Forum aux questions pour Azure Information Protection (AIP)

Notes

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le client d’étiquetage unifié Azure Information Protection est maintenant en mode Maintenance. Nous vous recommandons d’utiliser des étiquettes qui sont intégrées à vos applications et services Office 365. En savoir plus

Avez-vous une question sur Azure Information Protection (AIP) ou sur le service Azure Rights Management (Azure RMS) ?

Voir s’il est répondu ci-dessous ou sur les pages suivantes, plus spécifiques, FAQ.

Quelle est la différence entre Azure Information Protection et Protection des données Microsoft Purview ?

Contrairement à Azure Information Protection, Protection des données Microsoft Purview n’est pas un abonnement ou un produit que vous pouvez acheter. Au lieu de cela, il s’agit d’une infrastructure pour les produits et les fonctionnalités intégrées qui vous aident à protéger les informations sensibles de votre organisation.

Protection des données Microsoft Purview produits sont les suivants :

  • Azure Information Protection
  • Microsoft 365 Information Protection, comme Microsoft 365 DLP
  • Protection des informations Windows
  • Microsoft Defender for Cloud Apps

Protection des données Microsoft Purview fonctionnalités incluent :

  • Gestion unifiée des étiquettes
  • Expériences d’étiquetage des utilisateurs finaux intégrées aux applications Office
  • Possibilité pour Windows de comprendre les étiquettes unifiées et d’appliquer la protection aux données
  • Kit de développement logiciel (SDK) Protection des données Microsoft
  • Fonctionnalité dans Adobe Acrobat Reader pour afficher les fichiers PDF étiquetés et protégés

Pour plus d’informations, consultez les fonctionnalités de protection des informations pour protéger vos données sensibles.

Comment puis-je déterminer si mon locataire se trouve sur la plateforme d’étiquetage unifiée ?

Lorsque votre locataire se trouve sur la plateforme d’étiquetage unifiée, il prend en charge les étiquettes de confidentialité qui peuvent être utilisées par les clients et les services qui prennent en charge l’étiquetage unifié. Si vous avez obtenu votre abonnement pour Azure Information Protection en juin 2019 ou version ultérieure, votre locataire est automatiquement sur la plateforme d’étiquetage unifiée et aucune action supplémentaire n’est nécessaire. Votre locataire peut également se trouver sur cette plateforme, car quelqu’un a migré vos étiquettes Azure Information Protection.

Si votre locataire n’est pas sur la plateforme d’étiquetage unifiée, vous verrez la bannière d’informations suivante dans le Portail Azure, dans les volets Azure Information Protection :

Bannière des informations de migration

Vous pouvez également vérifier en accédant à Azure Information Protection>Manage>Unified labeling et afficher l’état d’étiquetage unifié :

État Description
Activé Votre locataire se trouve sur la plateforme d’étiquetage unifiée.
Vous pouvez créer, configurer et publier des étiquettes à partir du portail de conformité Microsoft Purview.
Non activé Votre locataire n’est pas sur la plateforme d’étiquetage unifiée.
Pour obtenir des instructions et des conseils de migration, consultez Comment migrer des étiquettes Azure Information Protection vers des étiquettes de confidentialité unifiées.

Quelle est la différence entre Information Protection et Azure Rights Management ?

Azure Information Protection (AIP) fournit la classification, l’étiquetage et la protection des documents et e-mails d’une organisation.

Le contenu est protégé à l’aide du service Azure Rights Management, qui est maintenant un composant d’AIP.

Pour plus d’informations, consultez Comment AIP protège vos données et Qu’est-ce que Azure Rights Management ?.

Quel est le rôle de la gestion des identités pour Azure Information Protection ?

La gestion des identités est un composant important d’AIP, car les utilisateurs doivent avoir un nom d’utilisateur et un mot de passe valides pour accéder au contenu protégé.

Pour en savoir plus sur la façon dont Azure Information Protection permet de sécuriser vos données, consultez Rôle d’Azure Information Protection dans la sécurisation des données.

