Configuration et gestion des modèles pour Azure Information Protection

  • Article

Les modèles de protection, également appelés modèles Rights Management, sont un regroupement de paramètres de protection définis par l’administrateur pour Azure Information Protection. Ces paramètres incluent les droits d’utilisation que vous avez choisis pour les utilisateurs autorisés et les contrôles d’accès pour l’accès hors connexion et après l’expiration. Ces modèles sont intégrés à la stratégie Azure Information Protection :

Lorsque vous disposez d’un abonnement qui inclut la classification, l’étiquetage et la protection (Azure Information Protection P1 ou P2) :

  • Les modèles qui ne sont pas intégrés à vos étiquettes pour votre locataire sont affichés dans la section Modèles de protection après vos étiquettes dans le volet Azure Information Protection - Étiquettes. Pour accéder à ce volet, sélectionnez l’option de menu Étiquettes de classifications>. Vous pouvez convertir ces modèles en étiquettes, ou les lier à des étiquettes lorsque vous configurez la protection de vos étiquettes.

Lorsque vous disposez d’un abonnement qui inclut la protection uniquement (un abonnement Microsoft 365 qui inclut le service Azure Rights Management):

  • Les modèles de votre locataire sont affichés dans la section Modèles de protection dans le volet Azure Information Protection - Étiquettes. Pour accéder à ce volet, sélectionnez l’option de menu Étiquettes de classifications>. Aucune étiquette n’apparaît. Vous pouvez également voir les paramètres de configuration qui sont spécifiques à la classification et à l’étiquetage, mais ces paramètres n’ont aucun effet sur vos modèles ou ne peuvent pas être configurés.

Par exemple, si les utilisateurs signalent qu’ils peuvent ouvrir du contenu protégé, mais qu’ils n’ont pas les droits dont ils ont besoin, le problème peut être que l’utilisateur n’est pas dans le groupe correct configuré pour un modèle Rights Management. Ou bien, le problème peut être que le modèle a besoin de reconfigurer pour l’utilisateur ou le groupe, comme décrit dans cet article.

Notes

Dans certaines applications et services, vous pouvez voir Ne pas transférer et chiffrer uniquement (Chiffrer) affiché en tant que modèle. Ils ne s’agit pas de modèles que vous pouvez modifier ou supprimer, mais d’options fournies par défaut avec le service Exchange.

Modèles par défaut

Lorsque vous obtenez votre abonnement pour Azure Information Protection ou pour un abonnement Microsoft 365 qui inclut le service Azure Rights Management, deux modèles par défaut sont automatiquement créés pour votre locataire. Ces modèles restreignent l’accès aux utilisateurs autorisés de votre organisation. Lorsque ces modèles sont créés, ils disposent des autorisations répertoriées dans la documentation Configuration des droits d’utilisation pour Azure Information Protection.

En outre, les modèles sont configurés pour autoriser l’accès hors connexion pendant sept jours et n’ont pas de date d’expiration.

Notes

Vous pouvez modifier ces paramètres, ainsi que les noms et descriptions des modèles par défaut. Cette possibilité n’était pas possible avec le portail Azure Classic et n’est toujours pas prise en charge pour PowerShell.

Ces modèles par défaut vous permettent, à vous et pour d’autres, de lancer immédiatement la protection des données sensibles de votre organisation. Ces modèles peuvent être utilisés avec les étiquettes d’Azure Information Protection, ou séparément avec des applications et services qui utilisent des modèles Rights Management.

Vous pouvez également créer vos propres modèles. Même si vous n’avez probablement besoin que de quelques modèles seulement, vous pouvez enregistrer jusqu’à un maximum de 500 modèles personnalisés dans Azure.

Droits inclus dans les modèles par défaut

Le tableau suivant répertorie les droits d’utilisation inclus lorsque les modèles par défaut sont créés. Les droits d’utilisation sont répertoriés par leur nom commun.

Ces modèles par défaut sont créés lorsque votre abonnement a été acheté, et les noms et droits d’utilisation peuvent être modifiés dans le Portail Azure et avec PowerShell.

