Vous avez une question sur le fonctionnement des nouvelles fonctionnalités de protection des messages ? Recherchez une réponse ici. Consultez également forum aux questions sur la protection des données dans Azure Information Protection pour obtenir des réponses aux questions sur le service de protection des données, Azure Rights Management, dans Azure Information Protection.
Chiffrement de messages Microsoft Purview combine des fonctionnalités de chiffrement des e-mails et de gestion des droits. Les fonctionnalités de gestion des droits sont alimentées par Azure Information Protection.
Vous pouvez utiliser Chiffrement de messages Microsoft Purview dans les conditions suivantes :
Si vous n’avez pas configuré Office 365 Chiffrement des messages (OME) ou Gestion des droits relatifs à l’information (IRM) pour Exchange.
Si vous configurez OME et IRM, vous pouvez suivre ces étapes si vous utilisez également le service Azure Rights Management d’Azure Information Protection.
Si vous utilisez Exchange avec le service Active Directory Rights Management (AD RMS), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection. Une fois la migration terminée, vous pouvez configurer correctement Chiffrement de messages Microsoft Purview.
Si vous choisissez de continuer à utiliser AD RMS local avec Exchange au lieu de migrer vers Azure Information Protection, vous ne pouvez pas utiliser Chiffrement de messages Microsoft Purview.
Pour utiliser Chiffrement de messages Microsoft Purview, vous avez besoin de l’un des plans suivants :
Chiffrement de messages Microsoft Purview est proposé dans le cadre de Office 365 Entreprise E3 et E5, Microsoft 365 Entreprise E3 et E5, Microsoft 365 Business Premium, Office 365 A1, A3 et A5, et Office 365 Secteur public G3 et G5. Vous n’avez pas besoin de licences supplémentaires pour recevoir les nouvelles fonctionnalités de protection optimisées par Azure Information Protection.
Vous pouvez également ajouter Azure Information Protection Plan 1 aux plans suivants pour recevoir Chiffrement de messages Microsoft Purview : Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Entreprise E1.
Chaque utilisateur bénéficiant de Chiffrement de messages Microsoft Purview a besoin d’une licence pour utiliser le chiffrement des messages.
Pour obtenir la liste complète, consultez les descriptions des services Exchange pour Chiffrement de messages Microsoft Purview.
Oui. Microsoft vous recommande de suivre les étapes de configuration de BYOK avant de configurer Chiffrement de messages Microsoft Purview.
Pour plus d’informations sur BYOK, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.
Les Chiffrement de messages Microsoft Purview et BYOK avec Azure Information Protection modifient-ils l’approche de Microsoft pour les demandes de données non-Microsoft telles que les assignations ?
Non. Chiffrement de messages Microsoft Purview et l’option permettant de fournir et de contrôler vos propres clés de chiffrement, appelées BYOK, à partir d’Azure Information Protection n’ont pas été conçus pour répondre aux assignations des forces de l’ordre. OME, avec BYOK pour Azure Information Protection, a été conçu pour les organisations axées sur la conformité. Microsoft prend au sérieux les demandes de données client. En tant que fournisseur de services cloud, nous défendons toujours la confidentialité de vos données. Dans le cas où nous obtenons une assignation, nous essayons toujours de rediriger la demande directement vers vous pour obtenir les informations. (Lisez le blog de Brad Smith : Protecting customer data from government snooping). Nous publions régulièrement des informations détaillées sur la demande que nous recevons. Pour plus d’informations sur les demandes de données non-Microsoft, consultez Répondre aux demandes gouvernementales et d’application de la loi pour accéder aux données client sur le Centre de gestion de la confidentialité Microsoft. Consultez également « Divulgation des données client » dans les Conditions des services en ligne (OST).
En quoi cette fonctionnalité est-elle liée aux fonctionnalités héritées de chiffrement des messages Office 365 (OME) et de gestion des droits relatifs à l’information (IRM) ?
Chiffrement de messages Microsoft Purview est une évolution des solutions OME existantes et irm existantes. Le tableau suivant fournit plus de détails.
