Forum aux questions sur Azure Information Protection (AIP)
Notes
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Information Protection pour Office est désormais en mode maintenance et nous vous recommandons d’utiliser des étiquettes intégrées à vos applications et services Office 365. En savoir plus sur l’état de prise en charge d’autres composants Azure Information Protection.
Vous avez une question sur Azure Information Protection (AIP) ou sur le service Azure Rights Management (Azure RMS) ?
Vérifiez s’il y a une réponse ci-dessous ou dans les pages de FAQ suivantes, plus spécifiques.
Quelle est la différence entre azure Information Protection et Protection des données Microsoft Purview ?
Contrairement à Azure Information Protection, Protection des données Microsoft Purview n’est pas un abonnement ou un produit que vous pouvez acheter. Au lieu de cela, il s’agit d’une infrastructure pour les produits et les fonctionnalités intégrées qui vous aident à protéger les informations sensibles de votre organisation.
Protection des données Microsoft Purview produits sont les suivants :
- Azure Information Protection
- Microsoft 365 Information Protection, comme Microsoft 365 DLP
- Protection des informations Windows
- Microsoft Defender for Cloud Apps
Protection des données Microsoft Purview fonctionnalités sont les suivantes :
- Gestion unifiée des étiquettes
- Expériences d’étiquetage des utilisateurs finaux intégrées aux applications Office
- La possibilité pour Windows de comprendre les étiquettes unifiées et d’appliquer la protection aux données
- Kit de développement logiciel (SDK) Protection des données Microsoft
- Fonctionnalités dans Adobe Acrobat Reader pour afficher les fichiers PDF étiquetés et protégés
Pour plus d’informations, consultez Fonctionnalités de protection des informations pour vous aider à protéger vos données sensibles.
Comment puis-je déterminer si mon locataire se trouve sur la plateforme d’étiquetage unifiée ?
Lorsque votre locataire se trouve sur la plateforme d’étiquetage unifié, il prend en charge les étiquettes de confidentialité qui peuvent être utilisées par les clients et les services qui prennent en charge l’étiquetage unifié. Si vous avez obtenu votre abonnement pour Azure Information Protection en juin 2019 ou ultérieur, votre locataire est automatiquement sur la plateforme d’étiquetage unifiée et aucune action supplémentaire n’est nécessaire. Votre locataire peut également se trouver sur cette plateforme, car quelqu’un a migré vos étiquettes Azure Information Protection.
Si votre locataire ne se trouve pas sur la plateforme d’étiquetage unifiée, la bannière d’informations suivante s’affiche dans le Portail Azure, dans les volets azure Information Protection :
Vous pouvez également vérifier en accédant à Azure Information Protection>Gérer>l’étiquetage unifié et afficher l’état de l’étiquetage unifié :
| Statut | Description |
|---|---|
| Activé | Votre locataire se trouve sur la plateforme d’étiquetage unifiée. Vous pouvez créer, configurer et publier des étiquettes à partir du portail de conformité Microsoft Purview. |
| Non activé | Votre locataire n’est pas sur la plateforme d’étiquetage unifiée. Pour obtenir des instructions et des conseils sur la migration, consultez Guide pratique pour migrer des étiquettes Azure Information Protection vers des étiquettes de confidentialité unifiées. |
Quelle est la différence entre Information Protection et Azure Rights Management ?
Azure Information Protection (AIP) fournit la classification, l’étiquetage et la protection des documents et e-mails d’une organisation.
Le contenu est protégé à l’aide du service Azure Rights Management, qui est désormais un composant d’AIP.
Pour plus d’informations, consultez Comment AIP protège vos données et Qu’est-ce que Azure Rights Management ?.
Quel est le rôle de la gestion des identités pour Azure Information Protection ?
La gestion des identités est un composant important d’AIP, car les utilisateurs doivent avoir un nom d’utilisateur et un mot de passe valides pour accéder au contenu protégé.
Pour en savoir plus sur la façon dont Azure Information Protection permet de sécuriser vos données, consultez Rôle d’Azure Information Protection dans la sécurisation des données.
De quel abonnement ai-je besoin pour Azure Information Protection et quelles sont les fonctionnalités incluses ?
