HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMSHold your own key (HYOK) requirements and restrictions for AD RMS protection

S’applique à : Azure Information ProtectionApplies to: Azure Information Protection

Pour protéger vos documents et e-mails les plus sensibles, vous appliquez généralement une protection Azure Rights Management (Azure RMS), qui offre les avantages suivants :When you protect your most sensitive documents and emails, you typically do this by applying Azure Rights Management (Azure RMS) protection to benefit from the following:

  • Aucune infrastructure serveur n’est exigée, ce qui rend la solution plus rapide et plus économique à déployer et à gérer qu’une solution locale.No server infrastructure required, which makes the solution quicker and more cost effective to deploy and maintain than an on-premises solution.

  • Simplification du partage avec les partenaires et les utilisateurs d’autres organisations à l’aide de l’authentification basée sur le cloud.Easier sharing with partners and users from other organizations by using cloud-based authentication.

  • Intégration étroite aux services Office 365, notamment la recherche, les visionneuses de web, les vues croisées dynamiques, les logiciels anti-programme malveillant, eDiscovery et Delve.Tight integration with Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Suivi et révocation des documents, et notification par e-mail en cas de partage de documents sensibles.Document tracking, revocation, and email notification for sensitive documents that you have shared.

Azure RMS protège les documents et e-mails de votre organisation à l’aide d’une clé privée qui est gérée par Microsoft (défaut) ou vous-même (scénario « apportez votre propre clé » ou BYOK).Azure RMS protects your organization's documents and emails by using a private key for the organization that is managed by Microsoft (the default), or managed by you (the "bring your own key" or BYOK scenario). Les informations que vous protégez avec Azure RMS ne sont jamais envoyées dans le cloud. Les documents et e-mails ne sont pas stockés dans Azure, sauf si vous les stockez explicitement dans Azure ou que vous utilisez un autre service cloud qui les stocke dans Azure.The information that you protect with Azure RMS is never sent to the cloud; the protected documents and emails are not stored in Azure unless you explicitly store them there or use another cloud service that stores them in Azure. Pour plus d’informations sur les options de clé de locataire, consultez Planification et implémentation de la clé de locataire Azure Rights Management.For more information about the tenant key options, see Planning and implementing your Azure Information Protection tenant key.

Toutefois, il peut être nécessaire pour certaines organisations de protéger une partie de leurs documents et e-mails à l’aide d’une clé hébergée en local,However, a few organizations might need to protect a small subset of documents and emails with a key that is hosted on-premises. par exemple pour des raisons de conformité et de respect de la réglementation.For example, this might be required for regulatory and compliance reasons.

Cette configuration, parfois appelée HYOK (« conservez votre propre clé »), est prise en charge par Azure Information Protection quand vous avez un déploiement Active Directory Rights Management Services (AD RMS) fonctionnel qui répond aux exigences décrites dans la section suivante.This configuration is sometimes referred to as "hold your own key" (HYOK) and it is supported by Azure Information Protection when you have a working Active Directory Rights Management Services (AD RMS) deployment with the requirements that are documented in the next section.

Dans ce scénario HYOK, les stratégies de droits et la clé privée de l’organisation qui protège ces stratégies sont gérées et conservées au niveau local, tandis que la stratégie Azure Information Protection pour l’étiquetage et la classification est gérée et stockée dans Azure.In this HYOK scenario, the rights policies and the organization's private key that protects these policies are managed and kept on-premises while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure. Comme pour la protection Azure RMS, les informations que vous protégez avec AD RMS ne sont jamais envoyées dans le cloud.As with Azure RMS protection, information that you protect with AD RMS is never sent to the cloud.

Note

Utilisez uniquement cette configuration quand cela est nécessaire et limitez-la aux documents et e-mails qui l’exigent.Use this configuration only when you have to, and for just the documents and emails that require it. La protection AD RMS ne fournit pas les avantages associés à la protection Azure RMS. Son objectif est plutôt d’offrir une « opacité des données à tout prix ».AD RMS protection doesn't provide the listed benefits that you get when you use Azure RMS protection, and its purpose is "data opacity at all costs."