De quel abonnement ai-je besoin pour Azure Information Protection et quelles sont les fonctionnalités incluses ?

Pour en savoir plus sur les abonnements AIP, consultez :

Faut-il être administrateur général pour configurer Azure Information Protection ou puis-je déléguer la configuration à d’autres administrateurs ?

Les administrateurs généraux pour un locataire Microsoft 365 ou un locataire Azure AD peuvent évidemment exécuter toutes les tâches administratives pour Azure Information Protection.

Toutefois, si vous souhaitez affecter des autorisations d’administration à d’autres utilisateurs, utilisez les rôles suivants :

Notez également ce qui suit lors de la gestion des tâches et des rôles d’administration :

Problème Détails
Types de comptes pris en charge Les comptes Microsoft ne sont pas pris en charge pour l’administration déléguée d’Azure Information Protection, même si ces comptes sont affectés à l’un des rôles d’administration répertoriés.
Contrôles d’intégration Si vous avez configuré des contrôles d’intégration, cette configuration n’affecte pas la possibilité d’administrer Azure Information Protection, à l’exception du connecteur RMS.

Par exemple, si vous avez configuré des contrôles d’intégration afin que la possibilité de protéger le contenu soit limitée au groupe de services informatiques , le compte utilisé pour installer et configurer le connecteur RMS doit être membre de ce groupe.
Suppression de la protection Les administrateurs ne peuvent pas supprimer automatiquement la protection des documents ou des e-mails protégés par Azure Information Protection.

Seuls les utilisateurs qui sont affectés en tant que super utilisateurs peuvent supprimer la protection, et uniquement lorsque la fonctionnalité super utilisateur est activée.

Tout utilisateur disposant d’autorisations d’administration pour Azure Information Protection peut activer la fonctionnalité super utilisateur et affecter des utilisateurs en tant que super utilisateurs, y compris leur propre compte.

Ces actions sont enregistrées dans un journal d’administrateur.

Pour plus d’informations, consultez la section Meilleures pratiques de sécurité dans Configuration de super utilisateurs pour Azure Information Protection et services de découverte ou récupération de données.

Conseil : Si votre contenu est stocké dans SharePoint ou OneDrive, les administrateurs peuvent exécuter l’applet de commande Unlock-SensitivityLabelEncryptedFile pour supprimer à la fois l’étiquette de confidentialité et le chiffrement. Pour plus d’informations, consultez la documentation Microsoft 365.
Migration vers le magasin d’étiquetage unifié Si vous migrez vos étiquettes Azure Information Protection vers le magasin d’étiquetage unifié, veillez à lire la section suivante de la documentation sur la migration d’étiquettes :
Rôles d’administration qui prennent en charge la plateforme d’étiquetage unifiée.

Administrateur Azure Information Protection

Ce rôle d’administrateur Azure Active Directory permet à un administrateur de configurer Azure Information Protection mais pas d’autres services.

Les administrateurs disposant de ce rôle peuvent :

  • Activer et désactiver le service de protection Azure Rights Management
  • Configurer les paramètres et étiquettes de protection
  • Configurer la stratégie Azure Information Protection
  • Exécutez toutes les applets de commande PowerShell pour le client Azure Information Protection et à partir du module AIPService

Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.

Notes

Ce rôle n’est pas pris en charge dans le Portail Azure si votre locataire se trouve sur la plateforme d’étiquetage unifiée.

Administrateur de conformité ou administrateur de données de conformité

Ces rôles d’administrateur Azure Active Directory permettent aux administrateurs de :

  • Configurer Azure Information Protection, y compris l’activation et la désactivation du service de protection Azure Rights Management
  • Configurer les paramètres et étiquettes de protection
  • Configurer la stratégie Azure Information Protection
  • Exécutez toutes les applets de commande PowerShell pour le client Azure Information Protection et à partir du module AIPService.

Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.

