Gérer les étiquettes de confidentialité dans les applications Office

Guide de sécurité et conformité pour les licences Microsoft 365.

Notes

Conformité Microsoft 365 se nomme désormais Microsoft Purview, et les solutions dans le domaine de la conformité ont été renommées. Pour plus d’informations sur Microsoft Purview, consultez l’annonce du blog et l’article Qu’est-ce que Microsoft Purview ?

Lorsque vous avez publié des étiquettes de sensibilité à partir du portail de conformité Microsoft Purview, elles commencent à apparaître dans les applications Office pour que les utilisateurs puissent classer et protéger les données lorsqu'elles sont créées ou modifiées.

Utilisez les informations de cet article pour vous aider à gérer avec succès les étiquettes de confidentialité dans les applications Office. Par exemple, identifiez les versions minimales des applications dont vous avez besoin pour les fonctionnalités spécifiques à l’étiquetage intégré, toute information de configuration supplémentaire pour ces fonctionnalités, et comprenez les interactions avec le client d’étiquetage unifié Azure Information Protection et d’autres applications et services.

Client d’étiquetage pour les applications de bureau

Pour utiliser des étiquettes de niveau de confidentialité intégrées aux applications de bureau Office pour Windows et Mac, vous devez utiliser une édition d’abonnement d’Office. Ce client d’étiquetage ne prend pas en charge les éditions autonomes d’Office, parfois appelées « Office Perpétuelle ».

Si vous ne pouvez pas effectuer de mise à niveau vers Microsoft 365 Apps for enterprise pour les versions d’abonnement d’Office, pour les ordinateurs Windows uniquement, vous pouvez utiliser le client d’étiquetage unifié Azure Information Protection (AIP). Toutefois, ce client est maintenant en mode maintenance et nous vous déconseillons d’utiliser le complément AIP pour Office applications, sauf si vous le devez. Pour plus d'informations, voir Pourquoi choisir l'étiquetage intégré plutôt que le module complémentaire AIP pour les applications Office.

Prise en charge des fonctionnalités d’étiquette de confidentialité dans les applications

Les tableaux suivants répertorient la version minimale Office qui a introduit des fonctionnalités spécifiques pour les étiquettes de confidentialité intégrées aux applications Office. Ou, si la fonctionnalité d’étiquette est en prévisualisation ou en cours de révision pour une prochaine version. Utilisez la Microsoft 365 feuille de route pour plus d’informations sur les nouvelles fonctionnalités prévues pour les prochaines publication.

Les nouvelles versions des applications Office sont disponibles à différents moments pour différents canaux de mise à jour. Pour Windows, vous obtenez les nouvelles fonctionnalités plus tôt lorsque vous êtes sur le canal actuel ou le canal Enterprise mensuel, plutôt que sur Semi-Annual Enterprise canal. Les numéros de version minimum peuvent également être différents d’un canal de mise à jour à l’autre. Pour plus d’informations, voir Vue d’ensemble des canaux de mise à jour Microsoft 365 Apps et historique des mises à jour pour Microsoft 365 Apps.

Les nouvelles fonctionnalités en préversion privée ne sont pas incluses dans le tableau, mais il est possible que vous soyez en mesure de participer à ces préversions en nomant votre organisation pour le programme de préversion privé Microsoft Information Protection.

Office pour iOS et Office pour Android : les étiquettes de niveau de confidentialité sont intégrées dans l’application Office.

Conseil

Lorsque vous comparez les versions minimales des tables aux versions dont vous disposez, n’oubliez pas la pratique courante des versions de mise en production pour omettre les zéros non significatifs.

Par exemple, vous avez la version 4.2128.0 et lisez que 4.7.1+ est la version minimale. Pour faciliter la comparaison, lisez 4.7.1 (sans zéros non significatifs) en tant que 4.0007.1 (et non 4.7000.1). Votre version de 4.2128.0 est supérieure à 4.0007.1. Votre version est donc prise en charge.

Fonctionnalités d’étiquettes de confidentialité dans Word, Excel et PowerPoint

Les nombres répertoriés sont les versions minimales de l’application Office requise pour chaque fonctionnalité.

Notes

Pour Windows et le canal d’entreprise semi-annuel, il se peut que les numéros de version minimum pris en charge ne soient pas encore publiés. En savoir plus

Fonctionnalité Windows Mac iOS Android Web
Appliquer, modifier ou supprimer manuellement une étiquette Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Prise en charge multilingue Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ En cours de révision
Appliquer une étiquette par défaut aux nouveaux documents Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Appliquer une étiquette par défaut à des documents existants Préversion : déploiement sur le Canal bêta Aperçu : déploiement sur leCanal actuel (prévisualisation) En cours de révision En cours de révision Oui : s’inclure
Demander une justification pour la modification d'étiquette. Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Fournir un lien d’aide vers une page d’aide personnalisée Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Marquer le contenu Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Marquages dynamiques avec des variables. Canal actuel : 2010+

Canal mensuel des entreprises : 2010+

Semi-Annual Enterprise canal : 2102+
16.42+ 2.42+ 16.0.13328+ Oui : s’inclure
Attribuer des autorisations maintenant Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 2.21+ 16.0.11231+ Oui : s’inclure
Permettre aux utilisateurs d’attribuer des autorisations :
– Inviter les utilisateurs
Canal actuel : 2004+

Canal Entreprise mensuel : 2004+

Semi-Annual Enterprise canal : 2008+
16.35+ En cours de révision En cours de révision En cours de révision
Audit de l’activité des utilisateurs liée à une étiquette Canal actuel : 2011+

Canal Entreprise mensuel : 2011+

Canal d’entreprise semestriel
16.43+ 2.46+ 16.0.13628+ Oui
Demander aux utilisateurs d'appliquer une étiquette à leurs e-mails et documents Canal actuel : 2101+

Canal Entreprise mensuel : 2101+

Canal d’entreprise semestriel
16.45+ 2.47+ 16.0.13628+ Oui : s’inclure
Appliquer automatiquement une étiquette de confidentialité au contenu
- Utilisation de types d’informations sensibles
Canal actuel : 2009+

