Étendre l’étiquetage de confidentialité sur Windows

Le client Microsoft Purview Information Protection étend les étiquettes de confidentialité au-delà des étiquettes intégrées aux applications et services Microsoft 365, et prend en charge un plus large éventail de types de fichiers.

Ce client s’exécute uniquement sur Windows et remplace le client d’étiquetage unifié Azure Information Protection (AIP). Il comporte les composants suivants :

Composant Description
Scanneur de protection des informations Permet de découvrir, d’étiqueter et de chiffrer des fichiers sur des magasins de données tels que des partages réseau et des bibliothèques SharePoint Server.
Étiqueteur de fichiers de protection des informations Permet d’appliquer des étiquettes de confidentialité et un chiffrement à l’aide de l’Explorateur de fichiers.
Visionneuse de la protection des informations Permet d’afficher les fichiers chiffrés.
Module PowerShell Microsoft Purview Information Protection Permet d’ajuster les étiquettes de confidentialité sur les fichiers et d’installer et de configurer le scanneur Microsoft Purview Information Protection.

Il n’existe aucun complément Office avec le client Microsoft Purview Information Protection, car cette fonctionnalité est remplacée par des étiquettes de confidentialité intégrées à Office.

Pour obtenir les dernières informations de publication et les chronologies de support pour chaque version du client, consultez Client Microsoft Purview Information Protection - Gestion des mises en production et prise en charge.

Configuration requise pour le déploiement du client Information Protection

Pour utiliser le client Microsoft Purview Information Protection, installez-le sur les ordinateurs Windows sur lesquels vous souhaitez utiliser les composants du client.

Vous devez également répondre aux exigences suivantes :

Les systèmes d’exploitation suivants prennent en charge le client Microsoft Purview Information Protection :

  • Windows 11
  • Windows 10 (x64) (l’écriture manuscrite n’est pas prise en charge dans la build Windows 10 RS4 et versions ultérieures.)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 et Windows Server 2012

ARM64 n’est pas pris en charge.

Installer ou mettre à niveau le client Information Protection

Si vous installez le client d’informations Microsoft Purview de manière interactive et que le client d’étiquetage unifié Azure Information Protection (AIP) est détecté, vous pouvez mettre à niveau l’ancien client après avoir reconnu que le complément AIP pour Office sera supprimé.

Remarque

Les mises à niveau effectuées à l’aide de Microsoft Update Catalog ou de toute autre installation non interactive nécessitent une configuration de clé de Registre si des versions du client Azure Information Protection sont présentes sur l’ordinateur local.

Il existe deux options pour installer le client Information Protection :

  • Installation du client Information Protection à l’aide du programme d’installation.exe
  • Installation du client Information Protection à l’aide du programme d’installation.msi

Si vous mettez à niveau le scanneur information protection, à partir du client d’étiquetage unifié Azure Information Protection (AIP) ou d’une version précédente du client Information Protection, consultez Mettre à niveau le scanneur Microsoft Purview Information Protection avant d’utiliser ces instructions d’installation du client.

Pour installer le client Information Protection avec le fichier .exe :

  1. Téléchargez la version exécutable du client Microsoft Purview Information Protection à partir du Centre de téléchargement Microsoft. Par exemple, PurviewInfoProtection.exe.

    Importante

    Si une préversion est disponible, utilisez cette version uniquement pour les tests. Il n’est pas destiné aux utilisateurs finaux dans un environnement de production.

  2. Pour une installation par défaut, exécutez simplement l’exécutable. Pour afficher toutes les options d’installation, commencez par exécuter l’exécutable avec /help. Par exemple :
    PurviewInfoProtection.exe **/help**

    1. Pour installer le client en mode silencieux, exécutez :
      PurviewInfoProtection.exe /quiet
    2. Pour installer en mode silencieux uniquement les applets de commande PowerShell, exécutez :
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Remarque

    Par défaut, l’option permettant d’envoyer des statistiques d’utilisation à Microsoft est activée. Pour désactiver cette option, veillez à effectuer l’une des étapes suivantes :

    • Pendant l’installation, spécifiez AllowTelemetry=0
    • Après l’installation, mettez à jour la clé de Registre comme suit : EnableTelemetry=0.
  3. Pour terminer l’installation, redémarrez toutes les instances de l’Explorateur de fichiers.

  4. Vérifiez que l’installation a réussi en vérifiant le fichier journal d’installation, qui est créé dans le dossier %temp% par défaut.

