Configurer le chiffrement des messages

Le chiffrement de messages Microsoft Purview permet aux organisations de partager des e-mails protégés avec n’importe qui sur n’importe quel appareil. Les utilisateurs peuvent échanger des messages protégés avec d’autres organisations Microsoft 365, ainsi que des tiers à l’aide de Outlook.com, Gmail et d’autres services de messagerie.

Suivez les étapes ci-dessous pour vous assurer que le chiffrement de messages Microsoft Purview est disponible dans votre organisation.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Vérifiez que Azure Rights Management est activé.

Chiffrement de messages Microsoft Purview tire parti des fonctionnalités de protection dans Azure Rights Management Services (Azure RMS), la technologie utilisée par Azure Information Protection pour protéger les e-mails et les documents via le chiffrement et l’accès Contrôles.

La seule condition préalable à l’utilisation du chiffrement de messages Microsoft Purview est qu’Azure Rights Management doit être activé dans le locataire de votre organisation. Si c’est le cas, Microsoft 365 active automatiquement le chiffrement des messages et vous n’avez rien à faire.

Azure RMS est également activé automatiquement pour la plupart des offres éligibles, de sorte que vous n’avez probablement pas besoin d’effectuer quoi que ce soit à cet égard. Pour plus d’informations, reportez-vous à Activation d’Azure Rights Management.

Importante

Si vous utilisez Active Directory Rights Management service (AD RMS) avec Exchange Online, vous devez migrer vers Azure Information Protection avant de pouvoir utiliser le chiffrement des messages. Le chiffrement de messages Microsoft Purview n’est pas compatible avec AD RMS.

Pour plus d’informations, voir :

Activation manuelle d’Azure Rights Management

Si vous avez désactivé Azure RMS, ou si le service n’a pas été automatiquement activé pour une raison quelconque, vous pouvez l’activer manuellement dans le.

Pour obtenir des instructions, consultez Comment activer ou confirmer l’état du service de protection.

Configurer la gestion de votre clé de client Azure Information Protection

Il s’agit d’une étape facultative. Autoriser Microsoft à gérer la clé racine pour Azure Information Protection est le paramètre par défaut et la meilleure pratique recommandée pour la plupart des organisations. Si cela est le cas, vous n’avez rien à faire.

Il existe de nombreuses raisons, par exemple des exigences de conformité, qui peuvent nécessiter la génération et la gestion de votre propre clé racine, également appelée « bring your own key » (BYOK). Si c’est le cas, nous vous recommandons d’effectuer les étapes requises avant de configurer le chiffrement de messages Microsoft Purview. Pour plus d’informations, reportez-vous à Planification et implémentation de votre clé de client Azure Information Protection.

Vérifier la configuration du chiffrement de messages Microsoft Purview dans le PowerShell Exchange Online

Vous pouvez vérifier que votre client Microsoft 365 est correctement configuré pour utiliser le chiffrement de messages Microsoft Purview dans le PowerShell Exchange Online.

  1. Connectez-vous à Exchange Online PowerShell à l’aide d’un compte disposant des autorisations d’administrateur général dans votre client Microsoft 365.

  2. Exécutez la cmdlet Get-IRMConfiguration.

    Vous devez voir une valeur de $True pour le paramètre AzureRMSLicensingEnabled, ce qui indique que le Chiffrement de messages Microsoft Purview est configuré dans votre client. Si ce n’est pas le cas, utilisez Set-IRMConfiguration pour définir la valeur d’AzureRMSLicensingEnabled sur $True pour activer le Chiffrement de messages Microsoft Purview.

  3. Exécutez la cmdlet Test-IRMConfiguration en utilisant la syntaxe suivante :

    Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
    

    Exemple :

    Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
    
    • Pour l'expéditeur et le destinataire, utilisez l'adresse e-mail de n'importe quel utilisateur de votre client Microsoft 365.

      Vos résultats doivent être similaires à ce qui suit :

      Results : Acquiring RMS Templates ...
                 - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
             Forward.
             Verifying encryption ...
                 - PASS: Encryption verified successfully.
             Verifying decryption ...
                 - PASS: Decryption verified successfully.
             Verifying IRM is enabled ...
                 - PASS: IRM verified successfully.
      
             OVERALL RESULT: PASS
      
    • Le nom de votre organisation remplacera Contoso.

    • Les noms des modèles par défaut peuvent être différents de ceux affichés ci-dessus. Pour plus d’informations, reportez-vous à Configurer et gérer des modèles pour Azure Information Protection.

  4. Si le test échoue avec un message d’erreur Échec de l’acquisition des modèles RMS, exécutez les commandes suivantes et exécutez l’applet de commande Test-IRMConfiguration pour vérifier que ça marche. Connectez-vous au module AIPService pour exécuter l’applet de commande.

    $RMSConfig = Get-AipServiceConfiguration
    $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl
    Set-IRMConfiguration -LicensingLocation $LicenseUri
    Set-IRMConfiguration -InternalLicensingEnabled $true
    
  5. Exécutez la cmdlet Remove-PSSession pour vous déconnecter du service Rights Management.

    Remove-PSSession $session
    

Étapes suivantes : définir des règles de flux de messagerie pour utiliser le chiffrement de messages Microsoft Purview

S’il existe des règles de flux de messagerie précédemment configurées pour chiffrer le courrier électronique dans votre organisation, vous devez mettre à jour les règles existantes pour utiliser le chiffrement de messages Microsoft Purview. Pour les nouveaux déploiements, vous devez créer des règles de flux de messagerie.

Importante

Si vous ne mettez pas à jour les règles de flux de messagerie existantes, vos utilisateurs continueront à recevoir des messages chiffrés qui utilisent le format de pièce jointe HTML précédent, au lieu de la nouvelle expérience transparente.

Les règles de flux de messagerie déterminent les conditions dans lesquelles les e-mails doivent être chiffrés, ainsi que les conditions pour supprimer ce chiffrement. Lorsque vous configurez une action pour une règle, tous les messages correspondant aux conditions de la règle sont chiffrés lorsqu’elles sont envoyées.

Pour connaître les étapes de création du chiffrement de message des règles de flux de messagerie, consultez Définir des règles de flux de messagerie pour chiffrer les messages électroniques dans Office 365.

Pour mettre à jour les règles existantes afin d’utiliser le chiffrement de messages Microsoft Purview :

  1. Dans le Centre d’administration Microsoft 365, accédez à Centres d’administration>Exchange.
  2. Dans le Centre d’administration Exchange, accédez à Règles de flux de courrier>.
  3. Pour chaque règle, dans Procédez comme suit :
    • Sélectionnez Modifier la sécurité des messages.
    • Sélectionnez Appliquer le chiffrement des messages Office 365 et la protection des droits.
    • Sélectionnez Chiffrer dans la liste des modèles RMS.
    • Cliquez sur Enregistrer.
    • Sélectionnez OK.