Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les droits d’utilisation que vous pouvez configurer pour qu’ils soient appliqués automatiquement lorsqu’une étiquette de confidentialité de Protection des données Microsoft Purview est sélectionnée par des utilisateurs, des administrateurs ou des services configurés.
Les droits d’utilisation sont sélectionnés lorsque vous configurez des étiquettes de confidentialité ou des modèles de gestion des droits pour le chiffrement. Par exemple, vous pouvez sélectionner des rôles qui configurent un regroupement logique de droits d’utilisation, ou configurer les droits individuels séparément. Les utilisateurs peuvent également sélectionner et appliquer eux-mêmes les droits d’utilisation.
Importante
Utilisez cet article pour comprendre comment les droits d’utilisation sont conçus pour être interprétés par les applications.
Les applications peuvent varier dans la façon dont elles implémentent les droits d’utilisation, et nous vous recommandons de consulter la documentation de votre application et d’effectuer vos propres tests pour case activée comportement de l’application avant de déployer en production.
Droits d’utilisation et descriptions
Le tableau suivant répertorie et décrit les droits d’utilisation pris en charge par Rights Management, ainsi que leur utilisation et leur interprétation. Ils sont répertoriés par leur nom commun, qui est généralement la façon dont vous pouvez voir le droit d’utilisation affiché ou référencé, sous la forme d’une version plus conviviale de la valeur à mot unique utilisée dans le code (valeur de stratégie Encodage dans ).
Dans ce tableau :
La constante d’API ou valeur est le nom du KIT de développement logiciel (SDK) pour un appel d’API MSIPC ou Microsoft Information Protection SDK, utilisé lorsque vous écrivez une application qui recherche un droit d’utilisation ou ajoute un droit d’utilisation à une stratégie.
Les noms des modèles AD RMS sont inclus pour les clients sur ou à partir de la solution de gestion des droits locales Active Rights Management Services.
| Droit d’utilisation | Description | Implémentation |
|---|---|---|
| Nom commun : Modifier le contenu, Modifier Encodage dans la stratégie : DOCEDIT |
Permet à l’utilisateur de modifier, réorganiser, mettre en forme ou trier le contenu à l’intérieur de l’application, ce qui inclut Office sur le Web. Il n’accorde pas le droit d’enregistrer la copie modifiée. | Droits personnalisés Office : dans le cadre des options Modifier et Contrôle total . Nom dans le portail Microsoft Purview : Modifier le contenu, Modifier (DOCEDIT) Nom dans les modèles AD RMS : Modifier Constante ou valeur de l’API : MSIPC : Sans objet. Sdk MIP : DOCEDIT |
| Nom commun : Enregistrer Encodage dans la stratégie : EDIT |
Permet à l’utilisateur d’enregistrer l’élément à l’emplacement actuel. Dans Office sur le Web, il permet également à l’utilisateur de modifier le contenu. Dans les applications Office, ce droit permet à l’utilisateur d’enregistrer le contenu du fichier dans un nouvel emplacement et avec un nouveau nom si le format de fichier sélectionné prend en charge Rights Management. La liste des formats de fichiers disponibles est limitée à ceux qui prennent en charge Rights Management. Cette restriction garantit que le chiffrement d’origine ne peut pas être supprimé du fichier. |
Droits personnalisés Office : dans le cadre des options Modifier et Contrôle total . Nom dans le portail Microsoft Purview : Enregistrer (MODIFIER) Nom dans les modèles AD RMS : Enregistrer Constante ou valeur de l’API : MSIPC : IPC_GENERIC_WRITE L"EDIT"Sdk MIP : EDIT |
| Nom commun : Commentaire Encodage dans la stratégie : COMMENT |
