Préparation des utilisateurs et groupes pour Azure Information ProtectionPreparing users and groups for Azure Information Protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Avant de déployer Azure Information Protection dans votre organisation, vérifiez que vous avez des comptes pour les utilisateurs et groupes dans Azure AD pour le locataire de votre organisation.Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

Il existe différentes façons de créer ces comptes pour les utilisateurs et groupes, notamment :There are different ways to create these accounts for users and groups, which include:

  • Créez les utilisateurs dans le centre d’administration Office 365 et les groupes dans le centre d’administration Exchange Online.You create the users in the Office 365 admin center, and the groups in the Exchange Online admin center.

  • Créez les utilisateurs et groupes dans le portail Azure.You create the users and groups in the Azure portal.

  • Créez les utilisateurs et groupes à l’aide des applets de commande Azure AD PowerShell et Exchange Online.You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • Créez les utilisateurs et groupes dans votre annuaire Active Directory local et synchronisez-les avec Azure AD.You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • Créez les utilisateurs et groupes dans un autre annuaire et synchronisez-les avec Azure AD.You create the users and groups in another directory and synchronize them to Azure AD.

Quand vous créez des utilisateurs et groupes à l’aide des trois premières méthodes de cette liste, ils sont automatiquement créés dans Azure AD et Azure Information Protection peut utiliser ces comptes directement.When you create users and groups by using the first three methods from this list, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. Toutefois, de nombreux réseaux d’entreprise utilisent un annuaire local pour créer et gérer les utilisateurs et groupes.However, many enterprise networks use an on-premises directory to create and manage users and groups. Azure Information Protection ne peut pas utiliser ces comptes directement. Vous devez les synchroniser avec Azure AD.Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

Comment les utilisateurs et groupes sont utilisés par Azure Information ProtectionHow users and groups are used by Azure Information Protection

Il existe trois scénarios d’utilisation des utilisateurs et des groupes avec Azure Information Protection :There are three scenarios for using users and groups with Azure Information Protection:

  • Pour affecter des étiquettes aux utilisateurs quand vous utilisez l’étiquetage et la classification.For assigning labels to users when you use labeling and classification. Seuls les administrateurs sélectionnent ces groupes :Only administrators select these groups:

    • La stratégie Azure Information Protection par défaut est automatiquement attribuée à tous les utilisateurs de l’annuaire Azure AD de votre locataire.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Toutefois, vous pouvez également affecter d’autres étiquettes à des utilisateurs ou groupes spécifiés à l’aide de stratégies délimitées.However, you can also assign additional labels to specified users or groups by using scoped policies.
  • Pour affecter des droits d’utilisation et des contrôles d’accès quand vous utilisez le service Azure Rights Management pour protéger les documents et e-mails.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Les administrateurs et utilisateurs peuvent sélectionner ces utilisateurs et groupes :Administrators and users can select these users and groups:

    • Les droits d’utilisation déterminent si un utilisateur peut ouvrir un document ou e-mail et comment il peut l’utiliser,Usage rights determine whether a user can open a document or email and how they can use it. par exemple s’il peut uniquement le lire, le lire et l’imprimer, ou le lire et le modifier.For example, whether they can only read it, or read and print it, or read and edit it.

    • Les contrôles d’accès incluent une date d’expiration et indiquent si une connexion à Internet est nécessaire pour l’accès.Access controls include an expiry date and whether a connection to the Internet is required for access.

  • Pour configurer le service Azure Rights Management afin de prendre en charge des scénarios spécifiques. Par conséquent, seuls les administrateurs sélectionnent ces groupes.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Les exemples incluent la configuration des éléments suivants :Examples include configuring the following:

    • Super utilisateurs, afin que les personnes ou services désignés puissent ouvrir le contenu chiffré si cela est nécessaire pour la récupération de données ou découverte électronique (eDiscovery).Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

    • Administration déléguée du service Azure Rights Management.Delegated administration of the Azure Rights Management service.

    • Contrôles d’intégration pour prendre en charge un déploiement à plusieurs phases.Onboarding controls to support a phased deployment.

Pour affecter des étiquettes aux utilisateurs quand vous configurez la stratégie Azure Information Protection afin que les étiquettes puissent être appliquées à des documents et e-mails.For assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. Seuls les administrateurs peuvent sélectionner ces utilisateurs et groupes :Only administrators can select these users and groups:

  • La stratégie Azure Information Protection par défaut est automatiquement attribuée à tous les utilisateurs de l’annuaire Azure AD de votre locataire.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Toutefois, vous pouvez également affecter d’autres étiquettes à des utilisateurs ou groupes spécifiés à l’aide de stratégies délimitées.However, you can also assign additional labels to specified users or groups by using scoped policies.

