Configurer des droits d’utilisation pour Azure Information Protection

Cet article décrit les droits d'utilisation que vous pouvez configurer pour qu'ils soient automatiquement appliqués lorsqu'une étiquette ou un modèle est sélectionné par des utilisateurs, des administrateurs ou des services configurés.

Les droits d’utilisation sont sélectionnés lorsque vous configurez des étiquettes de confidentialité ou des modèles de protection pour le chiffrement. Par exemple, vous pouvez sélectionner des rôles qui configurent un regroupement logique de droits d’utilisation, ou bien vous pouvez configurer les droits individuels séparément. Les utilisateurs peuvent également sélectionner et appliquer eux-mêmes les droits d’utilisation.

Par souci d’exhaustivité, cet article contient des valeurs tirées du portail Azure Classic, qui n’est plus en service depuis le 8 janvier 2018.

Important

Utilisez cet article pour comprendre comment les droits d’utilisation sont conçus pour être interprétés par les applications.

Les applications peuvent varier en fonction de la façon dont elles implémentent les droits d’utilisation, et nous vous recommandons de consulter la documentation de votre application et d’effectuer vos propres tests pour vérifier le comportement de l'application avant de la déployer en production.

Droits d’utilisation et descriptions

Le tableau suivant répertorie et décrit les droits d’utilisation pris en charge par Rights Management, ainsi que la façon dont ils sont utilisés et interprétés. Ils sont répertoriés par leur nom commun, généralement la façon dont ils sont affichés ou référencés, sous une forme plus conviviale que la valeur uniterme utilisée dans le code (la valeur Encodage dans la stratégie).

Dans ce tableau :

  • La constante ou valeur API est le nom SDK d’un appel MSIPC ou d’un appel SDK API Protection des données Microsoft Purview, utilisé lorsque vous écrivez une application qui vérifie la présence d'un droit d'utilisation ou qui ajoute un droit d'utilisation à une stratégie.

  • Le centre d'administration de l'étiquetage est le portail de conformité Microsoft Purview, où vous configurez les étiquettes de confidentialité.

Droits d’utilisation Description Implémentation
Nom commun : Modifier le contenu, Modifier

Encodage dans la stratégie : DOCEDIT
Permet à l’utilisateur de modifier, réorganiser, mettre en forme ou filtrer le contenu à l’intérieur de l’application, y compris Office sur le web. Il n’accorde pas le droit d’enregistrer la copie modifiée.

Dans Word, à moins de disposer d'Office 365 ProPlus avec une version minimale de 1807, ce droit n’est pas suffisant pour activer ou désactiver le suivi des modifications, ou pour utiliser toutes les fonctionnalités de suivi des modifications en tant que réviseur. Au lieu de cela, pour utiliser toutes les options de suivi des modifications, vous devez disposer du droit suivant : Contrôle total.
Droits personnalisés Office : dans le cadre des options Modifier et Contrôle total.

Nom dans le portail Azure Classic : Modifier le contenu

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Modifier le contenu, Modifier (DOCEDIT)

Nom dans les modèles AD RMS : Modifier

Constante ou valeur API :
MSIPC : Non applicable.
SDK MIP :DOCEDIT
Nom commun : Enregistrer

Encodage dans la stratégie : EDIT
Permet à l’utilisateur d’enregistrer le document à son emplacement actuel. Dans Office sur le Web, il permet également à l’utilisateur de modifier le contenu.

Dans les applications Office, ce droit permet à l'utilisateur d'enregistrer le fichier à un nouvel emplacement et sous un nouveau nom si le format de fichier sélectionné dispose d'une prise en charge intégrée de la protection Rights Management. La restriction de format de fichier garantit que la protection d’origine ne peut pas être supprimée du fichier.
Droits personnalisés Office : dans le cadre des options Modifier et Contrôle total.

