Configuration d’une collaboration sécurisée autour de documents à l’aide d’Azure Information Protection

  • Article

Lorsque vous utilisez Azure Information Protection, vous pouvez protéger vos documents sans pour autant devoir renoncer à la collaboration avec des utilisateurs autorisés. Les documents créés par un utilisateur puis partagés avec d’autres afin que ceux-ci puissent les consulter et les modifier sont en majorité des documents Office Word, Excel et PowerPoint. Ces documents prennent en charge la protection native, autrement dit, en plus des fonctionnalités de protection que sont le chiffrement et l’autorisation, ils prennent également en charge l’autorisation restreinte pour un contrôle plus précis.

Ces autorisations sont appelées des droits d’utilisation et incluent des autorisations comme afficher, modifier et imprimer. Vous pouvez définir des droits d’utilisation individuels lorsqu’un document est protégé, ou vous pouvez définir un groupe de droits d’utilisation, appelé niveau d’autorisation. Les niveaux d’autorisation facilitent la sélection de droits d’utilisation qui sont généralement utilisés ensemble, par exemple, réviseur et coauteur. Pour plus d’informations sur les droits d’utilisation et les niveaux d’autorisation, consultez Configuration des droits d’utilisation pour Azure Information Protection.

Lorsque vous configurez ces autorisations, vous pouvez spécifier les utilisateurs auxquels elles s’adressent :

  • Pour les utilisateurs de votre organisation ou d’une autre organisation qui utilisent Azure Active Directory : vous pouvez spécifier des comptes d’utilisateur Azure AD, des groupes Azure AD ou tous les utilisateurs de cette organisation.

  • Pour les utilisateurs n’ayant pas de compte Azure Active Directory : spécifiez une adresse e-mail qui sera utilisée avec un compte Microsoft. Ce compte peut déjà exister, ou les utilisateurs peuvent le créer au moment de l’ouverture du document protégé.

    Pour ouvrir des documents avec un compte Microsoft, les utilisateurs doivent utiliser des applications Microsoft 365 (Démarrer en un clic). Les autres éditions et versions de Microsoft Office ne prennent pas encore en charge l’ouverture de documents Office protégés avec un compte Microsoft.

  • Pour tout utilisateur authentifié : cette option est appropriée lorsque vous n’avez pas besoin de contrôler l’accès au document protégé, à condition que l’utilisateur puisse être authentifié. L’authentification peut avoir lieu via Azure AD, à l’aide d’un compte Microsoft, ou même via un fournisseur de réseaux sociaux fédérés ou un code secret à usage unique quand le contenu est protégé par les nouvelles fonctionnalités d’Office 365 Message Encryption.

En tant qu’administrateur, vous pouvez configurer une étiquette Azure Information Protection pour appliquer les autorisations et les utilisateurs autorisés. Avec cette configuration, les utilisateurs et autres administrateurs peuvent facilement appliquer les paramètres de protection corrects, car il leur suffit d’appliquer l’étiquette, sans avoir à indiquer les détails. Les sections suivantes fournissent un exemple de procédure pour protéger un document qui prend en charge la collaboration sécurisée avec les utilisateurs internes et externes.

Exemple de configuration d’une étiquette afin d’appliquer une protection prenant en charge la collaboration interne et externe

Cet exemple montre comment configurer une étiquette existante pour appliquer une protection afin que les utilisateurs de votre organisation puissent collaborer sur des documents avec tous les utilisateurs d’une autre organisation qui a Microsoft 365 ou Azure AD, un groupe d’une autre organisation qui a Microsoft 365 ou Azure AD, et un utilisateur qui n’a pas de compte dans Azure AD et utilisera plutôt son adresse e-mail Gmail.

Étant donné que le scénario restreint l’accès de personnes spécifiques, il n’inclut pas le paramètre pour tous les utilisateurs authentifiés. Pour obtenir un exemple de la manière dont vous pouvez configurer une étiquette avec ce paramètre, consultez Exemple 5 : étiquette qui crypte le contenu, mais n’en restreint pas l’accès.

