Restreindre l'accès au contenu grâce à la mise en place d'un chiffrement par les étiquettes de confidentialitéRestrict access to content by using sensitivity labels to apply encryption

Guide de sécurité et conformité pour les licences Microsoft 365.Microsoft 365 licensing guidance for security & compliance.

Lorsque vous créez une étiquette de sensibilité, vous pouvez restreindre l’accès au contenu auquel l’étiquette sera appliquée. Par exemple, avec les paramètres de chiffrement d’une étiquette de sensibilité, vous pouvez protéger le contenu comme suit :When you create a sensitivity label, you can restrict access to content that the label will be applied to. For example, with the encryption settings for a sensitivity label, you can protect content so that:

  • Seuls les utilisateurs de votre organisation peuvent ouvrir un document ou un e-mail confidentiel.Only users within your organization can open a confidential document or email.
  • Seuls les utilisateurs du département marketing peuvent modifier et imprimer le document ou l’e-mail d’annonce de promotion, alors que tous les autres utilisateurs de votre organisation peuvent uniquement le lire.Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read it.
  • Les utilisateurs ne peuvent pas transférer un e-mail ou y copier tout contenu relatif à une réorganisation interne.Users cannot forward an email or copy information from it that contains news about an internal reorganization.
  • La liste de prix à jour envoyée aux partenaires ne peut pas être ouverte après une date spécifiée.The current price list that is sent to business partners cannot be opened after a specified date.

Lorsqu’un document ou un e-mail est chiffré, l’accès à son contenu est restreint de l’une des façons suivantes :When a document or email is encrypted, access to the content is restricted, so that it:

  • Il peut uniquement être déchiffré par les utilisateurs autorisés par les paramètres de chiffrement de l’étiquette.Can be decrypted only by users authorized by the label's encryption settings.
  • Il reste chiffré quel que soit son emplacement, interne ou externe à votre organisation, même si le fichier est renommé.Remains encrypted no matter where it resides, inside or outside your organization, even if the file's renamed.
  • Il est chiffré lorsqu’il est inactif (par exemple dans un compte OneDrive) et en transit (par exemple, courrier pendant qu’il traverse Internet).Is encrypted both at rest (for example, in a OneDrive account) and in transit (for example, email as it traverses the internet).

Enfin, en tant qu’administrateur, lorsque vous configurez une étiquette de confidentialité pour appliquer le chiffrement, vous pouvez choisir d’effectuer l’une des opérations suivantes :Finally, as an admin, when you configure a sensitivity label to apply encryption, you can choose either to:

  • Attribuer des autorisations maintenant, afin de déterminer précisément les utilisateurs autorisés à accéder au contenu associé à cette étiquette.Assign permissions now, so that you determine exactly which users get which permissions to content with that label.
  • Permettre aux utilisateurs d'attribuer des autorisations lorsqu’ils appliquent l’étiquette au contenu.Let users assign permissions when they apply the label to content. De cette façon, vous pouvez proposer aux membres de votre organisation la souplesse nécessaire pour mieux collaborer et accomplir leur travail.This way, you can allow people in your organization some flexibility that they might need to collaborate and get their work done.

Les paramètres de chiffrement sont disponibles lorsque vous créez une étiquette de confidentialité dans le Centre de conformité Microsoft 365.The encryption settings are available when you create a sensitivity label in the Microsoft 365 compliance center. Vous pouvez également utiliser l’ancien portail, le Centre de sécurité et conformité.You can also use the older portal, the Security & Compliance Center.

Comprendre comment fonctionne le chiffrementUnderstand how the encryption works

Le chiffrement utilise le service Azure Rights Management (Azure RMS) à partir d’Azure Information Protection.Encryption uses the Azure Rights Management service (Azure RMS) from Azure Information Protection. Cette solution de protection utilise les stratégies de chiffrement, d’identité et d’autorisation.This protection solution uses encryption, identity, and authorization policies. Pour plus d’informations, consultez Qu’est-ce que Azure Rights Management ? dans la documentation Azure Information Protection.To learn more, see What is Azure Rights Management? from the Azure Information Protection documentation.

Lorsque vous utilisez cette solution de chiffrement, la fonctionnalité super utilisateur s'assurer que les personnes et services autorisés peuvent toujours consulter et examiner les données qui ont été cryptées pour votre organisation.When you use this encryption solution, the super user feature ensures that authorized people and services can always read and inspect the data that has been encrypted for your organization. Le chiffrement peut ensuite être supprimé ou modifié si nécessaire.If necessary, the encryption can then be removed or changed. Pour plus d’informations, consultez la Configuration de super utilisateurs pour les services Azure Information Protection et les services de découverte ou de la récupération de données.For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

La configuration d’une étiquette pour le chiffrementHow to configure a label for encryption

  1. Suivez les instructions générales pour créer ou modifier une étiquette de confidentialité et assurez-vous de sélectionner Fichiers et e-mails pour l’étendue de l’étiquette :Follow the general instructions to create or edit a sensitivity label and make sure Files & emails is selected for the label's scope:

    Options d’étendue d’étiquette de confidentialité pour les fichiers et les e-mails

  2. Sur la page Choisir les paramètres de protection pour les fichiers et les e-mails, assurez-vous de sélectionner Chiffrer les fichiers et les e-mails.Then, on the Choose protection settings for files and emails page, make sure you select Encrypt files and emails

    Options de protection d’étiquette de confidentialité pour les fichiers et les e-mails

  3. Sur la page Chiffrement de l’Assistant, sélectionnez l’une des options suivantes :On the Encryption page of the wizard, select one of the following options:

    • Supprimer le chiffrement si le fichier est chiffré l’option est uniquement prise en charge par le client de l’étiquetage unifié d’Azure Information Protection.Remove encryption if the file is encrypted: This option is supported by the Azure Information Protection unified labeling client only. Lorsque vous sélectionnez cette option et que vous utilisez l'étiquetage intégré, il se peut que l'étiquette ne s'affiche pas dans les applications, ou qu'elle s'affiche et n'effectue aucune modification de chiffrement.When you select this option and use built-in labeling, the label might not display in apps, or display and not make any encryption changes.

      Pour plus d’informations sur ce scénario, voir la section Qu’advient-il du chiffrement lorsqu’une nouvelle étiquette est appliquée ?.For more information about this scenario, see the What happens to existing encryption when a label's applied section. Il est important de comprendre que ce paramètre peut engendrer une étiquette de confidentialité que les utilisateurs ne pourront peut-être pas appliquer s’ils ne disposent pas des autorisations suffisantes.It's important to understand that this setting can result in a sensitivity label that users might not be able to apply when they don't have sufficient permissions.

    • Configurer les paramètres de chiffrement : active le chiffrement et rend les paramètres de chiffrement visibles :Configure encryption settings: Turns on encryption and makes the encryption settings visible:

      Options de chiffrement d’une étiquette de confidentialité

      Vous trouverez des instructions pour ces paramètres dans la section Configurer les paramètres de chiffrement.Instructions for these settings are in the following Configure encryption settings section.

