Conserver les informations de votre propre clé (HYOK) pour Azure Information ProtectionHold your own key (HYOK) details for Azure Information Protection

S’applique à : Azure Information ProtectionApplies to: Azure Information Protection

Instructions pour : Azure information protection client classique pour WindowsInstructions for: Azure Information Protection classic client for Windows

Notes

Pour fournir une expérience client unifiée et rationalisée, Azure Information Protection client (Classic) et Gestion des étiquettes dans le Portail Azure sont dépréciées à compter du 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Ce laps de temps permet à tous les clients Azure Information Protection actuels de passer à notre solution d’étiquetage unifiée à l’aide de la plateforme d’étiquetage unifiée de Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. En savoir plus en consultant la notice de dépréciation officielle.Learn more in the official deprecation notice.

Conserver vos propres configurations de clé (HYOK) permet aux clients AIP avec le client classique de protéger du contenu très sensible tout en conservant le contrôle total de leur clé.Hold Your Own Key (HYOK) configurations enable AIP customers with the classic client to protect highly sensitive content while maintaining full control of their key. HYOK utilise une clé supplémentaire, détenue par le client et stockée localement pour le contenu hautement sensible, ainsi que la protection basée sur le Cloud par défaut utilisée pour d’autres contenus.HYOK uses an additional, customer-held key that's stored on premises for highly sensitive content, together with the default cloud-based protection used for other content.

Pour plus d’informations sur les clés de racine de locataire par défaut basées sur le Cloud, consultez planification et implémentation de votre clé de locataire Azure information protection.For more information about the default, cloud-based tenant root keys, see Planning and implementing your Azure Information Protection tenant key.

Protection basée sur le Cloud et HYOKCloud-based protection vs. HYOK

En règle générale, la protection des documents et e-mails sensibles à l’aide de Azure Information Protection utilise une clé basée sur le Cloud qui est générée par Microsoft ou par le client, à l’aide d’une configuration BYOK.Typically, protecting sensitive documents and emails using Azure Information Protection uses a cloud-based key that is either generated by Microsoft or by the customer, using a BYOK configuration.

Les clés basées sur le Cloud sont gérées dans Azure Key Vault, ce qui offre aux clients les avantages suivants :Cloud-based keys are managed in Azure Key Vault, which provides customers with the following benefits:

  • Aucune configuration requise pour l’infrastructure de serveur.No server infrastructure requirements. Les solutions Cloud sont plus rapides et plus économiques à déployer et à entretenir que les solutions locales.Cloud solutions are quicker and more cost-effective to deploy and maintain than on-premises solutions.

  • L’authentification basée sur le Cloud facilite le partage avec les partenaires et les utilisateurs d’autres organisations.Cloud-based authentication enables easier sharing with partners and users from other organizations.

  • Intégration étroite avec d’autres services Azure et Office 365, tels que la recherche, les visionneuses Web, les vues croisées dynamiques, les logiciels anti-programmes malveillants, EDiscovery et Delve.Tight integration with other Azure and Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Suivides documents, révocationet notifications par courrier électronique pour les documents sensibles que vous avez partagés.Document tracking, revocation, and email notifications for sensitive documents that you have shared.

Toutefois, certaines organisations peuvent avoir des exigences réglementaires qui nécessitent le chiffrement d’un contenu spécifique à l’aide d’une clé qui est isolée du Cloud.However, some organizations may have regulatory requirements that require specific content to be encrypted using a key that is isolated from the cloud. Cette isolation signifie que le contenu chiffré ne peut être lu que par des applications locales et des services locaux.This isolation means that encrypted content can be read only by on-premises applications and on-premises services.

Avec les configurations HYOK, les locataires client ont une clé basée sur le Cloud à utiliser avec le contenu qui peut être stocké sur le Cloud, et une clé locale pour le contenu qui doit être protégé localement uniquement.With HYOK configurations, customer tenants have both a cloud-based key to use with content that can be stored on the cloud, and an on-premises key for content that must be protected on-premises only.

