Comment chiffrer efficacement les e-mails Office 365 ?

Voici ce que vous devez savoir sur le chiffrement des e-mails Office 365 avec Azure Information Protection.

1 Qu'est-ce qu'Azure Information Protection ?

2 Client de protection des informations Azure

3 Chiffrement des e-mails Office 365 : configuration

3.1 S'abonner à Azure Information Protection

3.2 Cryptage des e-mails Office 365 : Activer

4 Cryptage des e-mails Office 365 : protection

4.1 Utilisation de l'étiquette "Crypter"

4.2 Utilisation de l'étiquette "Ne pas transférer"

4.3 Utilisation du label "Crypter - Protéger"

5 Protéger les pièces jointes

6 Protéger un document non-Microsoft 365 Pro Plus

7 Protéger un document Microsoft 365 Pro Plus

8 Gestion des documents protégés

Qu'est-ce qu'Azure Information Protection ?

Azure Information Protection (parfois appelé AIP) est une solution basée sur le cloud qui aide une organisation à classer et éventuellement protéger ses documents et e-mails en appliquant des étiquettes. Les étiquettes peuvent être appliquées automatiquement par les administrateurs qui définissent les règles et les conditions, manuellement par les utilisateurs, ou une combinaison où les utilisateurs reçoivent des recommandations.

Client de protection des informations Azure

• Pour fournir le service de chiffrement des e-mails, nous tirons parti du service cloud Microsoft Azure Information Protection et de son intégration existante avec le service de gestion des identités Microsoft 365 et la suite de logiciels clients Microsoft 365 Pro Plus.
• Les politiques de service AIP et les étiquettes définissant l'ensemble des restrictions à attribuer aux documents et e-mails des clients sont gérées dans le service Azure Cloud.
• Pour tirer parti de ces politiques et étiquettes AIP, le logiciel client AIP doit être installé sur le poste de travail Windows OS. Actuellement, seuls les PC Windows 10, ainsi que les postes de travail macOS peuvent appliquer ces restrictions aux documents ou aux e-mails.

Chiffrement des e-mails Office 365 : Configuration

Pour activer et configurer le chiffrement des messages Microsoft 365 pour la remise sécurisée des messages, les étapes suivantes sont nécessaires :

• S'abonner à Azure Information Protection
• Activer OME

S'abonner à Azure Information Protection

• La suite Azure Information Protection est un abonnement complémentaire pour Microsoft 365 qui permettra aux utilisateurs d'exécuter des fonctions très utiles avec leur messagerie. Il s'intègre également à SharePoint et OneDrive pour agir comme un outil de prévention des pertes de données.
• Avec AIP, les utilisateurs peuvent marquer des messages ou des fichiers afin qu'ils ne puissent pas être copiés, transférés, supprimés ou une série d'autres actions courantes. Pour les e-mails, tous les messages qui ont des indicateurs de classification spécifiques ou qui répondent à des exigences spécifiques sont chiffrés et regroupés dans un fichier HTML verrouillé qui est envoyé au destinataire sous forme de pièce jointe.
• Lorsque le destinataire reçoit le message, il doit s'inscrire auprès d'Azure pour se voir attribuer une clé permettant d'ouvrir l'e-mail.
• La clé est liée à son adresse e-mail et une fois enregistré, l'utilisateur peut alors ouvrir la pièce jointe HTML et toute future pièce jointe sans avoir à se connecter à quoi que ce soit.

Encore une fois, si vous avez des abonnements E3 ou supérieurs attribués à vos utilisateurs, ils n'ont pas besoin d'AIP. Cependant, chaque utilisateur qui enverra des messages contenant des informations confidentielles aura besoin d'une licence AIP ou d'une licence E3/E5 pour le faire.

Pour vous abonner à AIP, procédez comme suit :

• Lancer le « Centre d'administration Microsoft 365 »
• Allez dans la liste « Abonnements »
• Cliquez sur « Ajouter un abonnement » dans le coin supérieur droit
• Faites défiler vers le bas pour trouver Azure Information Protection
• Cliquez sur l'option Acheter maintenant et suivez les invites ou sélectionnez l'option " Démarrer l'essai gratuit " pour obtenir 25 licences pendant 30 jours pour l'essayer avant d'acheter
• Attendez environ une heure que le service soit provisionné sur votre locataire Microsoft
• Une fois provisionné, vous pouvez passer à l'étape suivante du processus.

Cryptage des e-mails Office 365 : Activer

Cette partie a changé très récemment. Dans le passé, l'activation du chiffrement des messages Office 365 nécessitait beaucoup de travail Powershell et attendait qu'il fonctionne correctement. MS a modifié la méthode d'activation de l'OME pour rationaliser le processus et faciliter son utilisation.

