Étiquetage, classification et protection d’Azure Information Protection (AIP)

  • Article

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le nouveau client Protection des données Microsoft Purview (sans complément) est actuellement en préversion et planifié pour la disponibilité générale.

Azure Information Protection (AIP) est une solution basée sur le cloud qui permet aux organisations de classer et de protéger les documents et les e-mails en appliquant des étiquettes.

Par exemple, votre administrateur peut configurer une étiquette avec des règles qui détectent des données sensibles, telles que des informations de carte de crédit. Dans ce cas, tout utilisateur qui enregistre des informations de cartes de crédit dans un fichier Word peut voir une info-bulle en haut du document avec une recommandation pour appliquer l’étiquette appropriée pour ce scénario.

Les étiquettes peuvent classifier et, éventuellement, protéger vos documents, ce qui vous permet de :

  • Suivre et contrôler la façon dont votre contenu est utilisé
  • Analyser les flux de données pour mieux comprendre votre entreprise - Détecter les comportements à risque et prendre des mesures correctives
  • Suivre l’accès aux documents et empêcher les fuites de données ou les usages abusifs
  • Et bien plus…

Comment les étiquettes appliquent la classification avec AIP

L’étiquetage de votre contenu avec AIP inclut :

  • Une Classification qui peut être détectée quel que soit l’endroit où les données sont stockées ou avec qui elles sont partagées.
  • Des Marquages visuels, tels que les en-têtes, les pieds de page ou les filigranes.
  • Les Métadonnées, qui sont ajoutées aux fichiers et aux en-têtes d'e-mails en texte clair. Les métadonnées en texte clair garantissent que d'autres services peuvent identifier la classification et prendre les mesures appropriées

Par exemple, dans l’image ci-dessous, l’étiquetage a classé un e-mail en tant que Général :

Exemple de pied de page et d’en-têtes de courrier montrant la classification d’Azure Protection des données

Dans cet exemple, l’étiquette est également :

  • Ajout d’un pied de page de Confidentialité : Général à l’e-mail. Ce pied de page indique visuellement à tous les destinataires qu'il est destiné aux données commerciales générales qui ne doivent pas être envoyées en dehors de l'organisation.
  • Métadonnées intégrées dans les en-têtes d’e-mail. Les données d’en-tête permettent aux services de messagerie d’inspecter l’étiquette et de créer théoriquement une entrée d’audit ou d’empêcher son envoi en dehors de l’organisation.

Les étiquettes peuvent être appliquées automatiquement par les administrateurs à l'aide de règles et de conditions, manuellement par les utilisateurs ou à l'aide d'une combinaison dans laquelle les administrateurs définissent les recommandations présentées aux utilisateurs.

Comment AIP protège vos données

Azure Information Protection utilise le service Azure Rights Management (Azure RMS) pour protéger vos données.

Azure RMS est intégré à d'autres services et applications cloud Microsoft, tels qu'Office 365 et Microsoft Entra ID, et peut également être utilisé avec vos propres applications et solutions de protection des informations ou celles de tierces parties. Azure RMS fonctionne avec des solutions locales et cloud.

Azure RMS utilise des stratégies de chiffrement, d’identité et d’autorisation. À l’instar des étiquettes AIP, la protection appliquée à l’aide d’Azure RMS reste avec les documents et les e-mails, quel que soit l’emplacement du document ou de l’e-mail, en vous assurant que vous conservez le contrôle de votre contenu même lorsqu’il est partagé avec d’autres personnes.

Les paramètres de protection peuvent être les suivants :

  • Une partie de votre configuration d’étiquette, afin que les utilisateurs classifient et protègent les documents et les e-mails simplement en appliquant une étiquette.

  • Utilisé seul, par des applications et des services qui prennent en charge la protection, mais pas l’étiquetage.

    Pour les applications et les services qui prennent uniquement en charge la protection, les paramètres de protection sont utilisés comme modèles Rights Management.

Par exemple, vous souhaiterez peut-être configurer un rapport ou un tableur de prévisions de ventes afin qu'il ne soit accessible qu'aux personnes de votre organisation. Dans ce cas, vous appliqueriez des paramètres de protection pour contrôler si ce document peut être modifié, le restreindre en lecture seule ou empêcher son impression.

Les e-mails peuvent avoir des paramètres de protection similaires pour les empêcher d’être transférés ou d’utiliser l’option Répondre à tous.

Modèles Rights Management

Dès que le service Azure Rights Management est activé, deux modèles de gestion des droits par défaut sont disponibles pour vous permettre de restreindre l’accès aux données aux utilisateurs de votre organisation. Utilisez ces modèles immédiatement ou configurez vos propres paramètres de protection pour appliquer des contrôles plus restrictifs dans de nouveaux modèles.

Les modèles Rights Management peuvent être utilisés avec toutes les applications ou services qui prennent en charge Azure Rights Management.

L’image suivante montre un exemple à partir du Centre d’administration Exchange, où vous pouvez configurer des règles de flux de messagerie Exchange Online pour utiliser des modèles RMS :

Exemple de sélection de modèles pour Exchange Online

Remarque

La création d’une étiquette AIP qui inclut des paramètres de protection crée également un modèle Rights Management correspondant qui peut être utilisé séparément de l’étiquette.

