Questions fréquentes sur le client Azure Information Protection classique

S’appliqueà : Azure Information Protection, Office 365

Pertinente pour: client classique d’étiquetage unifié AIP. Pour plus d’informations, consultez le foire aux questions concernant Azure Information Protection.

Remarque

Pour offrir une expérience client unifiée et rationalisée, le client et la gestion des étiquettes Azure Information Protection classiques dans le portail Azure sont supprimés à partir du 31 mars 2021. Aucun support n’est fourni pour les versions client classiques et la maintenance ne sera plus publiée.

Le client classique sera officiellement retiré et cessera de fonctionner le 31 mars 2022.

Tous les clients actuels du client Azure Information Protection classique doivent migrer vers la Protection des données Microsoft d’étiquetage unifiée et mettre à niveau vers le client d’étiquetage unifié. En savoir plus sur notre blog sur la migration.

Le client Azure Information Protection est-il uniquement pour les abonnements qui incluent une classification et une étiquetage ?

Non. Le client AIP classique peut également être utilisé avec des abonnements qui incluent uniquement le service Azure Rights Management, pour la protection des données uniquement.

Lorsque le client classique est installé sans stratégie Azure Information Protection, il fonctionne automatiquement en mode de protectionuniquement, ce qui permet aux utilisateurs d’appliquer des modèles de gestion des droits et des autorisations personnalisées.

Si par la suite vous achetez un abonnement qui inclut une classification et une étiquetage, le client passe automatiquement en mode standard lors du téléchargement de la stratégie Azure Information Protection.

Quelle est la différence entre Windows Server FCI et le scanneur Azure Information Protection ?

Windows Infrastructure de classification de fichiers serveur permet de classifier des documents et de les protéger à l’aide du connecteur Gestion des droits (documents Office uniquement) ou d’un script PowerShell (tous types de fichiers).

Nous vous recommandons à présent d’utiliser le scanneur Azure Information Protection. Le scanneur utilise le client Azure Information Protection et votre stratégie Azure Information Protection pour étiqueter les documents (tous types de fichiers) afin que ces documents soient ensuite classés et éventuellement protégés.

Principales différences entre ces deux solutions :

Windows FCI Server Scanneur Azure Information Protection
Magasins de données pris en charge Dossiers locaux sur Windows Server - partager Windows fichiers et stockage connecté au réseau

- SharePoint Server 2016 et SharePoint Server 2013. SharePoint Server 2010 est également pris en charge pour les clients qui ont étendu la prise en charge de cette version SharePoint.
Mode opérationnel Temps réel Analyse systématiquement ou de manière systématique les magasins de données.
Types de fichiers pris en charge - Tous les types de fichiers sont protégés par défaut

- Il est possible d’exclure la protection de types de fichiers spécifiques en éditant le Registre
Prise en charge des types de fichiers :

- Office types de fichiers et les documents PDF sont protégés par défaut

- Vous pouvez inclure d’autres types de fichiers à des des fins de protection en éditant le Registre

Définition des propriétaires de la Gestion des droits

Par défaut, pour Windows FCI Server et le scanneur Azure Information Protection, le propriétaire de la gestion des droits est définie sur le compte qui protège le fichier.

Remplacez les paramètres par défaut comme suit :

  • Windows FCI Server: définissez le propriétaire de la gestion des droits de façon à ce qu’il soit un compte unique pour tous les fichiers, ou définissez dynamiquement le propriétaire de la gestion des droits pour chaque fichier.

    Pour définir dynamiquement le propriétaire de la gestion des droits, utilisez le paramètre et la valeur -OwnerMail [Courrier du propriétaire du fichier source]. Cette configuration récupère l’adresse de courrier de l’utilisateur à partir d’Active Directory en utilisant le nom du compte d’utilisateur dans la propriété Propriétaire du fichier.

  • Scanneur Azure Information Protection: Pour les fichiers nouvellement protégés, définissez le propriétaire de la gestion des droits de sorte qu’il soit un compte unique pour tous les fichiers d’un magasin de données spécifié, en spécifiant le paramètre -Par défaut du propriétaire dans le profil du scanneur.

