Feuille de route de déploiement AIP pour la classification, l’étiquetage et la protection

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le module complémentaire Azure Information Protection pour Office est désormais en mode maintenance et sera mis hors service en avril 2024. Nous vous recommandons plutôt d’utiliser les étiquettes intégrées à vos applications et services Office 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Utilisez les étapes suivantes comme recommandations pour vous aider à préparer, implémenter et gérer Azure Information Protection pour votre organisation, lorsque vous souhaitez classifier, étiqueter et protéger vos données.

Cette feuille de route est recommandée pour tous les clients disposant d’un abonnement de support. Les fonctionnalités supplémentaires incluent la découverte d’informations sensibles et l’étiquetage de documents et d’e-mails pour la classification.

Les étiquettes peuvent également appliquer une protection, ce qui simplifie cette étape pour vos utilisateurs.

Processus de déploiement

Appliquez la procédure suivante :

  1. Confirmez votre abonnement et attribuez des licences utilisateur
  2. Préparez votre locataire à utiliser Azure Information Protection
  3. Configurez et déployez la classification et l’étiquetage
  4. Préparez la protection des données
  5. Configurez les étiquettes et les paramètres, les applications et les services pour la protection des données
  6. Utilisez et surveillez vos solutions de protection des données
  7. Administrez le service de protection pour votre compte de locataire en fonction de vos besoins

Conseil

Vous utilisez déjà la fonctionnalité de protection d’Azure Information Protection ? Vous pouvez ignorer la plupart de ces étapes et vous concentrer sur les étapes 3 et 5.1.

Confirmez votre abonnement et attribuez des licences utilisateur

Confirmez que votre organisation dispose d’un abonnement qui inclut les fonctionnalités attendues. Pour plus d’informations, consultez la page relative aux licences Microsoft 365 pour la sécurité et la conformité .

Ensuite, attribuez les licences de cet abonnement à chaque utilisateur de votre organisation qui classera, étiquettera et protégera les documents et les e-mails.

Important

N’affectez pas manuellement des licences utilisateur à partir de l’abonnement RMS gratuit pour les particuliers et n’utilisez pas cette licence pour administrer le service Azure Rights Management pour votre organisation.

Ces licences s'affichent sous la forme Rights Management Adhoc dans le centre d'administration Microsoft 365 et RIGHTSMANAGEMENT_ADHOC lorsque vous exécutez l'applet de commande Azure AD PowerShell, Get-MsolAccountSku.

Pour plus d’informations, consultez RMS pour les particuliers et Azure Information Protection.

Préparez votre locataire à utiliser Azure Information Protection

Avant de commencer à utiliser Azure Information Protection, vérifiez que vous disposez de comptes d’utilisateur et de groupes dans Microsoft 365 ou Microsoft Entra ID que AIP peut utiliser pour authentifier et autoriser vos utilisateurs.

Si nécessaire, créez ces comptes et groupes, ou synchronisez-les à partir de votre annuaire local.

Pour plus d’informations, consultez Préparation d’utilisateurs et de groupes pour Azure Information Protection.

Configurez et déployez la classification et l’étiquetage

Appliquez la procédure suivante :

  1. Analyser vos fichiers (facultatif mais recommandé)

    Déployez le client Azure Information Protection, puis installez et exécutez l'analyseur pour découvrir les informations sensibles dont vous disposez sur vos magasins de données locaux.

    Les informations trouvées par l’analyseur peuvent vous aider dans votre taxonomie de classification, fournir des informations précieuses sur les étiquettes dont vous avez besoin et les fichiers à protéger.

    Le mode découverte de l’analyseur ne nécessite aucune configuration d'étiquette ni taxonomie et convient donc à ce stade précoce de votre déploiement. Vous pouvez également utiliser cette configuration d’analyseur en parallèle avec les étapes de déploiement suivantes, jusqu'à ce que vous configuriez l'étiquetage recommandé ou automatique.

  2. Personnalisez la stratégie AIP par défaut.

    Si vous n’avez pas encore de stratégie de classification, utilisez une stratégie par défaut pour déterminer les étiquettes dont vous aurez besoin pour vos données. Personnalisez ces étiquettes selon vos besoins.

