Configurer les paramètres de protection contre la perte de données de point de terminaison

  • Article

De nombreux aspects du comportement de la protection contre la perte de données de point de terminaison (DLP) sont contrôlés par des paramètres configurés de manière centralisée qui sont appliqués à toutes les stratégies DLP pour les appareils. Utilisez ces paramètres pour contrôler les comportements suivants :

  • les restrictions de sortie cloud
  • les différents types d’actions restrictives sur les activités des utilisateurs par application.
  • les exclusions de chemins d’accès pour les appareils Windows et macOS.
  • les restrictions de navigateur et de domaine.
  • la manière dont es justifications de l’entreprise pour le remplacement de stratégies apparaissent dans les conseils de stratégie.
  • Indique si les actions effectuées sur les fichiers Office, PDF et CSV sont automatiquement auditées.

Pour accéder à ces paramètres, à partir de la portail de conformité Microsoft Purview, accédez à Protection contre la> perte de donnéesVue d’ensemble> paramètres > deprotection contre la perte de donnéesParamètres de point de terminaison.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Importante

Pour plus d’informations sur les exigences d’Adobe pour l’utilisation des fonctionnalités de Protection contre la perte de données Microsoft Purview (DLP) avec des fichiers PDF, consultez cet article d’Adobe : Protection des données Microsoft Purview support dans Acrobat.

Paramètres de point de terminaison DLP Windows 10/11 et macOS

Endpoint DLP vous permet également d’intégrer des appareils exécutant les versions suivantes de Windows Server :

Remarque

L’installation des bases de connaissances Windows Server prises en charge désactive la fonctionnalité Classification sur le serveur. Cela signifie que endpoint DLP ne classifie pas les fichiers sur le serveur. Toutefois, endpoint DLP protège toujours les fichiers sur le serveur qui ont été classifiés avant l’installation de ces bases de connaissances sur le serveur. Pour garantir cette protection, installez Microsoft Defender version 4.18.23100 (octobre 2023) ou ultérieure.

Par défaut, endpoint DLP n’est pas activé pour les serveurs Windows lorsqu’ils sont initialement intégrés. Avant de voir les événements DLP de point de terminaison pour vos serveurs dans l’Explorer d’activité, vous devez d’abord activer la protection contre la perte de données de point de terminaison pour les serveurs Windows.

Une fois correctement configurées, les mêmes stratégies de protection contre la perte de données peuvent être appliquées automatiquement aux PC Windows et aux serveurs Windows.

Setting Sous-paramètre Windows 10, 1809 et versions ultérieures, Windows 11, Windows Server 2019, Windows Server 2022 (21H2 et versions ultérieures) pour points de terminaison (X64) macOS (trois dernières versions publiées) Notes
Analyse et protection avancées de la classification Limites de bande passante allouée Pris en charge Pris en charge La classification avancée permet ces fonctionnalités pour macOS : - Document Fingerprinting
- Exact data match basé sur les types
- d’informations sensiblesClassifieurs TrainableEn savoir plus sur les entités nommées
-
Exclusions de chemin d’accès de fichier pour Windows s/o Pris en charge s/o
Exclusions de chemin d’accès de fichier pour Mac s/o s/o Pris en charge macOS inclut une liste recommandée d'exclusions activée par défaut
Configurer la collecte de preuves pour les activités de fichier sur les appareils Définir le cache des preuves sur l’appareil Pris en charge Non pris en charge
Couverture et exclusions des partages réseau s/o Pris en charge Non pris en charge
Applications restreintes et groupes d’applications Groupes d’applications restreintes Pris en charge Pris en charge
Applications restreintes et groupes d’applications Applications restreintes Pris en charge Pris en charge
Applications restreintes et groupes d’applications Paramètres de mise en quarantaine automatique Pris en charge Pris en charge
Applications Bluetooth non autorisées s/o Pris en charge Pris en charge
Restrictions de navigateurs et de domaines vers des données sensibles Navigateurs non autorisés Pris en charge Pris en charge
Restrictions de navigateurs et de domaines vers des données sensibles Domaines de service Pris en charge Pris en charge
Restrictions de navigateurs et de domaines vers des données sensibles Groupes de domaines de service sensibles Pris en charge Non pris en charge
Paramètres supplémentaires pour Endpoint DLP Justification métier dans les conseils de stratégie Pris en charge Pris en charge
Toujours auditer l’activité des fichiers pour les appareils s/o Pris en charge Pris en charge
Groupes d’imprimantes s/o Pris en charge Pris en charge
Groupes de périphériques USB amovibles s/o Pris en charge Pris en charge
Groupes de partage réseau s/o Pris en charge Pris en charge
Paramètres VPN s/o Pris en charge Non pris en charge

Autres paramètres

Setting Windows 10/11, Windows 10, 1809 et versions ultérieures, Windows 11 Windows Server 2019, Windows Server 2022 (21H2 et versions ultérieures) pour points de terminaison (X64) macOS (trois dernières versions publiées)
Fichier d’archivage Pris en charge Pris en charge Non pris en charge
Type de fichier et extension de fichier Pris en charge Pris en charge Non pris en charge
Activer la protection contre la perte de données de point de terminaison pour les serveurs Windows Non pris en charge Pris en charge Non pris en charge

Activer la protection contre la perte de données de point de terminaison pour les serveurs Windows

Endpoint DLP prend en charge les versions suivantes de Windows Server :

Une fois que vous avez intégré un serveur Windows Server , vous devez activer la prise en charge DLP de point de terminaison avant d’appliquer endpoint protection.

