Étiquetage, classification et protection d’Azure Information Protection (AIP)

Notes

Recherchez-vous Protection des données Microsoft Purview, anciennement Protection des données Microsoft (MIP) ?

Le client d’étiquetage unifié Azure Information Protection est désormais en mode maintenance. Nous vous recommandons d’utiliser des étiquettes intégrées à vos applications et services Office 365. Pour en savoir plus

Azure Information Protection (AIP) est une solution basée sur le cloud qui permet à une organisation de classifier et de protéger ses documents et ses e-mails en les étiquetant.

Par exemple, votre administrateur peut configurer une étiquette avec des règles qui détectent des données sensibles, telles que les informations d’une carte de crédit. Dans ce cas, quand un utilisateur enregistre les informations d’une carte de crédit dans un fichier Word, une info-bulle recommandant d’appliquer l’étiquette correspondant à ce scénario est susceptible d’apparaître en haut du document.

Les étiquettes servent à classer et, éventuellement, à protéger les documents, ce qui permet d’effectuer différentes actions :

  • Suivre et contrôler la manière dont le contenu est utilisé
  • Analyser les flux de données pour mieux comprendre l’entreprise Détecter les comportements risqués et prendre des mesures correctives
  • Effectuer un suivi de l’accès aux documents et empêcher la fuite et l’usage abusif des données
  • Etc.

Mode d’application de la classification des étiquettes avec AIP

L’étiquetage de votre contenu avec AIP inclut :

  • Une classification, qui peut être détectée indépendamment de l’endroit où les données sont stockées ou des personnes avec qui elles sont partagées.
  • Marquages visuels, tels que les en-têtes, les pieds de page ou les filigranes.
  • Métadonnées ajoutées aux fichiers et en-têtes d’e-mail en texte clair. Les métadonnées en texte clair permettent à d’autres services d’identifier la classification et de prendre des mesures appropriées.

Par exemple, dans l’image ci-dessous, l’étiquetage a classé un message électronique comme général :

Exemple d’en-têtes et de pied de page d’e-mail montrant la classification Azure Information Protection

Dans cet exemple, l’étiquette a également :

  • Ajout d’un pied de page de confidentialité : Général à l’e-mail. Ce pied de page est un indicateur visuel pour tous les destinataires auxquels il est destiné spécifiant qu’il s’agit de données métier d’ordre général qui ne doivent pas être envoyées à l’extérieur de l’organisation.
  • Métadonnées incorporées dans les en-têtes d’e-mail. Les données d’en-tête permettent aux services de messagerie d’inspecter l’étiquette et de créer théoriquement une entrée d’audit ou d’empêcher son envoi en dehors de l’organisation.

Les étiquettes peuvent être appliquées automatiquement par les administrateurs à l’aide de règles et de conditions, manuellement par les utilisateurs ou à l’aide d’une combinaison où les administrateurs définissent les recommandations présentées aux utilisateurs.

Protection des données avec AIP

Azure Information Protection utilise le service Azure Rights Management (Azure RMS) pour protéger les données.

Azure RMS est intégré à d’autres services et applications cloud Microsoft, comme Office 365 et Azure Active Directory. Il peut également être utilisé avec vos propres applications et solutions de protection des informations ou celles de tiers. Azure RMS fonctionne avec les solutions locales et cloud.

Azure RMS utilise des stratégies de chiffrement, d’identité et d’autorisation. À l’image des étiquettes AIP, la protection avec Azure RMS reste associée aux documents et aux e-mails, indépendamment de leur emplacement, ce qui vous permet de garder le contrôle de votre contenu, même quand vous le partagez avec d’autres personnes.

Les paramètres de protection peuvent être :

  • Partie de votre configuration d’étiquette, de sorte que les utilisateurs classifient et protègent les documents et les e-mails simplement en appliquant une étiquette.

  • Utilisé par les applications et services qui prennent en charge la protection, mais pas l’étiquetage.

    Pour les applications et les services qui ne prennent en charge que la protection, les paramètres de protection sont utilisés en tant que modèles Rights Management.

Par exemple, vous pouvez configurer un document, comme un rapport ou une feuille de calcul de prévision de ventes, pour qu’il soit accessible uniquement par les personnes de votre organisation. Dans ce cas, vous devez appliquer des paramètres de protection pour contrôler si ce document peut être modifié, le limiter à un accès en lecture seule ou empêcher son impression.

Vous pouvez appliquer des paramètres de protection semblables aux e-mails pour empêcher leur transfert ou l’utilisation de l’option Répondre à tous.

Modèles Rights Management

Dès que le service Azure Rights Management est activé, deux modèles de gestion des droits par défaut sont disponibles : ils vous permettent de limiter l’accès aux données aux utilisateurs appartenant à votre organisation. Vous pouvez utiliser ces modèles immédiatement ou configurer vos propres paramètres de protection pour appliquer des contrôles plus restrictifs dans de nouveaux modèles.

Les modèles Rights Management peuvent être utilisés avec n’importe quel service ou application prenant en charge Azure Rights Management.

L’image suivante montre un exemple du centre d’administration Exchange, dans lequel vous pouvez configurer des règles de flux de messagerie Exchange Online pour utiliser les modèles RMS :

Exemple de sélection de modèles pour Exchange Online

Notes

Quand vous créez une étiquette AIP qui inclut des paramètres de protection, vous créez également un modèle Rights Management correspondant qui peut être utilisé séparément de l’étiquette.

