Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avant d’utiliser le service Azure Rights Management pour chiffrer le contenu de votre organization, découvrez comment fonctionne le service avec les comptes des utilisateurs et des groupes dans Microsoft Entra ID.
Il existe différentes façons de créer ces comptes pour les utilisateurs et les groupes, notamment :
Vous créez les utilisateurs dans le Centre d’administration Microsoft 365 et les groupes dans le centre d’administration Exchange Online.
Vous créez les utilisateurs et les groupes dans le Portail Azure.
Vous créez les utilisateurs et le groupe à l’aide des applets de commande PowerShell.
Vous créez les utilisateurs et les groupes dans votre Active Directory local et vous les synchronisez avec Microsoft Entra ID.
Vous créez les utilisateurs et les groupes dans un autre répertoire et vous les synchronisez avec Microsoft Entra ID.
Lorsque vous créez des utilisateurs et des groupes à l’aide des trois premières méthodes de cette liste, à une exception près, ils sont automatiquement créés dans Microsoft Entra ID, et le service Azure Rights Management peut utiliser ces comptes directement. Toutefois, certains réseaux d’entreprise utilisent un annuaire local pour créer et gérer des utilisateurs et des groupes. Le service Azure Rights Management ne peut pas utiliser ces comptes directement ; vous devez les synchroniser avec Microsoft Entra’ID.
L’exception mentionnée dans le paragraphe précédent est celle des listes de distribution dynamiques que vous pouvez créer pour Exchange Online. Contrairement aux listes de distribution statiques, ces groupes ne sont pas répliqués sur Microsoft Entra’ID et ne peuvent donc pas être utilisés par le service Azure Rights Management.
Utilisation des utilisateurs et des groupes par le service Azure Rights Management
Il existe deux scénarios d’utilisation d’utilisateurs et de groupes avec le service Azure Rights Management :
Pour les paramètres de chiffrement lorsque vous utilisez le service Azure Rights Management pour chiffrer des documents et des e-mails. Les administrateurs et les utilisateurs peuvent sélectionner des utilisateurs et des groupes qui peuvent ouvrir le contenu chiffré, et en outre :
Droits d’utilisation qui déterminent la façon dont ils peuvent utiliser le contenu. Par exemple, s’ils peuvent uniquement le lire, le lire et l’imprimer, ou le lire et le modifier.
Les contrôles d’accès incluent une date d’expiration et si une connexion à Internet est requise pour l’accès.
Pour configurer le service Azure Rights Management afin de prendre en charge des scénarios spécifiques, seuls les administrateurs sélectionnent ces groupes. Par exemple, vous pouvez configurer les éléments suivants :
Super utilisateurs, afin que les services ou personnes désignés puissent ouvrir du contenu chiffré si nécessaire pour eDiscovery ou la récupération de données.
Administration déléguée du service Azure Rights Management.
Contrôles d’intégration pour prendre en charge un déploiement par phases.
Azure Rights Management conditions requises pour les comptes d’utilisateur
Pour les paramètres de chiffrement et la configuration du service Azure Rights Management :
Pour autoriser les utilisateurs, deux attributs dans Microsoft Entra ID sont utilisés : proxyAddresses et userPrincipalName.
L’attribut Microsoft Entra proxyAddresses stocke toutes les adresses e-mail d’un compte et peut être renseigné de différentes manières. Par exemple, dans Microsoft 365, un utilisateur disposant d’une boîte aux lettres Exchange Online a automatiquement une adresse e-mail qui est stockée dans cet attribut. Si vous attribuez une autre adresse e-mail à un utilisateur Microsoft 365, elle est également enregistrée dans cet attribut. Il peut également être rempli par les adresses e-mail qui sont synchronisées à partir de comptes locaux.
Le service Azure Rights Management peut utiliser n’importe quelle valeur dans cet attribut Microsoft Entra proxyAddresses, à condition que le domaine ait été ajouté à votre locataire (un « domaine vérifié »). Pour plus d’informations sur la vérification des domaines :
Pour Microsoft Entra ID : ajouter un nom de domaine personnalisé à Microsoft Entra ID
Pour Microsoft 365 : Ajouter un domaine à Microsoft 365
L’attribut userPrincipalName Microsoft Entra est utilisé uniquement lorsqu’un compte de votre locataire n’a pas de valeurs dans l’attribut Microsoft Entra proxyAddresses. Par exemple, vous créez un utilisateur dans le Portail Azure ou un utilisateur pour Microsoft 365 qui n’a pas de boîte aux lettres.
Paramètres de chiffrement pour les utilisateurs externes
En plus d’utiliser les Microsoft Entra proxyAddresses et Microsoft Entra userPrincipalName pour les utilisateurs de votre locataire, le service Azure Rights Management utilise également ces attributs de la même façon pour autoriser les utilisateurs d’un autre locataire.
Autres méthodes d’autorisation :
Pour les adresses e-mail qui ne sont pas dans Microsoft Entra ID, le service Azure Rights Management peut les autoriser lorsqu’elles sont authentifiées avec un compte Microsoft. Toutefois, toutes les applications ne peuvent pas ouvrir du contenu chiffré lorsqu’un compte Microsoft est utilisé pour l’authentification.
Lorsqu’un e-mail est envoyé à l’aide de Chiffrement de messages Microsoft Purview à un utilisateur qui n’a pas de compte dans Microsoft Entra ID, l’utilisateur est d’abord authentifié à l’aide de la fédération avec un fournisseur d’identité sociale ou à l’aide d’un code secret à usage unique. Ensuite, l’adresse e-mail spécifiée dans l’e-mail protégé est utilisée pour autoriser l’utilisateur.