Pour utiliser le tableau de bord de gestion des alertes DLP :

  1. Dans le portail Microsoft Purview, accédez àVue d’ensemble de la protection contre la> perte de données.
  2. Choisissez Paramètres dans le coin supérieur droit.
  3. Dans la page Paramètres , sélectionnez Paramètres de point de terminaison et développez Prise en charge DLP du point de terminaison pour les serveurs intégrés.
  4. Définissez le bouton bascule sur Activé.

Analyse et protection avancées de la classification

L’analyse et la protection avancées de la classification permettent au service de classification des données basée sur le cloud Microsoft Purview d’analyser les éléments, de les classifier et de retourner les résultats à l’ordinateur local. Par conséquent, vous pouvez tirer parti des techniques de classification telles que la classification exacte des correspondances de données , les classifieurs pouvant être formés, les classifieurs d’informations d’identification et lesentités nommées dans vos stratégies DLP.

Lorsque la classification avancée est activée, le contenu est envoyé de l’appareil local aux services cloud à des fins d’analyse et de classification. Si l’utilisation de la bande passante est un problème, vous pouvez définir une limite sur la quantité de bande passante pouvant être utilisée sur une période de 24 heures propagée. La limite est configurée dans Paramètres du point de terminaison et est appliquée par appareil. Si vous définissez une limite d’utilisation de la bande passante et qu’elle est dépassée, DLP cesse d’envoyer le contenu utilisateur au cloud. À ce stade, la classification des données se poursuit localement sur l’appareil, mais la classification utilisant la correspondance exacte des données, les entités nommées, les classifieurs pouvant être formés et les classifieurs d’informations d’identification ne sont pas disponibles. Lorsque l’utilisation cumulée de la bande passante passe sous la limite propagée de 24 heures, la communication avec les services cloud reprend.

Si l’utilisation de la bande passante n’est pas un problème, sélectionnez Aucune limite pour autoriser l’utilisation illimitée de la bande passante.

Les versions suivantes de Windows et les versions ultérieures prennent en charge l’analyse et la protection avancées de la classification.

  • toutes les versions Windows 11
  • Windows 10 versions 20H1/21H1 ou ultérieures (Ko 5006738)
  • Windows 10 RS5 (KB 5006744)

Remarque

  • La prise en charge de la classification avancée est disponible pour les types de Office (Word, Excel, PowerPoint) et PDF.

  • L'évaluation de la stratégie DLP se produit toujours dans le cloud, même si le contenu utilisateur n'est pas envoyé.

Conseil

Pour utiliser la classification avancée pour Windows 10 appareils, vous devez installer KB5016688. Pour utiliser la classification avancée pour Windows 11 appareils, KB5016691 devez être installé sur ces appareils Windows 11. En outre, vous devez activer la classification avancée pour que l’Explorateur d’activités affiche du texte contextuel pour les événements de correspondance de règle DLP. Pour en savoir plus sur le texte contextuel, consultez Résumé contextuel.

Exclusions de chemin d’accès de fichier

Si vous souhaitez exclure certains chemins d’accès de la surveillance DLP, des alertes DLP et de l’application de la stratégie DLP sur vos appareils, vous pouvez désactiver ces paramètres de configuration en configurant des exclusions de chemins d’accès aux fichiers. Les fichiers situés dans des emplacements exclus ne sont pas audités et tous les fichiers créés ou modifiés dans ces emplacements ne sont pas soumis à l’application de la stratégie DLP. Pour configurer les exclusions de chemin dans les paramètres DLP, accédez à portail de conformité Microsoft Purview>Protection contre la> perte de donnéesVue d’ensemble> des paramètres > deprotection contre la perte de donnéesParamètres> de point de terminaisonExclusions de chemin d’accès de fichier pour Windows.

appareils Windows 10/11

Vous pouvez utiliser la logique suivante pour construire vos chemins d’exclusion pour les appareils Windows 10/11 :

  • Le chemin d’accès valide qui se termine par \, signifie que seuls les fichiers situés directement sous le dossier spécifié sont exclus.
    Exemple : C:\Temp\

  • Le chemin de fichier valide qui se termine par \*, signifie que seuls les fichiers dans les sous-dossiers du dossier spécifié sont exclus. Les fichiers situés directement sous le dossier spécifié ne sont pas exclus.
    Exemple : C:\Temp\*

  • Un chemin de fichier valide qui se termine sans \ ou \*signifie que tous les fichiers situés directement sous le dossier spécifié et tous ses sous-dossiers sont exclus.
    Exemple : C:\Temp

  • Chemin d’accès avec caractère générique entre \ de chaque côté.
    Exemple : C:\Users\*\Desktop\

  • Chemin d’accès avec caractère générique entre \ de chaque côté et avec (number) pour spécifier le nombre exact de sous-dossiers à exclure.
    Exemple : C:\Users\*(1)\Downloads\

  • Un chemin d’accès avec des variables d’environnement système.
    Exemple : %SystemDrive%\Test\*

  • Combinaison de tous les modèles décrits ci-dessus.
    Exemple : %SystemDrive%\Users\*\Documents\*(2)\Sub\

Chemins d’accès aux fichiers Windows exclus par défaut

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

appareils macOS

Vous pouvez également ajouter vos propres exclusions pour les appareils macOS.

