Partager via


Activation du service de protection à partir d'Azure Information Protection

Cet article décrit comment les administrateurs peuvent activer le service de protection Azure Rights Management pour Azure Information Protection (AIP). Lorsque le service de protection est activé pour votre organisation, les administrateurs et les utilisateurs peuvent commencer à protéger les données importantes à l’aide d’applications et de services qui prennent en charge cette solution de protection des données. Les administrateurs peuvent également gérer et surveiller les documents et e-mails protégés que votre organisation possède.

Ces informations de configuration dans cet article concernent les administrateurs responsables d’un service qui s’applique à tous les utilisateurs d’une organisation. Si vous recherchez de l’aide et des informations utilisateur pour utiliser la fonctionnalité Rights Management pour une application spécifique ou comment ouvrir un fichier ou un e-mail protégé par des droits, utilisez l’aide et les conseils qui accompagnent votre application.

Activation automatique pour Azure Rights Management

Lorsque vous disposez d’un plan de services qui inclut Azure Rights Management, vous n’avez peut-être pas besoin d’activer le service :

  • Si votre abonnement incluant Azure Rights Management ou Azure Information Protection a été obtenu vers la fin de février 2018 ou version ultérieure : le service est automatiquement activé pour vous. Vous n’avez pas besoin d’activer le service, sauf si vous ou un autre administrateur général de votre organisation avez désactivé Azure Rights Management.

  • Si votre abonnement incluant Azure Rights Management ou Azure Information Protection a été obtenu avant ou pendant février 2018 : Microsoft active le service Azure Rights Management pour ces abonnements si votre client utilise Exchange Online. Pour ces abonnements, le service est activé pour vous, sauf si vous voyez que AutomaticServiceUpdateEnabled a la valeur false lorsque vous exécutez Get-IRMConfiguration.

Si aucun des scénarios répertoriés ne s’applique à vous, vous devez activer manuellement le service de protection.

Comment activer ou confirmer l’état du service de protection

Important

N’activez pas le service de protection si vous avez déployé services AD RMS (Active Directory Rights Management Services) (AD RMS) pour votre organisation. Plus d’informations

Pour activer le service de protection, votre organisation doit disposer d’un plan de services qui inclut le service Azure Rights Management à partir d’Azure Information Protection. Pour plus d’informations, consultez les instructions relatives aux licences Microsoft 365 pour la sécurité et la conformité.

Lorsque le service de protection est activé, tous les utilisateurs de votre organisation peuvent appliquer la protection des données à leurs documents et e-mails, et tous les utilisateurs peuvent ouvrir (consommer) des documents et des e-mails protégés par ce service. Toutefois, si vous préférez, vous pouvez restreindre les personnes autorisées à appliquer la protection des données à l’aide de contrôles d’intégration pour un déploiement par phases. Pour plus d’informations, consultez la section dans l’article Configurer les contrôles d'intégration pour un déploiement progressif.

Activer la protection via PowerShell

Vous devez utiliser PowerShell pour activer le service de protection Rights Management (Azure RMS). Vous ne pouvez plus activer ou désactiver ce service à partir du Portail Azure.

  1. Installez le module AIPService pour configurer et gérer le service de protection. Pour obtenir des instructions, consultez Installation du module PowerShell AIPService.

  2. À partir d’une session PowerShell, exécutez Connect-AipService et, lorsque vous y êtes invité, fournissez les détails du compte administrateur général pour votre client Azure Information Protection.

  3. Exécutez Get-AipService pour vérifier si le service de protection est activé. L’état Activé confirme l’activation ; Désactivé indique que le service est désactivé.

  4. Pour activer le service, exécutez Enable-AipService.

Configuration des contrôles d’intégration pour un déploiement par phases

Si vous ne souhaitez pas que tous les utilisateurs puissent protéger immédiatement les documents et les e-mails à l’aide d’Azure Information Protection, vous pouvez configurer les contrôles d’intégration des utilisateurs à l’aide de la commande PowerShell Set-AipServiceOnboardingControlPolicy. Vous pouvez exécuter cette commande avant ou après avoir activé le service Azure Rights Management.

Par exemple, si vous souhaitez initialement que seuls les administrateurs du groupe « service informatique » (qui ont un ID d’objet de fbb99ded-32a0-45f1-b038-38b519009503) puissent protéger le contenu à des fins de test, utilisez la commande suivante :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Notez que pour cette option de configuration, vous devez spécifier un groupe ; vous ne pouvez pas spécifier d’utilisateurs individuels. Pour obtenir l’ID d’objet du groupe, vous pouvez utiliser Microsoft Graph PowerShell par exemple, pour la version 1.0 du module, utilisez la commande Get-MgGroup . Vous pouvez également copier la valeur d’ID d’objet du groupe à partir du Portail Azure.

Sinon, si vous souhaitez vous assurer que seuls les utilisateurs disposant d’une licence appropriée pour utiliser Azure Information Protection peuvent protéger le contenu :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Lorsque vous n’avez plus besoin d’utiliser des contrôles d’intégration, que vous utilisiez l’option de groupe ou de licence, exécutez :

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Pour plus d’informations sur cette applet de commande et des exemples supplémentaires, consultez l’aide de Set-AipServiceOnboardingControlPolicy .

Lorsque vous utilisez ces contrôles d’intégration, tous les utilisateurs de l’organisation peuvent toujours consommer du contenu protégé qui a été protégé par votre sous-ensemble d’utilisateurs, mais ils ne pourront pas appliquer eux-mêmes la protection des données à partir d’applications clientes. Les applications côté serveur, telles qu’Exchange, peuvent implémenter leurs propres contrôles par utilisateur pour obtenir le même résultat. Par exemple, pour empêcher les utilisateurs de protéger les e-mails dans Outlook sur le web, utilisez Set-OwaMailboxPolicy pour définir le paramètre IRMEnabled sur $false.

Étapes suivantes

Maintenant que le service de protection est activé pour votre organisation, les applications et les services peuvent appliquer le chiffrement pour protéger vos données. L’une des méthodes les plus simples pour appliquer le chiffrement consiste à utiliser des étiquettes de confidentialité de Protection des données Microsoft Purview.