Scénario - Configurer des dossiers de travail pour la protection permanenteScenario - Configure work folders for persistent protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Ce scénario et la documentation utilisateur associée utilisent la technologie Azure Rights Management d’Azure Information Protection pour appliquer une protection permanente aux documents Office des Dossiers de travail.This scenario and supporting user documentation uses the Azure Rights Management technology from Azure Information Protection to apply persistent protection to Office documents in Work Folders. Dossiers de travail utilise un service de rôle pour les serveurs de fichiers exécutant Windows Server qui offre aux utilisateurs une manière cohérente d’accéder à leurs fichiers professionnels depuis leurs PC et leurs appareils.Work Folders uses a role service for file servers running Windows Server that provides a consistent way for users to access their work files from their PCs and devices. Bien que Dossiers de travail fournisse son propre chiffrement pour protéger les fichiers, le déplacement de ces derniers en dehors de l’environnement Dossiers de travail entraîne la perte de cette protection.Although Work Folders provides its own encryption to protect the files, this protection is lost if the files are then moved outside the Work Folders environment. Les utilisateurs peuvent par exemple copier les fichiers synchronisés et les enregistrer sur un stockage qui n’est pas sous le contrôle de votre service informatique ou les fichiers sont envoyés par e-mail à d’autres personnes.For example, users copy the synchronized files and save them to storage that is not under the control of your IT department, or the files are emailed to others.

La protection supplémentaire fournie par Azure Rights Management permet d’éviter la perte accidentelle de données en empêchant la consultation des fichiers par des personnes extérieures à votre organisation.The additional protection that Azure Rights Management provides helps to prevent accidental data loss by preventing the files from being viewed by people outside your organization. Pour ce faire, vous pouvez utiliser un des modèles de stratégie de droits par défaut intégrés.To do this, you can use one of the built-in, default rights policy templates. Toutefois, avant de déployer ce scénario, vérifiez si les utilisateurs peuvent avoir légitimement besoin de partager ces fichiers avec des personnes extérieures à l’organisation.However, before you deploy this scenario, consider whether users might need to legitimately share any of these files with people outside the organization. Par exemple, après avoir travaillé sur un projet de liste de prix, un utilisateur envoie par e-mail la version finale aux clients d’une autre organisation.For example, after working on a draft price list, a user then emails the final version to their customer in another organization. Lorsque vous utilisez le modèle Rights Management par défaut pour Dossiers de travail, le client de l’autre organisation ne peut pas lire ce document envoyé par e-mail.When you use the default Rights Management template for Work Folders, that customer in the other organization couldn't be able to read this emailed document. Vous pouvez satisfaire à cette exigence en créant un modèle personnalisé qui permet aux utilisateurs d’appliquer une nouvelle stratégie de droits au fichier, qui remplace la restriction d’origine relative à tous les employés à une restriction concernant les personnes indiquées dans l’e-mail.You can accommodate this requirement by creating a custom template that lets users apply a new rights policy to the file, which replaces the original restriction of all employees to the people that they specify in the email.

Note

Lorsque vous utilisez le modèle personnalisé documenté pour ce scénario, bien que les utilisateurs puissent partager intentionnellement des fichiers avec des personnes non définies dans le modèle, la protection supplémentaire appliquée avec Azure Rights Management fournit de nombreux avantages.When you use the custom template that is documented for this scenario, although users can intentionally share files with people that you didn't define in the template, the additional protection that you're applying with Azure Rights Management provides a lot of benefits. Cette protection supplémentaire empêche la perte accidentelle de données si le contenu est déplacé en dehors de Dossiers de travail, dans la mesure où le contenu reste protégé contre les utilisateurs non autorisés, qu’il soit au repos ou transmis.This additional protection prevents accidental data loss if the content is moved outside the Work Folders boundary, because the content remains protected from unauthorized users, whether it is at rest or transmitted. Par exemple, un utilisateur perd un périphérique qui utilise Dossiers de travail, ou cet appareil est volé ou le contenu synchronisé vers et à partir de cet appareil est transféré sur une infrastructure sécurisée.For example, a user loses a device that is using Work Folders, or this device is stolen, or the content synchronized to and from this device is transferred over unsecured infrastructure.

