Configurer SharePoint avec une étiquette de confidentialité pour étendre les autorisations aux documents téléchargés
Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité
Remarque
Les fonctionnalités suivantes pour étendre les autorisations SharePoint sont progressivement déployées en préversion et sont susceptibles d’être modifiées.
Lorsque SharePoint est activé pour les étiquettes de confidentialité, vous pouvez configurer des bibliothèques de documents pour étendre les autorisations de site SharePoint existantes aux documents lorsqu’ils sont téléchargés à partir de la bibliothèque. Ensuite, tous les fichiers précédemment non étiquetés de cette bibliothèque continuent d’être protégés avec les autorisations SharePoint actuelles pour l’utilisateur, même si les fichiers ont quitté la limite SharePoint d’origine.
Par exemple, vous sélectionnez l’étiquette Confidentiel \ Personnes approuvé comme étiquette de confidentialité pour étendre les autorisations d’une bibliothèque de documents. Dans cette bibliothèque, un site est configuré pour autoriser uniquement les autorisations de lecture à un groupe spécifique d’utilisateurs. Un utilisateur de ce groupe télécharge un fichier à partir du site et ce fichier est maintenant étiqueté confidentiel \ Personnes approuvé. Même si le fichier n’est plus dans SharePoint, cet utilisateur peut uniquement afficher et ne pas modifier le contenu ou supprimer l’étiquette. Seuls les utilisateurs ayant accès au fichier dans SharePoint ont accès au fichier téléchargé. Les utilisateurs qui n’ont pas accès au fichier dans SharePoint ne pourront pas ouvrir ce fichier téléchargé, quel que soit l’emplacement où il est stocké.
En outre, le fichier dispose d’une couche de protection juste-à-temps, car l’utilisateur qui a téléchargé le fichier ne pourra pas non plus l’ouvrir dans les circonstances suivantes :
- Les autorisations pour cet utilisateur sont supprimées du fichier
- Le fichier est supprimé du site
- Le site n’est plus actif
- Le fichier est déplacé vers un autre site
Si les autorisations SharePoint de l’utilisateur sont modifiées, ces modifications sont répercutées pour le fichier téléchargé.
Lorsque ces fichiers étiquetés se trouvent dans la bibliothèque de documents, ils sont également protégés contre les actions de copie et de déplacement :
- Les fichiers ne peuvent pas être copiés ou déplacés vers un autre site.
- Les fichiers peuvent être copiés ou déplacés vers une autre bibliothèque de documents au sein du même site uniquement si l’utilisateur dispose des autorisations SharePoint pour créer ou supprimer des listes.
L’étiquette de confidentialité spécifiée est appliquée à tous les fichiers qui ne sont pas étiquetés et aux fichiers étiquetés, mais la configuration de l’étiquette n’applique pas de chiffrement. Les fichiers qui sont synchronisés avec OneDrive sont également étiquetés.
Pour les fichiers existants étiquetés mais non chiffrés, une étiquette appliquée manuellement est également remplacée par l’étiquette spécifiée. Pour obtenir un résumé rapide des résultats possibles, consultez L’article Sur cette page, une étiquette existante sera-t-elle remplacée ?
Actuellement, Microsoft 365 Copilot ne pouvez pas accéder aux fichiers non ouverts étiquetés avec cette configuration.
Étant donné que les fichiers non chiffrés peuvent être réétiquetés, cette configuration d’étiquetage est bien adaptée aux organisations qui sont au début de leur déploiement d’étiquetage et qui n’ont pas encore étiqueté les fichiers dans les sites SharePoint à l’aide d’autres méthodes.
Une étiquette existante sera-t-elle remplacée ?
