Forum aux questions sur la protection des données dans Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Vous avez une question sur le service de protection des données, Azure Rights Management, d’Azure Information Protection ?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Vous trouverez peut-être une réponse ici.See if it's answered here.

Pour bénéficier de la protection d’Azure Rights Management, les fichiers doivent-ils se trouver dans le cloud ?Do files have to be in the cloud to be protected by Azure Rights Management?

Non, il s’agit d’une idée fausse répandue.No, this is a common misconception. Le service Azure Rights Management (et plus généralement Microsoft) ne voit pas et ne stocke pas vos données dans le cadre du processus de protection des informations.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Les informations que vous protégez ne sont jamais stockées dans Azure, sauf si vous indiquez expressément votre volonté de les y stocker, ou si vous utilisez un autre service cloud qui les stocke dans Azure.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Pour plus d’informations, consultez How does Azure RMS work? Under the hood (Les coulisses du fonctionnement d’Azure RMS) pour comprendre comment une formule secrète du cola, créée et stockée localement, est protégée par le service Azure Rights Management tout en restant sur place.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Quelle est la différence entre le chiffrement Azure Rights Management et le chiffrement dans d’autres services cloud Microsoft ?What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft propose plusieurs technologies de chiffrement qui vous permettent de protéger vos données dans des scénarios différents et souvent complémentaires.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Par exemple, si Office 365 offre le chiffrement au repos des données stockées dans Office 365, le service Azure Rights Management d’Azure Information Protection chiffre indépendamment vos données pour les protéger, quel que soit leur emplacement ou leur mode de transmission.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Pour utiliser ces technologies de chiffrement complémentaires, vous devez les activer et les configurer indépendamment.These encryption technologies are complementary and using them requires enabling and configuring them independently. À ce stade, vous pouvez être invité à fournir votre propre clé de chiffrement. Il s’agit du scénario BYOK (« Bring Your Own Key »).When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Le fait d’activer BYOK avec l’une de ces technologies n’affecte pas les autres.Enabling BYOK for one of these technologies does not affect the others. Vous pouvez ainsi utiliser BYOK avec Azure Information Protection et ne pas l’utiliser avec d’autres technologies de chiffrement, ou vice versa.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Les clés utilisées par ces différentes technologies peuvent être identiques ou non, selon la façon dont vous configurez les options de chiffrement pour chaque service.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Quelle est la différence entre les dispositifs BYOK et HYOK et quand dois-je les utiliser ?What’s the difference between BYOK and HYOK and when should I use them?

Dans Azure Information Protection, la solution Bring Your Own Key (BYOK) vous permet de créer votre propre clé en local pour la protection offerte par Azure Rights Management.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Ensuite, vous transférez cette clé à un module de sécurité matériel (HSM, Hardware Security Module) dans Azure Key Vault, mais elle reste en votre possession et vous continuez à la gérer.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Si vous ne procédez pas ainsi, la fonctionnalité de protection d’Azure Rights Management utilise une clé automatiquement créée et gérée pour vous dans Azure.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Cette configuration par défaut est considérée comme « gérée par Microsoft » plutôt que « gérée par le client » (option BYOK).This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

Pour en savoir plus sur la solution BYOK et déterminer si vous devez choisir cette topologie de clé pour votre organisation, voir Planification et implémentation de votre clé de locataire Azure Information Protection.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Dans Azure Information Protection, la solution Hold Your Own Key (HYOK) est destinée au petit nombre d’organisations disposant d’un ensemble de documents ou d’e-mails qui ne peuvent pas être protégés par une clé stockée dans le cloud.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. Pour ces organisations, cette restriction s’applique, même si elles ont créé la clé et la gèrent via la solution BYOK.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. Cette restriction a souvent pour origine des problèmes de conformité et de réglementation, la configuration HYOK devant uniquement être appliquée aux informations « Top Secret », qui ne seront jamais partagées en dehors de l’organisation et seront uniquement utilisées sur le réseau interne, et qui ne devront pas nécessairement être accessibles depuis des appareils mobiles.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

Pour ces exceptions (soit un maximum de 10 % des contenus devant être protégés, en moyenne), les organisations peuvent utiliser une solution locale, à savoir Active Directory Rights Management Services, pour créer la clé, qui restera en local.For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. Avec cette solution, les ordinateurs récupèrent leur stratégie Azure Information Protection à partir du cloud, mais ce contenu identifié peut être protégé à l’aide de la clé en local.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

Pour en savoir plus sur la solution HYOK et vous assurer que vous comprenez ses limitations et restrictions, tout en bénéficiant de conseils sur son utilisation, voir HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMS.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Où trouver des informations sur les solutions tierces qui s’intègrent à Azure RMS ?Where can I find information about third-party solutions that integrate with Azure RMS?

