En quoi consiste Azure Rights Management ?

Azure Rights Management (Azure RMS) est la technologie de protection basé sur le cloud utilisée par Azure Information Protection.

Azure RMS aide à protéger les fichiers et les e-mails sur plusieurs appareils, notamment les téléphones, les tablettes et les PC, à l’aide de stratégies de chiffrement, d’identité et d’autorisation.

Par exemple, quand des employés envoient un document par e-mail à une société partenaire ou qu’ils enregistrent un document sur leur lecteur Cloud, la protection permanente Azure RMS permet de sécuriser les données.

  • Les paramètres de protection sont conservés avec vos données, même quand celles-ci quittent les limites de votre organisation ; votre contenu est ainsi protégé à l’intérieur et à l’extérieur de votre organisation.

  • L’utilisation de Azure RMS peut également être requise juridiquement à des fins de conformité ou de découverte légale, ou en guise de meilleure pratique pour la gestion des informations.

  • Utilisez Azure RMS avec des abonnements Microsoft 365 ou des abonnements pour Azure Information Protection. Pour plus d’informations, consultez les conseils de licence Microsoft 365 pour la page de conformité de la sécurité&.

Azure RMS garantit que les personnes et services autorisés, par exemple la recherche et l’indexation, peuvent continuer à lire et à inspecter les données protégées.

La garantie de l’accès permanent pour les personnes et les services autorisés, également appelée « raisonnement concernant les données », est un élément essentiel dans le maintien du contrôle des données de votre organisation. Ceci peut être délicat à mettre en œuvre avec d’autres solutions de protection des informations qui utilisent le chiffrement pair à pair.

Fonctionnalités de protection

Fonctionnalité Description
Protéger plusieurs types de fichiers Dans les précédentes implémentations de Rights Management, seuls les fichiers Office pouvaient être protégés, à l’aide de la protection Rights Management intégrée.

Azure Information Protection prend en charge des types de fichiers supplémentaires. Pour plus d’informations, consultez Types de fichiers pris en charge.
Protection des fichiers en tout lieu Quand un fichier est protégé, il reste protégé même s’il est enregistré ou copié vers un emplacement de stockage non contrôlé par le service informatique, comme un service de stockage cloud.

Fonctionnalités de collaboration

Fonctionnalité Description
Partager des informations en toute sécurité Les fichiers protégés peuvent être partagés sans risque avec d’autres personnes, par exemple en tant que pièce jointe à un e-mail ou un lien vers un site SharePoint.

Si les informations sensibles se trouvent dans un message électronique, protégez l’e-mail ou utilisez l’option Ne pas transférer d’Outlook.
Prise en charge pour les collaborations interentreprises Dans la mesure où Azure Rights Management est un service cloud, il n’est pas nécessaire de configurer explicitement des approbations avec d’autres entreprises pour pouvoir partager du contenu protégé avec elles.

La collaboration avec d’autres organisations qui disposent déjà d’un répertoire Microsoft 365 ou Azure AD est automatiquement prise en charge.

Pour les organisations sans Microsoft 365 ou un annuaire Azure AD, les utilisateurs peuvent s’inscrire à l’abonnement RMS gratuit pour des personnes ou utiliser un compte Microsoft pour les applications prises en charge.

Conseil

Le fait de joindre des fichiers protégés, plutôt que de protéger l’intégralité d’un e-mail, vous permet de maintenir le texte de l’e-mail non chiffré.

Par exemple, vous souhaiterez peut-être inclure des instructions pour une première utilisation si l’e-mail est envoyé en dehors de votre organisation. Si vous joignez un fichier protégé, les instructions de base peuvent être lues par n’importe qui, mais seuls les utilisateurs autorisés pourront ouvrir le document, même si l’e-mail ou le document est transféré à d’autres personnes.

Fonctionnalités de prise en charge de plateforme

Azure RMS prend en charge un large éventail de plateformes et d’applications, notamment :

Fonctionnalité Description
Appareils
couramment utilisés pas seulement les ordinateurs Windows
Les appareils clients incluent : -

Ordinateurs windows et téléphones
- Ordinateurs Mac
- Tablettes et téléphones
iOS - Tablettes Android et téléphones
Services locaux En plus de travailler en toute transparence avec Office 365, utilisez Azure Rights Management avec les services locaux suivants lorsque vous déployez le connecteur RMS :

- Exchange Server
- SharePoint Server - Windows Server
exécutant l’infrastructure de classification de fichiers
Extensibilité des applications Azure Rights Management est étroitement intégré aux applications et services Microsoft Office, mais prend également en charge d’autres applications grâce au client Azure Information Protection.

Le Kit de développement logiciel (SDK) Protection des données Microsoft fournit à vos développeurs et fournisseurs de logiciels internes des API pour écrire des applications personnalisées qui prennent en charge Azure Information Protection.

Pour plus d’informations, consultez Autres applications qui prennent en charge les API Rights Management.

Fonctionnalités d’infrastructure

Azure RMS fournit les fonctionnalités suivantes pour soutenir les services informatiques et les organisations d’infrastructure :

Notes

Les organisations ont toujours la possibilité de cesser d’utiliser le service Azure Rights Management sans perdre l’accès au contenu précédemment protégé par Azure Rights Management.

Pour plus d’informations, consultez Désaffectation et désactivation de Azure Rights Management.