    Le fichier journal d’installation a le format de nommage suivant : Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Par exemple : Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    Dans le fichier journal, recherchez la chaîne suivante : Produit : Microsoft Purview Information Protection--Installation terminée avec succès. Si l’installation a échoué, ce fichier journal contient des détails pour vous aider à identifier et à résoudre les problèmes éventuels.

    Conseil

    Vous pouvez modifier l’emplacement du fichier journal d’installation avec le paramètre d’installation /log .

Emplacements des fichiers journaux

Les fichiers journaux du client et du scanneur se trouvent aux emplacements suivants sur l’ordinateur Windows :

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (systèmes d’exploitation 64 bits uniquement)
  • \Program Files\Microsoft Purview Information Protection (systèmes d’exploitation 32 bits uniquement)
  • %localappdata%\Microsoft\MSIP

Langues prises en charge

Le client Information Protection prend en charge les mêmes langues qu’Office 365. Pour obtenir la liste de ces langues, consultez la page Disponibilité internationale d’Office.

Pour ces langues, les options de menu, les boîtes de dialogue et les messages du client Microsoft Purview Information Protection s’affichent dans la langue de l’utilisateur. Comme il existe un seul programme d’installation qui détecte la langue, aucune configuration supplémentaire n’est requise pour installer le client Information Protection pour différentes langues.

Toutefois, les noms et descriptions des étiquettes que vous spécifiez ne sont pas traduits automatiquement lorsque vous configurez des étiquettes dans le portail d’administration. Pour que les utilisateurs voient les étiquettes dans leur langue préférée, fournissez vos propres traductions et configurez-les pour les étiquettes à l’aide de PowerShell et du paramètre LocaleSettings pour Set-Label. Pour plus d’informations, consultez Exemple de configuration pour configurer une étiquette de confidentialité pour différentes langues.

Types de fichiers pris en charge

Cette section répertorie les types de fichiers pris en charge par le client Microsoft Purview Information Protection. Pour les types de fichiers répertoriés, les emplacements WebDav ne sont pas pris en charge.

Conseil

Lorsque vous chiffrez des types de fichiers qui n’ont pas de prise en charge intégrée du chiffrement et que vous utilisez donc le chiffrement générique, nous vous recommandons d’attribuer l’autorisation de copropriétaire à ces fichiers.

Les types de fichiers suivants peuvent être étiquetés sans chiffrement.

  • Adobe Portable Document Format : .pdf

  • Microsoft Project : .mpp, .mpt

  • Microsoft Publisher : .pub

  • Microsoft XPS : .xps .oxps

  • Images : .jpg, .jpe, .jpeg, .jif, .jfif, .jfif. png, .tif, .tiff

  • Autodesk Design Review 2013 : .dwfx

  • Adobe Photoshop : .psd

  • Digital Negative : .dng

  • Microsoft Office : Les types de fichiers suivants, notamment les formats de fichier 97-2003 et les formats Office Open XML pour Word, Excel et PowerPoint.

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    .docm .xlsb .potx .vsd
    .docx .xlst .pps .vsdm
    .dot .xlsm .ppsm .vsdx
    .doctm .xlsx .ppsx .Vss
    .dotx .xltm .vssm
    .xltx .vst
    .vstm
    .vssx
    .vstx

Dossiers et types de fichiers exclus

Pour empêcher les utilisateurs de modifier des fichiers critiques pour les opérations de l’ordinateur, certains types de fichiers et dossiers sont automatiquement exclus de la classification et de l’étiquetage. Si les utilisateurs essaient d’étiqueter ces fichiers à l’aide du client Information Protection, ils voient un message indiquant que ces fichiers sont exclus.

Les dossiers suivants sont exclus de la classification et de l’étiquetage par le client Information Protection :

  • Windows
  • Program Files (\Program Files et \Program Files (x86))
  • \ProgramData
  • \AppData (pour tous les utilisateurs)

Types de fichiers qui ne peuvent pas être chiffrés par défaut

Tout fichier protégé par mot de passe ne peut pas être chiffré en mode natif par le client, sauf si le fichier est actuellement ouvert dans l’application qui applique le chiffrement. Vous voyez le plus souvent des fichiers PDF protégés par mot de passe, mais d’autres applications, telles que les applications Office, offrent également cette fonctionnalité.

Types de fichiers pris en charge pour l’inspection

Le client de protection des informations utilise Windows IFilter pour inspecter le contenu des documents. Windows IFilter est utilisé par Windows Search pour l’indexation. Par conséquent, les types de fichiers suivants peuvent être inspectés lorsque vous utilisez la commande PowerShell Set-FileLabel -Autolabel .

