Activer les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive

Guide de sécurité et conformité pour les licences Microsoft 365.

Activez l’étiquetage intégré pour les fichiers Office et LES fichiers PDF pris en charge dans SharePoint et OneDrive afin que les utilisateurs puissent appliquer vos étiquettes de confidentialité dans Office sur le Web. Lorsque cette fonctionnalité est activée, les utilisateurs voient le bouton Sensibilité sur le ruban pour pouvoir appliquer des étiquettes et voir tout nom d’étiquette appliqué dans la barre de status.

Pour SharePoint, les utilisateurs peuvent également voir et appliquer des étiquettes de confidentialité à partir du volet d’informations. Cette méthode est également disponible à partir de l’onglet Fichiers dans Teams.

L’activation de cette fonctionnalité permet également à SharePoint et OneDrive de traiter le contenu des fichiers Office et éventuellement des documents PDF qui ont été chiffrés à l’aide d’une étiquette de confidentialité. L’étiquette peut être appliquée dans Office sur le Web ou dans les applications de bureau Office, et chargée ou enregistrée dans SharePoint et OneDrive. Tant que vous n’activez pas cette fonctionnalité, ces services ne peuvent pas traiter les fichiers chiffrés, ce qui signifie que la co-création, la découverte électronique, la protection contre la perte de données, la recherche et d’autres fonctionnalités collaboratives ne fonctionneront pas pour ces fichiers.

Après avoir activé les étiquettes de confidentialité pour ces fichiers dans SharePoint et OneDrive, pour les fichiers nouveaux et modifiés qui ont une étiquette de confidentialité qui applique le chiffrement avec une clé cloud (et n’utilise pas le chiffrement à double clé) :

  • Pour les fichiers Word, Excel et PowerPoint, ainsi que les fichiers PDF chargés, SharePoint et OneDrive reconnaissent l’étiquette et peuvent désormais traiter le contenu du fichier chiffré.

  • Lorsque des utilisateurs téléchargent ces fichiers ou y accèdent à partir de SharePoint ou OneDrive, l’étiquette de confidentialité et tous les paramètres de chiffrement de l’étiquette sont appliqués et restent avec le fichier, où qu’il soit stocké. Veillez à fournir des conseils à l’utilisateur pour utiliser uniquement des étiquettes pour protéger les documents. Pour plus d’informations, consultez Options de gestion des droits relatifs à l’information (IRM) et étiquettes de niveau de confidentialité.

  • Lorsque les utilisateurs chargent des fichiers étiquetés et chiffrés sur SharePoint ou OneDrive, ils doivent disposer au moins des droits d’utilisation d’affichage sur ces fichiers. Par exemple, ils peuvent ouvrir les fichiers en dehors de Microsoft Office SharePoint Online. Sans ce droit d’utilisation minimale, le chargement réussit, mais le service ne reconnaît pas l’étiquette et ne peut pas traiter le contenu du fichier.

  • Utilisez Office pour le Web (Word, Excel, PowerPoint) pour ouvrir et modifier des fichiers Office qui ont des étiquettes de confidentialité qui appliquent le chiffrement. Les autorisations qui ont été attribuées avec le chiffrement sont appliquées. Vous pouvez également utiliser l’étiquetage automatique pour ces documents.

  • Les utilisateurs externes peuvent accéder à des documents étiquetés avec chiffrement à l’aide de comptes invités. Pour plus d’informations, consultez Prise en charge des utilisateurs externes et du contenu étiqueté.

  • eDiscovery prend en charge la recherche en texte intégral pour ces fichiers et les stratégies de protection contre la perte de données (DLP) prennent en charge leur contenu.

Remarque

Si le chiffrement a été appliqué avec une clé locale (topologie de gestion des clés souvent appelée « conserver votre propre clé » ou HYOK) ou à l’aide de chiffrement à clé double, le comportement du service pour le traitement du contenu du fichier ne change pas. Par conséquent, pour ces fichiers, la co-création, l’eDiscovery, la protection contre la perte de données, la recherche et d’autres fonctionnalités de collaboration ne fonctionnent pas.