Si un utilisateur partage le contenu avec une personne d’une autre organisation, l’utilisation de la fonctionnalité de partage protégé de l’application de partage Rights Management permet à l’utilisateur de remplacer la protection d’origine par sa propre stratégie de protection.If a user shares the content with somebody in another organization, by using the Share Protected functionality from the Rights Management sharing application, that user replaces the original protection with their own protection policy. Par conséquent, le contenu reste protégé contre tout accès non autorisé et seules les personnes spécifiées par l’utilisateur peuvent accéder au contenu.As a result, the content is still protected from unauthorized access and only the people that the user specifies can access the content.

Vous pouvez appliquer cette protection permanente à tous les documents Office se trouvant dans les dossiers de travail des utilisateurs ou uniquement aux fichiers qui contiennent des données sensibles ou HBI (high-business-impact).You can apply this persistent protection to all Office documents in users' Work Folders, or only to files that contain sensitive or high-business-impact data.

Les instructions conviennent pour l’ensemble des situations suivantes :The instructions are suitable for the following set of circumstances:

  • Les fichiers de Dossier de travail que vous souhaitez protéger à l’aide de la protection permanente sont des fichiers Office.The Work Folder files that you want to protect with persistent protection are Office files. Ces fichiers peuvent être protégés en mode natif par Azure Right Management et ne nécessitent pas de modification de leur extension de nom de fichier ou de workflow différent pour leur ouverture.These files can be natively protected by Azure Right Management and do not change their file name extension or require a different work flow to open them.

  • Vous souhaitez appliquer la protection permanente à tous les fichiers Office des dossiers de travail des utilisateurs ou à une sélection de fichiers identifiés à l’aide de l’infrastructure de classification des fichiers à partir du Gestionnaire de ressources du serveur de fichiers dans Windows Server.You want to apply the persistent protection to all Office files in users' Work Folders, or to selective files that have been identified by using File Classification Infrastructure from File Server Resource Manager in Windows Server.

  • Pour les fichiers qui doivent être partagés avec des personnes qui ne sont pas spécifiées dans le modèle de stratégie de droits (par exemple, les utilisateurs d’une autre organisation), les utilisateurs doivent appliquer une nouvelle stratégie de droits pour remplacer la protection de la stratégie de droits d’origine.For files that must be shared with people that are not specified in the rights policy template (for example, users in another organization), users must apply a new rights policy to replace the original rights policy protection.

Instructions de déploiementDeployment instructions

Instructions destinées aux administrateurs pour le déploiement rapide Azure RMS

Vérifiez que les conditions suivantes sont réunies, puis suivez les instructions pour mener à bien les procédures associées avant de poursuivre avec la documentation utilisateur.Make sure that the following requirements are in place, and then follow the instructions for the supporting procedures before going on to the user documentation.

Conditions requises pour ce scénarioRequirements for this scenario

Pour pouvoir appliquer les instructions de ce scénario, les conditions suivantes doivent être réunies :For the instructions for this scenario to work, the following must be in place:

Condition requiseRequirement Si vous avez besoin d'informations supplémentairesIf you need more information
Azure Rights Management est activéAzure Rights Management is activated Activation d’Azure Rights ManagementActivating Azure Rights Management
Vous avez synchronisé vos comptes d'utilisateurs Active Directory locaux avec Azure Active Directory ou Office 365, y compris leurs adresses électroniques.You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email address. Cela est nécessaire pour tous les utilisateurs utilisant Dossiers de travail.This is required for all users that use Work Folders. Préparation d’Azure Information ProtectionPreparing for Azure Information Protection
Une des causes suivantes :One of the following:

- Pour utiliser un modèle par défaut pour tous les utilisateurs qui ne leur permet pas d’appliquer une nouvelle stratégie de droits, consultez : Vous n’avez pas archivé le modèle par défaut <nom de l’organisation> - Confidentiel.- To use a default template for all users that does not allow users to apply a new rights policy: You have not archived the default template, <organization name> - Confidential

