Préparation des utilisateurs et des groupes pour Azure Information ProtectionPreparing users and groups for Azure Information Protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Avant de déployer Azure Information Protection pour votre organisation, assurez-vous de disposer de comptes pour les utilisateurs et les groupes d’Azure AD pour le locataire de votre organisation.Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

Voici les différentes façons de créer ces comptes pour les utilisateurs et les groupes :There are different ways to create these accounts for users and groups, which include:

  • Vous créez les utilisateurs dans le centre d’administration Office 365 et les groupes dans le centre d’administration Exchange Online.You create the users in the Office 365 admin center, and the groups in the Exchange Online admin center.

  • Vous créez les utilisateurs et les groupes dans le portail Azure.You create the users and groups in the Azure portal.

  • Vous créez le groupe et les utilisateurs à l’aide des applets de commande Azure AD PowerShell et Exchange Online.You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • Vous créez les utilisateurs et les groupes dans votre répertoire Active Directory local et les synchronisez sur Azure AD.You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • Vous créez les utilisateurs et les groupes dans un autre répertoire et les synchronisez sur Azure AD.You create the users and groups in another directory and synchronize them to Azure AD.

Lorsque vous créez des utilisateurs et des groupes à l’aide des trois premières méthodes de cette liste, ils sont automatiquement créés dans Azure AD et Azure Information Protection peut les utiliser directement.When you create users and groups by using the first three methods from this list, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. Toutefois, plusieurs réseaux d’entreprise utilisent un répertoire local pour créer et gérer les utilisateurs et les groupes.However, many enterprise networks use an on-premises directory to create and manage users and groups. Azure Information Protection ne peut pas utiliser ces comptes directement. Vous devez les synchroniser sur Azure AD.Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

Utilisation des utilisateurs et des groupes par Azure Information ProtectionHow users and groups are used by Azure Information Protection

Il existe trois scénarios d’utilisation des utilisateurs et des groupes avec Azure Information Protection :There are three scenarios for using users and groups with Azure Information Protection:

  • Pour attribuer des étiquettes aux utilisateurs lorsque vous utilisez l’étiquetage et la classification.For assigning labels to users when you use labeling and classification. Seuls les administrateurs sélectionnent ces groupes :Only administrators select these groups:

    • La stratégie Azure Information Protection par défaut est automatiquement attribuée à tous les utilisateurs du Azure AD de votre locataire.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Cependant, vous pouvez également affecter des étiquettes supplémentaires aux utilisateurs ou aux groupes spécifiés à l’aide de stratégies étendues.However, you can also assign additional labels to specified users or groups by using scoped policies.
  • Pour affecter des droits d’utilisation et des contrôles d’accès lorsque vous utilisez le service Azure Rights Management pour protéger des documents et des e-mails.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Les administrateurs et les utilisateurs peuvent sélectionner ces utilisateurs et ces groupes :Administrators and users can select these users and groups:

    • Les droits d’utilisation déterminent si un utilisateur peut ouvrir un document ou un e-mail et comment il peut l’utiliser.Usage rights determine whether a user can open a document or email and how they can use it. Par exemple, ils indiquent s’il est en lecture seule, s’il peut le lire et l’imprimer ou le lire et le modifier uniquement.For example, whether they can only read it, or read and print it, or read and edit it.

    • Les contrôles d’accès incluent une date d’expiration et indiquent si une connexion à Internet est nécessaire pour l’accès.Access controls include an expiry date and whether a connection to the Internet is required for access.

  • Pour configurer le service Azure Rights Management afin de prendre en charge des scénarios spécifiques, et par conséquent, uniquement les administrateurs, sélectionnez ces groupes.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Les exemples comprennent la configuration des éléments suivants :Examples include configuring the following:

    • Les super utilisateurs, afin que les services désignés ou les personnes puissent ouvrir du contenu chiffré si nécessaire pour la récupération de données ou eDiscovery.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

    • L’administration déléguée du service Azure Rights Management.Delegated administration of the Azure Rights Management service.

    • Les contrôles d’intégration pour la prise en charge d’un déploiement échelonné.Onboarding controls to support a phased deployment.

Pour attribuer des étiquettes aux utilisateurs lorsque vous configurez la stratégie Azure Information Protection afin que les étiquettes puissent être appliquées à des documents et des e-mails.For assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. Seuls les administrateurs peuvent sélectionner ces utilisateurs et ces groupes :Only administrators can select these users and groups:

  • La stratégie Azure Information Protection par défaut est automatiquement attribuée à tous les utilisateurs du Azure AD de votre locataire.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Cependant, vous pouvez également affecter des étiquettes supplémentaires aux utilisateurs ou aux groupes spécifiés à l’aide de stratégies étendues.However, you can also assign additional labels to specified users or groups by using scoped policies.