De nombreux fournisseurs de logiciels disposent de solutions ou implémentent des solutions qui s’intègrent à Azure Rights Management, et la liste augmente rapidement.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Il peut s’avérer utile de consulter la liste des solutions compatibles avec RMS et de récupérer les dernières mises à jour auprès de Dan Plastina @TheRMSGuy sur Twitter.You might find it useful to check the RMS-englightened solutions list and get the latest updates from Dan Plastina @TheRMSGuy on Twitter. Toutefois, si vous avez une question, envoyez un e-mail à l’équipe Information Protection : askipteam@microsoft.com.However, if you have a specific question, send an email message to the Information Protection team: askipteam@microsoft.com.

Existe-t-il un pack d’administration ou un mécanisme de surveillance similaire pour le connecteur RMS ?Is there a management pack or similar monitoring mechanism for the RMS connector?

Bien que le connecteur Rights Management consigne les messages d’information, d’avertissement et d’erreur dans le journal des événements, il n’existe pas de pack d’administration qui inclut la surveillance de ces événements.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. Toutefois, la liste des événements et leurs descriptions, ainsi que des informations supplémentaires pour vous aider à prendre une action corrective, sont documentées dans Surveiller le connecteur Azure Rights Management.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Dois-je être administrateur général pour configurer Azure RMS ou puis-je déléguer cette opération à d’autres administrateurs ?Do you need to be a global admin to configure Azure RMS, or can I delegate to other administrators?

Les administrateurs généraux pour un locataire Office 365 ou Azure AD peuvent évidemment exécuter toutes les tâches d’administration pour le service Azure Rights Management.Global administrators for an Office 365 tenant or Azure AD tenant can obviously run all administrative tasks for the Azure Rights Management service. Toutefois, si vous souhaitez affecter des autorisations administratives à d’autres utilisateurs, vous pouvez recourir à l’applet de commande PowerShell d’Azure RMS Add-AadrmRoleBasedAdministrator.However, if you want to assign administrative permissions to other users, you can do so by using the Azure RMS PowerShell cmdlet, Add-AadrmRoleBasedAdministrator. Vous pouvez affecter ce rôle d’administration par compte d’utilisateur ou par groupe.You can assign this administrative role by user account, or by group. Deux rôles sont disponibles : Administrateur général et Administrateur du connecteur.There are two roles available: Global Administrator and Connector Administrator.

Comme ces noms de rôles le suggèrent, le premier rôle accorde des autorisations pour exécuter toutes les tâches d’administration pour Azure Rights Management (sans étendre le rôle d’administrateur général aux autres services cloud) et le second rôle accorde des autorisations pour exécuter uniquement le connecteur Rights Management (RMS).As these role names suggest, the first role grants permissions to run all administrative tasks for Azure Rights Management (without making them a global administrator for other cloud services) and the second role grants permissions to run only the Rights Management (RMS) connector.

Quelques éléments à prendre en compte :Some things to note:

  • Seuls les administrateurs généraux pour Office 365 et les administrateurs généraux pour Azure AD peuvent utiliser le Centre d’administration Office 365 ou le portail Azure Classic pour configurer Azure RMS.Only global administrators for Office 365 and global administrators for Azure AD can use the Office 365 admin center or Azure classic portal to configure Azure RMS. Si vous utilisez le portail Azure pour Azure Information Protection, vous pouvez également vous connecter en tant qu’administrateur de sécurité.If you use the Azure portal for Azure Information Protection, you can also sign in as a security admin.

  • Les utilisateurs auxquels vous affectez le rôle d’administrateur général pour Azure RMS doivent utiliser des commandes PowerShell d’Azure RMS pour configurer Azure RMS.Users that you assign the global administrator role for Azure RMS must use Azure RMS PowerShell commands to configure Azure RMS. Pour déterminer les bonnes applets de commande suivant les tâches à effectuer, consultez Administration d’Azure Rights Management à l’aide de Windows PowerShell.To help you find the right cmdlets for specific tasks, see Administering Azure Rights Management by Using Windows PowerShell.