Conseils et bonnes pratiques pour la protection HYOKHYOK guidance and best practices

Lors de la configuration de HYOK, tenez compte des recommandations suivantes :When configuring HYOK, consider the following recommendations:

Important

Une configuration HYOK pour Azure Information Protection n’est pas un remplacement pour un déploiement entièrement AD RMS et Azure Information Protection, ou une alternative à la migration de AD RMS vers Azure information protection.An HYOK configuration for Azure Information Protection is not a replacement for a fully AD RMS and Azure Information Protection deployment, or an alternative to migrating AD RMS to Azure Information Protection.

HYOK est pris en charge uniquement par l’application d’étiquettes, n’offre pas de parité de fonctionnalité avec AD RMS et ne prend pas en charge toutes les configurations de déploiement AD RMS.HYOK is supported only by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations.

Contenu adapté à HYOKContent suitable for HYOK

La protection HYOK ne fournit pas les avantages de la protection basée sur le Cloud et est souvent au détriment de l’opacité des données, car le contenu est accessible uniquement par les applications et services locaux.HYOK protection doesn't provide the benefits of cloud-based protection, and often comes at the cost of "data opacity", since the content can be accessed only by on-premises applications and services. Même pour les organisations qui utilisent la protection HYOK, elles ne conviennent généralement que pour un petit nombre de documents.Even for organizations that use HYOK protection, it's typically suitable only for a small number of documents.

Nous vous recommandons d’utiliser HYOK uniquement pour le contenu qui répond aux critères suivants :We recommend that you use HYOK only for content that matches the following criteria:

  • Contenu avec la classification la plus élevée au sein de votre organisation (« top secret »), où l’accès est limité à seulement quelques personnesContent with the highest classification in your organization ("Top Secret"), where access is restricted to just a few people
  • Contenu qui n’est pas partagé à l’extérieur de l’OrganisationContent that isn't shared outside the organization
  • Contenu consommé uniquement sur le réseau interne.Content that is consumed only on the internal network.

Définir les utilisateurs qui peuvent voir les étiquettes configurées par HYOKDefine the users who can see HYOK-configured labels

Pour vous assurer que seuls les utilisateurs qui ont besoin d’appliquer la protection HYOK, consultez les étiquettes configurées HYOK, configurez votre stratégie pour ces utilisateurs avec des stratégies délimitées.To ensure that only users who need to apply HYOK protection see the HYOK-configured labels, configure your policy for those users with scoped policies.

HYOK et support électroniqueHYOK and email support

Les services Office 365 et d’autres services en ligne ne peuvent pas déchiffrer le contenu protégé par HYOK.Office 365 services and other online services can't decrypt HYOK-protected content.

Pour les e-mails, cette perte de fonctionnalités comprend des analyseurs de logiciels malveillants, des solutions de protection contre la perte de données (DLP), des règles de routage de messagerie, la journalisation, la eDiscovery, les solutions d’archivage et Exchange ActiveSync.For emails, this loss of functionality includes malware scanners, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync.

Les utilisateurs peuvent ne pas comprendre pourquoi certains appareils ne peuvent pas ouvrir des e-mails protégés par HYOK, ce qui conduit à des appels supplémentaires à votre support technique.Users may not understand why some devices aren't able to open HYOK-protected emails, leading to additional calls to your help desk. Pour éviter ces appels d’aide supplémentaires, ne configurez pas la protection HYOK pour les e-mails.To avoid these extra help calls, do not configure HYOK protection for emails.

Applications prises en charge pour HYOKSupported applications for HYOK

Utilisez Azure Information Protection étiquettes pour appliquer des HYOK à des documents et des e-mails spécifiques.Use Azure Information Protection labels to apply HYOK to specific documents and emails. HYOK est pris en charge pour les versions d’Office 2013 et ultérieures.HYOK is supported for Office versions 2013 and higher.