Qu’advient-il du chiffrement existant lorsqu’une nouvelle étiquette est appliquée ?What happens to existing encryption when a label's applied

Si une étiquette de confidentialité est appliquée à du contenu non chiffré, le résultat des options de chiffrement que vous pouvez sélectionner est explicite.If a sensitivity label is applied to unencrypted content, the outcome of the encryption options you can select is self-explanatory. Par exemple, si vous n’avez pas sélectionné Chiffrer les fichiers et les e-mails, le contenu reste non chiffré.For example, if you didn't select Encrypt files and emails, the content remains unencrypted.

Toutefois, il est possible que le contenu soit déjà chiffré.However, the content might be already encrypted. Par exemple, un autre utilisateur peut avoir appliqué :For example, another user might have applied:

  • Ses propres autorisations, y compris les autorisations définies par l’utilisateur lorsqu'il y est invité par une étiquette, les autorisations personnalisées par le client Azure Information Protection et la protection de documents par l'Accès restreint dans une application Office.Their own permissions, which include user-defined permissions when prompted by a label, custom permissions by the Azure Information Protection client, and the Restricted Access document protection from within an Office app.
  • Un modèle de protection Azure Rights Management chiffrant le contenu d’une étiquette de manière individuelle.An Azure Rights Management protection template that encrypts the content independently from a label. Cette catégorie inclut les règles de flux de courrier qui appliquent le chiffrement à l’aide de la protection des droits.This category includes mail flow rules that apply encryption by using rights protection.
  • Une étiquette appliquant le chiffrement par le biais des autorisations attribuées par l’administrateur.A label that applies encryption with permissions assigned by the administrator.

Le tableau ci-après précise ce qu’il advient du chiffrement existant lorsqu’une étiquette de niveau de confidentialité est appliquée à ce contenu :The following table identifies what happens to existing encryption when a sensitivity label is applied to that content:

Chiffrement : non sélectionnéEncryption: Not selected Chiffrement : configuréEncryption: Configured Chiffrement : Supprimer*Encryption: Remove *
Autorisations spécifiées par l'utilisateurPermissions specified by a user Le chiffrement d’origine est conservéOriginal encryption is preserved Le nouveau chiffrement d'étiquettes est appliquéNew label encryption is applied Le chiffrement d’origine est suppriméOriginal encryption is removed
Modèle de protectionProtection template Le chiffrement d’origine est conservéOriginal encryption is preserved Le nouveau chiffrement d'étiquettes est appliquéNew label encryption is applied Le chiffrement d’origine est suppriméOriginal encryption is removed
Étiquette incluant les autorisations définies par l’administrateurLabel with administator-defined permissions Le chiffrement d’origine est suppriméOriginal encryption is removed Le nouveau chiffrement d'étiquettes est appliquéNew label encryption is applied Le chiffrement d’origine est suppriméOriginal encryption is removed

Note de bas de page :Footnote:

* Prise en charge par le client de l’étiquetage unifié d’Azure Information Protection.* Supported by the Azure Information Protection unified labeling client only

Dans le cas où le nouveau chiffrement d’étiquettes est appliqué ou si le chiffrement d’origine est supprimé, cela se produit uniquement si l’utilisateur appliquant l’étiquette dispose d'un droit ou d'un rôle qui prend en charge cette action :In the cases where the new label encryption is applied or the original encryption is removed, this happens only if the user applying the label has a usage right or role that supports this action:

Si l’utilisateur ne dispose pas de ces droits ou rôles, l’étiquette ne peut pas être appliquée et le chiffrement d’origine est préservé.If the user doesn't have one of these rights or roles, the label can't be applied and so the original encryption is preserved. L’utilisateur voit le message suivant : Vous n’êtes pas autorisé à effectuer cette modification dans l’étiquette de confidentialité. Veuillez contacter le propriétaire du contenu.The user sees the following message: You don't have permission to make this change to the sensitivity label. Please contact the content owner.

Par exemple, la personne appliquant Ne pas transférer à un courrier électronique peut étiqueter de nouveau le thread afin de remplacer ou de supprimer le chiffrement, car elle est propriétaire des Rights Management de cet e-mail.For example, the person who applies Do Not Forward to an email message can relabel the thread to replace the encryption or remove it, because they are the Rights Management owner for the email. À l’exception des super utilisateurs, les destinataires de ce message ne peuvent pas lui attribuer une nouvelle étiquette, car ils disposent pas des droits d’utilisation requis.But with the exception of super users, recipients of this email can't relabel it because they don't have the required usage rights.

Pièces jointes des courriers électroniques chiffrésEmail attachments for encrypted email messages

Lorsqu’un courrier électronique est chiffré par une quelconque méthode, les documents Office non chiffrés joints au message héritent automatiquement des mêmes paramètres de chiffrement.When an email message is encrypted by any method, any unencrypted Office documents that are attached to the email automatically inherit the same encryption settings.

Les documents déjà chiffrés, puis ajoutés sous forme de pièces jointes, conservent leur chiffrement d’origine.Documents that are already encrypted and then added as attachments always preserve their original encryption.

Configurer les paramètres du chiffrementConfigure encryption settings

Lorsque vous sélectionnez Configurer les paramètres de confidentialité sur la page Chiffrement de l’Assistant pour créer ou modifier une étiquette de confidentialité, choisissez l’une des options suivantes :When you select Configure encryption settings on the Encryption page of the wizard to create or edit a sensitivity label, choose one of the following options:

  • Attribuer des autorisations maintenant, afin de déterminer précisément les utilisateurs autorisés à accéder au contenu auquel l'étiquette est appliquée.Assign permissions now, so that you can determine exactly which users get which permissions to content that has the label applied. Pour plus d’informations, voir la section suivante Attribuer des autorisations maintenant.For more information, see the next section Assign permissions now.
  • Permettre aux utilisateurs d'attribuer des autorisations lorsque vos utilisateurs appliquent l’étiquette au contenu.Let users assign permissions when your users apply the label to content. Grâce à cette option, vous permettez aux membres de votre organisation de bénéficier d'une certaine souplesse pour mieux collaborer et accomplir leur travail.With this option, you can allow people in your organization some flexibility that they might need to collaborate and get their work done. Pour plus d’informations, voir la section ci-dessous Permettre aux utilisateurs d’attribuer des autorisations.For more information, see the Let users assign permissions section on this page.

Par exemple, si vous avez une étiquette de confidentialité appelée Hautement confidentiel qui sera appliquée à votre contenu le plus sensible, vous souhaiterez peut-être choisir le type d’autorisations qui lui sont associées.For example, if you have a sensitivity label named Highly Confidential that will be applied to your most sensitive content, you might want to decide now who gets what type of permissions to that content.

Par ailleurs, si vous avez une étiquette de confidentialité appelée Contrats professionnels et que le flux de travail de votre organisation exige que vos collègues collaborent sur ce contenu avec d'autres personnes de façon ponctuelle, vous souhaiterez peut-être autoriser vos utilisateurs à décider qui obtient les autorisations lorsqu’ils attribuent l’étiquette.Alternatively, if you have a sensitivity label named Business Contracts, and your organization's workflow requires that your people collaborate on this content with different people on an ad hoc basis, you might want to allow your users to decide who gets permissions when they assign the label. Cette flexibilité permet à la fois à vos utilisateurs de gagner en productivité et de réduire les demandes aux administrateurs de mise à jour ou de création de nouvelles étiquettes de confidentialité pour résoudre des scénarios spécifiques.This flexibility both helps your users' productivity and reduces the requests for your admins to update or create new sensitivity labels to address specific scenarios.

