Forum aux questions sur le client Azure Information Protection classique

Quand est-ce le bon moment pour migrer mes étiquettes vers l’étiquetage unifié ?

Nous vous recommandons de migrer vos étiquettes Azure Information Protection vers la plateforme d’étiquetage unifiée afin de pouvoir les utiliser comme étiquettes de confidentialité avec d’autres clients et services qui prennent en charge l’étiquetage unifié.

Pour plus d’informations et d’instructions, consultez Guide pratique pour migrer des étiquettes Azure Information Protection vers des étiquettes de confidentialité unifiées.

Dois-je rechiffrer mes fichiers après le passage aux étiquettes de confidentialité et à la plateforme d’étiquetage unifiée ?

Non, vous n’avez pas besoin de chiffrer à nouveau vos fichiers après le passage aux étiquettes de confidentialité et à la plateforme d’étiquetage unifiée après la migration à partir du client classique AIP et des étiquettes gérées dans le Portail Azure.

Après la migration, gérez vos étiquettes et stratégies d’étiquetage à partir du centre de conformité Microsoft 365.

Pour plus d’informations, consultez En savoir plus sur les étiquettes de confidentialité dans la documentation Microsoft 365 et sur le blog Présentation de la migration d’étiquetage unifié.

Quelle est la différence entre les étiquettes dans Microsoft 365 et les étiquettes dans Azure Information Protection ?

À l’origine, Microsoft 365 avait uniquement des étiquettes de rétention, ce qui vous permettait de classifier des documents et des e-mails pour l’audit et la rétention lorsque ce contenu a été stocké dans Microsoft 365 services.

En revanche, Azure Information Protection étiquettes, configurées au moment de l’utilisation du client classique AIP dans le Portail Azure, vous a permis d’appliquer une stratégie de classification et de protection cohérente pour les documents et les e-mails, qu’ils soient stockés localement ou dans le cloud.

Microsoft 365 prend en charge les étiquettes de confidentialité en plus des étiquettes de rétention. Les étiquettes de confidentialité peuvent être créées et configurées dans le centre de conformité Microsoft 365.

Si vous avez configuré des étiquettes AIP héritées dans le Portail Azure, nous vous recommandons de les migrer vers des étiquettes de confidentialité et un client d’étiquetage unifié. Pour plus d’informations, consultez Tutoriel : Migration depuis le client classique Azure Information Protection (AIP) vers le client d’étiquetage unifié.

Pour plus d’informations, consultez Announcing availability of information protection capabilities to help protect your sensitive data (Annonce de la disponibilité des fonctionnalités de protection des informations pour protéger vos données sensibles).

Le client Azure Information Protection est-il réservé aux abonnements qui comprennent la classification et l’étiquetage ?

Non. Le client AIP classique peut également être utilisé avec des abonnements qui incluent uniquement le service Azure Rights Management, pour la protection des données uniquement.

Lorsque le client classique est installé sans stratégie d’Information Protection Azure, le client fonctionne automatiquement en mode protection seule, ce qui permet aux utilisateurs d’appliquer des modèles Rights Management et des autorisations personnalisées.

Si vous décidez, plus tard, de souscrire un abonnement qui n’inclut ni la classification ni l’étiquetage, le client passe automatiquement en mode standard lors du téléchargement de la stratégie Azure Information Protection.

Définition des propriétaires de Rights Management

Par défaut, pour l’instance de cluster de basculement de serveur Windows et le scanneur Azure Information Protection, le propriétaire Rights Management est défini sur le compte qui protège le fichier.

Remplacez les paramètres par défaut comme suit :

• Windows server FCI : définissez le propriétaire Rights Management sur un seul compte pour tous les fichiers, ou définissez dynamiquement le propriétaire Rights Management pour chaque fichier.

  Pour définir le propriétaire de Rights Management de façon dynamique, utilisez le paramètre et la valeur - OwnerMail [Source File Owner Email]. Cette configuration récupère l’adresse e-mail de l’utilisateur à partir d’Active Directory en utilisant le nom du compte d’utilisateur dans la propriété Propriétaire du fichier.

