Protection HYOK (Hold your own key) pour Azure Information ProtectionHold your own key (HYOK) protection for Azure Information Protection

S’applique à : Azure Information ProtectionApplies to: Azure Information Protection

Prenez connaissance des informations suivantes pour comprendre le lien entre la protection HYOK (Hold Your Own Key) et Azure Information Protection, et en quoi cette protection diffère de la protection cloud par défaut.Use the following information to understand what hold your own key (HYOK) protection is for Azure Information Protection, and how it is different from the default cloud-based protection. Avant d’appliquer une protection HYOK, assurez-vous de bien comprendre les cas d’usage appropriés, les scénarios pris en charge, les limitations et les prérequis.Before you use HYOK protection, make sure that you understand when it's appropriate, the supported scenarios, the limitations, and requirements.

Protection cloud et protection HYOKCloud-based protection vs. HYOK

Pour protéger vos documents et e-mails les plus sensibles avec Azure Information Protection, vous appliquez généralement une clé cloud qui utilise la protection Azure Rights Management (Azure RMS). Les avantages de cette méthode sont les suivants :When you protect your most sensitive documents and emails by using Azure Information Protection, you typically do this by applying a cloud-based key that uses Azure Rights Management (Azure RMS) protection to benefit from the following:

  • Aucune infrastructure serveur n’est exigée, ce qui rend la solution plus rapide et plus économique à déployer et à gérer qu’une solution locale.No server infrastructure required, which makes the solution quicker and more cost effective to deploy and maintain than an on-premises solution.

  • Simplification du partage avec les partenaires et les utilisateurs d’autres organisations à l’aide de l’authentification basée sur le cloud.Easier sharing with partners and users from other organizations by using cloud-based authentication.

  • Intégration étroite aux services Office 365 et Azure, notamment la recherche, les visionneuses web, les vues croisées dynamiques, les logiciels anti-programme malveillant, eDiscovery et Delve.Tight integration with other Azure and Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Suivi et révocation des documents, et notification par e-mail en cas de partage de documents sensibles.Document tracking, revocation, and email notification for sensitive documents that you have shared.

Une clé cloud protège les documents et e-mails de votre organisation à l’aide d’une clé privée qui est gérée par Microsoft (scénario par défaut) ou par vous-même (scénario BYOK, « Bring Your Own Key »).A cloud-based key protects your organization's documents and emails by using a private key for the organization that is managed by Microsoft (the default), or managed by you (the "bring your own key" or BYOK scenario). Pour plus d’informations sur les options de clé de locataire, consultez Planification et implémentation de la clé de locataire Azure Rights Management.For more information about the tenant key options, see Planning and implementing your Azure Information Protection tenant key.

Vous pouvez stocker vos documents et e-mails protégés dans le cloud ou localement.Documents and emails that you protect could be stored in the cloud or on-premises. Pour plus d’informations sur le processus de protection avec cette clé cloud, consultez En quoi consiste Azure Rights Management ?For more information about how the protection process works for this cloud-based key, see What is Azure Rights Management?

Les services Office 365 et les applications cloud de votre locataire peuvent être intégrés avec Azure Information Protection. De cette façon, les fonctions essentielles pour l’organisation, comme les services de recherche, d’indexation, d’archivage et anti-programme malveillant, continuent de s’exécuter sans interruption sur le contenu qui est protégé par Azure Information Protection.Office 365 services and cloud-based applications for your tenant can integrate with Azure Information Protection so that important business functions, such as search, indexing, archiving, and anti-malware services continue to work seamlessly for content that's protected by Azure Information Protection. Cette capacité à lire le contenu chiffré dans ces scénarios est souvent appelée « raisonnement sur les données » (reasoning over data).This ability to read the encrypted content for these scenarios is often referred to as "reasoning over data". Par exemple, cela permet à Exchange Online de déchiffrer les e-mails lors de la détection de programmes malveillants et d’appliquer des règles de prévention contre la perte de données (DLP) aux e-mails chiffrés.For example, it's this ability that lets Exchange Online decrypt emails for malware scanning and to run data loss prevention (DLP) rules on encrypted emails.