Pour affecter des droits d’utilisation et des contrôles d’accès quand vous utilisez le service Azure Rights Management pour protéger les documents et e-mails.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Les administrateurs et utilisateurs peuvent sélectionner ces utilisateurs et groupes :Administrators and users can select these users and groups:

  • Les droits d’utilisation déterminent si un utilisateur peut ouvrir un document ou e-mail et comment il peut l’utiliser,Usage rights determine whether a user can open a document or email and how they can use it. par exemple s’il peut uniquement le lire, le lire et l’imprimer, ou le lire et le modifier.For example, whether they can only read it, or read and print it, or read and edit it.

  • Les contrôles d’accès incluent une date d’expiration et indiquent si une connexion à Internet est nécessaire pour l’accès.Access controls include an expiry date and whether a connection to the Internet is required for access.

Pour configurer le service Azure Rights Management afin de prendre en charge des scénarios spécifiques. Par conséquent, seuls les administrateurs sélectionnent ces groupes.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Les exemples incluent la configuration des éléments suivants :Examples include configuring the following:

  • Super utilisateurs, afin que les personnes ou services désignés puissent ouvrir le contenu chiffré si cela est nécessaire pour la récupération de données ou découverte électronique (eDiscovery).Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • Administration déléguée du service Azure Rights Management.Delegated administration of the Azure Rights Management service.

  • Contrôles d’intégration pour prendre en charge un déploiement à plusieurs phases.Onboarding controls to support a phased deployment.

Configuration requise d’Azure Information Protection pour les comptes d’utilisateurAzure Information Protection requirements for user accounts

Pour affecter des étiquettes :For assigning labels:

  • Tous les comptes d’utilisateur dans Azure AD peuvent être utilisés pour configurer des stratégies délimitées qui affectent des étiquettes supplémentaires aux utilisateurs.All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

Pour affecter des droits d’utilisation et des contrôles d’accès, et configurer le service Azure Rights Management :For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • Pour autoriser les utilisateurs, deux attributs dans Azure AD sont utilisés : proxyAddresses et userPrincipalName.To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • L’attribut proxyAddresses d’Azure AD stocke toutes les adresses e-mail pour un compte et peut être rempli de différentes façons.The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. Par exemple, un utilisateur dans Office 365 avec une boîte aux lettres Exchange Online a automatiquement une adresse e-mail stockée dans cet attribut.For example, a user in Office 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. Si vous attribuez une autre adresse e-mail pour un utilisateur Office 365, elle est également enregistrée dans cet attribut.If you assign an alternative email address for an Office 365 user, it is also saved in this attribute. Il peut également être rempli par les adresses e-mail qui sont synchronisées à partir de comptes locaux.It can also be populated by the email addresses that are synchronized from on-premises accounts.

    Azure Information Protection peut utiliser n’importe quelle valeur dans cet attribut proxyAddresses d’Azure AD si le domaine a été ajouté à votre locataire (un « domaine vérifié »).Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). Pour plus d’informations sur la vérification des domaines :For more information about verifying domains:

  • L’attribut userPrincipalName d’Azure AD est utilisé uniquement quand un compte dans votre locataire n’a aucune valeur dans l’attribut proxyAddresses d’Azure AD.The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. Par exemple, vous créez un utilisateur dans le portail Azure, ou créez un utilisateur pour Office 365 qui n’a pas de boîte aux lettres.For example, you create a user in the Azure portal, or create a user for Office 365 that doesn't have a mailbox.

Affectation des droits d’utilisation et des contrôles d’accès à des utilisateurs externesAssigning usage rights and access controls to external users

En plus d’utiliser les attributs proxyAddresses et userPrincipalName d’Azure AD pour les utilisateurs dans votre locataire, Azure Information Protection utilise également ces attributs de la même manière pour autoriser les utilisateurs d’un autre locataire.In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

Quand un e-mail est envoyé en utilisant le chiffrement de messages Office 365 avec de nouvelles fonctionnalités à un utilisateur qui n’a pas de compte dans Azure AD, cet utilisateur est d’abord authentifié via la fédération avec un fournisseur d’identité sociale ou avec un code secret à usage unique.When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. L’adresse e-mail spécifiée dans l’e-mail protégé est alors utilisée pour autoriser l’utilisateur.Then the email address specified in the protected email is used to authorize the user.