Création de stratégies simples et flexibles

Les modèles de protection personnalisés permettent aux administrateurs d’appliquer des stratégies rapidement et facilement, et aux utilisateurs d’appliquer le niveau de protection qui convient à chaque document, tout en limitant l’accès au personnel interne de votre organisation.

Par exemple, pour partager un document stratégique avec tous les employés de votre entreprise, appliquez une stratégie de lecture seule à tout le personnel interne. Pour un document sensible tel qu’un rapport financier, limitez l’accès aux cadres de l’entreprise.

Configurez vos stratégies d’étiquetage dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez la documentation relative à l’étiquetage de confidentialité pour Microsoft 365.

Facilité d'activation

Pour les nouveaux abonnements, l’activation est automatique. Pour les abonnements existants, l’activation du service Rights Management ne nécessite que quelques clics dans votre portail de gestion, ou deux commandes PowerShell.

Services d’audit et de supervision

Auditez et supervisez l’utilisation de vos fichiers protégés, même quand ceux-ci sortent des limites de votre organisation.

Par exemple, si un employé de Contoso, Ltd travaille sur un projet commun avec trois personnes de Fabrikam, Inc, il peut envoyer à ses partenaires Fabrikam un document protégé et limité en lecture seule.

L'audit Azure RMS peut vous fournir les informations suivantes :

  • Si les partenaires Fabrikam ont ouvert le document et quand.

  • Si d’autres personnes, qui n’ont pas été spécifiées, ont tenté sans succès d’ouvrir le document. Cela peut se produire si l’e-mail a été transféré ou enregistré à un emplacement partagé.

Les administrateurs AIP peuvent suivre l’utilisation des documents et révoquer l’accès des fichiers Office. Les utilisateurs peuvent révoquer l’accès pour leurs documents protégés en fonction des besoins.

Capacité d’adaptation de votre organisation

Dans la mesure où Azure Rights Management s’exécute en tant que service cloud et que l’élasticité Azure permet d’effectuer un scale-up et un scale-out, vous n’avez pas à configurer ou déployer des serveurs locaux supplémentaires.

Maintien du contrôle informatique sur les données

Les organisations peuvent tirer parti de fonctionnalités de contrôle informatique telles que les suivantes :

Fonctionnalité Description
Gestion des clés de locataire Utilisez des solutions de gestion des clés de locataire, telles que Bring Your Own Key (BYOK) ou le chiffrement à clé double (DKE).

Pour plus d’informations, consultez :
- Planification et implémentation de la clé de locataire AIP
- DKE dans la documentation Microsoft 365.
Audit et journalisation de l’utilisation Utilisez les fonctionnalités d’audit et de journalisation de l’utilisation pour analyser les insights métier, détecter les abus et effectuer une analyse d’investigation en cas de fuite d’informations.
Délégation de l’accès L’accès délégué à l’aide de la fonctionnalité de super utilisateur garantit que le service informatique a toujours accès au contenu protégé, même si celui-ci a été protégé par un employé ne faisant plus partie de l’organisation.
En comparaison, les solutions de chiffrement homologue à homologue risquent de perdre l’accès aux données de l’entreprise.
Synchronisation Active Directory Synchronisez uniquement les attributs d’annuaire dont Azure RMS a besoin afin de prendre en charge une identité commune pour vos comptes Active Directory locaux, en utilisant une solution d’identité hybride comme Azure AD Connect.
Authentification unique Activez l’authentification unique sans réplication des mots de passe dans le cloud à l’aide d’AD FS.
Migration à partir d’AD RMS Si vous avez déployé les services AD RMS (Active Directory Rights Management Services), migrez vers le service Azure Rights Management sans perdre l’accès aux données précédemment protégées par AD RMS.

Respect des obligations réglementaires, de conformité et de sécurité

Azure Rights Management respecte les obligations réglementaires, de conformité et de sécurité suivantes :

  • Utilisation du chiffrement standard et prise en charge de la norme FIPS 140-2. Pour plus d’informations, consultez les informations de Contrôles de chiffrement utilisés par Azure RMS : algorithmes et longueurs de clé.

  • Prise en charge du module de sécurité matériel (HSM) nCipher nShield pour stocker votre clé de locataire dans les centres de données Microsoft Azure.

    Azure Rights Management utilise des environnements de sécurité distincts pour ses centres de données d’Amérique du Nord, de la zone EMEA (Europe, Moyen-Orient et Afrique) et d’Asie. Par conséquent, vos clés peuvent uniquement être utilisées dans votre région.

  • Certification pour les normes suivantes :

    • ISO/IEC 27001:2013 (./y compris ISO/IEC 27018)
    • Attestations SOC 2 SSAE 16/ISAE 3402
    • HIPAA BAA
    • Clause type de l'UE
    • L'agence FedRAMP, dans le cadre de la certification d'Azure Active Directory dans Office 365, a émis une autorisation d'utilisation par HHS
    • PCI DSS Level 1

Pour plus d'informations sur ces certifications externes, consultez le Centre de confidentialité de Azure.

Étapes suivantes

Pour obtenir plus d’informations techniques sur le fonctionnement du service Azure Rights Management, consultez Fonctionnement d’Azure RMS.

Si vous connaissez bien la version locale de Rights Management, Active Directory Rights Management Services (AD RMS), vous pouvez consulter le tableau de comparaison dans Comparaison d’Azure Rights Management et d’AD RMS.