Pour en savoir plus sur les abonnements AIP, consultez :
- Guide de gestion des licences Microsoft 365 pour la conformité et la sécurité
- Comparaison des plans de travail modernes (téléchargement d’un PDF)
Faut-il être administrateur général pour configurer Azure Information Protection ou puis-je déléguer la configuration à d’autres administrateurs ?
Les administrateurs généraux d’un locataire Microsoft 365 ou d’un locataire Azure AD peuvent évidemment exécuter toutes les tâches d’administration pour Azure Information Protection.
Toutefois, si vous souhaitez attribuer des autorisations d’administration à d’autres utilisateurs, utilisez les rôles suivants :
- Administrateur Azure Information Protection
- Administrateur de conformité ou Administrateur des données de conformité
- Administrateur de sécurité
- administrateur général Azure Rights Management et administrateur de connecteurs
En outre, notez les points suivants lors de la gestion des tâches et des rôles d’administration :
| Problème | Détails |
|---|---|
| Types de comptes pris en charge | Les comptes Microsoft ne sont pas pris en charge pour l’administration déléguée d’Azure Information Protection, même si ces comptes sont affectés à l’un des rôles d’administration répertoriés. |
| Contrôles d’intégration | Si vous avez configuré des contrôles d’intégration, cette configuration n’affecte pas la possibilité d’administrer Azure Information Protection, à l’exception du connecteur RMS. Par exemple, si vous avez configuré des contrôles d’intégration afin que la possibilité de protéger le contenu soit limitée au groupe du service informatique , le compte utilisé pour installer et configurer le connecteur RMS doit être membre de ce groupe. |
| Suppression de la protection | Les administrateurs ne peuvent pas supprimer automatiquement la protection des documents ou des e-mails protégés par Azure Information Protection. Seuls les utilisateurs qui sont affectés en tant que super utilisateurs peuvent supprimer la protection, et uniquement lorsque la fonctionnalité de super utilisateur est activée. Tout utilisateur disposant d’autorisations d’administration sur Azure Information Protection peut activer la fonctionnalité de super utilisateur et affecter des utilisateurs en tant que super utilisateurs, y compris leur propre compte. Ces actions sont enregistrées dans un journal d’administrateur. Pour plus d’informations, consultez la section Meilleures pratiques de sécurité dans Configuration de super utilisateurs pour azure Information Protection et les services de découverte ou la récupération de données. Conseil : Si votre contenu est stocké dans SharePoint ou OneDrive, les administrateurs peuvent exécuter l’applet de commande Unlock-SensitivityLabelEncryptedFile pour supprimer à la fois l’étiquette de confidentialité et le chiffrement. Pour plus d’informations, consultez la documentation Microsoft 365. |
| Migration vers le magasin d’étiquetage unifié | Si vous migrez vos étiquettes Azure Information Protection vers le magasin d’étiquetage unifié, veillez à lire la section suivante de la documentation sur la migration d’étiquettes : Rôles d’administration qui prennent en charge la plateforme d’étiquetage unifiée. |
Administrateur Azure Information Protection
Ce rôle d’administrateur Azure Active Directory permet à un administrateur de configurer Azure Information Protection, mais pas d’autres services.
Les administrateurs ayant ce rôle peuvent :
- Activer et désactiver le service de protection Azure Rights Management
- Configurer les étiquettes et les paramètres de protection
- Configurer la stratégie Azure Information Protection
- Exécuter toutes les applets de commande PowerShell pour le client Azure Information Protection et à partir du module AIPService
Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.
Notes
Ce rôle n’est pas pris en charge dans le Portail Azure si votre locataire se trouve sur la plateforme d’étiquetage unifiée.
Administrateur de conformité ou Administrateur des données de conformité
Ces rôles d’administrateur Azure Active Directory permettent aux administrateurs de :
- Configurer azure Information Protection, notamment l’activation et la désactivation du service de protection Azure Rights Management
- Configurer les étiquettes et les paramètres de protection
- Configurer la stratégie Azure Information Protection
- Exécutez toutes les applets de commande PowerShell pour le client Azure Information Protection et à partir du module AIPService.
Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.
Pour connaître les autres autorisations dont dispose un utilisateur disposant de ces rôles, consultez la section Rôles disponibles dans la documentation Azure Active Directory.
Notes
Ces rôles ne prennent pas en charge le suivi et la révocation de documents pour les utilisateurs.
Administrateur de sécurité
Ce rôle d’administrateur Azure Active Directory permet aux administrateurs de configurer Azure Information Protection dans le Portail Azure et certains aspects d’autres services Azure.
Les administrateurs disposant de ce rôle ne peuvent pas exécuter les applets de commande PowerShell à partir du module AIPService, ni suivre et révoquer des documents pour les utilisateurs.
Pour affecter un utilisateur à ce rôle d’administration, consultez Affecter un utilisateur à des rôles d’administration dans Azure Active Directory.
Pour connaître les autres autorisations qu’un rôle donne à un utilisateur, consultez la section Rôles disponibles dans la documentation d’Azure Active Directory.
administrateur général Azure Rights Management et administrateur de connecteurs
Le rôle Administrateur général permet aux utilisateurs d’exécuter toutes les applets de commande PowerShell à partir du module AIPService sans en faire un administrateur général pour d’autres services cloud.
Le rôle Administrateur de connecteur permet aux utilisateurs d’exécuter uniquement le connecteur Rights Management (RMS).
Ces rôles d’administration n’accordent pas d’autorisations aux consoles de gestion. Le rôle Administrateur de connecteur ne prend pas non plus en charge le suivi et la révocation de documents pour les utilisateurs.
Pour attribuer l’un de ces rôles d’administration, utilisez l’applet de commande PowerShell AIPService , Add-AipServiceRoleBasedAdministrator.
La solution Azure Information Protection prend-elle en charge les scénarios sur site et hybrides ?
Oui. Bien qu’Azure Information Protection soit une solution basée sur le cloud, elle peut classer, étiqueter et protéger des documents et des e-mails stockés sur site, ainsi que dans le cloud.
Si vous avez Exchange Server, SharePoint Server et les serveurs de fichiers Windows, utilisez l’une des méthodes suivantes ou les deux :
- Déployer le connecteur Rights Management afin que ces serveurs locaux puissent utiliser le service Azure Rights Management pour protéger vos e-mails et documents
- Synchronisez et fédèrez vos contrôleurs de domaine Active Directory avec Azure AD pour une expérience d’authentification plus transparente pour les utilisateurs. Par exemple, utilisez Azure AD Connect.
Le service Azure Rights Management génère et gère automatiquement les certificats XrML en fonction des besoins, de sorte qu’il n’utilise pas d’infrastructure à clé publique locale.
Pour plus d’informations sur la façon dont Azure Rights Management utilise les certificats, consultez la procédure pas à pas du fonctionnement d’Azure RMS : première utilisation, protection du contenu, consommation de contenu.
Quels sont les types de données qu’Azure Information Protection peut classifier et protéger ?
Azure Information Protection peut classifier et protéger des e-mails et des documents, localement ou dans le cloud. Ces documents sont notamment des documents Word, des feuilles de calcul Excel, des présentations PowerPoint, des documents PDF, des fichiers texte et des fichiers image.
Pour plus d’informations, consultez la liste complète des types de fichiers pris en charge.
Notes
Azure Information Protection ne peut pas classifier et protéger les données structurées telles que les fichiers de base de données, les éléments de calendrier, les publications Yammer, le contenu Sway et les blocs-notes OneNote.
Conseil
Power BI prend en charge la classification à l’aide d’étiquettes de confidentialité et peut appliquer une protection contre ces étiquettes aux données exportées vers les formats de fichier suivants : .pdf, .xls et .ppt. Pour plus d’informations, consultez Protection des données dans Power BI.
Je vois qu’Azure Information Protection est répertoriée en tant qu’application cloud disponible pour l’accès conditionnel : comment cela fonctionne-t-il ?
Oui, en tant qu’offre en préversion, vous pouvez configurer l’accès conditionnel Azure AD pour Azure Information Protection.
