Définir des options de chiffrement ...

Définir des options de chiffrement Outlook 2007 cohérentes pour une organisation

Mise à jour : 2009-04-09

Vous pouvez contrôler de nombreux aspects des fonctionnalités de chiffrement de Microsoft Office Outlook 2007 de façon à configurer pour votre organisation une messagerie et un chiffrement des messages mieux sécurisés. Par exemple, vous pouvez configurer un paramètre de stratégie de groupe qui requiert une étiquette de sécurité sur tous les messages sortants ou un autre qui désactive la publication vers la liste d'adresses globale.

Vous pouvez verrouiller les paramètres pour personnaliser le chiffrement en utilisant le modèle de stratégie de groupe d'Outlook (Outlk12.adm). Vous pouvez aussi configurer les paramètres par défaut à l'aide de l'outil de personnalisation Office (OPO), qui permet aux utilisateurs de modifier les paramètres. Les paramètres de l'outil de personnalisation Office se trouvent aux emplacements correspondants dans la page Modifier les paramètres utilisateur de l'OPO.

Les fichiers modèles d'Outlook et d'autres fichiers ADM peuvent être téléchargés à partir des modèles d'administration (ADM) d'Office System 2007, disponibles sur le Centre de téléchargement Microsoft.

Pour personnaliser les options de chiffrement à l'aide de la stratégie de groupe

Dans la stratégie de groupe, chargez le modèle Office Outlook 2007 (Outlk12.adm).
Pour personnaliser les paramètres de chiffrement, sous Configuration utilisateur\Modèles d'administration\Microsoft Office Outlook 2007\Sécurité\Chiffrement, double-cliquez sur le paramètre de la stratégie que vous souhaitez définir. Par exemple, double-cliquez sur Ne pas afficher le bouton Publier vers la liste d'adresses globale. (Certaines options sont incluses dans le dossier Boîte de dialogue État de la signature.)
Cliquez sur Activé. Si nécessaire, choisissez une option qui s'affiche sur l'onglet Paramètre.
Cliquez sur OK.

Les paramètres que vous pouvez configurer pour le chiffrement sont indiqués ci-dessous.