Active l’option permettant d’ajouter des annotations ou des commentaires au contenu. Ce droit est disponible dans le Kit de développement logiciel (SDK), il est disponible en tant que stratégie ad hoc dans le module PowerShell PurviewInformationProtection et a été implémenté dans certaines applications de fournisseur de logiciels. Toutefois, il n’est pas largement utilisé et n’est pas pris en charge par les applications Office. |
Droits personnalisés Office : non implémenté. Nom dans le portail Microsoft Purview : Non implémenté. Nom dans les modèles AD RMS : non implémenté. Constante ou valeur de l’API : MSIPC : IPC_GENERIC_COMMENT L"COMMENTSdk MIP : COMMENT |
| Nom commun : Enregistrer sous, Exporter Encodage dans la stratégie : EXPORT |
Active l’option permettant d’enregistrer le contenu sous un autre nom de fichier (Enregistrer sous). Ce droit permet également à l’utilisateur d’effectuer d’autres options d’exportation dans les applications, telles que Envoyer à OneNote. |
Droits personnalisés Office : dans le cadre de l’option Contrôle total . Nom dans le portail Microsoft Purview : Enregistrer sous, Exporter (EXPORT) Nom dans les modèles AD RMS : Exporter (Enregistrer sous) Constante ou valeur de l’API : MSIPC : IPC_GENERIC_EXPORT L"EXPORT"Sdk MIP : EXPORT |
| Nom commun : Forward Encodage dans la stratégie : FORWARD |
Active l’option permettant de transférer un e-mail et d’ajouter des destinataires aux lignes À et Cc . Ce droit ne s’applique pas aux documents ; messages électroniques uniquement. Ne permet pas au redirecteur d’accorder des droits à d’autres utilisateurs dans le cadre de l’action de transfert. Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit d’édition (nom commun) et le droit d’enregistrement (nom commun) pour vous assurer que le message électronique chiffré n’est pas remis sous forme de pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à un autre organization qui utilise le client Outlook ou l’application web Outlook. Ou, pour les utilisateurs de votre organization qui sont exemptés de l’utilisation du chiffrement Rights Management parce que vous avez implémenté des contrôles d’intégration. |
Droits personnalisés Office : refusés lors de l’utilisation de la stratégie standard Ne pas transférer . Nom dans le portail Microsoft Purview : Forward (FORWARD) Nom dans les modèles AD RMS : Transférer Constante ou valeur de l’API : MSIPC : IPC_EMAIL_FORWARD L"FORWARD"Sdk MIP : FORWARD |
| Nom commun : Contrôle total Encodage dans la stratégie : OWNER |
Accorde tous les droits à l’élément et toutes les actions disponibles peuvent être effectuées. Inclut la possibilité de supprimer le chiffrement et de rechiffrer un document. Notez que ce droit d’utilisation n’est pas le même que le propriétaire de Rights Management. | Droits personnalisés Office : en tant qu’option personnalisée Contrôle total . Nom dans le portail Microsoft Purview : Contrôle total (OWNER) Nom dans les modèles AD RMS : Contrôle total Constante ou valeur de l’API : MSIPC : IPC_GENERIC_ALL L"OWNER"Sdk MIP : OWNER |
| Nom commun : Imprimer Encodage dans la stratégie : PRINT |
Active les options permettant d’imprimer le contenu. | Droits personnalisés Office : en tant qu’option Imprimer le contenu dans les autorisations personnalisées. Pas un paramètre par destinataire. Nom dans le portail Microsoft Purview : Imprimer (PRINT) Nom dans les modèles AD RMS : Imprimer Constante ou valeur de l’API : MSIPC : IPC_GENERIC_PRINT L"PRINT"Sdk MIP : PRINT |
| Nom commun : Reply Encodage dans la stratégie : REPLY |
Active l’option Répondre dans un client de messagerie, sans autoriser les modifications dans les lignes À ou Cc . Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit d’édition (nom commun) et le droit d’enregistrement (nom commun) pour vous assurer que le message électronique chiffré n’est pas remis sous forme de pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à un autre organization qui utilise le client Outlook ou l’application web Outlook. Ou, pour les utilisateurs de votre organization qui sont exemptés de l’utilisation de la protection Rights Management parce que vous avez implémenté des contrôles d’intégration. | Droits personnalisés Office : non applicable. Nom dans les modèles AD RMS : Répondre Constante ou valeur de l’API : MSIPC : IPC_EMAIL_REPLYSdk MIP : REPLY |