Pour affecter des droits d’utilisation et des contrôles d’accès lorsque vous utilisez le service Azure Rights Management pour protéger des documents et des e-mails.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Les administrateurs et les utilisateurs peuvent sélectionner ces utilisateurs et ces groupes :Administrators and users can select these users and groups:

  • Les droits d’utilisation déterminent si un utilisateur peut ouvrir un document ou un e-mail et comment il peut l’utiliser.Usage rights determine whether a user can open a document or email and how they can use it. Par exemple, ils indiquent s’il est en lecture seule, s’il peut le lire et l’imprimer ou le lire et le modifier uniquement.For example, whether they can only read it, or read and print it, or read and edit it.

  • Les contrôles d’accès incluent une date d’expiration et indiquent si une connexion à Internet est nécessaire pour l’accès.Access controls include an expiry date and whether a connection to the Internet is required for access.

Pour configurer le service Azure Rights Management afin de prendre en charge des scénarios spécifiques, et par conséquent, uniquement les administrateurs, sélectionnez ces groupes.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Les exemples comprennent la configuration des éléments suivants :Examples include configuring the following:

  • Les super utilisateurs, afin que les services désignés ou les personnes puissent ouvrir du contenu chiffré si nécessaire pour la récupération de données ou eDiscovery.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • L’administration déléguée du service Azure Rights Management.Delegated administration of the Azure Rights Management service.

  • Les contrôles d’intégration pour la prise en charge d’un déploiement échelonné.Onboarding controls to support a phased deployment.

Configuration requise d’Azure Information Protection pour les comptes d’utilisateursAzure Information Protection requirements for user accounts

Pour affecter des étiquettes :For assigning labels:

  • Tous les comptes d’utilisateur dans Azure AD peuvent être utilisés pour configurer les stratégies étendues qui affectent des étiquettes supplémentaires aux utilisateurs.All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

Pour affecter des droits d’utilisation et des contrôles d’accès et configurer le service Azure Rights Management :For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • Pour autoriser les utilisateurs, deux attributs dans Azure AD sont utilisés : proxyAddresses et userPrincipalName.To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • L’attribut AD Azure proxyAddresses stocke toutes les adresses de messagerie d’un compte et peut être rempli de différentes façons.The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. Par exemple, un utilisateur dans Office 365 possédant une boîte aux lettres Exchange Online dispose automatiquement d’une adresse de messagerie stockée dans cet attribut.For example, a user in Office 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. Si vous attribuez une adresse de messagerie de secours pour un utilisateur Office 365, celle-ci est également enregistrée dans cet attribut.If you assign an alternative email address for an Office 365 user, it is also saved in this attribute. Il peut également être alimenté par les adresses de messagerie synchronisées à partir de comptes locaux.It can also be populated by the email addresses that are synchronized from on-premises accounts.

    Azure Information Protection peut utiliser n’importe quelle valeur de cet attribut proxyAddresses Azure AD, à condition que le domaine ait été ajouté à votre locataire (un « domaine vérifié »).Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). Pour en savoir plus sur la vérification des domaines :For more information about verifying domains:

  • L’attribut AD Azure userPrincipalName est utilisé uniquement lorsque le compte de votre locataire n’a aucune valeur dans l’attribut proxyAddresses Azure AD.The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. Par exemple, vous créez un utilisateur dans le portail Azure, ou un utilisateur pour Office 365 n’ayant pas de boîte aux lettres.For example, you create a user in the Azure portal, or create a user for Office 365 that doesn't have a mailbox.

Attribution de droits d’utilisation et de contrôles d’accès à des utilisateurs externesAssigning usage rights and access controls to external users

Outre l’utilisation des attributs proxyAddresses Azure AD et userPrincipalName Azure AD pour les utilisateurs de votre locataire, Azure Information Protection utilise également ces attributs de la même manière pour autoriser les utilisateurs issus d’un autre locataire.In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

Quand un e-mail est envoyé à l’aide du chiffrement de messages Office 365 avec de nouvelles fonctionnalités à un utilisateur ne possédant pas de compte dans Azure AD, l’utilisateur est tout d’abord authentifié à l’aide de la fédération avec un fournisseur d’identité sociale ou à l’aide d’un code secret à usage unique.When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. Ensuite, l’adresse de messagerie spécifiée dans l’e-mail protégé est utilisée pour autoriser l’utilisateur.Then the email address specified in the protected email is used to authorize the user.