Choisissez d’attribuer des autorisations maintenant ou de permettre aux utilisateurs d’affecter des autorisations :Choosing whether to assign permissions now or let users assign permissions:

Option pour ajouter des autorisations définies par l’utilisateur ou l’administrateur

Attribuer des autorisations maintenantAssign permissions now

Utilisez les options suivantes pour contrôler les utilisateurs autorisés à accéder aux e-mails ou aux documents auxquels cette étiquette est appliquée. Vous pouvez :Use the following options to control who can access email or documents to which this label is applied. You can:

  • Autoriser l’expiration des accès au contenu portant l’étiquette, à une date spécifique ou au bout d’un certain nombre de jours après l’application de l’étiquette. Après cette période, les utilisateurs ne sont plus en mesure d’ouvrir l’élément étiqueté. Si vous spécifiez une date, elle prend effet le jour choisi à minuit dans votre fuseau horaire actuel. (Notez que certains clients de messagerie pourraient ne pas imposer l’expiration et ne pas afficher les e-mails dont la date d’expiration est dépassée, en raison de leurs mécanismes de mise en cache).Allow access to labeled content to expire, either on a specific date or after a specific number of days after the label is applied. After this time, users won't be able to open the labeled item. If you specify a date, it is effective midnight on that date in your current time zone. (Note that some email clients might not enforce expiration and show emails past their expiration date, due to their caching mechanisms.)

  • Autoriser l’accès hors connexion : Jamais, Toujours ou pendant un nombre de jours déterminé après que l’étiquette a été appliquée. Si vous limitez l’accès hors connexion sur Jamais ou sur un nombre de jours, lorsque ce seuil est atteint, les utilisateurs doivent s’authentifier à nouveau et leur accès est journalisé. Pour plus d’informations, reportez-vous à la section suivante sur la licence d’utilisation de Rights Management.Allow offline access never, always, or for a specific number of days after the label is applied. If you restrict offline access to never or a number of days, when that threshold is reached, users must be reauthenticated and their access is logged. For more information, see the next section on the Rights Management use license.

Paramètres de contrôle d’accès pour du contenu chiffré :Settings for access control for encrypted content:

Paramètres pour les autorisations définies par l’administrateur

Licence d’utilisation de Rights Management pour l’accès en mode hors connexionRights Management use license for offline access

Lorsqu’un utilisateur ouvre un document ou un e-mail protégé par chiffrement à partir du service Azure Rights Management, il reçoit une licence d’utilisation Azure Rights Management sur ce contenu. Cette licence d’utilisation est un certificat qui contient les droits d’utilisation de l’utilisateur sur le document ou l’e-mail, ainsi que la clé de chiffrement qui a été utilisée pour chiffrer le contenu. La licence d’utilisation contient également une date d’expiration si celle-ci a été définie, ainsi que la durée de validité de la licence.When a user opens a document or email that's been protected by encryption from the Azure Rights Management service, an Azure Rights Management use license for that content is granted to the user. This use license is a certificate that contains the user's usage rights for the document or email, and the encryption key that was used to encrypt the content. The use license also contains an expiration date if this has been set, and how long the use license is valid.

Si aucune date d’expiration n’a été configurée, la période de validité par défaut de la licence d’utilisation est de 30 jours. Pendant la durée de la licence, l’utilisateur n’a pas besoin d’être authentifié ou autorisé à nouveau pour accéder au contenu. Ce procédé permet à l'utilisateur de continuer à ouvrir le document ou l’e-mail protégé sans connexion à Internet. Lorsque la période de validité de la licence d’utilisation a expiré, l’utilisateur doit à nouveau s’authentifier ou être autorisé lorsqu’il souhaite accéder au document ou à l’e-mail protégé.If no expiration date has been set, the default use license validity period for a tenant is 30 days. For the duration of the use license, the user is not reauthenticated or reauthorized for the content. This process lets the user continue to open the protected document or email without an internet connection. When the use license validity period expires, the next time the user accesses the protected document or email, the user must be reauthenticated and reauthorized.

Outre la réauthentification, les paramètres de chiffrement et l’appartenance au groupe d’utilisateurs sont réévalués. Autrement dit, les utilisateurs peuvent constater des résultats d’accès différents au même document ou au même e-mail si des modifications ont été apportées aux paramètres de chiffrement ou à l’appartenance au groupe depuis leur dernier accès au contenu.In addition to reauthentication, the encryption settings and user group membership is reevaluated. This means that users could experience different access results for the same document or email if there are changes in the encryption settings or group membership from when they last accessed the content.

Pour savoir comment modifier le paramètre de 30 jours par défaut, reportez-vous à Licence d’utilisation Rights Management.To learn how to change the default 30-day setting, see Rights Management use license.

Attribuer des autorisations à des utilisateurs ou des groupes spécifiquesAssign permissions to specific users or groups

Vous pouvez accorder des autorisations à des personnes spécifiques, de manière à ce qu’elles soient les seules à pouvoir interagir avec le contenu étiqueté :You can grant permissions to specific people so that only they can interact with the labeled content:

  1. Ajoutez tout d’abord les utilisateurs ou les groupes qui vont recevoir les autorisations sur le contenu étiqueté.First, add users or groups that will be assigned permissions to the labeled content.

  2. Choisissez ensuite les autorisations que les utilisateurs doivent avoir sur le contenu étiqueté.Then, choose which permissions those users should have for the labeled content.

Attribution d'autorisations :Assigning permissions:

Options d’attribution des autorisations aux utilisateurs

Ajouter des utilisateurs ou des groupesAdd users or groups

Lorsque vous attribuez des autorisations, vous pouvez choisir :When you assign permissions, you can choose:

  • Tous les membres de votre organisation (tous les membres du client). Ce paramètre exclut les comptes Invité.Everyone in your organization (all tenant members). This setting excludes guest accounts.

  • Tout utilisateur authentifié.Any authenticated users. Assurez-vous de bien comprendre la configuration requise et les limitations de ce paramètre avant de le sélectionner.Make sure you understand the requirements and limitations of this setting before selecting it.

  • Tout utilisateur spécifique ou groupe de sécurité à extension messagerie, groupe de distribution ou groupe Microsoft 365 (auparavant groupe Office 365) dans Azure AD.Any specific user or email-enabled security group, distribution group, or Microsoft 365 group (formerly Office 365 group) in Azure AD. Le groupe Microsoft 365 peut avoir un abonnement dynamique.The Microsoft 365 group can have static or dynamic membership. Notez qu’il n’est pas possible d’utiliser un groupe de distribution dynamique d’Exchange, car ce type de groupe n’est pas synchronisé avec Azure AD et vous ne pouvez pas utiliser de groupe de sécurité non activé par e-mail.Note that you can't use a dynamic distribution group from Exchange because this group type isn't synchronized to Azure AD, and you can't use a security group that isn't email-enabled.