Canal Enterprise mensuel : 2009+

Semi-Annual Enterprise canal : 2102+
16.44+ En cours de révision En cours de révision Oui : s’inclure
Appliquer automatiquement une étiquette de confidentialité au contenu
- Utilisation de classifieurs pouvant être formés
Canal actuel : 2105+

Canal Entreprise mensuel : 2105+

Canal d’entreprise semestriel : 2108+
16.49+ En cours de révision En cours de révision Oui : s’inclure
Prise en charge de la co-édition et de l'enregistrement automatique pour les documents étiquetés et chiffrés Canal actuel : 2107+

Canal mensuel des entreprises : 2107+

Canal d’entreprise semi-annuel : 2202+
16.51+ Aperçu : 2.58+ lorsque vous Inclure Aperçu : 16.0.14931+ lorsque vous Inclure Oui : s’inclure
Prise en charge du format PDF Préversion : déploiement sur le Canal bêta En cours de révision En cours de révision En cours de révision En cours de révision

Fonctionnalités d’étiquettes de confidentialité dans Outlook

Les nombres répertoriés sont les versions minimales de l’application Office requise pour chaque fonctionnalité.

Notes

Pour Windows et le canal d’entreprise semi-annuel, il se peut que les numéros de version minimum pris en charge ne soient pas encore publiés. En savoir plus

Fonctionnalité Outlook pour Windows Outlook pour Mac Outlook sur iOS Outlook sur Android Outlook sur le web
Appliquer, modifier ou supprimer manuellement une étiquette Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Prise en charge multilingue Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Appliquer une étiquette par défaut Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Demander une justification pour la modification d'étiquette. Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Fournir un lien d’aide vers une page d’aide personnalisée Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Marquer le contenu Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Marquages dynamiques avec des variables. Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Attribuer des autorisations maintenant Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Permettre aux utilisateurs d’attribuer des autorisations :
– Ne pas transférer
Canal actuel : 1910+

Canal Entreprise mensuel : 1910+

Semi-Annual Enterprise canal : 2002+
16.21+ 4.7.1+ 4.0.39+ Oui
Permettre aux utilisateurs d’attribuer des autorisations :
– Chiffrer uniquement
Canal actuel : 2011+

Canal Entreprise mensuel : 2011+

Canal d’entreprise semestriel
16.48+ * 4.2112.0+ 4.2112.0+ Oui
Demander aux utilisateurs d'appliquer une étiquette à leurs e-mails et documents Canal actuel : 2101+

Canal Entreprise mensuel : 2101+

Canal d’entreprise semestriel
16.43+ * 4.2111+ 4.2111+ Oui
Audit de l’activité des utilisateurs liée à une étiquette Canal actuel : 2011+

Canal Entreprise mensuel : 2011+

Canal d’entreprise semestriel
16.51+ * 4.2126+ 4.2126+ Oui
Appliquer automatiquement une étiquette de confidentialité au contenu
- Utilisation de types d’informations sensibles
Canal actuel : 2009+

Canal Enterprise mensuel : 2009+

Semi-Annual Enterprise canal : 2102+
16.44+ * En cours de révision En cours de révision Oui
Appliquer automatiquement une étiquette de confidentialité au contenu
- Utilisation de classifieurs pouvant être formés
Canal actuel : 2105+

Canal Entreprise mensuel : 2105+

Canal d’entreprise semestriel : 2108+
16.49+ En cours de révision En cours de révision Oui
Paramètres différents pour l’étiquette par défaut et l’étiquette obligatoire Canal actuel : 2105+

Canal Entreprise mensuel : 2105+

Canal d’entreprise semestriel : 2108+
16.43+ * 4.2111+ 4.2111+ Oui
Prise en charge du format PDF En cours de révision En cours de révision En cours de révision En cours de révision En cours de révision
Appliquer la protection S/MIME En cours de révision Déploiement : plus de 16,61 * Déploiement : 4.2208+ Déploiement : 4.2203+ En cours de révision

Notes de bas de page :

* Nécessite le nouveau Outlook pour Mac

Client d’étiquetage intégré à Office et client Azure Information Protection

Si les utilisateurs ont installé le client Azure Information Protection (AIP) sur leurs ordinateurs Windows, par défaut, les étiquettes intégrées sont désactivées dans les applications Windows Office qui les prennent en charge. Étant donné que les étiquettes intégrées n’utilisent pas de complément Office, telles qu’elles sont utilisées par le client AIP, elles bénéficient d’une stabilité accrue et de meilleures performances. Ils prennent également en charge les fonctionnalités les plus récentes, telles que les classifieurs avancés.

Notes

Si vous ne voyez pas les fonctionnalités d’étiquetage attendues sur Windows ordinateurs, même si vous confirmez les versions minimales prises en charge pour votre canal de mise à jour Office, cela peut être dû au fait que vous devez désactiver le complément AIP.

Pour en savoir plus sur la prise en charge de l'étiquetage avec le client AIP et sur la façon de désactiver ce client uniquement dans les applications Office, voir Pourquoi choisir l’étiquetage intégré plutôt que le complément AIP pour les applications Office.

Si vous devez désactiver l’étiquetage intégré dans Office applications sur Windows

Le client d’étiquetage intégré à Office télécharge les étiquettes de confidentialité et les paramètres de stratégie d’étiquette de confidentialité à partir du Centre de conformité Microsoft 365.

Pour utiliser le client d’étiquetage intégré Office, vous devez disposer d’une ou de plusieurs stratégies d’étiquette publiées aux utilisateurs à partir du Centre de conformité, et d’une version prise en charge d’Office.

Si ces deux conditions sont remplies, mais que vous devez désactiver les étiquettes intégrées dans les applications Windows Office, utilisez le paramètre stratégie de groupe suivant :

  1. Accédez à Configuration de l'utilisateur/Stratégies/Modèles d'administration/Microsoft Office 2016/Paramètres de sécurité.