  • Si vous avez configuré des contrôles d’intégration, cette configuration n’affecte pas la possibilité d’administrer Azure RMS, à l’exception du connecteur RMS.If you have configured onboarding controls, this configuration does not affect the ability to administer Azure RMS, except the RMS connector. Par exemple, si vous avez configuré des contrôles d’intégration de manière à ce que seul le groupe « Département informatique » puisse protéger du contenu, le compte que vous utilisez pour installer et configurer le connecteur RMS doit être membre de ce groupe.For example, if you have configured onboarding controls such that the ability to protect content is restricted to the “IT department” group, the account that you use to install and configure the RMS connector must be a member of that group.

  • Aucun administrateur pour Azure RMS (par exemple l’administrateur général du locataire ou un administrateur général d’Azure RMS) ne peut supprimer automatiquement la protection des documents ou des e-mails qui ont été protégés par Azure RMS.No administrator for Azure RMS (for example, the tenant's global admin or an Azure RMS global administrator) can automatically remove protection from documents or emails that were protected by Azure RMS. Seuls les utilisateurs ayant le statut de super utilisateurs pour Azure RMS peuvent effectuer cette opération, sous réserve que la fonctionnalité de super utilisateur soit activée.Only users who are assigned super users for Azure RMS can do this, and when the super user feature is enabled. Toutefois, l’administrateur général du client et n’importe quel administrateur général Azure RMS peuvent affecter des utilisateurs comme super utilisateurs, y compris leur propre compte.However, the tenant's global administrator and any Azure RMS global administrator can assign users as super users, including their own account. Ils peuvent également activer la fonctionnalité de super utilisateur.They can also enable the super user feature. Ces actions sont enregistrées dans le journal de l’administrateur Azure RMS.These actions are recorded in the Azure RMS administrator log. Pour plus d’informations, consultez la section des bonnes pratiques dans Configuration de super utilisateurs pour Azure Rights Management et les services de découverte ou la récupération de données.For more information, see the security best practices section in Configuring super users for Azure Rights Management and discovery services or data recovery.

Note

Les modèles et de nouvelles options pour configurer la protection Azure Rights Management ont été déplacées dans le portail Azure, qui prend en charge les administrateurs de sécurité en plus de l’accès de l’administrateur général.Templates and new options for configuring Azure Rights Management protection have moved to the Azure portal, which supports security admins in addition to global admin access.

Comment créer un nouveau modèle personnalisé dans le portail Azure ?How do I create a new custom template in the Azure portal?

Les modèles personnalisés ont été déplacés dans le portail Azure, où vous pouvez continuer à les gérer en tant que modèles, ou les convertir en étiquettes.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Pour créer un nouveau modèle, créez une nouvelle étiquette et configurez les paramètres de protection des données pour Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. En pratique, cela crée un nouveau modèle qui est ensuite accessible pour les services et applications qui s’intègrent avec les modèles Rights Management.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Pour plus d’informations sur les modèles dans le portail Azure, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

J'ai un déploiement hybride d'Exchange avec certains utilisateurs sur Exchange Online et d'autres utilisateurs sur Exchange Server. Est-ce compatible avec Azure RMS ?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Absolument, et l'avantage est que les utilisateurs peuvent protéger et consommer sans problème des e-mails et pièces jointes entre les deux déploiements Exchange.Absolutely, and the nice thing is, users will be able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Pour cette configuration, activez Azure RMS et Gestion des droits relatifs à l’information (IRM) pour Exchange Online, puis déployez et configurez le connecteur RMS pour Exchange Server.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Si j’utilise cette protection pour mon environnement de production, ma société est-elle enfermée dans la solution ou risque-t-elle de perdre l’accès au contenu protégé par Azure RMS ?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Non, vous gardez toujours le contrôle de vos données et pouvez continuer à y accéder, même si vous décidez de ne plus utiliser le service Azure Rights Management.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Pour plus d’informations, consultez Désaffectation et désactivation d’Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

Toutefois, avant que vous désaffectiez votre déploiement Azure RMS, nous aimerions que vous nous aidiez à comprendre pourquoi vous avez pris cette décision.However, before you decommission your Azure RMS deployment, we would like to hear from you and understand why you made this decision. Si la protection Azure Rights Management ne répond pas à vos besoins, demandez-nous si de nouvelles fonctionnalités sont prévues dans un futur proche ou s’il existe des alternatives.If Azure Rights Management protection does not fulfill your business requirements, check with us in case new functionality is planned for the near-future or if there are alternatives. Envoyez un e-mail à AskIPTeam@Microsoft.com. Nous serons heureux de discuter de vos exigences techniques et professionnelles.Send an email message to AskIPTeam@Microsoft.com and we’ll be happy to discuss your technical and business requirements.

