Partager via

configuration Microsoft Entra pour le contenu chiffré

Si vous protégez des éléments sensibles tels que des e-mails et des documents à l’aide du chiffrement du service Azure Rights Management de Protection des données Microsoft Purview, certaines configurations Microsoft Entra peuvent empêcher l’accès autorisé à ce service contenu chiffré.

De même, si vos utilisateurs reçoivent des e-mails chiffrés d’un autre organization ou collaborent avec d’autres organisations qui chiffrent des documents à l’aide du service Azure Rights Management, également appelé Azure RMS, vos utilisateurs risquent de ne pas pouvoir ouvrir ce courrier ou document en raison de la configuration de leur ID de Microsoft Entra.

Par exemple :

  • Un utilisateur ne peut pas ouvrir les e-mails chiffrés envoyés à partir d’un autre organization. Ou bien, un utilisateur signale que les destinataires d’un autre organization ne peuvent pas ouvrir un e-mail chiffré qu’ils leur ont envoyé.

  • Votre organization collabore avec un autre organization sur un projet commun, et les documents du projet sont protégés en les chiffrant et en accordant l’accès à l’aide de groupes dans Microsoft Entra ID. Les utilisateurs ne peuvent pas ouvrir les documents chiffrés par les utilisateurs dans l’autre organization.

  • Les utilisateurs peuvent ouvrir un document chiffré lorsqu’ils sont au bureau, mais pas quand ils essaient d’accéder à ce document à distance et qu’ils sont invités à utiliser l’authentification multifacteur (MFA).

Pour vous assurer que l’accès au service de chiffrement n’est pas bloqué par inadvertance, utilisez les sections suivantes pour configurer l’ID de Microsoft Entra de votre organization ou transmettre les informations à un administrateur Microsoft Entra dans un autre organization. Sans accès à ce service, les utilisateurs ne peuvent pas être authentifiés et ne sont pas autorisés à ouvrir du contenu chiffré.

Paramètres d’accès interlocataire et contenu chiffré

Importante

Les paramètres d’accès interlocataire d’un autre organization peuvent être responsables de l’incapacité de ses utilisateurs à ouvrir le contenu chiffré par vos utilisateurs, ou de l’impossibilité pour vos utilisateurs d’ouvrir du contenu chiffré par l’autre organization.

Le message que les utilisateurs voient indique quelle organization l’accès bloqué. Vous devrez peut-être diriger l’administrateur Microsoft Entra d’un autre organization vers cette section.

Par défaut, il n’y a rien à configurer pour que l’authentification interlocataire fonctionne lorsque les utilisateurs protègent le contenu à l’aide du chiffrement à partir du service Azure Rights Management. Toutefois, votre organization peut restreindre l’accès en utilisant Microsoft Entra paramètres d’accès interlocataire des identités externes. À l’inverse, un autre organization peut également configurer ces paramètres pour restreindre l’accès aux utilisateurs de votre organization. Ces paramètres affectent l’ouverture des éléments chiffrés, notamment les e-mails chiffrés et les documents chiffrés.

Par exemple, un autre organization peut avoir des paramètres configurés qui empêchent leurs utilisateurs d’ouvrir du contenu chiffré par votre organization. Dans ce scénario, tant que son administrateur Microsoft Entra n’a pas reconfiguré ses paramètres interlocataires, un utilisateur externe qui tente d’ouvrir ce contenu voit un message qui l’informe qu’Access est bloqué par votre organization avec une référence à Votre administrateur de locataire.

Exemple de message pour l’utilisateur connecté à partir de l’organization Fabrikam, Inc, lorsque son ID de Microsoft Entra local bloque l’accès :

Exemple de message lorsque le locataire Microsoft Entra local bloque l’accès au contenu chiffré.

Vos utilisateurs verront un message similaire lorsque c’est votre configuration Microsoft Entra qui bloque l’accès.

