Tutoriel : migration du client classique Azure Information Protection (AIP) vers la solution d’étiquetage unifié

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le nouveau client Microsoft Protection des données (sans le complément) est actuellement en préversion et planifié pour la disponibilité générale.

Pour fournir une expérience client unifiée et simplifiée, le client classique Azure Information Protection et la Gestion des étiquettes du Portail Azure sont déconseillés à compter du 31 mars 2021. Tandis que le support du client classique continue de fonctionner tel que configuré, toute autre forme de support ne sera plus assurée et les versions de maintenance ne seront plus publiées pour le client classique.

Nous vous recommandons de migrer vers l’étiquetage unifié et d’effectuer une mise à niveau vers le client d’étiquetage unifié. En savoir plus dans notre mise à jour récente sur la dépréciation.

Ce tutoriel explique comment migrer le déploiement Azure Information Protection de votre organisation à partir du client classique, et la gestion des stratégies d’étiquettes/des étiquettes dans le portail Azure, vers la solution d’étiquetage unifiée et les étiquettes de confidentialité Microsoft 365.

Temps nécessaire : le temps nécessaire pour effectuer une migration dépend de la complexité de vos stratégies et des fonctionnalités AIP que vous utilisez. Vous pouvez continuer à travailler avec le client classique pendant la migration en arrière-plan.

Ce tutoriel fournit une description générale de chaque étape, puis des références à la section appropriée dans la documentation Microsoft pour plus d’informations.

Dans ce didacticiel, vous allez :

• en savoir plus sur la planification de votre migration
• migrer vos étiquettes vers la plateforme d’étiquetage unifié
• Apprendre à configurer les paramètres avancés dans le portail de conformité Microsoft Purview
• copier vos stratégies sur la plateforme d’étiquetage unifié
• déployer le client d’étiquetage unifié

Pourquoi migrer vers la solution d’étiquetage unifiée ?

En plus de la mise hors service du client classique, la migration vers la solution d’étiquetage unifié vous permet de protéger efficacement les données sensibles dans votre patrimoine numérique. Une fois la migration terminée, utilisez Microsoft Purview Information Protection dans les services cloud Microsoft 365, en local, dans les applications SaaS tierces, etc.

MIP prend en charge les services d’étiquetage intégrés pour de nombreuses fonctionnalités de protection des informations de base, ce qui vous permet de réserver l’utilisation des clients uniquement pour les fonctionnalités supplémentaires non prises en charge par les étiquettes intégrées.

• Réduire les coûts de maintenance, en déployant et en conservant moins de logiciels supplémentaires
• Améliorer les performances Office, sans besoin de compléments supplémentaires
• Simplifiez la gestion de vos stratégies d’étiquetage et de protection sur AIP, Office 365 et Windows en utilisant le portail de conformité Microsoft Purview.

Pour plus d’informations, consultez le blog Compréhension de la migration de l’étiquetage unifié.

Planification de votre migration

Si la plupart des fonctionnalités disponibles pour le client classique AIP sont également disponibles pour le client d’étiquetage unifié, certaines fonctionnalités ne sont pas encore entièrement disponibles et certaines sont configurées différemment pour l’étiquetage unifié.

Examinez les articles suivants pour comprendre en quoi les fonctionnalités Information Protection que vous utilisez peuvent différer lorsque vous utilisez le client d’étiquetage unifié :

• Découvrir les fonctionnalités d’étiquetage intégrées dans les applications Office
• Découvrir l’étiquetage intégré et le client d’étiquetage unifié AIP
• Découvrir comment gérer les paramètres d’étiquettes qui ne sont pas pris en charge dans le portail de conformité Microsoft Purview

Conseil

S’il existe des différences documentées entre les clients qui ont une incidence sur le comportement de vos utilisateurs finaux, nous vous recommandons de communiquer ces modifications de façon efficace à vos utilisateurs avant de déployer le client d’étiquetage unifié et de publier votre nouvelle stratégie.

Une fois que vous avez planifié votre migration et compris les modifications qui vont se produire, continuez avec Migration des étiquettes vers la plateforme d’étiquetage unifié.

Migration des étiquettes vers la plateforme d’étiquetage unifié

Après avoir planifié la migration et envisagé la manière dont vous gérerez les différences entre les clients, vous êtes prêt à activer l’étiquetage unifié et à migrer vos étiquettes.

