Configuration de la stratégie Azure Information Protection

Pour configurer la classification, l’étiquetage et la protection pour le client classique, vous devez configurer la stratégie Azure Information Protection. Cette stratégie est ensuite téléchargée sur les ordinateurs sur lesquels est installé le client Azure Information Protection.

La stratégie contient des paramètres et des étiquettes :

• Les étiquettes appliquent une valeur de classification aux documents et aux e-mails et peuvent éventuellement protéger ce contenu. Le client Azure Information Protection affiche ces étiquettes pour vos utilisateurs dans les applications Office et quand les utilisateurs cliquent avec le bouton droit à partir de l’Explorateur de fichiers. Ces étiquettes peuvent également être appliquées à l’aide de PowerShell et le scanneur Azure Information Protection.

• Les paramètres changent le comportement par défaut du client Azure Information Protection. Par exemple, vous pouvez sélectionner une étiquette par défaut si tous les documents et les e-mails doivent avoir une étiquette, et si la barre Azure Information Protection est affichée dans les applications Office.

Support d'abonnement

Azure Information Protection prend en charge différents niveaux d’abonnement :

• Azure Information Protection P2 : Prise en charge de toutes les fonctionnalités de classification, d’étiquetage et de protection.

• Azure Information Protection P1 : Prise en charge de la plupart des fonctionnalités de classification, d’étiquetage et de protection, mais pas la classification automatique ou le HYOK.

• Microsoft 365 qui inclut le service Azure Rights Management : prise en charge de la protection, mais pas de la classification et de l’étiquetage.

Les options qui nécessitent un abonnement Azure Information Protection P2 sont identifiées dans le portail.

Si votre organisation a différents types d’abonnements, vous êtes responsable de vous assurer que les utilisateurs n’utilisent pas de fonctionnalités que la licence de leur compte ne les autorise pas à utiliser. Le client Azure Information Protection ne procède pas à la vérification et l’application de la licence. Lorsque vous configurez des options pour lesquelles certains utilisateurs n’ont pas de licence, utilisez les stratégies délimitées ou un paramètre du Registre pour vérifier que votre organisation est toujours en conformité avec vos licences :

• Si votre organisation possède une combinaison de licences Azure Information Protection P1 et Azure Information Protection P2 : pour les utilisateurs qui ont une licence P2, créez et utilisez une ou plusieurs stratégies délimitées lorsque vous configurez des options qui nécessitent une licence Azure Information Protection P2. Assurez-vous que votre stratégie globale ne contient pas d’options qui nécessitent une licence Azure Information Protection P2.

• Lorsque votre organisation dispose d’un abonnement pour Azure Information Protection, mais que certains utilisateurs n’ont qu’une licence pour Microsoft 365 qui inclut le service Azure Rights Management : Pour les utilisateurs qui n’ont pas de licence pour Azure Information Protection , modifiez le Registre sur leurs ordinateurs afin qu’ils ne téléchargent pas la stratégie Azure Information Protection. Pour obtenir des instructions, consultez le guide d’administration pour la personnalisation suivante : Appliquer le mode Protection uniquement si votre organisation possède différents types de licences.

Pour plus d’informations sur les abonnements, consultez De quel abonnement ai-je besoin pour Azure Information Protection et quelles sont les fonctionnalités incluses ?

Connexion au portail Azure

Pour vous connecter au portail Azure et configurer et gérer Azure Information Protection :

• Utilisez le lien suivant : https://portal.azure.com

• Utilisez un compte Azure AD qui a l’un des rôles d’administrateur suivants :

  • Administrateur Azure Information Protection

  • Administrateur de conformité

  • Administrateur des données de conformité

  • Administrateur de sécurité

    Lecteur - de sécurité Analytique d’Azure Information Protection uniquement

    Lecteur - global Analytique d’Azure Information Protection uniquement

  • Administrateur général

    Notes

    Si votre locataire se trouve sur la plateforme d’étiquetage unifiée, le rôle d’administrateur Azure Information Protection (anciennement « Information Protection administrateur ») n’est pas pris en charge pour le Portail Azure. Plus d’informations

    Les comptes Microsoft ne peuvent pas gérer azure Information Protection.

Pour accéder au volet Azure Information Protection pour la première fois

1. Connectez-vous au portail Azure.

2. Sélectionnez + Créer une ressource, puis, à partir de la zone de recherche de la Place de marché, tapez Azure Information Protection.

3. Dans la liste des résultats, sélectionnez Azure Information Protection. Dans le volet Azure Information Protection, cliquez sur Créer.

   Conseil

   Ou sélectionnez Épingler au tableau de bord pour créer une vignette Azure Information Protection sur votre tableau de bord. Vous n’avez ainsi pas besoin d’accéder au service lors de votre prochaine connexion au portail.

   Cliquez sur Créer à nouveau.

4. Vous voyez la page Démarrage rapide qui s’ouvre automatiquement la première fois que vous vous connectez au service. Parcourez les ressources suggérées ou utilisez les autres options de menu. Pour configurer les étiquettes que les utilisateurs peuvent sélectionner, utilisez la procédure suivante.

La prochaine fois que vous accédez au volet Azure Information Protection, il sélectionne automatiquement l’option Étiquettes afin de pouvoir afficher et configurer des étiquettes pour tous les utilisateurs. Vous pouvez revenir à la page de démarrage rapide en la sélectionnant dans le menu Général .

Guide de configuration de la stratégie Azure Information Protection

1. Assurez-vous que vous êtes connecté à l’Portail Azure à l’aide de l’un de ces rôles d’administration : administrateur Azure Information Protection, administrateur de sécurité ou administration globale. Consultez la section précédente pour plus d’informations sur ces rôles d’administration.