  • Les définitions de chemin de fichier sont insensibles à la casse, c'est User donc la même chose que user.

  • Les valeurs génériques sont prises en charge. Par conséquent, une définition de chemin peut contenir un astérisque (*) au milieu du chemin ou à la fin du chemin.
    Exemple : /Users/*/Library/Application Support/Microsoft/Teams/*

Chemins d’accès aux fichiers macOS exclus par défaut

/System

Pour des raisons de performances, Endpoint DLP inclut une liste d'exclusions de chemins de fichiers recommandées pour les appareils macOS. Si le bouton bascule Inclure les exclusions de chemin d’accès recommandé pour Mac est défini sur Activé, les chemins d’accès suivants sont également exclus :

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt

Nous vous recommandons de laisser ce bouton bascule défini sur Activé. Toutefois, vous pouvez arrêter d’exclure ces chemins en définissant le bouton bascule sur Désactivé.

Configurer la collecte de preuves pour les activités de fichier sur les appareils

Lorsqu’il identifie les éléments qui correspondent aux stratégies sur les appareils, DLP peut les copier dans un compte de stockage Azure. Cela est utile pour l’audit de l’activité de stratégie et la résolution des problèmes de correspondances spécifiques. Utilisez cette section pour ajouter le nom et l’URL du compte de stockage.

Remarque

Avant d’activer cette fonctionnalité, vous devez créer un compte de stockage Azure et un conteneur dans ce compte de stockage. Vous devez également configurer des autorisations pour le compte. Lorsque vous configurez votre compte de stockage Azure, gardez à l’esprit que vous souhaiterez probablement utiliser un compte de stockage qui se trouve dans la même région/limite géopolitique Azure que votre locataire. Vous devez également envisager de configurer les niveaux d’accès au compte de stockage Azure et la tarification du compte de stockage Azure.

Couverture et exclusions des partages réseau

La couverture et les exclusions de partage réseau étendent les stratégies et actions DLP de point de terminaison aux fichiers nouveaux et modifiés sur les partages réseau et les lecteurs réseau mappés. Si la protection juste-à-temps est également activée, la couverture et les exclusions de protection juste-à-temps sont étendues aux partages réseau et aux lecteurs mappés. Si vous souhaitez exclure un chemin réseau spécifique pour tous les appareils surveillés, ajoutez la valeur de chemin dans Exclure ces chemins de partage réseau.

Importante

Pour utiliser la couverture et les exclusions de partage réseau, les mises à jour suivantes doivent être appliquées aux appareils :

Ce tableau présente les paramètres par défaut pour la couverture et les exclusions de partage réseau.

Couverture et exclusions des partages réseau Protection juste-à-temps Comportement résultant
Activé Désactivé - Les stratégies DLP étendues aux appareils sont appliquées à tous les partages réseau et lecteurs mappés auxquels l’appareil est connecté. Actions prises en charge : Appareils
Désactivé Activé - La protection juste-à-temps est appliquée uniquement aux fichiers sur les périphériques de stockage qui sont locaux au point de terminaison.
Activé Activé - Les stratégies DLP étendues aux appareils sont appliquées à tous les partages réseau et lecteurs mappés auxquels l’appareil est connecté. Actions prises en charge : Appareils
- La protection juste-à-temps est appliquée à tous les partages réseau et lecteurs mappés auxquels l’appareil est connecté.

La couverture et les exclusions de partage réseau complètent les actions de dépôt local DLP. Ce tableau présente les paramètres d’exclusion et le comportement résultant selon que la DLP est activée ou désactivée pour les dépôts locaux.

Couverture et exclusions des partages réseau Référentiels locaux DLP Comportement résultant
Activé Désactivé - Les stratégies DLP étendues aux appareils sont appliquées à tous les partages réseau et lecteurs mappés auxquels l’appareil est connecté. Actions prises en charge : Appareils
Désactivé Activé - Les stratégies étendues aux référentiels locaux peuvent appliquer des actions de protection sur les données au repos locales dans les partages de fichiers et les bibliothèques de documents SharePoint et les dossiers. Actions de dépôt local DLP
Activé Activé - Les stratégies DLP étendues aux appareils sont appliquées à tous les partages réseau et lecteurs mappés auxquels l’appareil est connecté. Actions prises en charge : Appareils
- Les stratégies étendues aux référentiels locaux peuvent appliquer des actions de protection sur les données au repos locales dans les partages de fichiers et les bibliothèques de documents SharePoint et les dossiers. Actions de dépôt local DLP

Applications restreintes et groupes d’applications

Applications restreintes

La liste Applications restreintes (précédemment appelée Applications non autorisées) est une liste personnalisée d’applications que vous créez. Vous configurez les actions effectuées par DLP lorsqu’une personne utilise une application de la liste pour accéder à un fichier protégé par DLP sur un appareil. La liste Applications restreintes est disponible pour les appareils Windows 10/11 et macOS exécutant l’une des trois dernières versions de macOS.