Le comportement de Microsoft Office SharePoint Online et OneDrive ne change pas non plus pour les fichiers existants dans ces emplacements qui sont étiquetés avec chiffrement à l’aide d’une clé unique basée sur Azure. Pour que ces fichiers bénéficient des nouvelles fonctionnalités une les étiquettes de confidentialité pour les fichiers Office dans Microsoft Office SharePoint Online et OneDrive activées, les fichiers doivent être téléchargés et chargés à nouveau, ou modifiés.

Une fois que vous avez activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive, trois nouveaux événements d’audit sont disponibles pour surveiller les étiquettes de confidentialité appliquées aux documents dans SharePoint et OneDrive :

  • Étiquette de confidentialité appliquée au fichier
  • Étiquette de confidentialité modifiée appliquée au fichier
  • Suppression de l'étiquette de confidentialité sur le document

Regardez la vidéo suivante (sans audio) pour voir les nouvelles fonctionnalités en action :

Vous avez toujours le choix de désactiver les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive (refuser) à tout moment.

Si vous protégez actuellement des documents dans SharePoint à l’aide de la gestion des droits relatifs à l’information (IRM) SharePoint, veillez à case activée la section Gestion des droits relatifs à l’information (IRM) sharePoint et les étiquettes de confidentialité de cette page.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Configuration requise

Ces nouvelles fonctionnalités fonctionnent uniquement avec les étiquettes de confidentialité .

Utilisez l’application Synchronisation OneDrive version 19.002.0121.0008 ou ultérieure sur Windows, et la version 19.002.0107.0008 ou ultérieure sur Mac. Ces deux versions ont été publiées le 28 janvier 2019 et sont actuellement publiées sur tous les anneaux. Pour plus d’informations, consultez les notes de publication de OneDrive. Une fois que vous avez activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive, les utilisateurs qui exécutent une version antérieure de l’application de synchronisation sont invités à la mettre à jour.

Types de fichiers pris en charge

Une fois que vous avez activé les étiquettes de confidentialité pour SharePoint et OneDrive, les types de fichiers Office suivants sont pris en charge pour les scénarios d’étiquetage de confidentialité.

Application d’une étiquette de confidentialité dans Office sur le Web ou dans SharePoint :

  • Word : .docx, .docm
  • Excel : .xlsx, .xlsm, .xlsb
  • PowerPoint : .pptx, .ppsx

Chargement d’un document étiqueté, puis extraction et affichage de cette étiquette de confidentialité :

  • Word : doc, .docx, .docm, .dot, .dotx, .dotm
  • Excel : .xls, .xlt, .xla, .xlc, .xlm, .xlw, .xlsx, .xltx, .xlsm, .xltm, .xlam, .xlsb
  • PowerPoint : .ppt, .pot, .pps, .ppa, .pptx, .ppsx, .ppsxm, .potx, .ppam, .pptm, .potm, .ppsm

Ajout de la prise en charge de PDF

Vous pouvez activer la prise en charge des fichiers PDF dans les scénarios suivants :

Les étiquettes de confidentialité ne prennent pas en charge les fichiers PDF signés.

Importante

N’oubliez pas que l’activation de la prise en charge de PDF peut augmenter le nombre de fichiers étiquetés automatiquement avec des stratégies d’étiquetage automatique existantes, qui prennent en charge un maximum de 100 000 fichiers par jour.

Pour activer la prise en charge à partir du portail Microsoft Purview ou du portail de conformité Microsoft Purview, effectuez l’une des opérations suivantes, en fonction du portail que vous utilisez :

Ensuite, si vous voyez un message Protéger les fichiers PDF avec l’étiquetage automatique, sélectionnez cette bannière pour confirmer que vous souhaitez activer la protection PDF pour les fichiers dans SharePoint et OneDrive.

Vous pouvez également activer la prise en charge pdf à l’aide de PowerShell lorsque vous utilisez l’applet de commande Set-SPOTenant avec le paramètre EnableSensitivityLabelforPDF :

Set-SPOTenant -EnableSensitivityLabelforPDF $true

Ce paramètre PDF nécessite une version minimale de 16.0.24211.12000 pour SharePoint Online Management Shell. Si vous avez besoin d’informations supplémentaires sur l’installation de ce module PowerShell ou l’exécution des applets de commande, consultez la section de cette page pour activer la prise en charge des étiquettes de confidentialité.

