FAQ sur le chiffrement des messages

Microsoft Purview Message Encryption combine des fonctionnalités de chiffrement des e-mails et de gestion des droits. Les fonctionnalités de gestion des droits sont optimisées par Azure Information Protection.

Vous pouvez utiliser Microsoft Purview Message Encryption dans les conditions suivantes :

• Si vous n’avez pas configuré le chiffrement des messages Office 365 (OME) ou la gestion des droits relatifs à l’information (IRM) pour Exchange.

• Si vous configurez OME et IRM, vous pouvez suivre ces étapes si vous utilisez également le service Azure Rights Management d’Azure Information Protection.

• Si vous utilisez Exchange avec le service Active Directory Rights Management (AD RMS), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection . Une fois la migration terminée, vous pouvez configurer microsoft Purview Message Encryption.

  Si vous choisissez de continuer à utiliser AD RMS local avec Exchange au lieu de migrer vers Azure Information Protection, vous ne pouvez pas utiliser Microsoft Purview Message Encryption.

Pour utiliser microsoft Purview Message Encryption, vous avez besoin de l’un des plans suivants :

• Microsoft Purview Message Encryption est proposé dans le cadre d’Office 365 Entreprise E3 et E5, Microsoft 365 Entreprise E3 et E5, Microsoft 365 Business Premium, Office 365 A1, A3 et A5 et Office 365 Government G3 et G5. Vous n’avez pas besoin de licences supplémentaires pour recevoir les nouvelles fonctionnalités de protection optimisées par Azure Information Protection.

• Vous pouvez également ajouter Azure Information Protection Plan 1 aux plans suivants pour recevoir microsoft Purview Message Encryption : Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Entreprise E1.

• Chaque utilisateur bénéficiant de Microsoft Purview Message Encryption a besoin d’une licence pour utiliser le chiffrement des messages.

• Pour obtenir la liste complète, consultez les descriptions du service Exchange pour Microsoft Purview Message Encryption.

Oui. Microsoft vous recommande de suivre les étapes de configuration de BYOK avant de configurer Microsoft Purview Message Encryption.

Pour plus d’informations sur BYOK, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Non. Microsoft Purview Message Encryption et l’option permettant de fournir et de contrôler vos propres clés de chiffrement, appelées BYOK, à partir d’Azure Information Protection n’ont pas été conçus pour répondre aux assignations des forces de l’ordre. OME, avec BYOK pour Azure Information Protection, a été conçu pour les organisations axées sur la conformité. Microsoft prend au sérieux les demandes de données client. En tant que fournisseur de services cloud, nous défendons toujours la confidentialité de vos données. Dans le cas où nous obtenons une assignation, nous essayons toujours de rediriger la demande directement vers vous pour obtenir les informations. (Lisez le blog de Brad Smith : Protecting customer data from government snooping). Nous publions régulièrement des informations détaillées sur la demande que nous recevons. Pour plus d’informations sur les demandes de données non-Microsoft, consultez Répondre aux demandes gouvernementales et d’application de la loi pour accéder aux données client sur le Centre de gestion de la confidentialité Microsoft. Consultez également « Divulgation des données client » dans les Conditions des services en ligne (OST).

Microsoft Purview Message Encryption est une évolution des solutions OME existantes et IRM existantes. Le tableau suivant fournit plus de détails.

Comparaison des chiffrements de messages OME, IRM et Microsoft Purview hérités

Consultez Configurer le chiffrement des messages Microsoft Purview.

Le chiffrement de messages Office 365 (OME) a été déconseillé le 1er juillet 2023. Il est automatiquement remplacé par Microsoft Purview Message Encryption. Si vous avez une boîte aux lettres d’expéditeur active, vous pouvez toujours afficher le courrier à partir d’OME.

Non. Si vous utilisez Exchange Online avec Active Directory Rights Management Service (AD RMS), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection .

Les utilisateurs locaux peuvent envoyer des messages chiffrés à l’aide des règles de flux de messagerie Exchange Online. Vous devez acheminer le courrier électronique via Exchange. Pour plus d’informations, consultez Partie 2 : Configurer le courrier pour le flux de votre serveur de messagerie vers Microsoft 365.