Lors de la migration, vous pouvez continuer à utiliser le client classique AIP et les stratégies dans la zone Azure Information Protection du Portail Azure. Les deux clients peuvent travailler côte à côte sans configuration supplémentaire.

1. Connectez-vous au Portail Azure en tant qu’administrateur ayant l’un des rôles suivants :

   • Administrateur de conformité
   • Administrateur des données de conformité
   • Administrateur de la sécurité
   • Administrateur global

2. Dans la zone Azure Information Protection, sous Gérer à gauche, sélectionnez Étiquetage unifié.

   En haut de la page, sélectionnez Activer pour activer l’étiquetage unifié.

   Vos étiquettes sont copiées d’Azure Information Protection vers la plateforme d’étiquetage unifié et sont désormais stockées dans les deux systèmes.

   Ouvrez le portail de conformité Microsoft Purview pour comparer les étiquettes qui y sont affichées et qui sont affichées dans la zone Azure Information Protection. Les deux listes doivent être identiques. Par exemple, lors de la comparaison avec le portail de conformité Microsoft Purview :

   

   Remarque

   Si nécessaire, continuez à utiliser les étiquettes dans les deux systèmes jusqu’à ce que vous finissiez la migration. Pour plus d'informations, consultez Synchronisation des modifications en matière d’étiquetage.

Continuer avec Copier les stratégies sur la plateforme d’étiquetage unifié.

Synchronisation des modifications en matière d’étiquetage

Une fois vos étiquettes migrées vers le portail de conformité Microsoft Purview, les modifications que vous continuez à apporter aux étiquettes migrées dans le portail Azure sont automatiquement synchronisées avec la même étiquette dans le portail de conformité Microsoft Purview.

Toutefois, les modifications qui ont été faites pour migrer des étiquettes dans le portail de conformité Microsoft Purview ne sont pas synchronisées avec le portail Azure. Si vous apportez des modifications dans le portail de conformité Microsoft Purview et si vous avez besoin qu’elles soient mises à jour dans le portail Azure, retournez au portail pour publier la mise à jour.

Publier une étiquette mise à jour dans le Portail Azure :

1. Dans la zone Azure Information Protection, sous Gérer à gauche, sélectionnez Étiquetage unifié.

2. Sélectionnez Publier.

Remarque

Cette étape n’est requise que si vous avez apporté des modifications à vos étiquettes migrées sur la plateforme d’étiquetage unifié et que vous devez synchroniser ces modifications avec le Portail Azure.

Migration des étiquettes via PowerShell

Vous pouvez également utiliser PowerShell pour migrer vos étiquettes existantes, par exemple pour un environnement GCC High.

Utilisez la cmdlet New-Label pour migrer vos étiquettes de confidentialité existantes.

Par exemple, si votre étiquette de confidentialité est chiffrée, vous pouvez utiliser la cmdlet New-Label comme suit :

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Pour plus d’informations sur la façon de travailler dans des environnements GCC, GCC-High et DoD, consultez la Description du service Azure Information Protection Premium pour le gouvernement.

Copier des stratégies sur la plateforme d’étiquetage unifié

Copiez toutes les stratégies que vous avez stockées dans le Portail Azure et que vous voulez mettre à disposition, telles qu’elles sont, sur la plateforme d’étiquetage unifié.

Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Remarque

La copie de stratégies présente certaines limitations. Vous pouvez également tout recommencer et créer vos stratégies manuellement dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez la documentation de Microsoft 365.

Pour copier vos stratégies :

1. Prenez en compte les éléments suivants et confirmez que vous voulez copier vos stratégies maintenant :

   Considération	Description
   La copie de stratégies copie toutes vos stratégies	La copie de stratégies ne prend pas en charge la copie de stratégies spécifiques uniquement ; il s’agit de toutes vos stratégies ou d’aucune d’entre elles.
   La copie publie automatiquement vos stratégies	La copie de vos stratégies sur le client d’étiquetage unifié les publie automatiquement sur tous les clients unifiés pris en charge par l’étiquetage. Important : ne copiez pas vos stratégies si vous ne voulez pas les publier.
   La copie remplace les stratégies existantes portant le même nom	Si une stratégie du même nom existe déjà dans le portail de conformité Microsoft Purview, la copie de vos stratégies a pour effet d’écraser tous les paramètres définis dans cette stratégie. Toutes les stratégies copiées à partir du Portail Azure utilisent la syntaxe suivante : AIP_<policy name>.
   Certains paramètres du client ne sont pas copiés	Certains paramètres du client ne sont pas copiés sur la plateforme d’étiquetage unifié et doivent être configurés manuellement après la migration. Pour plus d’informations, consultez Configuration des paramètres avancés d’étiquetage