Pour microsoft 365 multigéographique : de la même façon que les instructions d’exécution de la commande PowerShell pour activer la prise en charge des étiquettes de confidentialité, vous devez vous connecter à chacun de vos emplacements géographiques, puis exécuter la commande pour activer la prise en charge des fichiers PDF.

Prise en charge des étiquettes configurées pour les autorisations définies par l’utilisateur

En préversion, la prise en charge des étiquettes configurées pour les autorisations définies par l’utilisateur est désormais limitée. Cette configuration de chiffrement fait référence au paramètre Permettre aux utilisateurs d’attribuer des autorisations lorsqu’ils appliquent l’étiquette et la case à cocher Dans Word, PowerPoint et Excel, inviter les utilisateurs à spécifier des autorisations est sélectionnée :

  • Lorsqu’un document est étiqueté avec des autorisations définies par l’utilisateur et chargé sur SharePoint ou OneDrive, ces services peuvent désormais traiter le document afin qu’il puisse être ouvert et modifié dans Office sur le Web, et le nom de l’étiquette s’affiche dans la colonne Sensibilité.

  • Les étiquettes avec cette configuration sont désormais affichées dans Office sur le Web. Toutefois, actuellement, les utilisateurs ne peuvent pas appliquer ces étiquettes dans Office sur le Web et si ces étiquettes sont sélectionnées, les utilisateurs voient un message leur demandant d’appliquer l’étiquette à l’aide d’une application de bureau.

  • Si les utilisateurs doivent modifier les étiquettes configurées pour les autorisations définies par l’utilisateur, vérifiez que vous avez activé la co-création pour les fichiers chiffrés avec des étiquettes de confidentialité.

  • Actuellement, le contenu ne peut pas être inspecté pour la recherche, la protection contre la perte de données ou eDiscovery.

Pour prendre en charge l’enregistrement automatique et la co-création de ces fichiers chiffrés à l’aide d’une application de bureau, vous devez avoir activé la co-création pour les fichiers chiffrés avec des étiquettes de confidentialité et pour vos Applications Microsoft 365 pour les grandes entreprises :

  • Windows : version minimale de 16.0.16327 à partir du canal actuel et du canal actuel (préversion) ou version minimale de 16.0.16414 à partir du canal bêta
  • macOS : version minimale de 16.51 à partir du canal actuel (préversion) ou du canal bêta

Remarque

Si vous utilisez des versions antérieures et que la co-édition est activée pour votre locataire, l’enregistrement automatique et la co-création sont temporairement désactivés pour les documents une fois que les utilisateurs appliquent une étiquette de confidentialité configurée avec des autorisations définies par l’utilisateur, ou que les utilisateurs modifient les autorisations. Après avoir fermé le document et attendu 10 minutes, ces fonctionnalités sont à nouveau disponibles.

Lorsque vous utilisez ces versions minimales prises en charge pour les fichiers dans SharePoint ou OneDrive, le comportement du chiffrement change :

Cette préversion des étiquettes configurées pour les autorisations définies par l’utilisateur est automatiquement appliquée aux locataires. Pour désactiver cette option, contactez Support Microsoft et demandez à désactiver cette préversion.

Limitations

  • SharePoint et OneDrive ne peuvent pas traiter certains fichiers étiquetés et chiffrés à partir d’applications de bureau Office lorsque ces fichiers contiennent des données PowerQuery, des données stockées par des compléments personnalisés ou des composants XML personnalisés tels que les propriétés de la page de garde, les schémas de type de contenu, le panneau Informations sur le document personnalisé et le XSN personnalisé. Cette limitation s’applique également aux fichiers qui incluent une bibliographie et aux fichiers auxquels un ID de document a été ajouté lorsqu’ils sont chargés.

    Pour ces fichiers, appliquez une étiquette sans chiffrement afin qu’ils puissent être ouverts ultérieurement dans Office sur le Web, ou demandez aux utilisateurs d’ouvrir les fichiers dans leurs applications de bureau. Les fichiers étiquetés et chiffrés uniquement dans Office sur le Web ne sont pas affectés.

  • SharePoint et OneDrive n’appliquent pas automatiquement d’étiquettes de confidentialité aux fichiers existants qui ont été chiffrés à l’aide des anciennes étiquettes de style qui ont été publiées à partir de la Portail Azure. Pour que les fonctionnalités fonctionnent après avoir activé les étiquettes de confidentialité pour les fichiers dans SharePoint et OneDrive, téléchargez ces fichiers, puis chargez-les à leur emplacement d’origine dans SharePoint ou OneDrive.

