Microsoft 365 Business : Comment configurer Azure Information Protection

Le terme protection de l'information, ou IP, est généralement utilisé pour englober les normes de l'industrie et les meilleures pratiques pour protéger les informations contre les accès non autorisés. Dans l'écosystème Microsoft, Azure Information Protection est un service cloud qui permet aux organisations de classer les données avec des étiquettes pour contrôler l'accès. Azure Information Protection peut être acheté en tant que licence autonome ou regroupé dans une solution telle que Microsoft 365 Business.

Voici une ventilation des fonctionnalités incluses dans chacune des quatre versions d'Azure Information Protection . La licence AIP Premium P1 est incluse dans Microsoft 365 Business.

L'évolution d'Azure Information Protection

Azure Information Protection a connu une évolution au cours des dernières années, et vous avez peut-être rencontré cette technologie sous un nom différent. Certains des anciens noms de la technologie sont Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Management, Information Rights Management (IRM), ou pour certains, simplement « Le nouveau Microsoft RMS. " Vous vous ferez une grande faveur à vous-même et à Microsoft en oubliant tous ces anciens noms et en vous en tenant simplement à Azure Information Protection .

La dernière itération de cette technologie cloud offre désormais des capacités de classification et d'étiquetage qui peuvent, à leur tour, appliquer la gestion des droits pour protéger les fichiers. À un niveau élevé, Azure Information Protection protège vos données en trois étapes clés :

Tout d'abord, les données sont classées et étiquetées . Par exemple, si un document est classé comme confidentiel et ne doit être accessible qu'aux destinataires de l'e-mail, le libellé peut être Confidentiel - Destinataires uniquement.

Ensuite, les données sont protégées par le cryptage, le contrôle d'accès et des politiques basées sur l'étiquette. En reprenant l'exemple précédent, un document marqué de l' étiquette Confidentiel — Destinataires uniquement sera crypté afin que seuls les destinataires puissent le lire.

Enfin, les documents peuvent être suivis et l'accès peut être révoqué si nécessaire. A partir de l'exemple précédent, l'expéditeur de l'e-mail peut décider qu'un des destinataires ne doit plus avoir accès au document. Dans ce cas, l'expéditeur peut révoquer l'accès pour un utilisateur spécifique.

Le chiffrement des messages Office 365, ou OME, est l'une des fonctionnalités d'Azure Information Protection. Si vous disposez de la licence AIP Premium P2, vous pouvez bénéficier de fonctionnalités supplémentaires, telles que la classification automatique des données cloud et on premise. Ici, vous découvrez les fonctionnalités disponibles dans la licence AIP Premium P1.

Activer Azure Information Protection

Pour commencer à utiliser Azure Information Protection, la première chose que vous devez faire en tant qu'administrateur informatique est d'activer le service dans votre locataire Microsoft 365 Business . Même si vous pensez que le service est déjà activé, cela ne fait pas de mal de vérifier. Voici comment:

Connectez-vous au portail d'administration de Microsoft avec vos informations d'identification d'administrateur global.

Dans la navigation de gauche, sous le groupe Paramètres, cliquez sur Services et complément.

La page Services et compléments s'affiche.

Navigation vers les paramètres de Microsoft Azure Information Protection.

Sélectionnez Microsoft Azure Information Protection

La fenêtre Microsoft Azure Information Protection s'affiche sur la droite.

Dans la fenêtre Protection des informations Microsoft Azure, cliquez sur Gérer les paramètres de protection des informations Microsoft Azure.

Confirmez que la gestion des droits est activée. Si ce n'est pas le cas, cliquez sur le bouton Activer

Dans cet exemple, le locataire est déjà activé pour Azure Information Protection.

Un locataire avec Rights Management activé.

Après avoir confirmé l'état de vos paramètres Azure Information Protection, vous pouvez fermer la fenêtre du navigateur en toute sécurité ou revenir au Centre d'administration Microsoft 365 à partir du lanceur d'applications.

