Prise en charge des applications et services Office par Azure Rights Management

Les applications Office de l’utilisateur final et les services Office peuvent utiliser le service Azure Rights Management à partir d’Azure Information Protection pour protéger les données de votre organisation. Ces applications Office sont Word, Excel, PowerPoint et Outlook. Les services Office sont Exchange et Microsoft SharePoint. Les configurations Office qui prennent en charge le service Azure Rights Management utilisent souvent le terme gestion des droits relatifs à l’information (IRM).

Applications Office, Word, Excel, PowerPoint, Outlook

Ces applications prennent en charge l’intégration d’Azure Rights Management et permettent aux utilisateurs d’appliquer la protection à un document enregistré ou à un message électronique à envoyer. Les utilisateurs peuvent appliquer des modèles pour appliquer la protection. Ou, pour Word, Excel et PowerPoint, les utilisateurs peuvent choisir des paramètres personnalisés pour les restrictions d’accès, de droits et d’utilisation.

Par exemple, les utilisateurs peuvent configurer un document Word afin qu’il soit accessible uniquement par des personnes de votre organisation. Vous pouvez également contrôler si une feuille de calcul Excel peut être modifiée ou limitée en lecture seule ou empêcher son impression. Pour les fichiers urgents, il est possible de configurer un délai d'expiration à partir duquel le fichier n'est plus accessible. Cette configuration peut être effectuée directement par les utilisateurs ou en appliquant un modèle de protection. Pour Outlook, les utilisateurs peuvent également choisir l’option Ne pas transférer pour empêcher les fuites de données.

Si vous êtes prêt à configurer des applications Office, consultez applications Office : Configuration pour les clients.

Exchange Online et Serveur Exchange

Lorsque vous utilisez Exchange Online ou Serveur Exchange, vous pouvez configurer des options pour Azure Information Protection. Cette configuration permet à Exchange de fournir les solutions de protection suivantes :

  • Exchange ActiveSync IRM afin que les appareils mobiles puissent protéger et consommer des messages électroniques protégés.

  • Prise en charge de la protection par e-mail pour Outlook sur le web, qui est implémentée de la même façon que le client Outlook. Cette configuration permet aux utilisateurs de protéger les messages électroniques à l’aide de modèles de protection ou d’options. Les utilisateurs peuvent lire et utiliser des messages électroniques protégés qui leur sont envoyés.

  • Règles de protection pour les clients Outlook qu’un administrateur configure pour appliquer automatiquement des modèles de protection et des options aux messages électroniques pour les destinataires spécifiés. Par exemple, lorsque des e-mails internes sont envoyés à votre section juridique, ils ne peuvent être lus que par les membres de ce service là et ne peuvent pas être transférés. Les utilisateurs voient la protection appliquée au message électronique avant de l’envoyer, et par défaut, ils peuvent supprimer cette protection s’ils décident qu’elle n’est pas nécessaire. Les messages électroniques sont cryptés avant leur envoi. Pour plus d’informations, consultez Règles de protection Outlook et Créer une règle de protection Outlook dans la bibliothèque Exchange.

  • Règles de flux de messagerie configurées par un administrateur pour appliquer automatiquement des modèles de protection ou des options aux messages électroniques. Ces règles sont basées sur des propriétés telles que l’expéditeur, le destinataire, l’objet du message et le contenu. Ces règles sont similaires au concept de règles de protection, mais ne permettent pas aux utilisateurs de supprimer la protection, car la protection est définie par le service Exchange plutôt que par le client. Étant donné que la protection est définie par le service, elle n’a pas d’importance sur l’appareil ou le système d’exploitation dont disposent les utilisateurs. Pour plus d’informations, consultez les règles de flux de messagerie (règles de transport) dans Exchange Online et Créer une règle de protection de transport pour Exchange en local.