  • Les utilisateurs ne peuvent pas appliquer les étiquettes de confidentialité configurées pour les autorisations définies par l’utilisateur lors de l’utilisation de Office sur le Web.

  • SharePoint et OneDrive ne peuvent pas traiter les fichiers chiffrés lorsque l’étiquette qui a appliqué le chiffrement a l’une des configurations suivantes pour le chiffrement :

    • L’expiration de l'accès des utilisateurs au contenu est définie sur une valeur autre que Jamais.

    • Chiffrement à double clé est sélectionnée.

      Pour les étiquettes avec l’une de ces configurations de chiffrement, les étiquettes ne sont pas affichées aux utilisateurs dans Office sur le Web. S’il s’agit d’étiquettes parentes, cela signifie que les utilisateurs ne verront pas les sous-étiquettes de cette étiquette, même si les sous-étiquettes ne sont pas configurées pour appliquer le chiffrement.

      En outre, les nouvelles fonctionnalités ne peuvent pas être utilisées avec des documents étiquetés qui ont déjà ces paramètres de chiffrement. Par exemple, ces documents ne seront pas retournés dans les résultats de recherche, même s’ils sont mis à jour.

  • SharePoint et OneDrive ne peuvent pas lire ou appliquer des étiquettes de confidentialité lorsque le document est protégé par mot de passe.

  • Pour des raisons de performances, lorsque vous chargez ou enregistrez un document dans SharePoint et que l’étiquette du fichier n’applique pas de chiffrement, la colonne Sensibilité de la bibliothèque de documents peut prendre un certain temps pour afficher le nom de l’étiquette. Tenez compte de ce délai si vous utilisez des scripts ou une automatisation qui dépendent du nom d’étiquette dans cette colonne.

  • Si un document est étiqueté alors qu’il est extrait dans SharePoint, la colonne Sensibilité de la bibliothèque de documents n’affiche pas le nom de l’étiquette tant que le document n’est pas archivé et ouvert ensuite dans SharePoint.

  • Si un document étiqueté et chiffré est téléchargé à partir de SharePoint ou OneDrive par une application ou un service qui utilise un nom de principal de service, puis à nouveau chargé avec une étiquette qui applique différents paramètres de chiffrement, le chargement échoue. Un exemple de scénario est Microsoft Defender for Cloud Apps modifie une étiquette de confidentialité d’un fichier de Confidentiel à Hautement Confidentiel, ou de Confidentiel à Général.

    Le chargement n’échoue pas si l’application ou le service exécute d’abord l’applet de commande Unlock-SPOSensitivityLabelEncryptedFile , comme expliqué dans la section Supprimer le chiffrement pour un document étiqueté . Ou, avant le chargement, le fichier d’origine est supprimé ou le nom du fichier est modifié.

  • Les utilisateurs peuvent rencontrer des retards dans la possibilité d’ouvrir des documents chiffrés dans le scénario d’enregistrement sous suivant : À l’aide d’une version de bureau d’Office, un utilisateur choisit Enregistrer sous pour un document qui a une étiquette de confidentialité qui applique le chiffrement. L’utilisateur sélectionne SharePoint ou OneDrive pour l’emplacement, puis tente immédiatement d’ouvrir ce document dans Office sur le Web. Si le service traite toujours le chiffrement, l’utilisateur voit un message indiquant que le document doit être ouvert dans son application de bureau. S’ils réessayent dans quelques minutes, le document s’ouvre correctement dans Office sur le Web.

  • Pour les documents chiffrés, l’impression n’est pas prise en charge dans Office sur le Web.

  • Pour les documents chiffrés dans Office sur le Web, les captures d’écran ne sont pas empêchées. Toutefois, lorsque des documents sont étiquetés et chiffrés et que le droit Copierl’utilisation n’est pas accordé, Office sur le Web empêche la copie dans le Presse-papiers de la même façon que les applications de bureau empêchent cette action.

  • Par défaut, les applications de bureau Office et les applications mobiles ne prennent pas en charge la co-création pour les fichiers étiquetés avec chiffrement. Ces applications continuent d’ouvrir des fichiers étiquetés et chiffrés en mode d’édition exclusif. Pour modifier le comportement par défaut, consultez Activer la co-création pour les fichiers chiffrés avec des étiquettes de confidentialité.