Option de chiffrement	Description
Paramètres de chiffrement minimum	Définit la longueur minimale de la clé pour un message électronique chiffré.
Interopérabilité S/MIME avec les clients externes :	Spécifie le comportement pour la gestion des messages S/MIME.
Toujours utiliser le format de texte enrichi dans les messages S/MIME	Utilise toujours du texte enrichi pour les messages S/MIME au lieu du format spécifié par l'utilisateur.
Paramètres des mots de passe S/MIME	Spécifie la quantité de temps par défaut et la quantité de temps maximale de validité d'un mot de passe S/MIME.
Formats de message	Choisissez les formats de message à prendre en charge : S/MIME (valeur par défaut), Exchange, Fortezza, ou une combinaison des formats.
Message affiché lorsqu'Outlook ne trouve pas l'identificateur numérique pour décoder un message	Entrez un message à afficher aux utilisateurs.
Ne pas fournir l'option Continuer dans les boîtes de dialogue d'avertissement de chiffrement	Désactive le bouton Continuer dans les boîtes de dialogue d'avertissement des paramètres de chiffrement.
Exécuter en mode conforme FIPS	Place Outlook dans le mode FIPS 140-1.
Ne pas vérifier l'adresse électronique par rapport à l'adresse des certificats utilisés	Ne vérifie pas l'adresse de messagerie de l'utilisateur avec l'adresse des certificats utilisés pour le chiffrement ou la signature.
Chiffrer tous les messages électroniques	Chiffre les messages électroniques sortants.
Signer tous les messages électroniques	Signe les messages électroniques sortants.
Envoyer tous les messages signés comme messages signés en clair	Utilise une signature en clair pour les messages électroniques sortants signés.
Demander un accusé S/MIME pour tous les messages signés S/MIME	Demande un accusé sécurisé pour les messages électroniques sortants.
URL des certificats S/MIME	Fournit une URL auprès de laquelle les utilisateurs peuvent obtenir un accusé S/MIME. L'URL peut contenir trois variables (%1, %2 et %3), qui sont respectivement remplacées par le nom, l'adresse de messagerie et la langue de l'utilisateur.
S'assurer que tous les messages signés S/MIME disposent d'une étiquette	Requiert une étiquette de sécurité pour tous les messages signés S/MIME.
Ne pas afficher le bouton Publier vers la liste d'adresses globale	Désactiver le bouton Publier vers la liste d'adresses globale de la page Sécurité de messagerie électronique du Centre de gestion de la confidentialité.
Avertissement de signature	Spécifie une option pour que les avertissements de signature s'affichent aux utilisateurs.
Demandes d'accusé S/MIME	Spécifie une option concernant la façon dont les demandes d'accusé S/MIME sont gérées.
Stratégies de certificat Fortezza	Entrez une liste des stratégies autorisées dans l'extension des stratégies d'un certificat indiquant que le certificat est un certificat Fortezza. Spécifiez les stratégies en les séparant par des points-virgules.
Exiger les algorithmes SuiteB pour les opérations S/MIME	Utiliser uniquement les algorithmes SuiteB pour les opérations S/MIME.
Activer les icônes de chiffrement	Afficher les icônes de chiffrement Outlook dans l'interface utilisateur d'Outlook.
Récupération de listes de révocation de certificats	Spécifie comment Outlook se comporte lorsque des listes de révocation de certificats sont récupérées.
Listes de révocation de certificats manquantes	Spécifie la réponse d'Outlook lorsqu'une liste de révocation de certificats est manquante : afficher une erreur ou un avertissement (option par défaut).
Certificats racines manquants	Spécifie la réponse d'Outlook lorsqu'un certificat racine est manquant : afficher une erreur ou un avertissement (option par défaut).
Promouvoir les erreurs de niveau 2 comme erreurs, pas comme avertissements	Spécifie la réponse d'Outlook à des erreurs de niveau 2 : afficher une erreur ou un avertissement (option par défaut).
Dossier temporaire sécurisé des pièces jointes	Spécifie un chemin d'accès de dossier pour le dossier des fichiers temporaires sécurisés. Celui-ci remplace le chemin d'accès par défaut ; cette option n'est pas recommandée.

Plus d'informations sur la définition des options de chiffrement d'Outlook

Les sections suivantes fournissent davantage d'informations sur les options de configuration du chiffrement d'Outlook.

Paramètres de stratégie de sécurité Outlook

Le tableau suivant répertorie les paramètres du Registre Windows que vous pouvez configurer pour votre installation personnalisée. Les paramètres du Registre Windows correspondent aux paramètres de stratégie de groupe répertoriés plus haut. Vous ajoutez ces entrées de valeur dans la sous-clé suivante :