Configuration requise d’Azure Information Protection pour les comptes de groupeAzure Information Protection requirements for group accounts

Pour affecter des étiquettes :For assigning labels:

  • Pour configurer des stratégies avec étendue qui attribuent des étiquettes supplémentaires aux membres du groupe, vous pouvez utiliser n’importe quel type de groupe dans Azure AD ayant une adresse e-mail avec un domaine vérifié pour le locataire de l’utilisateur.To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Un groupe qui possède une adresse e-mail est souvent appelé groupe à extension messagerie.A group that has an email address is often referred to as a mail-enabled group.

    Par exemple, vous pouvez utiliser un groupe de sécurité à extension messagerie, un groupe de distribution (qui peut être statique ou dynamique) et un groupe Office 365.For example, you can use a mail-enabled security group, a distribution group (which can be static or dynamic), and an Office 365 group. Vous ne pouvez pas utiliser un groupe de sécurité (dynamique ou statique), car ce type de groupe n’a pas d’adresse e-mail.You cannot use a security group (dynamic or static) because this group type doesn't have an email address.

Pour affecter des droits d’utilisation et des contrôles d’accès :For assigning usage rights and access controls:

  • Vous pouvez utiliser n’importe quel type de groupe dans Azure AD qui a une adresse e-mail contenant un domaine vérifié pour le locataire de l’utilisateur.You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Un groupe qui possède une adresse e-mail est souvent appelé groupe à extension messagerie.A group that has an email address is often referred to as a mail-enabled group.

Pour configurer le service Azure Rights Management :For configuring the Azure Rights Management service:

  • Vous pouvez utiliser n’importe quel type de groupe dans Azure AD qui a une adresse e-mail à partir d’un domaine vérifié dans votre locataire, à une exception près :You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. quand vous configurez des contrôles d’intégration pour utiliser un groupe, qui doit être un groupe de sécurité dans Azure AD pour votre locataire.That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • Vous pouvez utiliser n’importe quel groupe dans Azure AD (avec ou sans adresse e-mail) à partir d’un domaine vérifié de votre locataire pour l’administration déléguée du service Azure Rights Management.You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

Affectation des droits d’utilisation et des contrôles d’accès à des groupes externesAssigning usage rights and access controls to external groups

En plus d’utiliser l’attribut proxyAddresses d’Azure AD pour les groupes dans votre locataire, Azure Information Protection utilise également cet attribut de la même manière pour autoriser les groupes d’un autre locataire.In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

Utilisation de comptes de l’annuaire Active Directory local pour Azure Information ProtectionUsing accounts from Active Directory on-premises for Azure Information Protection

Si vous disposez de comptes qui sont gérés en local et que vous souhaitez utiliser avec Azure Information Protection, vous devez les synchroniser avec Azure AD.If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. Pour faciliter le déploiement, nous vous recommandons d’utiliser Azure AD Connect.For ease of deployment, we recommend that you use Azure AD Connect. Toutefois, vous pouvez utiliser toute méthode de synchronisation d’annuaires qui aboutit au même résultat.However, you can use any directory synchronization method that achieves the same result.

Quand vous synchronisez vos comptes, il est inutile de synchroniser tous les attributs.When you synchronize your accounts, you do not need to synchronize all attributes. Pour obtenir la liste des attributs qui doivent être synchronisés, consultez la section relative à Azure RMS dans la documentation d’Azure Active Directory.For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

Dans la liste d’attributs d’Azure Rights Management, pour les utilisateurs, les attributs AD locaux mail, proxyAddresses et userPrincipalName sont nécessaires pour la synchronisation.From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. Les valeurs pour mail et proxyAddresses sont synchronisées avec l’attribut proxyAddresses d’Azure AD.Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. Pour plus d’informations, consultez Comment l’attribut proxyAddresses est rempli dans Azure ADFor more information, see How the proxyAddresses attribute is populated in Azure AD

Confirmation que vos utilisateurs et groupes sont préparés pour Azure Information ProtectionConfirming your users and groups are prepared for Azure Information Protection

Vous pouvez utiliser Azure AD PowerShell pour confirmer que les utilisateurs et groupes peuvent être employés avec Azure Information Protection.You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. Vous pouvez également utiliser PowerShell pour confirmer les valeurs qui peuvent être utilisées pour les autoriser.You can also use PowerShell to confirm the values that can be used to authorize them.

