FAQ sur le chiffrement des messages

Chiffrement de messages Microsoft Purview combine des fonctionnalités de chiffrement des e-mails et de gestion des droits. Les fonctionnalités de gestion des droits sont alimentées par Azure Information Protection.

Vous pouvez utiliser Chiffrement de messages Microsoft Purview dans les conditions suivantes :

• Si vous n’avez jamais configuré Office 365 Chiffrement des messages (OME) ou gestion des droits relatifs à l’information (IRM) pour Exchange Online.

• Si vous avez configuré OME et IRM, vous pouvez suivre ces étapes si vous utilisez également le service Azure Rights Management d’Azure Information Protection.

• Si vous utilisez Exchange Online avec le service AD RMS (Active Directory Rights Management Service), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection. Une fois la migration terminée, vous pouvez configurer correctement Chiffrement de messages Microsoft Purview.

  Si vous choisissez de continuer à utiliser AD RMS local avec Exchange Online au lieu de migrer vers Azure Information Protection, vous ne pourrez pas utiliser Chiffrement de messages Microsoft Purview.

Pour utiliser Chiffrement de messages Microsoft Purview, vous avez besoin de l’un des plans suivants :

• Chiffrement de messages Microsoft Purview est proposé dans le cadre de Office 365 Entreprise E3 et E5, Microsoft 365 Entreprise E3 et E5, Microsoft 365 Business Premium, Office 365 A1, A3 et A5, et Office 365 Secteur public G3 et G5. Vous n’avez pas besoin de licences supplémentaires pour recevoir les nouvelles fonctionnalités de protection optimisées par Azure Information Protection.

• Vous pouvez également ajouter Azure Information Protection Plan 1 aux plans suivants pour recevoir Chiffrement de messages Microsoft Purview : Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Entreprise E1.

• Chaque utilisateur bénéficiant de Chiffrement de messages Microsoft Purview a besoin d’une licence pour utiliser le chiffrement des messages.

• Pour obtenir la liste complète, consultez les descriptions du service Exchange Online pour Chiffrement de messages Microsoft Purview.

Oui. Microsoft vous recommande de suivre les étapes de configuration de BYOK avant de configurer Chiffrement de messages Microsoft Purview.

Pour plus d’informations sur BYOK, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Non. Chiffrement de messages Microsoft Purview et l’option permettant de fournir et de contrôler vos propres clés de chiffrement, appelées BYOK, à partir d’Azure Information Protection n’ont pas été conçus pour répondre aux assignations des forces de l’ordre. OME, avec BYOK pour Azure Information Protection, a été conçu pour les organisations axées sur la conformité. Microsoft prend au sérieux les demandes tierces de données client. En tant que fournisseur de services cloud, nous défendons toujours la confidentialité de vos données. Dans le cas où nous obtenons une assignation, nous essayons toujours de rediriger le tiers directement vers vous pour obtenir les informations. (Lisez le blog de Brad Smith : Protecting customer data from government snooping). Nous publions régulièrement des informations détaillées sur la demande que nous recevons. Pour plus d’informations sur les demandes de données tierces, consultez Répondre aux demandes du gouvernement et de l’application de la loi pour accéder aux données des clients sur le Centre de gestion de la confidentialité Microsoft. Consultez également « Divulgation des données client » dans les Conditions des services en ligne (OST).

Chiffrement de messages Microsoft Purview est une évolution des solutions OME existantes et irm existantes. Le tableau suivant fournit plus de détails.

Comparaison des fonctionnalités OME, IRM et Chiffrement de messages Microsoft Purview héritées

Consultez Configurer Chiffrement de messages Microsoft Purview.

Vous pouvez toujours utiliser la version précédente du chiffrement des messages appelée Office 365 Message Encryption (OME). OME a été déconseillé le 1er juillet 2023. Le chiffrement des messages Office sera automatiquement remplacé et mis à jour pour Chiffrement de messages Microsoft Purview.

Non. Si vous utilisez Exchange Online avec le service AD RMS (Active Directory Rights Management Service), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection.

