Comment configurer une étiquette pour la protection offerte par Rights ManagementHow to configure a label for Rights Management protection

S’applique à : Azure Information ProtectionApplies to: Azure Information Protection

Vous pouvez protéger vos documents et e-mails les plus sensibles à l’aide d’un service Rights Management.You can protect your most sensitive documents and emails by using a Rights Management service. Ce service utilise des stratégies de chiffrement, d’identité et d’autorisation pour vous aider à éviter les pertes de données.This service uses encryption, identity, and authorization policies to help prevent data loss. La protection est appliquée quand vous configurez une étiquette de façon la protection Rights Management pour des documents et des e-mails, ou l’option Ne pas transférer pour les e-mails Outlook.The protection is applied when you configure a label to use Rights Management protection for documents and emails, or the Do not forward option for Outlook email messages.

Fonctionnement de la protectionHow the protection works

Quand un document ou un e-mail est protégé par Rights Management, il est chiffré au repos et en transit et peut uniquement être déchiffré par les utilisateurs autorisés.When a document or email is protected by Rights Management, it is encrypted at rest and in transit and can only be decrypted by authorized users. Ce chiffrement est conservé avec le document ou l’e-mail, même si ce dernier est renommé.This encryption stays with the document or email, even if it is renamed. En outre, vous pouvez configurer des droits d’utilisation et des restrictions, comme dans les exemples suivants :In addition, you can configure usage rights and restrictions, such as the following examples:

  • Seuls les utilisateurs de votre organisation peuvent ouvrir le document ou l’e-mail confidentiel de l’entreprise.Only users within your organization can open the company-confidential document or email.

  • Seuls les utilisateurs du service marketing peuvent modifier et imprimer le document ou l’e-mail d’annonce de la promotion. Tous les autres utilisateurs de votre organisation peuvent uniquement lire le document ou l’e-mail.Only users in the marketing department can edit and print the promotion announcement document or email while all other users in your organization can only read this document or email.

  • Les utilisateurs ne peuvent pas transférer un e-mail ou copier des informations s’y trouvant si des informations sur une réorganisation interne s’y trouvent.Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • Il est impossible d’ouvrir la liste de prix actuelle envoyée à des partenaires commerciaux après une date spécifiée.The current price list that is sent to business partners cannot be opened after a specified date.

Pour plus d’informations sur les modèles Azure Rights Management, consultez Configurer et gérer les modèles dans la stratégie Azure Information Protection.For more information about Azure Rights Management templates, see Configure and manage templates in the Azure Information Protection policy.

Pour plus d’informations sur Azure Rights Management et son fonctionnement, consultez Qu'est-ce qu'Azure Rights Management ?For more information about Azure Rights Management and how it works, see What is Azure Rights Management?

Important

Pour configurer une étiquette pour appliquer la protection Azure Rights Management, le service Azure Rights Management doit être activé pour votre organisation.To configure a label to apply Azure Rights Management protection, the Azure Rights Management service must be activated for your organization. Si vous ne le n’avez pas déjà fait, consultez Activation d'Azure Rights Management.If you have not yet done this, see Activating Azure Rights Management.

Quand l’étiquette applique une protection, il n’est pas approprié d’enregistrer un document protégé sur SharePoint ou OneDrive.When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. Ces emplacements ne prennent pas en charge les fonctionnalités suivantes pour les fichiers protégés : co-édition, Office Online, recherche, aperçu du document, miniature et eDiscovery.These locations do not support the following for protected files: Co-authoring, Office Online, search, document preview, thumbnail, and eDiscovery.

Exchange ne doit pas être configuré pour IRM (Information Rights Management, Gestion des droits relatifs à l'information) avant que les utilisateurs ne puissent appliquer des étiquettes dans Outlook pour protéger leurs e-mails.Exchange does not have to be configured for information rights management (IRM) before users can apply labels in Outlook to protect their emails. Toutefois, vous n’obtiendrez pas toutes les fonctionnalités de la protection Azure Rights Management avec Exchange jusqu'à ce qu’Exchange soit configuré pour IRM.However, until Exchange is configured for IRM, you will not get the full functionality of using Azure Rights Management protection with Exchange. Par exemple, les utilisateurs ne seront pas en mesure d’afficher des e-mails protégés sur un téléphone mobile ou la version web d’Outlook. Les e-mails protégés ne peuvent pas être indexés pour la recherche, et vous ne pourrez pas configurer DLP Exchange Online pour la protection Rights Management.For example, users will not be able to view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you will not be able to configure Exchange Online DLP for rights management protection. Consultez les ressources suivantes pour configurer Exchange de manière à prendre en charge ces scénarios supplémentaires :To configure Exchange to support these additional scenarios, see the following resources:

Configurer une étiquette pour la protection Rights ManagementTo configure a label for Rights Management protection

  1. Si vous ne l’avez pas déjà fait, ouvrez une nouvelle fenêtre de navigateur et connectez-vous au portail Azure en tant qu’administrateur de la sécurité ou administrateur général, puis accédez au panneau Azure Information Protection.If you haven't already done so, open a new browser window and sign in to the Azure portal as a security admin or global admin, and then navigate to the Azure Information Protection blade.

    Par exemple, dans le menu du hub, cliquez sur Autres services et commencez à taper Information dans la zone Filtrer.For example, on the hub menu, click More services and start typing Information in the Filter box. Sélectionnez Azure Information Protection.Select Azure Information Protection.

  2. Si l’étiquette à configurer s’applique à tous les utilisateurs, sélectionnez Stratégie globale dans le panneau initial d’Azure Information Protection.If the label that you want to configure will apply to all users, select Global policy from the initial Azure Information Protection blade. Cependant, si l’étiquette à configurer se trouve dans une stratégie délimitée pour qu’elle s’applique uniquement à des utilisateurs sélectionnés, sélectionnez à la place Stratégies délimitées puis sélectionnez votre stratégie délimitée dans le panneau Azure Information Protection - Stratégies délimitées.However, if the label that you want to configure is in a scoped policy so that it applies to selected users only, select Scoped policies instead, and select your scoped policy from the Azure Information Protection - Scoped polices blade.

  3. Dans le panneau Stratégie, sélectionnez l’étiquette que vous souhaitez configurer. Le panneau Étiquette s’ouvre.On the Policy blade, select the label that you want to configure, which opens the Label blade.

  4. Dans le panneau Étiquette, recherchez la zone Définir des autorisations pour les documents et les e-mails contenant cette étiquette et sélectionnez une des options suivantes :On the Label blade, locate Set permissions for documents and emails containing this label and select one of the following options:

    • Non configuré : sélectionnez cette option si l’étiquette est actuellement configurée pour appliquer la protection et que vous ne voulez plus qu’elle le fasse.Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. Passez ensuite à l'étape 11.Then go to step 11.

    • Protéger : sélectionnez cette option pour appliquer la protection, puis passez à l’étape 5.Protect: Select this option to apply protection, and then go to step 5.

    • Supprimer la protection : sélectionnez cette option pour supprimer la protection si elle est configurée pour un document ou un e-mail.Remove Protection: Select this option to remove protection if it is configured for a document or email. Passez ensuite à l'étape 11.Then go to step 11.

      Remarque : les utilisateurs doivent disposer des autorisations nécessaires pour pouvoir supprimer la protection Rights Management et appliquer une étiquette associée à cette option.Note that users must have permissions to remove Rights Management protection to apply a label that has this option. Cette option nécessite que les utilisateurs aient le droit d’utilisation Exportation ou Contrôle total,This option requires users to have the Export or Full Control usage right. ou ils doivent être propriétaires de Rights Management (ce qui accorde automatiquement le droit d’utilisation Contrôle total), ou être un super utilisateur dans Azure Rights Management.Or, they must be the Rights Management owner (which automatically grants the Full Control usage right), or be a super user for Azure Rights Management. Les modèles Azure Rights Management par défaut n’incluent pas les droits d’utilisation qui permettent aux utilisateurs de supprimer la protection.The default Azure Rights Management templates do not include the usage rights that let users remove protection.

      Si les utilisateurs ne disposent pas des autorisations nécessaires pour supprimer la protection Rights Management et qu’ils sélectionnent une étiquette configurée avec l’option Supprimer la protection, ils reçoivent le message suivant : Azure Information Protection ne peut pas appliquer cette étiquette. Si le problème persiste, contactez votre administrateur.If users do not have permissions to remove Rights Management protection and select a label that is configured with this Remove Protection option, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  5. Si vous avez sélectionné Protéger, sélectionnez maintenant Protection pour ouvrir le panneau Protection :If you selected Protect, now select Protection to open the Protection blade:

    Configurer la protection d’une étiquette Azure Information Protection

  6. Dans le panneau Protection, sélectionnez Azure RMS ou HYOK (AD RMS).On the Protection blade, select Azure RMS or HYOK (AD RMS).