2. Si nécessaire, accédez au volet Azure Information Protection : par exemple, dans le menu hub, cliquez sur Tous les services et commencez à taper Information Protection dans la zone Filtre. Dans les résultats, sélectionnez Azure Information Protection.

   Le volet Azure Information Protection - Étiquettes s’ouvre automatiquement pour afficher et modifier les étiquettes disponibles. Vous pouvez mettre les étiquettes à la disposition de tous les utilisateurs, de certains utilisateurs ou d’aucun utilisateur en les ajoutant à une stratégie ou en les supprimant de celle-ci.

3. Pour afficher et modifier les stratégies, sélectionnez Stratégies parmi les options de menu. Pour afficher et modifier la stratégie que reçoivent tous les utilisateurs, sélectionnez la stratégie Globale. Pour créer une stratégie personnalisée pour certains utilisateurs, sélectionnez Ajouter une nouvelle stratégie.

Apporter des modifications à la stratégie

Vous pouvez créer autant d’étiquettes que vous le souhaitez. Cependant, quand il commence à y en avoir trop pour que les utilisateurs puissent voir et sélectionner facilement la bonne étiquette, créez des stratégies délimitées de façon que les utilisateurs voient seulement les étiquettes qui sont pertinentes pour eux. Il existe une limite supérieure pour les étiquettes qui appliquent la protection, qui est de 500.

Lorsque vous apportez des modifications dans un volet Azure Information Protection, cliquez sur Enregistrer pour enregistrer les modifications, ou cliquez sur Ignorer pour revenir aux derniers paramètres enregistrés. Lorsque vous enregistrez des modifications dans une stratégie ou que vous apportez des modifications aux étiquettes ajoutées aux stratégies, ces modifications sont automatiquement publiées. Il n’y a pas d’option de publication distincte.

Le client Azure Information Protection vérifie si des modifications ont été apportées au démarrage d’une application Office prise en charge et télécharge les modifications en tant que dernière stratégie Azure Information Protection. Autres déclencheurs qui actualisent la stratégie sur le client :

• Lorsque vous cliquez avec le bouton droit pour classifier et protéger un fichier ou un dossier.

• Lorsque vous exécutez les applets de commande PowerShell pour l’étiquetage et la protection (Get-AIPFileStatus, Set-AIPFileClassification et Set-AIPFileLabel).

• Toutes les 24 heures.

• Pour le scanneur Azure Information Protection : quand le service démarre (si la stratégie remonte à plus d’une heure) et toutes les heures pendant l’opération.

Notes

Quand le client télécharge la stratégie, attendez quelques minutes pour qu’elle soit entièrement opérationnelle. La durée varie en fonction de différents facteurs comme la taille et la complexité de la configuration de la stratégie et la connectivité réseau. Si l’action résultante de vos étiquettes ne correspond pas à vos derniers changements, attendez 15 minutes au plus et réessayez.

Configuration de la stratégie de votre organisation

Utilisez les informations suivantes pour configurer la stratégie Azure Information Protection :

• La stratégie Information Protection par défaut

• Guide pratique pour configurer les paramètres de stratégie

• Comment créer une étiquette

• Guide pratique pour ajouter ou supprimer une étiquette

• Comment supprimer ou réorganiser une étiquette

• Comment modifier ou personnaliser une étiquette existante

• Comment configurer une étiquette pour la protection

• Comment configurer une étiquette pour appliquer des marquages visuels

• Comment configurer des conditions pour la classification automatique et recommandée

• Guide pratique pour configurer la stratégie pour des utilisateurs spécifiques avec des stratégies délimitées

• Guide pratique pour configurer et gérer des modèles

• Guide pratique pour configurer des étiquettes pour des langues différentes

• Comment migrer des étiquettes Azure Information Protection vers Microsoft 365

Étiquettes d’information stockées dans des e-mails et des documents

Quand une étiquette est appliquée à un document ou un e-mail, en arrière-plan, l’étiquette est stockée dans les métadonnées afin que les applications et services puissent lire l’étiquette :

• Dans les e-mails, ces informations sont stockées dans l’en-tête x : msip_labels : MSIP_Label_<GUID>_Enabled=True

• Pour les documents Word (.doc et .docx), les feuilles de calcul Excel (.xls et .xlsx), les présentations PowerPoint (.ppt et .pptx) et les documents PDF, ces métadonnées sont stockées dans la propriété personnalisée suivante : MSIP_Label_<GUID>_Enabled=True

Pour les e-mails, les informations d’étiquette sont stockées lorsque l’e-mail est envoyé. Pour les documents, les informations d’étiquette sont stockées lors de l’enregistrement du fichier.

Pour identifier le GUID d’une étiquette, recherchez la valeur d’ID d’étiquette dans le volet Étiquette dans le Portail Azure, lorsque vous affichez ou configurez la stratégie Azure Information Protection. Pour les fichiers auxquels des étiquettes sont appliquées, vous pouvez également exécuter l’applet de commande PowerShell Get-AIPFileStatus pour identifier le GUID (MainLabelId ou SubLabelId). Si une étiquette a des sous-étiquettes, spécifiez toujours le GUID de la sous-étiquette et non celui de l’étiquette parente.

Étapes suivantes

Pour obtenir des exemples montrant comment personnaliser la stratégie Azure Information Protection et voir le comportement qui en résulte pour les utilisateurs, suivez les didacticiels ci-dessous :

• Modifier la stratégie Azure Information Protection et créer une étiquette

• Configurer les paramètres de stratégie Azure Information Protection qui interagissent