Comment configurer une étiquette pour la protection offerte par Rights ManagementHow to configure a label for Rights Management protection

S’applique à : Azure Information ProtectionApplies to: Azure Information Protection

Vous pouvez protéger vos documents et e-mails les plus sensibles à l’aide d’un service Rights Management.You can protect your most sensitive documents and emails by using a Rights Management service. Ce service utilise des stratégies de chiffrement, d’identité et d’autorisation pour vous aider à éviter les pertes de données.This service uses encryption, identity, and authorization policies to help prevent data loss. La protection est appliquée quand une étiquette est configurée de manière à utiliser la protection Rights Management pour les documents et les e-mails. Les utilisateurs peuvent aussi sélectionner l’option Ne pas transférer dans Outlook.The protection is applied with a label that is configured to use Rights Management protection for documents and emails, and users can also select the Do not forward button in Outlook.

Quand votre étiquette est configurée avec le paramètre de protection Azure (clé cloud), en arrière-plan, cette action crée et configure un modèle de protection qui est ensuite accessible pour les services et applications qui sont intégrés aux modèles Rights Management.When your label is configured with the protection setting of Azure (cloud key), under the covers, this action creates and configures a protection template that can then be accessed by services and applications that integrate with Rights Management templates. Par exemple, Exchange Online et les règles de flux d’e-mail et Outlook sur le web.For example, Exchange Online and mail flow rules, and Outlook on the web.

Fonctionnement de la protectionHow the protection works

Quand un document ou un e-mail est protégé par un service Rights Management, il est chiffré au repos et en transit.When a document or email is protected by a Rights Management service, it is encrypted at rest and in transit. Il peut ensuite être uniquement déchiffré par les utilisateurs autorisés.It can then be decrypted only by authorized users. Ce chiffrement est conservé avec le document ou l’e-mail, même si ce dernier est renommé.This encryption stays with the document or email, even if it is renamed. En outre, vous pouvez configurer des droits d’utilisation et des restrictions, comme dans les exemples suivants :In addition, you can configure usage rights and restrictions, such as the following examples:

  • Seuls les utilisateurs de votre organisation peuvent ouvrir le document ou l’e-mail confidentiel de l’entreprise.Only users within your organization can open the company-confidential document or email.

  • Seuls les utilisateurs du service marketing peuvent modifier et imprimer le document ou l’e-mail d’annonce de la promotion. Tous les autres utilisateurs de votre organisation peuvent uniquement lire le document ou l’e-mail.Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read this document or email.

  • Les utilisateurs ne peuvent pas transférer un e-mail ou copier des informations s’y trouvant si des informations sur une réorganisation interne s’y trouvent.Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • Il est impossible d’ouvrir la liste de prix actuelle envoyée à des partenaires commerciaux après une date spécifiée.The current price list that is sent to business partners cannot be opened after a specified date.

Pour plus d’informations sur la protection Azure Rights Management et son fonctionnement, consultez Qu’est-ce qu’Azure Rights Management ?For more information about the Azure Rights Management protection and how it works, see What is Azure Rights Management?

Important

Pour configurer une étiquette pour appliquer cette protection, le service Azure Rights Management doit être activé pour votre organisation.To configure a label to apply this protection, the Azure Rights Management service must be activated for your organization. Pour plus d’informations, consultez Activation d’Azure Rights Management.For more information, see Activating Azure Rights Management.

Quand l’étiquette applique une protection, il n’est pas approprié d’enregistrer un document protégé sur SharePoint ou OneDrive.When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. Ces emplacements ne prennent pas en charge les fonctionnalités suivantes pour les fichiers protégés : co-édition, Office Online, recherche, aperçu du document, miniature, eDiscovery et protection contre la perte de données (DLP).These locations do not support the following features for protected files: Co-authoring, Office Online, search, document preview, thumbnail, eDiscovery, and data loss prevention (DLP).

Exchange ne doit pas être configuré pour Azure Information Protection avant que les utilisateurs ne puissent appliquer des étiquettes dans Outlook pour protéger leurs e-mails.Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to protect their emails. Toutefois, tant qu’Exchange n’est pas configuré pour Azure Information Protection, vous n’obtenez pas toutes les fonctionnalités de la protection Azure Rights Management avec Exchange.However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange. Par exemple, les utilisateurs ne peuvent pas afficher des e-mails protégés sur un téléphone mobile ou dans la version web d’Outlook. Les e-mails protégés ne peuvent pas être indexés pour la recherche et vous ne pouvez pas configurer la DLP Exchange Online pour la protection Rights Management.For example, users cannot view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection. Pour qu’Exchange puisse prendre en charge ces scénarios supplémentaires, consultez les ressources suivantes :To ensure that Exchange can support these additional scenarios, see the following resources:

Pour configurer une étiquette pour les paramètres de protectionTo configure a label for protection settings

  1. Si vous ne l’avez pas déjà fait, ouvrez une nouvelle fenêtre de navigateur et connectez-vous au portail Azure.If you haven't already done so, open a new browser window and sign in to the Azure portal. Accédez ensuite au panneau Azure Information Protection.Then navigate to the Azure Information Protection blade.