Vous pouvez créer des messages protégés à partir d’Outlook 2016, d’Outlook 2013 pour Windows et Mac et d’Outlook sur le web. Pour plus d’informations sur l’envoi de messages chiffrés, voir Envoyer, afficher et répondre à des messages chiffrés dans Outlook pour PC.

Les utilisateurs de Microsoft 365 peuvent lire et répondre à partir d’Outlook pour Windows et Mac (2013 et 2016), Outlook sur le web et Outlook mobile (Android et iOS). Vous pouvez également utiliser le client de messagerie natif iOS si votre organisation l’autorise. Si vous n’êtes pas un utilisateur de Microsoft 365, vous pouvez lire et répondre aux messages chiffrés sur le web via votre navigateur web.

Les utilisateurs de Microsoft 365 peuvent utiliser Outlook pour PC versions 2019 et Microsoft 365 pour créer un courrier protégé par la stratégie de chiffrement uniquement. Les messages auxquels la stratégie de chiffrement uniquement est appliquée peuvent être lus directement dans Outlook sur le web, outlook pour iOS et Android, et Outlook pour PC versions 2019 et Microsoft 365.

Oui. La taille maximale des messages que vous pouvez envoyer avec Microsoft Purview Message Encryption, y compris les pièces jointes, est de 25 Mo. Pour plus d’informations, consultez Limites des messages.

Oui. Dans certains cas où des connecteurs sont configurés , tels qu’un déploiement exchange hybride, lorsque vous incluez des destinataires sur la ligne cci , les destinataires de cci sont supprimés avant que le courrier ne soit chiffré. La meilleure pratique consiste à passer à un exchange Online ou à placer tous les destinataires dans les champs À : ou CC .

Le portail de messages chiffrés prend uniquement en charge la messagerie. Le portail ne prend pas en charge les autres types de messages tels que le calendrier ou la messagerie vocale.

Vous pouvez joindre n’importe quel type de fichier à un courrier protégé. Les stratégies de protection sont appliquées uniquement à un sous-ensemble des formats de fichier mentionnés dans Types de fichiers pris en charge. Microsoft Purview Message Encryption prend uniquement en charge les extensions de fichiers Office suivantes :

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview Message Encryption ne prend pas en charge les versions 97-2003 des programmes Office suivants : Word (.doc), Excel (.xls) et PowerPoint (.ppt).

La protection est héritée du courrier aux pièces jointes non chiffrées uniquement. Si un format de fichier est pris en charge, tel qu’un fichier Word, Excel ou PowerPoint, le fichier est toujours protégé, même après que le destinataire a téléchargé la pièce jointe. Par exemple, supposons qu’une pièce jointe soit protégée par Ne pas transférer. Le destinataire d’origine télécharge le fichier, crée un message à un nouveau destinataire et joint le fichier. Lorsque le nouveau destinataire reçoit le fichier, il ne peut pas l’ouvrir.

La réponse courte est oui ! S’il est activé dans Exchange Online, le chiffrement PDF vous permet de protéger les documents PDF sensibles joints aux e-mails. Lorsque vous envoyez un e-mail, le service Office 365 chiffre les pièces jointes pdf pour Outlook sur le web, Outlook pour Mac, Outlook pour iOS et Outlook pour Android. Vous pouvez chiffrer des fichiers PDF que vous envoyez sans aucune autre étape.

Outlook 64 bits prend en charge en mode natif le chiffrement des pièces jointes pdf, contrairement à Outlook 32 bits. Si vous utilisez Outlook 32 bits, vous devez d’abord configurer des règles de flux de messagerie Exchange ou des stratégies DLP pour appliquer le chiffrement aux pièces jointes PDF. Lorsque vous envoyez un courrier non chiffré à partir d’Outlook Desktop avec une pièce jointe PDF, le client envoie d’abord le message avec la pièce jointe au service. Lorsque le service reçoit le courrier non chiffré, il applique la protection microsoft Purview Message Encryption par le biais de la stratégie de protection contre la perte de données (DLP) ou de la règle de flux de courrier dans Exchange Online. Ensuite, Exchange Online chiffre le message et la pièce jointe au fichier PDF.