Lorsqu’un utilisateur ouvre un document protégé par Azure Information Protection, les administrateurs peuvent à présent lui bloquer ou lui accorder l’accès, selon les contrôles d’accès conditionnel standard. L’authentification multifacteur (MFA) est l’une des conditions les plus couramment demandées. Un autre est que les appareils doivent être conformes à vos stratégies de Intune afin que, par exemple, les appareils mobiles répondent à vos exigences de mot de passe et à une version minimale du système d’exploitation, et que les ordinateurs doivent être joints à un domaine.
Pour plus d’informations et des exemples de procédure pas à pas, consultez le blog suivant : Conditional Access policies for Azure Information Protection (Stratégies d’accès conditionnel pour Azure Information Protection).
Informations complémentaires :
| Rubrique | Détails |
|---|---|
| Fréquence d’évaluation | Pour les ordinateurs Windows et la version préliminaire actuelle, les stratégies d’accès conditionnel pour Azure Information Protection sont évaluées lorsque l’environnement utilisateur est initialisé (ce processus est également appelé amorçage), puis tous les 30 jours. Pour affiner la fréquence à laquelle vos stratégies d’accès conditionnel sont évaluées, configurez la durée de vie du jeton. |
| Comptes d’administrateur | Nous vous recommandons de ne pas ajouter de comptes d’administrateur à vos stratégies d’accès conditionnel, car ces comptes ne pourront pas accéder au volet Azure Information Protection dans le Portail Azure. |
| Collaboration MFA et B2B | Si vous utilisez MFA dans vos stratégies d’accès conditionnel pour collaborer avec d’autres organisations (B2B), vous devez utiliser Azure AD B2B Collaboration et créer des comptes Invité pour les utilisateurs de l’autre organisation avec lesquels vous souhaitez partager. |
| Invites de conditions d’utilisation | Avec la préversion d’Azure AD de décembre 2018, vous pouvez maintenant inviter les utilisateurs à accepter des conditions d’utilisation avant d’ouvrir un document protégé pour la première fois. |
| Applications cloud | Si vous utilisez un grand nombre d’applications cloud pour l’accès conditionnel, Microsoft Azure Information Protection risque de ne pas s’afficher dans la liste de sélection. Dans ce cas, utilisez la zone de recherche située en haut de la liste. Commencez à taper « Microsoft Azure Information Protection » pour filtrer les applications disponibles. À condition d’avoir un abonnement pris en charge, vous pourrez alors sélectionner Microsoft Azure Information Protection. |
Notes
La prise en charge d’Azure Information Protection pour l’accès conditionnel est actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Azure Information Protection peut-il être utilisé dans mon pays ?
Les pays ont chacun leurs réglementations et leurs exigences. Pour vous aider à répondre à cette question pour votre organisation, consultez Adaptation aux différents pays.
Comment Azure Information Protection peut-il aider pour le RGPD ?
Notes
Si vous souhaitez afficher ou supprimer des données personnelles, consultez les conseils de Microsoft dans le Gestionnaire de conformité Microsoft Purview et dans la section RGPD du site de conformité Microsoft 365 Entreprise. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail d’approbation de services.
Où puis-je trouver des informations annexes sur Azure Information Protection (considérations juridiques, conformité, contrats de niveau de service, etc.) ?
Consultez Conformité et informations annexes pour Azure Information Protection.
Comment puis-je signaler un problème ou envoyer des commentaires pour Azure Information Protection ?
Pour le support technique, utilisez vos canaux de support standard ou contactez le support technique Microsoft.
Nous vous invitons également à contacter l’équipe d’ingénieurs sur son site Yammer Azure Information Protection.
Que faire si ma question n’est pas ici ?
Tout d’abord, passez en revue les questions fréquemment posées ci-dessous, qui sont spécifiques à la classification et à l’étiquetage, ou spécifiques à la protection des données. Le service Azure Rights Management (Azure RMS) fournit la technologie de protection des données pour Azure Information Protection. Azure RMS peut être utilisé avec la classification et l’étiquetage, ou de façon autonome.
Si vous ne répondez pas à votre question, consultez les liens et les ressources répertoriés dans Informations et support pour Azure Information Protection.