Les utilisateurs locaux peuvent envoyer des messages chiffrés à l’aide de Exchange Online règles de flux de messagerie. Vous devez acheminer le courrier électronique via Exchange Online. Pour plus d’informations, consultez Partie 2 : Configurer le courrier pour le flux de votre serveur de messagerie vers Microsoft 365.

Vous pouvez créer des messages protégés à partir de Outlook 2016, Outlook 2013 pour Windows et Mac et à partir de Outlook sur le web. Pour plus d’informations sur l’envoi de messages chiffrés, voir Envoyer, afficher et répondre à des messages chiffrés dans Outlook pour PC.

Les utilisateurs de Microsoft 365 peuvent lire et répondre à partir d’Outlook pour Windows et Mac (2013 et 2016), Outlook sur le web et Outlook Mobile (Android et iOS). Vous pouvez également utiliser le client de messagerie natif iOS si votre organization l’autorise. Si vous n’êtes pas un utilisateur de Microsoft 365, vous pouvez lire et répondre aux messages chiffrés sur le web via votre navigateur web.

Les utilisateurs de Microsoft 365 peuvent utiliser Outlook pour PC versions 2019 et Microsoft 365 pour créer un courrier protégé par la stratégie de chiffrement uniquement. Les messages auxquels la stratégie de chiffrement uniquement est appliquée peuvent être lus directement dans Outlook sur le web, dans Outlook pour iOS et Android, et Outlook pour PC versions 2019 et Microsoft 365.

Oui. La taille maximale des messages que vous pouvez envoyer avec Chiffrement de messages Microsoft Purview, pièces jointes comprises, est de 25 Mo. Pour plus d’informations, consultez Limites des messages.

Le portail de messages chiffrés prend uniquement en charge la messagerie. Le portail ne prend pas en charge les autres types de messages tels que le calendrier ou la messagerie vocale.

Vous pouvez joindre n’importe quel type de fichier à un courrier protégé. Les stratégies de protection sont appliquées uniquement à un sous-ensemble des formats de fichiers mentionnés dans Types de fichiers pris en charge par le client Azure Information Protection. Chiffrement de messages Microsoft Purview prend uniquement en charge les extensions de fichiers Office suivantes :

• docx
• Docm
• dotx
• dotm
• pptx
• Pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• .xlsm
• xlsb
• xltx
• xltm
• xlam
• Xps

Chiffrement de messages Microsoft Purview ne prend pas en charge les versions 97-2003 des programmes Office suivants : Word (.doc), Excel (.xls) et PowerPoint (.ppt).

La protection est héritée du courrier aux pièces jointes non chiffrées uniquement. Si un format de fichier est pris en charge, tel qu’un fichier Word, Excel ou PowerPoint, le fichier est toujours protégé, même après le téléchargement de la pièce jointe par le destinataire. Par exemple, supposons qu’une pièce jointe soit protégée par Ne pas transférer. Le destinataire d’origine télécharge le fichier, crée un message à un nouveau destinataire et joint le fichier. Lorsque le nouveau destinataire reçoit le fichier, il ne peut pas l’ouvrir.

La réponse courte est oui ! S’il est activé dans Exchange Online, le chiffrement PDF vous permet de protéger les documents PDF sensibles joints aux e-mails. Lorsque vous envoyez un e-mail, le service Office 365 chiffre les pièces jointes pdf pour Outlook sur le web, Outlook pour Mac, Outlook pour iOS et Outlook pour Android. Vous pouvez chiffrer des fichiers PDF que vous envoyez sans aucune autre étape.

Outlook 64 bits prend en charge en mode natif le chiffrement des pièces jointes pdf, contrairement à Outlook 32 bits. Si vous utilisez Outlook 32 bits, vous devez d’abord configurer des règles de flux de messagerie Exchange ou des stratégies DLP pour appliquer le chiffrement aux pièces jointes PDF. Lorsque vous envoyez un courrier non chiffré à partir d’Outlook Desktop avec une pièce jointe PDF, le client envoie d’abord le message avec la pièce jointe au service. Lorsque le service reçoit le courrier non chiffré, il applique la protection Chiffrement de messages Microsoft Purview par le biais de la stratégie de protection contre la perte de données (DLP) ou de la règle de flux de messagerie dans Exchange Online. Ensuite, Exchange Online chiffre le message et la pièce jointe du fichier PDF.