    Par exemple, dans le menu hub, cliquez sur Tous les services et tapez Informations dans la zone Filtrer.For example, on the hub menu, click All services and start typing Information in the Filter box. Sélectionnez Azure Information Protection.Select Azure Information Protection.

  2. À partir de l’option de menu CLASSIFICATIONS > Étiquettes : dans le panneau Azure Information Protection - Étiquettes, sélectionnez l’étiquette que vous souhaitez changer.From the CLASSIFICATIONS > Labels menu option: On the Azure Information Protection - Labels blade, select the label you want to change.

  3. Dans le panneau Étiquette, recherchez la zone Définir des autorisations pour les documents et les e-mails contenant cette étiquette, puis sélectionnez une des options suivantes :On the Label blade, locate Set permissions for documents and emails containing this label, and select one of the following options:

    • Non configuré : sélectionnez cette option si l’étiquette est actuellement configurée pour appliquer la protection et que vous ne voulez plus qu’elle le fasse.Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. Passez ensuite à l'étape 11.Then go to step 11.

      Les paramètres de protection précédemment configurés sont conservés sous la forme de modèle de protection archivé et réapparaissent si vous redéfinissez l’option sur Protéger.The previously configured protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Vous ne voyez pas ce modèle dans le portail Azure, mais si besoin, vous pouvez toujours le gérer à l’aide de PowerShell.You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. Ce comportement signifie que le contenu reste accessible s’il a cette étiquette avec les paramètres de protection appliqués précédemment.This behavior means that content remains accessible if it has this label with the previously applied protection settings.

    • Protéger : sélectionnez cette option pour appliquer la protection, puis passez à l’étape 5 pour configurer les paramètres de protection.Protect: Select this option to apply protection, and then go to step 5 to configure protection settings.

      Remarque : Vous pouvez enregistrer une nouvelle étiquette à ce stade sans configuration supplémentaire.Note: You could save a new label at this stage without further configuration. Si vous le faites, l’étiquette est configurée pour appliquer une protection telle que seule la personne qui applique l’étiquette peut ouvrir le document ou l’e-mail sans restriction d’utilisation.If you do, the label is configured to apply protection such that only the person who applies the label can open the document or email with no usage restrictions. Dans certains cas, cela peut être le résultat requis, afin qu’un utilisateur puisse enregistrer un fichier dans n’importe quel emplacement et être assuré d’être le seul à pouvoir l’ouvrir.In some cases, this might be the required outcome, so that a user can save a file to any location and be assured that only they can open it. Si ce résultat correspond à vos besoins et qu’aucun autre utilisateur n’est tenu de collaborer sur le contenu protégé, passez directement à l’étape 12 au lieu de l’étape 5.If this outcome matches your requirement and others are not required to collaborate on the protected content, go straight to step to 12 instead of step 5.

    • Supprimer la protection : Sélectionnez cette option pour supprimer la protection si un document ou un e-mail est protégé.Remove Protection: Select this option to remove protection if a document or email is protected. Passez ensuite à l'étape 11.Then go to step 11.

      Les paramètres de protection précédemment configurés sont conservés sous la forme de modèle de protection archivé et réapparaissent si vous redéfinissez l’option sur Protéger.The previously configured protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Vous ne voyez pas ce modèle dans le portail Azure, mais si besoin, vous pouvez toujours le gérer à l’aide de PowerShell.You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. Ce comportement signifie que le contenu reste accessible s’il a cette étiquette avec les paramètres de protection appliqués précédemment.This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      Notez que pour que les utilisateurs puissent appliquer une étiquette avec cette option, ils doivent avoir les autorisations nécessaires pour supprimer la protection Rights Management.Note that for users to apply a label that has this option, they must have permissions to remove Rights Management protection. Cela signifie que les utilisateurs doivent avoir le droit d’utilisation Exporter ou Contrôle total.This requirement means that users must have the Export or Full Control usage right. ou ils doivent être propriétaires de Rights Management (ce qui accorde automatiquement le droit d’utilisation Contrôle total), ou être un super utilisateur dans Azure Rights Management.Or, they must be the Rights Management owner (which automatically grants the Full Control usage right), or be a super user for Azure Rights Management. Les modèles Azure Rights Management par défaut n’incluent pas les droits d’utilisation qui permettent aux utilisateurs de supprimer la protection.The default Azure Rights Management templates do not include the usage rights that let users remove protection.

      Si les utilisateurs n’ont pas les autorisations nécessaires pour supprimer la protection Rights Management et qu’ils sélectionnent une étiquette configurée avec l’option Supprimer la protection, ils reçoivent le message suivant : Azure Information Protection ne peut pas appliquer cette étiquette. Si le problème persiste, contactez votre administrateur.If users do not have permissions to remove Rights Management protection, and they select a label that is configured with this Remove Protection option, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  4. Si vous avez sélectionné Protéger, sélectionnez maintenant Protection pour ouvrir le panneau Protection :If you selected Protect, now select Protection to open the Protection blade:

    Configurer la protection d’une étiquette Azure Information Protection

  5. Dans le panneau Protection, sélectionnez Azure (clé du cloud) ou HYOK (AD RMS).On the Protection blade, select Azure (cloud key) or HYOK (AD RMS).