    Par exemple, vous pouvez reconfigurer vos étiquettes avec les détails suivants :

    • Assurez-vous que vos étiquettes prennent en charge vos décisions de classification.
    • Configurez des stratégies pour l’étiquetage manuel par les utilisateurs
    • Écrivez des instructions utilisateur pour expliquer quelle étiquette doit être appliquée dans chaque scénario.
    • Si votre stratégie par défaut a été créée avec des étiquettes qui appliquent automatiquement la protection, vous souhaiterez peut-être supprimer temporairement les paramètres de protection ou désactiver l'étiquette pendant que vous testez vos paramètres.

    Les étiquettes de confidentialité et les stratégies d’étiquetage pour le client d’étiquetage unifié sont configurées dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez En savoir plus sur les étiquettes de confidentialité.

  3. Déployez votre client pour vos utilisateurs

    Une fois que vous avez configuré une stratégie, déployez le client Azure Information Protection pour vos utilisateurs. Fournissez une formation aux utilisateurs et des instructions spécifiques pour sélectionner les étiquettes.

    Pour plus d’informations, consultez le guide de l’administrateur du client d’étiquetage unifié.

  4. Présentez des configurations plus avancées

    Attendez que vos utilisateurs soient plus à l’aise avec les étiquettes de leurs documents et e-mails. Lorsque vous êtes prêt, introduisez des configurations avancées, telles que :

    • Application d’étiquettes par défaut
    • Inviter les utilisateurs à justifier s'ils ont choisi une étiquette avec un niveau de classification inférieur ou s'ils suppriment une étiquette
    • Exiger que tous les documents et e-mails soient étiquetés
    • Personnalisation des en-têtes, pieds de page ou filigranes
    • Étiquetage recommandé et automatique

    Pour plus d’informations, consultez le Guide de l’administrateur : Créer une configuration personnalisée.

    Conseil

    Si vous avez configuré des étiquettes pour l’étiquetage automatique, exécutez à nouveau l’analyseur Azure Information Protection sur vos magasins de données locaux en mode découverte et pour qu’il corresponde à votre stratégie.

    L’exécution de l’analyseur en mode découverte vous indique quelles étiquettes seraient appliquées aux fichiers, ce qui vous permet d’affiner la configuration de votre étiquette et de vous préparer pour classifier et protéger des fichiers en bloc.

Préparez la protection des données

Introduisez la protection des données pour vos données les plus sensibles une fois que les utilisateurs seront à l’aise avec l’étiquetage des documents et des e-mails.

Procédez comme suit pour préparer la protection des données :

  1. Déterminez la façon dont vous souhaitez gérer votre clé de locataire.

    Décidez si vous souhaitez que Microsoft gère votre clé de locataire (valeur par défaut) ou génère et gère vous-même votre clé de locataire (appelée « bring your own key » ou BYOK).

    Pour plus d’informations et d’options pour une protection locale supplémentaire, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

  2. Installez PowerShell pour AIP.

    Installez le module PowerShell pour AIPService sur au moins un ordinateur disposant d’un accès à Internet. Vous pouvez effectuer cette étape maintenant ou plus tard.

    Pour plus d’informations, consultez Installation d’un module PowerShell AIPService.

  3. AD RMS uniquement : migrez vos clés, modèles et URL vers le cloud.

    Si vous utilisez actuellement AD RMS, effectuez une migration pour déplacer les clés, les modèles et les URL vers le cloud.

    Pour plus d’informations, consultez Migration d’AD RMS vers Protection des données.

  4. Activez la protection.

    Assurez-vous que le service de protection est activé afin que vous puissiez commencer à protéger les documents et les e-mails. Si vous effectuez un déploiement en plusieurs phases, configurez les contrôles d'intégration des utilisateurs pour restreindre la capacité des utilisateurs à appliquer une protection.

    Pour plus d’informations, consultez Activation du service de protection à partir d’Azure Information Protection.

  5. Envisagez la journalisation de l’utilisation (facultatif).

    Envisagez de journaliser l’utilisation pour surveiller la façon dont votre organisation utilise le service de protection. Vous pouvez effectuer cette étape maintenant ou plus tard.

    Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation de la protection d’Azure Information Protection.

Configurez les étiquettes et les paramètres, les applications et les services pour la protection des données

Appliquez la procédure suivante :

  1. Mettez vos étiquettes à jour pour appliquer la protection

    Pour plus d’informations, consultez Restreindre l’accès au contenu à l’aide du chiffrement dans les étiquettes de confidentialité.

    Important

    Les utilisateurs peuvent appliquer des étiquettes dans Outlook qui appliquent la protection de Rights Management même si Exchange n'est pas configuré pour la gestion des droits relatifs à l'information (IRM).

    Toutefois, jusqu’à ce qu’Exchange soit configuré pour la gestion des droits relatifs à l’information ou Chiffrement de messages Microsoft 365 avec de nouvelles fonctionnalités, votre organisation ne bénéficiera pas de toutes les fonctionnalités nécessaires à l’utilisation de la protection Azure Rights Management avec Exchange. Cette configuration supplémentaire est incluse dans la liste suivante (2 pour Exchange Online et 5 pour Exchange en local).

  2. Configuration des applications et services Office

    Configurez les applications et services Office pour les fonctionnalités de gestion des droits relatifs à l'information (IRM) dans Microsoft SharePoint ou Exchange Online.

    Pour plus d’informations, consultez Configuration des applications pour Azure Rights Management.

  3. Configurez la fonctionnalité super utilisateur pour la récupération de données

    Si vous disposez de services informatiques existants qui doivent inspecter les fichiers qu’Azure Information Protection protégera, tels que les solutions de prévention des fuites de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programmes malveillants, configurez les comptes de service pour qu’ils soient des super utilisateurs pour Azure Rights Management.

    Pour plus d’informations, consultez Configuration de super utilisateurs pour Azure Information Protection ainsi que pour les services de découverte ou la récupération des données.

  4. Classifiez et protégez les fichiers existants en bloc

    Pour vos magasins de données locaux, exécutez maintenant l'analyseur Azure Information Protection en mode de mise en conformité afin que les fichiers soient automatiquement étiquetés.

    Pour les fichiers sur PC, utilisez les applets de commande PowerShell pour classifier et protéger des fichiers. Pour plus d’informations, consultez Utilisation de PowerShell avec le client d’étiquetage unifié Azure Information Protection.

    Pour les magasins de données basés sur le cloud, utilisez Microsoft Defender for Cloud Apps.

    Conseil

    Bien que la classification et la protection groupée de fichiers existants ne soient pas l’un des principaux cas d’utilisation de Defender pour le cloud Apps, des solutions de contournement documentées peuvent vous aider à classifier et protéger vos fichiers.

  5. Déployez le connecteur pour les bibliothèques protégées par IRM sur SharePoint Server et les e-mails protégés par IRM pour Exchange en local

    Si vous disposez de SharePoint et Exchange en local et que vous souhaitez utiliser leurs fonctionnalités de gestion des droits relatifs à l'information (IRM), installez et configurez le connecteur Rights Management.

    Pour plus d’informations, consultez Déploiement du connecteur Microsoft Rights Management.

Utilisez et surveillez vos solutions de protection des données

Vous êtes maintenant prêt à surveiller la manière dont votre organisation utilise les étiquettes que vous avez configurées et à confirmer que vous protégez les informations sensibles.

Pour plus d'informations, consultez les pages suivantes :

Administrez le service de protection pour votre compte de locataire en fonction de vos besoins

Lorsque vous commencez à utiliser le service de protection, PowerShell peut s’avérer utile pour vous aider à créer des scripts ou à automatiser les modifications administratives. PowerShell peut également être nécessaire pour certaines des configurations avancées.

Pour plus d’informations, consultez Administration de la protection d’Azure Information Protection à l’aide de PowerShell.

Étapes suivantes

Lorsque vous déployez Azure Information Protection, il peut s’avérer utile de consulter les questions fréquemment posées, les problèmes connus ainsi que la page d’informations et de support pour obtenir des ressources supplémentaires.