  • Si un administrateur modifie les paramètres d’une étiquette publiée qui est déjà appliquée aux fichiers téléchargés sur le client de synchronisation des utilisateurs, les utilisateurs risquent de ne pas pouvoir enregistrer les modifications qu’ils apportent au fichier dans leur dossier OneDrive Sync. Ce scénario s’applique aux fichiers étiquetés avec chiffrement, ainsi que lorsque le changement d’étiquette provient d’une étiquette qui n’a pas appliqué le chiffrement à une étiquette qui applique le chiffrement. Les utilisateurs voient un cercle rouge avec une erreur d’icône de croix blanche, et ils sont invités à enregistrer les nouvelles modifications en tant que copie distincte. Au lieu de cela, ils peuvent fermer et rouvrir le fichier, ou utiliser Office sur le Web.

  • Les étiquettes de confidentialité configurées pour l’étiquetage automatique sont prises en charge pour les Office sur le Web lorsque les paramètres d’étiquette pour les conditions concernent uniquement les types d’informations sensibles. L’étiquetage automatique n’est pas pris en charge pour les Office sur le Web lorsque les conditions incluent des classifieurs pouvant être entraînés.

  • Les utilisateurs peuvent rencontrer des problèmes d’enregistrement après être hors connexion ou en mode veille quand, au lieu d’utiliser Office sur le Web, ils utilisent les applications de bureau et mobiles pour Word, Excel ou PowerPoint. Pour ces utilisateurs, lorsqu’ils reprennent leur session d’application Office et tentent d’enregistrer les modifications, ils voient un message d’échec de chargement avec une option permettant d’enregistrer une copie au lieu d’enregistrer le fichier d’origine.

  • Les documents qui ont été chiffrés de la manière suivante ne peuvent pas être ouverts dans Office sur le Web :

    • Chiffrement qui utilise une clé locale (« hold your own key » ou HYOK)
    • Chiffrement appliqué à l’aide du chiffrement à double clé
    • Chiffrement appliqué indépendamment d’une étiquette, par exemple en appliquant directement un modèle de protection Rights Management.
  • Les étiquettes configurées pour d’autres langues ne sont pas prises en charge et affichent uniquement la langue d’origine.

  • Si vous supprimez une étiquette qui a été appliquée à un document dans SharePoint ou OneDrive, au lieu de supprimer l’étiquette de la stratégie d’étiquette applicable, le document lors du téléchargement n’est pas étiqueté ni chiffré. En comparaison, si le document étiqueté est stocké en dehors de SharePoint ou OneDrive, le document reste chiffré si l’étiquette est supprimée. Notez que même si vous pouvez supprimer des étiquettes pendant une phase de test, il est très rare de supprimer une étiquette dans un environnement de production.

  • Lorsqu’un fichier Office étiqueté et chiffré d’une taille supérieure à 12 Mo est copié ou déplacé vers un autre site, SharePoint ne peut plus traiter ce fichier. Par conséquent, la colonne Sensibilité n’affiche pas le nom de l’étiquette et les utilisateurs ne peuvent pas ouvrir le fichier à l’aide de Office sur le Web. Les utilisateurs peuvent ouvrir le fichier quand ils utilisent une application cliente Office.

Comment activer les étiquettes de confidentialité pour SharePoint et OneDrive (opt-in)

Remarque

L’activation des étiquettes de confidentialité pour SharePoint et OneDrive active également les étiquettes de confidentialité pour les composants et les pages Loop. Pour plus d’informations, consultez Utiliser des étiquettes de confidentialité avec Microsoft Loop.

Vous pouvez activer les nouvelles fonctionnalités à l’aide du portail Microsoft Purview ou du portail de conformité Microsoft Purview, ou à l’aide de PowerShell. Pour obtenir des instructions, consultez les sections suivantes.

Comme pour toutes les modifications de configuration au niveau du client pour Microsoft Office SharePoint Online et OneDrive, la modification met environ 15 minutes à prendre effet.

Utiliser le portail pour activer la prise en charge des étiquettes de confidentialité

Cette option est le moyen le plus simple d’activer les étiquettes de confidentialité pour SharePoint et OneDrive, et vous devez vous connecter en tant qu’administrateur général pour votre locataire.