Comparaison des fonctionnalités OME, IRM et Chiffrement de messages Microsoft Purview héritées
Fonctionnalité | Versions précédentes d’OME | IRM | Chiffrement des messages Microsoft Purview |
---|---|---|---|
Envoi d’un e-mail chiffré | Uniquement via des règles de flux de messagerie Exchange | Lancé par l’utilisateur final à partir d’Outlook pour Windows, Outlook pour Mac ou Outlook sur le web ; ou via des règles de flux de messagerie Exchange | Lancé par l’utilisateur final à partir d’Outlook pour Windows, Outlook pour Mac ou Outlook sur le web ; ou via des règles de flux de messagerie |
Gestion des droits | - | Option Ne pas transférer et modèles personnalisés | Option Ne pas transférer, option de chiffrement uniquement, modèles par défaut et personnalisés |
Type de destinataire pris en charge | Destinataires externes uniquement | Destinataires internes uniquement | Destinataires internes et externes |
Expérience pour le destinataire | Les destinataires externes ont reçu un message HTML qu’ils ont téléchargé et ouvert dans un navigateur ou une application mobile téléchargée. | Les destinataires internes ont reçu uniquement des e-mails chiffrés dans Outlook pour Windows, Outlook pour Mac et Outlook sur le web. | Les destinataires internes et externes reçoivent des e-mails dans Outlook pour Windows, Outlook pour Mac, Outlook sur le web, Outlook pour Android et Outlook pour iOS, ou via un portail web, qu’ils se trouvent dans le même organization ou dans n’importe quel organization. Le portail de messages chiffrés ne nécessite aucun téléchargement distinct. |
Prise en charge de Bring Your Own Key | Non disponible | Non disponible | BYOK pris en charge |
Office 365 Message Encryption (OME) a été déconseillé le 1er juillet 2023. Il est automatiquement remplacé par Chiffrement de messages Microsoft Purview. Si vous avez une boîte aux lettres d’expéditeur active, vous pouvez toujours afficher le courrier à partir d’OME.
Mon organization utilise Active Directory Rights Management, puis-je utiliser cette fonctionnalité ?
Non. Si vous utilisez Exchange Online avec le service AD RMS (Active Directory Rights Management Service), vous ne pouvez pas activer ces nouvelles fonctionnalités immédiatement. Au lieu de cela, vous devez d’abord migrer AD RMS vers Azure Information Protection.
Les utilisateurs locaux peuvent envoyer des messages chiffrés à l’aide de Exchange Online règles de flux de messagerie. Vous devez acheminer le courrier électronique via Exchange. Pour plus d’informations, consultez Partie 2 : Configurer le courrier pour le flux de votre serveur de messagerie vers Microsoft 365.
Quel client de messagerie dois-je utiliser pour créer un message chiffré ? Quelles applications sont prises en charge pour l’envoi de messages protégés ?
Vous pouvez créer des messages protégés à partir de Outlook 2016, Outlook 2013 pour Windows et Mac et à partir de Outlook sur le web. Pour plus d’informations sur l’envoi de messages chiffrés, voir Envoyer, afficher et répondre à des messages chiffrés dans Outlook pour PC.
Les utilisateurs de Microsoft 365 peuvent lire et répondre à partir d’Outlook pour Windows et Mac (2013 et 2016), Outlook sur le web et Outlook Mobile (Android et iOS). Vous pouvez également utiliser le client de messagerie natif iOS si votre organization l’autorise. Si vous n’êtes pas un utilisateur de Microsoft 365, vous pouvez lire et répondre aux messages chiffrés sur le web via votre navigateur web.
Les utilisateurs de Microsoft 365 peuvent utiliser Outlook pour PC versions 2019 et Microsoft 365 pour créer un courrier protégé par la stratégie de chiffrement uniquement. Les messages auxquels la stratégie de chiffrement uniquement est appliquée peuvent être lus directement dans Outlook sur le web, dans Outlook pour iOS et Android, et Outlook pour PC versions 2019 et Microsoft 365.