| Nom commun : Répondre à tous Encodage dans la stratégie : REPLYALL |
Active l’option Répondre à tout dans un client de messagerie, mais ne permet pas à l’utilisateur d’ajouter des destinataires aux lignes À ou Cc . Lorsque vous accordez ce droit, accordez également le droit Modifier le contenu, le droit d’édition (nom commun) et le droit d’enregistrement (nom commun) pour vous assurer que le message électronique chiffré n’est pas remis sous forme de pièce jointe. Spécifiez également ces droits lorsque vous envoyez un e-mail à un autre organization qui utilise le client Outlook ou l’application web Outlook. Ou, pour les utilisateurs de votre organization qui sont exemptés de l’utilisation du service Azure Rights Management car vous avez implémenté des contrôles d’intégration. | Droits personnalisés Office : non applicable. Nom dans le portail Microsoft Purview : Répondre à tout (REPLY ALL) Nom dans les modèles AD RMS : Répondre à tous Constante ou valeur de l’API : MSIPC : IPC_EMAIL_REPLYALL L"REPLYALL"Sdk MIP : REPLYALL |
| Nom commun : View, Open, Read Encodage dans la stratégie : VIEW |
Permet à l’utilisateur d’ouvrir le document et de voir le contenu. De plus : - Dans Microsoft 365 Copilot et d’autres applications IA, permet au LLM de référencer l’élément avec un lien, mais sans résumer le contenu, afin que l’utilisateur puisse ensuite ouvrir et afficher le contenu en dehors de l’application IA. Dans Excel, ce droit n’est pas suffisant pour trier les données, ce qui nécessite le droit suivant : Modifier le contenu, Modifier. Pour filtrer les données dans Excel, vous avez besoin des deux droits suivants : Modifier le contenu, Modifier et Copier. |
Droits personnalisés Office : comme option Lire la stratégie personnalisée, Afficher . Nom dans le portail Microsoft Purview : Afficher, Ouvrir, Lire (VIEW) Nom dans les modèles AD RMS : Lecture Constante ou valeur de l’API : MSIPC : IPC_GENERIC_READ L"VIEW"Sdk MIP : VIEW |
| Nom commun : Copier Encodage dans la stratégie : EXTRACT |
Active les options permettant de copier les données (y compris les captures d’écran) de l’élément dans le même élément ou un autre élément. De plus : - Dans Microsoft 365 Copilot et d’autres applications IA, permet au LLM d’accéder au contenu de l’utilisateur demandeur et de le résumer. - Dans certaines applications, ce droit permet également d’enregistrer l’intégralité du document non chiffré. Dans Microsoft Teams et les applications de partage d’écran similaires, le présentateur doit disposer de ce droit pour présenter correctement un document chiffré. Si le présentateur n’a pas ce droit, les participants ne peuvent pas afficher le document et il s’affiche comme noirci pour eux. |
Droits personnalisés Office : en tant qu’option de stratégie personnalisée Autoriser les utilisateurs disposant d’un accès en lecture à copier du contenu . Nom dans le portail Microsoft Purview : Copier (EXTRAIRE) Nom dans les modèles AD RMS : Extraire Constante ou valeur de l’API : MSIPC : IPC_GENERIC_EXTRACT L"EXTRACT"Sdk MIP : EXTRACT |
| Nom commun : Afficher les droits Encodage dans la stratégie : VIEWRIGHTSDATA |
Permet à l’utilisateur de voir la stratégie appliquée au document. Non pris en charge par les applications Office ou par le client Protection des données Microsoft Purview. | Droits personnalisés Office : non implémenté. Nom dans le portail Microsoft Purview : Droits d’affichage (VIEWRIGHTSDATA). Nom dans les modèles AD RMS : Afficher les droits Constante ou valeur de l’API : MSIPC : IPC_READ_RIGHTS L"VIEWRIGHTSDATA"Sdk MIP : VIEWRIGHTSDATA |