Du point de vue de l’utilisateur connecté, s’il s’agit d’un autre Microsoft Entra organization responsable du blocage de l’accès, le message passe à Access est bloqué par le organization et affiche le nom de domaine de cet autre organization dans le corps du message. Par exemple :

Exemple de message lorsqu’un autre locataire Microsoft Entra bloque l’accès au contenu chiffré.

Chaque fois que les paramètres d’accès inter-locataires restreignent l’accès aux applications, ils doivent être configurés pour autoriser l’accès au service de gestion des droits, qui a l’ID d’application suivant :

00000012-0000-0000-c000-000000000000

Si cet accès n’est pas autorisé, les utilisateurs ne peuvent pas être authentifiés et autorisés à ouvrir du contenu chiffré. Cette configuration peut être définie en tant que paramètre par défaut et en tant que paramètre organisationnel :

  • Pour autoriser le partage de contenu chiffré avec un autre organization, créez un paramètre entrant qui autorise l’accès au service Microsoft Rights Management (ID : 000000012-00000-0000-c000-000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000).

  • Pour autoriser l’accès au contenu chiffré que les utilisateurs reçoivent d’autres organisations, créez un paramètre de trafic sortant qui autorise l’accès au service Microsoft Rights Management (ID : 000000012-0000-0000-c000-00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000)

Lorsque ces paramètres sont configurés pour le service de chiffrement, l’application affiche les services Microsoft Rights Management.

Pour obtenir des instructions sur la configuration de ces paramètres d’accès interlocataire, consultez Configurer les paramètres d’accès interlocataire pour B2B Collaboration.

Si vous avez configuré Microsoft Entra stratégies d’accès conditionnel qui nécessitent l’authentification multifacteur (MFA) pour les utilisateurs, consultez la section suivante sur la configuration de l’accès conditionnel pour le contenu chiffré.

Stratégies d’accès conditionnel et documents chiffrés

Si votre organization a implémenté Microsoft Entra stratégies d’accès conditionnel qui incluent Microsoft Rights Management Services et que la stratégie s’étend aux utilisateurs externes qui doivent ouvrir des documents chiffrés par votre organization :

  • Pour les utilisateurs externes qui ont un compte Microsoft Entra dans leur propre locataire, nous vous recommandons d’utiliser les paramètres d’accès interlocataire des identités externes pour configurer les paramètres d’approbation pour les revendications MFA d’une, de plusieurs ou de toutes les organisations Microsoft Entra externes.

  • Pour les utilisateurs externes non couverts par l’entrée précédente, par exemple, les utilisateurs qui n’ont pas de compte Microsoft Entra ou que vous n’avez pas configuré les paramètres d’accès interlocataire pour les paramètres d’approbation, ces utilisateurs externes doivent avoir un compte invité dans votre locataire.

Sans l’une de ces configurations, les utilisateurs externes ne peuvent pas ouvrir le contenu chiffré et voir un message d’erreur. Le texte du message peut les informer que leur compte doit être ajouté en tant qu’utilisateur externe dans le locataire, avec l’instruction incorrecte pour ce scénario pour se déconnecter et se reconnecter avec un autre Microsoft Entra compte d’utilisateur.

Si vous ne pouvez pas répondre à ces exigences de configuration pour les utilisateurs externes qui doivent ouvrir du contenu chiffré par votre organization, vous devez supprimer Microsoft Rights Management Services des stratégies d’accès conditionnel ou exclure les utilisateurs externes des stratégies.

Pour plus d’informations, consultez la question fréquemment posée : Microsoft Rights Management Services est répertorié comme une application cloud disponible pour l’accès conditionnel. Comment cela fonctionne-t-il ?

Comptes invités pour les utilisateurs externes pour ouvrir des documents chiffrés

Vous aurez peut-être besoin de comptes invités dans votre locataire Microsoft Entra pour permettre aux utilisateurs externes d’ouvrir des documents chiffrés par votre organization. Options pour créer les comptes invités :

  • Créez ces comptes invités vous-même. Vous pouvez spécifier une adresse de messagerie que ces utilisateurs utilisent déjà. Par exemple, son adresse Gmail.