  • Stratégies de protection contre la perte de données (stratégies DLP) qui contiennent des ensembles de conditions pour filtrer les messages électroniques et prendre des mesures, afin d’empêcher la perte de données pour du contenu confidentiel ou sensible. L’une des actions que vous pouvez spécifier consiste à appliquer le chiffrement en tant que protection, en spécifiant l’un des modèles ou options de protection. Les Conseils de stratégie peuvent être utilisées lorsque des données sensibles sont détectées, pour alerter les utilisateurs qu’ils peuvent avoir besoin d’appliquer la protection. Pour plus d’informations, consultez la protection contre la perte de données dans la documentation de Microsoft Exchange Online.

  • Chiffrement des messages prenant en charge l’envoi d’un message électronique protégé et la protection des documents Office sous forme de pièces jointes à n’importe quelle adresse e-mail sur n’importe quel appareil. Pour les comptes d’utilisateur qui n’utilisent pas Microsoft Entra ID, une expérience web prend en charge les fournisseurs d’identité sociale ou un code secret à usage unique. Pour plus d’informations, consultez Configurer de nouvelles fonctionnalités de chiffrement des messages Microsoft 365 basées sur Azure Information Protection à partir de la documentation Microsoft 365. Pour vous aider à trouver des informations supplémentaires relatives à cette configuration, consultez Chiffrement de message Microsoft 365.

Si vous utilisez Exchange localement, vous pouvez utiliser les caractéristiques de Gestion des droits relatifs à l’information avec le service Azure Rights Management en déployant le connecteur Microsoft Rights Management. Ce connecteur agit comme un relais entre vos serveurs locaux et le service Azure Rights Management.

Pour plus d’informations sur les options de messagerie que vous pouvez utiliser pour protéger les e-mails, consultez l’option Ne pas transférer les e-mails et l’option chiffrer uniquement pour les e-mails.

Si vous êtes prêt à configurer Exchange pour protéger les e-mails :

SharePoint dans Microsoft 365 et SharePoint Serveur

Lorsque vous utilisez SharePoint dans Microsoft 365 ou SharePoint Server, vous pouvez protéger des documents à l’aide de la fonctionnalité gestion des droits relatifs à l’information (IRM) SharePoint. Cette fonctionnalité permet aux administrateurs de protéger les listes ou bibliothèques pour que, quand un utilisateur extrait un document, le fichier téléchargé soit protégé de sorte que seules les personnes autorisées puissent le voir et l’utiliser conformément aux stratégies que vous spécifiez. Par exemple, le fichier peut être en lecture seule, désactiver la copie de texte, empêcher l’enregistrement d’une copie locale et empêcher l’impression du fichier.

Les documents Word, PowerPoint, Excel et PDF prennent en charge cette protection IRM SharePoint. Par défaut, la protection est limitée à la personne qui télécharge le document. Vous pouvez modifier cette valeur par défaut avec une option de configuration nommée Autoriser la protection de groupe, qui étend la protection à un groupe que vous spécifiez. Par exemple, vous pouvez spécifier un groupe autorisé à modifier des documents dans la bibliothèque afin que le même groupe d’utilisateurs puisse modifier le document en dehors de SharePoint, quel que soit l’utilisateur qui a téléchargé le document. Vous pouvez également spécifier un groupe qui n’a pas d’autorisations accordées dans SharePoint, mais les utilisateurs de ce groupe doivent accéder au document en dehors de SharePoint. Pour les listes et bibliothèques SharePoint, cette protection est toujours configurée par un administrateur, jamais un utilisateur final. Vous définissez les autorisations au niveau du site, et ces autorisations, par défaut, sont héritées par n’importe quelle liste ou bibliothèque de ce site. Si vous utilisez SharePoint dans Microsoft 365, les utilisateurs peuvent également configurer leur bibliothèque Microsoft OneDrive pour la protection IRM.

