risque-t-elle de perdre l’accès au contenu protégé par Azure RMS ?

Non, vous gardez toujours le contrôle de vos données et pouvez continuer à y accéder, même si vous décidez de ne plus utiliser le service Azure Rights Management. Pour plus d’informations, consultez Désaffectation et désactivation d’Azure Rights Management.

Puis-je contrôler les utilisateurs pouvant utiliser Azure RMS pour protéger du contenu ?

Oui, le service Azure Rights Management dispose de contrôles d’intégration d’utilisateur pour ce scénario. Pour plus d’informations, consultez la section Configuration de contrôles d’intégration pour un déploiement échelonné dans l’article Activation du service de protection à partir d'Azure Information Protection..

Puis-je empêcher des utilisateurs de partager des documents protégés avec des organisations spécifiques ?

L’un des avantages majeurs de l’utilisation du service Azure Rights Management pour la protection des données est qu’il prend en charge la collaboration interentreprises sans que vous soyez obligé de configurer des approbations explicites pour chaque organisation partenaire, car Azure AD se charge de l’authentification à votre place.

Il n’existe aucune option d’administration permettant d’empêcher des utilisateurs de partager en toute sécurité des documents avec des organisations spécifiques. Par exemple, imaginons que vous souhaitiez bloquer une organisation en laquelle vous n’avez pas confiance ou qui exerce une activité concurrente. Empêcher le service Azure Rights Management d’envoyer des documents protégés à des utilisateurs travaillant au sein de cette organisation n’aurait aucun sens, car ceux-ci partageraient leurs documents non protégés, ce qui est probablement la dernière chose que vous souhaitez dans le cadre de ce scénario. Par exemple, vous ne seriez pas en mesure d’identifier qui partage des documents confidentiels avec quels utilisateurs au sein de ces organisations, contrairement à ce que vous pouvez faire quand le document (ou l’e-mail) est protégé par le service Azure Rights Management.

Lors du partage d’un document protégé avec une personne extérieure à mon organisation, comment cet utilisateur s’authentifie-t-il ?

Par défaut, le service Azure Rights Management utilise un compte Microsoft Entra et une adresse e-mail associée pour l’authentification de l’utilisateur, ce qui rend la collaboration interentreprises homogène pour les administrateurs. Si l’autre organisation utilise des services Azure, les utilisateurs disposent déjà de comptes dans Microsoft Entra ID, même si ceux-ci sont créés et gérés localement, puis synchronisés avec Azure. Si l’organisation dispose de Microsoft 365, ce service utilise également Microsoft Entra ID pour les comptes d’utilisateurs. Si l’organisation de l’utilisateur ne dispose pas des compte géré dans Azure, les utilisateurs peuvent s’inscrire à RMS pour les particuliers, ce qui a pour effet de créer un locataire Azure non géré et un annuaire pour l’organisation avec un compte pour l’utilisateur, afin que celui-ci, et les utilisateurs suivants, puissent s’authentifier auprès du service Azure Rights Management.

La méthode d’authentification pour ces comptes peut varier en fonction de la manière dont l’administrateur de l’autre organisation a configuré les comptes Microsoft Entra. Par exemple, ils peuvent utiliser des mots de passe créés pour ces comptes, une fédération ou des mots de passe créés dans Active Directory Domain Services puis synchronisés avec Microsoft Entra ID.

Autres méthodes d’authentification :

  • Si vous protégez un e-mail avec un document Office en pièce jointe envoyé à un utilisateur qui n’a pas de compte dans Microsoft Entra ID, la méthode d’authentification change. Le service Azure Rights Management est fédéré avec des fournisseurs d’identité sociale courants, comme Gmail. Si le fournisseur de messagerie de l’utilisateur est pris en charge, l’utilisateur peut se connecter à ce service, et son fournisseur de messagerie a la charge de son authentification. Si le fournisseur de messagerie de l’utilisateur n’est pas pris en charge ou s’il s’agit d’une préférence, l’utilisateur peut demander un code secret à usage unique qui l’authentifie et affiche l’e-mail avec le document protégé dans un navigateur web.

  • Azure Information Protection peut utiliser des comptes Microsoft pour les applications prises en charge. Actuellement, toutes les applications ne peuvent pas ouvrir le contenu protégé lorsqu’un compte Microsoft est utilisé pour l’authentification. Plus d’informations

Puis-je ajouter des utilisateurs externes (des personnes ne faisant pas partie de mon entreprise) à des modèles personnalisés ?