  • Tout domaine ou adresse de courrier.Any email address or domain. Utilisez cette option pour définir tous les utilisateurs d’une autre organisation qui utilisent Azure Active Directory, en entrant un nom de domaine dans cette organisation.Use this option to specify all users in another organization who uses Azure AD, by entering any domain name from that organization. Vous pouvez également utiliser cette option pour les fournisseurs de réseaux sociaux en entrant leur nom de domaine tel que, par exemple, gmail.com, hotmail.com ou outlook.com.You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

    Notes

    Si vous indiquez le domaine d’une organisation qui utilise Azure Active Directory, vous ne pouvez pas limiter l’accès à ce domaine spécifique.If you specify a domain from an organization that uses Azure AD, you can't restrict access to that specific domain. Au lieu de cela, tous les domaines vérifiés dans Azure Active Directory sont automatiquement inclus pour le client possédant le nom de domaine indiqué.Instead, all verified domains in Azure AD are automatically included for the tenant that owns the domain name you specify.

Lorsque vous choisissez tous les utilisateurs et groupes dans votre organisation ou parcourez l’annuaire, les utilisateurs ou les groupes doivent avoir une adresse e-mail.When you choose all users and groups in your organization or browse the directory, the users or groups must have an email address.

Nous vous recommandons d’utiliser des groupes plutôt que des utilisateurs. En effet, avec cette stratégie, votre configuration reste plus simple.As a best practice, use groups rather than users. This strategy keeps your configuration simpler.

Configuration requise et restrictions pour « Ajouter des utilisateurs authentifiés »Requirements and limitations for "Add any authenticated users"

Ce paramètre ne limite pas les personnes autorisées à accéder au contenu chiffré par l’étiquette, même s'il chiffre le contenu et vous propose des options permettant de limiter la façon dont le contenu peut être utilisé (autorisations) ou consulté (expiration et accès en mode hors connexion).This setting doesn't restrict who can access the content that the label encrypts, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). Toutefois, l’application ouvrant le contenu chiffré doit pouvoir prendre en charge l’authentification utilisée.However, the application opening the encrypted content must be able to support the authentication being used. C'est la raison pour laquelle les fournisseurs sociaux fédérés comme Google, et l'authentification par numéro de code unique conviennent seulement pour la messagerie électronique, et ce uniquement lorsque vous utilisez Exchange Online.For this reason, federated social providers such as Google, and onetime passcode authentication work for email only, and only when you use Exchange Online. Les comptes Microsoft peuvent être utilisés avec les applications Office 365 et le visionneur Azure Information Protection.Microsoft accounts can be used with Office 365 apps and the Azure Information Protection viewer.

Notes

Envisagez d’utiliser ce paramètre avec l’intégration de SharePoint et OneDrive à azure AD B2B lorsque les étiquettes de critère de sont activées pour les fichiers Office dans SharePoint et OneDrive.Consider using this setting with SharePoint and OneDrive integration with Azure AD B2B when sensitivity labels are enabled for Office files in SharePoint and OneDrive.

Voici des scénarios classiques pour les paramètres des utilisateurs authentifiés :Some typical scenarios for any authenticated users setting:

  • Peu vous importe la personne qui affiche le contenu, mais vous souhaitez limiter son utilisation.You don't mind who views the content, but you want to restrict how it is used. Par exemple, vous ne voulez pas que le contenu soit modifié, copié ou imprimé.For example, you don't want the content to be edited, copied, or printed.
  • Vous n’avez pas besoin de restreindre l’accès au contenu, mais vous voulez être en mesure d'approuver la personne qui l'ouvre.You don't need to restrict who accesses the content, but you want to be able to confirm who opens it.
  • Vous exigez que le contenu soit chiffré au repos et en transit, mais il ne nécessite pas de contrôle d’accès.You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.

Choisir les autorisationsChoose permissions

Lorsque vous choisissez les autorisations à attribuer à ces utilisateurs ou ces groupes, vous pouvez sélectionner :When you choose which permissions to allow for those users or groups, you can select either:

  • Un niveau d’autorisation prédéfini avec un groupe de droits prédéfini, par exemple, Co-auteur ou Réviseur.A predefined permissions level with a preset group of rights, such as Co-Author or Reviewer.
  • Autorisations personnalisées dans lesquelles vous choisissez un ou plusieurs droits d’utilisation.Custom permissions, where you choose one or more usage rights.

Pour obtenir plus d'informations sur la sélection des autorisations pertinentes, consultez les Droits d'utilisation et descriptions.For more information to help you select the appropriate permissions, see Usage rights and descriptions.

Options de choix d’autorisations prédéfinies ou personnalisées

Notez qu’une même étiquette peut accorder différentes autorisations à différents utilisateurs. Par exemple, une étiquette unique peut affecter à certains utilisateurs des droits de réviseur et à un autre utilisateur des droits de co-auteur, comme illustré sur la capture d'écran suivante.Note that the same label can grant different permissions to different users. For example, a single label can assign some users as Reviewer and a different user as Co-author, as shown in the following screenshot.

Pour ce faire, ajoutez des utilisateurs ou groupes, attribuez-leur des autorisations et enregistrez ces paramètres. Répétez ensuite ces étapes : ajoutez des utilisateurs, attribuez-leur des autorisations et enregistrez les paramètres à chaque fois. Vous pouvez répéter cette configuration autant de fois que nécessaire, afin de définir différentes autorisations pour différents utilisateurs.To do this, add users or groups, assign them permissions, and save those settings. Then repeat these steps, adding users and assigning them permissions, saving the settings each time. You can repeat this configuration as often as necessary, to define different permissions for different users.

Différents utilisateurs avec différentes autorisations

L’émetteur de Rights Management (celui qui applique l’étiquette de sensibilité) bénéficie toujours d’un contrôle total.Rights Management issuer (user applying the sensitivity label) always has Full Control

Le chiffrement d'une étiquette de confidentialité utilise le service Azure Rights Management d'Azure Information Protection. Lorsqu'un utilisateur applique une étiquette de confidentialité pour protéger un document ou un e-mail en utilisant le chiffrement, cet utilisateur devient l'émetteur de la gestion des droits pour ce contenu.Encryption for a sensitivity label uses the Azure Rights Management service from Azure Information Protection. When a user applies a sensitivity label to protect a document or email by using encryption, that user becomes the Rights Management issuer for that content.

L’émetteur Rights Management bénéficie continuellement d’autorisations en contrôle total sur le document ou l’e-mail et, par ailleurs :The Rights Management issuer is always granted Full Control permissions for the document or email, and in addition:

  • Si les paramètres de chiffrement comportent une date d’expiration, l’émetteur Rights Management peut toujours ouvrir et modifier le document ou l’e-mail après cette date.If the encryption settings include an expiration date, the Rights Management issuer can still open and edit the document or email after that date.
  • L’émetteur Rights Management peut toujours accéder au document ou à l’e-mail hors connexion.The Rights Management issuer can always access the document or email offline.
  • L’émetteur Rights Management peut toujours ouvrir un document après sa révocation.The Rights Management issuer can still open a document after it is revoked.

Pour plus d’informations, reportez-vous à Émetteur Rights Management et propriétaire Rights Management.For more information, see Rights Management issuer and Rights Management owner.