En général, cette protection convient à moins de 10 % de l’ensemble du contenu devant être protégé, même pour les organisations qui utilisent cette configuration.Even for the organizations that use this configuration, it is typically suitable for less than 10% of all the content that needs to be protected. Nous vous conseillons de l’utiliser uniquement pour les documents ou e-mails qui correspondent à tous les critères suivants :As guidance, use it only for documents or emails that match all the following criteria:

  • Le contenu est soumis au niveau de classification le plus élevé au sein de votre organisation (« Top Secret ») et l’accès est limité à quelques personnes.The content has the highest classification in your organization ("Top Secret") and access is restricted to just a few people.

  • Le contenu n’est jamais partagé en dehors de l’organisation.The content is never shared outside the organization.

  • Le contenu est uniquement utilisé sur le réseau interne.The content is only consumed on the internal network.

  • Le contenu n’a pas besoin d’être utilisé sur des ordinateurs Mac ou des appareils mobiles.The content does not need to be consumed on Mac computers or mobile devices.

Les utilisateurs ne sont pas en mesure de déterminer si une étiquette utilise la protection AD RMS ou la protection Azure RMS.Users are not aware when a label uses AD RMS protection rather than Azure RMS protection. En raison des restrictions et limitations associées à la protection AD RMS, veillez à fournir des informations précises sur les exceptions applicables lorsque les utilisateurs doivent sélectionner des étiquettes qui exécutent la protection AD RMS.Because of the restrictions and limitations that come with AD RMS protection, make sure that you provide clear guidance about the exceptions for when users should select labels that apply AD RMS protection.

Les stratégies délimitées constituent un bon moyen de vous assurer que les utilisateurs qui ont besoin d’appliquer la protection AD RMS sont les seuls à voir les étiquettes configurées pour la protection AD RMS.Scoped policies are a good way to ensure that only the users who need to apply AD RMS protection see labels that are configured for AD RMS protection.

Limitations supplémentaires lors de l’utilisation de la solution HYOKAdditional limitations when using HYOK

En plus de ne pas prendre en charge les avantages associés à l’utilisation de la protection Azure RMS, l’utilisation conjuguée d’AD RMS et d’Azure Information Protection s’accompagne des limitations suivantes :In addition to not supporting the listed benefits that you get when you use Azure RMS protection, using AD RMS protection with Azure Information Protection has the following limitations:

  • Absence de prise en charge d’Office 2010 ou Office 2007.Does not support Office 2010 or Office 2007.

  • Demandez aux utilisateurs de ne pas sélectionner Ne pas transférer dans Outlook ou fournissez des instructions spécifiques.Instruct users not to select Do Not Forward in Outlook, or provide specific guidance.

    Même si vous pouvez configurer une étiquette pour Ne pas transférer afin d’utiliser HYOK ou le service Azure Rights Management, les utilisateurs peuvent également sélectionner Ne pas transférer eux-mêmes.Although you can configure a label for Do Not Forward to use HYOK or the Azure Rights Management service, users can also select Do Not Forward themselves. Ils peuvent sélectionner cette option à l’aide du bouton Ne pas transférer sous l’onglet Message du ruban Office ou à l’aide des options de menu d’Outlook.They can select this option by using the Do Not Forward button on the Message tab of the Office ribbon, or by using Outlook menu options. Les options de menu Ne pas transférer sont situées sous Fichier > Autorisations et en cliquant sur le bouton Autorisations de l’onglet Options sur le ruban.The Do Not Forward menu options are located in File > Permissions, and from the Permissions button from the Options tab on the ribbon.

