Article d’origine publié le dimanche 11 novembre 2012

Auteurs : Barak Cohen (Responsable de programme, services de protection de document) et Neil Wang (SDET, services de protection de document)

Protection de document dans le nuage

La nouvelle version d’Office vous permet, pour la première fois, de bénéficier de la protection de document offerte par les services de gestion des droits relatifs à l’information (IRM) dans le nuage. Les utilisateurs d’Office 365 peuvent souscrire à un plan de services qui inclut des fonctionnalités IRM mises en place par un nouveau service de protection de document appelé Windows Azure AD Rights Management (AADRM), ce dernier faisant partie d’Office 365 Entreprise Plan 3 et Plan 4, et Éducation Plan 3 et Plan 4. Cette fonctionnalité revient à affecter un serveur RMS (Windows Right Management Server) à une installation SharePoint locale. Les utilisateurs peuvent configurer SharePoint Online pour utiliser le service dans leur page Paramètres du client SharePoint Online :
Activation de la gestion des droits AADRM pour le client Office 365 sur le portail AADRM
Figure 1. Activation du service IRM dans la page des paramètres du client SharePoint Online Office 365


Notez toutefois que le service de gestion des droits AADRM n’est pas activé par défaut dans les références (SKU) ci-dessus. Les administrateurs clients doivent l’activer pour leur client. Cliquez sur le bouton Actualiser les paramètres IRM dans la page Paramètres du client pour interroger l’annuaire Office 365 au sujet des paramètres AADRM et actualiser les paramètres dans SharePoint Online.

Pour activer AADRM pour les clients Office 365, vous pouvez cliquer sur ce lien pour activer le service : https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365. (Comme indiqué ci-dessus, un plan Office 365 avec AADRM est requis pour que ceci fonctionne, et il est nécessaire de se connecter avec les informations d’identification d’administrateur client Office 365). Cette page de gestion des droits est aussi accessible par le biais du menu Protection des informations dans la page d’administration d’Office 365.

Activation de la gestion des droits AADRM pour le client Office 365 sur le portail AADRM
Figure 2. Activation de la gestion des droits AADRM pour le client Office 365 sur le portail AADRM


Vous pouvez également recourir à la procédure manuelle suivante pour activer le service :

  1. Téléchargez le module d’administration Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) pour Windows PowerShell ici.
  2. Dans le dossier local où vous avez téléchargé et enregistré le fichier d’installation de gestion des droits, double-cliquez sur WindowsAzureADRightsManagementAdministration.exe pour lancer l’installation du module d’administration de gestion des droits.
  3. Ouvrez Windows PowerShell et tapez les commandes suivantes :
      Import-Module AADRM
      Connect-AadrmService -Verbose

  4. À l’invite, entrez vos informations d’identification d’Office 365 Preview. Par exemple : user@company.onmicrosoft.com
  5. Tapez les commandes suivantes :
      Enable-Aadrm
      Disconnect-AadrmService

Protection de document locale

Au niveau local, les services IRM sont toujours pris en charge par l’association d’un rôle serveur AD RMS (Active Directory Rights Management Services) à une batterie de serveurs SharePoint, comme décrit dans l’article Guide pas à pas des services AD RMS. Cette opération est effectuée par l’administrateur de la batterie de serveurs sur la page Gestion des droits relatifs à l’information, laquelle est accessible via un lien à partir de la page d’administration de la batterie de serveurs (dans le cadre d’une configuration courante pour une installation locale, un serveur RMS est identifié via Active Directory). Dans SharePoint 2013, des installations locales peuvent cibler uniquement des serveurs RMS locaux. (Notez que SharePoint Online dans Office 365 peut uniquement cibler AADRM).

Activation d’IRM sur un serveur RMS dans une batterie de serveurs SharePoint
Figure 3. Activation d’IRM sur un serveur RMS dans une batterie de serveurs SharePoint


La définition d’IRM s’effectue au niveau de la batterie de serveurs par le biais de l’interface utilisateur (illustrée à la Figure 3) ou au niveau de l’abonnement (nouveauté Office 2013). C’est cette deuxième approche qui est implémentée dans le nuage. Pour définir IRM pour des abonnements SharePoint spécifiques locaux, vous devez activer la case à cocher dans la Figure 3, puis utiliser un script Microsoft PowerShell pour définir l’URL du serveur RMS spécifique pour chaque abonnement.