Configuration requise d’Azure Information Protection pour les comptes de groupeAzure Information Protection requirements for group accounts

Pour affecter des étiquettes :For assigning labels:

  • Pour configurer des stratégies étendues qui affectent des étiquettes supplémentaires aux membres du groupe, vous pouvez utiliser n’importe quel type de groupe dans Azure AD disposant d’une adresse de messagerie contenant un domaine vérifié pour le locataire de l’utilisateur.To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Un groupe possédant une adresse de messagerie est souvent appelé groupe à extension de messagerie.A group that has an email address is often referred to as a mail-enabled group.

    Par exemple, vous pouvez utiliser un groupe de sécurité à extension de messagerie, un groupe de distribution (qui peut être statique ou dynamique) et un groupe Office 365.For example, you can use a mail-enabled security group, a distribution group (which can be static or dynamic), and an Office 365 group. Vous ne pouvez pas utiliser de groupe de sécurité (dynamique ou statique), car ce type de groupe n’a pas d’adresse de messagerie.You cannot use a security group (dynamic or static) because this group type doesn't have an email address.

Pour attribuer des droits d’utilisation et des contrôles d’accès :For assigning usage rights and access controls:

  • Vous pouvez utiliser n’importe quel type de groupe dans Azure AD disposant d’une adresse de messagerie qui contient un domaine vérifié pour le locataire de l’utilisateur.You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Un groupe possédant une adresse de messagerie est souvent appelé groupe à extension de messagerie.A group that has an email address is often referred to as a mail-enabled group.

Pour configurer le service Azure Rights Management :For configuring the Azure Rights Management service:

  • Vous pouvez utiliser n’importe quel type de groupe dans Azure AD disposant d’une adresse de messagerie provenant d’un domaine vérifié de votre locataire, à une exception.You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. Cette exception s’applique lorsque vous configurez des contrôles d’intégration pour utiliser un groupe, qui doit être un groupe de sécurité dans Azure AD pour votre locataire.That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • Vous pouvez utiliser n’importe quel groupe dans Azure AD (avec ou sans adresse de messagerie) à partir d’un domaine vérifié de votre locataire pour l’administration déléguée du service Azure Rights Management.You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

Attribution de droits d’utilisation et de contrôles d’accès à des groupes externesAssigning usage rights and access controls to external groups

Outre l’utilisation des attributs proxyAddresses Azure AD pour les groupes de votre locataire, Azure Information Protection utilise également cet attribut de la même manière pour autoriser les groupes issus d’un autre locataire.In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

Utilisation de comptes à partir d’Active Directory en local pour Azure Information ProtectionUsing accounts from Active Directory on-premises for Azure Information Protection

Si vous souhaitez utiliser des comptes gérés en local avec Azure Information Protection, vous devez les synchroniser avec Azure AD.If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. Pour faciliter le déploiement, nous vous recommandons d’utiliser Azure AD Connect.For ease of deployment, we recommend that you use Azure AD Connect. Toutefois, vous pouvez utiliser n’importe quelle méthode de synchronisation d’annuaires permettant d’obtenir le même résultat.However, you can use any directory synchronization method that achieves the same result.

Lorsque vous synchronisez vos comptes, vous n’avez pas besoin de synchroniser tous les attributs.When you synchronize your accounts, you do not need to synchronize all attributes. Pour obtenir la liste des attributs qui doivent être synchronisés, consultez la section Azure RMS dans la documentation relative à Azure Active Directory.For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

Dans la liste des attributs pour Azure Rights Management, vous constatez que pour les utilisateurs, les attributs AD locaux de mail, proxyAddresses, et userPrincipalName sont requis pour la synchronisation.From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. Les valeurs pour mail et proxyAddresses sont synchronisées avec l’attribut proxyAddresses Azure AD.Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. Pour en savoir plus, consultez Comment l’attribut proxyAddresses est rempli dans Azure ADFor more information, see How the proxyAddresses attribute is populated in Azure AD

Confirmation de la préparation de vos utilisateurs et groupes pour Azure Information ProtectionConfirming your users and groups are prepared for Azure Information Protection

Vous pouvez utiliser Azure AD PowerShell pour confirmer que les utilisateurs et les groupes sont utilisables avec Azure Information Protection.You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. Vous pouvez également utiliser PowerShell pour vérifier les valeurs pouvant être utilisées pour les autoriser.You can also use PowerShell to confirm the values that can be used to authorize them.