Type d’application Type de fichier
Word .doc, .docx, .docm, .dot, .dotx
Excel .xls, .xlt, .xlsx, .xlsm, .xlsb
PowerPoint .ppt, .pps, .pot, .pptx
PDF .pdf
Texte .txt, .xml, .csv

Analyse des fichiers .ZIP

Vous pouvez utiliser le scanneur de protection des informations ou la commande PowerShell Set-FileLabel pour inspecter .zip fichiers.

Remarque

Lorsque votre scanneur de protection des informations est installé sur un ordinateur Windows Server, vous devez également installer Microsoft Office iFilter afin d’analyser .zip fichiers à la recherche de types d’informations sensibles. Pour plus d’informations, consultez le site de téléchargement Microsoft.

Après avoir trouvé des informations sensibles, si le fichier .zip doit être étiqueté et chiffré avec une étiquette, dans les instructions de déploiement du scanneur, spécifiez l’extension de nom de fichier .zip avec le paramètre avancé PFileSupportedExtensions PowerShell.

Exemple de scénario :

Un fichier nommé accounts.zip contient des feuilles de calcul Excel avec des numéros de carte de crédit. Vous disposez d’une étiquette de confidentialité nommée Confidentiel \ Finance, qui est configurée pour découvrir les numéros de carte de crédit et appliquer automatiquement l’étiquette avec un chiffrement qui limite l’accès au groupe Finance.

Après avoir inspecté le fichier, le client de votre session PowerShell étiquette ce fichier comme Confidentiel \ Finance. Ensuite, le client applique un chiffrement générique au fichier afin que seuls les membres des groupes Finance puissent le décompresser et renomme le fichier accounts.zip.pfile.

Prise en charge des ordinateurs déconnectés

Par défaut, le client Information Protection tente automatiquement de se connecter à Internet pour télécharger les étiquettes de confidentialité et les paramètres de stratégie d’étiquette de confidentialité à partir de Microsoft Purview.

Si vous avez des ordinateurs qui ne peuvent pas se connecter à Internet pendant un certain temps, vous pouvez exporter et copier des fichiers qui gèrent manuellement la stratégie pour le client de protection des informations.

Pour prendre en charge les ordinateurs déconnectés du client Information Protection :

  1. Choisissez ou créez un compte d’utilisateur dans l’ID Microsoft Entra que vous utiliserez pour télécharger les étiquettes et les paramètres de stratégie que vous souhaitez utiliser sur votre ordinateur déconnecté.

  2. En tant que paramètre de stratégie d’étiquette supplémentaire pour ce compte, désactivez l’envoi de données d’audit à Microsoft Purview à l’aide du paramètre avancé EnableAudit PowerShell avec Set-LabelPolicy à partir de Security & Compliance PowerShell.

    Nous vous recommandons cette étape, car si l’ordinateur déconnecté dispose d’une connectivité Internet périodique, il envoie des informations de journalisation à Microsoft Purview qui incluent le nom d’utilisateur de l’étape 1. Ce compte d’utilisateur peut être différent du compte local que vous utilisez sur l’ordinateur déconnecté.

  3. À partir d’un ordinateur disposant d’une connectivité Internet sur lequel le client information protection est installé et connecté avec le compte d’utilisateur de l’étape 1, téléchargez les étiquettes et les paramètres de stratégie.

  4. À partir de cet ordinateur, exportez les fichiers journaux.

    Par exemple, exécutez l’applet de commande Export-DebugLogs ou utilisez l’option Exporter les journaux à partir de la boîte de dialogue Aide et commentaires du client à partir de l’étiqueteur de fichiers.

    Les fichiers journaux sont exportés en tant que fichier compressé unique.

  5. Ouvrez le fichier compressé et, à partir du dossier MSIP, copiez tous les fichiers qui ont une extension de nom de fichier .xml.

  6. Collez ces fichiers dans le dossier %localappdata%\Microsoft\MSIP sur l’ordinateur déconnecté.

  7. Si votre compte d’utilisateur choisi est celui qui se connecte généralement à Internet, activez à nouveau l’envoi de données d’audit, en définissant la valeur EnableAudit sur True.

N’oubliez pas que si un utilisateur sur cet ordinateur sélectionne l’option Réinitialiser les paramètres dans Aide et commentaires dans l’étiqueteur de fichiers, cette action supprime les fichiers de stratégie et laisse le client inopérable jusqu’à ce que vous remplacez manuellement les fichiers ou que le client se connecte à Internet pour pouvoir télécharger les fichiers dont il a besoin.

