Configurations personnalisées pour le client Azure Information ProtectionCustom configurations for the Azure Information Protection client

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Utilisez les informations suivantes pour les configurations avancées nécessaires dont vous pourrez avoir besoin pour des scénarios spécifiques, ou pour un sous-ensemble d’utilisateurs lorsque vous gérez le client Azure Information Protection.Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection client.

Certains de ces paramètres nécessitent une modification du Registre, et certains autres utilisent des paramètres avancés que vous devez configurer dans le portail Azure, puis publier pour les clients à télécharger.Some of these settings require editing the registry and some use advanced settings that you must configure in the Azure portal, and then publish for clients to download. En outre, certains paramètres peuvent n’être disponibles que dans une préversion du client Azure Information Protection.In addition, some settings might only be available in a preview version of the Azure Information Protection client. Pour ces paramètres, il existe une documentation concernant la version minimale du client.For these settings, a minimum client version is documented. Pour les paramètres et les configurations pris en charge dans la version publique du client, il n’existe aucune documentation relative à la version minimale du client.For settings and configurations that are supported in the general availability version of the client, no minimal client version number is documented.

Comment configurer les paramètres avancés de configuration du client dans le portailHow to configure advanced client configuration settings in the portal

Cette configuration est actuellement en préversion.This configuration is currently in preview.

  1. Si vous ne l’avez pas déjà fait, dans une nouvelle fenêtre de navigateur, connectez-vous au portail Azure en tant qu’administrateur de la sécurité ou administrateur général, puis accédez au panneau Azure Information Protection.If you haven't already done so, in a new browser window, sign in to the Azure portal as a security admin or global admin, and then navigate to the Azure Information Protection blade.

  2. Dans le premier panneau Azure Information Protection, sélectionnez Stratégies étendues.On the initial Azure Information Protection blade, select Scoped policies.

  3. Dans la panneau Azure Information Protection - Stratégies étendues, sélectionnez le menu contextuel (...) à côté de la stratégie qui doit contenir les paramètres avancés.On the Azure Information Protection - Scoped policies blade, select the context menu (...) next to the policy to contain the advanced settings. Ensuite, sélectionnez Paramètres avancés.Then select Advanced settings.

    Vous pouvez configurer des paramètres avancés pour la stratégie globale et pour les stratégies étendues.You can configure advanced settings for the Global policy, as well as for scoped policies.

  4. Dans le panneau Paramètres avancés, tapez le nom et la valeur du paramètre avancé, puis sélectionnez Enregistrer et fermer.On the Advanced settings blade, type the advanced setting name and value, and then select Save and close.

  5. Cliquez sur Publier, puis veillez à ce que les utilisateurs de cette stratégie redémarrent toutes les applications Office qu’ils avaient ouvertes.Click Publish, and make sure that users for this policy restart any Office applications that they had open.

  6. Si vous n’avez plus besoin de ce paramètre et souhaitez rétablir le comportement par défaut : dans le panneau Paramètres avancés, sélectionnez le menu contextuel (...) à côté du paramètre dont vous n’avez plus besoin, puis sélectionnez Supprimer.If you no longer need the setting and want to revert to the default behavior: On the Advanced settings blade, select the context menu (...) next to the setting you no longer need, and then select Delete. Ensuite, cliquez sur Enregistrer et fermer, puis republier la stratégie modifiée.Then click Save and close, and republish the modified policy.

Empêcher l’affichage des invites de connexion sur les ordinateurs AD RMS uniquementPrevent sign-in prompts for AD RMS only computers

Par défaut, le client Azure Information Protection tente automatiquement de se connecter au service Azure Information Protection.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service. Pour les ordinateurs qui communiquent uniquement avec AD RMS, cette configuration peut entraîner inutilement l’affichage d’une invite de connexion pour les utilisateurs.For computers that only communicate with AD RMS, this configuration can result in a sign-in prompt for users that is not necessary. Vous pouvez empêcher l’affichage de cette invite de connexion en modifiant le Registre :You can prevent this sign-in prompt by editing the registry:

Recherchez le nom de valeur suivant et définissez la valeur à 0 :Locate the following value name, and then set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Indépendamment de ce paramètre, le client Azure Information Protection se conforme au processus de découverte du service RMS pour trouver le cluster AD RMS associé.Regardless of this setting, the Azure Information Protection client follows the standard RMS service discovery process to find its AD RMS cluster.