Nom complet du modèle Droits d’utilisation du 6 octobre 2017 à maintenant Droits d’utilisation avant le 6 octobre 2017
<nom> de l’organisation - Affichage confidentiel uniquement

ou

Hautement confidentiel \ Tous les employés		 Afficher, Ouvrir, Lire ; Copier ; Afficher les droits ; Autoriser les Macros ; Imprimer ; Transférer ; Répondre ; Répondre à tous ; Enregistrer ; Modifier le contenu, Modifier Afficher, Ouvrir, Lire
<nom> de l’organisation - Confidentiel

ou

Confidentiel \ Tous les employés		 Afficher, Ouvrir, Lire ; Enregistrer sous, Exporter ; Copier ; Afficher les droits ; Modifier les droits ; Autoriser les Macros ; Imprimer ; Transférer ; Répondre ; Répondre à tous ; Enregistrer ; Modifier le contenu, Modifier ; Contrôle total Afficher, Ouvrir, Lire ; Enregistrer sous, Exporter ; Modifier le contenu, Modifier ; Afficher les droits ; Autoriser les Macros ; Transférer ; Répondre ; Répondre à tous

Noms des modèles par défaut

Si vous avez obtenu votre abonnement récemment, vos modèles par défaut sont créés avec les noms suivants :

  • Confidentiel \ Tous les employés

  • Hautement confidentiel \ Tous les employés

Si vous avez obtenu votre abonnement il y a un certain temps, vos modèles par défaut peuvent être créés avec les noms suivants :

  • <nom> de l’organisation - Confidentiel

  • <nom> de l’organisation - Affichage confidentiel uniquement

Vous pouvez renommer (et reconfigurer) ces modèles par défaut lorsque vous utilisez le portail Azure.

Notes

Si vous ne voyez pas vos modèles par défaut dans le volet Azure Information Protection - Étiquettes, ils sont convertis en étiquettes ou liés à une étiquette. Ils existent encore en tant que modèles, mais dans le portail Azure, ils apparaissent comme faisant partie d’une configuration d’étiquettes qui comprend les paramètres de protection d’une clé cloud. Vous pouvez toujours confirmer les modèles dont dispose votre locataire en exécutant Get-AipServiceTemplate à partir du module PowerShell AIPService.

Vous pouvez convertir manuellement des modèles, comme expliqué dans la section ultérieure Pour convertir des modèles en étiquettes, puis les renommer si vous le souhaitez. Ou bien ils sont convertis automatiquement pour vous si votre stratégie Azure Information Protection par défaut a été créée récemment et que le service Azure Rights Management pour votre client était activé à ce moment-là.

Modèles archivés comme non disponibles dans le volet Azure Information Protection - Étiquettes. Ces modèles ne peuvent pas être sélectionnés pour des étiquettes, mais ils peuvent être convertis en étiquettes.

Éléments à prendre en considération pour les modèles dans le portail Azure

Avant de modifier ces modèles ou de les convertir en étiquettes, assurez-vous que vous avez pris connaissance des éléments à prendre en considération et modifications suivantes. En raison de modifications d’implémentation, la liste suivante est particulièrement importante si vous gériez auparavant vos modèles dans le portail Azure Classic.

  • Une fois que vous modifiez ou convertissez un modèle et enregistrez la stratégie Azure Information Protection, les modifications suivantes sont apportées aux droits d’utilisation originaux. Si nécessaire, vous pouvez ajouter ou supprimer des droits d’utilisation individuels en utilisant le portail Azure. Vous pouvez également utiliser PowerShell avec les applets de commande New-AipServiceRightsDefinition et Set-AipServiceTemplateProperty .

    • Autoriser les macros (nom commun) est ajouté automatiquement. Ce droit d’utilisation est requis pour la barre Azure Information Protection dans les applications Office.

  • Les paramètres publiés et archivés s’affichent sous la forme ActivéetActivé : Désactivé respectivement dans le volet Étiquette . Pour les modèles que vous souhaitez conserver, mais ne pas rendre visible aux utilisateurs ou services, définissez ces modèles sur Activé : Non.

  • Vous ne pouvez pas copier ou supprimer un modèle dans le portail Azure. Lorsque le modèle est converti en étiquette, vous pouvez configurer l’étiquette pour arrêter l’utilisation du modèle en sélectionnant Non configuré pour les autorisations Set pour les documents et les e-mails contenant cette option d’étiquette . Ou, vous pouvez supprimer l’étiquette. Toutefois, dans les deux cas, le modèle n’est pas supprimé et demeure à l’état archivé.

    La suppression de modèles à l’aide de l’applet de commande PowerShell Remove-AipServiceTemplate est permanente. Vous pouvez également utiliser cette applet de commande PowerShell pour les modèles qui ne sont pas convertis en étiquettes. Cependant, pour garantir que le contenu précédemment protégé puisse être ouvert et utilisé comme prévu, nous vous déconseillons généralement de supprimer des modèles. En guise de bonne pratique, supprimez uniquement des modèles si vous êtes sûr qu’ils n’ont pas été utilisés pour protéger des documents ou des e-mails en production. Avant de supprimer définitivement un modèle à l’aide de PowerShell, envisagez d’exporter le modèle en tant que sauvegarde, à l’aide de l’applet de commande Export-AipServiceTemplate .