- Pour utiliser un modèle personnalisé qui permet aux utilisateurs d’appliquer une nouvelle stratégie de droits : utilisez les instructions ci-après pour créer un modèle personnalisé- To use a custom template that is suitable for users to apply a new rights policy: You use the instructions that follow to create a custom template
Configuration de modèles personnalisés pour le service Azure Rights ManagementConfiguring custom templates for the Azure Rights Management service
Le connecteur Rights Management autorisé pour l’ordinateur Windows Server et configuré pour le rôle Serveur ICF est installé.The Rights Management connector is installed, authorized for the Windows Server computer, and configured for the FCI Server role. Déploiement du connecteur Azure Rights ManagementDeploying the Azure Rights Management connector
L'application de partage Rights Management est déployée sur les ordinateurs des utilisateurs qui exécutent WindowsThe Rights Management sharing application is deployed to users’ computers that run Windows Déploiement automatique de l'application de partage Microsoft Rights ManagementAutomatic deployment for the Microsoft Rights Management sharing application

Configuration du modèle de stratégie de droits personnalisé afin que les utilisateurs puissent partager les fichiers de Dossiers de travail à l’extérieur de l’organisationConfiguring the custom rights policy template so that users can share Work Folders files outside the organization

  1. Connectez-vous au portail classique Azure et accédez aux modèles Azure Rights Management.Sign into the Azure classic portal, and navigate to the Azure Rights Management templates.

  2. Copiez le modèle <nom de l’organisation> - Confidentiel et indiquez un nom et une description pour ce scénario Dossiers de travail.Copy the <organization name> - Confidential template, and supply a name and description for this Work Folders scenario. Nous vous suggérons ce qui suit :We suggest the following:

    • Nom : Contenu protégé par Dossiers de travailName: Content protected by Work Folders

    • Description : Ce contenu est protégé par Dossiers de travail et est limité aux employés de la société uniquement. Pour partager ce contenu avec des personnes extérieures à l’organisation, joignez le document à un e-mail et utilisez la fonction Partage protégé.Description: This content is protected by Work Folders and is restricted to company employees only. To share this content with people outside the organization, attach the document to an email message and use the Share Protected function.

  3. Sur la page DROITS :On the RIGHTS page:

    • Modifiez les droits existants en remplaçant Personnalisé par Copropriétaire.Change the existing rights from Custom to Co-Owner.
  4. Sur la page CONFIGURER :On the CONFIGURE page:

    • Assurez-vous que l’ÉTAT est défini sur PUBLIERMake sure the STATUS is set to PUBLISH

    • Pour le nom et la description, supprimez les entrées des langues que vous n’utilisez pas.For the name and description, delete the entries for the languages that you do not use. Pour les langues que vous utilisez, mettez à jour à jour le NOM et la DESCRIPTION afin qu’ils correspondent au nom et à la description que vous avez donnés à ce modèle, à l’aide de la langue spécifiée.For the languages that you do use, update the NAME and DESCRIPTION so that these match the name and description that you gave this template, using the specified language.

  5. Enregistrez le modèle.Save the template.

Configuration de Dossiers de travail pour appliquer une protection permanente à un fichier OfficeConfiguring Work Folders to apply persistent protection to Office file

  1. Implémentez Dossiers de travail pour vos utilisateurs afin de pouvoir synchroniser les fichiers enregistrés localement dans un dossier du serveur de fichiers, appelé partage de synchronisation.Implement Work Folders for your users so that locally saved files are synchronized to a file server folder, known as a sync share. Le partage de synchronisation du serveur de fichiers ne doit pas être sur le même serveur exécutant le connecteur Rights Management.The sync share on the file server must not be on the same server that runs the Rights Management connector.

    Cette solution requiert le service de rôle Dossiers de travail dans le Gestionnaire de serveur pour le rôle Services de fichiers et de stockage.This solution requires the Work Folders role service in Server Manager, for the File and Storage Services role. Le serveur de fichiers doit exécuter une version minimale de Windows Server 2012 R2 et peut être situé sur site ou dans une machine virtuelle Azure.The file server must be running a minimum version of Windows Server 2012 R2, and this file server can be on-premises, or in a virtual machine in Azure. Pour plus d’informations sur Dossiers de travail, consultez Vue d’ensemble des Dossiers de travail.For more information about Work Folders, see Work Folders Overview.