Importante

  • N’incluez pas le chemin d’accès à l’exécutable. Incluez uniquement le nom de l’exécutable (par exemple, browser.exe).

  • L’action (audit, block with overrideou block) définie pour les applications figurant dans la liste des applications restreintes s’applique uniquement lorsqu’un utilisateur tente d’accéder à un élément protégé.

Lorsque l’option Accès par applications restreintes est sélectionnée dans une stratégie et qu’un utilisateur utilise une application figurant dans la liste des applications restreintes pour accéder à un fichier protégé, l’activité est audited, blockedou blocked with override, selon la façon dont vous avez configuré la liste Applications restreintes . EXCEPTION : si une application de la liste Applications restreintes est également membre d’un groupe d’applications restreintes, les actions configurées pour les activités dans le groupe d’applications restreintes remplacent les actions configurées pour la liste Applications restreintes . Toutes les activités sont auditées et disponibles pour révision dans l’Explorateur d’activités.

Groupes d’applications restreints (préversion)

Les groupes d’applications restreintes sont des collections d’applications que vous créez dans les paramètres DLP, puis que vous ajoutez à une règle dans une stratégie. Lorsque vous ajoutez un groupe d’applications restreint à une stratégie, vous pouvez effectuer les actions définies dans le tableau suivant.

Option de groupe d’applications restreintes Ce qu’il vous permet de faire
Ne restreignez pas l'activité des fichiers Indique à DLP d’autoriser les utilisateurs à accéder aux éléments protégés par DLP à l’aide d’applications du groupe d’applications sans effectuer aucune action lorsque l’utilisateur tente de copier dans le Presse-papiers, copier sur un lecteur usb amovible, copier sur un lecteur réseau ou imprimer à partir de l’application.
Appliquer une restriction à toutes les activités Indique DLP à Audit only, Block with overrideou Block lorsqu’un utilisateur tente d’accéder à un élément protégé par DLP à l’aide d’une application qui se trouve dans le groupe d’applications approprié
Appliquer des restrictions à une activité spécifique Ce paramètre permet à un utilisateur d’accéder à un élément protégé par DLP à l’aide d’une application qui se trouve dans le groupe d’applications. Il vous permet également de sélectionner une action par défaut (Audit only, Block, ou Block with override) pour DLP à effectuer lorsqu’un utilisateur tente de copier dans le Presse-papiers, Copier sur un lecteur usb amovible, Copier sur un lecteur réseau et Imprimer.

Importante

Les paramètres d’un groupe d’applications restreints remplacent toutes les restrictions définies dans la liste des applications restreintes lorsqu’elles se trouvent dans la même règle. Par conséquent, si une application figure dans la liste des applications restreintes et est également membre d’un groupe d’applications restreintes, les paramètres du groupe d’applications restreintes sont appliqués.

Comment la DLP applique des restrictions aux activités

Les interactions entre les activités de fichier pour les applications dans des groupes d’applications restreints, les activités de fichier pour toutes les applications et la liste Activités d’application restreintes sont limitées à la même règle.

Remplacements de groupes d’applications restreintes

Les configurations définies dans les activités de fichier pour les applications dans des groupes d’applications restreints remplacent les configurations de la liste des activités d’application restreintes et des activités de fichier pour toutes les applications de la même règle.

Activités d’application restreintes et activités de fichier pour toutes les applications

Les configurations des activités d’application restreintes et les activités de fichier pour toutes les applications fonctionnent de concert si l’action définie pour Activités d’application restreintes est Audit onlyou Block with override dans la même règle. Pourquoi ? Les actions définies pour les activités d’application restreintes s’appliquent uniquement lorsqu’un utilisateur accède à un fichier à l’aide d’une application figurant dans la liste. Une fois que l’utilisateur a accès, les actions définies pour les activités dans Activités de fichier pour toutes les applications s’appliquent.