Se familiariser avec les étiquettes Azure Information Protection

Azure Information Protection est livré préconfiguré avec des stratégies et des étiquettes par défaut qui s'appliquent à la plupart des organisations, y compris les petites entreprises. Avant de commencer à réfléchir à la configuration d'étiquettes et de stratégies personnalisées pour votre organisation, prenez le temps de vous familiariser avec les paramètres par défaut d'Azure Information Protection. Vous pourriez vous épargner beaucoup de travail en créant et en testant des stratégies personnalisées.

Si votre locataire Office 365 a été provisionné avec Azure Information Protection après février 2018, les étiquettes suivantes et les descriptions correspondantes sont déjà disponibles :

• Personnel : Données non professionnelles, à usage personnel uniquement.
• Public : données commerciales spécifiquement préparées et approuvées pour la consommation publique.
• Général : données commerciales qui ne sont pas destinées à la consommation publique mais peuvent être partagées avec des partenaires externes selon les besoins. Les exemples incluent un annuaire téléphonique interne d'entreprise, des organigrammes, des normes internes et la plupart des communications internes.
• Confidentiel : données commerciales sensibles qui pourraient causer des dommages à l'entreprise si elles étaient partagées avec des personnes non autorisées. Les exemples incluent les contrats, les rapports de sécurité, les résumés des prévisions et les données de compte de vente. L'étiquette Confidentiel est elle-même divisée en deux sous-étiquettes :
  • Destinataires uniquement : Données confidentielles qui nécessitent une protection et qui ne peuvent être consultées que par les destinataires. Cette étiquette n'apparaîtra que dans Outlook et appliquera la stratégie Ne pas transférer.
  • Tous les employés : données confidentielles qui nécessitent une protection qui accorde à tous les employés des autorisations complètes. Les propriétaires de données peuvent suivre et révoquer le contenu.
  • Tout le monde (non protégé) : Données qui ne nécessitent pas de protection. Utilisez cette option avec prudence et avec une justification commerciale appropriée.
• Hautement confidentiel. Données commerciales très sensibles qui pourraient causer des dommages à l'entreprise si elles étaient partagées avec des personnes non autorisées. Les exemples incluent les informations sur les employés et les clients, les mots de passe, le code source et les rapports financiers pré-annoncés. L'étiquette hautement confidentielle est elle-même divisée en trois sous-étiquettes :
  • Destinataires uniquement : données hautement confidentielles qui nécessitent une protection et qui ne peuvent être consultées que par les destinataires. Cette étiquette n'apparaîtra que dans Outlook et appliquera la stratégie Ne pas transférer.
  • Tous les employés : données hautement confidentielles qui permettent à tous les employés d'afficher, de modifier et de répondre aux autorisations relatives à ce contenu. Les propriétaires de données peuvent suivre et révoquer le contenu.
  • Tout le monde (non protégé) : Données qui ne nécessitent pas de protection. Utilisez cette option avec prudence et avec une justification commerciale appropriée.

Si votre client Office 365 a été provisionné avant le 21 mars 2017, vous constaterez que les étiquettes Général et Hautement confidentiel sont manquantes. Leur équivalent dans les locataires plus anciens est Interne et Secret, respectivement.

To further explore these labels and corresponding policies, you need to navigate to the Azure portal and access the Azure Information Protection service settings. Here’s how:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

Azure Information Protection — Labels page in Azure.

The Confidential and Highly Confidential labels are collapsed by default. To view their sublabels, click the arrow to the left of the label to expand the selection.

A few words about Azure Information Protection policies

On the Azure Information Protection — Labels page, note that the labels all have Global under the Policy column. By default, Azure Information Protection comes with a Global policy that is applied to all users in the tenant. You can edit this policy, but you can’t delete it. You can also create new policies and configure them to your heart’s content, but the Global policy will always be there.

To view the details of the Azure Information Protection Global policy, follow these steps:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

In the left menu, under the Classifications group, click Policies.