Chiffrement à double cléDouble Key Encryption

Notes

Cette fonctionnalité est actuellement prise en charge uniquement par le client de l’étiquetage unifié de la Protection d’Information Azure.This feature is currently supported only by the Azure Information Protection unified labeling client.

Sélectionnez cette option une fois que vous avez configuré le service Chiffrement à double clé et que vous devez l’utiliser pour les fichiers auxquels cette étiquette est appliquée.Select this option only after you have configured the Double Key Encryption service and you need to use this double key encryption for files that will have this label applied.

Pour consulter des informations supplémentaires, la configuration requise et des instructions de configuration, voir Chiffrement à double clé.For more information, prerequisites, and configuration instructions, see Double Key Encryption (DKE).

Permettre aux utilisateurs d’attribuer des autorisationsLet users assign permissions

Important

Tous les clients d’étiquetage ne prennent pas en charge toutes les options qui permettent aux utilisateurs d’attribuer leurs propres autorisations. Pour en savoir plus, consultez cette section.Not all labeling clients support all the options that let users assign their own permissions. Use this section to learn more.

Vous pouvez utiliser les options suivantes pour autoriser les utilisateurs à attribuer des autorisations lorsqu’ils appliquent manuellement une étiquette de confidentialité au contenu :You can use the following options to let users assign permissions when they manually apply a sensitivity label to content:

  • Dans Outlook, un utilisateur peut sélectionner des restrictions équivalentes à l’option Ne pas transférer ou Chiffrer uniquement pour les destinataires sélectionnés.In Outlook, a user can select restrictions equivalent to the Do Not Forward option or Encrypt-only for their chosen recipients.

    L’option Ne pas transférer est prise en charge par tous les clients de messagerie électronique qui prennent en charge les étiquettes de confidentialité.The Do Not Forward option is supported by all email clients that support sensitivity labels. Toutefois, l’application de l’option Chiffrer uniquement avec une étiquette de confidentialité est une nouveauté prise en charge uniquement par l’étiquetage intégré et non par le client d’étiquetage unifié Azure Information Protection.However, applying the Encrypt-Only option with a sensitivity label is a recent release that's supported only by built-in labeling and not the Azure Information Protection unified labeling client. Pour les clients de messagerie électronique qui ne prennent pas cette fonctionnalité en charge, l’étiquette n’est pas visible.For email clients that don't support this capability, the label won't be visible.

    Pour consulter les versions minimales des applications Outlook qui utilisent l’étiquetage intégré pour en prendre en charge l’application de l’option Chiffrer uniquement avec une étiquette de confidentialité, utilisez le tableau des fonctionnalités pour Outlook et la ligne Permettre aux utilisateurs d’attribuer des autorisations : – Chiffrer uniquement.To check the minimum versions of Outlook apps that use built-in labeling to support applying the Encrypt-Only option with a sensitivity label, use the capabilities table for Outlook and the row Let users assign permissions: - Encrypt-Only.

  • Dans Word, PowerPoint et Excel, l’utilisateur est invité à sélectionner ses propres niveaux d’autorisation pour des utilisateurs, des groupes ou des organisations spécifiques.In Word, PowerPoint, and Excel, a user is prompted to select their own permissions for specific users, groups, or organizations.

    Cette option est prise en charge par le client d’étiquetage unifié Azure Information Protection et par certaines applications qui utilisent un étiquetage intégré.This option is supported by the Azure Information Protection unified labeling client and by some apps that use built-in labeling. Pour les applications qui ne supportent pas cette fonctionnalité, l’étiquette n’est pas visible pour les utilisateurs, ou peut l’être pour des raisons de cohérence, mais elle ne peut pas être appliquée avec un message explicatif aux utilisateurs.For apps that don't support this capability, the label either won't be visible for users, or the label is visible for consistency but it can't be applied with an explanation message to users.

    Pour vérifier quelles applications utilisant l’étiquetage intégré prennent en charge cette option, utilisez le tableau des fonctionnalités pour Word, Excel et PowerPoint et la ligne Permettre aux utilisateurs d’attribuer des autorisations : – Invitez les utilisateurs.To check which apps that use built-in labeling support this option, use the capabilities table for Word, Excel, and PowerPoint and the row Let users assign permissions: - Prompt users.

Lorsque les options sont prises en charge, utilisez le tableau suivant pour déterminer le moment où les utilisateurs voient l’étiquette de confidentialité :When the options are supported, use the following table to identify when users see the sensitivity label:

ParamètresSetting Étiquette visible dans OutlookLabel visible in Outlook Étiquette visible dans Word, Excel et PowerPointLabel visible in Word, Excel, PowerPoint
Dans Outlook, appliquez des restrictions avec l’option Ne pas transférer ou Chiffrer uniquementIn Outlook, enforce restrictions with the Do Not Forward or Encrypt-Only option OuiYes NonNo
Dans Word, PowerPoint et Excel, inviter les utilisateurs à spécifier des autorisationsIn Word, PowerPoint, and Excel, prompt users to specify permissions NonNo OuiYes

Lorsque les deux paramètres sont sélectionnés, l’étiquette est par conséquent visible dans Outlook et dans Word, Excel et PowerPoint.When both settings are selected, the label is therefore visible in both Outlook and in Word, Excel, and PowerPoint.

Une étiquette de niveau permettant aux utilisateurs d’attribuer des autorisations doit être appliquée manuellement au contenu par les utilisateurs. Elle ne peut pas être appliquée automatiquement ou utilisée comme étiquette recommandée.A sensitivity label that lets users assign permissions must be applied to content manually by users; it can't be auto-applied or used as a recommended label.

Configuration d'autorisations attribuées par utilisateur :Configuring the user-assigned permissions:

Paramètres de chiffrement pour les autorisations définies par l’utilisateur

Restrictions OutlookOutlook restrictions

Dans Outlook, quand un utilisateur applique une étiquette de confidentialité qui lui permet d’attribuer des autorisations à un message, vous pouvez choisir l’option Ne pas transférer ou Chiffrer uniquement.In Outlook, when a user applies a sensitivity label that lets them assign permissions to a message, you can choose the Do Not Forward option or Encrypt-Only. L’utilisateur voit le nom et la description de l’étiquette dans la partie supérieure du message, ce qui indique que le contenu est protégé.The user will see the label name and description at the top of the message, which indicates the content's being protected. Contrairement à Word, PowerPoint et Excel (voir la section suivante), les utilisateurs ne sont pas invités à sélectionner des autorisations spécifiques.Unlike Word, PowerPoint, and Excel (see the next section), users aren't prompted to select specific permissions.

Étiquette de niveau de confidentialité appliquée à un message dans Outlook

Lorsque l’une de ces options est appliquée à un e-mail, celui-ci est chiffré et les destinataires doivent être authentifiés. Les destinataires ont automatiquement des droits d’utilisation limités :When either of these options are applied to an email, the email is encrypted and recipients must be authenticated. Then, the recipients automatically have restricted usage rights:

  • Ne pas transférer : les destinataires ne peuvent pas transférer l’e-mail, l’imprimer, ou copier à partir de celui-ci.Do Not Forward: Recipients cannot forward the email, print it, or copy from it. Par exemple, dans le client Outlook, le bouton transférer n’est pas disponible, les options du menu enregistrer sous et imprimer ne sont pas disponibles, et vous ne pouvez pas ajouter ou modifier des destinataires dans les zones à, CC ou CCI.For example, in the Outlook client, the Forward button is not available, the Save As and Print menu options are not available, and you cannot add or change recipients in the To, Cc, or Bcc boxes.

