Gérer le cryptage des messages

  • Article

Une fois que vous avez terminé de configurer Purview Message Encryption, vous pouvez personnaliser la configuration de votre déploiement de plusieurs façons. Par exemple, vous pouvez configurer l’activation des codes de passage à usage unique, l’affichage du bouton Chiffrer dans Outlook sur le web, etc. Les tâches de cet article décrivent comment procéder.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Déterminer si les destinataires des comptes Google, Yahoo et Microsoft peuvent utiliser ces comptes pour se connecter au portail de messages chiffrés

Lorsque vous configurez le chiffrement des messages, les utilisateurs de votre organization peuvent envoyer des messages à des destinataires en dehors de votre organization. Si le destinataire utilise un ID social tel qu’un compte Google, un compte Yahoo ou un compte Microsoft, le destinataire peut se connecter au portail de messages chiffrés avec un ID social. Si vous le souhaitez, vous pouvez choisir de ne pas autoriser les destinataires à utiliser les ID de réseaux sociaux pour se connecter au portail de messages chiffrés.

Pour déterminer si les destinataires peuvent utiliser les ID de réseaux sociaux pour se connecter au portail des messages chiffrés

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez l’applet de commande Set-OMEConfiguration avec le paramètre SocialIdSignIn comme suit :

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Par exemple, pour désactiver les ID de réseaux sociaux :

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Pour activer les ID de réseaux sociaux :

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Gérer l’utilisation de codes de passe à usage unique pour le portail de messages chiffrés

Si le destinataire d’un message chiffré par chiffrement de message n’utilise pas Outlook, quel que soit le compte utilisé par le destinataire, le destinataire reçoit un lien d’affichage web à durée limitée qui lui permet de lire le message. Ce lien inclut un code de passe à usage unique. En tant qu’administrateur, vous pouvez décider si les destinataires peuvent utiliser des codes de passe à usage unique pour se connecter au portail de messages chiffrés.

Pour gérer si OME génère des codes de passe à usage unique

  1. Utilisez un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Exécutez l’applet de commande Set-OMEConfiguration avec le paramètre OTPEnabled :

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Par exemple, pour désactiver les codes de passe à usage unique :

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Pour activer les codes de passe à usage unique :

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Gérer l’affichage du bouton Chiffrer dans Outlook sur le web

En tant qu’administrateur, vous pouvez déterminer s’il faut afficher ce bouton aux utilisateurs finaux.

Pour déterminer si le bouton Chiffrer apparaît dans Outlook sur le web

  1. Utilisez un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Exécutez l’applet de commande Set-IRMConfiguration avec le paramètre -SimplifiedClientAccessEnabled :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Par exemple, pour désactiver le bouton Chiffrer :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Pour activer le bouton Chiffrer :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Activer le déchiffrement côté service des messages électroniques pour les utilisateurs de l’application de messagerie iOS

L’application de messagerie iOS ne peut pas déchiffrer les messages protégés par le chiffrement des messages. En tant qu’administrateur Microsoft 365, vous pouvez appliquer le déchiffrement côté service pour les messages remis à l’application de messagerie iOS. Lorsque vous choisissez d’utiliser le déchiffrement côté service, le service envoie une copie déchiffrée du message à l’appareil iOS. L’appareil client stocke une copie déchiffrée du message. Le message conserve également des informations sur les droits d’utilisation même si l’application de messagerie iOS n’applique pas de droits d’utilisation côté client à l’utilisateur. L’utilisateur peut copier ou imprimer le message même s’il n’avait pas les droits à l’origine pour le faire. Toutefois, si l’utilisateur tente d’effectuer une action qui nécessite le serveur de messagerie Microsoft 365, telle que le transfert du message, le serveur n’autorise pas l’action si l’utilisateur n’avait pas le droit d’utilisation à l’origine de le faire. Toutefois, les utilisateurs finaux peuvent contourner la restriction d’utilisation « Ne pas transférer » en transférant le message à partir d’un autre compte dans l’application de messagerie iOS. Que vous ayez ou non configuré le déchiffrement du courrier côté service, les pièces jointes aux messages chiffrés et protégés par des droits ne peuvent pas être affichées dans l’application de messagerie iOS.

Si vous choisissez de ne pas autoriser l’envoi de messages déchiffrés aux utilisateurs de l’application de messagerie iOS, les utilisateurs reçoivent un message indiquant qu’ils ne disposent pas des droits nécessaires pour afficher le message. Par défaut, le déchiffrement côté service des messages électroniques n’est pas activé.

Pour plus d’informations et pour obtenir une vue de l’expérience client, consultez Afficher des messages chiffrés sur votre iPhone ou iPad.

Pour déterminer si les utilisateurs de l’application de messagerie iOS peuvent afficher les messages protégés par le chiffrement des messages

  1. Utilisez un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Exécutez l’applet de commande Set-ActiveSyncOrganizations avec le paramètre AllowRMSSupportForUnenlightenedApps :

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Par exemple, pour configurer le service pour déchiffrer les messages avant qu’ils ne soient envoyés à des applications non allumées comme l’application de messagerie iOS :

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    Ou, pour configurer le service pour qu’il n’envoie pas de messages déchiffrés à des applications non allumées :

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Remarque

Les stratégies de boîte aux lettres individuelles (OWA/ActiveSync) remplacent ces paramètres (par exemple, si -IRMEnabled est défini sur False dans la stratégie de boîte aux lettres OWA ou la stratégie de boîte aux lettres ActiveSync respective, ces configurations ne s’appliquent pas).