    Le client Azure Information Protection utilise toujours Azure RMS quand les utilisateurs sélectionnent le bouton Ne pas transférer dans Outlook.The Azure Information Protection client always uses Azure RMS when users select the Do Not Forward button in Outlook. Si vous ne souhaitez pas ce comportement, vous pouvez masquer ce bouton en définissant le paramètre de stratégie Ajouter le bouton Ne pas transférer au ruban Outlook sur Désactivé.If you do not want this behavior, you can hide this button by setting the policy setting Add the Do Not Forward button to the Outlook ribbon to Off.

    Quand les utilisateurs sélectionnent Ne pas transférer à partir d’une option de menu Outlook, ils peuvent choisir Azure RMS ou AD RMS, mais risquent de ne pas savoir quelle option choisir pour leur e-mail.When users select Do Not Forward from an Outlook menu option, they can choose from Azure RMS or AD RMS, but they might not know which option to select for their email message. Si AD RMS est utilisé par erreur à la place d’Azure RMS, les personnes externes avec qui vous partagez du contenu ne peuvent pas ouvrir ces e-mails.If AD RMS is used when Azure RMS should be used, people that you share with externally cannot open these email messages

  • Si vous configurez des autorisations définies par l’utilisateur pour Word, Excel, PowerPoint et l’Explorateur de fichiers : dans l’Explorateur de fichiers, la protection est toujours appliquée à l’aide d’Azure RMS et non à l’aide de la protection HYOK (AD RMS).If you configure user defined permissions for Word, Excel, PowerPoint, and File Explorer: In File Explorer, the protection is always applied by using Azure RMS rather than HYOK (AD RMS) protection. Cette limitation ne s’applique pas à la préversion actuelle du client.This limitation does not apply to the current preview version of the client.

  • Si un utilisateur choisit dans Outlook une étiquette qui applique la protection AD RMS, puis change d’avis avant d’envoyer l’e-mail et sélectionne une étiquette qui applique la protection Azure RMS, la dernière étiquette sélectionnée ne peut pas s’appliquer.If users choose a label in Outlook that applies AD RMS protection, and then change their minds before sending the email and select a label that applies Azure RMS protection, the newly selected label fails to apply. Les utilisateurs voient apparaître le message d’erreur suivant : Azure Information Protection ne peut pas appliquer cette étiquette. Vous n’avez pas l’autorisation requise pour effectuer cette action.Users see the following error message: Azure Information Protection cannot apply this label. You don't have permission to perform this action.

    La seule solution de contournement consiste à fermer l’e-mail et à recommencer.The only workaround is to close the email message and start again. La même restriction s’applique lorsque les utilisateurs commencent par choisir une étiquette qui applique la protection Azure RMS, puis la remplacent par une étiquette qui applique la protection AD RMS.The same limitation applies if similarly, users first choose a label that applies Azure RMS protection and then change the label to one that applies AD RMS protection.

Exigences liées à HYOKRequirements for HYOK

Vérifiez que votre déploiement AD RMS répond aux exigences suivantes pour fournir la protection AD RMS pour Azure Information Protection.Check that your AD RMS deployment meets the following requirements to provide AD RMS protection for Azure Information Protection.

  • Configuration d’AD RMS :AD RMS configuration:

    • Version minimale de Windows Server 2012 R2 : obligatoire pour les environnements de production, mais à des fins de test ou d’évaluation, vous pouvez utiliser une version minimale de Windows Server 2008 R2 avec Service Pack 1.Minimal version of Windows Server 2012 R2: Required for production environments but for testing or evaluation purposes, you can use a minimal version of Windows Server 2008 R2 with Service Pack 1.

    • Une des topologies suivantes :One of the following topologies:

      • Forêt unique avec un seul cluster racine AD RMS.Single forest with a single AD RMS root cluster.

      • Plusieurs forêts avec des clusters racines AD RMS indépendants, les utilisateurs n’ayant pas accès au contenu protégé par les utilisateurs des autres forêts.Multiple forests with independent AD RMS root clusters and users don't have access to the content that's protected by the users in the other forests.