Azure Rights Management conditions requises pour les comptes de groupe
Pour attribuer des droits d’utilisation et des contrôles d’accès :
- Vous pouvez utiliser n’importe quel type de groupe dans Microsoft Entra’ID qui a une adresse e-mail qui contient un domaine vérifié pour le locataire de l’utilisateur. Un groupe qui a une adresse e-mail est souvent appelé groupe à extension messagerie.
Pour configurer le service Azure Rights Management :
Vous pouvez utiliser n’importe quel type de groupe dans Microsoft Entra’ID qui a une adresse e-mail d’un domaine vérifié dans votre locataire, à une exception près. Cette exception se produit lorsque vous configurez des contrôles d’intégration pour utiliser un groupe, qui doit être un groupe de sécurité dans Microsoft Entra’ID de votre locataire.
Vous pouvez utiliser n’importe quel groupe dans Microsoft Entra ID (avec ou sans adresse e-mail) à partir d’un domaine vérifié dans votre locataire pour l’administration déléguée du service Azure Rights Management.
Paramètres de chiffrement pour les groupes externes
En plus d’utiliser les Microsoft Entra proxyAddresses pour les groupes de votre locataire, le service Azure Rights Management utilise également cet attribut de la même façon pour autoriser les groupes d’un autre locataire.
Utilisation de comptes à partir d’Active Directory localement
Si vous avez des comptes gérés localement que vous souhaitez utiliser avec le service Azure Rights Management, vous devez les synchroniser avec Microsoft Entra’ID. Pour faciliter le déploiement, nous vous recommandons d’utiliser Microsoft Entra Connect. Toutefois, vous pouvez utiliser n’importe quelle méthode de synchronisation d’annuaires qui obtient le même résultat.
Lorsque vous synchronisez vos comptes, vous n’avez pas besoin de synchroniser tous les attributs. Pour obtenir la liste des attributs qui doivent être synchronisés, consultez la section Azure RMS de la documentation Microsoft Entra.
Dans la liste des attributs pour Azure Rights Management, vous voyez que pour les utilisateurs, les attributs AD locaux de mail, proxyAddresses et userPrincipalName sont requis pour la synchronisation. Les valeurs de mail et proxyAddresses sont synchronisées avec l’attribut proxyAddresses Microsoft Entra. Pour plus d’informations, consultez Comment l’attribut proxyAddresses est rempli dans Microsoft Entra ID
Points à prendre en compte si les adresses de messagerie changent
Si vous modifiez l’adresse e-mail d’un utilisateur ou d’un groupe, nous vous recommandons d’ajouter l’ancienne adresse e-mail en tant que deuxième adresse e-mail (également appelée adresse proxy, alias ou adresse e-mail de remplacement) à l’utilisateur ou au groupe. Dans ce cas, l’ancienne adresse e-mail est ajoutée à l’attribut Microsoft Entra proxyAddresses. Cette administration de compte garantit la continuité de l’activité pour tous les droits d’utilisation ou d’autres configurations enregistrés lors de l’utilisation de l’ancienne adresse e-mail.
Si vous ne pouvez pas le faire, l’utilisateur ou le groupe avec la nouvelle adresse e-mail risque de se voir refuser l’accès aux documents et aux e-mails précédemment protégés par l’ancienne adresse e-mail. Dans ce cas, vous devez répéter la configuration de la protection pour enregistrer la nouvelle adresse e-mail. Par exemple, si l’utilisateur ou le groupe a obtenu des droits d’utilisation dans les modèles ou les étiquettes, modifiez ces modèles ou étiquettes et spécifiez la nouvelle adresse e-mail avec les mêmes droits d’utilisation que vous avez accordés à l’ancienne adresse e-mail.
Notez qu’il est rare qu’un groupe modifie son adresse e-mail et que si vous attribuez des droits d’utilisation à un groupe plutôt qu’à des utilisateurs individuels, il n’est pas important que l’adresse e-mail de l’utilisateur change. Dans ce scénario, les droits d’utilisation sont attribués à l’adresse e-mail du groupe et non aux adresses e-mail des utilisateurs individuels. Il s’agit de la méthode la plus probable (et recommandée) pour qu’un administrateur configure des droits d’utilisation qui protègent les documents et les e-mails. Toutefois, les utilisateurs peuvent généralement attribuer des autorisations personnalisées à des utilisateurs individuels. Étant donné que vous ne pouvez pas toujours savoir si un compte d’utilisateur ou un groupe a été utilisé pour accorder l’accès, il est plus sûr d’ajouter toujours l’ancienne adresse e-mail comme deuxième adresse e-mail.
Mise en cache de l’appartenance au groupe
Pour des raisons de performances, le service Azure Rights Management met en cache l’appartenance au groupe. Cette mise en cache signifie que les modifications apportées à l’appartenance au groupe dans Microsoft Entra ID peuvent prendre jusqu’à trois heures lorsque ces groupes sont utilisés par le service Azure Rights Management et que cette période est susceptible d’être modifiée.
N’oubliez pas de prendre en compte ce délai dans les modifications ou les tests que vous effectuez lorsque vous utilisez des groupes pour accorder des droits d’utilisation ou configurer le service Azure Rights Management.
Étapes suivantes
Une fois que vous avez confirmé que vos utilisateurs et groupes peuvent être utilisés avec le service Azure Rights Management, case activée si vous devez activer le service Azure Rights Management :
À compter de février 2018 : si votre abonnement qui inclut Azure Rights Management ou Protection des données Microsoft Purview a été obtenu pendant ou après ce mois, le service est automatiquement activé pour vous.
Si votre abonnement a été obtenu avant février 2018 : vous devez activer le service vous-même.
Pour plus d’informations, notamment la vérification de la status d’activation, consultez Activer le service Azure Rights Management.