| Nom commun : Modifier les droits Encodage dans la stratégie : EDITRIGHTSDATA |
Permet à l’utilisateur de modifier la stratégie appliquée au document. Inclut la suppression du chiffrement. Non pris en charge par les applications Office ou le client Protection des données Microsoft Purview. | Droits personnalisés Office : non implémenté. Nom dans le portail Microsoft Purview : Modifier les droits (EDITRIGHTSDATA). Nom dans les modèles AD RMS : Modifier les droits Constante ou valeur de l’API : MSIPC : PC_WRITE_RIGHTS L"EDITRIGHTSDATA"Sdk MIP : EDITRIGHTSDATA |
| Nom commun : Autoriser les macros Encodage dans la stratégie : OBJMODEL |
Active l’option permettant d’exécuter des macros ou d’effectuer un autre accès programmatique ou à distance au contenu d’un document. | Droits personnalisés Office : option de stratégie personnalisée Autoriser l’accès par programmation. Pas un paramètre par destinataire. Nom dans le portail Microsoft Purview : Autoriser les macros (OBJMODEL) Nom dans les modèles AD RMS : Autoriser les macros Constante ou valeur de l’API : MSIPC : Non implémenté. Sdk MIP : OBJMODEL |
Droits inclus dans les niveaux d’autorisations
Certaines applications regroupent les droits d’utilisation dans des niveaux d’autorisation pour faciliter la sélection des droits d’utilisation qui sont généralement utilisés ensemble. Ces niveaux d’autorisation permettent d’extraire un niveau de complexité des utilisateurs, afin qu’ils puissent choisir des options basées sur des rôles. Par exemple, visionneuse et Rédacteur restreintes. Bien que ces options montrent souvent aux utilisateurs un résumé des droits, elles peuvent ne pas inclure tous les droits répertoriés dans le tableau précédent.
Utilisez le tableau suivant pour obtenir la liste de ces niveaux d’autorisation et une liste complète des droits d’utilisation qu’ils contiennent. Les droits d’utilisation sont répertoriés par leur nom commun.
| Niveau d’autorisation | Applications | Droits d’utilisation inclus |
|---|---|---|
| Visionneuse | Portail Microsoft Purview client Protection des données Microsoft Purview |
Afficher, Ouvrir, Lire ; Afficher les droits ; Réponse [1] ; Répondre à tous [1] ; Autoriser les macros [2] Remarque : Pour les e-mails, utilisez Réviseur plutôt que ce niveau d’autorisation pour vous assurer qu’une réponse par e-mail est reçue sous la forme d’un e-mail plutôt que d’une pièce jointe. Le réviseur est également requis lorsque vous envoyez un e-mail à un autre organization qui utilise le client Outlook ou l’application web Outlook. Ou, pour les utilisateurs de votre organization qui sont exemptés de l’utilisation du service Azure Rights Management car vous avez implémenté des contrôles d’intégration. |
|
Rédacteur restreint (Précédemment réviseur[3]) |
Portail Microsoft Purview client Protection des données Microsoft Purview |
Afficher, Ouvrir, Lire ; Sauvegarder; Modifier le contenu, Modifier ; Afficher les droits ; Réponse : Répondre à tous ; En avant; Autoriser les macros [2] |
|
Éditeur (Précédemment co-auteur[3]) |
Portail Microsoft Purview client Protection des données Microsoft Purview |
Afficher, Ouvrir, Lire ; Sauvegarder; Modifier le contenu, Modifier ; Copier; Afficher les droits ; Autoriser les macros [2] ; Enregistrer sous, exporter [4] ; Imprimer; Répondre; Répondre à tous ; En avant |
|
Owner (Précédemment copropriétaire[3]) |
Portail Microsoft Purview client Protection des données Microsoft Purview |
Afficher, Ouvrir, Lire ; Sauvegarder; Modifier le contenu, Modifier ; Copier; Afficher les droits ; Modifier les droits ; Autoriser les macros ; Enregistrer sous, exporter ; Imprimer; Répondre; Répondre à tous ; En avant; Contrôle total |
Note de bas de page 1
Non inclus dans le portail Microsoft Purview.