  • Actuellement, si vous modifiez et enregistrez un modèle de service, cela supprime la configuration d’étendue. L’équivalent d’un modèle étendu dans la stratégie Azure Information Protection est une stratégie étendue. Si vous convertissez le modèle en étiquette, vous pouvez sélectionner une étendue existante.

    De plus, vous ne pouvez pas définir le paramètre de compatibilité d’application d’un modèle de service en utilisant le portail Azure. Si nécessaire, vous pouvez définir ce paramètre de compatibilité d’application à l’aide de l’applet de commande Set-AipServiceTemplateProperty et du paramètre EnableInLegacyApps .

  • Quand vous convertissez ou liez un modèle à une étiquette, il ne peut plus être utilisé par d’autres étiquettes. En outre, ce modèle ne s’affiche plus dans la section Modèles de protection.

  • Ne créez pas de nouveau modèle à partir de la section Modèles de protection. Au lieu de cela, créez une étiquette qui a le paramètre Protéger et configurez les droits d’utilisation et les paramètres à partir du volet Protection . Pour obtenir des instructions complètes, consultez Créer un nouveau modèle.

Configurer les modèles dans la stratégie Azure Information Protection

  1. Si ce n’est pas déjà fait, ouvrez une nouvelle fenêtre de navigateur et connectez-vous au Portail Azure. Accédez ensuite au volet Information Protection Azure - Étiquettes.

    Par exemple, dans la zone de recherche de ressources, services et documents : Commencez à taper Information et sélectionnez Azure Information Protection.

  2. Dans l’option de menu Étiquettes de classifications: dans le volet Étiquettes Azure Information Protection - Étiquettes>, développez des modèles de protection, puis recherchez le modèle que vous souhaitez configurer.

  3. Sélectionnez le modèle et, dans le volet Étiquette , vous pouvez modifier le nom et la description du modèle si nécessaire, en modifiant le nom complet et la description de l’étiquette. Sélectionnez Ensuite Protection qui a la valeur d’Azure (clé cloud) pour ouvrir le volet Protection .

  4. Dans le volet Protection , vous pouvez modifier les autorisations, l’expiration du contenu et les paramètres d’accès hors connexion. Pour plus d’informations sur la configuration des paramètres de protection, consultez Comment configurer une étiquette pour la protection de Rights Management

    Cliquez sur OK pour conserver vos modifications, puis, dans le volet Étiquette , cliquez sur Enregistrer.

Notes

Vous pouvez également modifier un modèle à l’aide du bouton Modifier le modèle dans le volet Protection si vous avez configuré une étiquette pour utiliser un modèle prédéfini. À condition qu’aucune autre étiquette n’utilise également le modèle sélectionné, ce bouton convertit le modèle en étiquette et vous amène à l’étape 5. Pour plus d’informations sur ce qui se passe lorsque des modèles sont convertis en étiquettes, consultez la section suivante.

Pour convertir des modèles en étiquettes

Quand vous avez un abonnement qui inclut la classification, l’étiquetage et la protection, vous pouvez convertir un modèle en étiquette. Lorsque vous convertissez un modèle, le modèle d’origine est conservé, mais dans le portail Azure, il s’affiche désormais comme étant inclus dans une nouvelle étiquette.

Par exemple, si vous convertissez un modèle nommé Marketing qui accorde des droits d’utilisation au groupe marketing, dans le portail Azure il s’affiche désormais comme une étiquette nommée Marketing qui a les mêmes paramètres de protection. Si vous modifiez les paramètres de protection de cette nouvelle étiquette, vous les modifiez dans le modèle et n’importe quel utilisateur ou un service qui utilise ce modèle obtiendra les nouveaux paramètres de protection avec la prochaine actualisation de ce modèle.

Il n’est pas nécessaire de convertir tous vos modèles en étiquettes, mais lorsque vous le faites, les paramètres de protection sont totalement intégrés à l’ensemble des fonctionnalités des étiquettes, afin que vous n’ayez pas à mettre à jour les paramètres séparément.

Pour convertir un modèle en étiquette, cliquez avec le bouton droit sur le modèle, puis sélectionnez Convertir en étiquette. Vous pouvez également utiliser le menu contextuel pour sélectionner cette option.

Vous pouvez également convertir un modèle en étiquette lorsque vous configurez une étiquette pour la protection et un modèle prédéfini, à l’aide du bouton Modifier le modèle.