Nom dans le portail Azure Classic : Enregistrer le fichier

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Enregistrer (EDIT)

Nom dans les modèles AD RMS : Enregistrer

Constante ou valeur API :
MSIPC :IPC_GENERIC_WRITE L"EDIT"
SDK MIP :EDIT
Nom commun : Commentaire

Encodage dans la stratégie : COMMENT
Active l’option d’ajout d’annotations ou de commentaires au contenu.

Ce droit est disponible dans le SDK, il est disponible en tant que stratégie ad hoc dans les modules AzureInformationProtection et Protection RMS pour Windows PowerShell et il a été implémenté dans certaines applications d’éditeurs de logiciels. Toutefois, il n’est pas largement utilisé et il n’est pas pris en charge par les applications Office.
Droits personnalisés Office : non implémenté.

Nom dans le portail Azure Classic : non implémenté.

Nom dans le portail de conformité Microsoft Purview et le portail Azure : non implémenté.

Nom dans les modèles AD RMS : non implémenté.

Constante ou valeur API :
MSIPC :IPC_GENERIC_COMMENT L"COMMENT
SDK MIP :COMMENT
Nom commun : Enregistrer sous, Exporter

Encodage dans la stratégie : EXPORT
Active l’option d’enregistrement du contenu sous un autre nom de fichier (Enregistrer sous).

Pour le client Azure Information Protection, le fichier peut être enregistré sans protection, et également reprotégé avec de nouveaux paramètres et autorisations. Ces actions autorisées signifient qu’un utilisateur disposant de ce droit peut modifier ou supprimer une étiquette Azure Information Protection d’un document ou d’un e-mail protégé.

Ce droit permet également à l’utilisateur d’utiliser d’autres options d’exportation dans les applications, telles que Envoyer à OneNote.
Droits personnalisés Office : Dans le cadre de l'option Contrôle total.

Nom dans le portail Azure Classic : Exporter le contenu (Enregistrer sous)

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Enregistrer sous, Exporter (EXPORT)

Nom dans les modèles AD RMS : Exporter (Enregistrer sous)

Constante ou valeur API :
MSIPC :IPC_GENERIC_EXPORT L"EXPORT"
SDK MIP :EXPORT
Nom commun : Transférer

Encodage dans la stratégie : FORWARD
Active l’option permettant de transférer un e-mail et d’ajouter des destinataires aux lignes À et CC. Ce droit ne s’applique pas aux documents, uniquement aux e-mails.

Il n’autorise pas le redirecteur à accorder des droits à d’autres utilisateurs dans le cadre du transfert.

Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit Modifier (nom commun) et accordez également le droit Enregistrer (nom commun) pour vous assurer que l’e-mail protégé n’est pas remis en tant que pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à une autre organisation utilisant le client ou l’application web Outlook. Ou, pour les utilisateurs de votre organisation exempts de l’utilisation du de la protection Rights Management après l’implémentation des contrôles d’intégration.
Droits personnalisés Office : refusé lorsque vous utilisez la stratégie standard Ne pas transférer.

Nom dans le portail Azure Classic : Transférer

Nom dans les le portail de conformité Microsoft Purview et le portail Azure : Transférer (FORWARD)

Nom dans les modèles AD RMS : Transférer

Constante ou valeur API :
MSIPC :IPC_EMAIL_FORWARD L"FORWARD"
SDK MIP :FORWARD
Nom commun : Contrôle total

Encodage dans la stratégie : OWNER
Accorde tous les droits au document, toutes les actions disponibles peuvent être effectuées.

Inclut la possibilité de supprimer la protection et de reprotéger un document.

Notez que ce droit d’utilisation n’est pas le même que le propriétaire Rights Management.
Droits personnalisés Office : comme l’option personnalisée Contrôle total.