• Scanneur Azure Information Protection : pour les fichiers nouvellement protégés, définissez le propriétaire Rights Management sur un seul compte pour tous les fichiers d’un magasin de données spécifié, en spécifiant le paramètre -Propriétaire par défaut dans le profil du scanneur.

  La définition dynamique du propriétaire Rights Management pour chaque fichier n’est pas prise en charge et le propriétaire Rights Management n’est pas modifié pour les fichiers précédemment protégés.

  Notes

  Quand le scanneur protège les fichiers sur les sites et bibliothèques SharePoint, le propriétaire de Rights Management est défini dynamiquement pour chaque fichier à l’aide de la valeur de l’éditeur de SharePoint.

Un fichier peut-il avoir plusieurs classifications ?

Les utilisateurs ne peuvent sélectionner qu’une seule étiquette à la fois pour chaque document ou e-mail, ce qui aboutit la plupart du temps à une classification unique pour chaque élément. Toutefois, si les utilisateurs sélectionnent une sous-étiquette, cela revient à appliquer deux étiquettes à la fois : une étiquette principale et une étiquette secondaire. Les sous-étiquettes permettent d’attribuer à un fichier deux classifications avec une relation parent\enfant afin d’obtenir un niveau de contrôle supplémentaire.

Par exemple, l’étiquette Confidentiel peut contenir des sous-étiquettes telles que Legal and Finance. Vous pouvez appliquer différents marquages de classification visuels et différents modèles Rights Management à ces sous-étiquettes. Un utilisateur ne peut pas sélectionner l’étiquette Confidentielle par lui-même ; une seule de ses sous-étiquettes, comme Legal. L’étiquette qui s’affiche est donc Confidentiel \ Juridique. Les métadonnées de ce fichier incluent une propriété de texte personnalisée pour Confidentiel, une propriété de texte personnalisée pour Juridique et une autre qui contient les deux valeurs (Confidentiel Juridique).

Quand vous utilisez des sous-étiquettes, ne configurez pas de marquages visuels, de protection ou de conditions pour l’étiquette principale. Quand vous utilisez des sous-niveaux, configurez ces paramètres pour la sous-étiquette uniquement. Si vous configurez ces paramètres sur l’étiquette principale et sa sous-étiquette, ce sont les paramètres de la sous-étiquette qui sont prioritaires.

Comment empêcher une personne de supprimer ou de changer une étiquette ?

Bien qu’il existe un paramètre de stratégie qui oblige les utilisateurs à indiquer pourquoi ils réduisent une étiquette de classification, en supprimant une étiquette ou en supprimant la protection, ce paramètre n’empêche pas ces actions. Pour empêcher les utilisateurs de supprimer ou de modifier une étiquette, le contenu doit déjà être protégé et les autorisations de protection n’accordent pas à l’utilisateur le droit d’utilisation d’exportation ou de contrôle total

Comment faire pour intégrer les solutions DLP et autres applications avec Azure Information Protection ?

Azure Information Protection utilisant des métadonnées persistantes pour la classification, notamment une étiquette de texte en clair, ces informations peuvent être lues par les solutions DLP et d’autres applications.

Pour plus d’informations sur ces métadonnées, consultez Étiquettes d’information stockées dans des e-mails et des documents.

Pour obtenir des exemples d’utilisation de ces métadonnées avec des règles de flux de messagerie Exchange Online, consultez Configuration des règles de flux de messagerie Exchange Online pour les étiquettes Azure Information Protection.

Peut-on créer un modèle de document qui inclut automatiquement la classification ?

Oui. Vous pouvez configurer une étiquette qui applique un en-tête ou un pied de page comportant le nom d’étiquette. Toutefois, si cela ne répond pas à vos besoins, pour le client Azure Information Protection classique uniquement, vous pouvez créer un modèle de document avec la mise en forme souhaitée et ajouter la classification en tant que code de champ.

Par exemple, vous pouvez avoir une table dans l’en-tête de votre document qui affiche la classification, ou utiliser une formulation spécifique pour une introduction faisant référence à la classification du document.

Pour ajouter ce code de champ dans votre document :

1. Étiquetez le document et enregistrez-le. Cette action crée de nouveaux champs de métadonnées que vous pouvez alors utiliser dans votre code de champ.