Résumé des résultats :
| Étiquette existante | Remplacer par une étiquette de bibliothèque pour étendre les autorisations |
|---|---|
| Étiquette appliquée à l’aide de méthodes (manuelle, automatique, étiquette par défaut de la stratégie) et la configuration de l’étiquette n’applique pas le chiffrement, aucune priorité | Oui |
| Étiquette appliquée à l’aide de n’importe quelle méthode (manuelle, automatique, étiquette par défaut de la stratégie) et la configuration de l’étiquette applique le chiffrement, n’importe quelle priorité | Non |
Configuration requise
Vous avez créé et publié des étiquettes de confidentialité, publiées pour les utilisateurs qui sélectionnent l’étiquette de confidentialité pour une bibliothèque de documents SharePoint. Les étiquettes nécessitent la configuration suivante :
Étendue de l’étiquette de Fichiers et d’autres ressources de données
Le contrôle d’accès est sélectionné avec le paramètre de chiffrement Autoriser les utilisateurs à attribuer des autorisations lorsqu’ils appliquent l’étiquette et la case à cocher Dans Word, PowerPoint et Excel, inviter les utilisateurs à spécifier des autorisations est sélectionnée. Ce paramètre est parfois appelé « autorisations définies par l’utilisateur ».
Remarque
Dans cette application de l’étiquette, les utilisateurs ne sont pas invités à fournir des autorisations, mais leurs autorisations SharePoint sont automatiquement appliquées lorsqu’un fichier est téléchargé, copié ou déplacé à partir du site.
Vous avez activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive. Pour case activée cette status, vous pouvez exécuter
(Get-SPOTenant).EnableAIPIntegrationà partir du SharePoint Online Management Shell pour confirmer que la valeur est définie sur True.Votre locataire a été activé pour la co-création de fichiers chiffrés avec des étiquettes de confidentialité.
Pour prendre en charge les étiquettes de confidentialité pour les fichiers PDF, vous avez ajouté la prise en charge des fichiers PDF dans SharePoint. Pour case activée cette status, vous pouvez exécuter
(Get-SPOTenant).EnableSensitivityLabelforPDFà partir du SharePoint Online Management Shell pour confirmer que la valeur est définie sur True.Les applications Windows des Applications Microsoft 365 pour les grandes entreprises qui téléchargent des fichiers nécessitent une version minimale de 2402 à partir du canal actuel, du canal Entreprise mensuel ou du canal entreprise Semi-Annual.
La gestion des droits relatifs à l’information (IRM) SharePoint n’est pas activée pour la bibliothèque. Cette ancienne technologie n’est pas compatible avec l’utilisation d’une étiquette de confidentialité pour une bibliothèque de documents SharePoint. Si une bibliothèque est activée pour irm, vous ne pourrez pas sélectionner une étiquette de confidentialité.
Des autorisations d’administrateur de site sont nécessaires pour appliquer et modifier l’étiquette de confidentialité dans SharePoint.
Les fichiers doivent contenir du contenu à étiqueter.
Si vous devez consulter la liste des types de fichiers pris en charge par les étiquettes de confidentialité dans SharePoint, voir Types de fichiers pris en charge.
Mappage des autorisations SharePoint aux droits d’utilisation
Utilisez le tableau suivant pour comprendre comment les autorisations SharePoint d’un utilisateur sont étendues aux droits d’utilisation et aux niveaux d’autorisation de gestion des droits lorsqu’un fichier est téléchargé, ou copié et déplacé en dehors du site.
| Autorisation SharePoint | Droits d’utilisation appliqués | Niveaux d’autorisation |
|---|---|---|
| Owner | Contrôle total du contenu, de toutes les autorisations et de l’étiquette de confidentialité appliquée : VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER * |
Propriétaire |
| Edit | Contrôle total sur le contenu, mais ne peut pas modifier l’étiquette de confidentialité appliquée : VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA |
Éditeur |
| Lire | Peut afficher le contenu, mais ne peut pas modifier le contenu ou l’étiquette de confidentialité appliquée : VIEW, VIEWRIGHTSDATA |
Visionneuse |
* Actuellement, ces droits d’utilisation ne sont pas appliqués et, par conséquent, l’utilisateur peut modifier l’étiquette de confidentialité, mais ne peut pas la supprimer.
Limitations
Les limitations suivantes s’appliquent lorsque vous utilisez cette configuration :
Les utilisateurs ne peuvent pas appliquer manuellement des étiquettes de confidentialité qui ne sont pas configurées pour appliquer le chiffrement.
Les utilisateurs ne pourront pas ouvrir les fichiers téléchargés hors connexion ; ils doivent être en mesure de se connecter au site d’origine.