Puis-je contrôler les utilisateurs pouvant utiliser Azure RMS pour protéger du contenu ?Can I control which of my users can use Azure RMS to protect content?

Oui, le service Azure Rights Management dispose de contrôles d’intégration d’utilisateur pour ce scénario.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Pour plus d’informations, consultez la section Configuration de contrôles d’intégration pour un déploiement échelonné dans l’article Activation d’Azure Rights Management.For more information, see the Configuring onboarding controls for a phased deployment section in the Activating Azure Rights Management article.

Puis-je empêcher des utilisateurs de partager des documents protégés avec des organisations spécifiques ?Can I prevent users from sharing protected documents with specific organizations?

L’un des avantages majeurs de l’utilisation du service Azure Rights Management pour la protection des données est qu’il prend en charge la collaboration interentreprises sans que vous soyez obligé de configurer des approbations explicites pour chaque organisation partenaire, car Azure AD se charge de l’authentification à votre place.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Il n'existe aucune option d'administration permettant d'empêcher des utilisateurs de partager en toute sécurité des documents avec des organisations spécifiques.There is no administration option to prevent users from securely sharing documents with specific organizations. Par exemple, imaginons que vous souhaitiez bloquer une organisation en laquelle vous n’avez pas confiance ou qui exerce une activité concurrente.For example, you want to block an organization that you don’t trust or that has a competing business. Empêcher le service Azure Rights Management d’envoyer des documents protégés à des utilisateurs travaillant au sein de cette organisation n’aurait aucun sens, car ceux-ci partageraient leurs documents non protégés, ce qui est probablement la dernière chose que vous souhaitez dans le cadre de ce scénario.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Par exemple, vous ne seriez pas en mesure d’identifier qui partage des documents confidentiels avec quels utilisateurs au sein de ces organisations, contrairement à ce que vous pouvez faire quand le document (ou l’e-mail) est protégé par le service Azure Rights Management.For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Lors du partage d'un document protégé avec une personne extérieure à mon organisation, comment cet utilisateur s'authentifie-t-il ?When I share a protected document with somebody outside my company, how does that user get authenticated?

Le service Azure Rights Management utilise toujours un compte Azure Active Directory et une adresse de messagerie associée pour l’authentification de l’utilisateur, ce qui rend la collaboration interentreprises transparente pour les administrateurs.The Azure Rights Management service always uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Si l’autre organisation utilise des services Azure, les utilisateurs disposent déjà de comptes dans Azure Active Directory, même si ceux-ci sont créés et gérés localement, puis synchronisés avec Azure.If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Si l'organisation dispose d'Office 365, en arrière-plan, ce service utilise également Azure Active Directory pour les comptes d'utilisateur.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Si l’organisation de l’utilisateur ne dispose pas de compte géré dans Azure, les utilisateurs peuvent s’inscrire à RMS for individuals, ce qui a pour effet de créer un locataire Azure non géré et un annuaire pour l’organisation avec un compte pour l’utilisateur, afin que celui-ci, et les utilisateurs suivants, puissent s’authentifier auprès du service Azure Rights Management.If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

La méthode d'authentification pour ces comptes peut varier en fonction de la manière dont l'administrateur de l'autre organisation a configuré les comptes Azure Active Directory.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Par exemple, ils peuvent utiliser des mots de passe créés pour ces comptes, Multi-Factor Authentication (MFA), une fédération ou des mots de passe créés dans les services de domaine Active Directory, puis synchronisés avec Azure Active Directory.For example, they could use passwords that were created for these accounts, multi-factor authentication (MFA), federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Puis-je ajouter des utilisateurs externes (des personnes ne faisant pas partie de mon organisation) à des modèles personnalisés ?Can I add external users (people from outside my company) to custom templates?

Oui.Yes. Quand vous convertissez un modèle en étiquette dans le portail Azure, vous pouvez configurer les paramètres de protection pour ajouter des autorisations à des utilisateurs et groupes extérieurs à votre organisation, et même à tous les utilisateurs d’une autre organisation.When you convert a template to a label in the Azure portal, you can configure the protection settings to add permissions to users and groups from outside your organization, and even all users in another organization. Vous pouvez aussi faire cette configuration en utilisant PowerShell.Or, you can do this configuration by using PowerShell.