Nom dans le portail Azure Classic : Contrôle total

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Contrôle total (OWNER)

Nom dans les modèles AD RMS : Contrôle total

Constante ou valeur API :
MSIPC :IPC_GENERIC_ALL L"OWNER"
SDK MIP :OWNER
Nom commun : Imprimer

Encodage dans la stratégie : PRINT
Active les options d’impression du contenu. Droits personnalisés Office : comme l’option imprimer le contenu dans les autorisations personnalisées. Ce n’est pas un paramètre par destinataire.

Nom dans le portail Azure Classic : Imprimer

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Imprimer (PRINT)

Nom dans les modèles AD RMS : Imprimer

Constante ou valeur API :
MSIPC :IPC_GENERIC_PRINT L"PRINT"
SDK MIP :PRINT
Nom commun : Répondre

Encodage dans la stratégie : REPLY
Active l’option Répondre dans un client de messagerie, sans autoriser la modification des lignes À ou CC.

Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit Modifier (nom commun) et accordez également le droit Enregistrer (nom commun) pour vous assurer que l’e-mail protégé n’est pas remis en tant que pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à une autre organisation utilisant le client ou l’application web Outlook. Ou, pour les utilisateurs de votre organisation exempts de l’utilisation du de la protection Rights Management après l’implémentation des contrôles d’intégration.
Droits personnalisés Office : non applicable.

Nom dans le portail Azure Classic : Répondre

Nom dans le portail Azure Classic : Répondre (REPLY)

Nom dans les modèles AD RMS : Répondre

Constante ou valeur API :
MSIPC :IPC_EMAIL_REPLY
SDK MIP :REPLY
Nom commun : Répondre à tous

Encodage dans la stratégie : REPLYALL
Active l’option Répondre à tous dans un client de messagerie, sans autoriser l’ajout de destinataires aux lignes À ou CC.

Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit Modifier (nom commun) et accordez également le droit Enregistrer (nom commun) pour vous assurer que l’e-mail protégé n’est pas remis en tant que pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à une autre organisation utilisant le client ou l’application web Outlook. Ou, pour les utilisateurs de votre organisation exempts de l’utilisation du de la protection Rights Management après l’implémentation des contrôles d’intégration.
Droits personnalisés Office : non applicable.

Nom dans le portail Azure Classic : Répondre à tous

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Répondre à tous (REPLY ALL)

Nom dans les modèles AD RMS : Répondre à tous

Constante ou valeur API :
MSIPC :IPC_EMAIL_REPLYALL L"REPLYALL"
SDK MIP :REPLYALL
Nom commun : Afficher, Ouvrir, Lire

Encodage dans la stratégie : VIEW
Permet à l’utilisateur d’ouvrir le document et de voir son contenu.

Dans Excel, ce droit n’est pas suffisant pour trier les données, ce qui nécessite le droit suivant : Modifier le contenu, Modifier. Pour filtrer les données dans Excel, vous avez besoin des deux droits suivants : Modifier le contenu, modifier et copier.
Droits personnalisés Office : comme la stratégie personnalisée Lire, l’option Afficher.

Nom dans le portail Azure Classic : Afficher

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Afficher, Ouvrir, Lire (VIEW)

Nom dans les modèles AD RMS : Lire

Constante ou valeur API :
MSIPC :IPC_GENERIC_READ L"VIEW"
SDK MIP :VIEW
Nom commun : Copier

Encodage dans la stratégie : EXTRACT
Active les options permettant de copier des données (y compris des captures d’écran) à partir du document dans ce même document ou dans un autre.

Dans certaines applications, il permet également d’enregistrer le document entier dans un format non protégé.

Dans Skype Entreprise et les applications de partage d’écran similaires, le présentateur doit disposer de ce droit pour présenter un document protégé. Si le présentateur n’a pas ce droit, les participants ne peuvent pas voir le document et celui-ci s'affiche en noir.
Droits personnalisés Office : comme l’option de stratégie personnalisée Autoriser les utilisateurs disposant de l’accès en lecture à copier le contenu.