Activer le déchiffrement côté service des pièces jointes de courrier électronique pour les clients de messagerie de navigateur web

Normalement, lorsque vous utilisez Office 365 chiffrement des messages, les pièces jointes sont automatiquement chiffrées. En tant qu’administrateur, vous pouvez appliquer le déchiffrement côté service pour les pièces jointes que les utilisateurs téléchargent à partir d’un navigateur web.

Lorsque vous utilisez le déchiffrement côté service, le service envoie une copie déchiffrée du fichier à l’appareil. Le message est toujours chiffré. La pièce jointe de l’e-mail conserve également des informations sur les droits d’utilisation même si le navigateur n’applique pas de droits d’utilisation côté client à l’utilisateur. L’utilisateur peut copier ou imprimer la pièce jointe de l’e-mail même s’il n’avait pas les droits à l’origine pour le faire. Toutefois, si l’utilisateur tente d’effectuer une action qui nécessite le serveur de messagerie Microsoft 365, telle que le transfert de la pièce jointe, le serveur n’autorise pas l’action si l’utilisateur n’avait pas le droit d’utilisation à l’origine de le faire.

Que vous ayez ou non configuré le déchiffrement côté service des pièces jointes, les utilisateurs ne peuvent pas afficher les pièces jointes aux messages chiffrés et protégés par des droits dans l’application de messagerie iOS.

Si vous choisissez de ne pas autoriser les pièces jointes déchiffrées, ce qui est la valeur par défaut, les utilisateurs reçoivent un message indiquant qu’ils n’ont pas les droits d’afficher la pièce jointe.

Pour plus d’informations sur la façon dont Microsoft 365 implémente le chiffrement pour les e-mails et les pièces jointes avec l’option Encrypt-Only, consultez l’option Chiffrer uniquement pour les e-mails.

Pour déterminer si les pièces jointes sont déchiffrées lors du téléchargement à partir d’un navigateur web

  1. Utilisez un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Exécutez l’applet de commande Set-IRMConfiguration avec le paramètre DecryptAttachmentForEncryptOnly :

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Par exemple, pour configurer le service pour déchiffrer les pièces jointes aux e-mails lorsqu’un utilisateur les télécharge à partir d’un navigateur web :

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Pour configurer le service de sorte qu’il conserve les pièces jointes chiffrées telles qu’elles sont lors du téléchargement :

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Vérifier que tous les destinataires externes utilisent le portail de messages chiffrés pour lire les messages chiffrés

Vous pouvez utiliser des modèles de personnalisation personnalisés pour forcer les destinataires à recevoir un message wrapper qui leur indique de lire les e-mails chiffrés dans le portail des messages chiffrés au lieu d’utiliser Outlook ou Outlook sur le web. Vous souhaiterez peut-être forcer cette expérience si vous souhaitez mieux contrôler la façon dont les destinataires utilisent le courrier qu’ils reçoivent. Par exemple, si des destinataires externes affichent le courrier électronique dans le portail web, vous pouvez définir une date d’expiration pour l’e-mail et révoquer l’e-mail. Ces fonctionnalités sont uniquement prises en charge via le portail des messages chiffrés. Vous pouvez utiliser l’option Chiffrer et l’option Ne pas transférer lors de la création des règles de flux de messagerie.

Utiliser un modèle personnalisé pour forcer tous les destinataires externes à utiliser le portail des messages chiffrés et pour les e-mails chiffrés

  1. Utilisez un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization et connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Exécutez l’applet de commande New-TransportRule :

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    où :

    • mail flow rule name est le nom que vous souhaitez utiliser pour la nouvelle règle de flux de courrier.

    • option name est ou EncryptDo Not Forward.

    • template name est le nom que vous avez donné au modèle de personnalisation personnalisé, par exemple OME Configuration.

    Pour chiffrer tous les e-mails externes avec le modèle « Configuration OME » et appliquer l’option Encrypt-Only :

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Pour chiffrer tous les e-mails externes avec le modèle « Configuration OME » et appliquer l’option Ne pas transférer :

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Personnaliser l’apparence des messages électroniques et le portail des messages chiffrés

Pour plus d’informations sur la façon dont vous pouvez personnaliser Chiffrement de messages Microsoft Purview pour votre organization, consultez Ajouter la marque de votre organization à vos messages chiffrés. Pour suivre et révoquer les messages chiffrés, vous devez ajouter votre personnalisation au portail des messages chiffrés.

Désactiver Chiffrement de messages Microsoft Purview

Nous espérons qu’il n’y arrivera pas, mais si nécessaire, la désactivation de Chiffrement de messages Microsoft Purview est simple. Tout d’abord, supprimez toutes les règles de flux de courrier que vous avez créées qui utilisent Chiffrement de messages Microsoft Purview. Pour plus d’informations sur la suppression des règles de flux de courrier, consultez Gérer les règles de flux de courrier. Ensuite, effectuez ces étapes dans Exchange Online PowerShell.

Pour désactiver Chiffrement de messages Microsoft Purview

  1. À l’aide d’un compte professionnel ou scolaire disposant d’autorisations d’administrateur général dans votre organization, connectez-vous à Exchange Online PowerShell. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.

  2. Si vous avez activé le bouton Chiffrer dans Outlook sur le web, désactivez-le en exécutant l’applet de commande Set-IRMConfiguration avec le paramètre SimplifiedClientAccessEnabled. Sinon, ignorez cette étape.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Désactivez le Chiffrement de messages Microsoft Purview en exécutant l’applet de commande Set-IRMConfiguration avec le paramètre AzureRMSLicensingEnabled défini sur false :

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false