Voici ce que vous devez faire :

• Ouvrez l'option Paramètres dans le portail administrateur
• Sélectionnez Services et compléments
• Trouvez Azure Information Protection dans la liste des services et cliquez dessus
• Cliquez sur le lien "Gérer les paramètres de Microsoft Azure Information Protection" pour ouvrir une nouvelle fenêtre
• Sélectionnez le bouton Activer sous "La gestion des droits n'est pas activée"
• Choisissez Activer dans la fenêtre qui apparaît

Une fois cela fait, vous pourrez utiliser  l'application Client d'AIP  pour baliser les messages pour la gestion des droits dans Outlook. Il y aura également de nouveaux boutons et options dans Outlook Web App qui vous permettront de chiffrer les messages.

Chiffrement des e-mails Office 365 : Protection

La fonction de base du service de chiffrement des e-mails est de fournir une protection pour empêcher les personnes indésirables de pouvoir lire le contenu de votre e-mail en transit et au repos dans une boîte aux lettres. Pour avoir accès au contenu de votre email, le destinataire doit être validé. Lors de l'utilisation d'applications Microsoft 365 Pro Plus, telles que Microsoft Outlook, ce processus de validation est effectué en arrière-plan et le destinataire n'est pas invité à fournir ses informations d'identification. Dans tous les autres cas, le destinataire sera mis au défi de vérifier son identité.

Utilisation de l'étiquette "Crypter"

• Pour appliquer le cryptage à un e-mail à l'aide de l'application Microsoft Outlook installée sur un poste de travail Windows OS, il vous suffit de sélectionner l' étiquette « Crypter » sur la « Barre de sensibilité », comme indiqué ci-dessous :

• Cette étiquette « Crypter » est également accessible à partir du menu déroulant du bouton « Protéger » du ruban du bouton Menu – Message , comme illustré ci-dessous :

• Une fois sélectionnée, la barre de sensibilité reflétera le choix effectué et masquera les autres choix. Les détails des autorisations attribuées seront affichés sous la forme d'une « info-bulle » juste sous la « barre de sensibilité » dans le coin supérieur gauche de la fenêtre de l'e-mail, comme indiqué ci-dessous :

• Vous pouvez choisir de modifier votre choix de protection en cliquant sur l'icône « crayon » à côté de l'étiquette choisie pour faire apparaître les autres choix comme indiqué ci-dessous. Cette icône en forme de crayon peut également être utilisée pour masquer à nouveau d'autres choix.

• Une fois qu'un libellé est défini, une icône " poubelle " sera disponible en plus des autres libellés pour vous permettre de supprimer le libellé sélectionné et de remettre la " sensibilité " de l'e-mail à " non défini ". Vous serez invité à enregistrer la raison du retrait de l'étiquette. (Pour une utilisation future)

• Une fois défini, votre e-mail sera protégé, qu'il se trouve dans votre dossier Brouillons avant de l'envoyer, dans votre dossier Éléments envoyés après l'avoir envoyé ou dans la boîte aux lettres de votre destinataire. Microsoft Outlook permet d'identifier cette protection à l'aide des icônes suivantes :

• Quelles que soient les protections que vous choisissez d'appliquer, vous conservez les droits de « contrôle total » sur l'e-mail. Seules les identités nommées dans les champs De, À, Cc et Cci auront accès.
• L'utilisation de la sélection " Crypter " permet au destinataire de transférer votre e-mail à d'autres personnes qui auront alors également un accès complet au contenu de l'e-mail, chacun devant s'authentifier pour y accéder. Les destinataires ne pourront pas supprimer l'exigence de chiffrement.

Utilisation de l'étiquette "Ne pas transférer"

La protection « Ne pas transférer » est la protection de messagerie de base fournie par Microsoft. La sélection de cette protection empêchera les destinataires d'effectuer les actions suivantes :

•  Transférer votre e-mail à une autre personne (ainsi que pour empêcher l'ajout de nouveaux destinataires dans les champs "à", "cc" ou "bcc" lors de la réponse)
•   Imprimez votre e-mail ou copiez le contenu du corps du texte de l'e-mail dans le presse-papiers.

Ces protections peuvent être paramétrées soit en sélectionnant le libellé de sensibilité : « Ne pas transférer », soit en sélectionnant le bouton « Ne pas transférer » sur le ruban Menu – Bouton Message comme illustré ci-dessous :

Veuillez noter l'« info-bulle » décrivant le jeu de protections qui apparaît juste en dessous de la barre de sensibilité.

ATTENTION : Il est possible de supprimer accidentellement les protections prévues en désélectionnant le bouton « Ne pas transférer » sur le ruban du bouton Menu – Message, comme indiqué ci-dessous. Notez également que la «bulle d'outil» est supprimée MAIS le « Ne pas transférer ». L'étiquette est toujours définie. Cet e-mail ne serait PAS protégé.