2. Dans le document, placez le curseur à l’endroit où vous souhaitez ajouter la classification de l’étiquette ; ensuite, dans l’onglet Insérer, sélectionnez Texte>QuickPart>Champ.

3. Dans la liste déroulante Catégories de la boîte de dialogue Champ, sélectionnez Informations sur le document. Ensuite, dans la liste déroulante Noms de champs, sélectionnez DocProperty.

4. Dans la liste déroulante Propriété, sélectionnez Sensibilité, puis OK.

La classification de l’étiquette actuelle s’affiche dans le document ; cette valeur est actualisée automatiquement à chaque fois que vous ouvrez le document ou que vous utilisez le modèle. Par conséquent, lorsque l’étiquette change, la classification qui s’affiche pour ce code de champ est automatiquement mise à jour dans le document.

Comment la classification des e-mails utilisant Azure Information Protection différent de la classification des messages Exchange ?

Exchange classification des messages est une fonctionnalité plus ancienne qui peut classifier les e-mails et qui est implémentée indépendamment des étiquettes Azure Information Protection ou des étiquettes de confidentialité qui appliquent la classification.

Toutefois, vous pouvez intégrer cette fonctionnalité plus ancienne aux étiquettes afin que, lorsque les utilisateurs classifient un e-mail à l’aide de Outlook sur le web et à l’aide de certaines applications de messagerie mobile, la classification des étiquettes et les marquages d’étiquette correspondants sont automatiquement ajoutés.

Vous pouvez utiliser cette même technique pour utiliser vos étiquettes avec Outlook sur le web et les applications de messagerie mobile.

Notez qu’il n’est pas nécessaire de le faire si vous utilisez Outlook sur le web avec Exchange Online, car cette combinaison prend en charge l’étiquetage intégré lorsque vous publiez des étiquettes de confidentialité à partir du centre de conformité Microsoft 365.

Si vous ne pouvez pas utiliser l’étiquetage intégré avec Outlook sur le web, consultez les étapes de configuration de cette solution de contournement : Intégration à l’ancienne classification des messages Exchange

Comment configurer un ordinateur Mac pour protéger et suivre les documents ?

Tout d’abord, assurez-vous que vous avez installé Office pour Mac en utilisant le lien d’installation à partir de https://admin.microsoft.com. Pour obtenir des instructions complètes, consultez Télécharger et installer ou réinstaller Microsoft 365 ou Office 2019 sur un PC ou Un Mac.

Ouvrez Outlook et créez un profil à l’aide de votre compte professionnel ou scolaire Microsoft 365. Ensuite, créez un nouveau message, puis procédez comme suit pour configurer Office afin qu’il puisse protéger les documents et e-mails à l’aide du service Azure Rights Management :

1. Dans le nouveau message, dans l’onglet Options, cliquez sur Autorisations, puis cliquez sur Vérifier les informations d’identification.

2. Lorsque vous y êtes invité, spécifiez à nouveau les détails de votre compte professionnel ou scolaire Microsoft 365, puis sélectionnez Se connecter.

   Cela permet de télécharger les modèles Azure Rights Management, et Vérifier les informations est remplacé par des options qui incluent Aucune restriction, Ne pas transférer, ainsi que les modèles Azure Rights Management qui sont publiés pour votre client. Vous pouvez désormais annuler ce nouveau message.

Pour protéger un message électronique ou un document : dans l’onglet Options, cliquez sur Autorisations et choisissez une option ou un modèle qui protège votre adresse e-mail ou un document.

Pour suivre un document une fois que vous l’avez protégé : à partir d’un ordinateur Windows sur lequel le client Azure Information Protection classique est installé, inscrivez le document auprès du site de suivi des documents à l’aide d’une application Office ou d’une Explorateur de fichiers. Pour obtenir des instructions, consultez Suivre et révoquer vos documents. À partir de votre ordinateur Mac, vous pouvez désormais utiliser votre navigateur web pour accéder au site de suivi des documents (https://track.azurerms.com) pour suivre et révoquer ce document.

Lorsque je teste la révocation dans le site de suivi des documents, je vois un message m’indiquant que les autres utilisateurs continueront d’avoir accès au document pendant 30 jours. Cette durée est-elle configurable ?