Les utilisateurs ne pourront pas ouvrir les fichiers téléchargés si le site, dossier ou fichier SharePoint d’origine est supprimé.
Les fichiers étiquetés avec cette configuration ne peuvent pas être déplacés ou copiés vers un autre site.
Les fichiers étiquetés avec cette configuration peuvent uniquement être déplacés ou copiés vers une autre bibliothèque de documents au sein du même site si les utilisateurs ont des autorisations SharePoint pour créer ou supprimer des listes. L’étiquette n’est pas conservée pour le fichier copié ou déplacé.
Cette configuration peut remplacer une étiquette précédemment appliquée manuellement si l’étiquette n’est pas configurée pour appliquer le chiffrement.
Les fichiers étiquetés avec cette configuration ne sont actuellement pas affichés comme étiquetés dans l’Explorateur de contenu.
Microsoft 365 Copilot pouvez référencer les fichiers étiquetés si les utilisateurs disposent d’autorisations de lecture SharePoint, mais ne récapitulent pas ces fichiers. Étant donné que les fichiers ne peuvent pas être résumés, ils ne peuvent pas non plus être utilisés par Copilot pour générer du nouveau contenu.
Remarque
Comme pour tous les fichiers chiffrés avec Azure Rights Management, un super utilisateur peut ouvrir des documents chiffrés si cela s’avère nécessaire, car l’emplacement d’origine n’est plus accessible.
Comment configurer une bibliothèque de documents SharePoint pour une étiquette de confidentialité qui étend les autorisations aux documents téléchargés
Cette configuration nécessite d’abord que vous activiez la fonctionnalité pour le locataire à l’aide de PowerShell avec le SharePoint Online Management Shell. Ensuite, une nouvelle case à cocher devient disponible pour les paramètres de la bibliothèque de documents.
Exécutez la commande PowerShell pour activer la prise en charge de l’extension des autorisations SharePoint
Vérifiez que vous exécutez SharePoint Online Management Shell version 16.0.25430.12000 ou ultérieure.
Pour activer les nouvelles fonctionnalités, utilisez l’applet de commande Set-SPOTenant avec le paramètre ExtendPermissionsToUnprotectedFiles :
À l’aide d’un compte professionnel ou scolaire disposant de privilèges d’administrateur SharePoint dans Microsoft 365, connectez-vous à SharePoint. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.
Remarque
Si vous disposez de Microsoft 365 Multigéographie, utilisez le paramètre -URL avec Connect-SPOServiceet spécifiez l’URL du site du Centre d’administration SharePoint Online pour l’un de vos emplacements géographiques.
Exécutez la commande suivante et appuyez sur Y pour confirmer :
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $trueSi vous voyez une erreur vous informant que la fonctionnalité n’est pas activée, c’est probablement parce que le déploiement n’a pas encore atteint votre locataire.
Pour Microsoft 365 Multi-Geo : répétez les étapes 1 et 2 pour chacun de vos emplacements géographiques restants.
Comme pour toutes les modifications de configuration au niveau du locataire pour SharePoint, il faut environ 15 minutes pour que la modification prenne effet.
Configurer des bibliothèques de documents SharePoint avec une étiquette par défaut pour étendre les autorisations
Pour chaque bibliothèque de documents SharePoint dont vous souhaitez disposer de cette configuration, suivez les instructions pour Ajouter une étiquette de confidentialité à la bibliothèque de documents SharePoint, puis cochez la case Étendre la protection lors du téléchargement, de la copie ou du déplacement :
Vous ne verrez pas cette case à cocher tant que la commande PowerShell précédente n’est pas terminée.
Après avoir sélectionné une étiquette de confidentialité qui applique le chiffrement avec des autorisations définies par l’utilisateur, enregistrez la configuration.
Remarque
Cette fonctionnalité s’exclue mutuellement avec la possibilité de sélectionner une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint qui prend en charge les étiquettes de confidentialité sans chiffrement, et les étiquettes de confidentialité configurées avec l’option Attribuer des autorisations maintenant (parfois appelées « autorisations définies par l’administrateur »).