    Dans la plupart des cas, sélectionnez Azure (clé du cloud) pour vos paramètres d’autorisation.In most cases, select Azure (cloud key) for your permission settings. Ne sélectionnez HYOK (AD RMS) que si vous avez lu et compris les prérequis et les restrictions qui accompagnent cette configuration « conservez votre propre clé » (HYOK, hold your own key).Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. Pour plus d’informations, consultez HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMS.For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. Pour poursuivre la configuration de la fonction HYOK (AD RMS), passez à l’étape 9.To continue the configuration for HYOK (AD RMS), go to step 9.

  6. Sélectionnez l’une des options suivantes :Select one of the following options:

    • Définir des autorisations : Permet de définir de nouveaux paramètres de protection dans ce portail.Set permissions: To define new protection settings in this portal.

    • Configurer des autorisations définies par l’utilisateur (préversion) : permet aux utilisateurs de spécifier qui doit avoir des autorisations et quelles sont ces autorisations.Set user-defined permissions (Preview): To let users specify who should be granted permissions and what those permissions are. Vous pouvez ensuite affiner cette option et choisir Outlook uniquement ou Word, Excel, PowerPoint et l’Explorateur de fichiers.You can then refine this option and choose Outlook only, or Word, Excel, PowerPoint, and File Explorer. Cette option n’est pas prise en charge et ne fonctionne pas quand une étiquette est configurée pour une classification automatique.This option is not supported, and does not work, when a label is configured for automatic classification.

      Si vous choisissez l’option pour Outlook : l’étiquette est affichée dans Outlook et le comportement obtenu quand les utilisateurs appliquent l’étiquette est identique à celui de l’option Ne pas transférer.If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

      Si vous choisissez l’option pour Word, Excel, PowerPoint et l’Explorateur de fichiers : Quand cette option est définie, l’étiquette est affichée dans ces applications.If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. Le comportement obtenu quand les utilisateurs appliquent l’étiquette affiche la boîte de dialogue pour permettre aux utilisateurs de sélectionner des autorisations personnalisées.The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. Dans cette boîte de dialogue, les utilisateurs doivent spécifier les autorisations, les utilisateurs ou les groupes et une date d’expiration.In this dialog box, users must specify the permissions, the users or groups, and any expiry date. Vérifiez que les utilisateurs disposent des instructions et des conseils qui permettent de fournir ces valeurs.Make sure that users have instructions and guidance how to supply these values.

    • Sélectionner un modèle prédéfini : utilisez un des modèles par défaut ou un modèle personnalisé que vous avez configuré.Select a predefined template: To use one of the default templates or a custom template that you've configured. Notez que cette option ne s’affiche pas si vous modifiez une étiquette qui utilisait l’option Définir les autorisations.Note that this option does not display if you are editing a label that previously used the Set permissions option.

      Pour sélectionner un modèle prédéfini, le modèle doit être publié (pas archivé) et ne pas être déjà lié à une autre étiquette.To select a predefined template, the template must be published (not archived) and must not be linked already to another label. Quand vous sélectionnez cette option, vous pouvez utiliser un bouton Modifier le modèle pour convertir le modèle en étiquette.When you select this option, you can use an Edit Template button to convert the template into a label.

      Conseil : Si vous avez l’habitude de créer et de modifier des modèles personnalisés, il peut s’avérer utile de consulter Tâches que vous aviez l’habitude d’effectuer avec le portail Azure Classic.Tip: If you are used to creating and editing custom templates, you might find it useful to reference Tasks that you used to do with the Azure classic portal.

  7. Si vous avez sélectionné Définir les autorisations pour Azure (clé du cloud), cette option vous permet de configurer les mêmes paramètres que ceux que vous pouvez configurer dans un modèle.If you selected Set permissions for Azure (cloud key), this option lets you configure the same settings that you can configure in a template.

    Sélectionnez Ajouter des autorisations puis, dans le panneau Ajouter des autorisations, sélectionnez le premier ensemble d’utilisateurs et de groupes qui auront des droits d’utilisation du contenu à protéger par l’étiquette sélectionnée :Select Add permissions, and on the Add permissions blade, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • Choisissez Sélectionner dans la liste pour ajouter tous les utilisateurs de votre organisation en sélectionnant Ajouter <nom de l’organisation > - Tous les membres.Choose Select from the list to add all users from your organization by selecting Add <organization name> - All members. Ce paramètre exclut les comptes invités.This setting excludes guest accounts. Ou, accédez au répertoire.Or, or browse the directory.