    Pour la plupart des cas, sélectionnez Azure RMS pour vos paramètres d’autorisation.In most cases, select Azure RMS for your permission settings. Ne sélectionnez HYOK (AD RMS) que si vous avez lu et compris les prérequis et les restrictions qui accompagnent cette configuration « conservez votre propre clé » (HYOK, hold your own key).Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. Pour plus d’informations, consultez HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMS.For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. Pour poursuivre la configuration de la fonction HYOK (AD RMS), passez à l’étape 10.To continue the configuration for HYOK (AD RMS), go to step 10.

  7. Sélectionnez l’une des options suivantes :Select one of the following options:

    • Ne pas transférer : pour définir cette option d’Outlook pour les messages électroniques.Do not forward: To set this Outlook option for emails.

    • Sélectionner un modèle prédéfini : utilisez un des modèles par défaut ou un modèle personnalisé que vous avez configuré.Select a predefined template: To use one of the default templates or a custom template that you've configured. Ce modèle doit être publié (pas archivé) et ne doit pas être déjà lié à une autre étiquette.This template must be published (not archived) and must not be linked already to another label.

    • Définissez des autorisations pour définir de nouveaux paramètres de protection dans ce portail.Set permissions to define new protection settings in this portal.

  8. Si vous avez choisi Sélectionner un modèle prédéfini pour Azure RMS, cliquez sur la zone de liste déroulante et sélectionnez le modèle à utiliser pour protéger les documents et les e-mails avec cette étiquette.If you selected Select a predefined template for Azure RMS, click the drop-down box and select the template that you want to use to protect documents and emails with this label. Vous ne voyez pas les modèles archivés ou les modèles qui sont déjà sélectionnés pour une autre étiquette.You do not see archived templates or templates that are already selected for another label.

    Si vous sélectionnez un modèle de service ou que vous avez configuré des contrôles d’intégration :If you select a departmental template, or if you have configured onboarding controls:

    • Les utilisateurs en dehors de l’étendue configurée du modèle ou qui sont exclus de l’application de la protection d’Azure Rights Management continuent de voir l’étiquette, mais ne peuvent pas l’appliquer.Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection will still see the label but cannot apply it. S’ils sélectionnent l’étiquette, ils voient le message suivant : Azure Information Protection ne peut pas appliquer cette étiquette. Si le problème persiste, contactez votre administrateur.If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      Notez que tous les modèles publiés sont toujours affichés, même si vous configurez une stratégie délimitée.Note that all published templates are always shown, even if you are configuring a scoped policy. Par exemple, vous configurez une stratégie délimitée au groupe Marketing.For example, you are configuring a scoped policy for the Marketing group. Les modèles Azure RMS que vous pouvez sélectionner ne se limitent pas aux modèles délimités au groupe Marketing, et il est possible de sélectionner un modèle de service que les utilisateurs sélectionnés ne peuvent pas utiliser.The Azure RMS templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. Pour faciliter la configuration et minimiser la résolution des problèmes, envisagez d’attribuer le même nom au modèle de service et à l’étiquette de votre stratégie délimitée.For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. Si vous avez sélectionné Définir les autorisations pour Azure RMS, cette option vous permet de configurer les mêmes paramètres que ceux que vous pouvez configurer dans un modèle.If you selected Set permissions for Azure RMS, this option lets you configure the same settings that you can configure in a template.

    Sélectionnez Ajouter des autorisations puis, dans le panneau Ajouter des autorisations, sélectionnez le premier ensemble d’utilisateurs et de groupes qui auront des droits d’utilisation du contenu à protéger par l’étiquette sélectionnée :Select Add permissions, and on the Add permissions blade, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • Choisissez Sélectionner dans la liste pour ajouter tous les utilisateurs de votre organisation ou parcourez l’annuaire.Choose Select from the list to add all users from your organization or browse the directory.