L’étiquette de confidentialité sélectionnée sera appliquée à tous les fichiers qui ne sont pas étiquetés et aux fichiers étiquetés, mais la configuration de l’étiquette n’applique pas de chiffrement. La colonne Sensibilité de la bibliothèque de documents affiche l’étiquette sélectionnée pour les fichiers existants, nouveaux et modifiés. Les utilisateurs voient l’étiquette sélectionnée affichée lorsqu’ils ouvrent le fichier pour modification, mais ne subissent aucune modification des autorisations en raison de l’étiquette.
Une fois la bibliothèque configurée avec l’étiquette de confidentialité, tous les fichiers existants sont resynchronisés si la bibliothèque est synchronisée via le client Synchronisation OneDrive. Le processus de resynchronisation peut prendre un certain temps et jusqu’à ce qu’il soit terminé, la protection étendue ne sera pas appliquée.
Importante
Dans la bibliothèque de documents SharePoint que vous avez configurée pour l’étiquette de confidentialité, les utilisateurs ne peuvent pas supprimer l’étiquette de confidentialité appliquée dans leurs applications Office et ne peuvent la modifier que si l’étiquette de remplacement applique un chiffrement.
Application de surveillance de l’étiquette de confidentialité qui étend les autorisations SharePoint
Étant donné que cette configuration étend les fonctionnalités d’une étiquette de confidentialité par défaut pour une bibliothèque de documents, vous surveillez sa configuration de la même façon. Le GUID de l’étiquette de confidentialité identifie la configuration de chiffrement pour les autorisations définies par l’utilisateur. Il n’existe aucun événement d’audit d’étiquetage distinct pour le téléchargement, la copie ou le déplacement d’un fichier.
Comment désactiver cette fonctionnalité
Si vous souhaitez qu’une bibliothèque de documents SharePoint spécifique n’étende plus les autorisations avec une étiquette de confidentialité, décochez la case Étendre la protection lors du téléchargement, de la copie ou du déplacement en tant que paramètre de bibliothèque de documents SharePoint. Ensuite :
Les fichiers de la bibliothèque de documents qui étaient précédemment étiquetés avec cette configuration reviennent à leur étiquette d’origine qui n’a pas appliqué le chiffrement, ou non étiquetés si c’était leur status d’origine avant la case à cocher.
Les fichiers synchronisés avec OneDrive sont resynchronisés et revient de la même façon à leur étiquette précédente status. Le processus de resynchronisation peut prendre un certain temps et jusqu’à ce qu’il soit terminé, la protection étendue reste.
Les fichiers étiquetés qui sont maintenant téléchargés conservent leur étiquette.
Si vous souhaitez désactiver cette fonctionnalité au niveau du locataire lorsqu’elle a été précédemment activée et configurée, décochez d’abord la case Étendre la protection lors du téléchargement, de la copie ou du déplacement de toutes les bibliothèques de documents où elle a été sélectionnée. Ensuite, utilisez la même applet de commande Set-SPOTenant avec le paramètre ExtendPermissionsToUnprotectedFiles , mais définissez la valeur sur false. Ensuite :
- La case à cocher Étendre la protection lors du téléchargement, de la copie ou du déplacement n’est plus visible en tant que paramètre de bibliothèque de documents SharePoint.
Si vous désactivez la fonctionnalité au niveau du locataire sans d’abord décocher la case d’une bibliothèque de documents, la configuration reste, mais sans la case à cocher pour la désactiver.
Dans ce scénario, pour désactiver la configuration, exécutez la commande PowerShell pour activer la prise en charge de l’extension des autorisations SharePoint afin d’afficher à nouveau la case à cocher, afin de pouvoir la désactiver. Si vous ne souhaitez pas réactiver la prise en charge au niveau du locataire, contactez Support Microsoft pour vous parler des commandes PowerShell afin de supprimer la configuration d’une bibliothèque de documents spécifique.
Étapes suivantes
Bien que cette configuration offre une protection immédiate à grande échelle pour les fichiers stockés dans SharePoint, elle ne prend pas en compte le contenu des fichiers qui peut nécessiter un niveau de protection plus élevé. Envisagez de compléter cette méthode d’étiquetage par un étiquetage automatique qui utilise l’inspection du contenu pour appliquer des étiquettes de confidentialité avec chiffrement.