On the right, the Configure Administrative Name and Description for Each Policy blade is displayed.The Policy: Global blade is displayed.

The Policy: Global blade in Azure Information Protection.

Be careful about changing the default settings in the Global policy because it is applicable to everyone in your organization. You might want to create another policy first and test it out. If you decide to change the Global policy, make sure to save your changes. (If you forget and simply close the blade, the system will prompt you to save your changes.)

Putting Azure Information Protection Into Action

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

The installation window disappears, and you’re now ready to check that the Azure Information Protection client was successfully installed.To verify the installation, open a blank document in Word. You see the labels below the ribbon.

Azure Information Protection labels displayed in Word.

Applying a label to a document

Now that the Azure Information Protection client is installed, and the labels are displayed in the Office applications, it’s time to put it to the test.

Create a Word document and pretend that it’s highly confidential.

On the Sensitivity bar, click Highly Confidential and select All Employees.

Applying the Highly Confidential/All Employees label.

The label is applied, and the other labels will disappear.

Run Outlook, start a new email, and attach the Word document.

Notez qu'Outlook affiche la barre de sensibilité avec les mêmes étiquettes que vous avez vues dans Word.

Saisissez l'adresse e-mail d'un utilisateur de votre organisation.

Saisissez une adresse e-mail en dehors de votre organisation, puis cliquez sur Envoyer.

Outlook envoie l'e-mail aux destinataires avec l'étiquette Hautement confidentiel/Tous les employés. Dans cet exercice, l'e-mail sera toujours envoyé à l'utilisateur interne et externe. L'utilisateur interne pourra ouvrir et lire le document à partir de l'invitation de partage. L'utilisateur externe, cependant, ne pourra pas ouvrir le document et verra le message affiché ici.

Un utilisateur externe bloqué d'un document sensible.

Révocation de l'accès à l'information

Azure Information Protection empêche les informations de votre entreprise de tomber entre de mauvaises mains, même après qu'elles soient tombées entre de mauvaises mains.

Par exemple, supposons que vous vous rendiez compte que vous avez accidentellement envoyé un document aux mauvaises personnes et que vous souhaitiez remédier à la situation en révoquant tout accès au document. Voici ce que vous pouvez faire, en continuant à partir de l'exemple ci-dessus :

Ouvrez le document Word protégé de l'exercice précédent.

Une barre jaune apparaît, indiquant la sensibilité du document et contenant un bouton pour afficher les autorisations pour le document.

Sur le ruban, cliquez sur Accueil, puis sur le bouton Protéger.

Un sous-menu apparaît sous le bouton Protéger.

Accéder au site de suivi des documents.

Dans le sous-menu, cliquez sur Suivre et révoquer pour lancer le site de suivi des documents.

Votre navigateur se lance pour vous diriger vers le site de suivi des documents.

S'il s'agit de la première fois que vous visitez le site, connectez-vous avec vos informations d'identification Microsoft 365 Business.

Après une connexion réussie, le site de suivi des documents affiche un résumé des vues de votre document. Explorez les onglets pour voir les fonctionnalités robustes d'Azure Information Protection.

Le site de suivi des documents.

Au bas du site de suivi des documents, cliquez sur le bouton Révoquer l'accès.

La page Révoquer l'accès s'affiche.

Cliquez sur le bouton Confirmer en bas de la page.

La fenêtre Révoquer terminée s'affiche.

Cliquez sur Continuer pour revenir à la page de suivi des documents.

Dans la vue Résumé, le document affiche le tampon Révoqué.

L'une des fonctionnalités les plus étonnantes de cette solution est que dans l'onglet Carte, vous pouvez voir où dans le monde les utilisateurs ont essayé d'accéder à votre document ! Ainsi, si jamais vous découvrez que quelqu'un de, disons, la Russie ou Tombouctou a essayé d'ouvrir votre document alors que tous vos utilisateurs sont aux États-Unis, vous saurez que l'accès au document doit être révoqué.