Déchiffrement des eDiscovery (préversion)
Le chiffrement est une partie importante de votre stratégie de protection des fichiers et de protection des informations. Les organisations de tous types utilisent la technologie de chiffrement pour protéger le contenu sensible au sein de leur organization et s’assurer que seules les personnes appropriées ont accès à ce contenu.
Pour exécuter des tâches eDiscovery courantes (préversion) sur du contenu chiffré, les gestionnaires eDiscovery doivent déchiffrer le contenu des messages électroniques lors de l’exportation à partir de cas eDiscovery. Le contenu chiffré avec les technologies de chiffrement Microsoft n’était pas disponible pour révision avant l’exportation.
Pour faciliter la gestion du contenu chiffré dans le flux de travail eDiscovery, les outils eDiscovery intègrent désormais le déchiffrement des fichiers chiffrés joints aux messages électroniques et envoyés dans Exchange Online.1 En outre, les documents chiffrés stockés dans SharePoint et OneDrive sont déchiffrés lorsque les fonctionnalités eDiscovery Premium sont activées2.
Avant cette fonctionnalité, seul le contenu d’un e-mail protégé par la gestion des droits (et non les fichiers joints) était déchiffré. Les documents chiffrés dans SharePoint et OneDrive n’ont pas pu être déchiffrés pendant le flux de travail eDiscovery. Désormais, les fichiers chiffrés à l’aide d’une technologie de chiffrement Microsoft se trouvent sur un compte SharePoint ou OneDrive peuvent faire l’objet d’une recherche et sont déchiffrés lorsque les résultats de la recherche sont préparés pour la préversion, ajoutés à un jeu de révision et exportés. En outre, les documents chiffrés dans SharePoint et OneDrive qui sont joints à un e-mail (sous forme de copie) peuvent faire l’objet d’une recherche. Cette fonctionnalité de déchiffrement permet aux gestionnaires d’eDiscovery d’afficher le contenu des pièces jointes et des documents de site chiffrés lors de l’aperçu des résultats de recherche, et de les examiner une fois qu’ils ont été ajoutés à un jeu de révision lorsque les fonctionnalités eDiscovery Premium sont activées.
Conseil
Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Configuration requise pour le déchiffrement dans eDiscovery (préversion)
- Autorisations : le rôle Decrypt RMS doit vous être attribué pour afficher un aperçu, examiner et exporter des fichiers chiffrés avec les technologies de chiffrement Microsoft. Ce rôle doit également vous être attribué pour examiner et interroger les fichiers chiffrés qui sont ajoutés à un jeu de révision dans eDiscovery. Ce rôle est attribué par défaut au groupe de rôles Gestionnaire eDiscovery dans le portail Microsoft Purview. Pour plus d’informations sur le rôle Decrypt RMS, consultez Attribuer des autorisations eDiscovery.
- Exécutez l’outil de réparation de boîte de réception sur les fichiers PST exportés : une fois que vous avez exporté les fichiers PST, nous vous recommandons d’exécuter l’outil de réparation de boîte de réception (ScanPST.exe) pour diagnostiquer et réparer les erreurs dans les fichiers PST.
Technologies de chiffrement prises en charge
Pour Exchange, les outils eDiscovery prennent en charge les éléments chiffrés avec les technologies de chiffrement Microsoft. Ces technologies sont Azure Rights Management (Azure RMS)3 et Protection des données Microsoft Purview (en particulier les étiquettes de confidentialité). Pour plus d’informations sur les technologies de chiffrement Microsoft, consultez Chiffrement et les différentes options de chiffrement de courrier électronique disponibles. Le contenu chiffré par S/MIME ou des technologies de chiffrement tierces n’est pas pris en charge. Par exemple, l’aperçu ou l’exportation de contenu chiffré avec des technologies non-Microsoft n’est pas pris en charge.
Remarque
Le déchiffrement des messages électroniques envoyés avec un modèle de personnalisation Chiffrement de messages Microsoft Purview personnalisé n’est pas pris en charge par les outils Microsoft eDiscovery. Lorsque vous utilisez un modèle de personnalisation OME, les messages électroniques sont remis au portail OME au lieu de la boîte aux lettres du destinataire. Par conséquent, vous ne pourrez pas utiliser les outils eDiscovery pour rechercher des messages chiffrés, car ces messages ne sont jamais reçus par la boîte aux lettres du destinataire.
Pour SharePoint, le contenu étiqueté avec le service en ligne SharePoint est déchiffré. Les éléments étiquetés ou chiffrés dans le client avant le chargement sur SharePoint, les modèles ou paramètres RMS hérités de la bibliothèque de documents et S/MIME ou d’autres normes ne sont pas pris en charge2.