      Les utilisateurs ou les groupes doivent avoir une adresse e-mail.The users or groups must have an email address. Dans un environnement de production, ce sera presque toujours le cas, mais dans un simple environnement de test, il peut être nécessaire d’ajouter des adresses e-mails aux comptes d’utilisateur ou aux groupes.In a production environment, this is nearly always be the case, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

    • Choisissez Entrer les détails pour spécifier manuellement des adresses e-mail pour les utilisateurs individuels ou les groupes (internes ou externes).Choose Enter details to manually specify email addresses for individual users or groups (internal or external). Vous pouvez aussi spécifier tous les utilisateurs d’une autre organisation en entrant un nom de domaine de cette organisation.Or, to specify all users in another organization by entering a domain name from that organization.

      Note

      Si une adresse e-mail est modifiée une fois que vous avez sélectionné l’utilisateur ou le groupe, consultez la section Éléments à prendre en considération en cas de modification des adresses de messagerie de la documentation relative à la planification.If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      Au titre de bonne pratique, utilisez des groupes plutôt que des utilisateurs.As a best practice, use groups rather than users. Cette stratégie conserve votre configuration plus simple et rend moins probable la nécessité de mettre à jour ultérieurement votre configuration d’étiquettes puis de reprotéger le contenu.This stratetegy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. Toutefois, si vous apportez des modifications à ce groupe, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe.However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

      Quand vous avez spécifié le premier ensemble d’utilisateurs et de groupes, sélectionnez les autorisations à leur accorder.When you have specified the first set of users and groups, select the permissions to grant these users and groups. Pour plus d’informations sur les autorisations disponibles, consultez Configuration des droits d’utilisation pour Azure Rights Management.For more information about the permissions that you can select, see Configuring usage rights for Azure Rights Management. Cependant, la manière dont les applications qui prennent en charge cette protection implémentent ces autorisations peut varier.However, applications that support this protection might vary in how they implement these permissions. Consultez la documentation des applications et testez vous-mêmes celles dont les utilisateurs se servent afin de vérifier leur comportement avant de déployer le modèle pour les utilisateurs.Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

      Si nécessaire, vous pouvez maintenant ajouter un deuxième ensemble d’utilisateurs et de groupes avec des droits d’utilisation.If required, you can now add a second set of users and groups with usage rights. Répétez cette opération jusqu’à avoir spécifié tous les utilisateurs et les groupes avec leurs autorisations respectives.Repeat until you have specified all the users and groups with their respective permissions.

      Conseil

      Vous pouvez ajouter l’autorisation personnalisée Copier et extraire le contenu et l’accorder à des administrateurs de récupération de données ou à du personnel occupant une autre fonction qui a la responsabilité de récupérer des informations.Consider adding the Copy and extract content custom permission and grant this to data recovery administrators or personnel in other roles that have responsibilities for information recovery. Si nécessaire, ces utilisateurs peuvent alors supprimer la protection des fichiers et des e-mails qui seront protégés à l’aide de cette étiquette ou de ce modèle.If needed, these users can then remove protection from files and emails that will be protected by using this label or template. Cette possibilité de supprimer la protection au niveau des autorisations pour un document ou un e-mail offre un contrôle plus précis que la fonctionnalité de super utilisateur.This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

      Pour tous les utilisateurs et les groupes que vous avez spécifiés dans le panneau Protection, vérifiez maintenant si des modifications doivent être apportées aux paramètres suivants.For all the users and groups that you specified, on the Protection blade, now check whether you want to make any changes to the following settings. Notez que ces paramètres, comme avec les autorisations, ne s’appliquent pas à l’émetteur ou au propriétaire de Rights Management, ou n’importe quel super utilisateur que vous avez affecté.Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

      ParamètreSetting Plus d'informationsMore information Paramètre recommandéRecommended setting
      expiration du contenucontent expiration Définissez une date ou un nombre de jours après lesquels les documents ou messages protégés par le modèle ne devront plus s'ouvrir.Define a date or number of days for this template when documents or emails that are protected by the template should not open for the selected users. Vous pouvez spécifier une date ou un nombre de jours à partir du moment où la protection est appliquée au contenu.You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

      Lorsque vous spécifiez une date, celle-ci prend effet à minuit, dans votre fuseau horaire actuel.When you specify a date, it is effective midnight, in your current time zone.
      Le contenu n’expire jamais, sauf s'il comporte une spécification de durée.Content never expires unless the content has a specific time-bound requirement.
      Autoriser l’accès hors connexionAllow offline access Utilisez ce paramètre pour équilibrer les éventuelles exigences de sécurité que vous avez (dont l’accès après la révocation) avec la possibilité pour les utilisateurs sélectionnés d’ouvrir du contenu protégé lorsqu’ils ne disposent pas d’une connexion Internet.Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an Internet connection.