Lorsque vous convertissez un modèle en étiquette :

  • Le nom du modèle est converti en un nouveau nom d’étiquette, et la description du modèle est convertie en info-bulle de l’étiquette.

  • Si l’état du modèle a été publié, ce paramètre est mappé sur Activé: Oui pour l’étiquette, qui s’affiche à présent en tant que cette étiquette aux utilisateurs lorsque vous publiez ensuite la stratégie Azure Information Protection. Si l’état du modèle a été archivé, ce paramètre est mappé sur Activé: Non pour l’étiquette et ne s’affiche pas comme étant une étiquette disponible aux utilisateurs.

  • Les paramètres de protection sont conservés, et vous pouvez les modifier si nécessaire, mais également ajouter d’autres paramètres d’étiquette tels que les marqueurs visuels et des conditions.

  • Le modèle d’origine n’apparaît plus dans les modèles de protection et ne peut pas être sélectionné comme modèle prédéfini lorsque vous configurez la protection pour une étiquette. Pour modifier ce modèle dans le portail Azure, vous devez à présent modifier l’étiquette qui a été créée lors de la conversion du modèle. Le modèle reste disponible pour le service Azure Rights Management et peut toujours être géré à l’aide des commandes PowerShell.

Créer un nouveau modèle

Les modèles peuvent être créés à l’aide du portail ou de PowerShell.

Création de modèles à l’aide de PowerShell

Pour créer un modèle de protection à l’aide de PowerShell avec le nom, la description, la stratégie et le paramètre d’état souhaités, utilisez l’applet de commande Add-AipServiceTemplate .

Création de modèles à l’aide du portail

Lorsque vous créez une étiquette à l’aide du portail avec le paramètre de protection d’Azure (clé cloud), cette action crée un nouveau modèle personnalisé accessible par les services et les applications qui s’intègrent à des modèles Rights Management.

  1. Dans l’optionde menuÉtiquettes classifications: dans le volet Étiquettes Azure Information Protection - Étiquettes>, sélectionnez Ajouter une nouvelle étiquette.

  2. Dans le volet Étiquette , conservez la valeur par défaut activée : Activé, puis entrez un nom d’étiquette et une description pour le nom et la description du modèle.

  3. Pour Définir les autorisations pour les documents et e-mails contenant cette étiquette, sélectionnez Protéger, puis sélectionnez Protection :

    Configure protection for an Azure Information Protection label

  4. Dans le volet Protection , vous pouvez modifier les autorisations, l’expiration du contenu et les paramètres d’accès hors connexion. Pour plus d’informations sur la configuration de ces paramètres de protection, consultez Comment configurer une étiquette pour la protection de Rights Management.

    Cliquez sur OK pour conserver vos modifications, puis, dans le volet Étiquette , cliquez sur Enregistrer.

    Dans le volet Azure Information Protection - Étiquettes, vous voyez maintenant votre nouvelle étiquette affichée avec la colonne PROTECTION pour indiquer qu’elle contient des paramètres de protection. Ces paramètres de protection s’affichent en tant que modèles pour les applications et services qui prennent en charge le service Azure Rights Management.

    Bien que l’étiquette soit activée, par défaut, le modèle est archivé. Afin que les applications et services puissent utiliser le modèle pour protéger des documents et des e-mails, exécutez la dernière étape pour publier le modèle.

  5. Dans l’option de menu Stratégies de classifications>, sélectionnez la stratégie pour contenir les nouveaux paramètres de protection. Puis, sélectionnez Ajouter ou supprimer des étiquettes. Dans la stratégie : Ajouter ou supprimer des étiquettes , sélectionnez l’étiquette nouvellement créée qui contient vos paramètres de protection, sélectionnez OK, puis sélectionnez Enregistrer.

Étapes suivantes

Il peut prendre jusqu'à 15 minutes pour qu’un ordinateur exécutant le client Azure Information Protection obtienne ces paramètres modifiés. Pour plus d’informations sur la manière dont les ordinateurs et les services téléchargent et actualisent les modèles, consultez l’article Actualisation des modèles pour les utilisateurs et services.

Veillez à fournir des instructions aux utilisateurs sur les modèles à sélectionner si le nom et la description du modèle ne suffit pas pour choisir le bon modèle.

Tout ce que vous pouvez configurer dans le portail Azure pour créer et gérer vos modèles, vous pouvez le faire à l’aide de PowerShell. En outre, PowerShell fournit davantage d’options qui ne sont pas disponibles dans le portail. Pour plus d’informations, consultez Référence PowerShell pour les modèles de protection.

Pour plus d’informations sur la configuration de votre stratégie Azure Information Protection, utilisez les liens dans la section Configuration de la stratégie de votre organisation.