Pour plus d’informations sur la conversion de modèles personnalisés en étiquettes dans le but de faciliter l’ajout d’utilisateurs externes, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information about converting custom templates to labels so that you can then easily add external users, see Configuring and managing templates for Azure Information Protection.

Azure RMS fonctionne-t-il avec des groupes dynamiques dans Azure AD ?Does Azure RMS work with dynamic groups in Azure AD?

Une fonctionnalité Azure AD Premium vous permet de configurer l’appartenance dynamique à des groupes de sécurité en spécifiant des règles basées sur des attributs.An Azure AD Premium feature lets you configure dynamic membership for security groups by specifying attribute-based rules. Ce type de groupe ne prend pas en charge une adresse de messagerie et ne peut donc pas être utilisé avec le service Azure Rights Management.This group type does not support an email address, and so cannot be used with the Azure Rights Management service. Toutefois, les groupes Office 365 prennent en charge l’appartenance au groupe dynamique et sont compatibles avec la messagerie.However, Office 365 groups support both dynamic group membership and are mail-enabled. Dans la mesure où ce groupe est à extension messagerie, vous pouvez l’utiliser avec la protection Azure Rights Management.Because this group is mail-enabled, you can use it with Azure Rights Management protection.

Pour plus d’informations sur la configuration requise pour les utilisateurs et groupes qui peuvent être utilisés avec le service Azure Rights Management, consultez Préparer des utilisateurs et groupes pour Azure Information Protection.For more information about the requirements for users and groups that can be used with the Azure Rights Management service, see Prepare users and groups for Azure Information Protection.

Comment envoyer un e-mail protégé sur un compte Gmail ou Hotmail ?How do I send a protected email to a Gmail or Hotmail account?

Vous avez peut-être vu des références ou démonstrations d’Azure Information Protection où des courriers électroniques protégés sont envoyés aux comptes Gmail ou Hotmail.You might have seen references or demos for Azure Information Protection that sends protected emails to Gmail or Hotmail accounts. Cette fonctionnalité n’est encore qu’une préversion privée, vous n’aurez donc pas d’informations supplémentaires dans ce document jusqu’à ce que la fonctionnalité soit publiée sans limitation.This feature is still in private preview, so you will not find more information about it in this documentation until it is fully released.

Quels appareils et types de fichier Azure RMS prend-il en charge ?What devices and which file types are supported by Azure RMS?

Pour obtenir la liste des appareils qui prennent en charge le service Azure Rights Management, consultez Appareils clients prenant en charge la protection des données Azure Rights Management.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Les fonctionnalités Rights Management n’étant pas toutes disponibles sur tous les appareils pris en charge, pensez à consulter le tableau des applications compatibles avec RMS.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

Le service Azure Rights Management peut prendre en charge tous les types de fichiers.The Azure Rights Management service can support all file types. Dans le cas de texte, d’images, de fichiers Microsoft Office (Word, Excel, PowerPoint), de fichiers .pdf et d’autres types de fichier d’application, Azure Rights Management offre une protection native qui comprend le chiffrement et la mise en application de droits (autorisations).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Pour tous les autres types de fichier et d'application, la protection générique offre l'encapsulation et l'authentification des fichiers afin de vérifier si un utilisateur est autorisé à ouvrir le fichier.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Pour obtenir la liste des extensions de noms de fichiers pris en charge en mode natif par Azure Rights Management, consultez Types de fichiers pris en charge par Azure Information Protection.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Les extensions de nom de fichier qui ne figurent pas dans la liste sont prises en charge grâce à l’utilisation du client Azure Information Protection qui applique automatiquement une protection générique à ces fichiers.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Comment configurer un ordinateur Mac pour protéger et suivre les documents ?How do I configure a Mac computer to protect and track documents?

Tout d’abord, assurez-vous que vous avez installé Office pour Mac en utilisant le lien d’installation à partir de https://portal.office.com.First, make sure that you have installed Office for Mac by using the software installation link from https://portal.office.com. Pour obtenir des instructions complètes, consultez Télécharger et installer ou réinstaller Office 365 ou Office 2016 sur un PC ou un Mac.For full instructions, see Download and install or reinstall Office 365 or Office 2016 on a PC or Mac.