    La définition dynamique du propriétaire de la gestion des droits pour chaque fichier n’est pas prise en charge et le propriétaire de la gestion des droits n’est pas modifié pour les fichiers précédemment protégés.

    Remarque

    Lorsque le scanneur protège les fichiers sur SharePoint sites et bibliothèques, le propriétaire de la gestion des droits est définie dynamiquement pour chaque fichier à l’aide de SharePoint de l’Éditeur.

Un fichier peut-il avoir plusieurs classifications ?

Les utilisateurs ne peuvent sélectionner qu’une étiquette à la fois pour chaque document ou courrier électronique, ce qui se traduit souvent par une seule classification. Toutefois, si des utilisateurs sélectionnent une sous-étiquette, cela applique en réalité deux étiquettes en même temps ; une étiquette principale et une étiquette secondaire. En utilisant des sous-groupes, un fichier peut avoir deux classifications qui désignent une relation parent/enfant pour un niveau de contrôle supplémentaire.

Par exemple, l’étiquette Confidentiel peut contenir des sous-titres, tels que Juridique et Finances. Vous pouvez appliquer à ces sous-thèmes différents marquages visuels de classification et différents modèles de gestion des droits. Un utilisateur ne peut pas sélectionner l’étiquette Confidentiel seule . un seul de ses sous-titres, par exemple Juridique. Par conséquent, l’étiquette qui leur est alors définie est Confidentiel \ Legal. Les métadonnées pour ce fichier incluent une propriété de texte personnalisée pour Confidentiel,une propriété de texte personnalisée pour Legal etune autre contenant les deux valeurs(Confidentiel Juridique).

Lorsque vous utilisez des sous-étiquettes, ne configurez pas les marquages visuels, la protection et les conditions sur l’étiquette principale. Lorsque vous utilisez des sous-niveaux, configurez ces paramètres sur le sous-niveau uniquement. Si vous configurez ces paramètres sur l’étiquette principale et son sous-étiquette, les paramètres de la sous-étiquette sont prioritaire.

Comment empêcher une personne de supprimer ou de modifier une étiquette ?

Bien qu’un paramètre de stratégie exige que les utilisateurs expliquent pourquoi ils suppriment une étiquette de classification, suppriment une étiquette ou suppriment la protection, ce paramètre n’empêche pas ces actions. Pour empêcher les utilisateurs de supprimer ou de modifier une étiquette, le contenu doit déjà être protégé et les autorisations de protection ne lui viennent pas du droit d’utilisation d’Exporter ou de Contrôle total

Comment les solutions DLP et les autres applications peuvent-elles être intégrées à Azure Information Protection ?

Comme Azure Information Protection utilise des métadonnées permanentes pour la classification, qui inclut une étiquette en texte clair, ces informations peuvent être lues par les solutions DLP et d’autres applications.

Pour plus d’informations sur ces métadonnées, voir Les informations d’étiquette stockées dans les courriers électroniques et les documents.

Pour consulter des exemples d’utilisation de ces métadonnées avec Exchange Online de flux de courrier électronique, voir Configuration des règles de flux Exchange Online de courrier pour les étiquettes Azure Information Protection.

Puis-je créer un modèle de document qui inclut automatiquement la classification ?

Oui. Vous pouvez configurer une étiquette pour appliquer un en-tête ou un pied de site qui inclut le nom de l’étiquette. Toutefois, si ce n’est pas votre cas, pour le client Azure Information Protection classique uniquement, vous pouvez créer un modèle de document qui présente la mise en forme que vous voulez et ajouter la classification en tant que code de champ.

Par exemple, vous pouvez avoir un tableau dans l’en-tête de votre document qui affiche la classification. Vous pouvez également utiliser une formulation spécifique pour une introduction qui fait référence à la classification du document.

Pour ajouter ce code de champ dans votre document :

  1. Étiquetez le document et enregistrez-le. Cette action crée de nouveaux champs de métadonnées que vous pouvez désormais utiliser pour votre code de champ.