  1. Sélectionnez l’étiquette qui existe déjà dans la stratégie globale ou la stratégie délimitée. Dans le volet Protection, vérifiez que l’option Azure (clé cloud) est sélectionnée.

  2. Assurez-vous que l’option Définir les autorisations est sélectionnée, puis sélectionnez Ajouter des autorisations.

  3. Dans le volet Ajouter des autorisations :

    • Pour votre groupe interne : sélectionnez Parcourir les répertoires pour sélectionner le groupe qui doit être à extension messagerie.

    • Pour tous les utilisateurs de la première organisation externe : sélectionnez Entrez les détails et tapez le nom d’un domaine dans le locataire de l’organisation. Par exemple, fabrikam.com.

    • Pour le groupe dans la seconde organisation externe : sous l’onglet Entrez les détails, tapez l’adresse e-mail du groupe dans le locataire de l’organisation. Par exemple : sales@contoso.com.

    • Pour l’utilisateur qui n’a pas de compte Azure AD : sous l’onglet Entrez les détails, tapez l’adresse e-mail de l’utilisateur. Par exemple : bengi.turan@gmail.com.

  4. Pour accorder les mêmes autorisations à tous les utilisateurs : dans Choisir des autorisations à partir des autorisations prédéfinies, sélectionnez Copropriétaire, Co-auteur, Réviseur ou Personnalisé pour sélectionner les autorisations à accorder.

    Par exemple, les autorisations que vous configurez peuvent s’apparenter à ce qui suit :

    Configuring permissions for secure collaboration

  5. Cliquez sur OK dans le volet Ajouter des autorisations.

  6. Dans le volet Protection , cliquez sur OK.

  7. Dans le volet Étiquette, sélectionnez Enregistrer.

Application de l’étiquette qui prend en charge la collaboration sécurisée

Maintenant que cette étiquette est configurée, elle peut être appliquée aux documents de différentes manières, notamment :

Différentes manières d’appliquer l’étiquette Informations complémentaires
Un utilisateur sélectionne manuellement l’étiquette lorsque le document est créé dans l’application Office. Les utilisateurs sélectionnent l’étiquette à partir du bouton Protéger du ruban Office ou à partir de la barre Azure Information Protection.
Les utilisateurs sont invités à sélectionner une étiquette au moment de l’enregistrement d’un nouveau document. Vous avez configuré le paramètre de stratégie Azure Information Protection nommé Tous les documents et e-mails doivent avoir une étiquette.
Un utilisateur partage le document par e-mail et sélectionne manuellement l’étiquette dans Outlook. Les utilisateurs sélectionnent l’étiquette à partir du bouton Protéger du ruban Office ou à partir de la barre Azure Information Protection. Le document joint est alors automatiquement protégé avec les mêmes paramètres.
Un administrateur applique l’étiquette au document à l’aide de PowerShell. Utilisez l’applet de commande Set-AIPFileLabel pour appliquer l’étiquette à un document spécifique ou à tous les documents d’un dossier.
Vous avez en plus configuré l’étiquette de sorte qu’elle applique la classification automatique. Celle-ci peut désormais être appliquée à l’aide du scanneur Azure Information Protection ou de PowerShell. Consultez Comment configurer des conditions pour la classification automatique et recommandée pour Azure Information Protection.

Pour effectuer cette procédure pas à pas, appliquez manuellement l’étiquette lorsque vous créez le document dans l’application Office :

  1. Sur un ordinateur client, si l’application Office est déjà ouverte, commencez par la fermer et la rouvrir afin d’appliquer les dernières modifications de stratégie qui incluent l’étiquette que vous venez de configurer.

  2. Appliquez l’étiquette à un document, puis enregistrez-le.

Partagez le document protégé en le joignant à un e-mail et envoyez-le aux personnes que vous avez autorisé à modifier le document.