HYOK est une option de configuration d’administrateur pour les étiquettes, et les flux de travail restent les mêmes, que le contenu utilise comme clé basée sur le Cloud ou HYOK.HYOK is an administrator configuration option for labels, and workflows remain the same, regardless of whether the content uses as cloud-based key or HYOK.

Les tableaux suivants répertorient les scénarios pris en charge pour la protection et l’utilisation du contenu à l’aide d’étiquettes configurées par HYOK :The following tables list the supported scenarios for protecting and consuming content using HYOK-configured labels:

Prise en charge des applications Windows pour HYOKWindows application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Azure Information Protection client avec Office 365 Apps, Office 2019, Office 2016 et Office 2013 :Azure Information Protection client with Office 365 apps, Office 2019, Office 2016, and Office 2013:
Word, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
Oui Oui
Client Azure Information Protection avec l’Explorateur de fichiersAzure Information Protection client with File Explorer Oui Oui
Visionneuse Azure Information ProtectionAzure Information Protection Viewer Non applicableNot applicable Oui
Client Azure Information Protection avec les applets de commande d’étiquetage PowerShellAzure Information Protection client with PowerShell labeling cmdlets Oui Oui
Scanneur Azure Information ProtectionAzure Information Protection scanner Oui Oui
Application de partage Rights ManagementRights Management sharing app non Oui

prise en charge des applications macOS pour HYOKmacOS application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Office pour Mac :Office for Mac:
Word, Excel, PowerPoint, OutlookWord, Excel, PowerPoint, Outlook
non Oui
Application de partage Rights ManagementRights Management sharing app non Oui

prise en charge des applications iOS pour HYOKiOS application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Office Mobile :Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
non Oui
Office Mobile :Office Mobile:
Outlook uniquementOutlook only
non non
Visionneuse Azure Information ProtectionAzure Information Protection Viewer Non applicableNot applicable Oui

Prise en charge des applications Android pour HYOKAndroid application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Office Mobile :Office Mobile:
Word, Excel, PowerPointWord, Excel, PowerPoint
non Oui
Office Mobile :Office Mobile:
Outlook uniquementOutlook only
non non
Visionneuse Azure Information ProtectionAzure Information Protection Viewer Non applicableNot applicable Oui

Prise en charge des applications Web pour HYOKWeb application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Outlook sur le webOutlook on the web non non
Office pour le Web :Office for the web:
Word, Excel, PowerPointWord, Excel, PowerPoint
non non

Prise en charge des applications universelles pour HYOKUniversal application support for HYOK

ApplicationApplication ProtectionProtection ConsommationConsumption
Applications universelles Office :Office Universal apps:
Word, Excel, PowerPointWord, Excel, PowerPoint
non non

Implémentation de la protection HYOKImplementing HYOK

Azure Information Protection prend en charge HYOK lorsque vous avez un services AD RMS (Active Directory Rights Management Services) (AD RMS) qui est conforme à toutes les exigences listées ci-dessous.Azure Information Protection supports HYOK when you have an Active Directory Rights Management Services (AD RMS) that complies with all of the requirements listed below.

Les stratégies de droits d’utilisation et la clé privée de l’organisation qui protège ces stratégies sont gérées et conservées localement, tandis que la stratégie de Azure Information Protection pour l’étiquetage et la classification reste gérée et stockée dans Azure.Usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

Pour implémenter la protection HYOK :To implement HYOK protection:

  1. Vérifier que votre système est conforme à la configuration requise pour la AD RMSMake sure your system complies with the AD RMS requirements
  2. Localiser les informations que vous souhaitez protégerLocate the information you want to protect

Quand vous êtes prêt, passez à la procédure de configuration d’une étiquette pour la protection de Rights Management.When you're ready, continue with How to configure a label for Rights Management protection.