Nom dans le portail Azure Classic : Copier et extraire le contenu

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Copier (EXTRACT)

Nom dans les modèles AD RMS : Extraire

Constante ou valeur API :
MSIPC :IPC_GENERIC_EXTRACT L"EXTRACT"
SDK MIP :EXTRACT
Nom commun : Afficher les droits

Encodage dans la stratégie : VIEWRIGHTSDATA
Permet à l’utilisateur d’afficher la stratégie appliquée au document.

Non pris en charge par les applications Office ou les clients Azure Information Protection.
Droits personnalisés Office : non implémenté.

Nom dans le portail Azure Classic : Afficher les droits affectés

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Afficher les droits (VIEWRIGHTSDATA).

Nom dans les modèles AD RMS : Afficher les droits

Constante ou valeur API :
MSIPC :IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
SDK MIP :VIEWRIGHTSDATA
Nom commun : Modifier les droits

Encodage dans la stratégie : EDITRIGHTSDATA
Permet à l’utilisateur de modifier la stratégie appliquée au document. Cela inclut notamment la suppression de la protection.

Non pris en charge par les applications Office ou les clients Azure Information Protection.
Droits personnalisés Office : non implémenté.

Nom dans le portail Azure Classic : Modifier les droits

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Modifier les droits (EDITRIGHTSDATA).

Nom dans les modèles AD RMS : Modifier les droits

Constante ou valeur API :
MSIPC :PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
SDK MIP :EDITRIGHTSDATA
Nom commun : Autoriser les macros

Encodage dans la stratégie : OBJMODEL
Active l’option pour exécuter des macros ou effectuer d’autres accès à distance ou par programme au contenu d’un document. Droits personnalisés Office : comme l’option de stratégie personnalisée Autoriser l’accès par programme. Ce n’est pas un paramètre par destinataire.

Nom dans le portail Azure Classic : Autoriser les macros

Nom dans le portail de conformité Microsoft Purview et le portail Azure : Autoriser les macros (OBJMODEL)

Nom dans les modèles AD RMS : Autoriser les macros

Constante ou valeur API : MSIPC : Non implémenté. SDK MIP :OBJMODEL

Droits inclus dans les niveaux d’autorisation

Certaines applications regroupent les droits d’utilisation dans des niveaux d’autorisation afin de faciliter la sélection de droits d’utilisation généralement utilisés ensemble. Ces niveaux d’autorisation permettent d’abstraire un niveau de complexité aux utilisateurs, pour qu’ils puissent choisir des options basées sur le rôle. Par exemple, Réviseur et Coauteur. Bien que ces options montrent souvent un récapitulatif des droits aux utilisateurs, ils ne peuvent pas inclure tous les droits répertoriés dans le tableau précédent.

Utilisez le tableau suivant pour disposer d’une liste de ces niveaux d’autorisation et la liste complète des droits d’utilisation qu’ils contiennent. Les droits d’utilisation sont répertoriés par leur nom commun.

Niveau d’autorisation Applications Droits d’utilisation inclus
Observateur Portail Azure Classic

Portail Azure

Client Azure Information Protection pour Windows
Afficher, Ouvrir, Lire ; Afficher les droits ; Répondre [1]; Répondre à tous [1]; Autoriser les Macros [2]

Remarque : Pour les e-mails, utilisez Réviseur plutôt que ce niveau d’autorisation pour vous assurer qu’une réponse à l’e-mail est reçue en tant qu’e-mail et non pas en tant que pièce jointe. Réviseur est également requis lorsque vous envoyez un e-mail à une autre organisation utilisant le client ou l’application web Outlook. Ou, pour les utilisateurs de votre organisation exempts de l’utilisation du service Azure Rights Management après l’implémentation des contrôles d’intégration.
Réviseur Portail Azure Classic