Nous n'avons actuellement aucune méthode pour vous empêcher de désélectionner le bouton « Ne pas transférer », alors soyez prudent.

VEUILLEZ NOTER : Microsoft Outlook autorise le téléchargement des pièces jointes quelles que soient ces restrictions appliquées. Veuillez consulter « Protection des pièces jointes » plus loin dans ce document.

Utilisation de l'étiquette "Crypter - Protéger"

• Le label « Crypter – Protéger » est une protection personnalisée pour les e-mails qui ajoute une restriction supplémentaire pour empêcher les destinataires d'éditer ou de modifier votre e-mail d'origine.
• Cette étiquette doit être utilisée UNIQUEMENT lorsque vous souhaitez que le destinataire ait des droits de « visualisation uniquement » sur votre e-mail. Lors de la réponse, votre destinataire sera obligé de joindre votre e-mail d'origine en pièce jointe à un nouveau message car il ne pourra pas ajouter au fil de votre e-mail d'origine.
• Cette étiquette applique également les restrictions d'impression et de copie décrites dans la section Utilisation de l'étiquette « Ne pas transférer » ci-dessus.

VEUILLEZ NOTER : Microsoft Outlook autorise le téléchargement des pièces jointes quelles que soient ces restrictions appliquées. Veuillez consulter « Protection des pièces jointes » plus loin dans ce document.

Protéger les pièces jointes

Le client Azure Information Protection est OBLIGATOIRE pour déchiffrer et ouvrir un document protégé. Un « lecteur » est déjà inclus dans le logiciel Microsoft 365 Pro Plus pour Windows OS, macOS, iOS et Android. Cependant, une application distincte est nécessaire pour lire les documents non-Microsoft Office Pro Plus chiffrés ( disponibles ici ). Le lecteur AIP est disponible pour PC, iPhone, iPad et Android.

Protéger un document non-Microsoft 365 Pro Plus

• Les documents non Microsoft Office peuvent être protégés à l'aide de la sélection supplémentaire « Hot Menu » appelée : « Classifier et protéger » trouvée en cliquant avec le bouton droit sur un document dans l'Explorateur Windows, comme indiqué ci-dessous :

• Cette application (illustrée ci-dessous) créera un " wrapper " pour enfermer le fichier et ajouter le cryptage, ainsi que les protections que vous sélectionnez

• Pour chaque utilisation souhaitée, vous souhaiterez d'abord sélectionner l'étiquette de sensibilité souhaitée pour votre email. Cette étiquette sera héritée par votre email une fois votre fichier protégé joint. Deux éléments sont nécessaires pour installer les protections souhaitées : " Permissions " et " Identité ".

Les « permissions » pouvant être accordées sont :

• Viewer – View Only
  Cette autorisation équivaut à la protection des e-mails : « Crypter – Protéger »
• Réviseur – Afficher, Modifier
  Cette autorisation équivaut à la protection des e-mails : « Ne pas transférer ».
• Co-auteur – Afficher, Modifier, Copier, Imprimer
  Cette autorisation équivaut à la protection des e-mails : « Crypter »
• Copropriétaire - Autorisations complètes
• Cette autorisation équivaut également à l'étiquette « Crypter », mais cette autorisation donne à l'utilisateur la possibilité de supprimer les autorisations définies ET le cryptage.
• Seulement pour moi - Ce paramètre n'a aucune valeur pour envoyer des documents à d'autres, mais il peut vous être utile pour protéger vos documents individuels.

Although not recommended to avoid confusion, it is possible to select permissions that are stricter than the email encryption label desired (e.g. “Viewer – View Only” document permissions with the “Encrypt” Email Protection label). This combination would restrict the document to prevent viewing by unwanted identities, as well as restrict recipients from copying, printing, or editing while granting the recipient all functions to the email text body. Again, as stated above, this can become confusing and is not recommended.

“Identity” can be set to the following types:

Users – This is the email address(es) of the individual user(s) receiving the document. This is the primary method that you will use to identify who can access your document.

Groupes - Il s'agit de la ou des adresses e-mail de la ou des listes de distribution auxquelles appartiennent vos destinataires.  VEUILLEZ NOTER : cela ne fonctionnera que pour les destinataires.

Organisations – Vous pouvez également accorder l'accès à TOUT LE MONDE au sein d'un domaine Active Directory

Les identités peuvent être saisies directement dans la case prévue à cet effet, ou vous pouvez sélectionner vos destinataires dans le carnet d'adresses Outlook (à condition que l'application Outlook soit déjà lancée et en cours d'exécution) en cliquant sur l' icône « livre ».