Oui. Les paramètres de protection que vous configurez dans le portail Azure vous permettent d’ajouter des autorisations à des utilisateurs et groupes extérieurs à votre organisation, et même à tous les utilisateurs d’une autre organisation. Vous pouvez trouver utile de référencer l’exemple étape par étape, Sécuriser la collaboration de documents à l’aide d’Azure Information Protection.

Notez que si vous avez des étiquettes Azure Information Protection, vous devez d’abord convertir votre modèle personnalisé en étiquette pour pouvoir configurer ces paramètres de protection dans le portail Azure. Pour plus d’informations, consultez Configuration et gestion des modèles pour Azure Information Protection.

Vous pouvez aussi ajouter des utilisateurs externes aux modèles personnalisés (et étiquettes) à l’aide de PowerShell. Cette configuration vous oblige à utiliser un objet de définition de droits pour mettre à jour votre modèle :

  1. Spécifiez les adresses e-mail externes et leurs droits dans un objet de définition de droits en utilisant l’applet de commande New-AipServiceRightsDefinition pour créer une variable.

  2. Fournissez cette variable au paramètre RightsDefinition avec l’applet de commande Set-AipServiceTemplateProperty.

    Lorsque vous ajoutez des utilisateurs à un modèle existant, vous devez définir des objets de définition de droits pour les utilisateurs existants dans les modèles, ainsi que pour les nouveaux utilisateurs. Pour ce scénario, n’hésitez pas à consulter l’exemple 3 : ajouter de nouveaux utilisateurs et droits à un modèle personnalisé dans la section Exemples de l’applet de commande.

Quels types de groupes puis-je utiliser avec Azure RMS ?

Pour la plupart des scénarios, vous pouvez utiliser n’importe quel type de groupe dans Microsoft Entra ID qui a une adresse e-mail. Cette règle s’applique toujours quand vous affectez des droits d’utilisation, mais il existe certaines exceptions pour l’administration du service Azure Rights Management. Pour plus d’informations, consultez Configuration requise d’Azure Information Protection pour les comptes de groupe.

Comment envoyer un e-mail protégé sur un compte Gmail ou Hotmail ?

Quand vous utilisez Exchange Online et le service Azure Rights Management, vous envoyez simplement l’e-mail à l’utilisateur sous forme de message protégé. Par exemple, vous pouvez sélectionner le nouveau bouton Protéger dans la barre de commandes Outlook sur le web, ou bien utiliser le bouton ou l’option de menu Ne pas transférer dans Outlook. Vous pouvez aussi sélectionner une étiquette Azure Information Protection qui applique l’option Ne pas transférer et classifie automatiquement l’e-mail.

Le destinataire voit une option qui lui permet de se connecter à son compte Gmail, Yahoo ou Microsoft, puis il peut lire l'e-mail protégé. Ils peuvent également choisir l’option de demander un code secret à usage unique pour lire l’e-mail dans un navigateur.

Pour prendre en charge ce scénario, Exchange Online doit être activé pour le service Azure Rights Management et pour les nouvelles fonctionnalités de chiffrement de messages Office 365. Pour plus d’informations sur cette configuration, consultez Exchange Online : Configuration d’IRM.

Pour plus d’informations sur les nouvelles fonctionnalités, parmi lesquelles la prise en charge de tous les comptes e-mail sur tous les appareils, consultez le billet de blog suivant : Announcing new capabilities available in Office 365 Message Encryption.

Quels appareils et types de fichier Azure RMS prend-il en charge ?

Le service Azure Rights Management peut prendre en charge tous les types de fichiers. Dans le cas de texte, d’images, de fichiers Microsoft Office (Word, Excel, PowerPoint), de fichiers .pdf et d’autres types de fichier d’application, Azure Rights Management offre une protection native qui comprend le chiffrement et la mise en application de droits (autorisations). Pour tous les autres types de fichier et d’application, la protection générique offre l’encapsulation et l’authentification des fichiers afin de vérifier si un utilisateur est autorisé à ouvrir le fichier.