Toutefois, pour respecter des obligations réglementaires, certaines organisations sont parfois obligées de chiffrer le contenu à l’aide d’une clé qui est isolée du cloud.However, for regulatory requirements, a few organizations might be required to encrypt content with a key that is isolated from the cloud. Cette isolation signifie que le contenu chiffré peut être lu uniquement par les applications et services locaux.This isolation means that the encrypted content can be read only by on-premises applications and on-premises services. Cette option de gestion des clés correspond à la protection HYOK (Hold Your Own Key) qui est prise en charge par Azure Information Protection.This key management option is supported by Azure Information Protection, and it is referred to as "hold your own key" or HYOK. Quand vous utilisez Azure Information Protection avec HYOK, votre locataire a deux clés : une clé stockée dans le cloud et une clé locale.When you use Azure Information Protection with HYOK, your tenant has both a cloud-based key and an on-premises key.

Conseils et bonnes pratiques pour la protection HYOKHYOK guidance and best practices

Utilisez la protection HYOK uniquement pour les documents et e-mails pour lesquels la clé de chiffrement doit être isolée du cloud.Use HYOK protection just for the documents and emails that require the encryption key to be isolated from the cloud. La protection HYOK n’offre pas tous les avantages offerts par la protection à l’aide d’une clé cloud. Son utilisation entraîne souvent une certaine « opacité des données ».HYOK protection doesn't provide the listed benefits that you get when you use cloud-based key protection, and it often comes at the cost of "data opacity". En d’autres termes, seuls les applications et services locaux peuvent accéder aux données protégées par HYOK ; les applications et services cloud ne peuvent pas raisonner sur des données protégées par HYOK.This phrase means that only on-premises applications and services will be able to open HYOK-protected data; cloud-based services and applications cannot reason over HYOK-protected data.

Même dans les organisations qui l’utilisent, la protection HYOK convient généralement pour protéger un petit nombre de documents.Even for the organizations that use HYOK protection, it is typically suitable for a small number of documents that need to be protected. Nous vous conseillons de l’utiliser uniquement pour des documents qui remplissent tous les critères suivants :As guidance, use it only for documents and when they match all the following criteria:

  • Le contenu a le niveau de classification le plus élevé au sein de votre organisation (« Top Secret ») et l’accès est limité à seulement quelques personnesThe content has the highest classification in your organization ("Top Secret") and access is restricted to just a few people

  • Le contenu n’est pas partagé en dehors de l’organisationThe content is not shared outside the organization

  • Le contenu est utilisé uniquement sur le réseau interneThe content is only consumed on the internal network

Étant donné que la protection HYOK est une option de configuration administrateur pour les étiquettes, les flux de travail utilisateur restent inchangés, indépendamment de la protection appliquée (HYOK ou avec une clé cloud).Because HYOK protection is an administrator configuration option for a label, user workflows remain the same, irrespective of whether the protection uses a cloud-based key or HYOK.

Les stratégies délimitées constituent un bon moyen de vous assurer que les utilisateurs qui ont besoin d’appliquer la protection HYOK sont les seuls à voir les étiquettes configurées pour cette protection.Scoped policies are a good way to ensure that only the users who need to apply HYOK protection see labels that are configured for HYOK protection.

Scénarios de protection HYOK pris en chargeSupported scenarios for HYOK

Pour appliquer une protection HYOK, utilisez les étiquettes Azure Information Protection.To apply HYOK protection, use Azure Information Protection labels.

Le tableau suivant liste les scénarios qui prennent en charge la protection du contenu à l’aide d’étiquettes configurées avec HYOK, ainsi que l’ouverture (l’utilisation) du contenu protégé par HYOK.The following table lists the supported scenarios for protecting content by using labels that are configured for HYOK, and opening (consuming) content that's protected by HYOK.