Portail Azure

Client Azure Information Protection pour Windows
Afficher, Ouvrir, Lire ; Enregistrer ; Modifier le contenu, Modifier ; Afficher les droits ; Répondre ; Répondre à tous [3]; Transférer [3]; Autoriser les Macros [2]
Coauteur portail Azure Classic

Portail Azure

Client Azure Information Protection pour Windows
Afficher, Ouvrir, Lire ; Enregistrer ; Modifier le contenu, Modifier ; Copier ; Afficher les droits ; Autoriser les Macros ; Enregistrer sous, Exporter [4]; Imprimer ; Répondre [3]; Répondre à tous [3]; Transférer [3]
Copropriétaire Portail Azure Classic

Portail Azure

Client Azure Information Protection pour Windows
Afficher, Ouvrir, Lire ; Enregistrer ; Modifier le contenu, Modifier ; Copier ; Afficher les droits ; Modifier les droits ; Autoriser les Macros ; Enregistrer sous, Exporter ; Imprimer ; Répondre [3]; Répondre à tous [3]; Transférer [3] ; Contrôle total
Note 1

Non inclus dans le portail de conformité Microsoft Purview ou le portail Azure.

Note 2

Pour le client Azure Information Protection pour Windows, ce droit est requis pour la barre Protection des données dans les applications Office.

Note 3

Non applicable au client Azure Information Protection pour Windows.

Note 4

Non inclus dans le portail de conformité Microsoft Purview, le portail Azure, ou le client Azure Information Protection pour Windows.

Option Ne pas transférer pour les e-mails

Les clients et services Exchange (par exemple, le client Outlook, Outlook on the web, les règles de flux de courrier Exchange et les actions DLP pour Exchange) ont une option supplémentaire de protection des droits des informations pour les e-mails : Ne pas transférer.

Même si cette option apparaît aux utilisateurs (et aux administrateurs Exchange) comme un modèle par défaut de Rights Management qu’ils peuvent sélectionner, Ne pas transférer n’est pas un modèle. Cela explique pourquoi vous ne la voyez pas dans le portail Azure lorsque vous consultez et gérez les modèles de protection. Au lieu de cela, l’option Ne pas transférer est un ensemble de droits d’utilisation appliqués dynamiquement par les utilisateurs à leurs destinataires.

Lorsque l’option Ne pas transférer est appliquée à un e-mail, l’e-mail est chiffré et les destinataires doivent être authentifiés. Ensuite, les destinataires ne peuvent pas le transférer, l’imprimer ou le copier à partir de celui-ci. Par exemple, dans le client Outlook, le bouton Transférer n’est pas disponible, les options de menu Enregistrer sous et Imprimer ne sont pas disponibles, et vous ne pouvez pas ajouter ou modifier les destinataires dans le lignes À, CC, ou CCi.

Les documents Office non protégés attachés à l’e-mail héritent automatiquement des mêmes restrictions. Les droits d’utilisation appliqués à ces documents sont Modifier le contenu, Modifier ; Enregistrer ; Afficher, ouvrir, lire et Autoriser les macros. Si vous souhaitez des droits d’utilisation différents pour une pièce jointe ou si votre pièce jointe n’est pas un document Office qui prend en charge cette protection héritée, protégez le fichier avant de le joindre à l’e-mail. Vous pouvez ensuite attribuer les droits d’utilisation spécifiques dont vous avez besoin pour le fichier.

Différence entre Ne pas transférer et ne pas accorder le droit d’utilisation de transfert

Il existe une distinction importante entre l’application de l’option Ne pas transférer et l’application d’un modèle qui n’accorde pas le droit de transfert à un e-mail : l’option Ne pas transférer utilise une liste dynamique d’utilisateurs autorisés basée sur les destinataires choisis par l’utilisateur de l’e-mail d’origine, tandis que les droits du modèle ont une liste statique d’utilisateurs autorisés, précédemment définie par l’administrateur. Quelle est la différence ? Prenons un exemple :

Un utilisateur souhaite envoyer un e-mail à des personnes spécifiques du service marketing, contenant certaines informations à ne pas partager. Doit-il protéger l’e-mail avec un modèle restreignant les droits (affichage, réponse et enregistrement) au service marketing ? Ou bien doit-il choisir l’option Ne pas transférer ? Les deux choix se traduiraient par le fait que les destinataires ne pourraient pas transférer l’e-mail.