Pour obtenir la liste des extensions de noms de fichiers pris en charge en mode natif par Azure Rights Management, consultez Types de fichiers pris en charge par Azure Information Protection. Les extensions de nom de fichier qui ne figurent pas dans la liste sont prises en charge grâce à l’utilisation du client Azure Information Protection qui applique automatiquement une protection générique à ces fichiers.

Quand j’ouvre un document Office protégé par RMS, le fichier temporaire associé devient-il également protégé par RMS ?

Non. Dans ce scénario, le fichier temporaire associé ne contient pas les données du document d’origine, mais uniquement ce que l’utilisateur entre pendant que le fichier est ouvert. Contrairement au fichier d’origine, le fichier temporaire n’est évidemment pas conçu pour le partage. Il reste sur l’appareil, protégé par des contrôles de sécurité locaux tels que BitLocker et EFS.

Il semble qu’une fonctionnalité que je recherche ne fonctionne pas avec les bibliothèques protégées SharePoint. Une prise en charge de ma fonctionnalité est-elle prévue ?

Actuellement, Microsoft SharePoint prend en charge les documents protégés par RMS en utilisant des bibliothèques protégées par IRM, qui ne prennent pas en charge les modèles Rights Management, le suivi de document et certaines autres fonctionnalités. Pour plus d’informations, consultez la section SharePoint dans Microsoft 365 et SharePoint Server dans l’article Applications et services Office.

Si vous êtes intéressé par une fonctionnalité spécifique qui n’est pas encore prise en charge, surveillez les annonces publiées dans Enterprise Mobility and Security Blog (Blog de sécurité et de mobilité d’entreprise).

Comment configurer OneDrive Entreprise dans SharePoint Online, afin que les utilisateurs puissent partager en toute sécurité des fichiers avec des personnes internes et externes à l'entreprise ?

Par défaut, en votre qualité d’administrateur Office 365, ce n’est pas vous qui configurez cela, mais les utilisateurs.

De la même manière qu’un administrateur de site SharePoint active et configure IRM pour une bibliothèque SharePoint dont il est propriétaire, OneDrive a été conçu pour permettre aux utilisateurs d’activer et de configurer IRM pour leur propre bibliothèque OneDrive. Cependant, en utilisant PowerShell, vous pouvez le faire à leur place. Pour obtenir des instructions, consultez SharePoint dans Microsoft 365 et OneDrive : configuration IRM.

Avez-vous des conseils ou des astuces pour réussir le déploiement ?

Après avoir supervisé de nombreux déploiements et écouté nos clients, partenaires, consultants et ingénieurs du support technique, voici l’un des conseils les plus importants que nous pouvons vous donner : Concevoir et déployer des stratégies simples.

Puisqu’Azure Information Protection permet de partager des fichiers en toute sécurité, vous pouvez faire preuve d’ambition concernant la portée de la protection de vos données. Soyez prudent quand vous configurez les restrictions des droits d’utilisation. Pour de nombreuses organisations, la meilleure chose à faire est d’empêcher la fuite des données en limitant l’accès aux seuls membres de votre organisation. Bien entendu, vous pouvez aller beaucoup plus loin que cela si nécessaire - empêcher les gens d'imprimer, d'éditer, etc. Mais gardez les restrictions les plus fortes à titre exceptionnel pour les documents nécessitant réellement un niveau de sécurité élevé, et n’implémentez pas ces droits d'utilisation plus restrictifs dès le premier jour, adoptez une approche plus progressive.

Comment récupérer l’accès à des fichiers protégés par un employé qui a quitté l’organisation ?

Utilisez la fonctionnalité de super utilisateur, qui accorde les droits d’utilisation Contrôle total aux utilisateurs autorisés pour tous les documents et e-mails protégés par votre locataire. Les super utilisateurs peuvent toujours lire ce contenu protégé et, si nécessaire, ils peuvent supprimer la protection ou le reprotéger pour d’autres utilisateurs. Cette même fonctionnalité permet à des services autorisés d’indexer et d’inspecter des fichiers si nécessaire.

Si votre contenu est stocké dans SharePoint ou OneDrive, les administrateurs peuvent exécuter l’applet de commande Unlock-SensitivityLabelEncryptedFile pour supprimer à la fois l’étiquette de confidentialité et le chiffrement. Pour plus d’informations, consultez la documentation de Microsoft 365.

