Forum aux questions sur la protection des données dans Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Vous avez une question sur le service de protection des données, Azure Rights Management, d’Azure Information Protection ?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Vous trouverez peut-être une réponse ici.See if it's answered here.

Pour bénéficier de la protection d’Azure Rights Management, les fichiers doivent-ils se trouver dans le cloud ?Do files have to be in the cloud to be protected by Azure Rights Management?

Non, il s’agit d’une idée fausse répandue.No, this is a common misconception. Le service Azure Rights Management (et plus généralement Microsoft) ne voit pas et ne stocke pas vos données dans le cadre du processus de protection des informations.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Les informations que vous protégez ne sont jamais stockées dans Azure, sauf si vous indiquez expressément votre volonté de les y stocker, ou si vous utilisez un autre service cloud qui les stocke dans Azure.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Pour plus d’informations, consultez How does Azure RMS work? Under the hood (Les coulisses du fonctionnement d’Azure RMS) pour comprendre comment une formule secrète du cola, créée et stockée localement, est protégée par le service Azure Rights Management tout en restant sur place.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Quelle est la différence entre le chiffrement Azure Rights Management et le chiffrement dans d’autres services cloud Microsoft ?What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft propose plusieurs technologies de chiffrement qui vous permettent de protéger vos données dans des scénarios différents et souvent complémentaires.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Par exemple, si Office 365 offre le chiffrement au repos des données stockées dans Office 365, le service Azure Rights Management d’Azure Information Protection chiffre indépendamment vos données pour les protéger, quel que soit leur emplacement ou leur mode de transmission.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Pour utiliser ces technologies de chiffrement complémentaires, vous devez les activer et les configurer indépendamment.These encryption technologies are complementary and using them requires enabling and configuring them independently. À ce stade, vous pouvez être invité à fournir votre propre clé de chiffrement. Il s’agit du scénario BYOK (« Bring Your Own Key »).When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Le fait d’activer BYOK avec l’une de ces technologies n’affecte pas les autres.Enabling BYOK for one of these technologies does not affect the others. Vous pouvez ainsi utiliser BYOK avec Azure Information Protection et ne pas l’utiliser avec d’autres technologies de chiffrement, ou vice versa.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Les clés utilisées par ces différentes technologies peuvent être identiques ou non, selon la façon dont vous configurez les options de chiffrement pour chaque service.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Quelle est la différence entre les dispositifs BYOK et HYOK et quand dois-je les utiliser ?What’s the difference between BYOK and HYOK and when should I use them?

Dans Azure Information Protection, la solution Bring Your Own Key (BYOK) vous permet de créer votre propre clé en local pour la protection offerte par Azure Rights Management.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Ensuite, vous transférez cette clé à un module de sécurité matériel (HSM, Hardware Security Module) dans Azure Key Vault, mais elle reste en votre possession et vous continuez à la gérer.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Si vous ne procédez pas ainsi, la fonctionnalité de protection d’Azure Rights Management utilise une clé automatiquement créée et gérée pour vous dans Azure.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Cette configuration par défaut est considérée comme « gérée par Microsoft » plutôt que « gérée par le client » (option BYOK).This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

Pour en savoir plus sur la solution BYOK et déterminer si vous devez choisir cette topologie de clé pour votre organisation, voir Planification et implémentation de votre clé de locataire Azure Information Protection.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Dans Azure Information Protection, la solution Hold Your Own Key (HYOK) est destinée au petit nombre d’organisations disposant d’un ensemble de documents ou d’e-mails qui ne peuvent pas être protégés par une clé stockée dans le cloud.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. Pour ces organisations, cette restriction s’applique, même si elles ont créé la clé et la gèrent via la solution BYOK.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. Cette restriction a souvent pour origine des problèmes de conformité et de réglementation, la configuration HYOK devant uniquement être appliquée aux informations « Top Secret », qui ne seront jamais partagées en dehors de l’organisation et seront uniquement utilisées sur le réseau interne, et qui ne devront pas nécessairement être accessibles depuis des appareils mobiles.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

Pour ces exceptions (soit un maximum de 10 % des contenus devant être protégés, en moyenne), les organisations peuvent utiliser une solution locale, à savoir Active Directory Rights Management Services, pour créer la clé, qui restera en local.For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. Avec cette solution, les ordinateurs récupèrent leur stratégie Azure Information Protection à partir du cloud, mais ce contenu identifié peut être protégé à l’aide de la clé en local.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

Pour en savoir plus sur la solution HYOK et vous assurer que vous comprenez ses limitations et restrictions, tout en bénéficiant de conseils sur son utilisation, voir HYOK (conservez votre propre clé) : exigences et restrictions pour la protection AD RMS.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Puis-je désormais utiliser BYOK avec Exchange Online ?Can I now use BYOK with Exchange Online?