Oui. La taille maximale des messages que vous pouvez envoyer avec Chiffrement de messages Microsoft Purview, pièces jointes comprises, est de 25 Mo. Pour plus d’informations, consultez Limites des messages.
Existe-t-il une limite au nombre de destinataires auxquels vous pouvez envoyer des messages chiffrés par OME ?
Oui. Dans certains cas où des connecteurs sont configurés , tels qu’un déploiement exchange hybride, lorsque vous incluez des destinataires sur la ligne cci , les destinataires de cci sont supprimés avant que le courrier ne soit chiffré. La meilleure pratique consiste à passer à un Exchange Online ou à placer tous les destinataires dans les champs À : ou CC.
Le portail de messages chiffrés prend uniquement en charge la messagerie. Le portail ne prend pas en charge les autres types de messages tels que le calendrier ou la messagerie vocale.
Quels types de fichiers sont pris en charge en tant que pièces jointes dans les e-mails protégés ? Les pièces jointes héritent-elles des stratégies de protection et des autorisations associées aux e-mails protégés ? Qu’en est-il du PDF ?
Vous pouvez joindre n’importe quel type de fichier à un courrier protégé. Les stratégies de protection sont appliquées uniquement à un sous-ensemble des formats de fichier mentionnés dans Types de fichiers pris en charge. Par défaut, Chiffrement de messages Microsoft Purview chiffre les extensions de fichiers Office suivantes :
- docx
- docm
- dotx
- dotm
- pptx
- pptm
- potx
- potm
- ppsx
- ppsm
- thmx
- xlsx
- xlsm
- xlsb
- xltx
- xltm
- xlam
- xps
Chiffrement de messages Microsoft Purview ne prend pas en charge les versions 97-2003 des programmes Office suivants : Word (.doc), Excel (.xls) et PowerPoint (.ppt).
En outre, s’il est activé dans Exchange Online, le chiffrement PDF vous permet de protéger les documents PDF sensibles joints aux e-mails. Lorsque vous envoyez un e-mail, le service Office 365 chiffre les pièces jointes pdf pour les dernières versions d’Outlook, notamment :
- Outlook (nouveau) Desktop
- Outlook sur le web
- Outlook pour Mac
- Outlook pour iOS
- Outlook pour Android
Pour activer le chiffrement des pièces jointes PDF, à l’aide d’un compte professionnel ou scolaire qui a au minimum le rôle Gestion des droits relatifs à l’information dans votre locataire, exécutez la commande suivante dans Exchange Online PowerShell :
Set-IRMConfiguration -EnablePdfEncryption $true
La protection est héritée du courrier aux pièces jointes non chiffrées uniquement. Si un format de fichier est pris en charge, tel qu’un fichier Word, Excel ou PowerPoint, le fichier est toujours protégé, même après le téléchargement de la pièce jointe par le destinataire.
Par exemple, supposons qu’une pièce jointe soit protégée par Ne pas transférer. Le destinataire d’origine télécharge le fichier, crée un message à un nouveau destinataire et joint le fichier. Lorsque le nouveau destinataire reçoit le fichier, il ne peut pas l’ouvrir.
Not yet. Les pièces jointes SharePoint ou OneDrive ne sont pas prises en charge. Vous pouvez chiffrer un message électronique, mais pas les pièces jointes cloud.
Quels clients de messagerie prennent en charge la préversion des pièces jointes chiffrées dans les e-mails protégés ?
Lorsque les pièces jointes sont protégées par un courrier protégé, vous pouvez afficher un aperçu des documents directement à l’aide de clients Outlook. Outlook prend en charge la préversion des documents Office (docx, xlsx, pptx, doc, xls, ppt). Outlook sur le web prend en charge la préversion des documents Office (docx, xlsx, pptx) et PDF.
Outlook sur le web prend en charge la révocation du courrier protégé. Pour plus d’informations, consultez Comment révoquer un message chiffré que vous avez envoyé .
Le portail de messages chiffrés prend-il en charge l’aperçu des pièces jointes chiffrées dans les e-mails protégés ?