Pour activer le chiffrement des pièces jointes PDF, exécutez la commande suivante dans Exchange Online PowerShell :

Set-IRMConfiguration -EnablePdfEncryption $true

Le chiffrement PDF vous permet de protéger les documents PDF sensibles par le biais d’une communication sécurisée ou d’une collaboration sécurisée. Pour tous les clients Outlook, les messages et les pièces jointes PDF non protégées héritent de la protection microsoft Purview Message Encryption de la stratégie de protection contre la perte de données (DLP) ou de la règle de flux de courrier dans Exchange Online. En outre, si un utilisateur Outlook sur le web joint un document PDF non protégé et applique une protection au message, le message hérite de la protection du message. Les utilisateurs peuvent uniquement ouvrir les pièces jointes chiffrées dans les applications qui prennent en charge les fichiers PDF protégés (par exemple, le portail de messages chiffrés et la visionneuse Azure Information Protection).

Not yet. Les pièces jointes SharePoint ou OneDrive ne sont pas prises en charge. Vous pouvez chiffrer un message électronique, mais pas les pièces jointes cloud.

Lorsque les pièces jointes sont protégées par un courrier protégé, vous pouvez afficher un aperçu des documents directement à l’aide de clients Outlook. Outlook prend en charge la préversion des documents Office (docx, xlsx, pptx, doc, xls, ppt). Outlook sur le web prend en charge la préversion des documents Office (docx, xlsx, pptx) et PDF.

Outlook sur le web prend en charge la révocation du courrier protégé. Pour plus d’informations, consultez Comment révoquer un message chiffré que vous avez envoyé .

Le portail de messages chiffrés prend en charge l’aperçu de toutes les copies de pièces jointes chiffrées ajoutées au courrier chiffré. Les types de fichiers de prise en charge incluent les fichiers Word, Excel, PowerPoint et PDF.

Oui. Utilisez des règles de flux de messagerie dans Exchange Online pour chiffrer automatiquement un message en fonction de certaines conditions. Par exemple, vous pouvez créer des stratégies basées sur l’ID de destinataire, le domaine du destinataire ou sur le contenu dans le corps ou l’objet du message. Voir Définir des règles de flux de courrier pour chiffrer les messages électroniques dans Office 365.

Les administrateurs peuvent configurer une règle de flux de courrier pour supprimer le chiffrement des messages sortants. Vous pouvez uniquement configurer une règle pour supprimer le chiffrement des messages entrants provenant de votre organisation Exchange Online.

Pour une boîte aux lettres Exchange Online, les administrateurs doivent activer le déchiffrement du journal et configurer une règle de journalisation Exchange Online pour générer une copie déchiffrée du courrier dans la boîte aux lettres de journalisation. La règle de journalisation accepte tout courrier ou pièce jointe qui a un chiffrement et envoie l’original ainsi qu’une copie déchiffrée dans la boîte aux lettres de journalisation. Vous pouvez uniquement configurer une règle de journalisation qui peut déchiffrer le courrier ou les pièces jointes lorsque l’élément chiffré provient de votre organisation.
Pour activer la journalisation Exchange Online :

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Oui. Vous pouvez configurer des règles de flux de courrier dans Exchange Online ou à l’aide de DLP dans le portail de conformité Microsoft Purview.

Oui, pour les messages envoyés à partir d’une boîte aux lettres Exchange Online dans votre organisation ! Pour plus d’informations sur la personnalisation des messages électroniques et le portail des messages chiffrés, consultez Ajouter la marque de votre organisation à vos messages chiffrés.

Les journaux d’activité du portail de messages chiffrés capturent uniquement les événements pour les destinataires externes en accédant aux portails de messages chiffrés. Les activités des clients de messagerie déclenchées par des destinataires externes ne sont pas enregistrées. Pour les destinataires internes, consultez l’action d’audit de boîte aux lettres MailItemsAccessed dans Purview Audit (Premium) - Journaux d’accès aux éléments de messagerie.

Il existe un rapport de chiffrement dans le portail de conformité Microsoft Purview. Consultez Afficher les rapports de sécurité des e-mails dans le portail de conformité Microsoft Purview.