Ouverture et modification du document protégé

Lorsque les utilisateurs que vous avez autorisés ouvrent le document en vue de le modifier, le document s’ouvre avec une bannière d’informations qui les avertit que les autorisations sont limitées. Par exemple :

Azure Information Protection permissions example information banner

S’ils sélectionnent Afficher l’autorisation, ils voient les autorisations dont ils disposent. Dans l’exemple suivant, l’utilisateur peut afficher et modifier le document :

Azure Information Protection permissions example dialog box

Remarque : Si le document est ouvert par des utilisateurs externes qui utilisent également Azure Information Protection, l’application Office n’affiche pas votre étiquette de classification pour le document, bien que les marquages visuels de l’étiquette restent. Au lieu de cela, les utilisateurs externes peuvent appliquer leur propre étiquette conformément à la taxonomie de classification de leur organisation. Si ces utilisateurs externes renvoient ensuite le document modifié, Office affiche votre étiquette de classification d’origine lorsque vous rouvrez le document.

Avant l’ouverture du document protégé, un des flux d’authentification suivants se produit :

  • Les utilisateurs ayant un compte Azure AD utilisent les informations d’identification de ce compte pour être authentifiés par Azure AD, puis le document s’ouvre.

  • Pour les utilisateurs qui n’ont pas de compte Azure AD et qui ne sont pas connectés à Office avec un compte autorisé à ouvrir le document, la page Comptes s’affiche.

    Dans la page Comptes, sélectionnez Ajouter un compte :

    Adding an Microsoft account to open protected document

    Dans la page Connexion , sélectionnez Créer un ! et suivez les invites pour créer un compte Microsoft avec l’adresse e-mail utilisée pour accorder les autorisations :

    Creating a Microsoft account to open protected document

    Lorsque le nouveau compte Microsoft est créé, le compte local bascule vers ce nouveau compte Microsoft et l’utilisateur peut alors ouvrir le document.

Scénarios pris en charge pour l’ouverture de documents protégés

Le tableau suivant récapitule les différentes méthodes d’authentification qui sont prises en charge pour afficher et modifier des documents protégés.

En outre, les scénarios suivants prennent en charge l’affichage de documents :

  • La visionneuse Azure Information Protection pour Windows ainsi que pour iOS et Android peut ouvrir des fichiers à l’aide d’un compte Microsoft.

  • Un navigateur peut ouvrir des pièces jointes protégées lorsque des fournisseurs de réseaux sociaux et des codes secrets à usage unique sont utilisés pour l’authentification avec Exchange Online et avec les nouvelles fonctionnalités d’Office 365 Message Encryption.

Plateformes pour l’affichage et la modification de documents :
Word, Excel, PowerPoint		 Méthode d'authentification :
Azure AD		 Méthode d'authentification :
Compte Microsoft
Windows Oui [1] Oui (applications Microsoft 365 et Microsoft Office 2019)
iOS Oui [1] Oui (version 2.42 et ultérieure)
Android Oui [1] Oui (version 16.0.13029 et ultérieure)
MacOS Oui [1] Oui (Microsoft 365 applications, version 16.42 et ultérieure)
Note 1

Prend en charge les comptes d’utilisateur, les groupes à extension messagerie, tous les membres. Les comptes d’utilisateur et les groupes à extension messagerie peuvent inclure des comptes Invité. Tous les membres sauf les comptes Invité.

Étapes suivantes

Consultez d’autres exemples de configuration pour que les étiquettes appliquent une protection dans des scénarios courants. Cet article contient également des informations supplémentaires sur les paramètres de protection.

Pour plus d’informations sur les autres options et paramètres que vous pouvez configurer pour votre étiquette, consultez Configuration de la stratégie Azure Information Protection.

L’étiquette qui a été configurée dans cet article crée également un modèle de protection portant le même nom. Si vous avez des applications et services qui s’intègrent aux modèles de protection d’Azure Information Protection, ils peuvent appliquer ce modèle. Par exemple, les solutions DLP et les règles de flux de messagerie. Outlook sur le web affiche automatiquement des modèles de protection de la stratégie globale Azure Information Protection.