  • S’il applique le modèle, les destinataires peuvent toujours partager les informations avec d’autres personnes du service marketing. Par exemple, un destinataire peut utiliser l’explorateur pour glisser et déposer l’e-mail vers un emplacement partagé ou un lecteur USB. Ainsi, toute personne du service marketing (et le propriétaire de l’e-mail) ayant accès à cet emplacement peut afficher les informations contenues dans l’e-mail.

  • S’il applique l’option Ne pas transférer, les destinataires ne pourront pas partager les informations avec d’autres personnes du service marketing en déplaçant l’e-mail vers un autre emplacement. Dans ce scénario, seuls les destinataires d’origine (et le propriétaire de l’e-mail) seront en mesure d’afficher les informations contenues dans l’e-mail.

Remarque

Utilisez l’option Ne pas transférer quand il est important que seuls les destinataires choisis par l’expéditeur puissent consulter les informations contenues dans l’e-mail. Utilisez un modèle pour les e-mails afin de restreindre les droits à un groupe de personnes spécifié à l’avance par l’administrateur, indépendamment des destinataires choisis par l’expéditeur.

Option chiffrer uniquement pour les e-mails

Quand Exchange Online utilise les nouvelles fonctionnalités de chiffrement de messages Office 365, une nouvelle option Chiffrer l’e-mail devient disponible pour chiffrer les données sans restrictions supplémentaires.

Cette option est disponible pour les locataires qui utilisent Exchange Online et peuvent être sélectionnés comme suit :

Pour plus d’informations sur l’option chiffrer uniquement, consultez le billet de blog suivant lors de la première annonce par l’équipe Office : Déploiement du chiffrer uniquement dans le chiffrement de messages Office 365.

Lorsque cette option est sélectionnée, l’e-mail est chiffré et les destinataires doivent être authentifiés. Ensuite, les destinataires disposent de tous les droits d’utilisation, à l’exception de l’option Enregistrer sous, Exporter et Contrôle total. Cette combinaison de droits d’utilisation signifie que les destinataires n’ont aucune restriction, sauf qu’ils ne peuvent pas supprimer la protection. Par exemple, un destinataire peut copier à partir de l’e-mail, l’imprimer et le transférer.

De même, par défaut, les documents Office non protégés attachés à l’e-mail héritent des mêmes autorisations. Ces documents sont automatiquement protégés et lorsqu’ils sont téléchargés, ils peuvent être enregistrés, modifiés, copiés et imprimés à partir des application Office par les destinataires. Lorsque le document est enregistré par un destinataire, il peut être enregistré sous un nouveau nom et même dans un autre format. Toutefois, seuls les formats de fichiers qui prennent en charge la protection sont disponibles afin que le document ne puisse pas être enregistré sans la protection d’origine. Si vous souhaitez des droits d’utilisation différents pour une pièce jointe ou si votre pièce jointe n’est pas un document Office qui prend en charge cette protection héritée, protégez le fichier avant de le joindre à l’e-mail. Vous pouvez ensuite attribuer les droits d’utilisation spécifiques dont vous avez besoin pour le fichier.

Vous pouvez également modifier cet héritage de protection des documents en spécifiant Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true avec Exchange Online PowerShell. Utilisez cette configuration lorsque vous n’avez pas besoin de conserver la protection d’origine du document une fois l’utilisateur authentifié. Lorsque les destinataires ouvrent l’e-mail, le document n’est pas protégé.