    Cette option vous permet de restreindre l’accès et les droits à des utilisateurs spécifiques en spécifiant leur adresse de messagerie dans les paramètres de chiffrement. L'inconvénient est la surcharge administrative liée à la création du compte et à la coordination avec la configuration de l'étiquette.

  • Utilisez l’intégration de SharePoint et OneDrive à Microsoft Entra B2B afin que les comptes invités soient automatiquement créés lorsque vos utilisateurs partagent des liens.

    Cette option offre un coût d’administration minimal, car les comptes sont créés automatiquement et une configuration d’étiquette plus simple. Dans ce scénario, vous devez sélectionner l’option de chiffrement Ajouter des utilisateur authentifiés, car vous ne connaissez pas les adresses de messagerie à l’avance. Ce paramètre ne vous permet pas de restreindre l’accès et les droits d’utilisation à des utilisateurs spécifiques.

Les utilisateurs externes peuvent également utiliser un compte Microsoft pour ouvrir des documents chiffrés lorsqu’ils utilisent les applications Windows et Microsoft 365 (anciennement des applications Office 365) ou la version autonome d’Office 2019. Plus récemment pris en charge pour les autres plateformes, les comptes Microsoft sont également pris en charge pour l’ouverture de documents chiffrés sur macOS (Microsoft 365 Apps, version 16.42+), Android (version 16.0.13029+) et iOS (version 2.42+).

Par exemple, un utilisateur de votre organisation partage un document chiffré avec un utilisateur extérieur à votre organisation, et les paramètres de chiffrement spécifient une adresse de messagerie Gmail pour l’utilisateur externe. Cet utilisateur externe peut créer son propre compte Microsoft qui utilise son adresse de messagerie Gmail. Ensuite, une fois qu’ils se sont ouverts avec ce compte, ils peuvent ouvrir le document et le modifier, conformément aux restrictions d’utilisation qui leur sont spécifiées. Pour consulter un exemple pas à pas de ce scénario, consultezOuverture et modification du document protégé.

Remarque

L’adresse e-mail du compte Microsoft doit correspondre à l’adresse e-mail spécifiée pour restreindre l’accès aux paramètres de chiffrement.

Lorsqu’un utilisateur avec un compte Microsoft ouvre un document chiffré de cette façon, il crée automatiquement un compte invité pour le client si un compte invité du même nom n’existe pas encore. Lorsque le compte invité existe, il peut ensuite être utilisé pour ouvrir des documents dans SharePoint et OneDrive à l’aide de Office sur le Web, en plus d’ouvrir des documents chiffrés à partir des applications Office de bureau et mobiles prises en charge.

Toutefois, le compte invité automatique n’est pas créé immédiatement dans ce scénario, en raison de la latence de réplication. Si vous spécifiez des adresses e-mail personnelles dans le cadre de vos paramètres de chiffrement, nous vous recommandons de créer des comptes invités correspondants dans Microsoft Entra ID. Ensuite, informez ces utilisateurs qu’ils doivent utiliser ce compte pour ouvrir un document chiffré à partir de votre organization.

Conseil

Étant donné que vous ne pouvez pas être sûr que les utilisateurs externes utiliseront une application cliente Office prise en charge, le partage de liens à partir de SharePoint et OneDrive après avoir créé des comptes invités (pour des utilisateurs spécifiques) ou lorsque vous utilisez l’intégration de SharePoint et OneDrive avec Microsoft Entra B2B (pour tout utilisateur authentifié) est une méthode plus fiable pour prendre en charge la collaboration sécurisée avec des utilisateurs externes.

Paramètres d’accès intercloud et contenu chiffré

Les paramètres d’accès interlocataire permettent l’accès intercloud aux documents chiffrés. Par conséquent, les utilisateurs qui font partie d’un organization dans un autre environnement cloud peuvent ouvrir des fichiers Word, Excel et PowerPoint chiffrés par votre organization. Par exemple, ces utilisateurs peuvent se trouver dans Microsoft Azure Government ou Microsoft Azure Chine (géré par 21Vianet).