Note de bas de page 2
Non inclus dans la boîte de dialogue autorisations personnalisées dans Word, Excel et PowerPoint pour Windows (version 2408+).
Note de bas de page 3
Le portail Microsoft Purview et la boîte de dialogue d’autorisations personnalisées dans Word, Excel et PowerPoint pour Windows (version 2411+) ont mis à jour le nommage au niveau des autorisations. Le réviseur est maintenant appelé restricted Rédacteur, co-auteur est maintenant appelé Rédacteur et co-propriétaire est maintenant appelé Propriétaire. D’autres applications continuent d’utiliser le nommage de niveau d’autorisation d’origine.
Note de bas de page 4
Non inclus dans le portail Microsoft Purview.
L’option Ne pas transférer.
Les clients et services Exchange (par exemple, le client Outlook, les Outlook sur le web, les règles de flux de messagerie Exchange et les actions DLP pour Exchange) disposent d’une option de protection des droits d’information supplémentaire pour les e-mails : Ne pas transférer.
Bien que cette option apparaisse pour les utilisateurs (et les administrateurs Exchange) comme s’il s’agit d’un modèle Rights Management par défaut qu’ils peuvent sélectionner, Ne pas transférer n’est pas un modèle. Au lieu de cela, l’option Ne pas transférer est un ensemble de droits d’utilisation appliqués dynamiquement par les utilisateurs à leurs destinataires d’e-mail.
Lorsque l’option Ne pas transférer est appliquée à un e-mail, l’e-mail est chiffré et les destinataires doivent être authentifiés. Ensuite, les destinataires ne peuvent pas le transférer, l’imprimer ou le copier à partir de celui-ci. Par exemple, dans le client Outlook, le bouton Transférer n’est pas disponible, les options de menu Enregistrer sous et Imprimer ne sont pas disponibles et vous ne pouvez pas ajouter ou modifier des destinataires dans les zones À, Cc ou Cci .
Les documents Office non chiffrés qui sont joints à l’e-mail héritent automatiquement des mêmes restrictions. Les droits d’utilisation appliqués à ces documents sont Modifier le contenu, Modifier ; Enregistrer ; Afficher, Ouvrir, Lire ; et Autoriser les macros. Si vous souhaitez des droits d’utilisation différents pour une pièce jointe, ou si votre pièce jointe n’est pas un document Office qui prend en charge ce chiffrement hérité, chiffrez le fichier avant de le joindre à l’e-mail. Vous pouvez ensuite attribuer les droits d’utilisation spécifiques dont vous avez besoin pour le fichier.
Différence entre ne pas transférer et ne pas accorder le droit d’utilisation De transfert
Il existe une distinction importante entre l’application de l’option Ne pas transférer et l’application d’un modèle de gestion des droits qui n’accorde pas le droit de transfert d’utilisation à un e-mail : l’option Ne pas transférer utilise une liste dynamique d’utilisateurs autorisés basée sur les destinataires choisis par l’utilisateur de l’e-mail d’origine . tandis que les droits dans le modèle ont une liste statique d’utilisateurs autorisés que l’administrateur a précédemment spécifiée. Quelle est la différence ? Prenons un exemple :
Un utilisateur souhaite envoyer par e-mail des informations à des personnes spécifiques du service Marketing qui ne doivent être partagées avec personne d’autre. Doivent-ils protéger l’e-mail avec un modèle de gestion des droits qui limite les droits (affichage, réponse et enregistrement) au service Marketing ? Ou doivent-ils choisir l’option Ne pas transférer ? Les deux choix entraînent l’impossibilité pour les destinataires de transférer l’e-mail.