Pour plus d’informations, voir Qu’est-ce que Azure Rights Management ?

Intégration AIP et utilisateur final pour les documents et les e-mails

Le client AIP installe la barre de protection des informations sur les applications Office et permet aux utilisateurs finaux d'intégrer AIP à leurs documents et e-mails.

Par exemple, dans Excel :

Exemple de barre d’Protection des données Azure dans Excel

Bien que les étiquettes puissent être appliquées automatiquement aux documents et aux e-mails, en supprimant les estimations pour les utilisateurs ou en respectant les stratégies d’une organisation, la barre de protection des données permet aux utilisateurs finaux de sélectionner des étiquettes et d’appliquer leur propre classification.

De plus, le client AIP permet aux utilisateurs de classifier et de protéger des types de fichiers supplémentaires ou plusieurs fichiers à la fois, à l'aide du menu contextuel de l'Explorateur de fichiers Windows. Par exemple :

Explorateur de fichiers cliquez avec le bouton droit sur Classifier et protéger à l’aide d’Azure Protection des données

L’option de menu Classifier et protéger fonctionne de la même façon que la barre de protection des données dans les application Office, ce qui permet aux utilisateurs de sélectionner une étiquette ou de définir des autorisations personnalisées.

Conseil

Les utilisateurs ou administrateurs Power peuvent constater que les commandes PowerShell sont plus efficaces pour gérer et définir la classification et la protection pour plusieurs fichiers. Les commandes PowerShell pertinentes sont incluses avec le client et peuvent également être installées séparément.

Les utilisateurs et les administrateurs peuvent utiliser des sites de suivi de documents pour surveiller les documents protégés, surveiller qui y accède et quand. S’ils soupçonnent un usage abusif, ils peuvent également révoquer l’accès à ces documents. Par exemple :

Icône Révoquer l’accès dans le site de suivi des documents

Intégration supplémentaire pour l’e-mail

L’utilisation d’AIP avec Exchange Online offre l’avantage supplémentaire d’envoyer des e-mails protégés à n’importe quel utilisateur, avec l’assurance qu’il peut le lire sur n’importe quel appareil.

Par exemple, vous devrez peut-être envoyer des informations sensibles à des adresses de messagerie personnelles qui utilisent un compte Gmail, Hotmail ou Microsoft, ou aux utilisateurs qui n’ont pas de compte dans Office 365 ou Microsoft Entra ID. Ces e-mails doivent être chiffrés au repos et en transit, et être lus uniquement par les destinataires d’origine.

Ce scénario nécessite les fonctionnalités de chiffrement de messages d'Office 365. Si les destinataires ne peuvent pas ouvrir l’e-mail protégé dans leur client de messagerie intégré, ils peuvent utiliser un code secret à usage unique pour lire les informations sensibles dans un navigateur.

Par exemple, un utilisateur Gmail peut voir l’invite suivante dans un message électronique qu’il reçoit :

Expérience de destinataire Gmail pour OME et AIP

Pour l’utilisateur qui envoie l’e-mail, les actions requises sont les mêmes que pour l’envoi d’un e-mail protégé à un utilisateur de son propre organisation. Par exemple, sélectionnez le bouton Ne pas transférer que le client AIP peut ajouter au ruban Outlook.

Vous pouvez également intégrer la fonctionnalité Ne pas transférer dans une étiquette que les utilisateurs peuvent choisir d’appliquer à la fois à la classification et la protection à cet e-mail. Par exemple :

Sélection d’une étiquette configurée pour Ne pas transférer

Les administrateurs peuvent également assurer automatiquement la protection des utilisateurs en configurant des règles de flux de messagerie qui appliquent la protection des droits.

Tous les documents Office attachés à ces e-mails sont également protégés automatiquement.

Analyse du contenu existant pour classifier et protéger

Dans l’idéal, vous allez étiqueter des documents et des e-mails à mesure qu’ils sont créés. Toutefois, vous disposez probablement de nombreux documents existants, stockés localement ou dans le cloud, et vous souhaitez également classifier et protéger ces documents.

Utilisez l’une des méthodes suivantes pour classifier et protéger le contenu existant :

  • Stockage sur site : utilisez l’analyseur Azure Information Protection pour découvrir, classifier et protéger les documents sur les partages réseau et les sites et bibliothèques Microsoft SharePoint Server.

    L’analyseur fonctionne en tant que service sur Windows Server et utilise les mêmes règles de stratégie pour détecter les informations sensibles et appliquer des étiquettes spécifiques aux documents.

    Vous pouvez également utiliser l'analyseur pour appliquer une étiquette par défaut à tous les documents d’un référentiel de données sans inspecter le contenu du fichier. Utilisez l'analyseur en mode création de rapports uniquement pour découvrir des informations sensibles que vous ne connaissez peut-être pas.

  • Stockage de données dans le cloud : utilisez Microsoft Defender for Cloud Apps pour appliquer vos étiquettes aux documents dans Box, SharePoint et OneDrive. Pour un didacticiel, consultez Application automatique d’étiquettes de classification Azure Information Protection

Étapes suivantes

Configurez et consultez Azure Information Protection pour vous-même avec notre guide de démarrage rapide et nos didacticiels :

Si vous êtes prêt à déployer ce service pour votre organisation, consultez les guides pratiques.