PlateformePlatform ApplicationApplication Pris en chargeSupported
WindowsWindows Client Azure Information Protection avec Office 2016 et Office 2013Azure Information Protection client with Office 2016 and Office 2013

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : ouiProtection: Yes

Utilisation : ouiConsumption: Yes
WindowsWindows Client Azure Information Protection avec Office 2016 et Office 2013Azure Information Protection client with Office 2016 and Office 2013

- Outlook- Outlook
Protection : ouiProtection: Yes

Utilisation : ouiConsumption: Yes
WindowsWindows Client Azure Information Protection avec l’Explorateur de fichiersAzure Information Protection client with File Explorer Protection : ouiProtection: Yes

Utilisation : ouiConsumption: Yes
WindowsWindows Visionneuse Azure Information ProtectionAzure Information Protection Viewer Protection : non applicableProtection: Not applicable

Utilisation : ouiConsumption: Yes
WindowsWindows Client Azure Information Protection avec les applets de commande d’étiquetage PowerShellAzure Information Protection client with PowerShell labeling cmdlets Protection : ouiProtection: Yes

Utilisation : ouiConsumption: Yes
WindowsWindows Scanneur Azure Information ProtectionAzure Information Protection scanner Protection : ouiProtection: Yes

Utilisation : ouiConsumption: Yes
WindowsWindows Application de partage Rights ManagementRights Management sharing app Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
MacOSMacOS Office pour MacOffice for Mac

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
MacOSMacOS Office pour MacOffice for Mac

- Outlook- Outlook
Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
MacOSMacOS Application de partage Rights ManagementRights Management sharing app Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
iOSiOS Office MobileOffice Mobile

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
iOSiOS Office MobileOffice Mobile

- Outlook-Outlook
Protection : nonProtection: No

Utilisation : nonConsumption: No
iOSiOS Visionneuse Azure Information ProtectionAzure Information Protection Viewer Protection : non applicableProtection: Not applicable

Utilisation : ouiConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : nonProtection: No

Utilisation : ouiConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Outlook- Outlook
Protection : nonProtection: No

Utilisation : nonConsumption: No
AndroidAndroid Visionneuse Azure Information ProtectionAzure Information Protection Viewer Protection : non applicableProtection: Not applicable

Utilisation : ouiConsumption: Yes
WebWeb Outlook sur le webOutlook on the web Protection : nonProtection: No

Utilisation : nonConsumption: No
WebWeb Office OnlineOffice Online

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : nonProtection: No

Utilisation : nonConsumption: No
UniversalUniversal Applications Office UniversalOffice Universal apps

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protection : nonProtection: No

Utilisation : nonConsumption: No

Limitations supplémentaires lors de l’utilisation de la solution HYOKAdditional limitations when using HYOK

L’utilisation de la protection HYOK avec des étiquettes Azure Information Protection présente les autres limitations suivantes :Additionally, using HYOK protection with Azure Information Protection labels has the following limitations:

  • Absence de prise en charge d’Office 2010 ou Office 2007.Does not support Office 2010 or Office 2007.

  • Les services Office 365 et autres services en ligne ne peuvent pas déchiffrer les documents et e-mails protégés par HYOK pour inspecter leur contenu et effectuer les actions nécessaires.Office 365 services and other online services will not be able to decrypt HYOK-protected documents and emails to inspect the content and take action on them. Cette limitation s’étend aux documents et e-mails protégés par HYOK et auxquels s’applique une protection du connecteur Rights Management.This limitation extends to HYOK-protected documents and emails that have been protected with the Rights Management connector.

    Cette perte de fonctionnalités pour les e-mails protégés par HYOK inclut les scanneurs anti-programme malveillant, les solutions de prévention contre la perte de données (DLP), les règles de routage des e-mails, la journalisation, eDiscovery, les solutions d’archivage et Exchange ActiveSync.This loss of functionality for HYOK-protected email includes malware scanners, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync. De plus, les utilisateurs risquent de ne pas comprendre pourquoi certains appareils ne peuvent pas ouvrir leurs e-mails protégés par HYOK, et vont appeler votre support technique pour obtenir de l’aide.In addition, users won't understand why some devices cannot open their HYOK-protected emails, and this can result in calls to your help desk. En raison de toutes ces limitations, nous vous déconseillons d’appliquer une protection HYOK aux e-mails.Because of these many limitations, we do not recommend that you use HYOK protection for emails.