    Pour plus d’informations sur le fonctionnement de cette option, consultez l’option Ne pas transférer pour les e-mail.For more information about how this option works, see Do Not Forward option for emails.

  • Chiffrer uniquement : les destinataires ont tous les droits d’utilisation à l’exception des commandes Enregistrer sous, Exporter et Contrôle total.Encrypt-Only: Recipients have all usage rights except Save As, Export and Full Control. Cette combinaison de droits d’utilisation signifie que les destinataires n’ont aucune restriction, mais ils ne peuvent pas supprimer la protection.This combination of usage rights means that the recipients have no restrictions except that they cannot remove the protection. Par exemple, un destinataire peut copier à partir de l’e-mail, l’imprimer et le transférer.For example, a recipient can copy from the email, print it, and forward it.

    Pour plus d’informations sur le fonctionnement de cette option, consultez l’option Chiffrer uniquement pour les e-mails.For more information about how this option works, see Encrypt-only option for emails.

Les documents Office non chiffrés joints à un e-mail héritent automatiquement des mêmes restrictions.Unencrypted Office documents that are attached to the email automatically inherit the same restrictions. Pour Ne pas transférer, les droits d’utilisation appliqués à ces documents sont Modifier le contenu, Modifier, Enregistrer, Afficher, Ouvrir, Lire, et Autoriser les macros.For Do Not Forward, the usage rights applied to these documents are Edit Content, Edit; Save; View, Open, Read; and Allow Macros. Si l’utilisateur souhaite appliquer des droits d’utilisation différents pour une pièce jointe, ou si la pièce jointe n’est pas un document Office qui prend en charge cette protection héritée, l’utilisateur doit chiffrer le fichier avant de le joindre à l’e-mail.If the user wants different usage rights for an attachment, or the attachment is not an Office document that supports this inherited protection, the user needs to encrypt the file before attaching it to the email.

Autorisations Word, PowerPoint et ExcelWord, PowerPoint, and Excel permissions

Dans Word, PowerPoint et Excel, lorsqu’un utilisateur applique une étiquette de confidentialité qui lui permet d’attribuer des autorisations à un document, il est invité à préciser son choix en matière d'utilisateurs et d'autorisations au moment où le chiffrement est appliqué.In Word, PowerPoint, and Excel, when a user applies a sensitivity label that lets them assign permissions to a document, they are prompted to specify their choice of users and permissions when the encryption is applied.

Par exemple, avec un client d’étiquetage unifié Azure Information Protection, les utilisateurs peuvent :For example, with the Azure Information Protection unified labeling client, users can:

  • Sélectionner un niveau d’autorisation, tel que visionneuse (qui attribue l’autorisation Afficher uniquement) ou co-auteur (qui affecte les autorisations afficher, modifier, copier et imprimer).Select a permission level, such as Viewer (which assigns View Only permission) or Co-Author (which assigns View, Edit, Copy, and Print permissions).
  • Sélectionner les utilisateurs, les groupes ou les organisations.Select users, groups, or organizations. Cela peut inclure des personnes à l’intérieur ou à l’extérieur de votre organisation.This can include people both inside or outside your organizations.
  • Sélectionnez une date d’expiration, après laquelle les utilisateurs sélectionnés ne pourront pas accéder au contenu.Set an expiration date, after which the selected users cannot access the content. Pour plus d’informations, voir la section ci-dessus licence d'utilisation de la gestion des droits pour l’accès hors connexion.For more information, see the above section Rights Management use license for offline access.

Options de protection pour l’utilisateur avec les autorisations personnalisées

Pour l’étiquetage intégré, les utilisateurs consultent la même boîte de dialogue s’ils sélectionnent ce qui suit :For built-in labeling, users see the same dialog box if they select the following:

  • Windows : onglet Fichier > Informations > Protéger le document > Restreindre l'accès > Accès restreintWindows: File tab > Info > Protect Document > Restrict Access > Restricted Access

  • macOS : onglet Révision > Protection > Autorisations > Accès restreintmacOS: Review tab > Protection > Permissions > Restricted Access

Exemples de configurations pour les paramètres de chiffrementExample configurations for the encryption settings

Pour chaque exemple décrit ci-dessous, effectuez la configuration à partir de la page Chiffrement de l’Assistant lorsque Configurer les paramètres de chiffrement est sélectionné :For each example that follows, do the configuration from the Encryption page of the wizard when Configure encryption settings is selected:

Appliquez l'option de chiffrement dans l’Assistant d'étiquette de confidentialité

Exemple 1 : étiquette appliquant Ne pas transférer pour envoyer un courrier électronique chiffré vers un compte GmailExample 1: Label that applies Do Not Forward to send an encrypted email to a Gmail account

Cette étiquette s'affiche uniquement dans Outlook et Outlook sur le web. Vous devez de plus utiliser Exchange Online.This label displays only in Outlook and Outlook on the web, and you must use Exchange Online. Avisez les utilisateurs de sélectionner cette étiquette lorsqu’ils doivent envoyer un courrier électronique chiffré à des personnes utilisant un compte Gmail (ou tout autre compte de messagerie extérieur à celui de votre organisation).Instruct users to select this label when they need to send an encrypted email to people using a Gmail account (or any other email account outside your organization).

Vos utilisateurs tapent l’adresse de courrier Gmail dans la zone À.Your users type the Gmail email address in the To box. Ils sélectionnent ensuite l’étiquette et l’option Ne pas transférer est automatiquement ajoutée au message.Then, they select the label and the Do Not Forward option is automatically added to the email. Les destinataires ne peuvent par conséquent pas transférer le courrier électronique ou l’imprimer, en faire une copie, ou enregistrer le message à l’extérieur de leur boîte aux lettres à l’aide de l’option Enregistrer sous.The result is that recipients cannot forward the email, or print it, copy from it, or save the email outside their mailbox by using the Save As option.

  1. Sur la page de Chiffrement : pour Attribuer des autorisations maintenant ou autoriser les utilisateurs à choisir ? sélectionnez Autoriser les utilisateurs à attribuer des autorisations lorsqu’ils appliquent l’étiquette.On the Encryption page: For Assign permissions now or let users decide? select Let users assign permissions when they apply the label.

  2. Sélectionnez la case à cocher : Dans Outlook, appliquer des restrictions similaires à l’option Ne pas transférer.Select the checkbox: In Outlook, enforce restrictions equivalent to the Do Not Forward option.

  3. Si elle est sélectionnée, désactivez la case à cocher : Dans Word, PowerPoint et Excel, inviter les utilisateurs à spécifier des autorisations.If selected, clear the checkbox: In Word, PowerPoint, and Excel, prompt users to specify permissions.

  4. Sélectionnez Suivant et terminez l’Assistant.Select Next and complete the wizard.

Exemple 2 : étiquette restreignant l’accès en lecture seule à l'ensemble des utilisateurs d’une autre organisationExample 2: Label that restricts read-only permission to all users in another organization

Cette étiquette convient au partage de documents très sensibles en lecture seule. Une connexion internet doit toujours être utilisée pour afficher les documents.This label is suitable for sharing very sensitive documents as read-only, and the documents always require an internet connection to view them.