Le portail de messages chiffrés prend en charge l’aperçu de toutes les copies de pièces jointes chiffrées ajoutées au courrier chiffré. Les types de fichiers de prise en charge incluent les fichiers Word, Excel, PowerPoint et PDF.
Oui. Utilisez des règles de flux de messagerie dans Exchange Online pour chiffrer automatiquement un message en fonction de certaines conditions. Par exemple, vous pouvez créer des stratégies basées sur l’ID de destinataire, le domaine du destinataire ou sur le contenu dans le corps ou l’objet du message. Consultez Définir des règles de flux de courrier pour chiffrer les messages électroniques dans Office 365.
Les administrateurs peuvent configurer une règle de flux de courrier pour supprimer le chiffrement des messages sortants. Vous pouvez uniquement configurer une règle pour supprimer le chiffrement des messages entrants provenant de votre Exchange Online organization.
Pour une boîte aux lettres Exchange Online, les administrateurs doivent activer le déchiffrement du journal et configurer une règle de journalisation Exchange Online pour générer une copie déchiffrée du courrier dans la boîte aux lettres de journalisation. La règle de journalisation accepte tout courrier ou pièce jointe qui a un chiffrement et envoie l’original ainsi qu’une copie déchiffrée dans la boîte aux lettres de journalisation. Vous pouvez uniquement configurer une règle de journalisation qui peut déchiffrer le courrier ou les pièces jointes lorsque l’élément chiffré provient de votre organization.
Pour activer Exchange Online journalisation :
Set-IRMConfiguration -JournalReportDecryptionEnabled $true
Puis-je chiffrer automatiquement les messages en configurant des stratégies de protection contre la perte de données (DLP) via le portail de conformité Microsoft Purview ?
Oui. Vous pouvez configurer des règles de flux de messagerie dans Exchange Online ou en utilisant DLP dans le portail de conformité Microsoft Purview.
Oui, pour les messages envoyés à partir d’une boîte aux lettres Exchange Online dans votre organization ! Pour plus d’informations sur la personnalisation des messages électroniques et le portail des messages chiffrés, consultez Ajouter la marque de votre organization à vos messages chiffrés.
Sur quels types de destinataires fonctionnent les journaux d’activité du portail de messages chiffrés ?
Les journaux d’activité du portail de messages chiffrés capturent uniquement les événements pour les destinataires externes en accédant aux portails de messages chiffrés. Les activités des clients de messagerie déclenchées par des destinataires externes ne sont pas enregistrées. Pour les destinataires internes, consultez l’action d’audit de boîte aux lettres MailItemsAccessed dans Purview Audit (Premium) - Journaux d’accès aux éléments de messagerie.
Il existe un rapport de chiffrement dans le portail de conformité Microsoft Purview. Consultez Afficher les rapports de sécurité des e-mails dans le portail de conformité Microsoft Purview.
Puis-je utiliser le chiffrement des messages avec des fonctionnalités de conformité telles que eDiscovery ?
Oui, la plupart des messages protégés par Chiffrement de messages Microsoft Purview sont détectables. Chiffrement de messages Microsoft Purview courrier protégé que vous recevez d’un autre organization Microsoft 365 auquel une personnalisation est appliquée par le biais d’une règle de flux de messagerie n’est pas détectable par votre service eDiscovery. En d’autres termes, si le courrier n’est pas accessible via la boîte aux lettres de l’utilisateur, mais qu’il n’est exposé que par le biais d’un lien vers le portail des messages chiffrés, le courrier ne peut pas faire l’objet d’une recherche. Pour plus d’informations, consultez activités eDiscovery qui prennent en charge les éléments chiffrés .
Lorsqu’un message électronique correspond à une règle de flux de messagerie de chiffrement, Exchange chiffre le message qui l’envoie.
Oui. Vous pouvez ouvrir des messages chiffrés pour une boîte aux lettres partagée. Lorsque le courrier est envoyé à partir du même organization, vous pouvez ouvrir le courrier lorsque vous êtes connecté à un client Outlook pris en charge. Si le courrier est envoyé à partir d’un organization externe, vous devez utiliser Outlook sur le web.