HKEY_CURRENT_USER\Software\\Microsoft\Office\12.0\Outlook\Security

Nom de la valeur	Données de la valeur (type de données)	Description	Option correspondante dans l'interface utilisateur
AlwaysEncrypt	0, 1 (DWORD)	Défini à 1 pour chiffrer les messages sortants. La valeur par défaut est 0.	Case à cocher Chiffrer le contenu (page Sécurité du courrier électronique).
AlwaysSign	0, 1 (DWORD)	Défini à 1 pour signer les messages sortants. La valeur par défaut est 0.	Case à cocher Ajouter la signature électronique (page Sécurité du courrier électronique).
ClearSign	0, 1 (DWORD)	Défini à 1 pour utiliser une signature en clair pour les messages sortants. La valeur par défaut est 0.	Case à cocher Envoyer le message signé en texte clair (page Sécurité du courrier électronique).
RequestSecureReceipt	0, 1 (DWORD)	Défini à 1 pour demander des accusés sécurisés pour les messages sortants. La valeur par défaut est 0.	Case à cocher Demander un accusé S/MIME pour ce message (page Sécurité du courrier électronique).
ForceSecurityLabel	0, 1 (DWORD)	Défini à 1 pour requérir une étiquette sur les messages sortants. (Le paramètre du Registre ne spécifie pas le type d'étiquette.) La valeur par défaut est 0.	Aucune
ForceSecurityLabelX	Objet Blob codé ASN (binaire)	Cette entrée de valeur indique si une étiquette de sécurité définie par l'utilisateur doit exister sur les messages signés sortants. La chaîne peut, de façon facultative, inclure une étiquette, une classification et une catégorie. Par défaut, aucune étiquette de sécurité n'est requise.	Aucune
SigStatusNoCRL	0, 1 (DWORD)	Défini à 0 pour spécifier qu'une liste de révocation de certificats manquante lors de la validation de la signature génère un avertissement. Défini à 1 pour spécifier qu'une liste de révocation de certificats manquante génère une erreur. La valeur par défaut est 0.	Aucune
SigStatusNoTrustDecision	0, 1, 2 (DWORD)	Défini à 0 pour spécifier qu'une décision de non-approbation est autorisée. Défini à 1 pour spécifier qu'une décision de non-approbation génère un avertissement. Défini à 2 pour spécifier qu'une décision de non-approbation génère une erreur. La valeur par défaut est 0.	Aucune
PromoteErrorsAsWarnings	0, 1 (DWORD)	Défini à 0 pour promouvoir les erreurs Erreur de niveau 2 en tant qu'erreurs. Défini à 1 pour promouvoir les erreurs Erreur de niveau 2 en tant qu'avertissements. La valeur par défaut est 1.	Aucune
PublishtoGalDisabled	0, 1 (DWORD)	Défini à 1 pour désactiver le bouton Publier vers la liste d'adresses globale. La valeur par défaut est 0.	Bouton Publier vers la liste d'adresses globale (page Sécurité du courrier électronique)
FIPSMode	0, 1 (DWORD)	Défini à 1 pour placer Outlook dans le mode FIPS 140-1. La valeur par défaut est 0.	Aucune
WarnAboutInvalid	0, 1, 2 (DWORD)	Défini à 0 pour afficher la case à cocher Afficher et demander (boîte de dialogue Problème de messagerie sécurisée). Défini à 1 pour toujours afficher la boîte de dialogue. Défini à 2 pour ne jamais afficher la boîte de dialogue. La valeur par défaut est 2.	Boîte de dialogue Problème de messagerie sécurisée.
DisableContinueEncryption	0, 1 (DWORD)	Défini à 0 pour afficher le bouton Continuer le chiffrement dans la boîte de dialogue Erreurs de chiffrement. Défini à 1 pour masquer le bouton. La valeur par défaut est 0.	Bouton Continuer le chiffrement sur la boîte de dialogue finale Erreurs de chiffrement. Cette boîte de dialogue s'affiche lorsqu'un utilisateur essaie d'envoyer un message à une personne qui ne peut pas recevoir des messages chiffrés. Ce paramètre désactive le bouton qui permet aux utilisateurs d'envoyer néanmoins le message. (Le destinataire ne peut pas ouvrir les messages chiffrés envoyés sans tenir compte de l'erreur.)
RespondtoReceiptRequest	0, 1, 2, 3 (DWORD)	Défini à 0 pour toujours envoyer une réponse d'accusé et demander un mot de passe si nécessaire. Défini à 1 pour demander un mot de passe lors de l'envoi d'une réponse d'accusé. Défini à 2 pour ne jamais envoyer de réponse d'accusé. Défini à 3 pour forcer l'envoi d'une réponse d'accusé. La valeur par défaut est 0.	Aucune
NeedEncryptionString	Chaîne	Affiche la chaîne spécifiée lorsque l'utilisateur tente sans succès d'ouvrir un message chiffré. Peut fournir des informations sur l'emplacement où s'inscrire auprès de la sécurité. Une chaîne par défaut est utilisée, à moins que la valeur soit définie avec une autre chaîne.	Chaîne par défaut
Options	0, 1 (DWORD)	Défini à 0 pour afficher une boîte de dialogue d'avertissement lorsqu'un utilisateur tente de lire un message signé avec une signature non valide. Défini à 1 pour ne jamais afficher l'avertissement. La valeur par défaut est 0.	Aucune
MinEncKey	40, 64, 128, 168 (DWORD)	Définit la longueur minimale de la clé pour un message électronique chiffré.	Aucune
RequiredCA	Chaîne	Défini avec le nom de l'autorité de certification requise. Lorsqu'une valeur est définie, Outlook interdit aux utilisateurs de signer des messages électroniques à l'aide d'un certificat provenant d'une autre autorité de certification.	Aucune
EnrollPageURL	Chaîne	URL de l'autorité de certification par défaut (interne ou externe) de laquelle vous voulez que vos utilisateurs obtiennent de nouveaux identificateurs numériques. Remarque : défini dans la sous-clé HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security si vous n'avez pas de droits d'administrateur sur l'ordinateur de l'utilisateur.	Bouton Obtenir une identification numérique (page Sécurité du courrier électronique).