Activités eDiscovery qui prennent en charge les éléments chiffrés
Le tableau suivant identifie les tâches prises en charge qui peuvent être effectuées dans les outils eDiscovery sur les fichiers chiffrés joints à des messages électroniques et des documents chiffrés dans SharePoint et OneDrive. Ces tâches prises en charge peuvent être effectuées sur des fichiers chiffrés qui correspondent aux critères d’une recherche. La valeur indique N/A
que la fonctionnalité n’est pas disponible dans eDiscovery.
Tâche eDiscovery | eDiscovery | Fonctionnalités Premium activées |
---|---|---|
Rechercher du contenu dans des fichiers chiffrés dans des sites et des pièces jointes d’e-mail1 | Non | Oui |
Afficher un aperçu des fichiers chiffrés joints à un e-mail | Non | Oui |
Afficher un aperçu des documents chiffrés dans SharePoint et OneDrive | Non | Oui |
Examiner les fichiers chiffrés dans un jeu de révision | N/A | Oui |
Exporter des fichiers chiffrés joints à un e-mail | Oui | Oui |
Exporter des documents chiffrés dans SharePoint et OneDrive | Non | Oui |
Déchiffrement pris en charge
Le tableau suivant décrit le déchiffrement pris en charge par eDiscovery pour les e-mails, les e-mails avec pièces jointes et les fichiers hébergés par SharePoint.
Type d’élément | Tâche | eDiscovery | Fonctionnalités Premium activées |
---|---|---|---|
Message électronique chiffré | Recherche | Oui | Oui |
Message électronique chiffré | Déchiffrement en .pst | Non | Oui |
Message électronique chiffré | Déchiffrement dans le fichier | Non | Oui |
Courrier et pièce jointe chiffrés | Recherche | Non | Oui (avec indexation avancée)1 |
Courrier et pièce jointe chiffrés | Déchiffrement en .pst | Non | Oui |
Courrier et pièce jointe chiffrés | Déchiffrement dans le fichier | Non | Oui |
Fichier dans SharePoint avec l’étiquette MIP | Recherche | Non | Oui |
Fichier dans SharePoint avec l’étiquette MIP | Décryptage | Non | Oui |
Fichier dans SharePoint avec un autre chiffrement2 | Recherche, déchiffrement | Non | Non |
Importante
eDiscovery ne prend pas en charge les protocoles de chiffrement hérités.
Limitations du déchiffrement avec les e-mails et les pièces jointes
La prise en charge d’eDiscovery pour le déchiffrement des messages électroniques et des pièces jointes est soumise aux limitations suivantes :
- Le déchiffrement n’est pas pris en charge lorsque le chiffrement des e-mails ou des pièces jointes est appliqué dans un organization externe. eDiscovery prend uniquement en charge le déchiffrement des e-mails et des pièces jointes qui sont chiffrés dans votre organization.
- Lors du déchiffrement des e-mails ou des pièces jointes, le propriétaire de la boîte aux lettres dans laquelle les e-mails et pièces jointes sont inclus dans les activités eDiscovery doit avoir accès pour afficher le contenu chiffré. Le déchiffrement des e-mails ou des pièces jointes n’est pas pris en charge s’ils sont envoyés ou transférés à d’autres destinataires qui ne peuvent pas afficher le contenu chiffré. Les modifications apportées aux groupes du propriétaire ou à d’autres autorisations organization peuvent également affecter la prise en charge du déchiffrement.
Limitations du déchiffrement avec des étiquettes de confidentialité dans SharePoint et OneDrive
eDiscovery ne prend pas en charge les fichiers chiffrés dans SharePoint et OneDrive lorsqu’une étiquette de confidentialité qui a appliqué le chiffrement est configurée avec l’un des paramètres suivants :
- Les utilisateurs peuvent attribuer des autorisations lorsqu’ils appliquent manuellement l’étiquette à un document. Il s’agit parfois d’autorisations définies par l’utilisateur.
- L’accès utilisateur au document a un paramètre d’expiration défini sur une valeur autre que Jamais.
Pour plus d’informations sur ces paramètres, consultez la section « Configurer les paramètres de chiffrement » dans Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.
Les documents chiffrés avec les paramètres précédents peuvent être retournés par une recherche eDiscovery. Ce résultat peut se produire lorsqu’une propriété de document (telle que le titre, l’auteur ou la date de modification) correspond aux critères de recherche. Bien que ces documents puissent être inclus dans les résultats de recherche, ils ne peuvent pas être prévisualisés ou révisés. Ces documents restent chiffrés lorsqu’ils sont exportés lorsque les fonctionnalités Premium eDiscovery sont activées.