2. Connectez-vous au Portail Azure en tant qu’administrateur ayant l’un des rôles suivants :

   • Administrateur de conformité
   • Administrateur des données de conformité
   • Administrateur de la sécurité
   • Administrateur global

3. Dans la zone Azure Information Protection, sous Gérer à gauche, sélectionnez Étiquetage unifié.

4. Sélectionnez Copier les stratégies (préversion). Toutes les stratégies que vous avez stockées dans le portail Azure sont copiées dans le portail de conformité Microsoft Purview.

   S’il existe déjà des stratégies du même nom dans le portail de conformité Microsoft Purview, ces dernières sont écrasées avec les paramètres du portail Azure.

   Important

   Si vous utilisez actuellement Microsoft Defender pour les applications cloud et les étiquettes Azure Information Protection, vérifiez que vous avez publié au moins une stratégie avec un ensemble minimal d’étiquettes sur le portail de conformité Microsoft Purview, même si la stratégie est définie sur un seul utilisateur.

   Cette stratégie est requise pour que les applications Microsoft Defender pour le cloud identifient toutes les étiquettes du portail de conformité Microsoft Purview et les affichent dans le portail des applications Microsoft Defender pour le cloud.

À présent que vous avez migré vos étiquettes et stratégies, continuez avec Configurer des paramètres avancés d’étiquetage pour couvrir les configurations avancées qui n’ont pas été migrées.

Configuration des paramètres avancés d’étiquetage

Comme expliqué au cours de la phase de planification, certains paramètres avancés d’étiquetage ne sont pas migrés automatiquement et doivent être reconfigurés pour la plateforme d’étiquetage unifié.

Pour plus d’informations, consultez l’article suivant :

• Configurer les paramètres avancés d’étiquetage dans PowerShell
• Définir les conditions d’étiquetage dans le portail de conformité Microsoft Purview

Configurer les paramètres avancés d’étiquetage dans PowerShell

1. Connecter au module PowerShell du Centre de sécurité et de conformité. Pour plus d’informations, consultez la documentation PowerShell du Centre de sécurité et de conformité.

2. Pour définir un paramètre avancé d’étiquetage, utilisez la cmdlet Set-Label, spécifiez le paramètre AdvancedSettings, l’étiquette à laquelle vous voulez appliquer le paramètre, ainsi que des paires clé/valeur pour définir votre paramètre.

   Utilisez la syntaxe suivante :

   Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
   

   Où :

   • <LabelGUIDorName> identifie votre étiquette à l’aide du nom de l’étiquette ou du GUID
   • <Key> est la clé ou le nom du paramètre avancé que vous souhaitez définir
   • <Value> est la valeur du paramètre que vous souhaitez définir. Saisissez votre valeur entre guillemets et séparez les valeurs par des virgules. Les espaces blancs ne sont pas pris en charge.

3. Pour commencer, configurez les paramètres avancés suivants :

   • Spécifier une couleur pour l’étiquette
   • Spécifier une sous-étiquette par défaut pour une étiquette parente
   • Configurer une étiquette pour appliquer la protection S/MIME dans Outlook
   • Définir des étiquettes à l’aide des propriétés personnalisées
   • Définir des translations d’étiquettes.

   Pour plus d’informations sur les configurations avancées disponibles, consultez le Guide de l’administrateur : configurations personnalisées pour le client d’étiquetage unifié Azure Information Protection.

Remarque

Pour tirer parti des paramètres que vous avez définis pour la plateforme d’étiquetage unifié, les utilisateurs finaux doivent avoir installé le client d’étiquetage unifié sur leurs ordinateurs.

Ces paramètres avancés ne sont pas disponibles pour les utilisateurs qui ont uniquement des étiquettes intégrées fournies par Office 365.

Définir les conditions d’étiquetage dans le portail de conformité Microsoft Purview

Les conditions d’étiquetage unifié offrent plus de flexibilité et de précision que leurs équivalents qui ont été créés dans le Portail Azure.