Oui, vous pouvez maintenant utiliser BYOK avec Exchange Online quand vous suivez les instructions dans Configurer de nouvelles fonctionnalités de chiffrement de messages Office 365 reposant sur Azure Information Protection.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. Ces instructions activent les nouvelles fonctionnalités dans Exchange Online qui prennent en charge BYOK pour Azure Information Protection, ainsi que le nouveau chiffrement de messages Office 365.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Pour plus d’informations sur ce changement, consultez l’annonce du blog : Chiffrement de messages Office 365 avec les nouvelles fonctionnalitésFor more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Où trouver des informations sur les solutions tierces qui s’intègrent à Azure RMS ?Where can I find information about third-party solutions that integrate with Azure RMS?

De nombreux fournisseurs de logiciels disposent de solutions ou implémentent des solutions qui s’intègrent à Azure Rights Management, et la liste augmente rapidement.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Il peut s’avérer utile de consulter la liste des solutions compatibles avec RMS et d’obtenir les dernières mises à jour de MicrosoftMobility@MSFTMobility sur Twitter.You might find it useful to check the RMS-englightened solutions list and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Consultez également le guide du développeur et postez vos questions relatives à l’intégration sur le site Yammer Azure Information Protection.Also check the developer's guide and post any specific integration questions on the Azure Information Protection Yammer site.

Existe-t-il un pack d’administration ou un mécanisme de surveillance similaire pour le connecteur RMS ?Is there a management pack or similar monitoring mechanism for the RMS connector?

Bien que le connecteur Rights Management consigne les messages d’information, d’avertissement et d’erreur dans le journal des événements, il n’existe pas de pack d’administration qui inclut la surveillance de ces événements.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. Toutefois, la liste des événements et leurs descriptions, ainsi que des informations supplémentaires pour vous aider à prendre une action corrective, sont documentées dans Surveiller le connecteur Azure Rights Management.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Dois-je être administrateur général pour configurer Azure RMS ou puis-je déléguer cette opération à d’autres administrateurs ?Do you need to be a global admin to configure Azure RMS, or can I delegate to other administrators?

Les administrateurs généraux pour un locataire Office 365 ou Azure AD peuvent évidemment exécuter toutes les tâches d’administration pour le service Azure Rights Management.Global administrators for an Office 365 tenant or Azure AD tenant can obviously run all administrative tasks for the Azure Rights Management service. Toutefois, si vous souhaitez affecter des autorisations administratives à d’autres utilisateurs, vous pouvez recourir à l’applet de commande PowerShell d’Azure RMS Add-AadrmRoleBasedAdministrator.However, if you want to assign administrative permissions to other users, you can do so by using the Azure RMS PowerShell cmdlet, Add-AadrmRoleBasedAdministrator. Vous pouvez affecter ce rôle d’administration par compte d’utilisateur ou par groupe.You can assign this administrative role by user account, or by group. Deux rôles sont disponibles : Administrateur général et Administrateur du connecteur.There are two roles available: Global Administrator and Connector Administrator.

Comme ces noms de rôles le suggèrent, le premier rôle accorde des autorisations pour exécuter toutes les tâches d’administration pour Azure Rights Management (sans étendre le rôle d’administrateur général aux autres services cloud) et le second rôle accorde des autorisations pour exécuter uniquement le connecteur Rights Management (RMS).As these role names suggest, the first role grants permissions to run all administrative tasks for Azure Rights Management (without making them a global administrator for other cloud services) and the second role grants permissions to run only the Rights Management (RMS) connector.

Quelques éléments à prendre en compte :Some things to note:

  • Seuls les administrateurs généraux pour Office 365 et les administrateurs généraux pour Azure AD peuvent utiliser le Centre d’administration Office 365 ou le portail Azure Classic pour configurer Azure RMS.Only global administrators for Office 365 and global administrators for Azure AD can use the Office 365 admin center or Azure classic portal to configure Azure RMS. Si vous utilisez le portail Azure pour Azure Information Protection, vous pouvez également vous connecter en tant qu’administrateur de sécurité.If you use the Azure portal for Azure Information Protection, you can also sign in as a security admin.