Se connecter avec l’identité d’un autre utilisateurSign in as a different user

Dans un environnement de production, les utilisateurs ne doivent généralement pas se connecter sous un autre nom lorsqu’ils utilisent le client Azure Information Protection.In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection client. Toutefois, en tant qu’administrateur, vous devrez peut-être vous connecter sous un autre nom d’utilisateur pendant une phase de test.However, as an administrator, you might need to sign in as a different user during a testing phase.

Vous pouvez vérifier le compte auquel vous êtes actuellement connecté à l’aide de la boîte de dialogue Microsoft Azure Information Protection : ouvrez une application Office et, dans l’onglet Accueil, dans le groupe Protection, cliquez sur Protéger, puis sur Aide et commentaires.You can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, in the Protection group, click Protect, and then click Help and feedback. Votre nom de votre compte s’affiche dans la section État du client.Your account name is displayed in the Client status section.

Pensez à vérifier le nom de domaine du compte connecté.Be sure to also check the domain name of the signed in account that's displayed. En effet, vous pouvez accidentellement vous connecter avec le bon nom de compte, mais avec le mauvais domaine.It can be easy to miss that you're signed in with the right account name but wrong domain. Vous pouvez vous apercevoir que vous utilisez le mauvais compte en cas d’échec du téléchargement de la stratégie Azure Information Protection ou si vous ne voyez pas les étiquettes ou le comportement auxquels vous vous attendez.A symptom of using the wrong account includes failing to download the Azure Information Protection policy, or not seeing the labels or behavior that you expect.

Pour se connecter avec l’identité d’un autre utilisateur :To sign in as a different user:

  1. Selon la version du client Azure Information Protection :Depending on the version of the Azure Information Protection client:

    • Pour obtenir la version grand public du client Azure Information Protection : à l’aide d’un éditeur du Registre, accédez à HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP et supprimez la valeur TokenCache (et les données de valeur associées).For the general availability version of the Azure Information Protection client: Using a registry editor, navigate to HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP and delete the TokenCache value (and its associated value data).

    • Pour la préversion actuelle du client Azure Information Protection : accédez à %localappdata%\Microsoft\MSIP et supprimez le fichier TokenCache.For the current preview version of the Azure Information Protection client: Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. Redémarrez les applications Office ouvertes et connectez-vous avec votre autre compte d’utilisateur.Restart any open Office applications and sign in with your different user account. Si l’invite de connexion au service Azure Information Protection n’apparaît pas dans votre application Office, revenez à la boîte de dialogue Microsoft Azure Information Protection et cliquez sur Connexion depuis la section mise à jour État du Client.If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and click Sign in from the updated Client status section.

En outre :Additionally:

  • Cette solution prend en charge la connexion sous un nom d’utilisateur différent à partir du même locataire.This solution is supported for signing in as another user from the same tenant. Elle ne prend en pas charge la connexion sous un nom d’utilisateur différent à partir d’un autre locataire.It is not supported for signing in as another user from a different tenant. Pour tester Azure Information Protection avec plusieurs locataires, utilisez des ordinateurs différents.To test Azure Information Protection with multiple tenants, use different computers.

  • Si vous utilisez l’authentification unique, vous devrez vous déconnecter de Windows et vous reconnecter avec votre autre compte d’utilisateur après avoir modifié le Registre.If you are using single sign-on, you must sign out from Windows and sign in with your different user account after editing the registry. Le client Azure Information Protection peut alors vous authentifier automatiquement à l’aide du compte d’utilisateur connecté à ce moment-là.The Azure Information Protection client then automatically authenticates by using your currently signed in user account.

  • Si vous souhaitez réinitialiser les paramètres utilisateur pour le service Azure Rights Management, utilisez l’option Aide et commentaires.If you want to reset the user settings for the Azure Rights Management service, you can do this by using the Help and Feedback option.

  • Si vous souhaitez supprimer la stratégie Azure Information Protection actuellement téléchargée, supprimez le fichier Policy.msip du dossier %localappdata%\Microsoft\MSIP.If you want to delete the currently downloaded Azure Information Protection policy, delete the Policy.msip file from the %localappdata%\Microsoft\MSIP folder.