  2. Dans le document, positionnez le curseur à l’endroit où vous voulez ajouter la classification de l’étiquette, puis sous l’onglet Insertion, sélectionnez Champ ComposantsQuick Partsde texte.

  3. Dans la boîte de dialogue Champ, dans la zone de texte Catégories, sélectionnez Informations sur le document. Ensuite, dans la liste du nom des champs,sélectionnez DocProperty.

  4. Dans la galerie de propriétés, sélectionnez Sensibilité,puis OK.

La classification de l’étiquette actuelle s’affiche dans le document et cette valeur est actualisée automatiquement chaque fois que vous ouvrez le document ou utilisez le modèle. Par conséquent, si l’étiquette change, la classification affichée pour ce code de champ est automatiquement mise à jour dans le document.

En quoi la classification des messages électroniques à l’aide d’Azure Information Protection est-elle différente de Exchange classification des messages ?

Exchange classification de message est une fonctionnalité plus ancienne qui permet de classifier des e-mails. Elle est implémentée indépendamment des étiquettes ou étiquettes de sensibilité Azure Information Protection qui appliquent la classification.

Toutefois, vous pouvez intégrer cette ancienne fonctionnalité aux étiquettes de telle sorte que, lorsque les utilisateurs classent un courrier électronique à l’aide d’Outlook sur le web et à l’aide d’applications de messagerie mobiles, la classification d’étiquette et les marquages d’étiquette correspondants soient automatiquement ajoutés.

Vous pouvez utiliser la même technique pour utiliser vos étiquettes avec Outlook sur le web et ces applications de messagerie mobiles.

Notez qu’il n’est pas nécessaire de faire cela si vous utilisez Outlook sur le web avec Exchange Online, car cette combinaison prend en charge l’étiquetage intégré lorsque vous publiez des étiquettes de sensibilité à partir du Centre de conformité Microsoft 365.

Si vous ne pouvez pas utiliser l’étiquetage intégré avec Outlook sur le web, voir les étapes de configuration pour cette solution de contournement : Intégration à l’ancien système Exchange classification des messages

Comment configurer un ordinateur Mac pour protéger et suivre des documents ?

Tout d’abord, assurez-vous d’avoir installé Office pour Mac à partir du lien d’installation du https://admin.microsoft.com logiciel. Pour obtenir des instructions complètes, voir Télécharger et installer ou réinstaller Microsoft 365 ou Office 2019sur un PC ou Mac.

Ouvrez Outlook et créez un profil à l’aide de Microsoft 365 compte scolaire ou scolaire. Ensuite, créez un message et configurez les Office de manière à ce qu’il puisse protéger les documents et les messages électroniques à l’aide du service Azure Rights Management messagerie électronique :

  1. Dans le nouveau message, sous l’onglet Options, cliquez sur Autorisations,puis sur Vérifier les informations d’identification.

  2. Lorsque vous y est invité, spécifiez de Microsoft 365 de votre compte scolaire ou scolaire, puis sélectionnez Se connectez.

    Cette option télécharge les modèles Azure Rights Management et Vérifier les informations d’identification est désormais remplacé par des options qui incluent les modèles Aucune restriction,Ne pas faire suivre et tous les modèles Azure Rights Management publiés pour votre client. Vous pouvez désormais annuler ce nouveau message.

Pour protéger un courrier électronique ou un document : Sous l’onglet Options, cliquez sur Autorisations et choisissez une option ou un modèle qui protège votre courrier électronique ou votre document.

Pour suivre un document après l’avoir protégé : Sur un ordinateur Windows sur quoi le client Azure Information Protection classique est installé, enregistrez le document auprès du site de suivi des documents à l’aide d’une application Office ou de l’Explorateur de fichiers. Pour obtenir des instructions, voir Suivre et révoquer vos documents. À partir de votre ordinateur Mac, vous pouvez désormais utiliser votre navigateur web pour aller sur le site de suivi des documents () pour suivre et https://track.azurerms.com révoquer ce document.