S’ils appliquaient le modèle, les destinataires pouvaient toujours partager les informations avec d’autres personnes du service marketing. Par exemple, un destinataire peut utiliser Explorer pour glisser-déplacer l’e-mail vers un emplacement partagé ou un lecteur USB. Désormais, toute personne du service marketing (et le propriétaire de l’e-mail) qui a accès à cet emplacement peut afficher les informations dans l’e-mail.
S’ils ont appliqué l’option Ne pas transférer , les destinataires ne pourront pas partager les informations avec d’autres personnes du service marketing en déplaçant l’e-mail vers un autre emplacement. Dans ce scénario, seuls les destinataires d’origine (et le propriétaire de l’e-mail) seront en mesure d’afficher les informations contenues dans l’e-mail.
Remarque
Utilisez Ne pas transférer lorsqu’il est important que seuls les destinataires choisis par l’expéditeur voient les informations dans l’e-mail. Utilisez un modèle pour les e-mails afin de restreindre les droits à un groupe de personnes que l’administrateur spécifie à l’avance, indépendamment des destinataires choisis par l’expéditeur.
Option Chiffrer uniquement pour les e-mails
Lorsque Exchange Online utilise Chiffrement de messages Microsoft Purview, une nouvelle option Chiffrer l’e-mail devient disponible pour chiffrer les données sans restrictions supplémentaires.
Cette option est disponible pour les locataires qui utilisent Exchange Online et peut être sélectionnée comme suit :
- Dans Outlook sur le web avec l’option Chiffrer ou une étiquette de confidentialité configurée pour Permettre aux utilisateurs d’attribuer des autorisations et l’option Chiffrer uniquement
- En tant qu’autre option de protection des droits pour une règle de flux de messagerie
- En tant qu’action DLP Microsoft Purview
-
À partir de l’application Outlook pour les ordinateurs de bureau et les appareils mobiles :
- Avec une étiquette de confidentialité configurée pour Permettre aux utilisateurs d’attribuer des autorisations et l’option Chiffrer uniquement , pour Windows, macOS, iOS et Android lorsque vous utilisez des étiquettes de confidentialité avec les versions minimales répertoriées dans le tableau pour les fonctionnalités d’étiquette de confidentialité dans Outlook.
- Avec l’option Chiffrer sur Windows et macOS, pour les versions répertoriées dans le tableau des versions prises en charge pour Microsoft 365 Apps par canal de mise à jour.
Pour plus d’informations sur l’option encrypt-only, consultez le billet de blog suivant lors de sa première annonce de la part de l’équipe Office : Encrypt only rolling out in Office 365 Message Encryption.
Lorsque cette option est sélectionnée, l’e-mail est chiffré et les destinataires doivent être authentifiés. Ensuite, les destinataires disposent de tous les droits d’utilisation à l’exception de Enregistrer sous, Exporter et Contrôle total. Cette combinaison de droits d’utilisation signifie que les destinataires n’ont aucune restriction, sauf qu’ils ne peuvent pas supprimer le chiffrement. Par exemple, un destinataire peut copier à partir de l’e-mail, l’imprimer et le transférer.
De même, par défaut, les documents Office non chiffrés attachés à l’e-mail héritent des mêmes autorisations. Ces documents sont automatiquement chiffrés et, lorsqu’ils sont téléchargés, ils peuvent être enregistrés, modifiés, copiés et imprimés à partir d’applications Office par les destinataires. Lorsque le document est enregistré par un destinataire, il peut être enregistré sous un nouveau nom et même dans un format différent. Toutefois, seuls les formats de fichier qui prennent en charge le chiffrement Rights Management sont disponibles afin que le document ne puisse pas être enregistré sans le chiffrement d’origine. Si vous souhaitez des droits d’utilisation différents pour une pièce jointe, ou si votre pièce jointe n’est pas un document Office qui prend en charge ce chiffrement hérité, chiffrez le fichier avant de le joindre à l’e-mail. Vous pouvez ensuite attribuer les droits d’utilisation spécifiques dont vous avez besoin pour le fichier.