Pour tirer parti des fonctionnalités de condition d’étiquetage unifié, créez vos conditions d’étiquetage manuellement dans le portail de conformité Microsoft Purview.

Pour plus d’informations, consultez Ce que peuvent faire les étiquettes de sensibilité dans la documentation Microsoft 365.

Conseil

Si vous avez des types d’informations sensibles personnalisés créés pour une utilisation avec Office 365 DLP ou Microsoft Defender for Cloud Apps, appliquez-les en l’état à l’étiquetage unifié. Pour plus d’informations, consultez la documentation de Microsoft 365.

Déployer un client d’étiquetage unifié

Déployez un client qui prend en charge l’étiquetage unifié sur les ordinateurs de vos utilisateurs pour leur permettre d’utiliser vos étiquettes et stratégies d’étiquetage unifié.

Les utilisateurs doivent avoir un client pris en charge qui peut se connecter au portail de conformité Microsoft Purview et extraire la stratégie d’étiquetage unifié.

Pour plus d’informations, consultez l’article suivant :

• Plateformes non Windows
• Plateformes Windows
• Quelles modifications ont été apportées aux utilisateurs finaux du client classique ?

Plateformes non Windows

Pour les utilisateurs de plateformes non Windows, les fonctionnalités d’étiquetage unifié sont directement intégrées aux clients Office et peuvent utiliser les étiquettes que vous avez publiées immédiatement.

Les clients Office avec des fonctionnalités d’étiquetage unifié intégrées sont les suivants :

• Clients Office pour macOS
• Office sur le web (préversion)
• L’application Web Outlook
• Outlook pour mobile

Pour plus d’informations sur l’étiquetage unifié sur ces plateformes, consultez Appliquer des étiquettes de confidentialité à vos fichiers et e-mails dans Office sur le site du support technique de Microsoft.

Plateformes Windows

Pour les ordinateurs Windows avec les applications Microsoft 365 pour Enterprise, utilisez la prise en charge de l’étiquetage intégré fournie dans Office versions 1910 et ultérieures ou installez le client d’étiquetage unifié Azure Information Protection pour étendre la fonctionnalité d’étiquetage AIP à l’Explorateur de fichiers ou à PowerShell.

Pour plus d’informations, consultez l’article suivant :

• Découvrir l’étiquetage intégré et le client d’étiquetage unifié AIP
• Démarrage rapide : Déploiement du client d’étiquetage unifié Azure Information Protection (AIP)

Le client d’étiquetage unifié Azure Information Protection peut être téléchargé à partir du Centre de téléchargements Microsoft.

Veillez à utiliser le fichier AzInfoProtection_UL pour déployer le client. Si le client classique est actuellement installé sur votre ordinateur, l’installation du client d’étiquetage unifié effectue une mise à niveau sur place.

Remarque

Prenez en compte la fonctionnalité AIP actuellement requise par votre organisation pour déterminer quand utiliser l’étiquetage intégré et quand utiliser le client d’étiquetage unifié.

Quelles modifications ont été apportées aux utilisateurs finaux du client classique ?

La principale différence, la plus visible pour les utilisateurs finaux qui ont utilisé le client classique Azure Information Protection, est que le bouton Protéger dans les applications Office est remplacé par le bouton Confidentialité.

Une fois que vous tirez parti des fonctionnalités supplémentaires prises en charge par les étiquettes de confidentialité et l’étiquetage unifié, les utilisateurs finaux voient également ces modifications dans les applications Office.

Par exemple :

• Client classique AIP Windows

  

• Client d’étiquetage unifié AIP Windows

  

Conseil

Si vous avez publié vos étiquettes et que les clients pour qui la prise en charge est intégrée n’affichent pas le bouton Confidentialité, examinez le guide de dépannage approprié, si nécessaire.

Mise à niveau du scanner à partir du client classique

Si vous utilisez actuellement le scanneur Azure Information Protection à partir du client Azure Information Protection classique, vous pouvez le mettre à niveau pour utiliser des types d’informations sensibles et des étiquettes de sensibilité publiés à partir du portail de conformité Microsoft Purview.