  • Si vous avez la préversion actuelle du client Azure Information Protection, vous pouvez utiliser l’option Réinitialiser les paramètres dans Aide et commentaires pour vous déconnecter et supprimer la stratégie Azure Information Protection téléchargée.If you have the current preview version of the Azure Information Protection client, you can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded Azure Information Protection policy.

Masquer l’option de menu Classifier et protéger dans l’Explorateur de fichiers WindowsHide the Classify and Protect menu option in Windows File Explorer

Cette configuration est actuellement en préversion.This configuration option is currently in preview.

Vous pouvez définir cette configuration avancée en modifiant le Registre lorsque vous disposez de la version 1.3.0.0 du client Azure Information Protection ou d’une version ultérieure.You can configure this advanced configuration by editing the registry when you have a version of the Azure Information Protection client that is 1.3.0.0 or higher.

Créez le nom de la valeur DWORD suivant (avec toutes données de la valeur) :Create the following DWORD value name (with any value data):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisableHKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Prise en charge des ordinateurs déconnectésSupport for disconnected computers

Par défaut, le client Azure Information Protection tente automatiquement de se connecter au service Azure Information Protection pour télécharger la dernière stratégie Azure Information Protection.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service to download the latest Azure Information Protection policy. Si vous disposez d’ordinateur qui ne sera pas en mesure de se connecter à Internet pendant une période donnée, vous pouvez empêcher le client d’essayer de se connecter au service en modifiant le Registre.If you have computer that you know will not be able to connect to the Internet for a period of time, you can prevent the client from attempting to connect to the service by editing the registry.

Recherchez le nom de la valeur suivant et définissez les données de la valeur sur 0 :Locate the following value name and set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Vérifiez que le client a d’un fichier de stratégie valide nommé Policy.msip dans le dossier %LocalAppData%\Microsoft\MSIP.Make sure that the client has a valid policy file named Policy.msip, in the %LocalAppData%\Microsoft\MSIP folder. Si nécessaire, vous pouvez exporter la stratégie à partir du portail Azure et copier le fichier exporté sur l’ordinateur client.If necessary, you can export the policy from the Azure portal and copy the exported file to the client computer. Vous pouvez également utiliser cette méthode pour remplacer un fichier de stratégie obsolète par la dernière stratégie publiée.You can also use this method to replace an-out-of-date policy file with the latest, published policy.

Quand vous exportez la stratégie, cette action télécharge un fichier compressé avec plusieurs versions de la stratégie qui correspondent à différentes versions du client Azure Information Protection :When you export the policy, this action downloads a zipped file with multiple versions of the policy that corresponds to different versions of the Azure Information Protection client:

  1. Décompressez le fichier et utilisez le tableau suivant pour identifier le fichier de stratégie dont vous avez besoin.Unzip the file and use the following table to identify which policy file you need.

    Nom du fichierFile name Version du client correspondanteCorresponding client version
    Policy1.1.msipPolicy1.1.msip version 1.2version 1.2
    Policy1.2.msipPolicy1.2.msip version 1.3 - 1.7version 1.3 - 1.7
    Policy1.3.msipPolicy1.3.msip version 1.8 et ultérieureversion 1.8 and later
  2. Renommez le fichier identifié en Policy.msip et copiez-le dans le dossier %LocalAppData%\Microsoft\MSIP sur les ordinateurs où le client Azure Information Protection est installé.Rename the identified file to Policy.msip, and then copy it to the %LocalAppData%\Microsoft\MSIP folder on computers that have the Azure information protection client installed.

Masquer le bouton Ne pas transférer dans OutlookHide the Do Not Forward button in Outlook

Cette option de configuration est actuellement en préversion.This configuration option is currently in preview.

Cette configuration utilise un paramètre client avancé que vous devez configurer dans le portail Azure.This configuration uses an advanced client setting that you must configure in the Azure portal. Ce paramètre nécessite également la préversion 1.8.41.0 du client Azure Information Protection ou une version ultérieure.This setting also requires a preview version of the Azure Information Protection client that has a minimum version of 1.8.41.0.