  • Les utilisateurs auxquels vous affectez le rôle d’administrateur général pour Azure RMS doivent utiliser des commandes PowerShell d’Azure RMS pour configurer Azure RMS.Users that you assign the global administrator role for Azure RMS must use Azure RMS PowerShell commands to configure Azure RMS. Pour déterminer les bonnes applets de commande suivant les tâches à effectuer, consultez Administration d’Azure Rights Management à l’aide de Windows PowerShell.To help you find the right cmdlets for specific tasks, see Administering Azure Rights Management by Using Windows PowerShell.

  • Si vous avez configuré des contrôles d’intégration, cette configuration n’affecte pas la possibilité d’administrer Azure RMS, à l’exception du connecteur RMS.If you have configured onboarding controls, this configuration does not affect the ability to administer Azure RMS, except the RMS connector. Par exemple, si vous avez configuré des contrôles d’intégration de manière à ce que seul le groupe « Département informatique » puisse protéger du contenu, le compte que vous utilisez pour installer et configurer le connecteur RMS doit être membre de ce groupe.For example, if you have configured onboarding controls such that the ability to protect content is restricted to the “IT department” group, the account that you use to install and configure the RMS connector must be a member of that group.

  • Aucun administrateur pour Azure RMS (par exemple l’administrateur général du locataire ou un administrateur général d’Azure RMS) ne peut supprimer automatiquement la protection des documents ou des e-mails qui ont été protégés par Azure RMS.No administrator for Azure RMS (for example, the tenant's global admin or an Azure RMS global administrator) can automatically remove protection from documents or emails that were protected by Azure RMS. Seuls les utilisateurs ayant le statut de super utilisateurs pour Azure RMS peuvent effectuer cette opération, sous réserve que la fonctionnalité de super utilisateur soit activée.Only users who are assigned super users for Azure RMS can do this, and when the super user feature is enabled. Toutefois, l’administrateur général du client et n’importe quel administrateur général Azure RMS peuvent affecter des utilisateurs comme super utilisateurs, y compris leur propre compte.However, the tenant's global administrator and any Azure RMS global administrator can assign users as super users, including their own account. Ils peuvent également activer la fonctionnalité de super utilisateur.They can also enable the super user feature. Ces actions sont enregistrées dans le journal de l’administrateur Azure RMS.These actions are recorded in the Azure RMS administrator log. Pour plus d’informations, consultez la section des bonnes pratiques dans Configuration de super utilisateurs pour Azure Rights Management et les services de découverte ou la récupération de données.For more information, see the security best practices section in Configuring super users for Azure Rights Management and discovery services or data recovery.

Note

Les modèles et de nouvelles options pour configurer la protection Azure Rights Management ont été déplacées dans le portail Azure, qui prend en charge les administrateurs de sécurité en plus de l’accès de l’administrateur général.Templates and new options for configuring Azure Rights Management protection have moved to the Azure portal, which supports security admins in addition to global admin access.

Comment créer un nouveau modèle personnalisé dans le portail Azure ?How do I create a new custom template in the Azure portal?

Les modèles personnalisés ont été déplacés dans le portail Azure, où vous pouvez continuer à les gérer en tant que modèles, ou les convertir en étiquettes.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Pour créer un nouveau modèle, créez une nouvelle étiquette et configurez les paramètres de protection des données pour Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. En pratique, cela crée un nouveau modèle qui est ensuite accessible pour les services et applications qui s’intègrent avec les modèles Rights Management.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Pour plus d’informations sur les modèles dans le portail Azure, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

J’ai protégé un document et je souhaite à présent changer les droits d’utilisation ou ajouter des utilisateurs. Dois-je reprotéger le document ?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Si le document est protégé à l’aide d’une étiquette ou d’un modèle, il est inutile de le reprotéger.If the document was protected by using a label or template, there's no need to reprotect the document. Modifiez l’étiquette ou le modèle en changeant les droits d’utilisation ou en ajoutant de nouveaux groupes (ou utilisateurs), puis enregistrez et publiez ces changements :Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save and publish these changes:

  • Si un utilisateur n’as pas accédé au document avant la publication des changements, ceux-ci prennent effet quand il ouvre le document.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Si un utilisateur a déjà accédé au document, les changements prennent effet quand sa licence d’utilisation arrive à expiration.When a user has already accessed the document, these changes take effect when their use license expires. Ne reprotégez le document que si vous ne pouvez pas attendre l’expiration de la licence d’utilisation.Reprotect the document only if you cannot wait for the use license to expire. La reprotection crée une nouvelle version du document, et donc une nouvelle licence d’utilisation pour l’utilisateur.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Si vous avez déjà configuré un groupe pour les autorisations nécessaires, vous pouvez également changer l’appartenance dans le groupe pour inclure ou exclure des utilisateurs. Dans ce cas, il est inutile de changer l’étiquette ou le modèle.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Il peut y avoir un bref délai avant l’entrée en vigueur des changements, car l’appartenance dans le groupe est mise en cache par le service Azure Rights Management.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Si le document est protégé au moyen d’autorisations personnalisées, vous ne pouvez pas changer les autorisations du document existant.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Vous devez reprotéger le document et spécifier tous les utilisateurs et droits d’utilisation exigés pour cette nouvelle version du document.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. Pour reprotéger un document protégé, vous devez avoir le droit d’utilisation Contrôle total.To reprotect a protected document, you must have the Full Control usage right.

J'ai un déploiement hybride d'Exchange avec certains utilisateurs sur Exchange Online et d'autres utilisateurs sur Exchange Server. Est-ce compatible avec Azure RMS ?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Absolument, et l'avantage est que les utilisateurs peuvent protéger et consommer sans problème des e-mails et pièces jointes entre les deux déploiements Exchange.Absolutely, and the nice thing is, users will be able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Pour cette configuration, activez Azure RMS et Gestion des droits relatifs à l’information (IRM) pour Exchange Online, puis déployez et configurez le connecteur RMS pour Exchange Server.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Si j’utilise cette protection pour mon environnement de production, ma société est-elle enfermée dans la solution ou risque-t-elle de perdre l’accès au contenu protégé par Azure RMS ?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Non, vous gardez toujours le contrôle de vos données et pouvez continuer à y accéder, même si vous décidez de ne plus utiliser le service Azure Rights Management.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Pour plus d’informations, consultez Désaffectation et désactivation d’Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

Puis-je contrôler les utilisateurs pouvant utiliser Azure RMS pour protéger du contenu ?Can I control which of my users can use Azure RMS to protect content?

Oui, le service Azure Rights Management dispose de contrôles d’intégration d’utilisateur pour ce scénario.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Pour plus d’informations, consultez la section Configuration de contrôles d’intégration pour un déploiement échelonné dans l’article Activation d’Azure Rights Management.For more information, see the Configuring onboarding controls for a phased deployment section in the Activating Azure Rights Management article.

Puis-je empêcher des utilisateurs de partager des documents protégés avec des organisations spécifiques ?Can I prevent users from sharing protected documents with specific organizations?

L’un des avantages majeurs de l’utilisation du service Azure Rights Management pour la protection des données est qu’il prend en charge la collaboration interentreprises sans que vous soyez obligé de configurer des approbations explicites pour chaque organisation partenaire, car Azure AD se charge de l’authentification à votre place.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Il n'existe aucune option d'administration permettant d'empêcher des utilisateurs de partager en toute sécurité des documents avec des organisations spécifiques.There is no administration option to prevent users from securely sharing documents with specific organizations. Par exemple, imaginons que vous souhaitiez bloquer une organisation en laquelle vous n’avez pas confiance ou qui exerce une activité concurrente.For example, you want to block an organization that you don’t trust or that has a competing business. Empêcher le service Azure Rights Management d’envoyer des documents protégés à des utilisateurs travaillant au sein de cette organisation n’aurait aucun sens, car ceux-ci partageraient leurs documents non protégés, ce qui est probablement la dernière chose que vous souhaitez dans le cadre de ce scénario.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Par exemple, vous ne seriez pas en mesure d’identifier qui partage des documents confidentiels avec quels utilisateurs au sein de ces organisations, contrairement à ce que vous pouvez faire quand le document (ou l’e-mail) est protégé par le service Azure Rights Management.For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Lors du partage d'un document protégé avec une personne extérieure à mon organisation, comment cet utilisateur s'authentifie-t-il ?When I share a protected document with somebody outside my company, how does that user get authenticated?

Par défaut, le service Azure Rights Management utilise un compte Azure Active Directory et une adresse e-mail associée pour l’authentification de l’utilisateur, ce qui rend la collaboration interentreprises homogène pour les administrateurs.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Si l’autre organisation utilise des services Azure, les utilisateurs disposent déjà de comptes dans Azure Active Directory, même si ceux-ci sont créés et gérés localement, puis synchronisés avec Azure.If the other organization uses Azure services, users will already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Si l'organisation dispose d'Office 365, en arrière-plan, ce service utilise également Azure Active Directory pour les comptes d'utilisateur.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Si l’organisation de l’utilisateur ne dispose pas de compte géré dans Azure, les utilisateurs peuvent s’inscrire à RMS for individuals, ce qui a pour effet de créer un locataire Azure non géré et un annuaire pour l’organisation avec un compte pour l’utilisateur, afin que celui-ci, et les utilisateurs suivants, puissent s’authentifier auprès du service Azure Rights Management.If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