Cette étiquette ne peut pas être utilisée pour des courriers électroniques.This label is not suitable for emails.

  1. Sur la page de Chiffrement : pour Attribuer maintenant des autorisations ou autoriser les utilisateurs à choisir ? sélectionnez Attribuer maintenant des autorisations.On the Encryption page: For Assign permissions now or let users decide? select Assign permissions now.

  2. Pour l'option Autoriser l’accès en mode hors connexion, sélectionnez Jamais.For Allow offline access, select Never.

  3. Sélectionnez Attribuer des autorisations.Select Assign permissions.

  4. Dans le volet Attribuer des autorisations, sélectionnez Ajouter des adresses de courrier ou des domaines spécifiques.On the Assign permissions pane, select Add specific email addresses or domains.

  5. Dans la zone de texte, entrez le nom de domaine de l’autre organisation, par exemple, fabrikam.com.In the text box, enter the name of a domain from the other organization, for example, fabrikam.com. Puis sélectionnez Ajouter.Then select Add.

  6. Sélectionnez Choisir les autorisations.Select Choose permissions.

  7. Dans le volet Choisir les autorisations, sélectionnez la zone déroulante, puis sélectionnez Visionneuse et Enregistrer.On the Choose permissions pane, select the dropdown box, select Viewer, and then select Save.

  8. De nouveau dans le volet Attribuer des autorisations, sélectionnez Enregistrer.Back on the Assign Permissions pane, select Save.

  9. Sur la page Chiffrement, sélectionnez Suivant et terminez l’Assistant.On the Encryption page, select Next and complete the wizard.

Exemple 3 : ajouter des utilisateurs externes à une étiquette existante qui chiffre du contenuExample 3: Add external users to an existing label that encrypts content

Les nouveaux utilisateurs que vous ajoutez pourront ouvrir des documents et des messages électroniques déjà protégés par cette étiquette.The new users that you add will be able open documents and emails that have already been protected with this label. Les autorisations accordées à ces utilisateurs peuvent être différentes de celles des utilisateurs existants.The permissions that you grant these users can be different from the permissions that the existing users have.

  1. Sur la page de Chiffrement : pour Attribuer des autorisations maintenant ou autoriser les utilisateurs à choisir ? assurez-vous que l'option Attribuer maintenant des autorisations est sélectionnée.On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. Sélectionnez Attribuer des autorisations.Select Assign permissions.

  3. Dans le volet Attribuer des autorisations, sélectionnez Ajouter des adresses de courrier ou des domaines spécifiques.On the Assign permissions pane, select Add specific email addresses or domains.

  4. Dans la zone de texte, entrez l’adresse de courrier du premier utilisateur (ou groupe) à ajouter, puis sélectionnez Ajouter.In the text box, enter the email address of the first user (or group) to add, and then select Add.

  5. Sélectionnez Choisir les autorisations.Select Choose permissions.

  6. Dans le volet Choisir les autorisations, sélectionnez les autorisations pour cet utilisateur (ou ce groupe), puis sélectionnez Enregistrer.On the Choose permissions pane, select the permissions for this user (or group), and then select Save.

  7. De nouveau dans le volet Attribuer des autorisations, répétez les étapes 3 à 6 pour chaque utilisateur (ou groupe) que vous souhaitez ajouter à cette étiquette.Back on the Assign Permissions pane, repeat steps 3 through 6 for each user (or group) that you want to add to this label. Puis cliquez sur Enregistrer.Then click Save.

  8. Sur la page Chiffrement, sélectionnez Suivant et terminez l’Assistant.On the Encryption page, select Next and complete the wizard.

Exemple 4 : étiquette qui chiffre du contenu, mais qui ne limite pas les personnes pouvant y accéderExample 4: Label that encrypts content but doesn't restrict who can access it

Cette configuration présente l’avantage de ne pas avoir à spécifier des utilisateurs, groupes ou domaines pour chiffrer un courrier électronique ou un document.This configuration has the advantage that you don't need to specify users, groups, or domains to encrypt an email or document. Le contenu reste chiffré et vous pouvez spécifier les droits d’utilisation, la date d’expiration et l’accès hors connexion.The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access.

Utilisez seulement cette configuration lorsque vous n’avez pas besoin de restreindre les utilisateurs autorisés à ouvrir le document ou le courrier protégé.Use this configuration only when you do not need to restrict who can open the protected document or email. Pour plus d'informations sur ce paramètreMore information about this setting

  1. Sur la page de Chiffrement : pour Attribuer des autorisations maintenant ou autoriser les utilisateurs à choisir ? assurez-vous que l'option Attribuer maintenant des autorisations est sélectionnée.On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. Configurez les paramètres pour l'Accès utilisateur au contenu expire et Autoriser l’accès hors connexion, au besoin.Configure settings for User access to content expires and Allow offline access as required.

  3. Sélectionnez Attribuer des autorisations.Select Assign permissions.

  4. Dans le volet Attribuer des autorisations, sélectionnez Ajouter des utilisateurs authentifiés.On the Assign permissions pane, select Add any authenticated users.

    Dans le cas des Utilisateurs et groupes, vous remarquez que Utilisateurs authentifiés est automatiquement ajouté.For Users and groups, you see Authenticated users automatically added. Cette valeur ne peut pas être modifiée, mais vous pouvez la supprimer, ce qui annule la sélection Ajouter des utilisateurs authentifiés.You can't change this value, only delete it, which cancels the Add any authenticated users selection.

  5. Sélectionnez Choisir les autorisations.Select Choose permissions.

  6. Dans le volet Choisir les autorisations, sélectionnez la zone déroulante, puis sélectionnez les autorisations souhaitées et Enregistrer.On the Choose permissions pane, select the dropdown box, select the permissions you want, and then select Save.

  7. De nouveau dans le volet Attribuer des autorisations, sélectionnez Enregistrer.Back on the Assign Permissions pane, select Save.

  8. Sur la page Chiffrement, sélectionnez Suivant et terminez l’Assistant.On the Encryption page, select Next and complete the wizard.