      Si vous spécifiez que le contenu n’est pas disponible sans connexion Internet ou que ce contenu est disponible seulement pour un nombre de jours spécifié, quand ce seuil est atteint, ces utilisateurs doivent se réauthentifier et leur accès est journalisé.If you specify that content is not available without an Internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. Dans ce cas, si leurs informations d’identification ne sont pas mises en cache, les utilisateurs sont invités à se connecter préalablement pour pouvoir ouvrir le ou e-mail.When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

      En plus de la réauthentification, la stratégie et l’appartenance au groupe d’utilisateurs sont réévaluées.In addition to reauthentication, the policy and the user group membership is re-evaluated. Cela signifie que les utilisateurs peuvent accéder de nouveau ou ne plus accéder à un même document ou e-mail si des modifications ont été apportées à la stratégie ou à l'appartenance au groupe depuis leur dernier accès.This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. Cela peut inclure l’absence d’accès si le document a été révoqué.That could include no access if the document has been revoked.
      En fonction de la sensibilité du contenu :Depending on how sensitive the content is:

      - Nombre de jours pendant lesquels le contenu est disponible sans connexion Internet = 7 pour les données métier sensibles pouvant nuire à l’entreprise si elles sont partagées avec des personnes non autorisées.- Number of days the content is available without an Internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. Cette recommandation offre un compromis entre sécurité et flexibilité.This recommendation offers a balanced compromise between flexibility and security. Il peut s’agir entre autres de contrats, de rapports de sécurité, de résumés de prévision et de données commerciales.Examples include contracts, security reports, forecast summaries, and sales account data.

      - Jamais pour les données d’entreprise très sensibles qui pourraient provoquer des dommages à l’activité si elles étaient partagées avec des personnes non autorisées.- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. Cette recommandation donne la priorité à la sécurité par rapport à la souplesse et garantit que si le document est révoqué, tous les utilisateurs autorisés perdent instantanément la possibilité d’ouvrir le document.This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. Il s'agit entre autres d'informations sur les clients et les employés, les mots de passe, le code source et des rapports financiers préalablement annoncés.Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

      Une fois terminée la configuration des autorisations, cliquez sur OK.When you have finished configuring the permissions, click OK.

      Ce regroupement de paramètres crée un modèle personnalisé pour le service Azure Rights Management.This grouping of settings creates a custom template for the Azure Rights Management service. Ces modèles peuvent être utilisés avec les applications et services qui s’intègrent à Azure Rights Management.These templates can be used with applications and services that integrate with Azure Rights Management. Pour plus d’informations sur la façon dont les ordinateurs et les services téléchargent et actualisent ces modèles, consultez Actualisation des modèles pour les utilisateurs et services.For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  10. Si vous avez sélectionné Sélectionner un modèle prédéfini pour HYOK (AD RMS) : spécifiez le GUID du modèle et l’URL de licence de votre cluster AD RMS.If you selected Select a predefined template for HYOK (AD RMS): Provide the template GUID and licensing URL of your AD RMS cluster. Plus d’informationsMore information

  11. Cliquez sur Terminé pour fermer le panneau Protection et voir apparaître la valeur que vous avez choisie pour Ne pas transférer ou le modèle que vous avez sélectionné pour l’option Protection dans le panneau Étiquette.Click OK to close the Protection blade and see your choice of Do not forward or your chosen template display for the Protection option in the Label blade.

  12. Dans le panneau Étiquette, cliquez sur Enregistrer.On the Label blade, click Save.

  13. Pour que les utilisateurs puissent voir ces modifications, cliquez dans le panneau Azure Information Protection sur Publier.To make your changes available to users, on the Azure Information Protection blade, click Publish.

Étapes suivantesNext steps

Pour plus d’informations sur la configuration de votre stratégie Azure Information Protection, utilisez les liens figurant dans la section Configuration de la stratégie de votre organisation.For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.