Si votre ordinateur déconnecté exécute le scanneur de protection des informations, vous devez effectuer des étapes de configuration supplémentaires. Pour plus d’informations, consultez Restriction : Le serveur d’analyse ne peut pas disposer d’une connectivité Internet à partir des instructions de déploiement du scanneur.

Personnalisations prises en charge

Le client Information Protection prend en charge les paramètres avancés PowerShell et certains paramètres de Registre qui peuvent être nécessaires pour des scénarios ou des utilisateurs spécifiques.

Pour les paramètres avancés PowerShell pris en charge avec New-Label ou Set-Label, et New-LabelPolicy ou Set-LabelPolicy à partir de Security & Compliance PowerShell, consultez Paramètres avancés pour le client Microsoft Purview Information Protection.

Utilisez les sections suivantes pour vous aider à configurer le Registre pour les personnalisations prises en charge.

Activer la mise à niveau non interactive à partir du client Azure Information Protection

Si vous installez le client Microsoft Purview Information Protection et que le client d’étiquetage unifié Azure Information Protection est détecté, une installation interactive du client nécessite que vous reconnaissiez que le complément AIP pour Office de l’ancien client sera supprimé.

Pour utiliser une installation non interactive pour le client, telle que le catalogue Microsoft Update, la stratégie de groupe ou les scripts, vous devez d’abord désinstaller le client Azure Information Protection, ou créer et configurer la clé de Registre suivante pour l’ordinateur local :

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Définissez la valeur sur 1 pour autoriser la mise à niveau en mode silencieux et désinstaller le complément Office AIP ; 0 bloque la mise à niveau si le client Azure Information Protection est installé.

Modifier le niveau de journalisation local

Par défaut, le client Purview Information Protection écrit les fichiers journaux du client dans le dossier %localappdata%\Microsoft\MSIP . Ces fichiers sont destinés au dépannage par le Support Microsoft.

Pour modifier le niveau de journalisation de ces fichiers, recherchez le nom de la valeur suivante dans le Registre et définissez les données de valeur sur le niveau de journalisation requis :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Définissez le niveau de journalisation sur l’une des valeurs suivantes :

  • Désactivé : aucune journalisation locale.

  • Erreur : erreurs uniquement.

  • Avertissement : erreurs et avertissements.

  • Informations : journalisation minimale, qui n’inclut aucun ID d’événement (paramètre par défaut pour le scanneur).

  • Débogage : informations complètes.

  • Trace : Journalisation détaillée (paramètre par défaut pour les clients).

Ce paramètre de Registre ne modifie pas les informations envoyées à l’audit Microsoft Purview.

Activer les paramètres de limite de données

Suite à l’engagement de Microsoft envers la limite des données de l’UE, les clients de l’UE qui utilisent le client Microsoft Purview Information Protection peuvent envoyer leurs données à l’UE pour les stocker et les traiter.

Activez cette fonctionnalité dans le client Information Protection en modifiant la clé de Registre suivante qui spécifie l’emplacement d’envoi des événements :

  • Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Valeurs :
    • Default = 0
    • North_America = 1
    • European_Union = 2

Activer le navigateur système par défaut pour l’authentification

Utilisez le navigateur système par défaut pour l’authentification dans le client Microsoft Purview Information Protection. Par défaut, le client information protection ouvre Microsoft Edge pour l’authentification.

Activez cette fonctionnalité dans le client Information Protection en activant la clé de Registre suivante :

  • Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Valeurs :
    • Disabled = 0
    • Enabled = 1

Masquer l’option de menu « Appliquer l’étiquette de confidentialité avec Microsoft Purview » dans l’Explorateur de fichiers

Pour masquer l’option de menu Appliquer l’étiquette de confidentialité avec le clic droit de Microsoft Purview dans l’Explorateur de fichiers, créez la clé de Registre DWORD suivante qui porte le nom de valeur LegacyDisable et toutes les données de valeur :

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Comment appliquer des étiquettes de confidentialité à l’aide du client Information Protection

Une fois le client Microsoft Purview Information Protection installé, vous pouvez appliquer des étiquettes de confidentialité que vous avez créées et publiées à l’aide de :

Pour afficher des documents chiffrés, consultez Afficher des fichiers protégés avec la visionneuse Microsoft Purview Information Protection.