  1. Selon le portail que vous utilisez, accédez à l’un des emplacements suivants :

    • Se connecter au portail> Microsoft PurviewInformation Protection carte >étiquettes de confidentialité.

      Si la solution Information Protection carte n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Information Protection dans la section Sécurité des données.

    • Connectez-vous auxétiquettes deprotection> des informations portail de conformité Microsoft Purview >Solutions>

  2. Si vous voyez un message vous indiquant d’activer la possibilité de traiter du contenu dans les fichiers Office Online, sélectionnez Activer maintenant :

    Activez le bouton Maintenant pour activer les étiquettes de confidentialité pour Office Online.

    La commande s’exécute immédiatement et lorsque la page est ensuite actualisée, le message ou le bouton ne s’affiche plus.

Remarque

Si vous disposez de Microsoft 365 Multigéographie, vous devez utiliser PowerShell pour activer ces fonctionnalités pour tous vos emplacements géographiques. Pour plus d’informations, voir la section suivante.

Utiliser PowerShell pour activer la prise en charge des étiquettes de confidentialité

Au lieu d’utiliser le portail Microsoft Purview ou le portail de conformité Microsoft Purview, vous pouvez activer la prise en charge des étiquettes de confidentialité à l’aide de l’applet de commande Set-SPOTenant de SharePoint Online PowerShell.

Si vous disposez de Microsoft 365 Multigéographie, vous devez utiliser PowerShell pour activer cette prise en charge pour tous vos emplacements géographiques.

Préparer SharePoint Online Management Shell

Avant d’exécuter la commande PowerShell pour activer les étiquettes de confidentialité pour les fichiers Office dans Microsoft Office SharePoint Online et OneDrive, vérifiez que vous exécutez SharePoint Online Management Shell version 16.0.19418.12000 ou ultérieure. Si vous disposez déjà de la dernière version, vous pouvez passer à la procédure suivante pour exécuter la commande PowerShell.

  1. Si vous avez installé une version antérieure de SharePoint Online Management Shell à partir de la Galerie PowerShell, vous pouvez mettre à jour le module en exécutant l’applet de commande suivante.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Si vous avez installé une version précédente de SharePoint Online Management Shell à partir du Centre de téléchargement Microsoft, vous pouvez également accéder à Ajouter ou supprimer des programmes et désinstaller SharePoint Online Management Shell.

  3. Dans un navigateur web, accédez à la page du Centre de téléchargement et Téléchargez la dernière version de SharePoint Online Management Shell.

  4. Sélectionnez votre langue, puis cliquez sur Télécharger.

  5. Choisissez entre le fichier x64 et x86 .msi. Téléchargez le fichier x64 si vous exécutez la version 64 bits de Windows ou le fichier x86 si vous exécutez la version 32 bits. En cas de doute, consultez Quelle est la version du système d’exploitation Windows que j’utilise ?

  6. Une fois que vous avez téléchargé le fichier, exécutez le fichier et suivez les étapes décrites dans configuration du programme d’installation.

Exécutez la commande PowerShell pour activer la prise en charge des étiquettes de confidentialité

Pour activer les nouvelles fonctionnalités, utilisez l’applet de commande Set-SPOTenant avec le paramètre EnableAIPIntegration :

  1. À l’aide d’un compte professionnel ou scolaire disposant de privilèges d’administrateur SharePoint dans Microsoft 365, connectez-vous à SharePoint. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

    Remarque

    Si vous disposez de Microsoft 365 Multigéographie, utilisez le paramètre -URL avec Connect-SPOServiceet spécifiez l’URL du site du Centre d’administration SharePoint Online pour l’un de vos emplacements géographiques.

  2. Exécutez la commande suivante et appuyez sur Y pour confirmer :

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Pour Microsoft 365 Multi-Geo : répétez les étapes 1 et 2 pour chacun de vos emplacements géographiques restants.

Publication et modification des étiquettes de confidentialité

Lorsque vous utilisez des étiquettes de confidentialité avec SharePoint et OneDrive, gardez à l’esprit que vous devez prévoir du temps de réplication lorsque vous publiez de nouvelles étiquettes de confidentialité ou mettez à jour des étiquettes de confidentialité existantes. Cela est particulièrement important pour les nouvelles étiquettes qui appliquent le chiffrement.

