Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. EMS
  3. Mise en place d'Azure Information Protection
Extrait - EMS Gestion et sécurité des ressources de l'entreprise dans le cloud
Extraits du livre
EMS Gestion et sécurité des ressources de l'entreprise dans le cloud Revenir à la page d'achat du livre

Mise en place d'Azure Information Protection

La fonctionnalité Azure Information Protection

Azure Information Protection est une solution cloud comprise dans l’offre EMS. Elle permet à une entreprise de procéder à une classification des documents. Ceci dans le but de protéger les documents et e-mails des utilisateurs.

1. Présentation de la fonctionnalité

La confidentialité des données ou des e-mails est un point très important. Ces derniers peuvent contenir des éléments (très) confidentiels qu’il est important de protéger. L’administrateur effectue donc la création de règles qu’il applique ou pas automatiquement. En d’autres termes, soit la règle s’applique dès lors que le critère est vrai, soit une pop-up s’affiche, conseillant à l’utilisateur de sélectionner le template.

Azure Information Protection utilise des étiquettes pour appliquer aux documents et e-mails une classification. Elles permettent l’intégration d’en-tête, de pied de page ou tout simplement de filigranes. Il est ainsi plus facile de classifier des documents et e-mails (interne, confidentiel, public…).

Cette solution offre l’avantage de permettre le chiffrement, quel que soit l’emplacement. Ainsi, une personne non autorisée n’a pas la possibilité d’ouvrir le document. De plus, l’intégration...

Fonctionnement d’Azure Information Protection

Azure information Protection a pour but de rendre illisibles les données pour une personne qui ne serait pas autorisée à y accéder. Le chiffrement s’opère donc au niveau de l’application (Word, Outlook…). Cette action est effectuée à l’aide d’une stratégie qui indique les actions autorisées. La protection de la ressource (un fichier par exemple) est effectuée à l’aide d’une clé de contenu. Unique pour chaque document, elle est placée automatiquement dans l’en-tête du fichier. Afin de s’assurer de l’intégrité de la clé de contenu, la clé racine (propre à chaque abonnement Azure) est utilisée. Ainsi, une clé de contenu est créée à chaque protection de document ou d’e-mail, alors que la clé racine est commune à toutes les clés de contenu.

Microsoft Azure ne permet pas l’exportation ou le partage de clé racine.

1. Opérations effectuées en amont de la protection du document

Dans un premier temps, le client Azure Information Protection procède à une connexion sur le cloud, et ce, afin d’effectuer l’authentification de l’utilisateur. Le compte Azure Active Directory est pour cela utilisé. Suite à l’authentification...

Prérequis pour Azure Information Protection

Comme toute solution, Azure Information Protection nécessite certains prérequis. Afin d’assurer l’authentification utilisateur, il est nécessaire de configurer une base Azure AD. Dans la majorité des cas, une synchronisation de l’annuaire Active Directory et d’Azure AD est effectuée. Cette opération permet aux différents utilisateurs d’effectuer l’authentification à l’aide de leur compte AD, et non pas à l’aide d’un deuxième compte. Pour les personnes qui souhaitent une authentification forte, il est possible d’utiliser la solution MFA.

Il est nécessaire d’utiliser des équipements mobiles et ordinateurs exécutant un système d’exploitation compatible. L’utilisation du client Azure Information Protection, pour classer et étiqueter des e-mails et documents Office, nécessite l’utilisation des systèmes d’exploitation Windows 7 SP1 ou une version ultérieure (version 32 ou 64 bits). Cette opération d’étiquetage peut être effectuée depuis les applications Word, Excel, PowerPoint ou Outlook. Il est nécessaire de posséder les versions Office 2010, 2013 SP1, 2016 ou Office 365 Pro Plus.

Activation de la fonctionnalité

Avant de pouvoir activer la fonctionnalité, il est nécessaire de s’assurer d’avoir la fonctionnalité dans son abonnement.

images/05RI01.png

Les utilisateurs doivent également être présents dans la base de données Azure Active Directory. Une fois l’étape de création des comptes ou de synchronisation opérée, l’attribution des licences peut être effectuée.

Ces comptes sont utilisés pour effectuer l’authentification des utilisateurs lors de l’accès aux services. Les attributs proxyAddresses et UserPrincipalName sont utilisés dans l’annuaire Azure AD. Alors que le premier attribut permet de stocker les différentes adresses e-mail de l’utilisateur, le second est utilisé si l’attribut proxyAddresses n’est pas renseigné.

Afin de s’assurer que les comptes utilisateurs peuvent être utilisés avec Azure Information Protection, il est possible d’utiliser un Cmdlet Powershell.

 Après avoir installé l’Assistant de connexion Microsoft Online Services (voir chapitre Azure Active Directory - Ajout d’un utilisateur manuellement - En ligne de commande), exécutez dans une invite de commandes PowerShell la commande Connect-MsolService.

images/05RI02.png

 Saisissez les identifiants pour vous connecter, puis cliquez...