Par exemple, à l’aide du module PowerShell V1 pour Azure Active Directory, MSOnline, dans une session PowerShell, connectez-vous tout d’abord au service et indiquez vos informations d’identification d’administrateur général :For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:

Connect-MsolService

Remarque : Si cette commande ne fonctionne pas, vous pouvez exécuter Install-Module MSOnline pour installer le module MSOnline.Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

Configurez ensuite votre session PowerShell afin de ne pas tronquer les valeurs :Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

Confirmez que les comptes d’utilisateur sont prêts pour Azure Information ProtectionConfirm user accounts are ready for Azure Information Protection

Pour confirmer les comptes d’utilisateur, exécutez la commande suivante :To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Votre première vérification consiste à vous assurer que les utilisateurs que vous souhaitez utiliser avec Azure Information Protection sont affichés.Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

Vérifiez ensuite si la colonne ProxyAddresses est remplie.Then check whether the ProxyAddresses column is populated. Si tel est le cas, les valeurs des e-mails de cette colonne peuvent être utilisées pour autoriser l’utilisateur auprès d’Azure Information Protection.If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

Si la colonne ProxyAddresses n’est pas remplie, la valeur UserPrincipalName sert à autoriser l’utilisation du service Azure Rights Management.If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

Exemple :For example:

Nom d’affichageDisplay Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy jagannathreddy@contoso.com {}{}
Ankur RoyAnkur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp : ankur.roy@onmicrosoft.contoso.com}{SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

Exemple :In this example:

  • Le compte d’utilisateur pour Jagannath Reddy est autorisé par jagannathreddy@contoso.com.The user account for Jagannath Reddy will be authorized by jagannathreddy@contoso.com.

  • Le compte d’utilisateur pour Ankur Roy peut être autorisé en utilisant ankur.roy@contoso.com et ankur.roy@onmicrosoft.contoso.com, mais pas ankurroy@contoso.com.The user account for Ankur Roy can be authorized by using ankur.roy@contoso.com and ankur.roy@onmicrosoft.contoso.com, but not ankurroy@contoso.com.

Dans la plupart des cas, la valeur de UserPrincipalName correspond à une valeur du champ ProxyAddresses.In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. Cette configuration est recommandée, mais si vous ne pouvez pas changer votre valeur UPN pour qu’elle corresponde à l’adresse e-mail, vous devez suivre les étapes ci-après :This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. Si le nom de domaine dans la valeur UPN est un domaine vérifié pour votre locataire Azure AD, ajoutez la valeur UPN comme une autre adresse e-mail dans Azure AD afin que la valeur UPN puisse maintenant être utilisée pour autoriser le compte d’utilisateur pour Azure Information Protection.If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    Si le nom de domaine dans la valeur UPN n’est pas un domaine vérifié pour votre locataire, il ne peut pas être utilisé avec Azure Information Protection.If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. Toutefois, l’utilisateur peut toujours être autorisé en tant que membre d’un groupe quand l’adresse e-mail de groupe utilise un nom de domaine vérifié.However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. Si la valeur UPN n’est pas routable (par exemple, ankurroy@contoso.local), configurez un autre ID de connexion pour les utilisateurs et indiquez-leur comment se connecter à Office à l’aide de cette connexion de remplacement.If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Vous devez également définir une clé de Registre pour Office.You must also set a registry key for Office.

    Pour plus d’informations, consultez Configuration d’un autre ID de connexion et Les applications Office demandent régulièrement des informations d’identification pour SharePoint Online, OneDrive et Lync Online.For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

Conseil

Vous pouvez utiliser l’applet de commande Export-Csv afin d’exporter les résultats dans une feuille de calcul pour faciliter la gestion, comme la recherche et la modification en bloc pour l’importation.You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

Par exemple : Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Confirmer que les comptes de groupe sont prêts pour Azure Information ProtectionConfirm group accounts are ready for Azure Information Protection

Pour confirmer les comptes de groupe, utilisez la commande suivante :To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Vérifiez que les groupes que vous souhaitez utiliser avec Azure Information Protection sont affichés.Make sure that the groups you want to use with Azure Information Protection are displayed. Pour les groupes affichés, les adresses e-mail dans la colonne ProxyAddresses peuvent servir à autoriser les membres du groupe à utiliser le service Azure Rights Management.For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