Rights Management peut-il empêcher les captures d’écran ?

En n’accordant pas le droit d’utilisation de la copie, Rights Management peut empêcher les captures d’écran de nombreux outils de capture d’écran couramment utilisés sur les plateformes Windows (Windows 7, Windows 8.1, Windows 10 Mobile et Windows 11). Toutefois, les appareils iOS, Mac et Android ne permettent à aucune application d’empêcher les captures d’écran. En outre, les navigateurs sur n’importe quel appareil ne peuvent pas empêcher les captures d’écran. L’utilisation du navigateur inclut Outlook sur le web et Office pour le web.

Remarque

Désormais déployé sur le canal actuel (Préversion) : dans Office pour Mac, Word, Excel et PowerPoint (mais pas Outlook) prennent désormais en charge le droit d’utilisation de Rights Management pour empêcher les captures d’écran.

La possibilité d’empêcher les captures d’écran peut également aider à éviter la divulgation accidentelle ou involontaire de renseignements confidentiels ou sensibles. Il existe par ailleurs de nombreuses façons de partager des données affichées sur un écran, et la capture d’écran n’est qu’une méthode parmi d’autres. Par exemple, un utilisateur désireux de partager des informations affichées peut parfaitement les photographier avec son téléphone, recopier les données ou simplement les communiquer verbalement à un tiers.

Comme le montrent ces exemples, même si la totalité des plateformes et logiciels prenaient en charge les API de Rights Management pour bloquer les captures d’écran, la technologie seule ne peut pas toujours empêcher des utilisateurs de partager des données qu’ils ne devraient pas. Même si Rights Management peut contribuer à protéger vos données importantes au moyen de stratégies d’autorisation et d’utilisation, cette solution de gestion des droits d’entreprise doit être assortie d’autres moyens de contrôle. Par exemple, vous pouvez mettre en place une sécurité physique, surveiller et soumettre à un contrôle strict les personnes autorisées à accéder aux données de votre organisation et investir dans la formation pour sensibiliser les utilisateurs à la question du partage de données.

Quelle différence y a-t-il entre un utilisateur qui protège un e-mail avec l’option Ne pas transférer et un modèle qui n’inclut pas de droit de transfert ?

En dépit de son nom et de son apparence, l’option Ne pas transférer n’est ni le contraire du droit de transfert, ni un modèle. Il s’agit en fait d’un ensemble de droits qui incluent la restriction de copier, imprimer et enregistrer des e-mails en dehors de la boîte mail, outre la restriction de transfert des e-mails. Les droits sont appliqués dynamiquement aux utilisateurs par le biais des destinataires choisis et non pas statiquement attribués par l’administrateur. Pour plus d’informations, consultez la section Option ne pas transférer les e-mails dans Configuration des droits d’utilisation pour Azure Information Protection.

Quelle est la différence entre FCI Windows Server et l’analyseur Azure Information Protection ?

L’infrastructure de classification des fichiers Windows Server a historiquement été une option permettant de classifier des documents, puis de les protéger à l’aide du connecteur Rights Management (documents Office uniquement) ou d’un script PowerShell (tous les types de fichiers).

Nous vous recommandons désormais d'utiliser l’analyseur Azure Information Protection. L’analyseur utilise le client Azure Information Protection et votre stratégie Azure Information Protection pour étiqueter les documents (tous les types de fichiers) afin que ces documents soient ensuite classifiés et éventuellement protégés.

Les principales différences entre ces deux solutions :

Windows Server FCI Scanneur Azure Information Protection
Magasins de données pris en charge Dossiers locaux sur Windows Server - Partages de fichiers Windows et périphérique de stockage en réseau

- SharePoint Server 2016 et SharePoint Server 2013. SharePoint Server 2010 est également pris en charge pour les clients disposant de la prise en charge étendue de cette version de SharePoint.
Mode de fonctionnement Temps réel Analyse systématiquement les magasins de données une ou plusieurs fois
Types de fichiers pris en charge - Tous les types de fichiers sont protégés par défaut

- Des types de fichiers spécifiques peuvent être exclus de la protection en modifiant le registre
Prise en charge des types de fichiers :

- Les types de fichiers Office et documents PDF sont protégés par défaut

- Des types de fichiers supplémentaires peuvent être inclus pour la protection en modifiant le registre