      Les utilisateurs ou les groupes doivent avoir une adresse e-mail.The users or groups must have an email address. Dans un environnement de production, les utilisateurs et les groupes ont presque toujours une adresse e-mail, mais dans un simple environnement de test, vous devrez peut-être ajouter des adresses e-mail aux comptes d’utilisateur ou aux groupes.In a production environment, users and groups nearly always have an email address, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

    • Choisissez Entrer les détails pour spécifier manuellement des adresses e-mail pour les utilisateurs individuels ou les groupes (internes ou externes).Choose Enter details to manually specify email addresses for individual users or groups (internal or external). Vous pouvez utiliser cette option pour spécifier tous les utilisateurs d’une autre organisation en entrant un nom de domaine de cette organisation.Or, use this option to specify all users in another organization by entering any domain name from that organization. Vous pouvez aussi utiliser cette option pour les fournisseurs de réseaux sociaux, en entrant leur nom de domaine comme gmail.com, hotmail.com ou outlook.com.You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

      Note

      Si une adresse e-mail est modifiée une fois que vous avez sélectionné l’utilisateur ou le groupe, consultez la section Éléments à prendre en considération en cas de modification des adresses de messagerie de la documentation relative à la planification.If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      Au titre de bonne pratique, utilisez des groupes plutôt que des utilisateurs.As a best practice, use groups rather than users. Cette stratégie permet d’avoir une configuration plus simple et rend moins probable le besoin de mettre à jour par la suite votre configuration d’étiquettes et la reprotection du contenu.This strategy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. Toutefois, si vous apportez des modifications à ce groupe, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe.However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

      Quand vous avez spécifié le premier ensemble d’utilisateurs et de groupes, sélectionnez les autorisations à leur accorder.When you have specified the first set of users and groups, select the permissions to grant these users and groups. Pour plus d’informations sur les autorisations disponibles, consultez Configuration des droits d’utilisation pour Azure Rights Management.For more information about the permissions that you can select, see Configuring usage rights for Azure Rights Management. Cependant, la manière dont les applications qui prennent en charge cette protection implémentent ces autorisations peut varier.However, applications that support this protection might vary in how they implement these permissions. Consultez la documentation des applications et testez vous-mêmes celles dont les utilisateurs se servent afin de vérifier leur comportement avant de déployer le modèle pour les utilisateurs.Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

      Si nécessaire, vous pouvez maintenant ajouter un deuxième ensemble d’utilisateurs et de groupes avec des droits d’utilisation.If required, you can now add a second set of users and groups with usage rights. Répétez cette opération jusqu’à avoir spécifié tous les utilisateurs et les groupes avec leurs autorisations respectives.Repeat until you have specified all the users and groups with their respective permissions.

      Conseil

      Ajoutez l’autorisation personnalisée Enregistrer sous, Exporter (EXPORTER) et accordez-la à des administrateurs de récupération de données ou à d’autres personnes dans l’entreprise ayant la responsabilité de récupérer des informations.Consider adding the Save As, Export (EXPORT) custom permission and grant this permission to data recovery administrators or personnel in other roles that have responsibilities for information recovery. Si nécessaire, ces utilisateurs peuvent alors supprimer la protection des fichiers et des e-mails qui seront protégés à l’aide de cette étiquette ou de ce modèle.If needed, these users can then remove protection from files and emails that will be protected by using this label or template. Cette possibilité de supprimer la protection au niveau des autorisations pour un document ou un e-mail offre un contrôle plus précis que la fonctionnalité de super utilisateur.This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

      Pour tous les utilisateurs et les groupes que vous avez spécifiés dans le panneau Protection, vérifiez maintenant si des modifications doivent être apportées aux paramètres suivants.For all the users and groups that you specified, on the Protection blade, now check whether you want to make any changes to the following settings. Notez que ces paramètres, comme avec les autorisations, ne s’appliquent pas à l’émetteur ou au propriétaire de Rights Management, ou n’importe quel super utilisateur que vous avez affecté.Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

      Informations sur les paramètres de protectionInformation about the protection settings
      ParamètreSetting Plus d’informationsMore information Paramètre recommandéRecommended setting
      expiration du contenucontent expiration Définissez une date ou un nombre de jours limites pour l’ouverture par les utilisateurs sélectionnés des documents ou e-mails protégés par ces paramètres.Define a date or number of days for when documents or emails that are protected by these settings should not open for the selected users. Vous pouvez spécifier une date ou un nombre de jours à partir du moment où la protection est appliquée au contenu.You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

      Lorsque vous spécifiez une date, celle-ci prend effet à minuit, dans votre fuseau horaire actuel.When you specify a date, it is effective midnight, in your current time zone.
      Le contenu n’expire jamais, sauf s'il comporte une spécification de durée.Content never expires unless the content has a specific time-bound requirement.
      Autoriser l’accès hors connexionAllow offline access Utilisez ce paramètre pour équilibrer les éventuelles exigences de sécurité que vous avez (dont l’accès après la révocation) avec la possibilité pour les utilisateurs sélectionnés d’ouvrir du contenu protégé lorsqu’ils ne disposent pas d’une connexion Internet.Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an Internet connection.