Si vous avez besoin d’un document joint pour conserver la protection d’origine, consultez Sécuriser la collaboration documentaire à l’aide d’Azure Information Protection.

Remarque

Si vous voyez des références à DecryptAttachmentFromPortal, ce paramètre est désormais déconseillé pour Set-IRMConfiguration. Sauf si vous avez précédemment défini ce paramètre, il n’est pas disponible.

Chiffrer automatiquement des documents PDF avec Exchange Online

Lorsque Exchange Online utilise les nouvelles fonctionnalités pour le chiffrement de messages Office 365, vous pouvez chiffrer automatiquement les documents PDF non protégés lorsqu’ils sont attachés à un e-mail chiffré. Le document hérite des mêmes autorisations que celles pour le message électronique. Pour activer cette configuration, définissez EnablePdfEncryption $True avec Set-IRMConfiguration.

Les destinataires qui n’ont pas encore installé de lecteur prenant en charge la norme ISO pour le chiffrement PDF peuvent installer l’un des lecteurs répertoriés dans Les lecteurs PDF qui prennent en charge la protection des données Microsoft Purview. Les destinataires peuvent également lire le document PDF protégé dans le portail OME.

L’émetteur Rights Management et le propriétaire Rights Management

Quand un document ou un e-mail est protégé à l’aide du service Azure Rights Management, le compte qui protège ce contenu devient automatiquement l’émetteur Rights Management pour ce contenu. Ce compte est enregistré avec le champ issuer dans les journaux d’utilisation.

L’émetteur Rights Management se voit toujours accorder le droit d’utilisation Contrôle total pour le document ou l’e-mail, et en outre :

  • Si les paramètres de protection incluent une date d’expiration, l’émetteur Rights Management peut toujours ouvrir et modifier le document ou l’e-mail après cette date.

  • L’émetteur Rights Management peut toujours accéder au document ou à l’e-mail en mode hors connexion.

  • L’émetteur Rights Management peut toujours ouvrir un document une fois qu’il est révoqué.

Par défaut, ce compte est également le propriétaire Rights Management pour ce contenu, qui est le cas lorsqu’un utilisateur qui a créé le document ou l’e-mail instaure la protection. Mais il existe certains scénarios où un administrateur ou un service peut protéger du contenu pour le compte d’utilisateurs. Par exemple :

  • Un administrateur protège en bloc des fichiers sur un partage de fichiers : le compte d’administrateur dans Microsoft Entra ID protège les documents pour les utilisateurs.

  • Le connecteur Rights Management protège les documents Office dans un dossier de Windows Server : le compte de principal du service dans Microsoft Entra ID qui est créé pour le connecteur RMS protège les documents pour les utilisateurs.

Dans ces scénarios, l’émetteur Rights Management peut affecter le propriétaire Rights Management à un autre compte à l’aide de kits de développement logiciel Azure Information Protection ou PowerShell. Par exemple, lorsque vous utilisez l’applet de commande Powershell Protect-RMSFile avec le client Azure Information Protection, vous pouvez spécifier le paramètre OwnerEmail afin d’affecter le propriétaire Rights Management à un autre compte.

Lorsque l’émetteur Rights Management protège pour des utilisateurs, l’affectation du propriétaire Rights Management garantit que le propriétaire du document ou de l’e-mail d’origine a le même niveau de contrôle pour leur contenu protégé que s’ils avaient instauré la protection eux-mêmes.

Par exemple, l’utilisateur qui a créé le document peut l’imprimer, même s’il est désormais protégé avec un modèle n’incluant pas le droit d’utilisation Imprimer. Le même utilisateur peut toujours accéder à son document, quel que soit le paramètre d’accès hors connexion ou la date d’expiration configuré dans ce modèle. En outre, étant donné que le propriétaire Rights Management possède le droit d’utilisation Contrôle total, cet utilisateur peut également protéger de nouveau le document pour autoriser l’accès à d’autres utilisateurs (l’utilisateur devient alors l’émetteur Rights Management ainsi que le propriétaire Rights Management), et cet utilisateur peut même supprimer la protection. Toutefois, seulement l’émetteur Rights Management peut suivre et révoquer un document.