Scénarios pris en charge

Les scénarios suivants sont pris en charge pendant la préversion publique :

  • Les organisations du cloud commercial Microsoft Azure peuvent autoriser l’accès aux organisations du cloud Microsoft Azure Government ou du cloud Microsoft Azure Chine (géré par 21Vianet) sans contacter Microsoft.
  • Les organisations du cloud Microsoft Azure Chine (géré par 21Vianet) peuvent autoriser l’accès aux organisations dans le cloud commercial Microsoft Azure sans contacter Microsoft.
  • Les fichiers Word, Excel et PowerPoint chiffrés peuvent être partagés avec des utilisateurs dans un autre environnement cloud et affichés sur des appareils Windows, MacOS et mobiles. Ce scénario ne s’applique pas aux fichiers partagés via des liens de partage SharePoint ou OneDrive, mais plutôt aux méthodes telles que les pièces jointes directes, le lecteur USB, le partage de fichiers ou partagé et téléchargé à partir de SharePoint.
  • Les fichiers PDF chiffrés et les fichiers chiffrés de manière générique (extension .pfile) peuvent être partagés avec des utilisateurs dans un autre environnement cloud et affichés à l’aide de la visionneuse Protection des données Microsoft Purview sur Windows.
  • L’utilisateur peut être, mais n’est pas obligatoire, un invité dans votre organization.
  • Les utilisateurs et domaines externes peuvent être configurés pour les étiquettes de confidentialité qui appliquent le chiffrement lorsque vous utilisez des autorisations définies par l’administrateur, ou spécifiés par les utilisateurs lorsque les étiquettes sont configurées pour les autorisations définies par l’utilisateur.

Scénarios non pris en charge

  • Email n’est pas pris en charge, y compris tous les clients Outlook.
  • Les visionneuses PDF telles que Microsoft Edge ou Adobe Acrobat ne sont actuellement pas prises en charge.

Configuration requise

  • Microsoft 365 Apps version 2402 ou ultérieure ou Microsoft Office 2024.
  • Protection des données Microsoft Purview client 3.1.310.0 ou version ultérieure.
  • Les administrateurs des deux côtés doivent :
    • Configurer les paramètres d’accès interlocataire pour activer l’accès multicloud
    • Ajouter le organization partenaire en tant que organization autorisé
  • Une adresse e-mail doit être attribuée aux utilisateurs qui ouvrent des fichiers chiffrés.

Paramètres d’accès interlocataire : Activer la collaboration intercloud

Une étape unique est nécessaire pour activer la collaboration entre différents environnements cloud :

  1. Dans le centre d’administration Microsoft Entra, accédez à Paramètresd’accès interlocatairedes identités> externes.
  2. Sélectionnez Paramètres du cloud Microsoft.
  3. Sélectionnez l’environnement cloud que vous devez activer pour la collaboration :
    • Les organisations du cloud commercial voient Microsoft Azure Government et Microsoft Azure Chine (géré par 21Vianet).
    • Les organisations dans un cloud souverain voient uniquement le cloud commercial Microsoft Azure.
  4. Sélectionnez l’environnement cloud où votre organization partenaire est hébergé, puis sélectionnez Enregistrer.

Remarque

Les deux organisations doivent effectuer cette étape et sélectionner le cloud partenaire.

Paramètres d’accès interlocataire : configurer les paramètres de l’organisation

Pour configurer les paramètres organisationnels :

  1. Dans le centre d’administration Microsoft Entra, accédez à Paramètresd’accès interlocatairedes identités> externes.
  2. Sélectionnez Paramètres de l’organisation.
  3. Sélectionnez Ajouter une organisation.
  4. Entrez l’ID de locataire Microsoft Entra pour le organization partenaire.
  5. Sélectionnez Ajouter.