La mise à niveau du scanneur dépend de la version du client classique que vous exécutez actuellement :

• Mise à niveau à partir de la version 1.48.204.0 et les versions ultérieures

• Mise à niveau à partir des versions antérieures à 1.48.204.0

La mise à niveau crée une nouvelle base de données nommée AIPScannerUL_<profile_name> et la base de données du scanneur précédent est conservée au cas où vous en ayiez besoin pour la version précédente. Lorsque vous êtes certain de ne pas avoir besoin de la base de données de scanneur précédente, vous pouvez la supprimer. Étant donné que la mise à niveau crée une base de données, le scanneur réexécutera tous les fichiers la première fois qu’il s’exécutera.

Mise à niveau à partir de la version 1.48.204.0 du client classique Azure Information Protection et versions ultérieures de ce client

Si vous avez mis à niveau le scanneur à l’aide de la préversion du client d’étiquetage unifié, vous n’avez pas besoin de réexécuter ces instructions.

1. Sur l’ordinateur du scanner, arrêtez le service de l’analyseur, Analyseur Azure Information Protection.

2. Effectuez une mise à niveau vers le client d’étiquetage unifié Azure Information Protection en téléchargeant et en installant le client d’étiquetage unifié à partir du Centre de téléchargement Microsoft.

3. Dans une session PowerShell, exécutez la commande Update-AIPScanner avec le profil de votre scanneur. Par exemple : Update-AIPScanner –Profile Europe.

   Cette étape crée une nouvelle base de données portant le nom AIPScannerUL_<nom_profil>

4. Redémarrez le service du scanner Azure Information Protection, Scanner Azure Information Protection.

Vous pouvez maintenant utiliser le reste des instructions dans Déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers, en omettant l’étape d’installation du scanneur. Étant donné que le scanneur est déjà installé, il n’y a aucune raison de le réinstaller.

Mettre à niveau à partir des versions du client classique Azure Information Protection antérieures à 1.48.204.0

Important

Pour un chemin de mise à niveau fluide, n’installez pas le client d’étiquetage unifié Azure Information Protection sur l’ordinateur exécutant le scanneur comme première étape pour mettre à niveau le scanneur. Utilisez plutôt les instructions de mise à niveau suivantes.

À compter de la version 1.48.204.0, le scanneur obtient ses paramètres de configuration à partir du portail Azure, à l’aide d’un profil de configuration. La mise à niveau du scanneur inclut l’instruction du scanneur d’utiliser cette configuration en ligne et, pour le client d’étiquetage unifié, la configuration hors connexion du scanneur n’est pas prise en charge.

1. Utilisez le Portail Azure pour créer un profil de scanner qui inclut les paramètres du scanner et de vos référentiels de données avec tous les paramètres dont ils ont besoin. Pour obtenir de l’aide sur cette étape, consultez Configurer le scanneur dans le portail Azure à partir des instructions de déploiement du scanneur.

2. Sur l’ordinateur du scanner, arrêtez le service de l’analyseur, Analyseur Azure Information Protection.

3. Effectuez une mise à niveau vers le client d’étiquetage unifié Azure Information Protection en téléchargeant et en installant le client d’étiquetage unifié à partir du Centre de téléchargement Microsoft.

4. Dans une session PowerShell, exécutez la commande Update-AIPScanner avec le même nom de profil que celui que vous avez spécifié à l’étape 1. Par exemple : Update-AIPScanner –Profile Europe

5. Redémarrez le service du scanner Azure Information Protection, Scanner Azure Information Protection.

Vous pouvez maintenant utiliser le reste des instructions dans Déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers, en omettant l’étape d’installation du scanneur. Étant donné que le scanneur est déjà installé, il n’y a aucune raison de le réinstaller.

Étapes suivantes

Une fois que vous avez migré vos étiquettes, stratégies et clients déployés selon vos besoins, continuez en gérant les étiquettes et stratégies d’étiquetage uniquement dans le portail de conformité Microsoft Purview.

Avec la plateforme d’étiquetage unifié, il vous suffit de revenir à la zone Azure Information Protection du Portail Azure pour :

• Utiliser le scanner AIP
• Analyser les activités d’étiquetage à l’aide de l’analyse AIP

Nous recommandons aux utilisateurs finaux de tirer parti des fonctionnalités d’étiquetage intégrées des dernières applications Office pour le web, Mac, iOS et Android, ainsi que de Microsoft 365 Apps pour Enterprise.

Pour utiliser des fonctionnalités AIP supplémentaires pas encore prises en charge par l’étiquetage intégré, nous vous recommandons d’utiliser le dernier client d’étiquetage unifié pour Windows.