La protection de documents est une opération simple

Une fois les services IRM configurés en ligne ou localement, les administrateurs de collections de sites peuvent activer la protection IRM sur des bibliothèques de documents individuelles.

Définition de la protection IRM sur une bibliothèque de documents
Figure 4. Définition de la protection IRM sur une bibliothèque de documents


Une fois ces paramètres en place, les documents qui sont compatibles avec les services Office IRM sont protégés une fois qu’ils sont téléchargés sur le client. Les options supplémentaires permettent aux utilisateurs de définir les droits d’utilisation plus en détail.

Simplicité de la définition des droits d’utilisation

Améliorée dans Office 2013, l’interface utilisateur des paramètres IRM pour une bibliothèque de documents est désormais plus facile à utiliser. Outre l’écriture du titre et de la description de la stratégie d’autorisation, les administrateurs de bibliothèque peuvent effectuer les tâches suivantes :

  • Définir des droits d’accès, y compris les droits d’impression, exécuter des scripts pour activer des lecteurs d’écran ou encore activer l’écriture sur une copie du document (nouveauté Office 2013)
  • Définir une date d’expiration (date après laquelle le document ne peut plus être utilisé)
  • Contrôler si les documents qui ne prennent pas en charge la protection IRM peuvent être inclus dans la bibliothèque
  • Contrôler si Office Web Apps peut afficher les documents dans la bibliothèque (nouveauté Office 2013)

Possibilité d’effectuer le rendu de documents protégés dans le navigateur

La possibilité d’effectuer le rendu de documents protégés dans Office Web Apps est une autre nouveauté d’Office 2013. Cela signifie que si un utilisateur authentifié ne possède pas de client Office compatible, il peut quand même afficher les documents avec Office Web Apps. Notez que dans le cas d’applications web, le document est présenté en mode lecture seule. Notez aussi que la capture d’écran d’un contenu protégé dans le navigateur n’est pas bloquée (elle l’est sur les clients), mais que les informations sur les documents protégés sont effacées du cache du navigateur. Pour empêcher cette fonctionnalité, les administrateurs de bibliothèque peuvent toujours activer la case à cocher Empêcher l’ouverture de documents de cette bibliothèque dans le navigateur dans la page des paramètres de la gestion des droits relatifs à l’information (voir figure 5 ci-dessous).

Possibilité de protéger des documents pour des groupes

Par défaut, lorsqu’un utilisateur télécharge des documents à partir d’une bibliothèque de documents SharePoint compatible avec IRM, chaque type de fichier pris en charge est chiffré et les droits sont restreints à l’utilisateur authentifié qui a téléchargé les documents. Les autres utilisateurs disposant de droits sur la même bibliothèque doivent obtenir leur propre copie. Une des nouvelles fonctionnalités prises en charge par SharePoint 2013 est la possibilité de protéger une bibliothèque pour un groupe. L’administrateur peut sélectionner un groupe Active Directory et l’utiliser pour horodater la licence d’utilisation pour le fichier. Ensuite, les documents qui sont téléchargés peuvent être utilisés par tous les membres du groupe, et l’utilisateur qui a téléchargé la copie peut transférer directement la copie à n’importe quel membre du groupe. Dans Office 365, la création de ces groupes est effectuée dans le Panneau de configuration Exchange (ECP).

Protection de groupe dans le cadre des paramètres IRM avancés sur les bibliothèques de documents
Figure 5. Protection de groupe dans le cadre des paramètres IRM avancés sur les bibliothèques de documents


Prise en charge des documents Office et les fichiers PDF par IRM

Bon nombre de personnes ont manifesté leur intérêt pour une intégration plus étroite des fichiers PDF dans SharePoint et Office en général. Parmi les nouveautés d’Office 2013, signalons que les documents PDF sont mieux intégrés dans SharePoint 2013. Les lecteurs PDF peuvent désormais enregistrer un contrôle pour permettre la simple ouverture de fichiers PDF, et les documents PDF peuvent être protégés à l’aide des services Microsoft IRM. La protection IRM des documents PDF est une extension de la norme PDF que les lecteurs PDF peuvent implémenter et prendre en charge. Le lecteur PDF Foxit Reader prend déjà en charge cette fonctionnalité.