L’ID de locataire s’affiche dans la section Vue d’ensemble du centre d’administration Microsoft Entra et doit être fourni par le organization partenaire.

Paramètres d’accès interlocataire : Approuver les revendications MFA externes

Si les utilisateurs externes ne sont pas invités en tant qu’invités, les paramètres de confiance entrant doivent être configurés pour approuver les revendications MFA externes. Si les utilisateurs sont invités en tant qu’invités et que vous approuvez les revendications MFA externes, il est recommandé d’exclure les utilisateurs externes de l’inscription MFA dans votre organization.

Pour plus d’informations sur la configuration, consultez Gérer les paramètres d’accès interlocataire pour B2B Collaboration .

Paramètres d’accès interlocataire : paramètres d’accès entrant et sortant

Les étapes précédentes sont suffisantes pour permettre aux deux organisations de consommer du contenu protégé du organization partenaire. Si vous souhaitez restreindre la collab intercloud pour autoriser uniquement le déchiffrement des documents, à l’exclusion d’autres services, ou pour rendre la relation unidirectionnelle, passez en revue les paramètres d’accès interlocataire et le contenu chiffré.

Modifications apportées au partage basé sur un domaine

Lorsque le scénario de chiffrement est limité au même environnement cloud, la spécification d’un domaine unique pour les paramètres de chiffrement d’étiquette entraîne l’authentification et l’autorisation de tous les utilisateurs du organization propriétaire du domaine spécifié, quel que soit le domaine de messagerie des utilisateurs. Pour plus d’informations sur cet accès basé sur un domaine, consultez la remarque dans Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.

Toutefois, la fonctionnalité intercloud s’appuie sur des données incorporées dans les jetons d’accès Entra. La fonctionnalité utilise deux revendications facultatives : verified_primary_email et verified_secondary_email.

Pendant l’autorisation, ces revendications sont extraites et évaluées par rapport aux autorisations définies dans l’étiquette. Lorsque le service de gestion des droits évalue l’accès basé sur le domaine, il peut évaluer uniquement les suffixes d’e-mail qui ont été fournis dans le jeton d’accès. Il en résulte un scénario où les autorisations définies par l’administrateur ou les autorisations définies par l’utilisateur doivent contenir un nom de domaine qui correspond exactement au suffixe de messagerie d’un utilisateur.

Problèmes courants intercloud

Les utilisateurs externes voient « L’accès est bloqué par votre organization » lorsqu’ils tentent d’ouvrir des fichiers chiffrés

Les paramètres d’accès interlocataire ne sont pas configurés correctement d’un côté ou des deux. Passez en revue la section Paramètres d’accès interlocataire et contenu chiffré sur cette page et les exemples spécifiques au cloud.

AADSTS90072 : Les utilisateurs non invités voient « Le compte d’utilisateur {user@contoso.com} du fournisseur d’identité 'microsoftonline.com' n’existe pas dans... »

Cette erreur indique que les revendications MFA externes ne sont pas approuvées. Pour plus d’informations sur la configuration, consultez Gérer les paramètres d’accès interlocataire pour B2B Collaboration.

Étapes suivantes

Pour obtenir des configurations supplémentaires que vous devrez peut-être effectuer, consultez Restreindre l’accès à un locataire. Spécifique à la configuration de l’infrastructure réseau pour le service Azure Rights Management, consultez Pare-feu et infrastructure réseau.

Si vous utilisez des étiquettes de confidentialité pour chiffrer des documents et des e-mails, vous pouvez être intéressé par la prise en charge des utilisateurs externes et du contenu étiqueté pour comprendre quels paramètres d’étiquette s’appliquent aux locataires. Pour obtenir des conseils de configuration pour les paramètres de chiffrement des étiquettes, consultez Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.

Vous souhaitez savoir comment et quand le service de chiffrement est accessible ? Consultez Procédure pas à pas du fonctionnement du service : première utilisation, chiffrement du contenu, consommation de contenu.

  • Last updated on