  2. Définissez Utiliser la fonctionnalité de niveau de confidentialité d’Office pour appliquer et afficher les étiquettes de niveau de confidentialité à 0.

Si vous devez rétablir cette configuration ultérieurement, remplacez la valeur par 1. Vous devrez peut-être également remplacer cette valeur par 1 si le bouton Sensibilité n’est pas affiché sur le ruban comme prévu. Par exemple, un administrateur précédent a désactivé ce paramètre d’étiquetage.

Déployez ce paramètre à l’aide d’une stratégie de groupe ou à l’aide du service de stratégies cloud Office. Le paramètre prend effet au redémarrage de ces applications Office.

Étant donné que ce paramètre est spécifique aux applications Windows Office, il n’a aucun impact sur les autres applications sur Windows qui prennent en charge les étiquettes de confidentialité (telles que Power BI) ou d’autres plateformes (telles que macOS, les appareils mobiles et Office pour le web). Si vous ne souhaitez pas que certains ou tous les utilisateurs voient et utilisent des étiquettes de confidentialité sur toutes les applications, toutes les plateformes, n’affectent pas de stratégie d’étiquette de confidentialité à ces utilisateurs.

Types de fichiers Office pris en charge

Les applications Office qui ont un étiquetage intégré pour les fichiers Word, Excel et PowerPoint prennent en charge le format Open XML (tel que .docx et .xlsx), mais pas le format Microsoft Office 97-2003 (tel que .doc et .xls), le format Open Document (par exemple, .odt et .ods) ou d’autres formats. Lorsqu’un type de fichier n’est pas pris en charge pour l’étiquetage intégré, le bouton Sensibilité n’est pas disponible dans l’application Office.

Le client d’étiquetage unifié Azure Information Protection prend en charge les formats Open XML et Microsoft Office 97-2003. Pour plus d’informations, consultez Types de fichiers pris en charge par le client d’étiquetage unifié Azure Information Protection à partir du guide d’administration de ce client.

Pour les autres solutions d'étiquetage, consultez leur documentation pour connaître les types de fichiers pris en charge.

Modèles de protection et étiquettes de niveau de confidentialité

Les modèles de protection définis par l’administrateur, tels que ceux que vous définissez pour le chiffrement de messages Office 365, ne sont pas visibles dans les applications Office lorsque vous utilisez un étiquetage intégré. Cette expérience simplifiée illustre le fait qu’il n’est pas nécessaire de sélectionner un modèle de protection, car les mêmes paramètres sont inclus avec les étiquettes de niveau de confidentialité dont le chiffrement est activé.

Vous pouvez convertir un modèle existant en étiquette de confidentialité lorsque vous utilisez la cmdlet New-Label avec le paramètre EncryptionTemplateId.

Options de gestion des droits relatifs à l'information (IRM) et étiquettes de niveau de confidentialité

Les étiquettes de niveau de confidentialité que vous configurez pour appliquer le chiffrement suppriment la complexité des utilisateurs afin de spécifier leurs propres paramètres de chiffrement. Dans de nombreuses applications Office, ces paramètres de chiffrement individuels peuvent toujours être configurés manuellement par les utilisateurs à l’aide des options de gestion des droits relatifs à l'information (IRM). Par exemple, pour les applications Windows :

  • Pour un document : Fichier > Informations > Protéger le document > Restreindre l’accès
  • pour un courrier électronique : Sous l’onglet Options > Chiffrer

Lorsque les utilisateurs étiquettent initialement un document ou un e-mail, ils peuvent remplacer les paramètres de configuration de votre étiquette par leurs propres paramètres de chiffrement. Par exemple :

  • Un utilisateur applique l’étiquette Confidentiel \ Tous les employés à un document. Cette étiquette est configurée pour appliquer des paramètres de chiffrement à tous les utilisateurs de l’organisation. Cet utilisateur configure ensuite manuellement les paramètres IRM pour restreindre l’accès à un utilisateur extérieur à votre organisation. Le résultat final est un document étiqueté Confidentiel \ Tous les employés et chiffré, mais les utilisateurs de votre organisation ne peuvent pas l’ouvrir comme prévu.

  • Un utilisateur applique l’étiquette Confidentiel \ Destinataires uniquement à un message électronique. Ce message est configuré pour appliquer le paramètre de chiffrement de Ne pas transférer. Dans l’application Outlook, cet utilisateur sélectionne ensuite manuellement le paramètre IRM pour Chiffrer uniquement. Le résultat final est que même si le courrier électronique reste chiffré, il peut être transmis par les destinataires, même s’il porte l’étiquette Confidentiel \ Destinataires uniquement.

    À titre d’exception, pour Outlook sur le web, les options du menu Chiffrer ne sont pas disponibles pour qu’un utilisateur puisse les sélectionner lorsque l’étiquette actuellement sélectionnée applique le chiffrement.

  • Un utilisateur applique l’étiquette Général à un document, et cette étiquette n’est pas configurée pour appliquer le chiffrement. Cet utilisateur configure ensuite manuellement les paramètres IRM pour restreindre l’accès au document. Le résultat final est un document étiqueté Général, mais qui applique également le chiffrement de sorte que certains utilisateurs ne peuvent pas l’ouvrir comme prévu.

Si le document ou l'e-mail est déjà étiqueté, un utilisateur peut effectuer l'une de ces actions si le contenu n'est pas déjà chiffré ou s'il dispose du droit d'utilisation Exporter ou Contrôle total.

Pour une expérience d’étiquette plus cohérente avec des rapports significatifs, fournissez des étiquettes et des instructions appropriées aux utilisateurs afin qu’ils appliquent uniquement des étiquettes pour protéger les documents et e-mails. Par exemple :

  • Pour les cas d’exception, les utilisateurs doivent attribuer leurs propres autorisations, fournir des étiquettes qui permettent aux utilisateurs d’attribuer leurs propres autorisations.