Lorsque vous configurez ce paramètre, celui-ci masque le bouton Ne pas transférer du ruban Outlook.When you configure this setting, it hides the Do Not Forward button from the ribbon in Outlook. Ce paramètre ne permet pas de masquer cette option dans les menus Office.It does not hide this option from Office menus.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes :To configure this advanced setting, enter the following strings:

  • Clé : DisableDNFKey: DisableDNF

  • Valeur : TrueValue: True

Désactiver les options d’autorisations personnalisées pour les utilisateursMake the custom permissions options unavailable to users

Cette option de configuration est actuellement en préversion.This configuration option is currently in preview.

Cette configuration utilise un paramètre client avancé que vous devez configurer dans le portail Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Lorsque vous configurez ce paramètre et publiez la stratégie pour les utilisateurs, les options relatives aux autorisations personnalisées deviennent indisponibles dans les emplacements suivants :When you configure this setting and publish the policy for users, the custom permissions options from the following locations become unavailable for users to select:

  • Dans les applications Office : onglet Accueil > groupe Protection > Protéger > Autorisations personnaliséesIn Office applications: Home tab > Protection group > Protect > Custom Permissions

  • Dans l’Explorateur de fichiers : cliquez avec le bouton droit sur > Classifier et protéger > Autorisations personnaliséesFrom File Explorer: Right-click > Classify and protect > Custom permissions

Ce paramètre n’a aucun effet sur les autorisations personnalisées que vous pouvez configurer à l’aide des options de menu Office.This setting has no effect on custom permissions that you can configure from Office menu options.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes :To configure this advanced setting, enter the following strings:

  • Clé : EnableCustomPermissionsKey: EnableCustomPermissions

  • Valeur : FalseValue: False

Masquer définitivement la barre Azure Information ProtectionPermanently hide the Azure Information Protection bar

Cette configuration utilise un paramètre avancé que vous devez configurer dans le portail Azure.This configuration uses an advanced setting that you must configure in the Azure portal. Ce paramètre nécessite également la préversion 1.9.58.0 du client Azure Information Protection ou une version ultérieure.This setting also requires a preview version of the Azure Information Protection client that has a minimum version of 1.9.58.0.

Lorsque vous configurez ce paramètre et publiez la stratégie pour les utilisateurs, si un utilisateur choisit de ne pas afficher la barre Azure Information Protection dans ses applications Office, la barre reste masquée.When you configure this setting and publish the policy for users, and a user chooses to not show the Azure Information Protection bar in their Office applications, the bar remains hidden. Cela se produit lorsque l’utilisateur décoche l’option Afficher la barre dans l’onglet Accueil, groupe Protection groupe, bouton Protéger.This happens when the user clears the Show Bar option from the Home tab, Protection group, Protect button. Ce paramètre n’a aucun effet si l’utilisateur ferme la barre à l’aide de l’icône Fermer cette barre.This setting has no effect if the user closes the bar by using the Close this bar icon.

Même si la barre Azure Information Protection reste masquée, les utilisateurs peuvent encore sélectionner une étiquette dans la barre d’outils qui s’affiche temporairement si vous avez configuré la classification recommandée ou si un document ou un e-mail doit avoir une étiquette.Even though the Azure Information Protection bar remains hidden, users can still select a label from the temporarily displayed bar if you have configured recommended classification, or when a document or email must have a label. Le paramètre n’a aucun effet sur les étiquettes que vous ou d’autres avez configurées, telles que la classification automatique ou manuelle, ou la définition d’une étiquette par défaut.The setting also has no effect on labels that you or others configure, such as manual or automatic classification, or setting a default label.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes :To configure this advanced setting, enter the following strings:

  • Clé : EnableBarHidingKey: EnableBarHiding

  • Valeur : TrueValue: True

Intégration avec la classification des messages Exchange pour une solution d’étiquetage des appareils mobilesIntegration with Exchange message classification for a mobile device labeling solution

Bien que Outlook sur le web ne prenne pas encore en charge la protection et la classification Azure Information Protection, vous pouvez utiliser la classification des messages Exchange pour étendre vos étiquettes d’Azure Information Protection à vos utilisateurs mobiles.Although Outlook on the web doesn't yet natively support Azure Information Protection classification and protection, you can use Exchange message classification to extend your Azure Information Protection labels to your mobile users.