Ouvrez Outlook et créez un profil à l’aide de compte de travail ou scolaire Office 365.Open Outlook and create a profile by using your Office 365 work or school account. Ensuite, créez un nouveau message, puis procédez comme suit pour configurer Office afin qu’il puisse protéger les documents et e-mails à l’aide du service Azure Rights Management :Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. Dans le nouveau message, dans l’onglet Options, cliquez sur Autorisations, puis cliquez sur Vérifier les informations d’identification.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. Lorsque vous y êtes invité, spécifiez à nouveau les détails votre compte de travail ou scolaire Office 365, puis sélectionnez Connexion.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Cela permet de télécharger les modèles Azure Rights Management, et Vérifier les informations d’identification est remplacé par des options qui incluent Aucune restriction, Ne pas transférer, ainsi que les modèles Azure Rights Management qui sont publiés pour votre client.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Vous pouvez désormais annuler ce nouveau message.You can now cancel this new message.

Pour protéger un message électronique ou un document : dans l’onglet Options, cliquez sur Autorisations et choisissez une option ou un modèle qui protège votre adresse e-mail ou un document.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

Pour effectuer le suivi d’un document une fois que vous l’avez protégé : sur un ordinateur Windows disposant du client Azure Information Protection installé, enregistrez le document avec le site de suivi de documents à l’aide d’une application de bureau ou l’Explorateur de fichiers.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Pour obtenir des instructions, consultez Suivre et révoquer vos documents.For instructions, see Track and revoke your documents. À partir de votre ordinateur Mac, vous pouvez maintenant utiliser votre navigateur web pour accéder au site de suivi des documents (https://track.azurerms.com) pour suivre et révoquer ce document.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

Quand j’ouvre un document Office protégé par RMS, le fichier temporaire associé devient-il également protégé par RMS ?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

Non.No. Dans ce scénario, le fichier temporaire associé ne contient pas les données du document d’origine, mais uniquement ce que l’utilisateur entre pendant que le fichier est ouvert.In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. Contrairement au fichier d’origine, le fichier temporaire n’est évidemment pas conçu pour le partage. Il reste sur l’appareil, protégé par des contrôles de sécurité locaux tels que BitLocker et EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Nous voulons utiliser BYOK avec Azure Information Protection mais avons appris que cette solution n’est pas compatible avec Exchange Online. Que conseillez-vous ?We really want to use BYOK with Azure Information Protection but learned that this isn’t compatible with Exchange Online—what’s your advice?

Ne laissez pas cette limitation retarder l’utilisation du service Azure Rights Management d’Azure Information Protection.Don’t let this current limitation delay using the Azure Rights Management service of Azure Information Protection. Si vous disposez d’Exchange Online et souhaitez utiliser la solution BYOK, nous vous recommandons de déployer maintenant Azure Information Protection en mode de gestion de clés par défaut dans lequel Microsoft génère et gère votre clé.If you have Exchange Online and want to use bring your own key (BYOK), we recommend that you deploy Azure Information Protection in the default key management mode now, where Microsoft generates and manages your key. De cette façon, vous bénéficiez de tous les avantages de la protection de vos fichiers et courriers électroniques importants, avec la possibilité de passer à BYOK ultérieurement (par exemple, si Exchange Online ne prend pas en charge BYOK).That way, you get all the benefits of protecting your important files and emails now, with the option to move to BYOK later (for example, when Exchange Online does support BYOK). Si vous passez à BYOK, vous pouvez continuer d’utiliser vos documents et e-mails précédemment protégés en utilisant une clé archivée.When you do move to BYOK, your previously protected documents and emails remain accessible by using an archived key.

Toutefois, si vos stratégies d’entreprise vous obligent à utiliser un module de sécurité matériel (HSM) sans lequel votre déploiement d’Azure Information Protection serait bloqué, vous pouvez déployer Azure Information Protection avec l’option BYOK, et des fonctionnalités de protection Rights Management réduites pour Exchange.However, if your company policies require you to use a hardware security module (HSM) and this would otherwise block your Azure Information Protection deployment, another option is to deploy Azure Information Protection with BYOK now, with reduced Rights Management protection functionality for Exchange. Pour plus d’informations, consultez Tarifs et restrictions BYOK dans Planification et implémentation de la clé de locataire Azure Rights Management.For more information, see BYOK pricing and restrictions from Planning and implementing your Azure Rights Management tenant key.