Vous pouvez également modifier cet héritage de chiffrement des documents en spécifiant Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true avec Exchange Online PowerShell. Utilisez cette configuration lorsque vous n’avez pas besoin de conserver le chiffrement d’origine du document après l’authentification de l’utilisateur. Lorsque les destinataires ouvrent l’e-mail, le document n’est pas chiffré.
Remarque
Si vous voyez des références à DecryptAttachmentFromPortal, ce paramètre est désormais déconseillé pour Set-IRMConfiguration. Sauf si vous avez déjà défini ce paramètre, il n’est pas disponible.
Chiffrer automatiquement des documents PDF avec Exchange Online
Lorsque Exchange Online utilise Chiffrement de messages Microsoft Purview, vous pouvez chiffrer automatiquement les documents PDF lorsqu’ils sont joints à un e-mail chiffré. Le document hérite des mêmes autorisations que celles du message électronique. Pour activer cette configuration, définissez EnablePdfEncryption $True avec Set-IRMConfiguration.
Les destinataires peuvent utiliser Microsoft Edge pour afficher le document PDF chiffré. Les destinataires peuvent également lire le document PDF chiffré dans le portail OME.
Émetteur Rights Management et propriétaire de Rights Management
Lorsqu’un élément est chiffré à l’aide du service Azure Rights Management, le compte qui chiffre ce contenu devient automatiquement l’émetteur Rights Management pour ce contenu. Ce compte est enregistré en tant que champ émetteur dans les journaux d’utilisation.
L’émetteur Rights Management se voit toujours accorder le droit d’utilisation contrôle total pour l’élément, et en outre :
Si les paramètres de chiffrement incluent une date d’expiration, l’émetteur Rights Management peut toujours ouvrir et modifier le document ou l’e-mail après cette date.
L’émetteur Rights Management peut toujours accéder au document ou à l’e-mail hors connexion.
L’émetteur de Rights Management peut toujours ouvrir un document après sa révocation.
Par défaut, ce compte est également le propriétaire de Rights Management pour ce contenu, ce qui est le cas lorsqu’un utilisateur qui a créé l’élément lance le chiffrement. Toutefois, il existe certains scénarios dans lesquels un administrateur ou un service peut chiffrer du contenu pour le compte des utilisateurs. Par exemple :
Un administrateur chiffre en bloc les fichiers sur un partage de fichiers : le compte d’administrateur dans Microsoft Entra ID chiffre les documents pour les utilisateurs.
Le connecteur Rights Management chiffre les documents Office sur un dossier Windows Server : le compte principal de service dans Microsoft Entra’ID créé pour le connecteur Rights Management chiffre les documents pour les utilisateurs.
Dans ces scénarios, l’émetteur Rights Management peut affecter le propriétaire Rights Management à un autre compte à l’aide des KITS de développement logiciel (SDK) Microsoft Information Protection ou de PowerShell. Par exemple, lorsque vous utilisez l’applet de commande PowerShell Set-LabelFile avec le client Protection des données Microsoft Purview, vous pouvez spécifier le paramètre Owner pour affecter le propriétaire Rights Management à un autre compte.
Lorsque l’émetteur Rights Management chiffre au nom des utilisateurs, l’attribution du propriétaire Rights Management garantit que le propriétaire de l’élément d’origine a le même niveau de contrôle pour son contenu chiffré que s’il avait lancé le chiffrement lui-même.
Par exemple, l’utilisateur qui a créé le document peut l’imprimer, même s’il est désormais étiqueté avec des paramètres de chiffrement qui n’incluent pas le droit d’utilisation de l’impression. Le même utilisateur peut toujours accéder à son document, indépendamment du paramètre d’accès hors connexion ou de la date d’expiration qui a pu être configurée dans les paramètres de chiffrement. En outre, étant donné que le propriétaire de Rights Management dispose du droit d’utilisation Contrôle total, cet utilisateur peut également rechiffrer le document pour accorder l’accès à d’autres utilisateurs (auquel cas l’utilisateur devient l’émetteur Rights Management ainsi que le propriétaire rights management), et cet utilisateur peut même supprimer le chiffrement. Toutefois, seul l’émetteur Rights Management peut suivre et révoquer un document.