      Si vous spécifiez que le contenu n’est pas disponible sans connexion Internet ou que ce contenu est disponible seulement pour un nombre de jours spécifié, quand ce seuil est atteint, ces utilisateurs doivent se réauthentifier et leur accès est journalisé.If you specify that content is not available without an Internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. Dans ce cas, si leurs informations d’identification ne sont pas mises en cache, les utilisateurs sont invités à se connecter préalablement pour pouvoir ouvrir le ou e-mail.When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

      En plus de la réauthentification, la stratégie et l’appartenance au groupe d’utilisateurs sont réévaluées.In addition to reauthentication, the policy and the user group membership is reevaluated. Cela signifie que les utilisateurs peuvent accéder de nouveau ou ne plus accéder à un même document ou e-mail si des modifications ont été apportées à la stratégie ou à l'appartenance au groupe depuis leur dernier accès.This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. Cela peut inclure l’absence d’accès si le document a été révoqué.That could include no access if the document has been revoked.
      En fonction de la sensibilité du contenu :Depending on how sensitive the content is:

      - Nombre de jours pendant lesquels le contenu est disponible sans connexion Internet = 7 pour les données métier sensibles pouvant nuire à l’entreprise si elles sont partagées avec des personnes non autorisées.- Number of days the content is available without an Internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. Cette recommandation offre un compromis entre sécurité et flexibilité.This recommendation offers a balanced compromise between flexibility and security. Il peut s’agir entre autres de contrats, de rapports de sécurité, de résumés de prévision et de données commerciales.Examples include contracts, security reports, forecast summaries, and sales account data.

      - Jamais pour les données d’entreprise très sensibles qui pourraient provoquer des dommages à l’activité si elles étaient partagées avec des personnes non autorisées.- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. Cette recommandation donne la priorité à la sécurité par rapport à la souplesse et garantit que si le document est révoqué, tous les utilisateurs autorisés perdent instantanément la possibilité d’ouvrir le document.This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. Il s'agit entre autres d'informations sur les clients et les employés, les mots de passe, le code source et des rapports financiers préalablement annoncés.Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

      Une fois terminée la configuration des autorisations et des paramètres, cliquez sur OK.When you have finished configuring the permissions and settings, click OK.

      Ce regroupement de paramètres crée un modèle personnalisé pour le service Azure Rights Management.This grouping of settings creates a custom template for the Azure Rights Management service. Ces modèles peuvent être utilisés avec les applications et services qui s’intègrent à Azure Rights Management.These templates can be used with applications and services that integrate with Azure Rights Management. Pour plus d’informations sur la façon dont les ordinateurs et les services téléchargent et actualisent ces modèles, consultez Actualisation des modèles pour les utilisateurs et services.For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  8. Si vous avez choisi Sélectionner un modèle prédéfini pour Azure (clé du cloud), cliquez sur la zone de liste déroulante, puis sélectionnez le modèle à utiliser pour protéger les documents et les e-mails avec cette étiquette.If you selected Select a predefined template for Azure (cloud key), click the drop-down box and select the template that you want to use to protect documents and emails with this label. Vous ne voyez pas les modèles archivés ou les modèles qui sont déjà sélectionnés pour une autre étiquette.You do not see archived templates or templates that are already selected for another label.

    Si vous sélectionnez un modèle de service ou que vous avez configuré des contrôles d’intégration :If you select a departmental template, or if you have configured onboarding controls:

    • Les utilisateurs en dehors de l’étendue configurée du modèle ou qui sont exemptés de l’application de la protection Azure Rights Management continuent de voir l’étiquette, mais ne peuvent pas l’appliquer.Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection still see the label but cannot apply it. S’ils sélectionnent l’étiquette, ils voient le message suivant : Azure Information Protection ne peut pas appliquer cette étiquette. Si le problème persiste, contactez votre administrateur.If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      Notez que tous les modèles publiés sont toujours affichés, même si vous configurez une stratégie délimitée.Note that all published templates are always shown, even if you are configuring a scoped policy. Par exemple, vous configurez une stratégie délimitée au groupe Marketing.For example, you are configuring a scoped policy for the Marketing group. Les modèles que vous pouvez sélectionner ne se limitent pas aux modèles délimités au groupe Marketing, et il est possible de sélectionner un modèle de service que les utilisateurs sélectionnés ne peuvent pas utiliser.The templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. Pour faciliter la configuration et minimiser la résolution des problèmes, envisagez d’attribuer le même nom au modèle de service et à l’étiquette de votre stratégie délimitée.For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. Si vous avez sélectionné HYOK (AD RMS), sélectionnez Définir les détails des modèles AD RMS ou Configurer des autorisations définies par l’utilisateur (préversion).If you selected HYOK (AD RMS), select either Set AD RMS templates details or Set user defined permissions (Preview). Ensuite, spécifiez l’URL de licence de votre cluster AD RMS.Then specify the licensing URL of your AD RMS cluster.

    Pour obtenir des instructions afin de spécifier un GUID de modèle et votre URL de licence, consultez Recherche d’informations pour spécifier la protection AD RMS avec une étiquette Azure Information Protection.For instructions to specify a template GUID and your licensing URL, see Locating the information to specify AD RMS protection with an Azure Information Protection label.