Il semble qu'une fonctionnalité que je recherche ne fonctionne pas avec les bibliothèques protégées SharePoint. Une prise en charge de ma fonctionnalité est-elle prévue ?A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

Actuellement, SharePoint prend en charge les documents protégés par RMS en utilisant des bibliothèques protégées par IRM, qui ne prennent pas en charge les modèles Rights Management, le suivi de document et certaines autres fonctionnalités.Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Pour plus d’informations, consultez la section SharePoint Online et SharePoint Server dans l’article Applications et services Office.For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

Si vous êtes intéressé par une fonctionnalité spécifique qui n’est pas encore prise en charge, surveillez les annonces publiées dans Enterprise Mobility and Security Blog (Blog de sécurité et de mobilité d’entreprise).If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Comment configurer OneDrive Entreprise dans SharePoint Online, afin que les utilisateurs puissent partager en toute sécurité des fichiers avec des personnes à l'intérieur et à l'extérieur de l'organisation ?How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

Par défaut, en votre qualité d’administrateur Office 365, ce n’est pas vous qui configurez cela, mais les utilisateurs.By default, as an Office 365 administrator, you don’t configure this; users do.

De la même manière qu’un administrateur de site SharePoint active et configure IRM pour une bibliothèque SharePoint dont il est propriétaire, OneDrive Entreprise a été conçu pour permettre aux utilisateurs d’activer et de configurer IRM pour leur propre bibliothèque OneDrive Entreprise.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. Cependant, en utilisant PowerShell, vous pouvez le faire à leur place.However, by using PowerShell, you can do this for them. Pour obtenir des instructions, consultez la section SharePoint Online et OneDrive Entreprise : configuration de la gestion des droits relatifs à l’information dans l’article Office 365 : configuration pour les clients et services en ligne.For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Avez-vous des conseils ou des astuces pour réussir le déploiement ?Do you have any tips or tricks for a successful deployment?

Après avoir supervisé de nombreux déploiements et écouté nos clients, partenaires, consultants et ingénieurs du support technique, voici l’un des conseils les plus importants que nous pouvons vous donner : Concevoir et déployer des stratégies simples.After overseeing many deployments and listening to our ers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Puisqu’Azure Information Protection permet de partager des fichiers en toute sécurité, vous pouvez faire preuve d’ambition concernant la portée de la protection de vos données.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Mais faites bien attention aux stratégies relatives aux droits.But be conservative with your rights policies. Pour de nombreuses organisations, la meilleure chose à faire est de prévenir la fuite des données en appliquant le modèle de stratégie de droits par défaut, qui restreint l’accès aux seuls membres de votre organisation.For many organizations, the biggest business impact comes from preventing data leakage by applying the default rights policy template that restricts access to people in your organization. Bien sûr, vous pouvez être bien plus précis si vous devez empêcher des personnes d’imprimer, d’éditer, etc. Évitez néanmoins d’être trop précis pour des documents nécessitant un niveau de sécurité élevé. Au lieu d’implémenter ces stratégies restrictives le premier jour, adoptez une approche plus progressive.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive policies on day one, but plan for a more phased approach.

Comment récupérer l'accès à des fichiers protégés par un employé qui a quitté l'organisation ?How do we regain access to files that were protected by an employee who has now left the organization?

Utilisez la fonctionnalité de super utilisateur qui permet à des utilisateurs autorisés d’exercer des droits d’utilisation complète sur toutes les licences accordées par le locataire de votre organisation.Use the super user feature, which lets authorized users have full usage rights for all use licenses that were granted by your organization’s tenant. Cette même fonctionnalité permet à des services autorisés d'indexer et d'inspecter des fichiers si nécessaire.This same feature lets authorized services index and inspect files, as needed.

Lorsque je teste la révocation dans le site de suivi des documents, je vois un message m’indiquant que les autres utilisateurs continueront d’avoir accès au document pendant 30 jours. Cette durée est-elle configurable ?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Oui.Yes. Ce message indique la licence d’utilisation de ce fichier en particulier.This message reflects the use license for that specific file. Une licence d'utilisation est un certificat par document qui est accordé à un utilisateur souhaitant ouvrir un e-mail ou un fichier protégé.A use license is a per-document certificate that is granted to a user who opens a protected file or email message. Ce certificat contient les droits d’utilisateur du fichier ou de l’e-mail, la clé de chiffrement qui est utilisée pour chiffrer le contenu, ainsi que les restrictions d’accès supplémentaires définies dans la stratégie du document.This certificate contains that user's rights for the file or email message and the encryption key that was used to encrypt the content, as well as additional access restrictions defined in the document's policy. Quand la période de validité de la licence d’utilisation expire et que l’utilisateur tente d’ouvrir le fichier ou l’e-mail, ses informations d’identification doivent être renvoyées au service Azure Rights Management.When the validity period of the use license is expired and a user tries to open the file or email message, their user credentials must be resubmitted to the Azure Rights Management service.

