Comprendre les restrictions d’utilisation
Important
Les versions du Kit de développement logiciel (SDK) du service Microsoft Rights Management publiées avant mars 2020 sont déconseillées; les applications utilisant des versions antérieures doivent être mises à jour pour utiliser la version de mars 2020. Pour plus d’informations, consultez l’avis de dépréciation.
Aucune amélioration supplémentaire n’est prévue pour le Kit de développement logiciel (SDK) du service Microsoft Rights Management. Nous vous recommandons vivement d’adopter le kit SDK Protection des données Microsoft pour la classification, l’étiquetage et les services de protection.
Toutes les applications prenant en charge RMS doivent appliquer des restrictions d’utilisation. Une restriction d’utilisation est une condition qui se produit lorsqu’un utilisateur tente d’effectuer une action (par exemple, l’impression d’un document), mais la stratégie RMS pour ce document ne leur accorde pas l’autorisation ou le droit d’effectuer cette action (par exemple, le droit d’impression).
Il est possible d’interroger les autorisations dont dispose un utilisateur sur un document à l’aide de la fonction IpcAccessCheck.
Conception avec des restrictions d’utilisation
Se familiariser avec les droits RMS standard
Pour connaître l’ensemble des droits RMS que peut appliquer votre application, consultez Informations de référence sur les restrictions d’utilisation.
Notez que vous pouvez créer des droits définis par l’application qui sont propres à votre situation et qui vont au-delà des droits RMS standards.
Identifier les points de mise en œuvre de restriction d’utilisation
Un point de mise en œuvre de restriction d’utilisation est un emplacement dans le flux de contrôle de votre application où vous devez mettre en œuvre une restriction d’utilisation. La rubrique Informations de référence sur les restrictions d’utilisation fournit plusieurs exemples de points de mise en œuvre courants.
Évaluez votre propre application pour déterminer les points de mise en œuvre de restriction d’utilisation qui s’appliquent.
Votre application n’a peut-être pas besoin de tous les points de mise en œuvre décrits dans Informations de référence sur les restrictions d’utilisation. Par exemple, si votre application n’autorise pas les utilisateurs à imprimer du contenu, il n’est pas nécessaire de vérifier le IPC_GENERIC_PRINT droit.
Mettre à jour le code pour effectuer une vérification d’accès à chaque point de mise en œuvre
Pour obtenir des conseils sur la mise en œuvre de droits spécifiques, consultez Informations de référence sur les restrictions d’utilisation.
Informations de référence sur les restrictions d’utilisation
Les restrictions d’utilisation sont définies par les constantes suivantes.
Pour chaque droit utilisateur répertorié dans la colonne Droit AD RMS, vous trouverez une description, un point de mise en œuvre, ainsi que des suggestions de mise en œuvre.
| Droit AD RMS/Description | Procédure de mise en œuvre |
|---|---|
| IPC_GENERIC_ALL Accorde tous les droits à l’utilisateur. Points de mise en œuvre courants : Aucun |
Utilisé par le système, ce droit ne nécessite généralement pas de vérification directe. IpcAccessCheck utilise ce droit pour déterminer s’il faut accorder à l’utilisateur d’autres droits, comme dans cet exemple. /* fAccessGranted is set to TRUE if either the IPC_GENERIC_WRITE or the IPC_GENERIC_ALL right is granted */ IpcAccessCheck(hKey, IPC_GENERIC_WRITE, &fAccessGranted); |
| IPC_GENERIC_READ Droit de lire le contenu de documents. Points de mise en œuvre courants : Chargement de documents |
Veuillez ne pas charger ni présenter le contenu de documents. |
| IPC_GENERIC_WRITE Droit de modifier le contenu de documents. Points de mise en œuvre courants : Modification de documents |
Configurez comme non modifiables tous les contrôles d’interface utilisateur pouvant servir à modifier le contenu de documents. Désactivez tous les éléments de menu qui déclenchent des modifications de document. Modifier>Couper, Modifier>le collage et Insérer sont des exemples typiques. Désactivez tous les éléments de menu contextuel qui déclenchent des modifications de document. |
| Aucun droit AD RMS Aucune description Points de mise en œuvre courants : Enregistrer |
Désactivez le menuEnregistrer des fichiers>. Remarque Ce droit ne contrôle pas Fichier>Enregistrer sous, car il ne représente pas une modification du document d’origine. Désactivez tout raccourci clavier pouvant servir à déclencher un enregistrement (par exemple, Ctrl+S). Conseil Nous vous recommandons de mettre à jour le code de base associé à l’opération Fichier>Enregistrer pour qu’il échoue si l’utilisateur ne dispose pas de ce droit. Vous bénéficiez ainsi d’un filet de sécurité si vous omettez de désactiver de l’expérience utilisateur des mécanismes pouvant servir à déclencher un enregistrement. |
