Activation du service de protection à partir d’Azure Information Protection

  • Article

Cet article décrit comment les administrateurs peuvent activer le service de protection Azure Rights Management pour Azure Information Protection (AIP). Lorsque le service de protection est activé pour votre organisation, les administrateurs et les utilisateurs peuvent commencer à protéger les données importantes à l’aide d’applications et de services qui prennent en charge cette solution de protection des informations. Les administrateurs peuvent également gérer et surveiller les documents et e-mail protégés de votre organisation.

Ces informations de configuration dans cet article sont destinées aux administrateurs responsables d’un service qui s’applique à tous les utilisateurs d’une organisation. Si vous recherchez des informations et une aide utilisateur sur l’utilisation des fonctionnalités de Rights Management pour une application spécifique ou sur l’ouverture d’un fichier ou e-mail protégé par des droits, utilisez l’aide et les conseils qui accompagnent votre application.

Pour le support technique et d’autres questions sur le service, consultez les informations dans Options de support technique et ressources de la communauté.

Activation automatique pour Azure Rights Management

Lorsque vous disposez d’un plan de service qui inclut Azure Rights Management, vous n’avez peut-être pas besoin d’activer le service :

  • Si votre abonnement incluant Azure Rights Management ou Azure Information Protection a été obtenu à la fin de février 2018 ou version ultérieure : le service est automatiquement activé pour vous. Vous n’avez pas à activer le service, sauf si vous ou un autre administrateur global pour votre organisation a désactivé Azure Rights Management.

  • Si votre abonnement incluant Azure Rights Management ou Azure Information Protection a été obtenu avant ou pendant février 2018 : Microsoft active le service Azure Rights Management pour ces abonnements si votre locataire utilise Exchange Online. Pour ces abonnements, le service est activé pour vous, sauf si vous voyez que AutomaticServiceUpdateEnabled a la valeur false lorsque vous exécutez Get-IRMConfiguration.

Si aucun des scénarios répertoriés ne s’applique à vous, vous devez activer manuellement le service de protection.

Comment activer ou confirmer l’état du service de protection

Important

N’activez pas le service de protection si vous avez déployé Active Directory Rights Management Services (AD RMS) pour votre organisation. Plus d’informations

Pour activer le service de protection, votre organisation doit avoir un plan de service qui inclut le service Azure Rights Management à partir d’Azure Information Protection. Pour plus d’informations, consultez les conseils de licence Microsoft 365 pour la conformité de la sécurité&.

Lorsque le service de protection est activé, tous les utilisateurs de votre organisation peuvent appliquer la protection des informations à leurs documents et e-mails, et tous les utilisateurs peuvent ouvrir (consommer) des documents et des e-mails protégés par ce service. Toutefois, si vous préférez, vous pouvez restreindre les personnes autorisées à appliquer la protection des informations, en utilisant des contrôles d'intégration pour un déploiement échelonné. Pour plus d’informations, consultez la section Configuration de contrôles d’intégration pour un déploiement échelonné de cet article.

Activer la protection via PowerShell

Vous devez utiliser PowerShell pour activer le service de protection Rights Management (Azure RMS). Vous ne pouvez plus activer ou désactiver ce service à partir du Portail Azure.

  1. Installez le module AIPService pour configurer et gérer le service de protection. Pour obtenir des instructions, consultez Installation du module PowerShell AIPService.

  2. À partir d’une session PowerShell, exécutez Connect-AipService et, lorsque vous y êtes invité, fournissez les détails du compte Administrateur général pour votre locataire Azure Information Protection.

  3. Exécutez Get-AipService pour vérifier si le service de protection est activé. L’état Activé confirme l’activation tandis que l’état Désactivé indique que le service est désactivé.

  4. Pour activer le service, exécutez Enable-AipService.

Configuration de contrôles d'intégration pour un déploiement échelonné

Si vous ne souhaitez pas que tous les utilisateurs puissent protéger immédiatement les documents et les e-mails à l’aide d’Azure Information Protection, vous pouvez configurer les contrôles d’intégration des utilisateurs à l’aide de la commande Set-AipServiceOnboardingControlPolicy PowerShell. Vous pouvez exécuter cette commande avant ou après avoir activé le service Azure Rights Management.

Par exemple, si vous souhaitez initialement que seuls les administrateurs du groupe « Département informatique » (dont l'ID d'objet est fbb99ded-32a0-45f1-b038-38b519009503) puissent protéger du contenu à des fins de test, utilisez la commande suivante :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Notez que pour cette option de configuration, vous devez spécifier un groupe. Vous ne pouvez pas spécifier des utilisateurs individuels. Pour obtenir l’ID d’objet du groupe, vous pouvez utiliser Azure AD PowerShell. Par exemple, pour la version 1.0 du module, utilisez la commande Get-MsolGroup. Vous pouvez aussi copier la valeur ID d’objet du groupe à partir du portail Azure.

Si vous voulez que seuls les utilisateurs disposant d’une licence appropriée pour utiliser Azure Information Protection puissent protéger du contenu :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Quand vous n’avez plus besoin d’utiliser des contrôles d’intégration, que vous ayez utilisé l’option de groupe ou de gestion des licences, exécutez :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Pour plus d’informations sur cette applet de commande et des exemples supplémentaires, consultez l’aide Set-AipServiceOnboardingControlPolicy .

Lorsque vous utilisez ces contrôles d'intégration, tous les utilisateurs de l'organisation peuvent toujours consommer du contenu protégé par votre sous-ensemble d'utilisateurs, mais ils ne peuvent pas appliquer la protection des informations à eux-mêmes à partir d'applications clientes. Les applications côté serveur, telles que Exchange, peuvent implémenter leurs propres contrôles par utilisateur pour obtenir le même résultat. Par exemple, pour empêcher les utilisateurs de protéger des e-mails dans Outlook sur le web, utilisez Set-OwaMailboxPolicy pour définir le paramètre IRMEnabled sur $false.

Étapes suivantes

Maintenant que le service de protection est activé pour votre organisation, les applications et les services peuvent appliquer le chiffrement pour vous aider à protéger vos données. L’une des façons les plus simples d’appliquer le chiffrement consiste à utiliser des étiquettes de confidentialité de Protection des données Microsoft Purview.