Le propriétaire Rights Management d’un élément est enregistré en tant que champ propriétaire-e-mail dans les journaux d’utilisation.
Remarque
Le propriétaire rights management est indépendant du propriétaire du système de fichiers Windows. Ils sont souvent les mêmes, mais peuvent être différents, même si vous n’utilisez pas les KITS de développement logiciel (SDK) ou PowerShell.
Licence d’utilisation de la gestion des droits
Lorsqu’un utilisateur ouvre un élément qui a été chiffré par le service Azure Rights Management, une licence d’utilisation Rights Management pour ce contenu est accordée à l’utilisateur. Cette licence d’utilisation est un certificat qui contient les droits d’utilisation de l’utilisateur pour l’élément et la clé de chiffrement utilisée pour chiffrer le contenu. La licence d’utilisation contient également une date d’expiration si celle-ci a été définie et la durée de validité de la licence d’utilisation.
Un utilisateur doit disposer d’une licence d’utilisation valide pour ouvrir le contenu en plus de son certificat de compte de droits (RAC), qui est un certificat accordé lorsque l’environnement utilisateur est initialisé , puis renouvelé tous les 31 jours.
Pendant la durée de la licence d’utilisation, l’utilisateur n’est pas réauthentifié ni autorisé pour le contenu. Cela permet à l’utilisateur de continuer à ouvrir l’élément chiffré sans connexion Internet. Lorsque la période de validité de la licence d’utilisation expire, la prochaine fois que l’utilisateur accède à l’élément chiffré, l’utilisateur doit être réauthentifié et réautorisé.
Lorsque des éléments sont chiffrés à l’aide d’une étiquette de confidentialité qui définit les paramètres de chiffrement, vous pouvez modifier ces paramètres dans votre étiquette de confidentialité sans avoir à chiffrer à nouveau le contenu. Si l’utilisateur a déjà accédé au contenu, les modifications prennent effet après l’expiration de sa licence d’utilisation. Toutefois, lorsque les utilisateurs appliquent eux-mêmes des autorisations (également appelées autorisations définies par l’utilisateur, autorisations personnalisées ou stratégie de droits ad hoc) et que ces autorisations doivent être modifiées une fois l’élément chiffré, ce contenu doit être chiffré à nouveau avec les nouvelles autorisations. Les autorisations définies par l’utilisateur pour un message électronique sont implémentées avec l’option Ne pas transférer.
La période de validité de la licence d’utilisation par défaut pour un locataire est de 30 jours et vous pouvez configurer cette valeur à l’aide de l’applet de commande PowerShell Set-AipServiceMaxUseLicenseValidityTime. Vous pouvez configurer un paramètre plus restrictif pour le moment où le chiffrement est appliqué à l’aide d’une étiquette de confidentialité configurée pour attribuer des autorisations maintenant, ou d’un modèle de gestion des droits :
Lorsque vous configurez une étiquette de confidentialité, la période de validité de la licence d’utilisation prend sa valeur du paramètre Autoriser l’accès hors connexion .
Pour plus d’informations et pour obtenir des conseils sur la configuration de ce paramètre pour une étiquette de confidentialité, consultez le tableau des recommandations dans les instructions de configuration des autorisations pour une étiquette de confidentialité.
Lorsque vous configurez un modèle de gestion des droits à l’aide de PowerShell, la période de validité de la licence d’utilisation prend sa valeur du paramètre LicenseValidityDuration dans les applets de commande Set-AipServiceTemplateProperty et Add-AipServiceTemplate .
Pour plus d’informations et pour obtenir des conseils sur la configuration de ce paramètre à l’aide de PowerShell, consultez l’aide de chaque applet de commande.