Prérequis d’un déploiement AD RMS pour prendre en charge HYOKRequirements for AD RMS to support HYOK

Un déploiement AD RMS doit remplir les conditions suivantes pour fournir une protection HYOK pour les étiquettes Azure Information Protection :An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels:

Condition requiseRequirement DescriptionDescription
Configuration de AD RMSAD RMS configuration Votre système de AD RMS doit être configuré de manière spécifique pour prendre en charge HYOK.Your AD RMS system must be configured in specific ways to support HYOK. Pour plus d’informations, voir ci-dessous.For more information, see below.
Synchronisation de répertoiresDirectory synchronization La synchronisation d’annuaires doit être configurée entre votre Active Directory local et le Azure Active Directory.Directory synchronization must be configured between your on-premises Active Directory and the Azure Active Directory.

Les utilisateurs qui utiliseront des étiquettes de protection HYOK doivent être configurés pour l’authentification unique.Users who will use HYOK protection labels must be configured for single-sign-on.
Configuration pour les approbations explicitement définiesConfiguration for explicitly defined trusts Si vous partagez du contenu protégé par HYOK avec d’autres personnes en dehors de votre organisation, AD RMS devez être configuré pour les approbations explicitement définies dans une relation de point à point directe avec les autres organisations.If you share HYOK-protected content with others outside your organization, AD RMS must be configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations.

Pour ce faire, utilisez des domaines d’utilisateur approuvé (utilisateurs approuvés) ou des approbations fédérées créées à l’aide de Services ADFS (AD FS).Do this using trusted user domains (TUDs) or federated trusts that are created using Active Directory Federation Services (AD FS).
Version prise en charge de Microsoft OfficeMicrosoft Office supported version Les utilisateurs qui protègent ou consomment du contenu protégé par HYOK doivent disposer des éléments suivants :Users who are protecting or consuming HYOK-protected content must have:

-Une version d’Office qui prend en charge les informations Rights Management (IRM)- A version of Office that supports Information Rights Management (IRM)
-Microsoft Office professionnel plus version 2013 ou ultérieure avec Service Pack 1, exécuté sur Windows 7 Service Pack 1 ou version ultérieure.- Microsoft Office Professional Plus version 2013 or later with Service Pack 1, running on Windows 7 Service Pack 1 or later.
-Pour l’édition Office 2016 Microsoft Installer (. msi), vous devez disposer de la mise à jour 4018295 pour Microsoft Office 2016 publiée le 2018 6 mars.- For the Office 2016 Microsoft Installer (.msi)-based edition, you must have the update 4018295 for Microsoft Office 2016 that was released on March 6, 2018.

Remarque : Office 2010 et Office 2007 ne sont pas pris en charge.Note: Office 2010 and Office 2007 are not supported.

Important

Pour s’assurer de la haute garantie offerte par HYOK protection, nous vous recommandons d’effectuer les opérations suivantes :To fulfill the high assurance that HYOK protection offers, we recommend:

  • En localisant vos serveurs AD RMS en dehors de votre DMZ et en vous assurant qu’ils sont utilisés uniquement par les appareils gérés.Locating your AD RMS servers outside of your DMZ, and ensuring that they are used only by managed devices.

  • Configurez votre cluster AD RMS avec un module de sécurité matériel (HSM).Configure your AD RMS cluster with a hardware security module (HSM). Cela permet de s’assurer que la clé privée de votre certificat de licence serveur ne peut pas être exposée ou volée si votre déploiement de AD RMS doit être compromis ou compromis.This helps to ensure that your Server Licensor Certificate (SLC) private key cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Conseil

Pour obtenir des informations et des instructions sur le déploiement pour AD RMS, consultez Services AD RMS (Active Directory Rights Management Services) dans la bibliothèque Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Configuration requise pour la AD RMSAD RMS configuration requirements

Pour prendre en charge HYOK, assurez-vous que votre système AD RMS possède les configurations suivantes :To support HYOK, ensure that your AD RMS system has the following configurations:

Condition requiseRequirement DescriptionDescription
Version de WindowsWindows version Au minimum, l’une des versions suivantes de Windows :At minimum, one of the following Windows versions:

Environnements de production : Windows Server 2012 R2Production environments: Windows Server 2012 R2
Environnements de test/évaluation: Windows Server 2008 R2 avec Service Pack 1Testing/evaluation environments: Windows Server 2008 R2 with Service Pack 1
TopologieTopology HYOK requiert l’une des topologies suivantes :HYOK requires one of the following topologies:
-Une seule forêt, avec un seul cluster AD RMS- A single forest, with a single AD RMS cluster
-Plusieurs forêts, avec AD RMS clusters dans chacune d’elles.- Multiple forests, with AD RMS clusters in each of them.

Licences pour plusieurs forêtsLicensing for multiple forests
Si vous avez plusieurs forêts, chaque cluster AD RMS partage une URL de licence qui pointe vers le même cluster AD RMS.If you have multiple forests, each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster.
Sur ce cluster AD RMS, importez tous les certificats de domaine d’utilisateur approuvé à partir de tous les autres clusters AD RMS.On this AD RMS cluster, import all the trusted user domain (TUD) certificates from all other AD RMS clusters.
Pour plus d’informations sur cette topologie, consultez Domaine d’utilisateur approuvé.For more information about this topology, see Trusted User Domain.

Étiquettes de stratégie globale pour plusieurs forêtsGlobal policy labels for multiple forests
Quand vous avez plusieurs clusters AD RMS dans des forêts distinctes, supprimez toutes les étiquettes de la stratégie globale qui appliquent la protection HYOK (AD RMS) et qui configurent une stratégie délimitée pour chaque cluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster.
Affectez des utilisateurs pour chaque cluster à leur stratégie délimitée, en vous assurant que vous n’utilisez pas de groupes qui aboutissent à l’affectation d’un utilisateur à plusieurs stratégies délimitées.Assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy.
Chaque utilisateur doit avoir des étiquettes pour un seul cluster AD RMS.The result should be that each user has labels for one AD RMS cluster only.
Mode de chiffrementCryptographic mode Votre AD RMS doit être configuré avec le mode de chiffrement 2.Your AD RMS must be configured with Cryptographic Mode 2.
Confirmez le mode en activant l’onglet général des propriétés du cluster AD RMS.Confirm the mode by checking the AD RMS cluster properties, General tab.
Configuration de l’URL de certificationCertification URL configuration Chaque serveur de AD RMS doit être configuré pour l’URL de certification.Each AD RMS server must be configured for the certification URL.
Pour plus d’informations, voir ci-dessous.For more information, see below.
Points de connexion de serviceService connection points Un point de connexion de service (SCP) n’est pas utilisé lorsque vous utilisez AD RMS protection avec Azure Information Protection.A service connection point (SCP) is not used when you use AD RMS protection with Azure Information Protection.

Si vous avez inscrit un SCP pour votre déploiement AD RMS, supprimez-le pour vous assurer que la détection du service est réussie pour la protection Azure Rights Management.If you have an SCP registered for your AD RMS deployment, remove it to ensure that service discovery is successful for Azure Rights Management protection.

Si vous installez un nouveau cluster de AD RMS pour hyok, n’inscrivez pas le SCP lors de la configuration du premier nœud.If you are installing a new AD RMS cluster for HYOK, do not register the SCP when configuring the first node. Pour chaque nœud supplémentaire, assurez-vous que le serveur est configuré pour l’URL de certification avant d’ajouter le rôle AD RMS et de rejoindre le cluster existant.For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.
SSL/TLSSSL/TLS Dans les environnements de production, les serveurs AD RMS doivent être configurés pour utiliser SSL/TLS avec un certificat x. 509 valide qui est approuvé par les clients qui se connectent.In production environments, the AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients.