Programmabilité

Une autre nouveauté d’Office 2013 est le contrôle par programme des paramètres IRM au niveau de la batterie de serveurs et de l’abonnement. Le tableau 1 contient des exemples qui illustrent comment manipuler les paramètres IRM au niveau d’une batterie de serveurs ou d’un abonnement dans Windows PowerShell.

Tableau 1. Programmabilité IRM avec PowerShell

Exemple Commande Windows PowerShell
Activer IRM pour la batterie de serveurs et le configurer pour utiliser le serveur RMS par défaut configuré dans Active Directory Set-SPIRMSettings -IrmEnabled -
UseActiveDirectoryDiscovery
Activer IRM pour la batterie de serveurs et spécifier l’URL du serveur RMS à utiliser Set-SPIRMSettings -IrmEnabled -
CertificateServerUrl http://myrmsserver
Activer IRM pour le client spécifié et spécifier l’URL du serveur RMS à utiliser Set-SPIRMSettings –IrmEnabled -
SubscriptionScopeSettingsEnabled

site = Get-SPSite http://myspserver
$subscription = $site.SiteSubscription
 Set-SPSiteSubscriptionIrmConfig -Identity
$subscription -IrmEnabled -
CertificateServerUrl http://myrmsserver

Désactiver IRM pour la batterie de serveurs Set-SPIRMSettings -IrmEnabled:$false
 
Pour plus d’informations, cliquez sur ces liens pour accéder aux descriptions des classes et des API au niveau de la bibliothèque de documents :

L’exemple de script Windows PowerShell suivant montre comment un administrateur client peut activer et configurer une stratégie IRM pour toutes les bibliothèques de documents sur les sites du client :


$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
    where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
        foreach { `
            $_.IrmEnabled = $true; `
            $_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
            $_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
            $_.Update(); `
            Write-Host "IRM enabled on $($_.Title)" `
        }
$ctx.ExecuteQuery()

Matrice des clients pris en charge

Du côté des services Office 365, SharePoint 2013 Online et Exchange 2013 Online prennent en charge les services IRM. (Pour obtenir les services, vous devez être abonné à l’un des plans de services Office 365 qui incluent la prise en charge d’IRM, comme décrit sur le site web Office 365).

Le tableau 2 contient une matrice de prise en charge pour les applications clientes qui sont compatibles avec les services IRM dans Office 2013.

Tableau 2. Matrice de prise en charge des applications clientes

Application SharePoint 2013 SharePoint Online 2013 Serveur RMS RMS Online
Word, PowerPoint, Excel 2013 (Windows) Oui Oui Oui Oui
Word, PowerPoint, Excel 2013 RT Oui Oui Oui Oui
Word, PowerPoint, Excel 2010 Oui Oui (après installation de l’Assistant Authentification Office 365) Oui Oui
Office pour Mac 2010 Oui Non Oui Non
Outlook sous Windows Phone 7 NR NR Oui Non
Word sous Windows Phone 7 Oui Non Oui Non
Foxit Reader sous Windows Oui Oui (après installation de l’Assistant Authentification Office 365) Oui Oui

Étapes suivantes

La protection IRM vous permet de mieux contrôler la distribution et la gestion de vos documents numériques. Face à la popularité croissante des services dans le nuage et compte tenu de la disponibilité bon marché de la plateforme Office 365, les services IRM sont plus faciles à utiliser et plus accessibles que jamais. Par ailleurs, vous pouvez essayer ce nouveau service sans frais. Alors inscrivez-vous sans plus attendre : vous n’aurez jamais à vous soucier de la fuite de documents Microsoft Office et PDF sensibles. Comme toujours, notre équipe accueille avec intérêt tous vos commentaires dans le but d’améliorer les services que nous vous proposons. N’hésitez pas à nous faire part de votre avis.

Ce billet de blog a été traduit de l’anglais. La version originale est disponible à la page What’s New with Information Rights Management in SharePoint and SharePoint Online?.