Pour un contrôle plus précis, vous pouvez configurer une liste ou une bibliothèque dans le site pour arrêter l’héritage des autorisations de son parent. Vous pouvez ensuite configurer des autorisations IRM à ce niveau (liste ou bibliothèque) et elles sont ensuite appelées « autorisations uniques ». Toutefois, les autorisations sont toujours définies au niveau du conteneur ; vous ne pouvez pas définir des autorisations sur des fichiers individuels.

Le service Gestion des droits relatifs à l’information doit d’abord être activé pour SharePoint. Ensuite, vous spécifiez des autorisations Gestion des droits relatifs à l’information pour une bibliothèque. Pour SharePoint et OneDrive, les utilisateurs peuvent également spécifier des autorisations IRM pour leur bibliothèque OneDrive. SharePoint n’utilise pas de modèles de stratégie de droits, bien qu’il existe des paramètres de configuration SharePoint que vous pouvez sélectionner qui correspondent à certains paramètres que vous pouvez spécifier dans les modèles.

Si vous utilisez SharePoint Server, vous pouvez utiliser cette protection de la Gestion des droits relatifs à l’information en déployant le connecteur Microsoft Rights Management. Ce connecteur agit comme un relais entre vos serveurs locaux et le service cloud Rights Management. Pour plus d’informations, consultez Déploiement du Connecteur Microsoft Rights Management.

Remarque

Il existe certaines limitations lorsque vous utilisez SharePoint IRM :

  • Vous ne pouvez pas utiliser les modèles de protection par défaut ou personnalisés que vous gérez dans le portail Azure.

  • Les fichiers qui ont une extension de nom de fichier .ppdf pour des fichiers PDF protégés ne sont pas pris en charge. Pour plus d’informations sur l’affichage des documents PDF protégés, consultez Lecteurs PDF protégés pour Protection des données Microsoft Purview.

  • La coédition, lorsque plusieurs personnes modifient un document en même temps, n’est pas prise en charge. Pour modifier un document dans une bibliothèque protégée par la Gestion des droits relatifs à l’information, vous devez d’abord vérifier le document et le télécharger, puis le modifier dans votre application Office. Par conséquent, une seule personne peut modifier le document à la fois.

Pour les bibliothèques qui ne sont pas protégées par IRM, si vous appliquez une protection uniquement à un fichier que vous chargez ensuite dans SharePoint ou OneDrive, les éléments suivants ne fonctionnent pas avec ce fichier : co-édition, Office pour le web, recherche, aperçu du document, miniature, eDiscovery et protection contre la perte de données (DLP).

Important

SharePoint IRM peut être utilisé en combinaison avec des étiquettes de confidentialité qui appliquent la protection. Lorsque vous utilisez les deux fonctionnalités ensemble, le comportement change pour les fichiers protégés. Pour plus d’informations, Activer les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive.

Lorsque vous utilisez la protection IRM SharePoint, le service Azure Rights Management applique des restrictions d’utilisation et le chiffrement des données pour les documents lorsqu’ils sont téléchargés à partir de SharePoint, et non lorsque le document est créé pour la première fois dans SharePoint ou chargé dans la bibliothèque. Pour plus d’informations sur la façon dont les documents sont protégés avant leur téléchargement, consultez Chiffrement des données dans OneDrive et SharePoint dans la documentation SharePoint.

Pour connaître les modifications à venir, consultez Mises à jour à la sécurité, à l’administration et à la migration SharePoint.

Si vous êtes prêt à configurer SharePoint pour IRM :

Étapes suivantes

Si vous disposez de Microsoft 365, vous pouvez être intéressé par la révision des Solutions de protection des fichiers dans Microsoft 365, qui fournit des fonctionnalités recommandées pour la protection des fichiers dans Microsoft 365.

Pour voir comment d’autres applications et services prennent en charge le service Azure Rights Management à partir d’Azure Information Protection, consultez Comment les applications prennent en charge le service Azure Rights Management.

Si vous êtes prêt à démarrer le déploiement, qui inclut la configuration de ces applications et services, consultez la feuille de route de Déploiement AIP pour la classification, l’étiquetage et la protection.