Lorsque j’teste la révocation sur le site de suivi du document, un message s’insérez, qui m’indique que les personnes peuvent toujours accéder au document pendant 30 jours. Cette période est-elle configurable ?

Oui. Ce message reflète la licence d’utilisation de ce fichier spécifique.

Si vous révoquer un fichier, cette action ne peut être appliquée que lorsque l’utilisateur s’authentifier auprès Azure Rights Management service. Par exemple, si un fichier a une période de validité de licence d’utilisation de 30 jours et que l’utilisateur a déjà ouvert le document, cet utilisateur a toujours accès au document pendant la durée de la licence d’utilisation. Lorsque la licence d’utilisation expire, l’utilisateur doit reauthentifier, auquel cas l’accès de l’utilisateur est refusé car le document est désormais révoqué.

L’utilisateur qui a protégé le document, l’émetteur de la gestion des droits est exempté de cette révocation et peut toujours accéder à ses documents.

La valeur par défaut pour la période de validité de la licence d’utilisation pour un client est de 30 jours et ce paramètre peut être utilisé par un paramètre plus restrictif dans une étiquette ou un modèle. Pour plus d’informations sur la licence d’utilisation et la manière de la configurer, consultez la documentation relative à l’utilisation des licences dans la gestion des droits.

Quelle est la différence entre BYOK et HYOK et quand dois-je les utiliser ?

Apportez votre propre clé (BYOK) dans le contexte d’Azure Information Protection, c’est lorsque vous créez votre propre clé en local pour Azure Rights Management protection. Vous transférez ensuite cette clé vers un module de sécurité matérielle (HSM) dans le coffre de clés Azure dans lequel vous continuez à posséder et à gérer votre clé. Si vous ne l’avez pas fait, Azure Rights Management protection des données utiliserait une clé créée et gérée automatiquement dans Azure. Cette configuration par défaut est appelée « Géré par Microsoft » plutôt que « géré par le client » (option BYOK).

Pour plus d’informations sur BYOK et savoir si vous devez choisir cette topologie clé pour votre organisation, voir Planification et mise en œuvre de votre clé de client Azure Information Protection.

Dans le contexte d’Azure Information Protection, tenez votre propre clé (HYOK) pour quelques organisations qui ont un sous-ensemble de documents ou de courriers électroniques qui ne peuvent pas être protégés par une clé stockée dans le cloud. Pour ces organisations, cette restriction s’applique même si elles ont créé la clé et la gérer, à l’aide de la loi BYOK. Cette restriction peut souvent être liée à des raisons de réglementation ou de conformité, et la configuration HYOK ne doit être appliquée qu’aux informations « Top Secret », qui ne seront jamais partagées en dehors de l’organisation, qui seront uniquement consommées sur le réseau interne et n’ont pas besoin d’être accessibles à partir d’appareils mobiles.

Pour ces exceptions (généralement moins de 10 % du contenu à protéger), les organisations peuvent utiliser une solution locale, services AD RMS (Active Directory Rights Management Services), pour créer la clé locale. Avec cette solution, les ordinateurs obtiennent leur stratégie Azure Information Protection à partir du cloud, mais ce contenu identifié peut être protégé à l’aide de la clé en local.

Pour plus d’informations sur HYOK et pour vous assurer de comprendre les limitations et restrictions qui s’y appliquent, et pour savoir quand l’utiliser, consultez La politique et les restrictions relatives à la protection AD RMS (Hold your own key) (HYOK).

Que faire si ma question n’est pas ici ?

Tout d’abord, examinez les questions fréquemment posées ci-dessous, spécifiques à la classification et à l’étiquetage, ou spécifiques à la protection des données. Le service Azure Rights Management (Azure RMS) fournit la technologie de protection des données pour Azure Information Protection. Azure RMS peut être utilisé avec la classification et l’étiquetage, ou tout seul.

Si votre question n’a pas de réponse, consultez les liens et les ressources répertoriés dans Informations et support pour Azure Information Protection.

De plus, des FAQ sont conçues pour les utilisateurs finaux :