Pour connaître les autres autorisations dont disposent ces rôles, consultez la section Rôles disponibles dans la documentation Azure Active Directory.

Notes

Ces rôles ne prennent pas en charge le suivi et la révocation de documents pour les utilisateurs.

Administrateur de sécurité

Ce rôle d’administrateur Azure Active Directory permet aux administrateurs de configurer Azure Information Protection dans le Portail Azure et certains aspects d’autres services Azure.

Les administrateurs avec ce rôle ne peuvent pas exécuter l’une des applets de commande PowerShell à partir du module AIPService, ou suivre et révoquer des documents pour les utilisateurs.

Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.

Pour connaître les autres autorisations qu’un rôle donne à un utilisateur, consultez la section Rôles disponibles dans la documentation d’Azure Active Directory.

administrateur général et administrateur du connecteur Azure Rights Management

Le rôle Administrateur général permet aux utilisateurs d’exécuter toutes les applets de commande PowerShell à partir du module AIPService sans les rendre administrateur général pour d’autres services cloud.

Le rôle Administrateur du connecteur permet aux utilisateurs d’exécuter uniquement le connecteur Rights Management (RMS).

Ces rôles d’administration n’accordent pas d’autorisations aux consoles de gestion. Le rôle Administrateur du connecteur ne prend pas également en charge le suivi et la révocation de documents pour les utilisateurs.

Pour attribuer l’un de ces rôles d’administration, utilisez l’applet de commande PowerShell AIPService, Add-AipServiceRoleBasedAdministrator.

La solution Azure Information Protection prend-elle en charge les scénarios sur site et hybrides ?

Oui. Bien qu’Azure Information Protection soit une solution basée sur le cloud, elle peut classer, étiqueter et protéger des documents et des e-mails stockés sur site, ainsi que dans le cloud.

Si vous avez Exchange Server, SharePoint Server et les serveurs de fichiers Windows, utilisez l’une ou l’autre des méthodes suivantes :

  • Déployer le connecteur Rights Management afin que ces serveurs locaux puissent utiliser le service Azure Rights Management pour protéger vos e-mails et documents
  • Synchronisez et fédrez vos contrôleurs de domaine Active Directory avec Azure AD pour une expérience d’authentification plus transparente pour les utilisateurs. Par exemple, utilisez Azure AD Connect.

Le service Azure Rights Management génère et gère automatiquement les certificats XrML en fonction des besoins, de sorte qu’il n’utilise pas d’infrastructure à clé publique locale.

Pour plus d’informations sur la façon dont Azure Rights Management utilise des certificats, consultez la procédure pas à pas de l’utilisation d’Azure RMS : Première utilisation, protection de contenu, consommation de contenu.

Quels sont les types de données qu’Azure Information Protection peut classifier et protéger ?

Azure Information Protection peut classifier et protéger des e-mails et des documents, localement ou dans le cloud. Ces documents sont notamment des documents Word, des feuilles de calcul Excel, des présentations PowerPoint, des documents PDF, des fichiers texte et des fichiers image.

Pour plus d’informations, consultez les types de fichiers de liste complets pris en charge.

Notes

Azure Information Protection ne peut pas classifier et protéger les données structurées telles que les fichiers de base de données, les éléments de calendrier, les publications Yammer, le contenu Sway et les blocs-notes OneNote.

Conseil

Power BI prend en charge la classification à l’aide d’étiquettes de confidentialité et peut appliquer la protection de ces étiquettes aux données exportées vers les formats de fichiers suivants : .pdf, .xls et .ppt. Pour plus d’informations, consultez Protection des données dans Power BI.

Je vois qu’Azure Information Protection est répertoriée en tant qu’application cloud disponible pour l’accès conditionnel : comment cela fonctionne-t-il ?

Oui, en tant qu’offre en préversion, vous pouvez configurer l’accès conditionnel Azure AD pour Azure Information Protection.