Cela n’est pas nécessaire à des fins de test ou d’évaluation.This is not required for testing or evaluation purposes.
Modèles de droitsRights templates Vous devez disposer de modèles de droits configurés pour votre AD RMS.You must have rights templates configured for your AD RMS.
IRM ExchangeExchange IRM Votre AD RMS ne peut pas être configurée pour Exchange IRM.Your AD RMS cannot not be configured for Exchange IRM.
Appareils mobiles/ordinateurs MacMobile devices / Mac computers L' extension d’appareil Mobile services AD RMS (Active Directory Rights Management Services) doit être installée et configurée.You must have the Active Directory Rights Management Services Mobile Device Extension installed and configured.

Configuration de serveurs AD RMS pour localiser l’URL de certificationConfiguring AD RMS servers to locate the certification URL

  1. Sur chaque serveur AD RMS dans le cluster, créez l’entrée de registre suivante :On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    Pour le <string value> , spécifiez l’une des chaînes suivantes :For the <string value>, specify one of the following strings:

    EnvironnementEnvironment Valeur de chaîneString value
    ProductionProduction
    (Clusters AD RMS utilisant SSL/TLS)(AD RMS clusters using SSL/TLS)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    Test/évaluationTesting / evaluation
    (pas de SSL/TLS)(no SSL/TLS)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. Redémarrez IIS.Restart IIS.

Recherche d’informations pour spécifier la protection AD RMS avec une étiquette Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

La configuration des étiquettes de protection HYOK nécessite que vous spécifiiez l’URL de licence de votre cluster AD RMS.Configuring HYOK-protection labels requires that you specify the licensing URL of your AD RMS cluster.

En outre, vous devez spécifier un modèle que vous avez configuré avec les autorisations que vous souhaitez accorder aux utilisateurs, ou permettre aux utilisateurs de définir des autorisations et des utilisateurs.Additionally, you must either specify a template that you've configured with the permissions you want to grant users, or enable users to define permissions and users.

Procédez comme suit pour rechercher le GUID du modèle et les valeurs de l’URL de licence à partir de la console services AD RMS (Active Directory Rights Management Services) :Do the following to locate the template GUID and licensing URL values from the Active Directory Rights Management Services console:

Localiser un GUID de modèleLocate a template GUID

  1. développez le cluster, puis cliquez sur Modèles de stratégies de droits.Expand the cluster and click Rights Policy Templates.

  2. À partir des informations sur les modèles de stratégie de droits distribués , copiez le GUID du modèle que vous souhaitez utiliser.From the Distributed Rights Policy Templates information, copy the GUID from the template you want to use.

Par exemple : 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

Localiser l’URL de licenceLocate the licensing URL

  1. Cliquez sur le nom du cluster.Click the cluster name.

  2. Dans Détails du cluster, copiez la valeur Gestion des licences valeur sans la chaîne /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string.

Par exemple : https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

Notes

Si vous avez différentes valeurs de licences extranet et intranet, spécifiez la valeur extranet uniquement si vous voulez partager du contenu protégé avec des partenaires.If you have different extranet and intranet licensing values, specify the extranet value only if you will be sharing protected content with partners. Les partenaires qui partagent du contenu protégé doivent être définis avec des approbations point à point explicites.Partners who share protected content must be defined with explicit point-to-point trusts.

Si vous ne partagez pas de contenu protégé, utilisez la valeur intranet et assurez-vous que tous les ordinateurs clients qui utilisent AD RMS protection avec Azure Information Protection se connectent via une connexion intranet.If you are not sharing protected content, use the intranet value and make sure that all client computers that are using AD RMS protection with Azure Information Protection connect via an intranet connection. Par exemple, les ordinateurs distants doivent utiliser une connexion VPN.For example, remote computers must use a VPN connection.

Étapes suivantesNext steps

Lorsque vous avez terminé de configurer votre système pour prendre en charge HYOK, poursuivez la configuration des étiquettes pour la protection HYOK.When you're done configuring your system to support HYOK, continue with configuring labels for HYOK protection. Pour plus d’informations, consultez Comment configurer une étiquette pour la protection de Rights Management.FOr more information, see How to configure a label for Rights Management protection.