    Pour obtenir des instructions de déploiement, consultez Déploiement des Dossiers de travail.For deployment instructions, see Deploying Work Folders. Assurez-vous d’avoir sélectionné le chiffrement intégré (l’option Chiffrer Dossiers de travail), qui sera appliquée en plus du chiffrement Azure Rights Management.Make sure that you select the built-in encryption (the option Encrypt Work Folders), which will be applied in addition to Azure Rights Management encryption. De plus :In addition:

    • Lorsque vous liez le certificat SSL sur le serveur de synchronisation (étape 4) : utilisez la commande netsh (plutôt que la console de gestion IIS) pour lier le certificat à l’interface HTTPS du site Web par défaut.When you bind the SSL certificate on the sync server (step 4): Use the netsh command (rather than the IIS management console) to bind the certificate to the Default Web Site HTTPS interface.

    • Pour éviter aux utilisateurs d’obtenir l’erreur d’installation de Dossiers de travail Un problème s’est produit lors de l’application des stratégies de sécurité. et l’obligation d’être un administrateur local sur leurs ordinateurs joints à un domaine : utilisez l’applet de commande Set-SyncShare avec le paramètre PasswordAutolockExcludeDomain et spécifiez les noms de domaine sur lesquels ces ordinateurs se trouvent (par exemple, contoso.com).To avoid users getting the Work Folders setup error There was a problem applying security policies and the requirement that they must be a local administrator on their domain-joined computers: Use the Set-SyncShare cmdlet with the PasswordAutolockExcludeDomain parameter, and specify the domain names that these computers reside in (for example, contoso.com).

  2. Pour terminer la configuration du connecteur Rights Management :To complete the configuration for the Rights Management connector:

    1. À l’aide du Gestionnaire de ressources du serveur de fichiers, créez une tâche de gestion de fichiers qui identifie le dossier de partage de synchronisation comme étant l’étendue.Using File Server Resource Manager, create a file management task that identifies the sync share folder as the scope.

    2. Pour l’action, choisissez Chiffrement RMS, puis sélectionnez un modèle :For the action, choose RMS encryption, and select a template:

      • Si vous n’avez pas créé de modèle personnalisé parce que vous ne souhaitez pas que les utilisateurs puissent partager des fichiers avec des personnes extérieures à l’organisation, sélectionnez le nom du modèle de <nom de l’organisation> - Confidentiel.If you did not create a custom template because you do not want users to be able to share files with others outside the organization, select the template name of <organization name> - Confidential. Par exemple VanArsdel, Ltd - Confidentiel.For example, VanArsdel, Ltd - Confidential.

      • Si vous avez créé un modèle personnalisé à l’aide des instructions précédentes, sélectionnez ce modèle.If you created a custom template by using the preceding instructions, select this template. Par exemple : Contenu protégé par Dossiers de travail.For example, Content protected by Work Folders.

    3. Définissez un calendrier qui permet de laisser suffisamment de temps pour que tous les fichiers Office soient chiffrés par Azure Rights Management et spécifiez l’option Exécuter en continu sur les nouveaux fichiers.Specify a schedule that allows plenty of time for all the Office files to be encrypted by Azure Rights Management, and specify the option to Run continuously on new files.

  3. Pour tester manuellement cette configuration, assurez-vous que le dossier contient des fichiers Office, puis utilisez l’option Exécuter maintenant une tâche de gestion de fichiers, puis sélectionnez Attendre la fin de l’exécution de la tâche.To manually test this configuration, make sure that the folder contains some Office files, and then use the Run File Management Task Now option, and select Wait for the task to complete.

    Attendez que la boîte de dialogue Exécution de la tâche de gestion des fichiers se ferme, puis consultez les résultats dans le rapport qui s'affiche automatiquement.Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. Le champ Fichiers doit indiquer le nombre de fichiers figurant dans le dossier que vous avez choisi.You should see the number of files that are in your chosen folder in the Files field. Vérifiez que les fichiers figurant dans le dossier choisi sont à présent protégés par Azure Rights Management.Confirm that the files in your chosen folder are now protected by Azure Rights Management. Par exemple, ouvrez un fichier et vérifiez que la bannière d’informations située en haut du document affiche le nom et la description du modèle Rights Management.For example, open a file and confirm that you see the information banner at the top of the document that displays the name and description of the Rights Management template.