    L’option de configuration des autorisations définies par l’utilisateur permet aux utilisateurs de spécifier qui doit avoir des autorisations et quelles sont ces autorisations.The user-defined permissions option lets users specify who should be granted permissions and what those permissions are. Vous pouvez ensuite affiner cette option et choisir Outlook uniquement (la valeur par défaut) ou Word, Excel, PowerPoint et l’Explorateur de fichiers.You can then refine this option and choose Outlook only (the default), or Word, Excel, PowerPoint, and File Explorer. Cette option n’est pas prise en charge et ne fonctionne pas quand une étiquette est configurée pour une classification automatique.This option is not supported, and does not work, when a label is configured for automatic classification.

    Si vous choisissez l’option pour Outlook : l’étiquette est affichée dans Outlook et le comportement obtenu quand les utilisateurs appliquent l’étiquette est identique à celui de l’option Ne pas transférer.If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

    Si vous choisissez l’option pour Word, Excel, PowerPoint et l’Explorateur de fichiers : l’étiquette est affichée dans ces applications.If you choose the option for Word, Excel, PowerPoint, and File Explorer: The label is displayed in these applications. Le comportement obtenu quand les utilisateurs appliquent l’étiquette affiche la boîte de dialogue pour permettre aux utilisateurs de sélectionner des autorisations personnalisées.The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. Dans cette boîte de dialogue, les utilisateurs doivent spécifier les autorisations, les utilisateurs ou les groupes et une date d’expiration.In this dialog box, users must specify the permissions, the users or groups, and any expiry date. Vérifiez que les utilisateurs disposent des instructions et des conseils qui permettent de fournir ces valeurs.Make sure that users have instructions and guidance how to supply these values.

  10. Cliquez sur OK pour fermer le panneau Protection et voir apparaître la valeur que vous avez choisie pour Ne pas transférer ou le modèle que vous avez sélectionné pour l’option Protection dans le panneau Étiquette.Click OK to close the Protection blade and see your choice of User defined or your chosen template display for the Protection option in the Label blade.

  11. Dans le panneau Étiquette, cliquez sur Enregistrer.On the Label blade, click Save.

  12. Dans le panneau Azure Information Protection, utilisez la colonne PROTECTION pour vérifier que votre étiquette affiche maintenant le paramètre de protection souhaité :On the Azure Information Protection blade, use the PROTECTION column to confirm that your label now displays the protection setting that you want:

    • Une coche si vous avez configuré la protection.A check mark if you have configured protection.

    • Une croix (x) pour désigner l’annulation si vous avez configuré une étiquette pour supprimer la protection.An x mark to denote cancellation if you have configured a label to remove protection.

    • Champ vide quand la protection n’est pas définie.A blank field when protection is not set.

Une fois que vous avez cliqué sur Enregistrer, vos modifications sont automatiquement disponibles pour les utilisateurs et les services.When you clicked Save, your changes are automatically available to users and services. Il n’y a plus d’option de publication distincte.There's no longer a separate publish option.

Exemples de configurationsExample configurations

Les sous-étiquettes Tous les employés et Destinataires uniquement des étiquettes Confidentiel et Hautement confidentiel de la stratégie par défaut fournissent des exemples de configurations d’étiquettes qui appliquent une protection.The All Employees and Recipients Only sublabels from the Confidential and High Confidential labels from the default policy provide examples of how you can configure labels that apply protection. Vous pouvez également utiliser les exemples suivants pour vous aider à configurer la protection pour différents scénarios.You can also use the following examples to help you configure protection for different scenarios.

Pour chaque exemple qui suit, dans votre panneau <nom de l’étiquette>, sélectionnez Protéger, puis Protection pour ouvrir le panneau Protection.For each example that follows, on your <label name> blade, select Protect and then select Protection to open the Protection blade.

Exemple 1 : Étiquette qui applique Ne pas transférer pour envoyer un e-mail protégé à un compte GmailExample 1: Label that applies Do Not Forward to send a protected email to a Gmail account

Cette étiquette est uniquement disponible dans Outlook et convient quand Exchange Online est configuré pour les nouvelles fonctionnalités dans Chiffrement de messages Office 365.This label is available only in Outlook and is suitable when Exchange Online is configured for the new capabilities in Office 365 Message Encryption. Demandez aux utilisateurs de sélectionner cette étiquette quand ils ont besoin d’envoyer un e-mail protégé à des personnes qui utilisent un compte Gmail (ou tout autre compte e-mail à l’extérieur de votre organisation).Instruct users to select this label when they need to send a protected email to people using a Gmail account (or any other email account outside your organization).

Vos utilisateurs tapent l’adresse e-mail Gmail dans la zone À.Your users type the Gmail email address in the To box. Ensuite, ils sélectionnent l’étiquette et l’option Ne pas transférer est automatiquement ajoutée à l’e-mail.Then, they select the label and the Do Not Forward option is automatically added to the email. Par conséquent, les destinataires ne peuvent pas transférer l’e-mail, ni l’imprimer, le copier, enregistrer des pièces jointes ou enregistrer l’e-mail sous un autre nom.The result is that recipients cannot forward the email, or print it, copy from it, or save attachments, or save the email as a different name.