Par exemple, à l’aide du module PowerShell V1 pour Azure Active Directory, MSOnline, dans une session PowerShell, commencez par vous connecter au service et renseignez vos informations d’identification d’administrateur global :For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:

Connect-MsolService

Remarque : si cette commande ne fonctionne pas, vous pouvez exécuter Install-Module MSOnline pour installer le module MSOnline.Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

Ensuite, configurez votre session PowerShell afin que les valeurs ne soient pas tronquées :Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

Confirmer que les comptes d’utilisateur sont prêts pour Azure Information ProtectionConfirm user accounts are ready for Azure Information Protection

Pour confirmer les comptes d’utilisateur, exécutez la commande suivante :To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

La première vérification consiste à s’assurer que les utilisateurs que vous souhaitez utiliser avec Azure Information Protection sont affichés.Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

Vérifiez ensuite que la colonne ProxyAddresses est remplie.Then check whether the ProxyAddresses column is populated. Si c’est le cas, les valeurs d’e-mail de cette colonne peuvent être utilisées pour autoriser l’utilisateur pour Azure Information Protection.If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

Si la colonne ProxyAddresses n’est pas remplie, la valeur de l’attribut UserPrincipalName est utilisée pour autoriser l’utilisateur pour le service Azure Rights Management.If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

Exemple :For example:

Nom completDisplay Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy jagannathreddy@contoso.com {}{}
Ankur RoyAnkur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}{SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

Dans cet exemple :In this example:

  • Le compte d’utilisateur pour Jagannath Reddy sera autorisé par jagannathreddy@contoso.com.The user account for Jagannath Reddy will be authorized by jagannathreddy@contoso.com.

  • Le compte d’utilisateur pour Ankur Roy peut être autorisé à l’aide de ankur.roy@contoso.com et ankur.roy@onmicrosoft.contoso.com, mais pas ankurroy@contoso.com.The user account for Ankur Roy can be authorized by using ankur.roy@contoso.com and ankur.roy@onmicrosoft.contoso.com, but not ankurroy@contoso.com.

Dans la plupart des cas, la valeur pour UserPrincipalName correspond à une des valeurs du champ ProxyAddresses.In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. Il s’agit de la configuration recommandée, mais si vous ne pouvez pas modifier votre UPN pour qu’il corresponde à l’adresse de messagerie, vous devez procéder comme suit :This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. Si le nom de domaine de la valeur de l’UPN est un domaine vérifié pour votre locataire Azure AD, ajoutez la valeur de l’UPN en tant qu’autre adresse de messagerie dans Azure AD afin qu’elle puisse maintenant être utilisée pour autoriser le compte d’utilisateur pour Azure Information Protection.If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    Si le nom de domaine de la valeur de l’UPN n’est pas un domaine vérifié pour votre locataire, il ne peut pas être utilisé avec Azure Information Protection.If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. Toutefois, l’utilisateur peut encore être autorisé en tant que membre d’un groupe lorsque l’adresse de messagerie du groupe utilise un nom de domaine vérifié.However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. Si l’UPN n’est pas routable (par exemple, ankurroy@contoso.local), Configurez un ID de connexion de secours pour les utilisateurs et expliquez-leur comment se connecter à Office à l’aide de cette connexion de secours.If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Vous devez également définir une clé de Registre pour Office.You must also set a registry key for Office.

    Pour plus d’informations, consultez Configuring Alternate Login ID (Configuration d’un ID de connexion de secours) et Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online (Les applications Office invitent régulièrement à saisir les informations d’identification pour SharePoint Online, OneDrive et Lync Online).For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

Conseil

Vous pouvez utiliser l’applet de commande Export-Csv pour exporter les résultats dans une feuille de calcul pour faciliter les tâches de gestion, telles que la recherche et la modification en bloc pour l’importation.You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

Par exemple : Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Confirmer que les comptes de groupe sont prêts pour Azure Information ProtectionConfirm group accounts are ready for Azure Information Protection

Pour confirmer les comptes de groupe, utilisez la commande suivante :To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Assurez-vous que les groupes que vous souhaitez utiliser avec Azure Information Protection sont affichés.Make sure that the groups you want to use with Azure Information Protection are displayed. Pour les groupes affichés, les adresses de messagerie figurant dans la colonne ProxyAddresses peuvent être utilisées pour autoriser les membres du groupe pour le service Azure Rights Management.For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

Vérifiez ensuite que les groupes contiennent les utilisateurs (ou les autres groupes) que vous souhaitez utiliser pour Azure Information Protection.Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. Vous pouvez utiliser PowerShell pour ce faire (par exemple, Get-MsolGroupMember), ou utiliser votre portail de gestion.You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