Pour instance, prenez l’exemple suivant. Supposons que Notepad.exe est ajouté aux applications restreintes et que les activités de fichier pour toutes les applications sont configurées pour Appliquer des restrictions à une activité spécifique, et que les deux sont configurées comme indiqué dans ce tableau :

Paramètre dans la stratégie Nom de l'application Activité utilisateur Action DLP à effectuer
Activités d'application restreintes Bloc-notes Accéder à un élément protégé par DLP Auditer uniquement
Activités de fichiers pour toutes les applications Toutes les applications Copier dans le Presse-papiers Auditer uniquement
Activités de fichiers pour toutes les applications Toutes les applications Copier sur un périphérique USB amovible Bloquer
Activités de fichiers pour toutes les applications Toutes les applications Copier vers un partage réseau Auditer uniquement
Activités de fichiers pour toutes les applications Toutes les applications Imprimer Bloquer
Activités de fichiers pour toutes les applications Toutes les applications Copier ou déplacer à l'aide d'une application Bluetooth non autorisée Blocked
Activités de fichiers pour toutes les applications Toutes les applications Services de bureau à distance Bloc avec remplacement

Lorsque l’utilisateur A ouvre un fichier protégé par DLP à l’aide du Bloc-notes, DLP autorise l’accès et audite l’activité. Toujours dans le Bloc-notes, l’utilisateur A tente ensuite de copier le contenu de l’élément protégé dans le Presse-papiers. Cette action réussit et DLP audite l’activité. L’utilisateur A tente ensuite d’imprimer l’élément protégé à partir Bloc-notes et l’activité est bloquée.

Remarque

Lorsque l’action DLP à entreprendre dans Activités d’application restreintes est définie sur block, tous les accès sont bloqués et l’utilisateur ne peut effectuer aucune activité sur le fichier.

Activités de fichier pour toutes les applications uniquement

Si une application ne figure pas dans la liste Activités de fichiers pour les applications dans des groupes d’applications restreints ou dans la liste Activités d’application restreintes, ou dans la liste Activités d’application restreintes, avec une action de Audit only, ou Block with override, toutes les restrictions définies dans les activités de fichier pour toutes les applications sont appliquées dans la même règle.

appareils macOS

Vous pouvez également empêcher les applications macOS d’accéder à des données sensibles en les définissant dans la liste Activités des applications restreintes .

Remarque

Les applications multiplateformes doivent être entrées avec leurs chemins uniques respectifs au système d’exploitation qu’elles exécutent.

Pour trouver le chemin complet des applications Mac :

  1. Sur l'appareil macOS, ouvrez Activity Monitor. Recherchez et double-cliquez sur le processus que vous souhaitez restreindre.

  2. Sélectionnez l’onglet Ouvrir les fichiers et les ports .

  3. Notez le nom complet du chemin d’accès, y compris le nom de l’application.

Mise en quarantaine automatique

Pour empêcher la synchronisation d’éléments sensibles dans le cloud par des applications de synchronisation cloud telles que onedrive.exe, ajoutez l’application de synchronisation cloud à la liste Applications restreintes avec mise en quarantaine automatique

Lorsqu’elle est activée, la mise en quarantaine automatique est déclenchée lorsqu’une application restreinte tente d’accéder à un élément sensible protégé par DLP. La mise en quarantaine automatique déplace l’élément sensible vers un dossier configuré par l’administrateur. Si cette option est configurée, l’autoquarrantine peut laisser un fichier d’espace réservé (.txt) à la place de l’original. Vous pouvez configurer le texte dans le fichier d’espace réservé pour indiquer aux utilisateurs le nouvel emplacement de l’élément et d’autres informations pertinentes.

Utilisez-la lorsqu’une application de synchronisation cloud non autorisée tente d’accéder à un élément protégé par une stratégie DLP bloquante, DLP peut générer des notifications répétées. Vous pouvez éviter ces notifications répétées en activant la mise en quarantaine automatique.

Vous pouvez également utiliser la mise en quarantaine automatique pour empêcher une chaîne infinie de notifications DLP pour l’utilisateur et les administrateurs. Pour plus d’informations, consultez Scénario 4 : Éviter de boucler les notifications DLP à partir d’applications de synchronisation cloud avec mise en quarantaine automatique

Applications Bluetooth non autorisées (restreintes)

Pour empêcher les utilisateurs de transférer des fichiers protégés par vos stratégies via des applications Bluetooth spécifiques, ajoutez ces applications à la liste Applications restreintes .

Restrictions de navigateurs et de domaines vers des données sensibles

Empêchez les fichiers sensibles, qui correspondent à vos stratégies, d’être partagés avec des domaines de service cloud sans restriction.

Navigateurs non autorisés

Pour les appareils Windows, vous pouvez restreindre l’utilisation des navigateurs web spécifiés, identifiés par leurs noms exécutables. Les navigateurs spécifiés ne peuvent pas accéder aux fichiers qui correspondent aux conditions d’une stratégie DLP appliquée où la restriction de chargement vers les services cloud est définie sur block ou block override. Lorsque ces navigateurs ne peuvent pas accéder à un fichier, les utilisateurs finaux voient une notification toast leur demandant d’ouvrir le fichier via Microsoft Edge.

Pour les appareils macOS, vous devez ajouter le chemin d’accès complet au fichier. Pour trouver le chemin complet des applications Mac :

  1. Sur l'appareil macOS, ouvrez Activity Monitor. Recherchez et double-cliquez sur le processus que vous souhaitez restreindre

  2. Choisissez l'onglet Ouvrir les fichiers et les ports.

  3. Veillez à noter le nom complet du chemin d’accès, y compris le nom de l’application.

Domaines de service

Vous devez sélectionner le paramètre Autoriser ou Bloquer pour les domaines de service pour contrôler si les fichiers sensibles protégés par vos stratégies peuvent être chargés dans des domaines de service spécifiques.

