Dans notre précédent article, nous avions vu la présentation d'Azure Information Protection.
Dans ce nouvel épisode nous allons commencer l'une de nos premières démonstrations.
L'objectif sera d'utiliser AIP pour mettre en place des étiquettes permettant de sécuriser l'échange de documents office ou de mails.
Les exemples concrets, seront le partage d'informations sensibles avec OneDrive ou l'échange de mails avec Outlook.
OneDrive permet facilement de partager des informations entre utilisateurs, cela simplifie la collaboration mais nous devons contrôler et sécuriser ces échanges.
Pour notre démonstration, nous avons configuré l'infrastructure suivante:
- Un contrôleur de domaine en Windows 2019
- Un serveur Azure AD Connect en Windows 2019 configuré en mode "Pass Trought Authentication et Seamless SSO"
- Un serveur AIP Scanner en Windows 2019 Server pour les serveurs de fichiers On-Premise avec une base de données SQL Express (on en reparlera dans un prochain article).
- Un Windows 10 membre du domaine local
- Un Windows 10 membre d'Azure Active Directory
Nous allons maintenant nous connecter sur le portail Azure: https://portal.azure.com
Dans la barre de recherche taper "Azure Information Protection"
Nous arrivons sur la page principale avec les étiquettes déjà pré-configurées.
Nous allons pouvoir créer une nouvelle étiquette en cliquant sur "Ajouter une nouvelle étiquette"
Nous créons une étiquette que nous appellerons "Documents Confidentiels"
Suivez ensuite les imprim-écran suivants:
L'écran ci-dessous est très important, car nous arrivons sur le choix de la clé de cryptage pour "Azure Information Protection".
Cette clé va nous permettre de chiffrer les échanges entre les documents soumis aux étiquettes configurées.
Lorsqu'un utilisateur légitime recevra un document, il sera autorisé à déchiffrer automatiquement le document grâce à la clé de chiffrement.
Il existe deux possibilités de clés:
- La clé Azure: C'est la plus facile à contrôler car elle est directement gérée par Microsoft.
- La clé BYOK: C'est la plus sécurisée car elle est créée et gérée chez le client (on-premise) mais il ne faudra surtout pas la perdre car même Microsoft ne pourra vous déchiffrer vos documents en cas de perte de cette clé.
Plus d'infos: https://docs.microsoft.com/fr-fr/azure/information-protection/plan-implement-tenant-key
Une fois que vous avez choisis votre clé, nous allons maintenant ajouter les droits d'accès des étiquettes.
Pour l'exercice, nous allons ajouter un "co-auteur" qui aura tous les droits sur les fichiers "étiquetés" et un "viewer" qui n'aura les droits que de lecture sur les fichiers.
Les autres utilisateurs ne pourront pas ouvrir les fichiers "étiquetés".
Nous pouvons donc ajouter nos utilisateurs autorisés.
Nous avons la possibilité d'affiner les droits.
Nos utilisateurs ont été ajoutés à l'étiquette.
Nous souhaitons indiquer que l'étiquette créée s'appliquera à tous les documents qui aurons le filigrane "Confidentiel".
Remarque: Nous verrons dans le prochain article comment ajouter des conditions personnalisées.
Notre nouvelle étiquette est maintenant correctement créée.
Nous allons maintenant nous diriger vers la partie "Stratégie" et nous allons choisir la stratégie par défaut "Global" qui est une stratégie par défaut s'appliquant à tous les utilisateurs Azure AD.
Remarque: Nous verrons dans le prochain article comment créer une nouvelle stratégie.
L'objectif est d'ajouter la nouvelle étiquette à la stratégie globale pour qu'elle s'applique à tous les utilisateurs.
Il nous suffit de cliquer sur "Ajouter ou supprimer des étiquettes" et de sélectionner comme ci-dessous notre nouvelle étiquette.
Notre étiquette est maintenant correctement ajoutée à la stratégie "globale".
Nous allons pouvoir maintenant vérifier le bon fonctionnement sur un client qui aura partagé un document confidentiel dans OneDrive avec différents utilisateurs.
Juste avant nous allons devoir installer le "client Azure Information Protection".
Ce petit outil est très pratique car il permet d'avoir une barre d'outil AIP dans les différents logiciels office permettant à un auteur d'une étiquette de pouvoir personnaliser les droits par exemple et de faire beaucoup d'autres choses (nous le verrons également dans un prochain article).
Plus d'infos: https://docs.microsoft.com/fr-fr/azure/information-protection/rms-client/client-admin-guide
Le client est téléchargeable à l'adresse suivante:
Notre client est maintenant correctement installé.
Le document ci-dessous est un document confidentiel comportant un filigrane qui a été partagé grâce à OneDrive avec un utilisateur ayant les droits de "Viewer" et un utilisateur n'ayant aucun droits.
Nous ouvrons ensuite avec l'utilisateur "Viewer" le document confidentiel.
Lorsque nous ouvrons le document, nous pouvons constater que le document est automatiquement étiqueté comme "Documents Confidentiels" et nous pouvons afficher les autorisations attribués à l'utilisateur.
L'écran ci-dessous nous les droits autorisés sur le fichier confidentiel.
Nous faisons maintenant le test avec un utilisateur qui n'a pas les droits et l'on peut constater les différents messages d'erreurs.
Dans cet article, nous avons pu voir la mise en place d'une étiquette dans Azure Information Protection pour sécuriser des documents classés confidentiels.
A bientôt pour un prochain article. 😉 😊
Aucun commentaire:
Enregistrer un commentaire