Implémentation de la protection HYOKImplementing HYOK

La protection HYOK est prise en charge par Azure Information Protection quand vous avez un déploiement Active Directory Rights Management Services (AD RMS) opérationnel qui remplit les exigences décrites dans la section suivante.HYOK is supported by Azure Information Protection when you have a working Active Directory Rights Management Services (AD RMS) deployment with the requirements that are documented in the next section. Dans ce scénario, les stratégies de droits d’utilisation et la clé privée de l’organisation qui protège ces stratégies sont gérées et conservées en local, tandis que la stratégie Azure Information Protection pour l’étiquetage et la classification est gérée et stockée dans Azure.In this scenario, the usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

L’utilisation de la protection HYOK pour Azure Information Protection ne doit pas être confondue avec l’utilisation d’un déploiement complet d’AD RMS et d’Azure Information Protection, et ne remplace pas non plus une migration d’AD RMS vers Azure Information Protection.Do not confuse HYOK and Azure Information Protection with using a full deployment of AD RMS and Azure Information Protection, or as an alternative to migrating AD RMS to Azure Information Protection. La protection HYOK est uniquement prise en charge avec l’étiquetage, elle n’offre pas de parité de fonctionnalités avec AD RMS et elle ne prend pas en charge toutes les configurations de déploiement d’AD RMS :HYOK is only supported by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations:

Prérequis d’un déploiement AD RMS pour prendre en charge HYOKRequirements for AD RMS to support HYOK

Un déploiement AD RMS doit remplir les prérequis suivants pour prendre en charge la protection HYOK avec les étiquettes Azure Information Protection.An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels.

  • Configuration d’AD RMS :AD RMS configuration:

    • Version minimale de Windows Server 2012 R2 : obligatoire pour les environnements de production, mais à des fins de test ou d’évaluation, vous pouvez utiliser une version minimale de Windows Server 2008 R2 avec Service Pack 1.Minimal version of Windows Server 2012 R2: Required for production environments but for testing or evaluation purposes, you can use a minimal version of Windows Server 2008 R2 with Service Pack 1.

    • Une des topologies suivantes :One of the following topologies:

      • Forêt unique avec un seul cluster racine AD RMS.Single forest with a single AD RMS root cluster.

      • Plusieurs forêts avec des clusters racines AD RMS indépendants, les utilisateurs n’ayant pas accès au contenu protégé par les utilisateurs des autres forêts.Multiple forests with independent AD RMS root clusters and users don't have access to the content that's protected by the users in the other forests.

      • Plusieurs forêts avec des clusters AD RMS dans chacune d’elles.Multiple forests with AD RMS clusters in each of them. Chaque cluster AD RMS partage une URL de licence qui pointe vers le même cluster AD RMS.Each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster. Sur ce cluster AD RMS, vous devez importer tous les certificats de domaine utilisateur approuvé à partir de tous les autres clusters AD RMS.On this AD RMS cluster, you must import all the trusted user domain (TUD) certificates from all the other AD RMS clusters. Pour plus d’informations sur cette topologie, consultez Domaine d’utilisateur approuvé.For more information about this topology, see Trusted User Domain.

      Quand vous avez plusieurs clusters AD RMS dans des forêts distinctes, supprimez toutes les étiquettes de la stratégie globale qui appliquent la protection HYOK (AD RMS) et qui configurent une stratégie délimitée pour chaque cluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster. Affectez ensuite les utilisateurs de chaque cluster à leur stratégie délimitée, en vous assurant que vous n’utilisez pas des groupes qui entraîneraient l’affectation d’un utilisateur à plusieurs stratégies délimitées.Then, assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy. Chaque utilisateur doit avoir des étiquettes pour un seul cluster AD RMS.The result should be that each user has labels for one AD RMS cluster only.