Remarque

Le paramètre Domaines de service s’applique uniquement aux fichiers chargés à l’aide de Microsoft Edge, ou à l’aide d’instances de Google Chrome ou de Mozilla Firefox sur utilisant l’extension Microsoft Purview Chrome installée.

Autoriser

Lorsque la liste Domaines de service est définie sur Autoriser, les stratégies DLP ne sont pas appliquées lorsqu’un utilisateur tente de charger un fichier sensible dans l’un des domaines de la liste.

Si le mode liste est défini sur Autoriser, toute activité utilisateur impliquant un élément sensible et un domaine figurant dans la liste est auditée. L’activité est autorisée. Lorsqu’un utilisateur tente une activité impliquant un élément sensible et un domaine qui ne figure pas dans la liste, les stratégies DLP et les actions définies dans ces stratégies sont appliquées.

Par exemple, avec cette configuration :

  • Le mode de liste des domaines de service est défini sur Autoriser.
    • Contoso.com figure dans la liste.
    • Une stratégie DLP est définie sur Bloquer le chargement des éléments sensibles qui contiennent des numéros de carte de crédit.

Si un utilisateur tente de charger un fichier sensible avec des numéros de carte de crédit à contoso.com, l’activité de l’utilisateur est autorisée, auditée et un événement est généré. Toutefois, le nom de la stratégie n’est pas répertorié et le nom de la règle de déclenchement n’est pas affiché dans les détails de l’événement. Aucune alerte n’est générée.

En revanche, si un utilisateur tente de charger un fichier sensible avec des numéros de crédit carte à wingtiptoys.com (qui ne figure pas dans la liste Applications restreintes), la stratégie est appliquée et l’activité de l’utilisateur est bloquée. En outre, un événement est généré, tout comme une alerte.

Bloquer

Lorsque la liste des domaines de service est définie sur Bloquer, les stratégies DLP sont appliquées lorsqu’un utilisateur tente de charger un fichier sensible dans l’un des domaines de la liste Applications restreintes .

Si le mode liste est défini sur Bloquer, lorsqu’un utilisateur tente une activité impliquant un élément sensible et un domaine figurant dans la liste, les stratégies DLP et les actions qui y sont définies sont appliquées. Toute activité impliquant un élément sensible et un domaine qui ne figure pas dans la liste est auditée et l’activité de l’utilisateur est autorisée.

Examinons un autre exemple. Supposons que nous regardons avec la configuration suivante :

  • Le mode de liste des domaines de service est défini sur Bloquer.
    • Contoso.com figure dans la liste.
    • Une stratégie DLP est définie sur Bloquer avec remplacement pour le chargement d’éléments sensibles qui contiennent des numéros de carte de crédit.

Si un utilisateur tente de charger un fichier sensible avec des numéros carte de crédit pour contoso.com, l’activité est bloquée, mais l’utilisateur peut remplacer le bloc. Si l’utilisateur choisit de remplacer le bloc, un événement est généré et une alerte est déclenchée.

Toutefois, si un utilisateur tente de charger un fichier sensible avec des numéros de carte de crédit dans wingtiptoys.com (qui ne figure pas dans la liste restreinte), la stratégie n’est pas appliquée et l’activité de l’utilisateur est simplement auditée. Un événement est généré, mais il ne répertorie pas le nom de la stratégie ou celui de la règle de déclenchement dans les détails de l’événement. Aucune alerte n’est générée.

Importante

Lorsque le mode de restriction de service est défini sur Autoriser, vous devez disposer d’au moins un domaine de service configuré pour que les restrictions soient appliquées.

Tableau récapitulative Le tableau suivant montre comment le système se comporte en fonction des paramètres répertoriés.

Paramètre de liste de domaines de service Charger un élément sensible sur un site sur la liste Charger un élément sensible sur un site qui n’est pas dans la liste
Autoriser - Aucune stratégie DLP n’est appliquée
- L’activité de l’utilisateur est auditée
- Événement généré		 - Les stratégies DLP sont appliquées
- Les actions configurées sont effectuées
- L’événement est généré
- Une alerte est générée
Bloquer - Les stratégies DLP sont appliquées
- Les actions configurées sont effectuées
- L’événement est généré
- Une alerte est générée		 - Aucune stratégie DLP n’est appliquée
- L’activité de l’utilisateur est auditée
- L’événement est généré

Lorsque vous ajoutez un domaine à la liste, utilisez le format FQDN du domaine de service sans la période de fin (.).

Par exemple :

Input Comportement de correspondance des URL
CONTOSO.COM Correspond au nom de domaine spécifié et à tout sous-site :

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (etc.)

Ne correspond pas aux sous-domaines ou aux domaines non spécifiés :

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU
*.CONTOSO.COM Correspond au nom de domaine spécifié, à tout sous-domaine et à tout site :

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.)