Pour activer le chiffrement des pièces jointes PDF, exécutez la commande suivante dans Exchange Online PowerShell :

Set-IRMConfiguration -EnablePdfEncryption $true

Le chiffrement PDF vous permet de protéger les documents PDF sensibles par le biais d’une communication sécurisée ou d’une collaboration sécurisée. Pour tous les clients Outlook, les messages et les pièces jointes PDF non protégées héritent de la protection Chiffrement de messages Microsoft Purview de la stratégie de protection contre la perte de données (DLP) ou de la règle de flux de messagerie dans Exchange Online. En outre, si un utilisateur Outlook sur le web joint un document PDF non protégé et applique une protection au message, le message hérite de la protection du message. Les utilisateurs peuvent uniquement ouvrir les pièces jointes chiffrées dans les applications qui prennent en charge les fichiers PDF protégés (par exemple, le portail de messages chiffrés et la visionneuse d’azure Information Protection).

Not yet. Les pièces jointes SharePoint Online ou OneDrive Entreprise ne sont pas prises en charge. Vous pouvez chiffrer un message électronique, mais pas les pièces jointes cloud.

Lorsque les pièces jointes sont protégées par un courrier protégé, vous pouvez afficher un aperçu des documents directement à l’aide de clients Outlook. Outlook prend en charge la préversion des documents Office (docx, xlsx, pptx, doc, xls, ppt). Outlook sur le web prend en charge la préversion des documents Office (docx, xlsx, pptx) et PDF.

Outlook sur le web prend en charge la révocation du courrier protégé. Pour plus d’informations, consultez Comment révoquer un message chiffré que vous avez envoyé .

Le portail de messages chiffrés prend en charge l’aperçu de toutes les copies de pièces jointes chiffrées ajoutées au courrier chiffré. Les types de fichiers de prise en charge incluent les fichiers Word, Excel, PowerPoint et PDF.

Oui. Utilisez des règles de flux de messagerie dans Exchange Online pour chiffrer automatiquement un message en fonction de certaines conditions. Par exemple, vous pouvez créer des stratégies basées sur l’ID de destinataire, le domaine du destinataire ou sur le contenu dans le corps ou l’objet du message. Consultez Définir des règles de flux de courrier pour chiffrer les messages électroniques dans Office 365.

Les administrateurs peuvent configurer une règle de flux de courrier pour supprimer le chiffrement des messages sortants. Vous pouvez uniquement configurer une règle pour supprimer le chiffrement des messages entrants provenant de votre Exchange Online organization.

Pour une boîte aux lettres Exchange Online, les administrateurs doivent activer le déchiffrement du journal et configurer une règle de journalisation Exchange Online pour générer une copie déchiffrée du courrier dans la boîte aux lettres de journalisation. La règle de journalisation accepte tout courrier ou pièce jointe qui a un chiffrement et envoie l’original ainsi qu’une copie déchiffrée dans la boîte aux lettres de journalisation. Vous pouvez uniquement configurer une règle de journalisation qui peut déchiffrer le courrier ou les pièces jointes lorsque l’élément chiffré provient de votre organization.
Pour activer Exchange Online journalisation :

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Oui. Vous pouvez configurer des règles de flux de messagerie dans Exchange Online ou en utilisant DLP dans le portail de conformité Microsoft Purview.

Oui, pour les messages envoyés à partir d’une boîte aux lettres Exchange Online dans votre organization ! Pour plus d’informations sur la personnalisation des messages électroniques et le portail des messages chiffrés, consultez Ajouter la marque de votre organization à vos messages chiffrés.

Les journaux d’activité du portail de messages chiffrés capturent uniquement les événements pour les destinataires externes en accédant aux portails de messages chiffrés. Les activités des clients de messagerie déclenchées par des destinataires externes ne sont pas enregistrées. Pour les destinataires internes, consultez l’action d’audit de boîte aux lettres MailItemsAccessed dans Purview Audit (Premium) - Journaux d’accès aux éléments de messagerie.