  • Pour éviter que les utilisateurs suppriment manuellement le chiffrement après avoir sélectionné une étiquette qui l’applique, offrez une alternative de sous-étiquette lorsque les utilisateurs ont besoin d’une étiquette avec la même classification, mais pas de chiffrement. Par exemple :

    • Confidentiel \ Tous les employés
    • Confidentiel \ Tout le monde (aucun chiffrement)
  • Désactivez les paramètres IRM pour empêcher les utilisateurs de les sélectionner :

    • Outlook pour Windows :
      • Clés DWORD:00000001 de Registre DisableDNF et DisableEO à partir de HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • S’assurer que le paramètre de stratégie Configurer l’option de chiffrement par défaut pour le bouton Chiffrer n’est pas configuré
    • Outlook pour Mac :
    • Outlook sur le web :
      • Paramètres SimplifiedClientAccessDoNotForwardDisabled et SimplifiedClientAccessEncryptOnlyDisabled documentés pour Set-IRMConfiguration
    • Outlook pour iOS et Android : ces applications ne prennent pas en charge l'application de chiffrement sans étiquette par les utilisateurs, donc rien à désactiver.

Notes

Si les utilisateurs suppriment manuellement le chiffrement d’un document étiqueté stocké dans SharePoint ou OneDrive et que vous avez activé les étiquettes de niveau de confidentialité des fichiers Office dans SharePoint et OneDrive, le chiffrement d’étiquettes est restauré automatiquement au prochain accès ou téléchargement du document.

Appliquer des étiquettes de niveau de confidentialité aux fichiers, courriers électroniques et pièces jointes

Les utilisateurs ne peuvent appliquer qu’une étiquette à la fois pour chaque document ou e-mail.

Lorsque vous étiquetez un courrier électronique qui contient des pièces jointes, celles-ci héritent de l’étiquette uniquement si l’étiquette que vous appliquez au courrier électronique applique le chiffrement et que la pièce jointe qui est un document Office n’est pas déjà chiffré. Étant donné que l’étiquette héritée applique le chiffrement, la pièce jointe devient de nouveau chiffrée.

Une pièce jointe n’hérite pas des étiquettes du courrier électronique lorsque l’étiquette appliquée au courrier électronique n’applique pas le chiffrement ou si la pièce jointe est déjà chiffrée.

Exemples d’héritage des étiquettes, où l’étiquette Confidentiel applique le chiffrement et l’étiquette Général n’applique pas le chiffrement :

  • Un utilisateur crée un courrier électronique et applique l’étiquette Confidentiel à ce message. Ils ajoutent ensuite un document Word qui n’est pas étiqueté ou chiffré. À la suite de l'héritage, le document est nouvellement étiqueté Confidentiel et le chiffrement est désormais appliqué à partir de cette étiquette.

  • Un utilisateur crée un courrier électronique et applique l’étiquette Confidentiel à ce message. Ils ajoutent ensuite un document Word étiqueté Général ce fichier n’est pas chiffré. À la suite de l'héritage, le document est étiqueté de nouveau Confidentiel et le chiffrement est désormais appliqué à partir de cette étiquette.

Compatibilité des étiquettes de confidentialité

Avec des applications RMS : si vous ouvrez un document ou un courrier électronique chiffrés et étiquetés dans une application RMS qui ne prend pas en charge les étiquettes de niveau de confidentialité, l’application applique toujours le chiffrement et la gestion des droits.

Avec le client Azure Information Protection : vous pouvez afficher et modifier les étiquettes de niveau de confidentialité que vous appliquez aux documents et courriers électroniques à l’aide du client d’étiquetage intégré à Office à l’aide du client Azure Information Protection, et inversement.

Avec les autres versions d’Office : tous les utilisateurs autorisés peuvent ouvrir des documents étiquetés et des messages électroniques dans d’autres versions d’Office. Toutefois, vous pouvez uniquement afficher ou modifier l’étiquette dans les versions d’Office pris en charge ou à l’aide du client Azure Information Protection. Les versions des logiciels Office pris en charge sont répertoriées dans la section précédente.

Prise en charge des fichiers SharePoint et OneDrive protégés par des étiquettes de niveau de confidentialité

Pour utiliser le client d’étiquetage intégré à Office avec Office sur le web pour les documents dans SharePoint ou OneDrive, assurez-vous que vous avez activé étiquettes de niveau de confidentialité pour les fichiers Office dans SharePoint et OneDrive.

Prise en charge des utilisateurs externes et du contenu étiqueté

Lorsque vous étiquetez un document ou un message électronique, l’étiquette est stockée en tant que métadonnées incluant votre client et un GUID d’étiquette. Lorsqu’un document ou un courrier électronique étiquetés est ouvert par une application Office qui prend en charge les étiquettes de niveau de confidentialité, ces métadonnées sont lues et uniquement si l’utilisateur appartient au même client, l’étiquette s’affiche dans son application. Par exemple, pour les étiquettes intégrées pour Word, PowerPoint et Excel, le nom de l’étiquette s’affiche dans la barre d’état.

Cela signifie que si vous partagez des documents avec une autre organisation qui utilise des noms d’étiquettes différents, chaque organisation peut appliquer et voir sa propre étiquette appliquée au document. Toutefois, les éléments suivants d’une étiquette appliquée sont visibles par les utilisateurs extérieurs à votre organisation :

  • Marquages de contenu. Lorsqu’une étiquette applique un en-tête, un pied de page ou un filigrane, ceux-ci sont ajoutés directement au contenu et restent visibles jusqu’à ce que quelqu’un les modifie ou les supprime.

  • Nom et description du modèle de protection sous-jacente à partir d’une étiquette qui applique le chiffrement. Ces informations s’affichent dans une barre des messages en haut du document, pour fournir des informations sur les personnes autorisées à ouvrir le document et leurs droits d’utilisation pour ce document.