Ne correspond pas aux domaines non spécifiés

://anysubdomain.contoso.com.AU/
www.contoso.com Correspond au nom de domaine spécifié :

www.contoso.com

Ne correspond pas à des domaines ou sous-domaines non spécifiés

*://toutsousdomaine.contoso.com/, dans ce cas, vous devez placer le nom de domaine FQDN lui-même www.contoso.com

Vous pouvez configurer jusqu’à 50 domaines sous Domaines de service sensibles.

Groupes de domaines de service sensibles

Lorsque vous répertoriez un site web dans domaines de service sensibles, vous pouvez audit, block with overrideou une activité utilisateur complète block lorsque les utilisateurs tentent d’effectuer l’une des actions suivantes :

  • imprimer à partir d’un site web
  • copier des données à partir d’un site web
  • enregistrer un site web en tant que fichiers locaux
  • charger ou glisser-déplacer un fichier sensible vers un site web exclu
  • coller des données sensibles sur un site web exclu

Le tableau suivant indique les navigateurs qui prennent en charge ces fonctionnalités :

Navigateur Fonctionnalité prise en charge
Microsoft Edge - Imprimer le site
- Copier des données à partir du site
- Enregistrer le site en tant que fichiers locaux (enregistrer sous)
- Coller dans les navigateurs
pris en charge - Charger dans un domaine de service cloud restreint
Google Chrome (avec l’extension Microsoft Purview) - Coller dans les navigateurs
pris en charge - Charger dans un domaine de service cloud restreint
Mozilla Firefox (avec l’extension Microsoft Purview) - Charger dans un service
cloud restreint - Coller dans les navigateurs pris en charge

Pour l’action Coller dans les navigateurs pris en charge , il peut y avoir un bref délai entre le moment où l’utilisateur tente de coller du texte dans une page web et le moment où le système termine sa classification et répond. Si cette latence de classification se produit, vous pouvez voir à la fois des notifications d’évaluation de stratégie et case activée complètes dans Edge ou toast d’évaluation de stratégie sur Chrome et Firefox. Voici quelques conseils pour réduire le nombre de notifications :

  1. Les notifications sont déclenchées lorsqu’une stratégie pour le site web cible est configurée sur Bloquer ou Bloquer avec pour remplacer l’option Coller dans les navigateurs pris en charge pour cet utilisateur. Vous pouvez configurer l’action globale pour Auditer , puis à l’aide des exceptions, Bloquer les sites web cibles. Vous pouvez également définir l’action globale sur Bloquer , puis, à l’aide des exceptions, Auditer les sites web sécurisés.
  2. Utilisez la dernière version du client Antimalware.
  3. Vérifiez que votre version de Microsoft Edge est 120 ou ultérieure.
  4. Installez ces bases de connaissances Windows :
    1. Windows 10 : KB5032278, KB5023773
    2. Windows 11 21H2 : KB5023774
    3. Victoire 11 22H2 : KB5032288, KB5023778

Remarque

Le paramètre Domaines de service s’applique uniquement aux fichiers chargés à l’aide de Microsoft Edge ou d’un instance de Google Chrome ou de Mozilla Firefox sur lequel l’extension Microsoft Purview Chrome est installée.

Pour les appareils, vous devez configurer la liste Domaines de service sensibles pour utiliser l’action Charger dans un domaine de service cloud restreint dans une stratégie DLP. Vous pouvez également définir des groupes de sites web auxquels vous souhaitez affecter des actions de stratégie différentes des actions de groupe de sites web globales. Vous pouvez ajouter un maximum de 100 sites web dans un seul groupe et créer un maximum de 150 groupes. Pour plus d’informations, consultez Scénario 6 : Surveiller ou restreindre les activités des utilisateurs sur les domaines de service sensibles.

Importante

En ce qui concerne l’action Coller dans le navigateur prise en charge . Si l’option « Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison » est activée sur la règle de cette fonctionnalité, des caractères de mémoire peuvent apparaître dans le texte source si la version 4.18.23110 ou une version ultérieure du client Antimalware n’est pas installée sur l’appareil Windows de l’utilisateur. Sélectionnez Actions>Télécharger pour afficher le contenu réel.

Pour plus d’informations, consultez Scénario 7 : Restreindre le collage de contenu sensible dans un navigateur.

Syntaxe prise en charge pour désigner des sites web dans un groupe de sites web

Si vous utilisez des URL pour identifier des sites web, n’incluez pas le protocole de mise en réseau dans l’URL (pour instance, https:// ou file://). Utilisez plutôt une syntaxe flexible pour inclure et exclure des domaines, des sous-domaines, des sites web et des sous-sites dans vos groupes de sites web. Par exemple,

  • Utiliser * comme caractère générique pour spécifier tous les domaines ou tous les sous-domaines
  • Utilisez / comme indicateur de fin à la fin d’une URL pour étendre à ce site spécifique uniquement.

Lorsque vous ajoutez une URL sans barre oblique de fin ( /), cette URL est limitée à ce site et à tous les sous-sites.