  1. Dans le panneau Protection, vérifiez que l’option Azure (clé du cloud) est sélectionnée.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Sélectionnez Configurer les autorisations définies par l’utilisateur (préversion).Select Set user-defined permissions (Preview).

  3. Vérifiez que l’option suivante est sélectionnée : Dans Outlook appliquer Ne pas transférer.Make sure that the following option is selected: In Outlook apply Do Not Forward.

  4. Si l’option suivante est cochée, décochez-la : Dans Word, Excel, PowerPoint et l’Explorateur de fichiers, demander à l’utilisateur des autorisations personnalisées.If selected, clear the following option: In Word, Excel, PowerPoint and File Explorer prompt user for custom permissions.

  5. Dans le panneau Protection, cliquez sur OK.Click OK on the Protection blade.

Exemple 2 : Étiquette qui limite l’autorisation de lecture seule à tous les utilisateurs d’une autre organisation et qui prend en charge une révocation immédiateExample 2: Label that restricts read-only permission to all users in another organization, and that supports immediate revocation

Cette étiquette convient au partage des documents très sensibles (en lecture seule) qui exigent toujours une connexion Internet pour les afficher.This label is suitable for sharing (read-only) very sensitive documents that always require an Internet connection to view it. Si l’autorisation est révoquée, les utilisateurs ne sont plus en mesure d’afficher le document la prochaine fois qu’ils tentent de l’ouvrir.If revoked, users will not be able to view the document the next time they try to open it.

Cette étiquette ne convient pas aux e-mails.This label is not suitable for emails.

  1. Dans le panneau Protection, vérifiez que l’option Azure (clé du cloud) est sélectionnée.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Vérifiez que l’option Définir les autorisations est sélectionnée, puis sélectionnez Ajouter des autorisations.Make sure that the Set permissions option is selected, and then select Add permissions.

  3. Dans le panneau Ajouter des autorisations, sélectionnez Entrez les détails.On the Add permissions blade, select Enter details.

  4. Entrez le nom d’un domaine de l’autre organisation, par exemple, fabrikam.com. Puis sélectionnez Ajouter.Enter the name of a domain from the other organization, for example, fabrikam.com. Then select Add.

  5. Dans Choisir des autorisations à partir des autorisations prédéfinies, sélectionnez Observateur, puis sélectionnez OK.From Choose permissions from preset, select Viewer, and then select OK.

  6. De retour dans le panneau Protection, pour le paramètre Autoriser l’accès hors connexion, sélectionnez Jamais.Back on the Protection blade, for Allow offline access setting, select Never.

  7. Dans le panneau Protection, cliquez sur OK.Click OK on the Protection blade.

Exemple 3 : Ajouter des utilisateurs externes à une étiquette existanteExample 3: Add external users to an existing label

Les nouveaux utilisateurs que vous ajoutez seront en mesure d’ouvrir les documents et e-mails qui ont déjà été protégés avec cette étiquette.The new users that you add will be able open documents and emails that have already been protected with this label. Les autorisations que vous accordez à ces utilisateurs peuvent être différentes de celles des utilisateurs existants.The permissions that you grant these users can be different from the permissions that the existing users have.

  1. Dans le panneau Protection, vérifiez que l’option Azure (clé cloud) est sélectionnée.On the Protection blade, make sure Azure (cloud key) is selected.

  2. Vérifiez que l’option Définir les autorisations est sélectionnée, puis sélectionnez Ajouter des autorisations.Ensure that Set permissions is selected, and then select Add permissions.

  3. Dans le panneau Ajouter des autorisations, sélectionnez Entrez les détails.On the Add permissions blade, select Enter details.

  4. Entrez l’adresse e-mail du premier utilisateur (ou groupe) à ajouter, puis sélectionnez Ajouter.Enter the email address of the first user (or group) to add, and then select Add.

  5. Sélectionnez les autorisations de cet utilisateur (ou groupe).Select the permissions for this user (or group).

  6. Répétez les étapes 4 et 5 pour chaque utilisateur (ou groupe) à ajouter à cette étiquette.Repeat steps 4 and 5 for each user (or group) that you want to add to this label. Cliquez sur OK.Then click OK.

  7. Dans le panneau Protection, cliquez sur OK.On the Protection blade, click OK.

Exemple 4 : Étiquette pour des e-mails protégés qui prend en charge des autorisations moins restrictives que l’option Ne pas transférerExample 4: Label for protected email that supports less restrictive permissions than Do Not Forward

Cette étiquette ne peut pas être limitée à Outlook, mais elle fournit des contrôles moins restrictifs que l’option Ne pas transférer.This label cannot be restricted to Outlook but does provide less restrictive controls than using Do Not Forward. Par exemple, vous voulez que les destinataires puissent copier du contenu de l’e-mail ou d’une pièce jointe, ou qu’ils puissent imprimer et enregistrer une pièce jointe.For example, you want the recipients to be able to copy from the email or an attachment, or print and save an attachment.