Vérifiez ensuite que les groupes contiennent les utilisateurs (ou autres groupes) que vous souhaitez utiliser pour Azure Information Protection.Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. Pour ce faire, vous pouvez utiliser PowerShell (par exemple, Get-MsolGroupMember) ou le portail de gestion.You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

Pour les deux scénarios de configuration du service Azure Rights Management qui utilisent des groupes de sécurité, vous pouvez utiliser la commande PowerShell suivante pour trouver l’ID d’objet et le nom d’affichage permettant d’identifier ces groupes.For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Vous pouvez également utiliser le portail Azure pour rechercher ces groupes et copier les valeurs de l’ID d’objet et du nom d’affichage :You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Considérations relatives à Azure Information Protection en cas de changement des adresses e-mailConsiderations for Azure Information Protection if email addresses change

Si vous modifiez l’adresse e-mail d’un utilisateur ou d’un groupe, nous vous recommandons d’ajouter l’ancienne adresse e-mail comme une deuxième adresse e-mail (également appelée adresse proxy, alias ou autre adresse e-mail) à l’utilisateur ou au groupe.If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. Quand vous effectuez cette opération, l’ancienne adresse e-mail est ajoutée à l’attribut proxyAddresses d’Azure AD.When you do this, the old email address is added to the Azure AD proxyAddresses attribute. Cette administration des comptes permet d’assurer la continuité d’activité pour les droits d’utilisation ou d’autres configurations enregistrées quand l’ancienne adresse e-mail était utilisée.This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

Si vous ne pouvez pas le faire, l’utilisateur ou le groupe avec la nouvelle adresse e-mail peut se voir refuser l’accès aux documents et e-mails qui étaient précédemment protégés, et peut être confronté à d’autres erreurs de configuration dues à l’utilisation de l’ancienne valeur.If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected, and other misconfigurations that used the old value. Dans ce cas, vous devez répéter la configuration pour enregistrer la nouvelle adresse e-mail.In this case, you must repeat the configuration to save the new email address.

Notez qu’il est rare qu’un groupe change son adresse e-mail et, si vous attribuez des droits d’utilisation à un groupe plutôt qu’à des utilisateurs individuels, peu importe si l’adresse e-mail de l’utilisateur est modifiée.Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. Dans ce scénario, les droits d’utilisation sont affectés à l’adresse e-mail de groupe et non aux adresses e-mail des utilisateurs individuels.In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. Il s’agit de la méthode la plus probable (et recommandée) pour un administrateur qui souhaite configurer des droits d’utilisation qui protègent des documents et e-mails.This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. Toutefois, les utilisateurs peuvent attribuer plus généralement des autorisations personnalisées aux utilisateurs individuels.However, users might more typically assign custom permissions for individual users. Comme vous ne pouvez pas toujours savoir si un compte d’utilisateur ou un groupe a été utilisé pour accorder l’accès, il est plus sûr de toujours ajouter l’ancienne adresse e-mail comme une deuxième adresse e-mail.Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Mise en cache de l’appartenance au groupe par Azure Rights ManagementGroup membership caching by Azure Rights Management

Pour des raisons de performances, l’appartenance au groupe est mise en cache par le service Azure Rights Management.For performance reasons, group membership is cached by the Azure Rights Management service. Cela signifie que les modifications apportées à l’appartenance au groupe dans Azure AD peuvent prendre jusqu’à 3 heures pour entrer en vigueur quand ces groupes sont utilisés par Azure Rights Management, et cette durée est susceptible de changer.This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Rights Management, and this time period is subject to change.

N’oubliez pas de tenir compte de ce délai dans l’ensemble des modifications ou tests que vous effectuez quand vous utilisez des groupes pour Azure Rights Management, par exemple quand vous attribuez des droits d’utilisation ou configurez le service Azure Rights Management.Remember to factor this delay into any changes or testing that you do when you use groups for Azure Rights Management, such as assigning usage rights or configuring the Azure Rights Management service.

Étapes suivantesNext steps

Après avoir confirmé que vos utilisateurs et groupes peuvent être utilisés avec Azure Information Protection et que vous êtes prêt à commencer à protéger des documents et des e-mails, lancez le service Rights Management pour activer ce service de protection des données.When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, activate the Rights Management service to enable this data protection service. Pour plus d’informations, consultez Activation d’Azure Rights Management.For more information, see Activating Azure Rights Management.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.