Partage de documents chiffrés avec des utilisateurs externes

En plus de restreindre l’accès aux utilisateurs de votre propre organisation, vous pouvez étendre l’accès à tout autre utilisateur possédant un compte dans Azure Active Directory. Toutefois, si votre organisation utilise des stratégies d’accès conditionnel, consultez la section suivante pour considérations supplémentaires.

Toutes les applications Office et autres applications RMS peuvent ouvrir des documents chiffrés une fois que l’utilisateur s’est authentifié correctement.

Si les utilisateurs externes n’ont pas de compte dans Azure Active Directory, ils peuvent s’authentifier à l’aide de comptes invités dans votre client. Ces comptes invités peuvent également servir à accéder à des documents partagés dans SharePoint ou OneDrive lorsque vous avez activé des étiquettes de niveau de confidentialité pour les fichiers Office dans SharePoint et OneDrive:

  • Une option consiste à créer ces comptes invités vous-même. Vous pouvez spécifier une adresse de messagerie que ces utilisateurs utilisent déjà. Par exemple, son adresse Gmail.

    Cette option vous permet de restreindre l’accès et les droits à des utilisateurs spécifiques en spécifiant leur adresse de messagerie dans les paramètres de chiffrement. L'inconvénient est la surcharge administrative liée à la création du compte et à la coordination avec la configuration de l'étiquette.

  • Une autre option consiste à utiliser Intégration de SharePoint et OneDrive à Azure AD B2B afin que les comptes invités soient automatiquement créés lorsque vos utilisateurs partagent des liens.

    Cette option offre un coût d’administration minimal, car les comptes sont créés automatiquement et une configuration d’étiquette plus simple. Dans ce scénario, vous devez sélectionner l’option de chiffrement Ajouter des utilisateur authentifiés, car vous ne connaissez pas les adresses de messagerie à l’avance. Ce paramètre ne vous permet pas de restreindre l’accès et les droits d’utilisation à des utilisateurs spécifiques.

Les utilisateurs externes peuvent également utiliser un compte Microsoft pour ouvrir des documents chiffrés lorsqu’ils utilisent les applications Windows et Microsoft 365 (anciennement des applications Office 365) ou la version autonome d’Office 2019. Plus récemment pris en charge pour les autres plateformes, les comptes Microsoft sont également pris en charge pour l’ouverture de documents chiffrés sur macOS (Microsoft 365 Apps, version 16.42+), Android (version 16.0.13029+) et iOS (version 2.42+). Par exemple, un utilisateur de votre organisation partage un document chiffré avec un utilisateur extérieur à votre organisation, et les paramètres de chiffrement spécifient une adresse de messagerie Gmail pour l’utilisateur externe. Cet utilisateur externe peut créer son propre compte Microsoft qui utilise son adresse de messagerie Gmail. Ensuite, une fois qu’ils se sont ouverts avec ce compte, ils peuvent ouvrir le document et le modifier, conformément aux restrictions d’utilisation qui leur sont spécifiées. Pour consulter un exemple pas à pas de ce scénario, consultezOuverture et modification du document protégé.

Notes

L’adresse de messagerie du compte Microsoft doit correspondre à l’adresse de messagerie spécifiée pour restreindre l’accès aux paramètres de chiffrement.

Lorsqu’un utilisateur avec un compte Microsoft ouvre un document chiffré de cette façon, il crée automatiquement un compte invité pour le client si un compte invité du même nom n’existe pas encore. Lorsque le compte invité existe, il peut ensuite être utilisé pour ouvrir des documents dans SharePoint et OneDrive à l’aide d’Office sur le web, en plus d’ouvrir des documents chiffrés à partir des applications Office de bureau et mobiles pris en charge.

Toutefois, le compte invité automatique n’est pas créé immédiatement dans ce scénario, en raison d’une latence de réplication. Si vous spécifiez des adresses de messagerie personnelles dans le cadre de vos paramètres de chiffrement d’étiquettes, nous vous recommandons de créer des comptes invités correspondants dans Azure Active Directory. Indiquez ensuite à ces utilisateurs qu’ils doivent utiliser ce compte pour ouvrir un document chiffré de votre organisation.

Conseil

Étant donné que vous ne savez pas si les utilisateurs externes utiliseront une application cliente Office prise en charge, le partage de liens à partir de SharePoint et OneDrive après avoir créé des comptes invités (pour des utilisateurs spécifiques) ou lorsque vous utilisez l’intégration de SharePoint et OneDrive à Azure AD B2B (pour tout utilisateur authentifié) est une méthode plus fiable pour prendre en charge la collaboration sécurisée avec les utilisateurs externes.

Stratégies d’accès conditionnel

Si votre organisation a implémenté Azure Active Directory stratégies d’accès conditionnel, vérifiez la configuration de ces stratégies. Si les stratégies incluent Microsoft Azure Information Protection et que la stratégie s’étend aux utilisateurs externes, ces utilisateurs externes doivent avoir un compte invité dans votre locataire, même s’ils ont un compte Azure AD dans leur propre locataire.

Sans ce compte invité, ils ne peuvent pas ouvrir le document chiffré et voir un message d’erreur. Le texte du message peut les informer que leur compte doit être ajouté en tant qu’utilisateur externe dans le locataire, avec les instructions incorrectes pour ce scénario pour Se déconnecter et se reconnecter avec un autre compte d’utilisateur Azure Active Directory.

Si vous ne pouvez pas créer et configurer des comptes invités dans votre client pour des utilisateurs externes qui doivent ouvrir des documents chiffrés par vos étiquettes, vous devez supprimer Azure Information Protection des stratégies d’accès conditionnel ou exclure des utilisateurs externes des stratégies.

Pour plus d’informations sur l’accès conditionnel et Azure Information Protection, le service de chiffrement utilisé par les étiquettes de niveau de confidentialité, consultez la question fréquemment posée, Azure Information Protection est répertorié comme application cloud disponible pour l’accès conditionnel. Comment cela fonctionne-t-il ?

Délai de marquage et de chiffrage de contenus par les applications Office.