La méthode d'authentification pour ces comptes peut varier en fonction de la manière dont l'administrateur de l'autre organisation a configuré les comptes Azure Active Directory.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Par exemple, ils peuvent utiliser des mots de passe créés pour ces comptes, Multi-Factor Authentication (MFA), une fédération ou des mots de passe créés dans les services de domaine Active Directory, puis synchronisés avec Azure Active Directory.For example, they could use passwords that were created for these accounts, multi-factor authentication (MFA), federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Si vous protégez un e-mail avec un document Office en pièce jointe envoyé à un utilisateur qui n’a pas de compte dans Azure AD, la méthode d’authentification change.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Le service Azure Rights Management est fédéré avec des fournisseurs d’identité sociale courants, comme Gmail.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Si le fournisseur de messagerie de l’utilisateur est pris en charge, l’utilisateur peut se connecter à ce service, et son fournisseur de messagerie a la charge de son authentification.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Si le fournisseur de messagerie de l’utilisateur n’est pas pris en charge ou s’il s’agit d’une préférence, l’utilisateur peut demander un code secret à usage unique qui l’authentifie et affiche l’e-mail avec le document protégé dans un navigateur web.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

Puis-je ajouter des utilisateurs externes (des personnes ne faisant pas partie de mon organisation) à des modèles personnalisés ?Can I add external users (people from outside my company) to custom templates?

Oui.Yes. Les paramètres de protection que vous configurez dans le portail Azure vous permettent d’ajouter des autorisations à des utilisateurs et groupes extérieurs à votre organisation, et même à tous les utilisateurs d’une autre organisation.The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. N’ajoutez pas de comptes provenant d’identités sociales (comme Gmail et Microsoft) ni d’autres comptes extérieurs à Azure AD, sauf si le modèle est utilisé exclusivement pour l’envoi d’e-mails à l’aide des nouvelles fonctionnalités de chiffrement de messages Office 365.Unless the template will be used exclusively for sending email using the new capabilities from Office 365 Message Encryption, do not add accounts from social identities (such as Gmail and Microsoft) or other accounts that are not in Azure AD.

Notez que si vous avez des étiquettes Azure Information Protection, vous devez d’abord convertir votre modèle personnalisé en étiquette pour pouvoir configurer ces paramètres de protection dans le portail Azure.Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. Pour plus d’informations, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Vous pouvez aussi ajouter des utilisateurs externes aux modèles personnalisés (et étiquettes) à l’aide de PowerShell.Alternatively, you can add external users to custom templates (and labels) by using PowerShell. Cette configuration vous oblige à utiliser un objet de définition de droits pour mettre à jour votre modèle :This configuration requires you to use a rights definition object that you use to update your template:

  1. Spécifiez les adresses e-mail externes et leurs droits dans un objet de définition de droits en utilisant l’applet de commande New-AadrmRightsDefinition pour créer une variable.Specify the external email addresses and their rights in a rights definition object, by using the New-AadrmRightsDefinition cmdlet to create a variable.

  2. Fournissez cette variable au paramètre RightsDefinition avec l’applet de commande Set-AadrmTemplateProperty.Supply this variable to the RightsDefinition parameter with the Set-AadrmTemplateProperty cmdlet.

    Lorsque vous ajoutez des utilisateurs à un modèle existant, vous devez définir des objets de définition de droits pour les utilisateurs existants dans les modèles, ainsi que pour les nouveaux utilisateurs.When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. Pour ce scénario, n’hésitez pas à consulter l’exemple 3 : ajouter de nouveaux utilisateurs et droits à un modèle personnalisé dans la section Exemples de l’applet de commande.For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Quels types de groupes puis-je utiliser avec Azure RMS ?What type of groups can I use with Azure RMS?

Pour la plupart des scénarios, vous pouvez utiliser n’importe quel type de groupe d’Azure AD qui a une adresse e-mail.For most scenarios, you can use any group type in Azure AD that has an email address. Cette règle s’applique toujours quand vous affectez des droits d’utilisation, mais il existe certaines exceptions pour l’administration du service Azure Rights Management.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Pour plus d’informations, consultez Configuration requise d’Azure Information Protection pour les comptes de groupe.For more information, see Azure Information Protection requirements for group accounts.

Comment envoyer un e-mail protégé sur un compte Gmail ou Hotmail ?How do I send a protected email to a Gmail or Hotmail account?

