Apprendre des pros du PIM
Si vous vous intéressez à Microsoft Information Protection (MIP), vous devriez envisager de rejoindre le groupe Yammer où l’équipe MIP partage des informations sur le fonctionnement de ses produits. C’est là que je suis tombé sur un fil de discussion couvrant une situation où quelqu’un (pour une raison quelconque) supprime un modèle de protection RMS. Ce n’est pas bon car les modèles RMS (Rights Management Services) sont à la base de composants tels que les étiquettes de sensibilité utilisées par les gens pour protéger les documents Office et les PDF. Essentiellement, la crainte exprimée était que si quelqu’un supprime un modèle, les gens seraient bloqués hors des documents et des courriels protégés par l’étiquette de sensibilité basée sur ce modèle. C’est une préoccupation raisonnable.
Le filet de sécurité de la licence d’édition
La licence de publication permet de sauver les utilisateurs du problème d’un modèle supprimé. La licence de publication (PL) détient les détails hérités du modèle lorsqu’un propriétaire de document applique une étiquette de sensibilité à un élément. La PL détient la liste de contrôle d’accès spécifiée dans le modèle (pensez à une liste d’adresses électroniques (y compris les adresses spéciales comme toute personne du locataire ou tout utilisateur authentifié) et les droits attribués à chaque personne).
Le PL est crypté afin que seul le service de gestion des droits puisse accéder à son contenu et est signé par le client, ce qui signifie que chaque client peut voir qui a appliqué le modèle.
Lorsqu’une personne tente d’ouvrir un élément protégé par une étiquette de sensibilité, elle obtient une licence d’utilisation (UL) auprès du service de gestion des droits. Les clients qui prennent en charge l’accès hors ligne, comme Outlook, peuvent précharger des licences d’utilisation. L’UL est un certificat XrML indiquant les droits de l’utilisateur à accéder à un élément. La licence d’utilisation contient également la clé de chiffrement nécessaire pour accéder au contenu de l’élément et comporte une date d’expiration (généralement 30 jours à compter de la date d’octroi). Lorsque l’UL expire, elle est renouvelée par l’authentification de l’utilisateur. À ce moment-là, toute modification des droits préaffectés dans l’étiquette de sensibilité devient active. Les autorisations ad hoc ou définies par l’utilisateur restent en place, sauf si elles sont mises à jour sur un élément.
La combinaison d’UL et d’un certificat de compte de droits (RAC) permet l’accès à un fichier protégé. Le RAC est obtenu lorsqu’une personne utilise pour la première fois la gestion des droits sur un poste de travail et est renouvelé automatiquement tous les 31 jours.
Il s’agit d’un certificat de compte de droits
Supposons que quelqu’un se lance et supprime le modèle Confidential, qui est utilisé par les étiquettes de sensibilité Confidential (de nos jours, la plupart des modèles sont créés lors de la création des étiquettes de sensibilité, ils portent donc le même nom). De nombreux documents dotés de l’étiquette Confidential sont stockés dans SharePoint Online et OneDrive for Business. Lorsqu’un utilisateur ayant le droit d’accéder à l’un de ces documents tente d’ouvrir le fichier. À ce moment-là, l’application (SharePoint Online) demande l’UL au service de gestion des droits et inclut le PL du fichier. Comme le service RMS ne trouve pas le modèle, il se rabat sur le PL et émet une licence d’utilisation basée sur les droits d’accès qui y sont notés. En général, cela signifie que les utilisateurs qui s’attendent à avoir accès peuvent continuer à accéder au fichier et tout va bien. Toutefois, si les administrateurs ont modifié la liste d’accès au fil du temps, il se peut que le PL d’un document ne corresponde pas à la dernière liste d’accès figurant dans le modèle avant sa suppression. Dans ce cas, les utilisateurs qui ne figurent pas dans la liste d’accès ne peuvent pas ouvrir le fichier.