Selon l’application que vous utilisez, les applications Office appliquent différemment le marquage et le chiffrement de contenu avec une étiquette de niveau de sensible.

Application Marquage du contenu Chiffrement
Word, Excel, PowerPoint sur toutes les plateformes Immédiatement Immédiatement
Outlook pour PC et Mac Après l’envoi du message électronique par Exchange Online Immédiatement
Outlook sur le web, iOS et Android Après l’envoi du message électronique par Exchange Online Après l’envoi du message électronique par Exchange Online

Pour ce faire, vous pouvez utiliser les solutions qui appliquent des étiquettes de niveau de confidentialité aux fichiers en dehors des applications Office en leur appliquant des métadonnées d’étiquette. Dans ce scénario, le contenu marqué à partir de la configuration de l’étiquette n’est pas inséré dans le fichier, mais le chiffrement est appliqué.

Lorsque ces fichiers sont ouverts dans une application de bureau Office, les marquages de contenu sont automatiquement appliquées par le client de l’étiquetage unifié d’Azure Information Protection. Les marques de contenu ne sont pas automatiquement appliquées lorsque vous utilisez l’étiquette intégrée pour les applications de bureau, mobiles ou web.

Les scénarios qui incluent l’application d’une étiquette de confidentialité en dehors des applications Office sont les suivants :

  • Scanneur, Explorateur de fichiers et PowerShell à partir du client d’étiquetage unifié Azure Information Protection

  • Stratégies d’étiquetage automatique pour SharePoint et OneDrive

  • Données étiquetées et chiffrées exportées à partir de Power BI

  • Microsoft Defender for Cloud Apps

Dans ces scénarios, à l’aide de leurs applications Office, un utilisateur avec une étiquette intégrée peut appliquer les marquages de contenu de l’étiquette en supprimant ou en remplaçant temporairement l’étiquette actuelle, puis en rappliquant l’étiquette d’origine.

Marquages dynamiques avec des variables

Important

Pour les applications qui ne prennent pas en charge cette fonctionnalité, elles appliquent les marquages comme le texte original spécifié dans la configuration de l'étiquette, plutôt que de résoudre les variables.

Le client d’étiquetage unifié Azure Information Protection prend en charge les marquages dynamiques. Pour l’étiquetage intégré à Office, consultez les tableaux de la section Fonctionnalités de cette page pour connaître les versions minimales prises en charge.

Lorsque vous configurez une étiquette de confidentialité pour le marquage du contenu, vous pouvez utiliser les variables suivantes dans la chaîne de texte pour votre en-tête, pied de page ou filigrane :

Variable Description Exemple lors de l’application d’une étiquette
${Item.Label} Nom complet de l’étiquette appliquée Général
${Item.Name} Nom de fichier ou objet du courrier électronique du contenu étiqueté Sales.docx
${Item.Location} Chemin d’accès et nom de fichier du document étiqueté, ou objet du courrier électronique étiqueté \\Sales\2020\Q3\Report.docx
${User.Name} Nom d’affichage de l’utilisateur appliquant l’étiquette Richard Simone
${User.PrincipalName} Nom d’utilisateur principal Azure AD de l’utilisateur appliquant l’étiquette rsimone@contoso.com
${Event.DateTime} Date et heure auxquelles le contenu est étiqueté, dans le fuseau horaire local de l’utilisateur appliquant l’étiquette dans les applications Microsoft 365, ou UTC (temps universel coordonné) pour Office Online et les stratégies d’étiquetage automatique 10/08/2020 13:30

Notes

La syntaxe de ces variables respecte la casse.

Définition de différents marquages visuels pour Word, Excel, PowerPoint et Outlook

En tant que variable supplémentaire, vous pouvez configurer des marquages visuels par type d’application Office à l’aide d’une instruction de variable « If.App » dans la chaîne de texte et identifier le type d’application à l’aide des valeurs Word, Excel, PowerPoint ou Outlook. Vous pouvez également abréger ces valeurs, ce qui est nécessaire si vous souhaitez en spécifier plusieurs dans la même instruction If.App.

Utilisez la syntaxe suivante :

${If.App.<application type>}<your visual markings text> ${If.End}

Comme pour les autres marquages visuels dynamiques, la syntaxe est sensible à la casse, ce qui inclut les abréviations pour chaque type d’application (WEPO).

Exemples :

  • Définissez le texte d’en-tête des documents Word uniquement :

    ${If.App.Word}This Word document is sensitive ${If.End}

    Dans les en-têtes de document Word uniquement, l’étiquette applique le texte d’en-tête « Ce document Word est sensible ». Aucun texte d’en-tête n’est appliqué aux autres applications Office.

  • Définissez le texte du pied de page pour Word, Excel et Outlook, et le texte du pied de pied de l’autre dans PowerPoint :

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    Dans Word, Excel et Outlook, l’étiquette applique le texte de pied de page « Ce contenu est confidentiel ». Dans PowerPoint, l’étiquette applique le texte de pied de l’étiquette « Cette présentation est confidentielle ».

  • Définissez un texte de filigrane spécifique pour Word et PowerPoint, puis du texte en filigrane pour Word, Excel et PowerPoint :

    ${If.App.WP}This content is ${If.End}Confidential

    Dans Word et PowerPoint, l’étiquette applique le texte en filigrane « Ce contenu est confidentiel ». Dans Excel, l’étiquette applique le texte en filigrane « Confidentiel ». Dans Outlook, l’étiquette n’applique pas de texte en filigrane, car les filigranes en tant que marquages visuels ne sont pas pris en charge dans Outlook.

Demander aux utilisateurs d'appliquer une étiquette à leurs e-mails et documents

Important

Le Client de l’étiquetage unifié d’Azure Information Protection prend en charge cette configuration également appelée étiquetage obligatoire. Pour l’étiquetage intégré aux applications Office, consultez les tableaux de la section Fonctionnalités de cette page pour connaître les versions minimales.