Il existe un rapport de chiffrement dans le centre de conformité. Consultez Afficher les rapports de sécurité des e-mails dans le portail de conformité Microsoft Purview.

Oui, la plupart des messages protégés par Chiffrement de messages Microsoft Purview sont détectables. Chiffrement de messages Microsoft Purview courrier protégé que vous recevez d’un autre organization Microsoft 365 auquel une personnalisation est appliquée par le biais d’une règle de flux de messagerie n’est pas détectable par votre service eDiscovery. En d’autres termes, si le courrier n’est pas accessible via la boîte aux lettres de l’utilisateur, mais qu’il n’est exposé que par le biais d’un lien vers le portail des messages chiffrés, le courrier ne peut pas faire l’objet d’une recherche. Pour plus d’informations, consultez activités eDiscovery qui prennent en charge les éléments chiffrés .

Lorsqu’une personne envoie un message électronique qui correspond à une règle de flux de messagerie de chiffrement, le message est chiffré avant d’être envoyé.

Oui. Vous pouvez ouvrir des messages chiffrés pour une boîte aux lettres partagée. Lorsque le courrier est envoyé à partir du même organization, vous pouvez ouvrir le courrier lorsque vous êtes connecté à un client Outlook pris en charge. Si le courrier est envoyé à partir d’un organization externe, vous devez utiliser Outlook sur le web.

• Les utilisateurs peuvent ouvrir des messages protégés dans une boîte aux lettres partagée où la boîte aux lettres partagée a reçu un courrier protégé dans le cadre d’un groupe de distribution.

• Les utilisateurs peuvent afficher les pièces jointes qui héritent de la protection de la messagerie lorsqu’ils utilisent Outlook pour Windows, Outlook pour Mac, Outlook pour Android, Outlook pour iOS et Outlook sur le web.

Le tableau suivant répertorie les clients pris en charge pour les boîtes aux lettres partagées.

Il existe actuellement deux limitations connues :

• Vous ne pouvez pas ouvrir les pièces jointes aux e-mails que vous recevez sur les appareils mobiles à l’aide d’Outlook Mobile.

• Dans Outlook 32 bits, pour les utilisateurs affectés à une boîte aux lettres partagée par le biais d’un groupe de sécurité avec e-mail, l’utilisateur voit un message de notification pour afficher le courrier chiffré à l’aide d’un navigateur web. Pour afficher le courrier chiffré directement dans Outlook 32 bits, Outlook et le client de protection des informations nécessitent que l’utilisateur soit directement affecté à la boîte aux lettres partagée avec des autorisations d’accès complet et le mappage automatique activés. Pour Outlook 64 bits, l’utilisateur n’a pas besoin d’être directement affecté à la boîte aux lettres. Le mappage automatique est activé par défaut pour Exchange Online.

Pour affecter un utilisateur à la boîte aux lettres partagée

1. Connectez-vous à Exchange Online PowerShell.aspx).

2. Exécutez l’applet de commande Add-MailboxPermission avec le paramètre Automapping. Cet exemple accorde à Ayla des autorisations d’accès complet à une boîte aux lettres de support.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Lorsque les délégués disposent d’une autorisation d’accès complet à la boîte aux lettres d’un utilisateur, l’accès délégué aux messages chiffrés est pris en charge dans Outlook sur le web, Outlook pour Mac, Outlook pour iOS et Outlook pour Android. Outlook pour Windows ne prend pas en charge l’accès délégué.

Vous pouvez vous connecter au portail des messages chiffrés pour récupérer le courrier tant que le organization de l’expéditeur est actif et que le courrier n’a pas été configuré pour expirer.

Tout d’abord, case activée le dossier courrier indésirable ou courrier indésirable dans votre client de messagerie. Les paramètres DKIM et DMARC de votre organization peuvent entraîner le filtrage de ces e-mails en tant que courrier indésirable.

Ensuite, case activée mise en quarantaine dans le centre de conformité. Souvent, les messages contenant un code de passe à usage unique, en particulier les premiers que votre organization reçoit, se retrouvent en quarantaine.