Importante
Le déchiffrement n’est pas pris en charge pour les fichiers qui sont chiffrés localement, puis chargés sur SharePoint ou OneDrive. Par exemple, les fichiers locaux chiffrés par le client Protection des données Microsoft Purview, puis chargés sur Microsoft 365 ne sont pas pris en charge. Seuls les fichiers chiffrés dans le service SharePoint ou OneDrive sont pris en charge pour le déchiffrement.
Déchiffrement des messages électroniques protégés par RMS et des pièces jointes chiffrées à l’aide des fonctionnalités eDiscovery Premium
Tous les messages électroniques protégés par des droits (protégés par RMS) inclus dans les résultats d’une recherche sont déchiffrés lorsque vous les exportez. Cette fonctionnalité de déchiffrement est activée par défaut pour les membres du groupe de rôles Gestionnaire eDiscovery. Cela est dû au fait que le rôle de gestion de déchiffrement RMS est attribué à ce groupe de rôles par défaut.
Gardez les éléments suivants à l’esprit lors de l’exportation de messages électroniques et de pièces jointes chiffrés :
- Si vous activez le déchiffrement des messages protégés par RMS lorsque vous les exportez, vous devez exporter les résultats de la recherche en tant que messages individuels pour prendre en charge le déchiffrement.
- Les pièces jointes chiffrées séparément d’un e-mail ne sont pas déchiffrées. Par exemple, si un utilisateur chiffre un document Word, puis s’attache à un message électronique qui n’est pas chiffré, cette pièce jointe n’est pas déchiffrée.
- Les pièces jointes chiffrées dans le cadre du chiffrement du message électronique associé sont déchiffrées. Par exemple, si un utilisateur crée un e-mail, joint un document Word non chiffré, puis chiffre le message (y compris la pièce jointe), cette pièce jointe est déchiffrée.
- Les messages déchiffrés sont identifiés dans le rapport ResultsLog . Ce rapport contient une colonne nommée État du décodage, et la valeur Decoded identifie les messages qui ont été déchiffrés.
- Outre le déchiffrement des pièces jointes lors de l’exportation des résultats de recherche, vous pouvez également afficher un aperçu du fichier déchiffré lors de l’aperçu des résultats de la recherche. Vous ne pouvez afficher le message électronique protégé par des droits qu’après l’avoir exporté.
- Si vous devez empêcher une personne de déchiffrer les messages de protection RMS et les pièces jointes chiffrées, vous devez créer un groupe de rôles personnalisé (en copiant le groupe de rôles eDiscovery Manager intégré), puis supprimer le rôle de gestion de déchiffrement RMS du groupe de rôles personnalisé. Ajoutez ensuite la personne que vous ne souhaitez pas déchiffrer les messages en tant que membre du groupe de rôles personnalisé.
Notes
1 Les fichiers chiffrés situés sur un ordinateur local et copiés dans un e-mail ne sont pas déchiffrés et indexés pour eDiscovery. Lorsque les fonctionnalités eDiscovery Premium sont activées, les e-mails chiffrés et les pièces jointes dans la boîte aux lettres du destinataire doivent être indexés pour être déchiffrés.
2 Seuls les éléments étiquetés dans SharePoint (ou chargés sur SharePoint après l’intégration avec les étiquettes de confidentialité sont activés) et qui ont des étiquettes avec des autorisations définies par l’administrateur et aucune expiration ne sont déchiffrés. Tous les autres fichiers chiffrés dans SharePoint ne sont pas déchiffrés. Pour plus d’informations, voir Activer les étiquettes de confidentialité pour les fichiers dans SharePoint et OneDrive.
Les autres documents ne sont pas déchiffrés, notamment :
- Fichiers chiffrés dans le client et chargés avant l’intégration des étiquettes de confidentialité à SharePoint.
- Documents chiffrés avec des modèles RMS hérités et non étiquetés.
- Documents avec des autorisations définies par l’utilisateur ou avec des paramètres d’expiration (SMIME ou d’autres normes).
3 Seul le contenu chiffré avec des clés RMS hébergées dans Microsoft 365 est déchiffré de manière transparente lorsque les fonctionnalités eDiscovery Premium sont activées. Les chiffrements à double clé (DKE), HYOK (Hold Your Own Key), RMS local, etc. ne sont pas pris en charge. Pour plus d’informations, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.