Lorsqu’un utilisateur ouvre un document protégé par Azure Information Protection, les administrateurs peuvent à présent lui bloquer ou lui accorder l’accès, selon les contrôles d’accès conditionnel standard. L’authentification multifacteur (MFA) est l’une des conditions les plus couramment demandées. Un autre est que les appareils doivent être conformes à vos stratégies d’Intune afin que, par exemple, les appareils mobiles répondent à vos exigences de mot de passe et qu’une version minimale du système d’exploitation et que les ordinateurs doivent être joints au domaine.

Pour plus d’informations et des exemples de procédure pas à pas, consultez le blog suivant : Conditional Access policies for Azure Information Protection (Stratégies d’accès conditionnel pour Azure Information Protection).

Informations complémentaires :

Rubrique Détails
Fréquence d’évaluation Pour les ordinateurs Windows et la version préliminaire actuelle, les stratégies d’accès conditionnel pour Azure Information Protection sont évaluées lorsque l’environnement utilisateur est initialisé (ce processus est également appelé démarrage), puis tous les 30 jours.

Pour affiner la fréquence à laquelle vos stratégies d’accès conditionnel sont évaluées, configurez la durée de vie du jeton.
Comptes d’administrateur Nous vous recommandons de ne pas ajouter de comptes d’administrateur à vos stratégies d’accès conditionnel, car ces comptes ne pourront pas accéder au volet Azure Information Protection dans le Portail Azure.
Collaboration MFA et B2B Si vous utilisez MFA dans vos stratégies d’accès conditionnel pour collaborer avec d’autres organisations (B2B), vous devez utiliser Azure AD B2B Collaboration et créer des comptes Invité pour les utilisateurs de l’autre organisation avec lesquels vous souhaitez partager.
Invites d’utilisation Avec la préversion d’Azure AD décembre 2018, vous pouvez maintenant inviter les utilisateurs à accepter les conditions d’utilisation avant d’ouvrir un document protégé pour la première fois.
Applications cloud Si vous utilisez un grand nombre d’applications cloud pour l’accès conditionnel, Microsoft Azure Information Protection risque de ne pas s’afficher dans la liste de sélection.

Dans ce cas, utilisez la zone de recherche située en haut de la liste. Commencez à taper « Microsoft Azure Information Protection » pour filtrer les applications disponibles. À condition d’avoir un abonnement pris en charge, vous pourrez alors sélectionner Microsoft Azure Information Protection.

Notes

La prise en charge d’Azure Information Protection pour l’accès conditionnel est actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Azure Information Protection peut-il être utilisé dans mon pays ?

Les pays ont chacun leurs réglementations et leurs exigences. Pour vous aider à répondre à cette question pour votre organisation, consultez Adaptation aux différents pays.

Comment Azure Information Protection peut-il aider pour le RGPD ?

Notes

Si vous souhaitez afficher ou supprimer des données personnelles, consultez les conseils de Microsoft dans le Gestionnaire de conformité Microsoft Purview et dans la section RGPD du site de conformité Microsoft 365 Entreprise. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail d’approbation de services.

Consultez Conformité et informations annexes pour Azure Information Protection.

Comment puis-je signaler un problème ou envoyer des commentaires pour Azure Information Protection ?

Pour le support technique, utilisez vos canaux de support standard ou contactez le support technique Microsoft.

Nous vous invitons également à contacter l’équipe d’ingénieurs sur son site Yammer Azure Information Protection.

Que dois-je faire si ma question n’est pas ici ?

Tout d’abord, passez en revue les questions fréquemment posées ci-dessous, qui sont spécifiques à la classification et à l’étiquetage, ou spécifiques à la protection des données. Le service Azure Rights Management (Azure RMS) fournit la technologie de protection des données pour Azure Information Protection. Azure RMS peut être utilisé avec la classification et l’étiquetage, ou de façon autonome.

Si votre question n’est pas répondue, consultez les liens et ressources répertoriés dans Informations et prise en charge d’Azure Information Protection.