Lorsque vous spécifiez une valeur pour PromoteErrorsAsWarnings, les conditions potentielles pour les erreurs de niveau 2 sont les suivantes :

Algorithme de signature inconnu
Certification de signature introuvable
Ensembles d'attributs incorrects
Certificat de l'émetteur introuvable
Liste de révocation de certificats introuvable
Liste de révocation de certificats périmée
Problème d'approbation de racine
Liste de certificats de confiance périmée

Lorsque vous spécifiez une valeur pour EnrollPageURL, utilisez les paramètres suivants pour envoyer des informations relatives à l'utilisateur à la page Web d'inscription.

Paramètre	Espace réservé dans la chaîne de l'URL
Nom complet de l'utilisateur	%1
Nom d'adresse de messagerie SMTP	%2
ID de langue de l'interface utilisateur	%3

Par exemple, pour envoyer des informations sur l'utilisateur à la page Web d'inscription Microsoft, définissez l'entrée EnrollPageURL à la valeur suivante (avec les paramètres) :

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

Par exemple, si le nom de l'utilisateur est « Jeff Smith », l'adresse de messagerie « personne@exemple.com » et l'ID de langue de l'interface utilisateur « 1033 », les espaces réservés sont résolus comme suit :

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

Paramètres de la stratégie de sécurité pour le chiffrement général

Le tableau suivant montre d'autres paramètres du Registre Windows, que vous pouvez utiliser pour votre configuration personnalisée. Ces paramètres sont contenus dans la sous-clé suivante :

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default

Nom de la valeur	Données de la valeur (type de données)	Description	Option correspondante dans l'interface utilisateur
ShowWithMultiLabels	0, 1, (DWORD)	Défini à 0 pour tenter d'afficher un message lorsque la couche de signature a différentes étiquettes définies dans des signatures différentes. Défini à 1 pour empêcher l'affichage du message. La valeur par défaut est 0.	Aucune
CertErrorWithLabel	0, 1, 2 (DWORD)	Défini à 0 pour traiter un message avec une erreur de certificat lorsque le message a une étiquette. Défini à 1 pour refuser l'accès à un message avec une erreur de certificat. Défini à 2 pour ignorer l'étiquette du message et accorder l'accès au message. (L'utilisateur voit néanmoins une erreur de certificat.) La valeur par défaut est 0.	Aucun

Paramètres de stratégie de sécurité pour les certificats émis par KMS

Les valeurs du tableau suivant s'appliquent uniquement aux certificats émis par le service KMS (Key Management Service) de Microsoft Exchange. Le tableau contient d'autres paramètres du Registre Windows que vous pouvez utiliser pour votre configuration personnalisée. Ces paramètres sont contenus dans la sous-clé suivante :

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults\Provider

Nom de la valeur	Données de la valeur (type de données)	Description	Option correspondante dans l'interface utilisateur
MaxPWDTime	0, nombre (DWORD)	Défini à 0 pour supprimer à l'utilisateur la possibilité d'enregistrer un mot de passe (l'utilisateur doit entrer un mot de passe chaque fois qu'un jeu de clés est requis). Défini à un nombre positif pour spécifier une durée maximale pour le mot de passe, en minutes. La valeur par défaut est 999.	Aucune
DefPWDTime	Nombre (DWORD)	Défini à la valeur par défaut pour la période pendant laquelle un mot de passe est enregistré.	Aucune

Télécharger ce livre

Cette rubrique est incluse dans les livres à télécharger suivants pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.

Gérer votre profil | Contactez-nous | Newsletter