      • Plusieurs forêts avec des clusters AD RMS dans chacune d’elles.Multiple forests with AD RMS clusters in each of them. Chaque cluster AD RMS partage une URL de licence qui pointe vers le même cluster AD RMS.Each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster. Sur ce cluster AD RMS, vous devez importer tous les certificats de domaine utilisateur approuvé à partir de tous les autres clusters AD RMS.On this AD RMS cluster, you must import all the trusted user domain (TUD) certificates from all the other AD RMS clusters. Pour plus d’informations concernant cette topologie, consultez Domaine utilisateur approuvé.For more information about this topology, see Trusted User Domain.

      Quand vous avez plusieurs clusters AD RMS dans des forêts distinctes, supprimez toutes les étiquettes de la stratégie globale qui appliquent la protection HYOK (AD RMS) et qui configurent une stratégie délimitée pour chaque cluster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster. Affectez ensuite les utilisateurs de chaque cluster à leur stratégie délimitée, en vous assurant que vous n’utilisez pas des groupes qui entraîneraient l’affectation d’un utilisateur à plusieurs stratégies délimitées.Then, assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy. Chaque utilisateur doit avoir des étiquettes pour un seul cluster AD RMS.The result should be that each user has labels for one AD RMS cluster only.

    • Mode de chiffrement 2: vous pouvez confirmer le mode en vérifiant les propriétés du cluster AD RMS, onglet Général.Cryptographic Mode 2: You can confirm the mode by checking the AD RMS cluster properties, General tab.

    • Un point de connexion de service (SCP) n’est pas inscrit dans Active Directory : aucun SCP n’est utilisé quand vous appliquez la protection AD RMS avec Azure Information Protection.A service connection point (SCP) is not registered in Active Directory: An SCP is not used when you use AD RMS protection with Azure Information Protection. Si vous avez inscrit un SCP pour votre déploiement AD RMS, vous devez le supprimer pour que la découverte du service fonctionne pour la protection Azure Rights Management.If you have a registered an SCP for your AD RMS deployment, you must remove it so that service discovery is successful for Azure Rights Management protection.

    • Les serveurs AD RMS sont configurés pour utiliser SSL/TLS avec un certificat x.509 valide qui est approuvé par les clients qui se connectent : obligatoire pour les environnements de production, mais non obligatoire à des fins de test ou d’évaluation.The AD RMS servers are configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients: Required for production environments but not required for testing or evaluation purposes.

    • Modèles de droits configurés.Configured rights templates.

  • La synchronisation d’annuaires est configurée entre votre annuaire Active Directory local et votre annuaire Azure Active Directory, et les utilisateurs qui utilisent la protection AD RMS sont configurés pour l’authentification unique.Directory synchronization is configured between your on-premises Active Directory and Azure Active Directory, and users who will use AD RMS protection are configured for single sign-on.

  • Si vous partagez des documents ou des e-mails protégés par AD RMS avec des personnes extérieures à votre organisation : AD RMS est configuré pour des approbations définies explicitement dans une relation de point à point directe avec les autres organisations à l’aide de domaines d’utilisateurs approuvés ou d’approbations fédérées créés au moyen des services de fédération Active Directory (AD FS).If you share documents or emails that are protected by AD RMS with others outside your organization: AD RMS is configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations by using either trusted user domains (TUDs) or federated trusts that are created by using Active Directory Federation Services (AD FS).

  • Les utilisateurs exécutent Office 2013 Pro Plus avec Service Pack 1 ou Office 2016 Pro Plus sur Windows 7 Service Pack 1 ou version ultérieure.Users have a version of Office that is Office 2013 Pro Plus with Service Pack 1 or Office 2016 Pro Plus, running on Windows 7 Service Pack 1 or later. Notez qu’Office 2010 et Office 2007 ne sont pas pris en charge dans ce scénario.Note that Office 2010 and Office 2007 are not supported for this scenario.