Oui, la plupart des messages protégés par Microsoft Purview Message Encryption sont détectables. Le courrier protégé microsoft Purview Message Encryption que vous recevez d’une autre organisation Microsoft 365 dont la personnalisation est appliquée par le biais d’une règle de flux de courrier n’est pas détectable par votre service eDiscovery. En d’autres termes, si le courrier n’est pas accessible via la boîte aux lettres de l’utilisateur, mais qu’il n’est exposé que par le biais d’un lien vers le portail des messages chiffrés, le courrier ne peut pas faire l’objet d’une recherche. Pour plus d’informations, consultez activités eDiscovery qui prennent en charge les éléments chiffrés .

Lorsqu’un message électronique correspond à une règle de flux de messagerie de chiffrement, Exchange chiffre le message qui l’envoie.

Oui. Vous pouvez ouvrir des messages chiffrés pour une boîte aux lettres partagée. Lorsque le courrier est envoyé à partir de la même organisation, vous pouvez ouvrir le courrier lorsque vous êtes connecté à un client Outlook pris en charge. Si le courrier est envoyé à partir d’une organisation externe, vous devez utiliser Outlook sur le web.

• Les utilisateurs peuvent ouvrir des messages protégés dans une boîte aux lettres partagée où la boîte aux lettres partagée a reçu un courrier protégé dans le cadre d’un groupe de distribution.

• Les utilisateurs peuvent afficher les pièces jointes qui héritent de la protection du courrier électronique lorsqu’ils utilisent Outlook pour Windows, Outlook pour Mac, Outlook pour Android, Outlook pour iOS et Outlook sur le web.

Le tableau suivant répertorie les clients pris en charge pour les boîtes aux lettres partagées.

Il existe actuellement deux limitations connues :

• Vous ne pouvez pas ouvrir les pièces jointes aux e-mails que vous recevez sur les appareils mobiles à l’aide d’Outlook Mobile.

• Il existe deux façons d’autoriser un utilisateur à afficher le courrier chiffré directement dans Outlook 32 bits :

  1. Affectez directement un utilisateur à la boîte aux lettres partagée, avec les autorisations d’accès complet et le mappage automatique activés. Pour Outlook 64 bits, les utilisateurs n’ont pas besoin d’être directement affectés à la boîte aux lettres. Le mappage automatique est activé par défaut pour Exchange.
  2. Affectez un groupe de sécurité à extension messagerie à une boîte aux lettres partagée. Cette méthode nécessite Outlook version 2402 et prend uniquement en charge les messages générés après juin 2024.

Pour affecter un utilisateur à une boîte aux lettres partagée

1. Connectez-vous à Exchange Online PowerShell.

2. Exécutez l’applet de Add-MailboxPermission commande avec le Automapping paramètre . Cet exemple accorde à Ayla l’autorisation d’accès complet à une boîte aux lettres de prise en charge.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Pour affecter un groupe de sécurité à extension messagerie à la boîte aux lettres partagée

Pour utiliser cette méthode, vous devez chiffrer les messages avec les options de protection Ne pas transférer ou Chiffrer uniquement . Seuls les messages lancés par la boîte aux lettres partagée ou les messages envoyés au sein d’une organisation peuvent être ouverts.

1. Connectez-vous à Exchange Online PowerShell.

2. Exécutez l’applet Add-MailboxPermission de commande pour affecter le groupe de sécurité. L’exemple suivant donne au groupe de sécurité de la réception Contoso l’autorisation d’accès complet à une boîte aux lettres de support.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Lorsque les délégués disposent d’une autorisation d’accès complet à la boîte aux lettres d’un utilisateur, l’accès délégué au courrier chiffré est pris en charge dans Outlook sur le web, Outlook pour Mac, Outlook pour iOS et Outlook pour Android. Outlook pour Windows ne prend pas en charge l’accès délégué.

Vous pouvez vous connecter au portail des messages chiffrés pour récupérer les messages tant que l’organisation de l’expéditeur est active et que le courrier n’est pas configuré pour expirer.

Tout d’abord, vérifiez le dossier courrier indésirable ou courrier indésirable dans votre client de messagerie. Les paramètres DKIM et DMARC de votre organisation peuvent entraîner le filtrage de ces e-mails en tant que courrier indésirable.

Ensuite, vérifiez la mise en quarantaine dans le portail de conformité. Souvent, les messages contenant un code de passe à usage unique, en particulier les premiers reçus par votre organisation, se retrouvent en quarantaine.