Par exemple : vous créez et publiez une nouvelle étiquette de confidentialité qui applique le chiffrement et qui apparaît très rapidement dans l’application de bureau d’un utilisateur. L’utilisateur applique cette étiquette à un document, puis la charge dans SharePoint ou OneDrive. Si la réplication des étiquettes n’est pas terminée pour le service, les nouvelles fonctionnalités ne seront pas appliquées à ce document lors du chargement. Par conséquent, le document ne sera pas retourné dans la recherche ou pour eDiscovery, et le document ne peut pas être ouvert dans Office sur le Web.

Pour plus d’informations sur le minutage des étiquettes, consultez Quand s’attendre à ce que les nouvelles étiquettes et modifications prennent effet.

En guise de protection, nous vous recommandons de publier d’abord de nouvelles étiquettes pour quelques utilisateurs de test, d’attendre au moins une heure, puis de vérifier le comportement de l’étiquette sur SharePoint et OneDrive. Attendez au moins un jour avant de mettre l’étiquette à la disposition d’un plus grand nombre d’utilisateurs en ajoutant d’autres utilisateurs à la stratégie d’étiquette existante ou en ajoutant l’étiquette à une stratégie d’étiquette existante pour vos utilisateurs standard. Lorsque vos utilisateurs standard voient l’étiquette, celle-ci est déjà synchronisée avec SharePoint et OneDrive.

Gestion des droits relatifs à l’information (IRM) SharePoint et étiquettes de confidentialité

La gestion des droits relatifs à l’information (IRM) SharePoint est une technologie plus ancienne pour protéger les fichiers au niveau de la liste et de la bibliothèque en appliquant le chiffrement et des restrictions lors du téléchargement des fichiers. Cette technologie de protection plus ancienne est conçue pour empêcher les utilisateurs non autorisés d’ouvrir le fichier en dehors de SharePoint.

En comparaison, les étiquettes de confidentialité fournissent les paramètres de protection des marquages visuels (en-têtes, pieds de page, filigranes) en plus du chiffrement. Les paramètres de chiffrement prennent en charge la gamme complète des droits d’utilisation pour limiter ce que les utilisateurs peuvent faire avec le contenu, et les mêmes étiquettes de confidentialité sont prises en charge pour de nombreux scénarios. L’utilisation de la même méthode de protection avec des paramètres cohérents entre les charges de travail et les applications aboutit à une stratégie de protection cohérente.

Toutefois, vous pouvez utiliser les deux solutions de protection ensemble et le comportement est le suivant :

  • Si vous chargez un fichier avec une étiquette de confidentialité qui applique un chiffrement, SharePoint ne peut pas traiter le contenu de ces fichiers. La co-création, eDiscovery, DLP et la recherche ne sont donc pas prises en charge pour ces fichiers.

  • Si vous étiquetez un fichier à l’aide de Office sur le Web, tous les paramètres de chiffrement de l’étiquette sont appliqués. Pour ces fichiers, la co-création, eDiscovery, DLP et la recherche sont prises en charge.

  • Si vous téléchargez un fichier étiqueté à l’aide de Office sur le Web, l’étiquette est conservée et tous les paramètres de chiffrement de l’étiquette sont appliqués plutôt que les paramètres de restriction IRM.

  • Si vous téléchargez un fichier Office ou PDF qui n’est pas chiffré avec une étiquette de confidentialité, les paramètres IRM sont appliqués.

  • Si vous avez activé l’un des paramètres supplémentaires de la bibliothèque IRM, notamment empêcher les utilisateurs de charger des documents qui ne prennent pas en charge irm, ces paramètres sont appliqués.

Avec ce comportement, vous pouvez être assuré que tous les fichiers Office et PDF sont protégés contre tout accès non autorisé s’ils sont téléchargés, même s’ils ne sont pas étiquetés. Toutefois, les fichiers étiquetés qui sont chargés ne bénéficient pas des nouvelles fonctionnalités.