Important

Pour assurer le haut niveau de garantie de ce scénario, placez de préférence vos serveurs AD RMS à l’extérieur de votre réseau de périmètre et faites-en sorte qu’ils soient uniquement utilisés par des ordinateurs bien gérés (et non, par exemple, par des appareils mobiles ou des ordinateurs de groupe de travail).To fulfill the high assurance that this scenario offers, we recommend that your AD RMS servers are not located in your DMZ, and that they are used by only well-managed computers (for example, not mobile devices or workgroup computers).

Nous recommandons également que votre cluster AD RMS utilise un HSM, pour que la clé privée de votre certificat de licence serveur ne puisse pas être exposée ou volée en cas de violation ou de compromission de la sécurité de votre déploiement AD RMS.We also recommend that your AD RMS cluster uses a hardware security module (HSM), so that the private key for your Server Licensor Certificate (SLC) cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Pour obtenir des informations et des instructions sur le déploiement pour AD RMS, consultez Services AD RMS (Active Directory Rights Management Services) dans la bibliothèque Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Recherche d’informations pour spécifier la protection AD RMS avec une étiquette Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

Quand vous configurez une étiquette pour la protection HYOK (AD RMS), vous devez spécifier l’URL de licence de votre cluster AD RMS.When you configure a label for HYOK (AD RMS) protection, you must specify the licensing URL of your AD RMS cluster. Par ailleurs, vous devez spécifier un modèle que vous avez configuré pour les autorisations à accorder aux utilisateurs ou permettre aux utilisateurs de définir les autorisations et les utilisateurs.In addition, you must specify either a template that you've configured for the permissions to grant users, or let users define the permissions and users.

Les valeurs du GUID de modèle et de l’URL de licence sont disponibles dans la console des services AD RMS (Active Directory Rights Management Services) :You can find the template GUID and licensing URL values from the Active Directory Rights Management Services console:

  • Pour rechercher le GUID du modèle : développez le cluster, puis cliquez sur Modèles de stratégies de droits.To locate a template GUID: Expand the cluster and click Rights Policy Templates. Vous pouvez ensuite copier le GUID des informations Modèles de stratégies de droits distribués à partir du modèle à utiliser.From the Distributed Rights Policy Templates information, you can then copy the GUID from the template you want to use. Par exemple : 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

  • Pour trouver l’URL de licence : cliquez sur le nom du cluster.To locate the licensing URL: Click the cluster name. Dans Détails du cluster, copiez la valeur Gestion des licences valeur sans la chaîne /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string. Par exemple : https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

    Si vous disposez d’une valeur de licence extranet et d’une valeur de licence intranet différentes : spécifiez la valeur extranet uniquement si vous voulez partager des documents ou des e-mails protégés avec des partenaires qui ont été définis avec des approbations point à point explicites.If you have an extranet licensing value as well as an intranet licensing value, and they are different: Specify the extranet value only if you will share protected documents or emails with partners that you have defined with explicit point-to-point trusts. Sinon, utilisez la valeur intranet et vérifiez que tous les ordinateurs clients qui utilisent la protection AD RMS avec Azure Information Protection se connectent au moyen d’une connexion intranet (par exemple, les ordinateurs distants utilisent une connexion VPN).Otherwise, use the intranet value and make sure that all your client computers that use AD RMS protection with Azure Information Protection connect by using an intranet connection (for example, remote computers use a VPN connection).

Étapes suivantesNext steps

Pour en savoir plus sur cette fonctionnalité et obtenir des conseils sur son utilisation, consultez l’annonce sur le billet de blog Azure Information Protection with HYOK (Hold Your Own Key).To read more information about this feature and guidance for when to use it, see the blog post announcement, Azure Information Protection with HYOK (Hold Your Own Key).

Pour savoir comment configurer une étiquette pour la protection AD RMS, voir Comment configurer une étiquette pour la protection offerte par Rights Management.To configure a label for AD RMS protection, see How to configure a label for Rights Management protection.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.