    • Mode de chiffrement 2: vous pouvez confirmer le mode en vérifiant les propriétés du cluster AD RMS, onglet Général.Cryptographic Mode 2: You can confirm the mode by checking the AD RMS cluster properties, General tab.

    • Chaque serveur AD RMS est configuré pour l’URL de certification.Each AD RMS server is configured for the certification URL. InstructionsInstructions

    • Un point de connexion de service (SCP) n’est pas inscrit dans Active Directory : aucun SCP n’est utilisé quand vous appliquez la protection AD RMS avec Azure Information Protection.A service connection point (SCP) is not registered in Active Directory: An SCP is not used when you use AD RMS protection with Azure Information Protection.

      • Si vous avez inscrit un SCP pour votre déploiement AD RMS, vous devez le supprimer pour que la découverte du service fonctionne pour la protection Azure Rights Management.If you have a registered an SCP for your AD RMS deployment, you must remove it so that service discovery is successful for Azure Rights Management protection.

      • Si vous installez un nouveau cluster AD RMS pour HYOK, ignorez l’étape qui consiste à inscrire le SCP lors de la configuration du premier nœud.If you are installing a new AD RMS cluster for HYOK, skip the step to register the SCP during the configuration of the first node. Pour chaque nœud supplémentaire, assurez-vous que le serveur est configuré pour l’URL de certification avant d’ajouter le rôle AD RMS et de rejoindre le cluster existant.For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.

    • Les serveurs AD RMS sont configurés pour utiliser SSL/TLS avec un certificat x.509 valide qui est approuvé par les clients qui se connectent : obligatoire pour les environnements de production, mais non obligatoire à des fins de test ou d’évaluation.The AD RMS servers are configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients: Required for production environments but not required for testing or evaluation purposes.

    • Modèles de droits configurés.Configured rights templates.

    • Pas de configuration pour Exchange IRM.Not configured for Exchange IRM.

    • Pour les appareils mobiles et les ordinateurs Mac : Active Directory Rights Management Services Mobile Device Extension est installé et configuré.For mobile devices and Mac computers: The Active Directory Rights Management Services Mobile Device Extension is installed and configured.

  • La synchronisation d’annuaires est configurée entre votre annuaire Active Directory local et votre annuaire Azure Active Directory, et les utilisateurs qui utilisent la protection HYOK sont configurés pour l’authentification unique.Directory synchronization is configured between your on-premises Active Directory and Azure Active Directory, and users who will use HYOK protection are configured for single sign-on.

  • Si vous partagez des documents ou des e-mails protégés par HYOK avec des personnes extérieures à votre organisation : AD RMS est configuré pour des approbations définies explicitement dans une relation de point à point directe avec les autres organisations à l’aide de domaines d’utilisateurs approuvés ou d’approbations fédérées créés au moyen des services de fédération Active Directory (AD FS).If you share documents or emails that are protected by HYOK with others outside your organization: AD RMS is configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations by using either trusted user domains (TUDs) or federated trusts that are created by using Active Directory Federation Services (AD FS).

  • Les utilisateurs exécutent Office Professionnel Plus 2016 ou Office Professionnel Plus 2013 avec Service Pack 1 sur Windows 7 Service Pack 1 ou version ultérieure.Users have a version of Office that is Office 2016 Professional Plus or Office 2013 Professional Plus with Service Pack 1, running on Windows 7 Service Pack 1 or later. Notez qu’Office 2010 et Office 2007 ne sont pas pris en charge dans ce scénario.Note that Office 2010 and Office 2007 are not supported for this scenario.

Important

Pour garantir un niveau de protection HYOK maximal, placez si possible vos serveurs AD RMS à l’extérieur de votre réseau de périmètre et limitez leur accès uniquement à des appareils gérés.To fulfill the high assurance that HYOK protection offers, we recommend that your AD RMS servers are not located in your DMZ, and that they are used by only managed devices.