Pour utiliser l’étiquetage obligatoire pour les documents et non pour les e-mails, consultez les instructions de la section suivante qui explique comment configurer les options spécifiques à Outlook.

Pour utiliser l’étiquetage obligatoire pour Power BI, consultez Stratégie d’étiquette obligatoire pour Power BI.

Lorsque ce paramètre de stratégie Demander aux utilisateurs d’appliquer une étiquette à leurs e-mails et documents est sélectionné, les utilisateurs affectés à la stratégie doivent sélectionner et appliquer une étiquette de confidentialité dans les scénarios suivants :

  • Spécifique au client d’étiquetage unifié Azure Information Protection :

    • Pour les documents (Word, Excel, PowerPoint) : lorsqu’un document sans texte est enregistré ou que les utilisateurs ferment le document.
    • Pour les messages électroniques (Outlook) : à l’heure où les utilisateurs envoient un message sans texte.
  • Pour obtenir des étiquettes intégrées aux applications Office :

    • Pour les documents (Word, Excel, PowerPoint) : lorsqu’un document sans texte est ouvert ou enregistré.
    • Pour les messages électroniques (Outlook) : à l’heure où les utilisateurs envoient un courrier sans texte.

Informations supplémentaires sur l’étiquetage intégré :

  • Lorsque les utilisateurs sont invités à ajouter une étiquette de confidentialité parce qu’ils ouvrent un document sans étiquette, ils peuvent ajouter une étiquette ou choisir d’ouvrir le document en mode lecture seule.

  • Lorsque l’étiquette obligatoire est en vigueur, les utilisateurs ne peuvent pas supprimer les étiquettes de niveau de confidentialité des documents, mais peuvent modifier une étiquette existante.

  • Quand l’étiquetage obligatoire est en vigueur, l’option Imprimer dans un PDF n’est pas disponible lorsqu’un document est étiqueté ou chiffré. Pour plus d’informations, consultez la section Prise en charge PDF sur cette page.

Pour obtenir des instructions sur l’utilisation de ce paramètre, consultez les informations sur paramètres de stratégie.

Notes

Si vous utilisez le paramètre de stratégie d’étiquette par défaut pour les documents et messages électroniques en plus de l’étiquette obligatoire :

L’étiquette par défaut a toujours la priorité sur l’étiquette obligatoire. Toutefois, pour les documents, le client d’étiquetage unifié Azure Information Protection applique l’étiquette par défaut à tous les documents sans étiquettes, tandis que l’étiquette intégrée applique l’étiquette par défaut aux nouveaux documents et non aux documents existants sans étiquettes. Cette différence de comportement signifie que lorsque vous utilisez l’étiquetage obligatoire avec le paramètre d’étiquette par défaut, les utilisateurs sont probablement invités à appliquer une étiquette de confidentialité plus souvent lorsqu’ils utilisent l’étiquetage intégré que lorsqu’ils utilisent le client d’étiquetage unifié Azure Information Protection.

Déploiement en cours : applications Office qui utilisent l’étiquetage intégré et prennent en charge une étiquette par défaut pour les documents existants. Pour plus d’informations, consultez le tableau des fonctionnalités pour Word, Excel et PowerPoint.

Options spécifiques à Outlook pour l’étiquetage par défaut et l’étiquetage obligatoire

Pour l’étiquetage intégré, identifiez les versions minimales d’Outlook qui prennent en charge ces fonctionnalités à l’aide du tableau des fonctionnalités pour Outlook sur cette page, et la ligne Paramètres différents pour l’étiquette par défaut et l’étiquetage obligatoire. Toutes les versions du client d’étiquetage unifié Azure Information Protection prennent en charge ces options spécifiques à Outlook.

Lorsque l’application Outlook prend en charge un paramètre d’étiquette par défaut différent du paramètre d’étiquette par défaut des documents :

  • Dans la configuration de la stratégie d’étiquette à partir du Centre de conformité Microsoft 365, dans la page Appliquer une étiquette par défaut aux e-mails : vous pouvez spécifier votre choix d’étiquette de confidentialité qui sera appliquée à tous les e-mails sans étiquette, ou aucune étiquette par défaut. Ce paramètre est indépendant du paramètre Appliquer cette étiquette par défaut aux documents dans la page de configuration précédente des Paramètres de stratégie pour les documents.

Lorsque l’application Outlook ne prend pas en charge un paramètre d’étiquette par défaut différent du paramètre d’étiquette par défaut pour les documents : Outlook utilise toujours la valeur que vous spécifiez pour Appliquer cette étiquette par défaut aux documents dans la page de configuration de stratégie des Paramètres de stratégie pour les documents.

Lorsque l’application Outlook prend en charge la désactivation de l’étiquetage obligatoire :

  • Dans la configuration de la stratégie d’étiquette à partir du Centre de conformité Microsoft 365, dans la page Paramètres de stratégie : sélectionnez Demander aux utilisateurs d’appliquer une étiquette à leurs e-mails ou documents. Sélectionnez ensuite Suivant > Suivant, puis décochez la case Demander aux utilisateurs d’appliquer une étiquette à leurs e-mails. Laissez la case cochée si vous souhaitez que l’étiquetage obligatoire s’applique aux e-mails et aux documents.

Lorsque l’application Outlook ne prend pas en charge la désactivation de l’étiquetage obligatoire : si vous sélectionnez Demander aux utilisateurs d’appliquer une étiquette à leurs e-mails ou documents en tant que paramètre de stratégie, Outlook invite toujours les utilisateurs à sélectionner une étiquette pour les e-mails sans étiquette.

Notes

Si vous avez configuré les paramètres avancés PowerShell OutlookDefaultLabel et DisableMandatoryInOutlook à l’aide des cmdlets Set-LabelPolicy ou New-LabelPolicy :

Les valeurs que vous avez choisies pour ces paramètres PowerShell sont reflétées dans la configuration de la stratégie d’étiquette dans le portail de conformité Microsoft Purview, et elles fonctionnent automatiquement pour les applications Outlook qui prennent en charge ces paramètres. Les autres paramètres avancés de PowerShell restent pris en charge pour le client d’étiquetage unifié Azure Information Protection uniquement.