Quand vous utilisez Exchange Online et le service Azure Rights Management, vous envoyez simplement l’e-mail à l’utilisateur sous forme de message protégé.When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. Par exemple, vous pouvez sélectionner le nouveau bouton Protéger dans la barre de commandes Outlook sur le web, ou bien utiliser le bouton ou l’option de menu Ne pas transférer dans Outlook.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. Vous pouvez aussi sélectionner une étiquette Azure Information Protection qui applique l’option Ne pas transférer et classifie automatiquement l’e-mail.Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

Le destinataire voit une option qui lui permet de se connecter à son compte Gmail, Yahoo ou Microsoft, puis de lire l’e-mail protégé.The recipient will see an option to sign in to their Gmail, Yahoo, or Microsoft account, and then be able to read the protected email. Ils peuvent également choisir l’option de demander un code secret à usage unique pour lire l’e-mail dans un navigateur.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Pour prendre en charge ce scénario, Exchange Online doit être activé pour le service Azure Rights Management et pour les nouvelles fonctionnalités de chiffrement de messages Office 365.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Pour plus d’informations sur cette configuration, consultez Exchange Online : Configuration d’IRM.For more information about this configuration, see Exchange Online: IRM Configuration.

Pour plus d’informations sur les nouvelles fonctionnalités, parmi lesquelles la prise en charge de tous les comptes e-mail sur tous les appareils, consultez le billet de blog suivant : Announcing new capabilities available in Office 365 Message Encryption.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Quels appareils et types de fichier Azure RMS prend-il en charge ?What devices and which file types are supported by Azure RMS?

Pour obtenir la liste des appareils qui prennent en charge le service Azure Rights Management, consultez Appareils clients prenant en charge la protection des données Azure Rights Management.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Les fonctionnalités Rights Management n’étant pas toutes disponibles sur tous les appareils pris en charge, pensez à consulter le tableau des applications compatibles avec RMS.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

Le service Azure Rights Management peut prendre en charge tous les types de fichiers.The Azure Rights Management service can support all file types. Dans le cas de texte, d’images, de fichiers Microsoft Office (Word, Excel, PowerPoint), de fichiers .pdf et d’autres types de fichier d’application, Azure Rights Management offre une protection native qui comprend le chiffrement et la mise en application de droits (autorisations).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Pour tous les autres types de fichier et d'application, la protection générique offre l'encapsulation et l'authentification des fichiers afin de vérifier si un utilisateur est autorisé à ouvrir le fichier.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Pour obtenir la liste des extensions de noms de fichiers pris en charge en mode natif par Azure Rights Management, consultez Types de fichiers pris en charge par Azure Information Protection.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Les extensions de nom de fichier qui ne figurent pas dans la liste sont prises en charge grâce à l’utilisation du client Azure Information Protection qui applique automatiquement une protection générique à ces fichiers.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Comment configurer un ordinateur Mac pour protéger et suivre les documents ?How do I configure a Mac computer to protect and track documents?

Tout d’abord, assurez-vous que vous avez installé Office pour Mac en utilisant le lien d’installation à partir de https://portal.office.com. Pour obtenir des instructions complètes, consultez Télécharger et installer ou réinstaller Office 365 ou Office 2016 sur un PC ou un Mac.First, make sure that you have installed Office for Mac by using the software installation link from https://portal.office.com. For full instructions, see Download and install or reinstall Office 365 or Office 2016 on a PC or Mac.

Ouvrez Outlook et créez un profil à l’aide de compte de travail ou scolaire Office 365.Open Outlook and create a profile by using your Office 365 work or school account. Ensuite, créez un nouveau message, puis procédez comme suit pour configurer Office afin qu’il puisse protéger les documents et e-mails à l’aide du service Azure Rights Management :Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. Dans le nouveau message, dans l’onglet Options, cliquez sur Autorisations, puis cliquez sur Vérifier les informations d’identification.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. Lorsque vous y êtes invité, spécifiez à nouveau les détails votre compte de travail ou scolaire Office 365, puis sélectionnez Connexion.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Cela permet de télécharger les modèles Azure Rights Management, et Vérifier les informations d’identification est remplacé par des options qui incluent Aucune restriction, Ne pas transférer, ainsi que les modèles Azure Rights Management qui sont publiés pour votre client.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Vous pouvez désormais annuler ce nouveau message.You can now cancel this new message.