Nous recommandons également que votre cluster AD RMS utilise un HSM, pour que la clé privée de votre certificat de licence serveur ne puisse pas être exposée ou volée en cas de violation ou de compromission de la sécurité de votre déploiement AD RMS.We also recommend that your AD RMS cluster uses a hardware security module (HSM), so that the private key for your Server Licensor Certificate (SLC) cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Pour obtenir des informations et des instructions sur le déploiement pour AD RMS, consultez Services AD RMS (Active Directory Rights Management Services) dans la bibliothèque Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Configuration de serveurs AD RMS pour localiser l’URL de certificationConfiguring AD RMS servers to locate the certification URL

  1. Sur chaque serveur AD RMS dans le cluster, créez l’entrée de registre suivante :On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"

    Pour la <valeur de chaîne>, spécifiez l’une des valeurs suivantes :For the <string value>, specify one of the following:

    • Pour les clusters AD RMS utilisant SSL/TLS :For AD RMS clusters using SSL/TLS:

        https://<cluster_name>/_wmcs/certification/certification.asmx
      
    • Pour les clusters AD RMS qui n’utilisent pas SSL/TLS (test des réseaux uniquement) :For AD RMS clusters not using SSL/TLS (testing networks only):

        http://<cluster_name>/_wmcs/certification/certification.asmx
      
  2. Redémarrez IIS.Restart IIS.

Recherche d’informations pour spécifier la protection AD RMS avec une étiquette Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

Quand vous configurez une étiquette pour la protection HYOK (AD RMS), vous devez spécifier l’URL de licence de votre cluster AD RMS.When you configure a label for HYOK (AD RMS) protection, you must specify the licensing URL of your AD RMS cluster. Par ailleurs, vous devez spécifier un modèle que vous avez configuré pour les autorisations à accorder aux utilisateurs ou permettre aux utilisateurs de définir les autorisations et les utilisateurs.In addition, you must specify either a template that you've configured for the permissions to grant users, or let users define the permissions and users.

Les valeurs du GUID de modèle et de l’URL de licence sont disponibles dans la console des services AD RMS (Active Directory Rights Management Services) :You can find the template GUID and licensing URL values from the Active Directory Rights Management Services console:

  • Pour rechercher le GUID du modèle : développez le cluster, puis cliquez sur Modèles de stratégies de droits.To locate a template GUID: Expand the cluster and click Rights Policy Templates. Vous pouvez ensuite copier le GUID des informations Modèles de stratégies de droits distribués à partir du modèle à utiliser.From the Distributed Rights Policy Templates information, you can then copy the GUID from the template you want to use. Par exemple : 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

  • Pour trouver l’URL de licence : cliquez sur le nom du cluster.To locate the licensing URL: Click the cluster name. Dans Détails du cluster, copiez la valeur Gestion des licences valeur sans la chaîne /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string. Par exemple : https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

    Si vous disposez d’une valeur de licence extranet et d’une valeur de licence intranet différentes : spécifiez la valeur extranet uniquement si vous voulez partager des documents ou des e-mails protégés avec des partenaires qui ont été définis avec des approbations point à point explicites.If you have an extranet licensing value as well as an intranet licensing value, and they are different: Specify the extranet value only if you will share protected documents or emails with partners that you have defined with explicit point-to-point trusts. Sinon, utilisez la valeur intranet et vérifiez que tous les ordinateurs clients qui utilisent la protection AD RMS avec Azure Information Protection se connectent au moyen d’une connexion intranet (par exemple, les ordinateurs distants utilisent une connexion VPN).Otherwise, use the intranet value and make sure that all your client computers that use AD RMS protection with Azure Information Protection connect by using an intranet connection (for example, remote computers use a VPN connection).

Étapes suivantesNext steps

Pour savoir comment configurer une étiquette pour la protection HYOK, consultez Comment configurer une étiquette pour la protection offerte par Rights Management.To configure a label for HYOK protection, see How to configure a label for Rights Management protection.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.