La révocation d’un fichier ne peut être appliquée que lorsque l’utilisateur doit s’authentifier auprès du service Azure Rights Management.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Par conséquent, si la période de validité de la licence d’utilisation du fichier est de 30 jours et que l’utilisateur a déjà ouvert le document, il peut continuer d’y accéder pendant toute la durée de la licence d’utilisation.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Quand la licence d’utilisation expire, l’utilisateur doit se réauthentifier et l’accès lui est refusé, car le document a été révoqué.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

L’utilisateur qui a protégé le document, l’émetteur Rights Management n’est pas concerné par cette révocation et peut toujours accéder à ses documents.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

Pour un locataire, la valeur par défaut de la période de validité de la licence est de 30 jours. Vous pouvez configurer cette valeur à l’aide de l’applet de commande PowerShell Set-AadrmMaxUseLicenseValidityTime.The default value for the use license validity period for a tenant is 30 days and you can configure this value by using the PowerShell cmdlet, Set-AadrmMaxUseLicenseValidityTime. Ce paramètre peut être remplacé par un paramètre plus restrictif dans un modèle.This setting can be overridden by a more restrictive setting in a template.

Pour plus d’informations et pour obtenir des exemples de la façon dont fonctionne la licence d’utilisation, consultez la description détaillée de Set-AadrmMaxUseLicenseValidityTime.For more information and examples of how the use license works, see the detailed description for Set-AadrmMaxUseLicenseValidityTime.

Est-ce que Rights Management peut empêcher les captures d’écran ?Can Rights Management prevent screen captures?

En n’accordant pas le droit d’utilisation Copy, Rights Management peut empêcher des captures d’écran de nombreux outils de capture écran couramment utilisés sur les plates-formes Windows (Windows 7, Windows 8.1, Windows 10, Windows Phone) et Android.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows Phone) and Android. En revanche, les appareils iOS et Mac n’autorisent aucune application à empêcher les captures d’écran, et les navigateurs (par exemple, utilisés avec Outlook Web App et Office Online) ne peuvent pas non plus empêcher les captures d’écran.However, iOS and Mac devices do not allow any app to prevent screen captures, and browsers (for example, when used with Outlook Web App and Office Online) also cannot prevent screen captures.

La possibilité d’empêcher les captures d’écran peut également aider à éviter la divulgation accidentelle ou involontaire de renseignements confidentiels ou sensibles.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Il existe par ailleurs de nombreuses façons de partager des données affichées sur un écran, et la capture d’écran n’est qu’une méthode parmi d’autres.But there are many ways that a user can share data that is displayed on a screen, and taking a screen shot is only one method. Par exemple, un utilisateur désireux de partager des informations affichées peut parfaitement les photographier avec son téléphone, recopier les données ou simplement les communiquer verbalement à un tiers.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Comme le montrent ces exemples, même si la totalité des plateformes et logiciels prenaient en charge les API de Rights Management pour bloquer les captures d’écran, la technologie seule ne peut pas toujours empêcher des utilisateurs de partager des données qu’ils ne devraient pas.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Même si Rights Management peut contribuer à protéger vos données importantes au moyen de stratégies d’autorisation et d’utilisation, cette solution de gestion des droits d’entreprise doit être assortie d’autres moyens de contrôle.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Par exemple, vous pouvez mettre en place une sécurité physique, surveiller et soumettre à un contrôle strict les personnes autorisées à accéder aux données de votre organisation et investir dans la formation pour sensibiliser les utilisateurs à la question du partage de données.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Quelle différence y a-t-il entre un utilisateur qui protège un e-mail avec l’option Ne pas transférer et un modèle qui n’inclut pas de droit de transfert ?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

En dépit de son nom et de son apparence, l’option Ne pas transférer n’est ni le contraire du droit de transfert, ni un modèle.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Il s’agit en fait d’un ensemble de droits qui incluent la restriction de copier, imprimer et enregistrer des pièces jointes, outre la restriction de transfert des e-mails.It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. Les droits sont appliqués dynamiquement aux utilisateurs par le biais des destinataires choisis et non pas statiquement attribués par l’administrateur.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Pour plus d’informations, consultez la section Option Ne pas transférer pour les e-mails dans Configuration des droits d’utilisation pour Azure Rights Management.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Rights Management.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.