Pour protéger un message électronique ou un document : dans l’onglet Options, cliquez sur Autorisations et choisissez une option ou un modèle qui protège votre adresse e-mail ou un document.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

Pour effectuer le suivi d’un document une fois que vous l’avez protégé : sur un ordinateur Windows disposant du client Azure Information Protection installé, enregistrez le document avec le site de suivi de documents à l’aide d’une application de bureau ou l’Explorateur de fichiers.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Pour obtenir des instructions, consultez Suivre et révoquer vos documents.For instructions, see Track and revoke your documents. À partir de votre ordinateur Mac, vous pouvez maintenant utiliser votre navigateur web pour accéder au site de suivi des documents (https://track.azurerms.com) pour suivre et révoquer ce document.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

Quand j’ouvre un document Office protégé par RMS, le fichier temporaire associé devient-il également protégé par RMS ?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

Non.No. Dans ce scénario, le fichier temporaire associé ne contient pas les données du document d’origine, mais uniquement ce que l’utilisateur entre pendant que le fichier est ouvert.In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. Contrairement au fichier d’origine, le fichier temporaire n’est évidemment pas conçu pour le partage. Il reste sur l’appareil, protégé par des contrôles de sécurité locaux tels que BitLocker et EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Il semble qu'une fonctionnalité que je recherche ne fonctionne pas avec les bibliothèques protégées SharePoint. Une prise en charge de ma fonctionnalité est-elle prévue ?A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

Actuellement, SharePoint prend en charge les documents protégés par RMS en utilisant des bibliothèques protégées par IRM, qui ne prennent pas en charge les modèles Rights Management, le suivi de document et certaines autres fonctionnalités.Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Pour plus d’informations, consultez la section SharePoint Online et SharePoint Server dans l’article Applications et services Office.For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

Si vous êtes intéressé par une fonctionnalité spécifique qui n’est pas encore prise en charge, surveillez les annonces publiées dans Enterprise Mobility and Security Blog (Blog de sécurité et de mobilité d’entreprise).If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Comment configurer OneDrive Entreprise dans SharePoint Online, afin que les utilisateurs puissent partager en toute sécurité des fichiers avec des personnes à l'intérieur et à l'extérieur de l'organisation ?How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

Par défaut, en votre qualité d’administrateur Office 365, ce n’est pas vous qui configurez cela, mais les utilisateurs.By default, as an Office 365 administrator, you don’t configure this; users do.

De la même manière qu’un administrateur de site SharePoint active et configure IRM pour une bibliothèque SharePoint dont il est propriétaire, OneDrive Entreprise a été conçu pour permettre aux utilisateurs d’activer et de configurer IRM pour leur propre bibliothèque OneDrive Entreprise.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. Cependant, en utilisant PowerShell, vous pouvez le faire à leur place.However, by using PowerShell, you can do this for them. Pour obtenir des instructions, consultez la section SharePoint Online et OneDrive Entreprise : configuration de la gestion des droits relatifs à l’information dans l’article Office 365 : configuration pour les clients et services en ligne.For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Avez-vous des conseils ou des astuces pour réussir le déploiement ?Do you have any tips or tricks for a successful deployment?

Après avoir supervisé de nombreux déploiements et écouté nos clients, partenaires, consultants et ingénieurs du support technique, voici l'un des conseils les plus importants que nous pouvons vous donner : Concevoir et déployer des stratégies simples.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Puisqu’Azure Information Protection permet de partager des fichiers en toute sécurité, vous pouvez faire preuve d’ambition concernant la portée de la protection de vos données.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Soyez prudent quand vous configurez les restrictions des droits d’utilisation.But be conservative when you configure rights usage restrictions. Pour de nombreuses organisations, la meilleure chose à faire est d’empêcher la fuite des données en limitant l’accès aux seuls membres de votre organisation.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Bien sûr, vous pouvez être bien plus précis si vous devez empêcher des personnes d’imprimer, d’éditer, etc. Appliquez néanmoins les restrictions les plus fortes à titre exceptionnel pour les documents nécessitant réellement un niveau de sécurité élevé. Au lieu d’implémenter ces droits d’utilisation plus restrictifs dès le premier jour, adoptez une approche plus progressive.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive usage rights on day one, but plan for a more phased approach.

Comment récupérer l'accès à des fichiers protégés par un employé qui a quitté l'organisation ?How do we regain access to files that were protected by an employee who has now left the organization?