Les utilisateurs peuvent ouvrir des messages protégés dans une boîte aux lettres partagée où la boîte aux lettres partagée a reçu un courrier protégé dans le cadre d’un groupe de distribution.
Les utilisateurs peuvent afficher les pièces jointes qui héritent de la protection de la messagerie lorsqu’ils utilisent Outlook pour Windows, Outlook pour Mac, Outlook pour Android, Outlook pour iOS et Outlook sur le web.
Le tableau suivant répertorie les clients pris en charge pour les boîtes aux lettres partagées.
Plateforme | Lire le courrier | Afficher les pièces jointes des e-mails |
---|---|---|
Outlook sur le web | Oui | Oui |
Outlook pour Windows | Oui | Oui* |
Outlook pour Mac | Oui | Oui |
Outlook pour Android | Oui | Oui* |
Outlook pour iOS | Oui | Oui* |
Notes
Android et iOS utilisent l’application mobile Office pour afficher les pièces jointes chiffrées et n’affichent pas les pièces jointes directement dans Outlook Mobile. Outlook pour Windows peut afficher des pièces jointes chiffrées lorsque l’utilisateur est directement redirigé vers une boîte aux lettres partagée. (Voir ci-dessous sur l’affectation d’utilisateurs.)
Il existe actuellement deux limitations connues :
Vous ne pouvez pas ouvrir les pièces jointes aux e-mails que vous recevez sur les appareils mobiles à l’aide d’Outlook Mobile.
Il existe deux façons d’autoriser un utilisateur à afficher le courrier chiffré directement dans Outlook pour Windows :
- Affectez directement un utilisateur à la boîte aux lettres partagée, avec les autorisations d’accès complet et le mappage automatique activés. Pour Outlook 64 bits, les utilisateurs n’ont pas besoin d’être directement affectés à la boîte aux lettres. Le mappage automatique est activé par défaut pour Exchange.
- Affectez un groupe de sécurité à extension messagerie à une boîte aux lettres partagée. Cette méthode nécessite Outlook version 2402 et prend uniquement en charge les messages générés après juin 2024.
Pour affecter un utilisateur à une boîte aux lettres partagée
Exécutez l’applet de
Add-MailboxPermission
commande avec leAutomapping
paramètre . Cet exemple accorde à Ayla l’autorisation d’accès complet à une boîte aux lettres de prise en charge.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
Pour affecter un groupe de sécurité à extension messagerie à la boîte aux lettres partagée
Pour utiliser cette méthode, vous devez chiffrer les messages avec les options de protection Ne pas transférer ou Chiffrer uniquement . Seuls les messages lancés par la boîte aux lettres partagée ou les messages envoyés dans un organization peuvent être ouverts.
Exécutez l’applet
Add-MailboxPermission
de commande pour affecter le groupe de sécurité. L’exemple suivant donne au groupe de sécurité de la réception Contoso l’autorisation d’accès complet à une boîte aux lettres de support.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
L’accès délégué est-il pris en charge avec l’ouverture de messages chiffrés ? Même si un délégué dispose d’un accès complet à la boîte aux lettres d’un autre utilisateur ?
Lorsque les délégués disposent d’une autorisation d’accès complet à la boîte aux lettres d’un utilisateur, l’accès délégué aux messages chiffrés est pris en charge dans Outlook sur le web, Outlook pour Mac, Outlook pour iOS et Outlook pour Android. Outlook pour Windows ne prend pas en charge l’accès délégué.
Vous pouvez vous connecter au portail des messages chiffrés pour récupérer le courrier tant que le organization de l’expéditeur est actif et que le courrier n’est pas configuré pour expirer.
Tout d’abord, case activée le dossier courrier indésirable ou courrier indésirable dans votre client de messagerie. Les paramètres DKIM et DMARC de votre organization peuvent entraîner le filtrage de ces e-mails en tant que courrier indésirable.
Ensuite, case activée la mise en quarantaine dans le portail de conformité. Souvent, les messages contenant un code de passe à usage unique, en particulier les premiers que votre organization reçoit, se retrouvent en quarantaine.