Il existe un troisième contrôle disponible pour la protection des pièces jointes. Vous pouvez définir une date d'expiration pour les autorisations accordées soit en saisissant directement la date, soit en sélectionnant la date en cliquant sur l' icône « calendrier ». Une fois la date d'expiration atteinte, TOUTES LES PERMISSIONS sont révoquées pour les utilisateurs sélectionnés.

Quels que soient les paramètres ci-dessus, vous conservez le contrôle total sur votre document. Une fois que vous « appliquez » les protections à votre document, votre document est REMPLACÉ par le fichier « enveloppé » et l'extension du fichier est modifiée (nom du fichier modifié manuellement UNIQUEMENT à des fins d'exemple)

Le client Azure Information Protection est OBLIGATOIRE pour déchiffrer et ouvrir ce fichier.

Protéger un document Microsoft 365 Pro Plus

Les documents Microsoft Office peuvent être protégés depuis l'application Office. Comme avec Microsoft Outlook, le ruban du bouton Accueil héberge le menu déroulant du bouton « Protéger ». Cela permet d' appliquer des « autorisations personnalisées » aux documents Office. L'application d'une étiquette de sensibilité obligera Outlook à appliquer les mêmes restrictions d'autorisations à tout courrier électronique auquel le document est joint.

ATTENTION : Vous devrez sélectionner votre étiquette de sensibilité AVANT d'attribuer vos autorisations personnalisées. Sinon, la sélection de l'étiquette après coup écrasera et appliquera UNIQUEMENT les « autorisations » par défautde l'étiquette permettant à PERSONNE de déchiffrer le document.

Comme pour « Protéger un document non-Microsoft 365 Pro Plus » ci-dessus, vous souhaiterez protéger votre document en identifiant « l' identité » de la personne autorisée à interagir avec votre document et les « autorisations » que vous souhaitez accorder. Les choix d'autorisations et le processus d'attribution de l'identité utilisent pratiquement la même interface utilisateur graphique que lors de la « Protection d'un document non-Microsoft 365 Pro Plus ».

ATTENTION : Une fois protégé et enregistré, notez que le type de fichier N'EST PAS MODIFIÉ :

Vous devrez enregistrer vos documents Office dans leur format natif. Si vous tentez d'enregistrer le fichier dans un format « compatible », les restrictions que vous avez configurées seront supprimées.

Une fois enregistré, vous verrez maintenant une nouvelle barre d'informations vous alertant du fait que le document a maintenant un accès restreint.

Gestion des documents protégés

Une fois les protections définies sur un document, vous pouvez « suivre » les vues de ce document ainsi que la possibilité de « révoquer » l'accès à votre document. Pour un document Microsoft Office, vous pouvez accéder à cette fonctionnalité à partir de l'application Office.

Pour un document non Microsoft Office, vous pouvez accéder à cette fonctionnalité en double-cliquant ou en cliquant avec le bouton droit sur le document dans l'Explorateur Windows.

Les deux lanceront votre navigateur Web et vous mèneront au centre de suivi des documents AIP .

À partir de là, vous pouvez :

• Passez en revue le résumé de l'interaction de votre document par vos destinataires
• Indiquez qui a consulté votre document et la date à laquelle il a été consulté
• Passez en revue la chronologie de l'interaction avec votre document
• Définir les paramètres de notification pour vous alerter lorsque quelqu'un essaie d'interagir avec votre document
• Révoquer l'accès à votre document afin qu'il ne soit plus accessible par un destinataire

Vous pouvez également exporter ces statistiques dans un fichier CSV.

Les utilisateurs de Mac ont la tâche supplémentaire de « vérifier les informations d'identification » avant que leurs options de protection ne soient récupérées à partir des services Microsoft Office 365 Cloud .

Une fois réglé ; pour supprimer ou modifier la protection, vous devez définir la sélection " Aucune restriction " sous le bouton Protection.

Pour définir des protections sur un document Microsoft 365, utilisez le bouton « Restreindre l'autorisation » du menu « Réviser ».

Sélectionnez l' option de menu « Accès restreint… » pour accorder l'accès personnalisé souhaité.

Utilisez le bouton "Plus d'options…" pour définir les autorisations d'impression et de copie.

Toutes nos félicitations! Vous savez maintenant comment chiffrer les e-mails Office 365 avec Azure Information Protection. Si vous avez d'autres questions, n'hésitez pas à me le faire savoir.

Vous souhaitez améliorer votre expérience Exchange Online pour une meilleure productivité ? Découvrez les trucs et astuces mentionnés ici .

J'aimerais avoir de vos nouvelles :

Quelle conclusion du rapport d'aujourd'hui avez-vous trouvé la plus intéressante ? Ou peut-être avez-vous une question sur quelque chose que j'ai couvert.

Quoi qu'il en soit, j'aimerais vous entendre. Alors allez-y et laissez un commentaire ci-dessous.