Oui. Ce message indique la licence d’utilisation de ce fichier en particulier.

La révocation d’un fichier ne peut être appliquée que lorsque l’utilisateur doit s’authentifier auprès du service Azure Rights Management. Par conséquent, si la période de validité de la licence d’utilisation du fichier est de 30 jours et que l’utilisateur a déjà ouvert le document, il peut continuer d’y accéder pendant toute la durée de la licence d’utilisation. Quand la licence d’utilisation expire, l’utilisateur doit se réauthentifier et l’accès lui est refusé, car le document a été révoqué.

L’utilisateur qui a protégé le document, l’émetteur Rights Management n’est pas concerné par cette révocation et peut toujours accéder à ses documents.

Pour un locataire, la période de validité par défaut d’une licence d’utilisation est de 30 jours. Vous pouvez remplacer ce paramètre par un paramètre plus restrictif dans une étiquette ou un modèle. Pour plus d’informations sur la licence d’utilisation et sa configuration, consultez la documentation Licence d’utilisation Rights Management.

Quelle est la différence entre BYOK et HYOK et quand dois-je les utiliser ?

Dans Azure Information Protection, la solution Bring your own key vous permet de créer votre propre clé en local pour la protection offerte par Azure Rights Management. Ensuite, vous transférez cette clé à un module de sécurité matériel (HSM, Hardware Security Module) dans Azure Key Vault, mais elle reste en votre possession et vous continuez à la gérer. Si vous ne procédez pas ainsi, la fonctionnalité de protection d’Azure Rights Management utilise une clé automatiquement créée et gérée pour vous dans Azure. Cette configuration par défaut est considérée comme « gérée par Microsoft » plutôt que « gérée par le client » (option BYOK).

Pour en savoir plus sur la solution BYOK et déterminer si vous devez choisir cette topologie de clé pour votre organisation, voir Planification et implémentation de votre clé de locataire Azure Information Protection.

Dans Azure Information Protection, la solution Hold your own key (HYOK) est destinée au petit nombre d’organisations disposant d’un ensemble de documents ou d’e-mails qui ne peuvent pas être protégés par une clé stockée dans le cloud. Pour ces organisations, cette restriction s’applique, même si elles ont créé la clé et la gèrent via la solution BYOK. Cette restriction a souvent pour origine des problèmes de conformité et de réglementation, la configuration HYOK devant uniquement être appliquée aux informations « Top Secret », qui ne seront jamais partagées en dehors de l’organisation et seront uniquement utilisées sur le réseau interne, et qui ne devront pas nécessairement être accessibles depuis des appareils mobiles.

Pour ces exceptions (soit un maximum de 10 % des contenus devant être protégés, en moyenne), les organisations peuvent utiliser une solution locale, à savoir Active Directory Rights Management Services, pour créer la clé, qui restera en local. Avec cette solution, les ordinateurs récupèrent leur stratégie Azure Information Protection à partir du cloud, mais ce contenu identifié peut être protégé à l’aide de la clé en local.

Pour en savoir plus sur la solution HYOK et vous assurer que vous comprenez ses limitations et restrictions, tout en bénéficiant de conseils sur son utilisation, voir HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMS.

Que faire si ma question n’est pas là ?

Tout d’abord, passez en revue les questions fréquemment posées ci-dessous, qui sont spécifiques à la classification et à l’étiquetage, ou spécifiques à la protection des données. Le service Azure Rights Management (Azure RMS) fournit la technologie de protection des données pour Azure Information Protection. Azure RMS peut être utilisé avec la classification et l’étiquetage, ou de façon autonome.

• Forum aux questions sur Azure Information Protection

• FAQ sur la classification et l’étiquetage

• FAQ sur la protection des données

Si votre question n’est pas répondue, consultez les liens et les ressources répertoriés dans Informations et support pour Azure Information Protection.

De plus, il existe des questions fréquentes destinées aux utilisateurs finaux :

• FAQ relatif à l’application Azure Information Protection pour iOS et Android

• FAQ relatif à l’application de partage RMS pour les ordinateurs Mac