Pour les deux scénarios de configuration du service Azure Rights Management utilisant des groupes de sécurité, vous pouvez utiliser la commande PowerShell suivante pour rechercher l’ID d’objet et le nom d’affichage qui peut être utilisé pour identifier ces groupes.For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Vous pouvez également utiliser le portail Azure pour rechercher ces groupes et copier les valeurs pour l’ID d’objet et le nom d’affichage :You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Éléments à prendre en compte pour Azure Information Protection en cas de modification de l’adresse de messagerieConsiderations for Azure Information Protection if email addresses change

Si vous modifiez l’adresse de messagerie d’un utilisateur ou d’un groupe, nous recommandons d’ajouter l’ancienne adresse de messagerie comme deuxième adresse de messagerie (également appelée adresse proxy, alias ou adresse de messagerie de secours) à l’utilisateur ou au groupe.If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. Lorsque vous effectuez cette opération, l’ancienne adresse de messagerie est ajoutée à l’attribut proxyAddresses Azure AD.When you do this, the old email address is added to the Azure AD proxyAddresses attribute. L’administration de ce compte permet de garantir la continuité d’activité pour les droits d’utilisation ou les autres configurations enregistrées lors de l’utilisation de l’ancienne adresse de messagerie.This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

Si vous ne pouvez pas effectuer cette opération, l’utilisateur ou le groupe associé à la nouvelle adresse de messagerie risque de se voir refuser l’accès aux documents et e-mails précédemment protégés avec l’ancienne adresse de messagerie.If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected with the old email address. Dans ce cas, vous devez répéter la configuration de la protection pour enregistrer la nouvelle adresse de messagerie.In this case, you must repeat the protection configuration to save the new email address. Par exemple, si l’utilisateur ou le groupe a obtenu des droits d’utilisation dans des modèles ou des étiquettes, modifiez ces derniers et affectez à la nouvelle adresse de messagerie les mêmes droits d’utilisation que l’ancienne adresse.For example, if the user or group was granted usage rights in templates or labels, edit those templates or labels and specify the new email address with same usage rights as you granted to the old email address.

Notez qu’il est rare qu’un groupe modifie son adresse de messagerie et que si vous attribuez des droits d’utilisation à un groupe plutôt qu’à des utilisateurs individuels, peu importe si l’adresse de messagerie de l’utilisateur change.Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. Dans ce scénario, les droits d’utilisation sont attribués à l’adresse de messagerie du groupe et non à celle de chaque utilisateur.In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. Il s’agit de la méthode la plus probable (et recommandée) qui permet à un administrateur de configurer des droits d’utilisation protégeant des documents et e-mails.This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. Toutefois, il se peut que les utilisateurs attribuent plus généralement des autorisations personnalisées à des utilisateurs individuels.However, users might more typically assign custom permissions for individual users. Dans la mesure où vous ne pouvez pas toujours savoir si un compte d’utilisateur ou un groupe a été utilisé pour accorder un accès, il est plus sûr de toujours ajouter l’ancienne adresse de messagerie comme une deuxième adresse de messagerie.Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Mise en cache de l’appartenance à un groupe par Azure Information ProtectionGroup membership caching by Azure Information Protection

Pour des raisons de performances, Azure Information Protection met en cache l’appartenance au groupe.For performance reasons, Azure Information Protection caches group membership. Cela signifie que toute mise en application d’une modification apportée à l’appartenance au groupe dans Azure AD peut prendre jusqu’à trois heures lorsque ces groupes sont utilisés par Azure Information Protection et que cette période est susceptible d’être modifiée.This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Information Protection and this time period is subject to change.

N’oubliez pas de tenir compte de ce délai pour les modifications ou les tests effectués lorsque vous utilisez des groupes pour accorder des droits d’utilisation ou configurer le service Azure Rights Management, ou lorsque vous configurez des stratégies étendues.Remember to factor this delay into any changes or testing that you do when you use groups for granting usage rights or configuring the Azure Rights Management service, or when you configure scoped policies.

Étapes suivantesNext steps

Après avoir vérifié que vos utilisateurs et groupes peuvent être utilisés avec Azure Information Protection et que vous êtes prêt à démarrer la protection des documents et des e-mails, activez le service Azure Rights Management pour lancer ce service de protection des données.When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, activate the Rights Management service to enable this data protection service. Pour plus d’informations, consultez Activer Azure Rights Management.For more information, see Activating Azure Rights Management.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.