Utilisez la fonctionnalité de super utilisateur, qui accorde les droits d’utilisation Contrôle total aux utilisateurs autorisés pour tous les documents et e-mails protégés par votre locataire.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Les super utilisateurs peuvent toujours lire ce contenu protégé et, si nécessaire, ils peuvent supprimer la protection ou le reprotéger pour d’autres utilisateurs.Super users can always read this protected content, and if necessary, remove the protection or re-protect it for different users. Cette même fonctionnalité permet à des services autorisés d'indexer et d'inspecter des fichiers si nécessaire.This same feature lets authorized services index and inspect files, as needed.

Lorsque je teste la révocation dans le site de suivi des documents, je vois un message m’indiquant que les autres utilisateurs continueront d’avoir accès au document pendant 30 jours. Cette durée est-elle configurable ?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Oui.Yes. Ce message indique la licence d’utilisation de ce fichier en particulier.This message reflects the use license for that specific file.

La révocation d’un fichier ne peut être appliquée que lorsque l’utilisateur doit s’authentifier auprès du service Azure Rights Management.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Par conséquent, si la période de validité de la licence d’utilisation du fichier est de 30 jours et que l’utilisateur a déjà ouvert le document, il peut continuer d’y accéder pendant toute la durée de la licence d’utilisation.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Quand la licence d’utilisation expire, l’utilisateur doit se réauthentifier et l’accès lui est refusé, car le document a été révoqué.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

L’utilisateur qui a protégé le document, l’émetteur Rights Management n’est pas concerné par cette révocation et peut toujours accéder à ses documents.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

Pour un locataire, la période de validité par défaut d’une licence d’utilisation est de 30 jours. Vous pouvez remplacer ce paramètre par un paramètre plus restrictif dans une étiquette ou un modèle.The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. Pour plus d’informations sur la licence d’utilisation et sa configuration, consultez la documentation Licence d’utilisation Rights Management.For more information about the use license and how to configure it, see the Rights Management use license documentation.

Est-ce que Rights Management peut empêcher les captures d’écran ?Can Rights Management prevent screen captures?

En n’accordant pas le droit d’utilisation Copy, Rights Management peut empêcher des captures d’écran de nombreux outils de capture écran couramment utilisés sur les plates-formes Windows (Windows 7, Windows 8.1, Windows 10, Windows Phone) et Android.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows Phone) and Android. En revanche, les appareils iOS et Mac n’autorisent aucune application à empêcher les captures d’écran, et les navigateurs (par exemple, utilisés avec Outlook Web App et Office Online) ne peuvent pas non plus empêcher les captures d’écran.However, iOS and Mac devices do not allow any app to prevent screen captures, and browsers (for example, when used with Outlook Web App and Office Online) also cannot prevent screen captures.

La possibilité d’empêcher les captures d’écran peut également aider à éviter la divulgation accidentelle ou involontaire de renseignements confidentiels ou sensibles.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Il existe par ailleurs de nombreuses façons de partager des données affichées sur un écran, et la capture d’écran n’est qu’une méthode parmi d’autres.But there are many ways that a user can share data that is displayed on a screen, and taking a screen shot is only one method. Par exemple, un utilisateur désireux de partager des informations affichées peut parfaitement les photographier avec son téléphone, recopier les données ou simplement les communiquer verbalement à un tiers.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Comme le montrent ces exemples, même si la totalité des plateformes et logiciels prenaient en charge les API de Rights Management pour bloquer les captures d’écran, la technologie seule ne peut pas toujours empêcher des utilisateurs de partager des données qu’ils ne devraient pas.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Même si Rights Management peut contribuer à protéger vos données importantes au moyen de stratégies d’autorisation et d’utilisation, cette solution de gestion des droits d’entreprise doit être assortie d’autres moyens de contrôle.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Par exemple, vous pouvez mettre en place une sécurité physique, surveiller et soumettre à un contrôle strict les personnes autorisées à accéder aux données de votre organisation et investir dans la formation pour sensibiliser les utilisateurs à la question du partage de données.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Quelle différence y a-t-il entre un utilisateur qui protège un e-mail avec l’option Ne pas transférer et un modèle qui n’inclut pas de droit de transfert ?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

En dépit de son nom et de son apparence, l’option Ne pas transférer n’est ni le contraire du droit de transfert, ni un modèle.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Il s’agit en fait d’un ensemble de droits qui incluent la restriction de copier, imprimer et enregistrer des pièces jointes, outre la restriction de transfert des e-mails.It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. Les droits sont appliqués dynamiquement aux utilisateurs par le biais des destinataires choisis et non pas statiquement attribués par l’administrateur.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Pour plus d’informations, consultez la section Option Ne pas transférer pour les e-mails dans Configuration des droits d’utilisation pour Azure Rights Management.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Rights Management.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.