Pour obtenir cette solution :To achieve this solution:

  1. Utilisez l’applet de commande PowerShell Exchange New-MessageClassification pour créer des classifications des messages avec la propriété Name qui correspond à vos noms d’étiquette dans votre stratégie Azure Information Protection.Use the New-MessageClassification Exchange PowerShell cmdlet to create message classifications with the Name property that maps to your label names in your Azure Information Protection policy.

  2. Créez une règle de transport Exchange pour chaque étiquette : appliquez la règle quand les propriétés de message incluent la classification que vous avez configurée, puis modifiez les propriétés de message pour définir un en-tête de message.Create an Exchange transport rule for each label: Apply the rule when the message properties include the classification that you configured, and modify the message properties to set a message header.

    Pour l’en-tête de message, vous trouvez les informations à spécifier en examinant les en-têtes Internet d’un e-mail que vous avez envoyé et classifié à l’aide de votre étiquette Azure Information Protection.For the message header, you find the information to specify by inspecting the Internet headers of an email that you sent and classified by using your Azure Information Protection label. Recherchez l’en-tête msip_labels et la chaîne qui suit immédiatement, jusqu’au point-virgule inclus.Look for the header msip_labels and the string that immediately follows, up to and including the semicolon. Dans l’exemple précédent :Using the previous example:

    msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;

    Ensuite, pour l’en-tête du message dans la règle, spécifiez msip_labels pour l’en-tête, et le reste de cette chaîne pour la valeur de l’en-tête.Then, for the message header in the rule, specify msip_labels for the header, and the remainder of this string for the header value. Exemple :For example:

    Exemple de règles de transport Exchange Online qui définit l’en-tête de message pour une étiquette Azure Information Protection spécifique

Avant de tester cette configuration, n’oubliez pas qu’il y a souvent un délai quand vous créez ou modifiez des règles de transport (attendez par exemple une heure).Before you test this configuration, remember that there is often a delay when you create or edit transport rules (for example, wait an hour). Quand la règle est effective, les événements suivants se produisent si les utilisateurs se servent d’Outlook sur le web ou sur un client d’appareil mobile qui prend en charge la protection Rights Management :When the rule is in effect, the following events now happen when users use Outlook on the web or a mobile device client that supports Rights Management protection:

  • Les utilisateurs sélectionnent la classification des messages Exchange et envoient l’e-mail.Users select the Exchange message classification and send the email.

  • La règle Exchange détecte la classification Exchange et modifie en conséquence l’en-tête de message pour ajouter la classification Azure Information Protection.The Exchange rule detects the Exchange classification and accordingly modifies the message header to add the Azure Information Protection classification.

  • Quand les destinataires qui disposent du client Azure Information Protection affichent l’e-mail dans Outlook, ils voient l’étiquette Azure Information Protection attribuée et tout en-tête, pied de page ou filigrane correspondants.When recipients view the email in Outlook and they have the Azure Information Protection client installed, they see the Azure Information Protection label assigned and any corresponding email header, footer, or watermark.

Si vos étiquettes Azure Information Protection appliquent la protection de la gestion des droits, ajoutez la protection à la configuration de la règle en sélectionnant l’option permettant de modifier la sécurité des messages, appliquez la protection des droits, puis sélectionnez le modèle RMS ou l’option Ne pas transférer.If your Azure Information Protection labels apply rights management protection, add this protection to the rule configuration: Selecting the option to modify the message security, apply rights protection, and then select the RMS template or Do Not Forward option.

Vous pouvez également configurer des règles de transport pour effectuer le mappage inverse.You can also configure transport rules to do the reverse mapping. Quand une étiquette Azure Information Protection est détectée, définissez la classification de messages Exchange correspondante :When an Azure Information Protection label is detected, set a corresponding Exchange message classification:

  • Pour chaque étiquette Azure Information Protection, créez une règle de transport appliquée quand l’en-tête msip_labels inclut le nom de votre étiquette (par exemple Général), puis appliquez une classification de messages qui correspond à cette étiquette.For each Azure Information Protection label: Create a transport rule that is applied when the msip_labels header includes the name of your label (for example, General), and apply a message classification that maps to this label.

Étapes suivantesNext steps

Maintenant que vous avez personnalisé le client Azure Information Protection, consultez les ressources suivantes pour obtenir des informations supplémentaires sur la prise en charge de ce client :Now that you've customized the Azure Information Protection client, see the following resources for additional information that you might need to support this client:

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.