| IPC_GENERIC_EXTRACT Droit d’extraire le contenu d’un format protégé et de le placer dans un format non protégé. Points de mise en œuvre courants : Copier dans le Presse-papiers |
Désactivez le menu Modifier>la copie . Désactivez le menu Modifier>la coupe . Désactivez Copier et Couper des menus contextuels. Désactivez tout raccourci clavier pouvant servir à déclencher une copie (par exemple, Ctrl+C ou Ctrl+X). Mettez à jour les gestionnaires de messages de fenêtre pour WM_CUT pour qu’ils rejettent la copie de données si l’utilisateur ne dispose pas de ce droit. Si la fenêtre utilise le gestionnaire de messages fourni par Windows par défaut, créez une sous-classe de cette fenêtre et fournissez vos propres gestionnaires pour WM_COPY et WM_CUT. |
| Aucun droit AD RMS Aucune description Points de mise en œuvre courants : Enregistrer sous |
Dans votre boîte de dialogue Enregistrer sous, désactivez tous les formats de fichiers pouvant entraîner l’enregistrement de documents sans protection RMS. |
| Aucun droit AD RMS Aucune description Points de mise en œuvre courants : Alt+Impr. écr. |
Appelez IpcProtectWindow sur toutes les fenêtres qui affichent le contenu de documents. |
| IPC_GENERIC_EXPORT Droit d’extraire le contenu d’un format protégé et de le placer dans un autre format protégé par AD RMS. Points de mise en œuvre courants : Enregistrer sous |
Dans votre boîte de dialogue Enregistrer sous, désactivez la possibilité d’enregistrer dans d’autres formats de fichiers. ConseilNous vous recommandons de mettre à jour le code de base associé à l’opération Fichier>Enregistrer pour qu’il échoue si l’utilisateur tente d’enregistrer ce fichier dans un format différent et qu’il ne dispose pas de ce droit. Vous bénéficiez ainsi d’un filet de sécurité si vous omettez de désactiver de l’expérience utilisateur des mécanismes pouvant servir à déclencher une opération Enregistrer sous. |
| IPC_GENERIC_PRINT Droit d’imprimer le contenu de documents. Points de mise en œuvre courants : Imprimer |
Désactivez le menuImprimer le fichier>. Désactivez tout raccourci clavier pouvant servir à déclencher une impression (par exemple, Ctrl+P). Désactivez les éléments de menu contextuel pouvant servir à déclencher une impression. Conseil Nous vous recommandons de mettre à jour le code de base associé à l’opération Fichier>Imprimer pour qu’il échoue si l’utilisateur ne dispose pas de ce droit. Vous bénéficiez ainsi d’un filet de sécurité si vous omettez de désactiver de l’expérience utilisateur des mécanismes pouvant servir à déclencher une impression. |
| IPC_GENERIC_COMMENT Certaines applications prennent en charge l’ajout de commentaires et d’annotations dans le document sans mettre à jour le contenu du document principal. Ce droit permet à l’utilisateur d’accéder à cette fonctionnalité. Points d’application courants : Passer en revue le > commentaire d’insertion Vérifier > le commentaire de suppression |
Désactivez tous les éléments de menu pouvant servir à modifier les commentaires ou annotations d’un document. Examen>Insérer un commentaire et passer en revue>un commentaire sont des exemples. Désactivez tout raccourci clavier pouvant déclencher la modification de commentaires associés à un document. Remarque Une implémentation par défaut nécessite IPC_GENERIC_COMMENT et IPC_GENERIC_WRITE pour conserver les nouveaux commentaires dans un fichier. Les applications peuvent prendre en charge ou non le scénario dans lequel le droit IPC_GENERIC_COMMENT est accordé, mais pas le droit IPC_GENERIC_WRITE. Dans ce cas, il est permis d’autoriser l’enregistrement, tant que les modifications de documents sont limitées aux commentaires. |
| IPC_VIEW_RIGHTS Aucune description Points de mise en œuvre courants : N/A |
Appliqué par le système. Le système n’autorise pas le développeur à interroger la liste des droits utilisateur à partir d’une licence, sauf si ce droit est accordé. |
| IPC_EDIT_RIGHTS Certaines applications autorisent les utilisateurs à modifier l’ensemble des utilisateurs et des droits pour le contenu protégé AD RMS. Ce droit permet à l’utilisateur d’accéder à cette fonctionnalité. Points de mise en œuvre courants : Contrôle d’interface utilisateur de modification des droits de l’application |
Désactivez l’accès utilisateur à tout élément d’interface utilisateur pouvant servir à modifier la stratégie RMS pour un document. |