Considérations relatives au contenu chiffréConsiderations for encrypted content

Le chiffrement de vos documents et messages électroniques les plus confidentiels permet de s’assurer que seules les personnes autorisées peuvent accéder à ces données.Encrypting your most sensitive documents and emails helps to ensure that only authorized people can access this data. Il existe toutefois des éléments dont vous devez tenir compte :However, there are some considerations to take into account:

  • Si votre organisation n'a pas activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive :If your organization hasn't enabled sensitivity labels for Office files in SharePoint and OneDrive:

    • Recherche, eDiscovery et Delve ne seront pas opérationnels avec les fichiers chiffrés.Search, eDiscovery, and Delve will not work for encrypted files.
    • Les stratégies de protection contre la perte de données DLP fonctionnent avec les métadonnées de ces fichiers chiffrés (notamment les informations de l'étiquette de rétention), mais pas avec leur contenu (comme des numéros de carte de crédit dans des fichiers).DLP policies work for the metadata of these encrypted files (including retention label information) but not the content of these files (such as credit card numbers within files).
    • Les utilisateurs ne peuvent pas ouvrir les fichiers chiffrés à l’aide d’Office sur le web.Users can't open encrypted files using Office on the web. Lorsque des étiquettes de confidentialité sont activées pour les fichiers Office dans SharePoint et OneDrive, les utilisateurs peuvent se servir d’Office sur le web pour ouvrir des fichiers chiffrés, avec certaines restrictions qui incluent le chiffrement appliqué avec une clé locale (HYOK, Hold Your Own Key), le chiffrement à double clé et le chiffrement appliqué indépendamment d’une étiquette de confidentialité.When sensitivity labels for Office files in SharePoint and OneDrive are enabled, users can use Office on the web to open encrypted files, with some limitations that include encryption that has been applied with an on-premises key (known as "hold your own key", or HYOK), double key encryption, and encryption that has been applied independently from a sensitivity label.
  • Si vous partagez des documents chiffrés avec des personnes extérieures à votre organisation, vous devrez peut-être créer des comptes invités et modifier les stratégies d’accès conditionnel.If you share encrypted documents with people outside your organization, you might need to create guest accounts and modify Conditional Access policies. Pour plus d’informations sur ce scénario, consultez Partage de documents chiffrés avec des utilisateurs externes.For more information, see Sharing encrypted documents with external users.

  • Pour permettre à plusieurs utilisateurs de modifier un fichier chiffré au même moment, ils doivent tous utiliser Office pour le web.For multiple users to edit an encrypted file at the same time, they must all be using Office for the web. Si ce n’est pas le cas et que le fichier est déjà ouvert :If this isn't the case, and the file is already open:

    • Dans les applications Office (Windows, Mac, Android et iOS), les utilisateurs remarquent le message Fichier en cours d'utilisation incluant le nom de la personne ayant extrait le fichier.In Office apps (Windows, Mac, Android, and iOS), users see a File In Use message with the name of the person who has checked out the file. Ils peuvent ensuite afficher une copie en lecture seule, enregistrer et modifier une copie du fichier, et recevoir une notification lorsque le fichier est disponible.They can then view a read-only copy or save and edit a copy of the file, and receive notification when the file is available.
    • Dans Office pour le web, les utilisateurs remarquent un message d’erreur indiquant qu’ils ne peuvent pas modifier le document avec d’autres personnes.In Office for the web, users see an error message that they can't edit the document with other people. Ils peuvent ensuite sélectionner Ouvrir en mode Lecture.They can then select Open in Reading View.
  • La fonctionnalité Enregistrement automatique dans les applications Office (Windows, Mac, Android et iOS) est désactivée pour les fichiers chiffrés.The AutoSave functionality in Office apps (Windows, Mac, Android, and iOS) is disabled for encrypted files. Un message s'affiche indiquant aux utilisateurs que le fichier dispose d'autorisations restreintes qui doivent être supprimées avant que l’Enregistrement automatique puisse être activé.Users see a message that the file has restricted permissions that must be removed before AutoSave can be turned on.

  • L’ouverture des fichiers chiffrés peut être plus longue dans les applications Office (Windows, Mac, Android et iOS).Encrypted files might take longer to open in Office apps (Windows, Mac, Android, and iOS).

  • Si une étiquette qui applique le chiffrement est ajoutée à l’aide d’une application Office lorsque le document est extrait dans SharePointet que l’utilisateur annule alors l’extraction, le document reste étiqueté et chiffré.If a label that applies encryption is added by using an Office app when the document is checked out in SharePoint, and the user then discards the checkout, the document remains labeled and encrypted.

  • Les actions suivantes pour les fichiers chiffrés ne sont pas prises en charge dans les applications Office (Windows, Mac, Android et iOS), et un message d'erreur s'affiche aux utilisateurs indiquant qu’un problème s’est produit. Les fonctionnalités de SharePoint peuvent toutefois être utilisées en tant qu'alternative :The following actions for encrypted files aren't supported from Office apps (Windows, Mac, Android, and iOS), and users see an error message that something went wrong. However, SharePoint functionality can be used as an alternative:

Pour bénéficier d’une expérience de collaboration optimale en ce qui concerne les fichiers chiffrés par une étiquette de confidentialité, nous vous recommandons d’utiliser les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive et Office pour le web.For the best collaboration experience for files that are encrypted by a sensitivity label, we recommend you use sensitivity labels for Office files in SharePoint and OneDrive and Office for the web.

Conditions préalables importantesImportant prerequisites

Pour utiliser le chiffrement, vous devrez peut-être effectuer des tâches de configuration.Before you can use encryption, you might need to do some configuration tasks.

  • Activer la protection à partir d’Azure Information ProtectionActivate protection from Azure Information Protection

    Pour que le chiffrement soit appliqué par les étiquettes de confidentialité, le service de protection (Azure Rights Management) à partir d’Azure Information Protection doit être activé pour votre client.For sensitivity labels to apply encryption, the protection service (Azure Rights Management) from Azure Information Protection must be activated for your tenant. Chez les nouveaux clients, il s’agit du paramètre par défaut, mais vous devrez peut-être activer manuellement le service.In newer tenants, this is the default setting, but you might need to manually activate the service. Pour plus d’informations, consultez Activation du service de protection à partir d’Azure Information Protection.For more information, see Activating the protection service from Azure Information Protection.

  • Vérifier la configuration réseau requiseCheck for network requirements

    Vous devrez peut-être apporter quelques modifications sur vos appareils réseau tels que les pare-feux.You might need to make some changes on your network devices such as firewalls. Pour obtenir des détails, voir Pare-feu et infrastructure réseau dans la documentation Azure Information Protection.For details, see Firewalls and network infrastructure from the Azure Information Protection documentation.

  • Configurer Exchange pour Azure Information ProtectionConfigure Exchange for Azure Information Protection

    Il n’est pas indispensable de configurer Exchange pour Azure Information Protection pour que les utilisateurs puissent appliquer des étiquettes dans Outlook afin de chiffrer leurs e-mails. Toutefois, aussi longtemps que Exchange n’est pas configuré pour Azure Information Protection, vous ne bénéficiez pas de toutes les fonctionnalités d’utilisation de la protection d’Azure Rights Management avec Exchange.Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to encrypt their emails. However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange.

    Par exemple, les utilisateurs ne peuvent pas afficher les e-mails chiffrés sur des téléphones mobiles ou avec Outlook sur le web, les messages e-mails chiffrés ne peuvent pas être indexés pour la recherche et vous ne pouvez pas configurer la protection contre la perte de données (DLP) Exchange Online pour la protection Rights Management.For example, users cannot view encrypted emails on mobile phones or with Outlook on the web, encrypted emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection.

    Pour vous assurer qu’Exchange est en mesure de prendre en charge ces scénarios supplémentaires, reportez-vous aux rubriques suivantes :To ensure that Exchange can support these additional scenarios, see the following:

Prochaines étapesNext steps

Vous avez besoin de partager vos documents étiquetés et chiffrés avec des personnes extérieures à votre organisation ?Need to share your labeled and encrypted documents with people outside your organization? Consultez Partage de documents chiffrés avec des utilisateurs externes dans.See Sharing encrypted documents with external users.