Configurer une étiquette pour appliquer la protection S/MIME dans Outlook

Notes

Cette fonctionnalité est en cours de déploiement pour l’étiquetage intégré. Identifiez les versions minimales d’Outlook qui prennent en charge cette fonctionnalité à l’aide du tableau des fonctionnalités d’Outlook sur cette page et de la ligne Appliquer la protection S/MIME.

Si vous configurez une étiquette pour appliquer la protection S/MIME mais que l’application Outlook ne la prend pas encore en charge, l’étiquette est toujours affichée dans Outlook et peut être appliquée, mais les paramètres S/MIME sont ignorés. Vous ne pourrez pas sélectionner cette étiquette pour les stratégies d’étiquetage automatique Exchange.

Cette configuration n’est pas disponible dans le Centre de conformité Microsoft Purview. Vous devez utiliser les paramètres avancés PowerShell avec la cmd Set-Label ou New-Label après vous être connecté à Office 365 Centre de sécurité et de conformité PowerShell.

Utilisez ces paramètres uniquement lorsque vous disposez d’un déploiement S/MIME opérationnel et que vous souhaitez qu’une étiquette applique automatiquement cette méthode de protection pour les e-mails plutôt que la protection par défaut qui utilise Rights Management chiffrement à partir de Azure Information Protection. La protection obtenue est la même que lorsqu’un utilisateur sélectionne manuellement les options S/MIME dans Outlook.

Configuration Clé/valeur de paramètre avancée
Signature numérique S/MIME SMimeSign="True"
Chiffrement S/MIME SMimeEncrypt="True"

L’étiquette que vous configurez pour ces paramètres n’a pas besoin d’être configurée pour le chiffrement dans le portail de conformité. Mais si c’est le cas, la protection S/MIME remplace le chiffrement Rights Management uniquement dans Outlook. Pour les autres applications, l’étiquette applique les paramètres de chiffrement spécifiés dans le portail de conformité Microsoft Purview.

Exemples de commandes PowerShell, où le GUID de l’étiquette de confidentialité est 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Pour plus d’informations sur la spécification des paramètres avancés de PowerShell, consultez Conseils PowerShell pour la spécification des paramètres avancés.

Prise en charge du format PDF

Pour l’étiquetage intégré, utilisez les tables de la section Fonctionnalités de cette page pour identifier les versions minimales prises en charge. Le client d’étiquetage unifié Azure Information Protection ne prend pas en charge les PDF dans les applications Office.

Word, Excel et PowerPoint prennent en charge les méthodes suivantes pour convertir un document Office en document PDF :

  • Fichier > Enregistrer sous > PDF
  • Fichier > Exporter > PDF
  • Partager > Envoyer une copie > PDF

Cette action est enregistrée avec l’événement d’audit de fichier renommé à partir du groupe d’audit Des activités de fichier et de page. Dans les résultats de la recherche d’audit dans le portail de conformité, vous verrez les détails de cet événement d’audit afficher SensitivityLabeledFileRenamed pour le champ Activité .

Lorsque le fichier PDF est créé, il hérite de l’étiquette avec les marquages de contenu et le chiffrement. Les fichiers PDF chiffrés peuvent être ouverts avec Microsoft Edge sur Windows ou Mac. Pour obtenir plus d’informations et connaître des lecteurs alternatifs, consultez Quels lecteurs PDF sont pris en charge pour les PDF protégés ?

Scénarios PDF non pris en charge :

  • Imprimer au format PDF

    Si les utilisateurs sélectionnent cette option, ils sont avertis que le document perdra la protection de l’étiquette et le chiffrement (s’il est appliqué) et doivent confirmer s’ils veulent continuer. Si votre stratégie d’étiquette de confidentialité requiert une justification pour supprimer une étiquette ou réduire sa classification, cette invite s’affiche.

    Étant donné que cette option supprime l’étiquette de confidentialité, cette option ne sera pas disponible pour les utilisateurs si vous utilisez l’étiquetage obligatoire. Cette configuration fait référence au paramètre de stratégie d’étiquette de confidentialité qui oblige les utilisateurs à appliquer une étiquette à leurs e-mails et documents.

  • Format PDF/A et chiffrement

    Ce format PDF conçu pour l’archivage à long terme n’est pas pris en charge lorsque l’étiquette applique le chiffrement et empêche les utilisateurs de convertir des documents Office au format PDF. Pour plus d’informations sur la configuration, consultez la documentation stratégie de groupe relative à l’application de la conformité PDF à la norme ISO 19005-1 (PDF/A).

  • Protection par mot de passe et chiffrement

    L’option Fichier > Info > Protéger le document > Chiffrer avec mot de passe n’est pas prise en charge lorsque l’étiquette du document applique un chiffrement. Dans ce scénario, l’option Chiffrer avec mot de passe devient indisponible pour les utilisateurs.

Pour plus d’informations sur cette fonctionnalité, consultez l’annonce Appliquer des étiquettes de confidentialité aux fichiers PDF créés avec les applications Office.

Audit des activités d’étiquetage

Pour plus d’informations sur les événements d’audit générés par les activités des étiquettes de sensibilité, consultez la section d’activités des étiquettes de confidentialité dans le journal d’audit du Centre de conformité.

Ces informations d’audit sont visuellement représentées dans l’ explorateur de contenu et l’explorateur d’activités pour vous aider à comprendre comment vos étiquettes de niveau de confidentialité sont utilisées et où se trouve ce contenu étiqueté.

Vous pouvez également créer des rapports personnalisés avec le logiciel SIEM (Security Information and Event Management) de votre choix lorsque vous exporter et configurer les enregistrements du journal d’audit. Pour obtenir des solutions de création de rapports à plus grande échelle, consultez la référence de l’API Activité de gestion Office 365.

Documentation de l’utilisateur final