Rechercher des documents par étiquette de confidentialité

Utilisez la propriété gérée InformationProtectionLabelId pour rechercher tous les documents dans SharePoint ou OneDrive qui ont une étiquette de confidentialité spécifique. Utilisez la syntaxe suivante : InformationProtectionLabelId:<GUID>

Par exemple, pour rechercher tous les documents qui ont été étiquetés comme « Confidentiel » et dont l’étiquette a le GUID « 8faca7b8-8d20-48a3-8ea2-0f96310a848e », dans la zone de recherche, tapez :

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

La recherche ne trouve pas les documents étiquetés dans un fichier compressé, tel qu’un fichier .zip.

Pour obtenir les GUID de vos étiquettes de confidentialité, utilisez l’applet de commande Get-Label :

  1. Tout d’abord, connectez-vous à Office 365 Security & Compliance PowerShell.

    Par exemple, dans une session PowerShell que vous exécutez en tant qu’administrateur, connectez-vous avec un compte d’administrateur de conformité.

  2. Exécutez ensuite la commande suivante :

    Get-Label |ft Name, Guid
    

Pour plus d’informations sur l’utilisation des propriétés managées, voir Gérer le schéma de recherche dans SharePoint.

Supprimer le chiffrement d’un document étiqueté

Il peut y avoir de rares occasions où un administrateur SharePoint doit supprimer le chiffrement d’un document stocké dans SharePoint. Tout utilisateur auquel le droit d’utilisation Rights Management d’Exportation ou Contrôle total lui est attribué pour ce document peut supprimer le chiffrement appliqué par le service Azure Rights Management de Protection des données Microsoft Purview. Par exemple, les utilisateurs disposant de l’un de ces droits d’utilisation peuvent remplacer une étiquette qui applique le chiffrement par une étiquette sans chiffrement. Un super utilisateur peut également télécharger le fichier et enregistrer une copie locale sans le chiffrement.

En guise d’alternative, un administrateur SharePoint peut exécuter l’applet de commande Unlock-SPOSensitivityLabelEncryptedFile , qui supprime à la fois l’étiquette de confidentialité et le chiffrement. Cette applet de commande s’exécute même si l’administrateur n’a pas d’autorisations d’accès au site ou au fichier, ou si le service Azure Rights Management n’est pas disponible.

Par exemple :

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Conditions préalables :

  • SharePoint Online Management Shell version 16.0.20616.12000 ou ultérieure.

  • Le chiffrement a été appliqué par une étiquette de confidentialité avec des paramètres de chiffrement définis par l’administrateur (les paramètres Attribuer des autorisations maintenant étiquette). Le chiffrement à double clé n’est pas pris en charge pour cette applet de commande.

Le texte de justification est ajouté à l’événement d’auditDe l’étiquette de confidentialité supprimée du fichier, et l’action de déchiffrement est également enregistrée dans la journalisation de l’utilisation pour Azure Rights Management.

Comment désactiver les étiquettes de confidentialité pour SharePoint et OneDrive (désactiver)

Si vous désactivez ces nouvelles fonctionnalités, les fichiers que vous avez chargés après avoir activé les étiquettes de confidentialité pour SharePoint et OneDrive continuent d’être protégés par l’étiquette, car les paramètres d’étiquette continuent d’être appliqués. Lorsque vous appliquez des étiquettes de confidentialité à de nouveaux fichiers après avoir désactivé ces nouvelles fonctionnalités, la recherche en texte intégral, la découverte électronique et la co-création ne fonctionnent plus.

Pour désactiver ces nouvelles fonctionnalités, vous devez utiliser PowerShell. À l’aide de SharePoint Online Management Shell et de l’applet de commande Set-SPOTenant , spécifiez le même paramètre EnableAIPIntegration que décrit dans la section Utiliser PowerShell pour activer la prise en charge des étiquettes de confidentialité . Mais cette fois, définissez la valeur du paramètre sur false et appuyez sur Y pour confirmer :

Set-SPOTenant -EnableAIPIntegration $false

Si vous disposez de Microsoft 365 Multi-Geo, vous devez exécuter cette commande pour chacun de vos emplacements géographiques.

Étapes suivantes

Une fois que vous avez activé les étiquettes de confidentialité pour les fichiers dans SharePoint et OneDrive, envisagez d’étiqueter automatiquement les fichiers à l’aide de l’une ou des deux méthodes d’étiquetage suivantes :

Vous avez besoin de partager vos documents étiquetés et chiffrés avec des personnes extérieures à votre organisation ? Consultez Partage de documents chiffrés avec des utilisateurs externes dans.