Pour plus d’informations, consultez En quoi consiste Azure Rights Management ?

Intégration d’AIP à l’interface utilisateur final pour les documents et les e-mails

Le client AIP installe la barre Information Protection pour les applications Office et permet aux utilisateurs finaux d’intégrer AIP à leurs documents et e-mails.

Par exemple, dans Excel :

Exemple de la barre Azure Information Protection dans Excel

Bien que les étiquettes puissent être appliquées automatiquement aux documents et aux e-mails, ce qui permet de faciliter le travail des utilisateurs ou de respecter les stratégies d’une organisation, la barre Information Protection permet aux utilisateurs finaux de sélectionner des étiquettes et d’appliquer leur propre classification.

Par ailleurs, le client AIP permet aux utilisateurs de classifier et de protéger d’autres types de fichiers, ou plusieurs fichiers à la fois, à l’aide du menu contextuel de l’Explorateur de fichiers Windows. Par exemple :

Menu contextuel de l’Explorateur de fichiers : Classer et protéger avec Azure Information Protection

L’option de menu Classifier et protéger fonctionne de manière similaire à la barre Information Protection dans les applications Office, ce qui permet aux utilisateurs de sélectionner une étiquette ou de définir des autorisations personnalisées.

Conseil

Les utilisateurs avancés ou les administrateurs peuvent trouver l’utilisation des commandes PowerShell plus efficace pour la gestion et la configuration de la classification et de la protection de plusieurs fichiers. Les commandes PowerShell pertinentes sont incluses avec le client et peuvent également être installées séparément.

Les utilisateurs et les administrateurs peuvent utiliser les sites de suivi de documents pour superviser les documents protégés, qui y accède et quand. En outre, s’ils suspectent une utilisation incorrecte, ils peuvent révoquer l’accès à ces documents. Par exemple :

Icône Révoquer l’accès du site de suivi de document

Intégration supplémentaire pour les e-mails

L’utilisation d’AIP avec Exchange Online offre un avantage supplémentaire : la possibilité d’envoyer des e-mails protégés à n’importe quel utilisateur, avec l’assurance qu’il peut le lire sur n’importe quel appareil.

Par exemple, vous pouvez être amené à envoyer des informations sensibles à des adresses e-mail personnelles qui utilisent un compte Gmail, Hotmail ou Microsoft voire à des utilisateurs qui n’ont pas de compte dans Office 365 ou Azure AD. Ces e-mails doivent être chiffrés au repos et pendant le transit, et être lus seulement par les destinataires d’origine.

Ce scénario nécessite les fonctionnalités de chiffrement de messages d’Office 365. Si les destinataires ne peuvent pas ouvrir le courrier électronique protégé dans leur client de messagerie intégré, ils peuvent utiliser un code secret à usage unique pour lire les informations sensibles dans un navigateur.

Par exemple, un utilisateur Gmail peut voir l’invite suivante dans un e-mail qu’il reçoit :

Expérience du destinataire Gmail pour OME et AIP

Pour l’utilisateur qui envoie l’e-mail, les actions requises sont les mêmes que pour envoyer un e-mail protégé à un utilisateur de sa propre organisation. Par exemple, il peut sélectionner le bouton Ne pas transférer que le client AIP peut ajouter au ruban Outlook.

Vous pouvez également intégrer la fonctionnalité Ne pas transférer dans une étiquette que les utilisateurs peuvent choisir d’appliquer à la fois la classification et la protection à cet e-mail. Par exemple :

Sélection d’une étiquette configurée pour appliquer la règle Ne pas transférer

Les administrateurs peuvent également fournir automatiquement une protection aux utilisateurs en configurant des règles de flux de messagerie qui appliquent la protection des droits.

De même, tout document Office joint à ces e-mails est automatiquement protégé.

Recherche de contenu existant à classifier et à protéger

Dans l’idéal, vous étiquetez les documents et les e-mails au moment de leur création. Mais vous avez probablement de nombreux documents existants, stockés localement ou dans le cloud, que vous aimeriez aussi classifier et protéger.

Utilisez l’une des méthodes suivantes pour classifier et protéger le contenu existant :

  • Stockage local : Utilisez le scanneur Azure Information Protection pour découvrir, classifier et protéger des documents sur des partages réseau ainsi que des bibliothèques et des sites Microsoft SharePoint Server.

    Le scanneur s’exécute en tant que service sur Windows Server et utilise les mêmes règles de stratégie pour détecter les informations sensibles et appliquer des étiquettes spécifiques aux documents.

    Vous pouvez également utiliser le scanneur pour appliquer une étiquette par défaut à tous les documents dans un référentiel de données sans inspecter le contenu des fichiers. Utilisez le scanneur en mode de création de rapports pour découvrir des informations sensibles dont vous ignorez peut-être qu’elles sont en votre possession.

  • Stockage de données cloud : utilisez Microsoft Defender for Cloud Apps pour appliquer vos étiquettes à des documents dans Box, SharePoint et OneDrive. Pour obtenir un tutoriel, consultez Appliquer automatiquement des étiquettes de classification Azure Information Protection

Étapes suivantes

Configurez et consultez Azure Information Protection pour vous-même avec notre guide de démarrage rapide et nos tutoriels :

Si vous êtes prêt à déployer ce service pour votre organisation, consultez les guides pratiques.