Si vous spécifiez des utilisateurs externes qui n’ont pas de compte dans Azure AD, demandez à vos utilisateurs de ne pas utiliser cette étiquette pour les documents, mais uniquement pour les e-mails.If you specify external users who do not have an account in Azure AD, be sure to instruct your users not to use this label for documents, only email. De plus, pour prendre en charge ces utilisateurs externes, Exchange Online doit être configuré pour les nouvelles fonctionnalités dans Chiffrement de messages Office 365.In addition, to support these external users, Exchange Online must be configured for the new capabilities in Office 365 Message Encryption.

Note

Exchange Online déploie actuellement une nouvelle option appelée Chiffrement seul.Exchange Online is rolling out a new option, Encrypt-Only. Cette option n'est pas disponible pour la configuration des étiquettes.This option is not available for label configuration. Toutefois, vous pouvez utiliser cet exemple pour configurer une étiquette avec le même ensemble de droits d’utilisation.However, you can use this example to configure a label with the same set of usage rights.

Lorsque vos utilisateurs spécifient les adresses e-mail dans la zone À, celles-ci doivent correspondre aux mêmes utilisateurs que ceux que vous spécifiez pour cette configuration d’étiquette.When your users specify the email addresses in the To box, the addresses must be for the same users that you specify for this label configuration. Étant donné que les utilisateurs peuvent appartenir à des groupes et avoir plusieurs adresses e-mail, celle qu’ils spécifient ne doit pas nécessairement correspondre exactement à l’adresse e-mail que vous spécifiez pour les autorisations.Because users can belong to groups and have more than one email address, the email address that they specify does not have to match the email address that you specify for the permissions. Toutefois, l’utilisation de la même adresse e-mail est le moyen le plus simple d’être sûr que le destinataire est autorisé.However, specifying the same email address is the easiest way to ensure that the recipient will be successfully authorized. Pour plus d’informations sur la façon dont les utilisateurs reçoivent les autorisations, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.For more information about how users are authorized for permissions, see Preparing users and groups for Azure Information Protection.

  1. Dans le panneau Protection, vérifiez que l’option Azure (clé du cloud) est sélectionnée.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Vérifiez que l’option Définir les autorisations est sélectionnée, puis sélectionnez Ajouter des autorisations.Make sure Set permissions is selected, and select Add permissions.

  3. Dans le panneau Ajouter des autorisations : pour accorder des autorisations aux utilisateurs de votre organisation, sélectionnez Ajouter <nom de l’organisation> - Tous les membres pour sélectionner tous les utilisateurs de votre locataire.On the Add permissions blade: To grant permissions to users in your organization, select Add <organization name> - All members to select all users in your tenant. Ce paramètre exclut les comptes invités.This setting excludes guest accounts. Ou sélectionnez Parcourir le répertoire pour sélectionner un groupe spécifique.Or, select Browse directory to select a specific group. Pour accorder des autorisations à des utilisateurs externes ou si vous préférez taper l’adresse e-mail, sélectionnez Entrer les détails et tapez l’adresse e-mail de l’utilisateur, le groupe Azure AD ou un nom de domaine.To grant permissions to external users or if you prefer to type the email address, select Enter details and type the email address of the user, or Azure AD group, or a domain name.

    Répétez cette étape pour spécifier des utilisateurs supplémentaires qui doivent avoir les mêmes autorisations.Repeat this step to specify additional users who should have the same permissions.

  4. Pour Choisir des autorisations à partir des autorisations prédéfinies, sélectionnez Copropriétaire, Co-auteur, Réviseur ou Personnalisé pour sélectionner les autorisations à accorder.For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Remarque : Ne sélectionnez pas Observateur pour les e-mails et si vous sélectionnez Personnalisé, veillez à inclure Modifier et enregistrer.Note: Do not select Viewer for emails and if you do select Custom, make sure that you include Edit and Save.

    Pour sélectionner les autorisations qui correspondent à la nouvelle option Chiffrement seul d’Exchange Online, sélectionnez Personnalisé.To select the same permissions that match the new Encrypt-Only option from Exchange Online, select Custom. Ensuite, sélectionnez toutes les autorisations sauf Enregistrer sous, Exporter (EXPORT) et Contrôle total (OWNER).Then select all permissions except Save As, Export (EXPORT) and Full Control (OWNER).

  5. Pour spécifier des utilisateurs supplémentaires qui doivent disposer d’autorisations différentes, répétez les étapes 3 et 4.To specify additional users who should have different permissions, repeat steps 3 and 4.

  6. Cliquez sur OK dans le panneau Ajouter des autorisations.Click OK on the Add permissions blade.

  7. Dans le panneau Protection, cliquez sur OK.On the Protection blade, click OK.

Étapes suivantesNext steps

Pour plus d’informations sur la configuration de votre stratégie Azure Information Protection, utilisez les liens figurant dans la section Configuration de la stratégie de votre organisation.For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.