Le propriétaire Rights Management pour un document ou un e-mail est enregistré avec le champ owner-email dans les journaux d’utilisation.

Remarque

Notez que le propriétaire Rights Management est indépendant du propriétaire du système de fichiers Windows. Ce sont souvent les mêmes, mais ils peuvent être différents, même si vous n’utilisez pas les kits de développement logiciel ou PowerShell.

Licence d’utilisation de Rights Management

Lorsqu’un utilisateur ouvre un document ou un e-mail protégé par Azure Rights Management, une licence d’utilisation de Rights Management pour ce contenu est accordée à l’utilisateur. Cette licence d’utilisation est un certificat contenant les droits d’utilisation de l’utilisateur pour le document ou l’e-mail ainsi que la clé de chiffrement utilisée pour chiffrer le contenu. La licence d’utilisation peut également contenir une date d’expiration, ainsi qu’une durée de validité.

Un utilisateur doit disposer d’une licence d’utilisation valide pour ouvrir le contenu en plus de son certificat de compte de droits (RAC), qui est un certificat accordé lors de l'initialisation de l'environnement de l'utilisateur et renouvelé tous les 31 jours.

Pendant la durée de la licence d’utilisation, l’utilisateur n’est pas de nouveau authentifié ou autorisé pour le contenu. Cela permet à l’utilisateur d’ouvrir le document ou l’e-mail protégé sans avoir besoin d’une connexion internet. Lorsque la période de validité de la licence d’utilisation a expiré, l’utilisateur devra de nouveau s’authentifier et recevoir une autorisation la prochaine fois qu’il accèdera au document ou à l’e-mail protégé.

Lorsque les documents et e-mails sont protégés à l’aide d’une étiquette ou d’un modèle qui définit les paramètres de protection, vous pouvez modifier ces paramètres dans votre modèle ou votre étiquette sans avoir besoin de protéger de nouveau le contenu. Si un utilisateur a déjà accédé au contenu, les changements prennent effet une fois que sa licence d’utilisation est arrivée à expiration. Toutefois, lorsque des utilisateurs appliquent des autorisations personnalisées (également connues sous le nom de stratégie de droits ad-hoc) et que ces autorisations doivent être modifiées après la protection du document ou de l’e-mail, le contenu doit être de nouveau protégé avec les nouvelles autorisations. Des autorisations personnalisées pour un e-mail sont implémentées avec l’option Ne pas transférer.

La période de validité par défaut de la licence d’utilisation pour un client est de 30 jours et vous pouvez configurer cette valeur à l’aide de l’applet de commande PowerShell Set-AipServiceMaxUseLicenseValidityTime. Vous pouvez configurer un paramètre plus restrictif lorsque la protection est appliquée à l’aide d’une étiquette de confidentialité configurée pour attribuer des autorisations, ou un modèle :

  • Lorsque vous configurez une étiquette de confidentialité, la période de validité de la licence d'utilisation prend sa valeur dans le paramètre Autoriser l’accès hors connexion.

    Pour plus d'informations et de conseils sur la configuration de ce paramètre pour une étiquette de confidentialité, voir le tableau des recommandations dans les instructions sur la manière de configurer les autorisations pour une étiquette de confidentialité.

  • Lorsque vous configurez un modèle à l’aide de PowerShell, la période de validité de la licence d’utilisation prend sa valeur à partir du paramètre LicenseValidityDuration dans les applets de commande Set-AipServiceTemplateProperty et Add-AipServiceTemplate.

    Pour plus d’informations et de conseils pour la configuration de ce paramètre à l’aide de PowerShell, consultez l’aide relative à chaque applet de commande.

Voir aussi