  4. Si vous avez décidé de protéger les fichiers de manière sélective en utilisant l’infrastructure de classification des fichiers, configurez votre règle de classification et votre calendrier, puis modifiez la tâche de gestion de fichiers pour inclure cette propriété de classification en tant que condition.If you decided to selectively protect files by using File Classification Infrastructure, configure your classification rule and schedule, and then modify the file management task to include this classification property as a condition.

Instructions de la documentation utilisateurUser documentation instructions

Si les fichiers que vous protégez avec Azure Rights Management ne doivent pas nécessairement être partagés avec des personnes extérieures à votre organisation, il se peut que vous n’ayez aucune autre instruction à donner aux utilisateurs, que celles fournies pour l’utilisation de Dossiers de travail.If the files you are protecting with Azure Rights Management do not need to be shared with people outside your organization, you might not have to provide users with any additional instructions than those you provide for using Work Folders. Lorsque les utilisateurs ouvrent les fichiers protégés par Azure Rights Management et le modèle par défaut, les fichiers, s’ouvrent comme d’habitude dans Office, à la seule différence que les utilisateurs peuvent être invités à s’authentifier, et qu’ils voient une barre d’informations s’afficher en haut du document, les informant que le contenu contient des informations propriétaires destinées aux utilisateurs internes uniquement.When users open the files that are protected by Azure Rights Management and the default template, the files open as usual in Office, with the only difference being that users might be prompted to authenticate, and they will see an information bar at the top of the document that informs them that the content contains proprietary information intended for internal users only.

Si vous avez configuré le modèle personnalisé comme décrit pour ce scénario, les utilisateurs voient la description du modèle suivante s’afficher dans la barre d’informations : Ce contenu est protégé par Dossiers de travail et est limité aux employés de la société uniquement. Pour partager ce contenu avec des personnes extérieures à l’organisation, joignez le document à un e-mail et utilisez la fonction Partage protégé.If you configured the custom template as documented for this scenario, users will see the template description in the information bar: This content is protected by Work Folders and is restricted to company employees only. To share this content with people outside the organization, attach the document to an email message and use the Share Protected function.. Bien que cette description résume comment partager le fichier en dehors de l’organisation, les utilisateurs auront probablement besoin d’instructions détaillées relatives à la manière de procéder, notamment les premières fois.Although this description provides a summary of how to share the file outside the organization, users will probably need detailed instructions how to do this, especially for the first few times they do this. Pour prendre en charge ce scénario ultérieur, suivez les instructions de l’administrateur et de l’utilisateur final de Scénario - Partage d’un fichier Office avec les utilisateurs d’une autre organisation.To support this follow-on scenario, use the administrator and end-user instructions from Scenario - Share an Office file with users in another organization.

Conseil

Si vous avez décidé de ne pas utiliser le modèle personnalisé dans ces instructions, car vous ne souhaitez pas que les utilisateurs puissent partager ces fichiers en dehors de l’organisation sans supervision de l’équipe informatique, informez en votre support technique de sorte que, si l’exigence de partage est légitime, celle-ci puisse être autorisée par l’utilisation de tout mécanisme le mieux adapté à votre entreprise.If you decided not to use the custom template in these instructions, because you do not want users to be able to share these files outside the organization without IT oversight, let your help desk know so that if the sharing requirement is legitimate, it can be accommodated by using whatever mechanism is most appropriate for your business. Par exemple, une personne considérée comme super utilisateur pourrait appliquer un nouveau modèle au contenu qui accorde des droits de contrôle complets à l’utilisateur qui en fait la demande afin qu’il puisse ensuite utiliser la fonction de partage protégé.For example, somebody who is a super user could apply a new template to the content that grants the requesting user Full Control rights, so that this user can then use the Share Protected function.

Après un certain temps, si vous découvrez l’existence de nombreuses demandes du même type, vous pouvez décider de définir votre propre modèle personnalisé pour ce scénario qui accorde l’option Copropriétaire uniquement à des utilisateurs spécifiques (tels que les responsables ou le support technique), tandis que les utilisateurs standard se voient attribuer l’option Coauteur ou tout autre droit qui vous semble approprié.After a period of time, if you discover there are many such requests, you might decide to define your own custom template for this scenario that grants only specific users (such as managers or the help desk) the Co-Owner option while standard users are granted Co-Author or whatever rights you decide are suitable.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.