Cette syntaxe s’applique à tous les sites web http/https. Voici quelques exemples :

URL ajoutée au groupe de sites web L’URL correspondra L’URL ne correspond pas
contoso.com //
//contoso.com/allsubsites1/allsubsites2 contoso.com/allsubsites1 //
contoso.com/ contoso.com
//		 //
//allsubdomains.contoso.com.au allsubdomains.contoso.com
contoso.com/ //
//contoso.com/ contoso.com		 //
//contoso.com/allsubsites1 allsubdomains.contoso.com/au //
allsubdomains.contoso.com contoso.com/allsubsites1/allsubsites2
//
*.contoso.com //
//contoso.com contoso.com/allsubsites //
contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com
// allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2		 //allsubdomains.contoso.com.au
*.contoso.com/xyz //
//contoso.com contoso.com/xyz
//allsubdomains.contoso.com/xyz //
allsubdomains.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites //

// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 contoso.com/xyz/allsubsites/		 //
//allsubdomains.contoso.com/xyz/ contoso.com/xyz/
*.contoso.com/xyz/ //
//contoso.com/xyz allsubdomains.contoso.com/xyz		 //
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/ //
contoso.com allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
//

Importante

Les URL prennent en charge les actions suivantes :

  • Imprimer le site
  • Copier des données à partir du site
  • Enregistrer le site en tant que fichiers locaux (enregistrer sous)
  • Coller dans les navigateurs pris en charge
  • Charger dans un domaine de service cloud restreint

Les adresses IP et la plage d’adresses IP prennent en charge les actions suivantes :

  • Imprimer le site
  • Copier des données à partir du site
  • Enregistrer le site en tant que fichiers locaux (enregistrer sous)

Paramètres supplémentaires pour Endpoint DLP

Justification métier dans les conseils de stratégie

Vous pouvez contrôler la façon dont les utilisateurs interagissent avec l’option de justification métier dans Options de configuration des conseils de stratégie. Cette option s’affiche lorsque les utilisateurs effectuent une activité protégée par le paramètre Bloquer avec remplacement dans une stratégie DLP. Il s’agit d’un paramètre global. Vous pouvez choisir l’une des options suivantes :

  • Afficher les options par défaut et la zone de texte personnalisée : par défaut, les utilisateurs peuvent sélectionner une justification intégrée ou entrer leur propre texte.
  • Afficher uniquement les options par défaut : les utilisateurs sont limités à la sélection dans une liste de justifications intégrées.
  • Afficher uniquement une zone de texte personnalisée : les utilisateurs sont limités à entrer une justification personnalisée. La zone de texte s’affiche dans la notification de conseil de stratégie de l’utilisateur final, sans liste d’options.

Personnalisation des options dans le menu déroulant

Vous pouvez créer jusqu’à cinq options personnalisées qui s’affichent lorsque les utilisateurs interagissent avec le conseil de notification de stratégie en sélectionnant le menu déroulant Personnaliser les options.

Option Texte par défaut
Option 1 Cela fait partie d’un flux de travail métier établi ou vous pouvez entrer du texte personnalisé
Option 2 Mon responsable a approuvé cette action ou vous pouvez entrer un texte personnalisé
Option 3 Accès urgent requis ; Je notifierai mon responsable séparément ou vous pourrez entrer un texte personnalisé
Afficher l’option de faux positif Les informations de ces fichiers ne sont pas sensibles ou vous pouvez entrer un texte personnalisé
Option 5 Autre ou vous pouvez entrer un texte personnalisé

Toujours auditer l’activité des fichiers pour les appareils

Lors de l’intégration d’appareils, l’activité DLP pour les fichiers Office, PDF et CSV est automatiquement auditée par défaut et peut être consultée dans l’explorateur d’activité. Désactivez cette fonctionnalité si vous souhaitez que cette activité soit auditée uniquement lorsque les appareils intégrés sont inclus dans une stratégie active.

L’activité des fichiers est toujours auditée pour les appareils intégrés, qu’ils soient inclus ou non dans une stratégie active.

Groupes d’imprimantes

Utilisez ce paramètre pour définir des groupes d’imprimantes auxquels vous souhaitez affecter des actions de stratégie qui sont différentes des actions d’impression globales.

Le cas d’usage le plus courant pour créer des groupes d’imprimantes consiste à les utiliser pour limiter l’impression des contrats aux imprimantes du service juridique d’une organization. Après avoir défini un groupe d’imprimantes ici, vous pouvez l’utiliser dans toutes vos stratégies qui sont étendues à Appareils. Pour plus d’informations sur la configuration des actions de stratégie pour utiliser des groupes d’autorisation, consultez Le scénario 8 Groupes d’autorisation .

Vous pouvez créer un maximum de 20 groupes d’imprimantes. Chaque groupe peut contenir un maximum de 50 imprimantes.

Remarque

Cette fonctionnalité est disponible pour les appareils exécutant l’une des versions suivantes de Windows :

Prenons un exemple. Supposons que vous souhaitiez que votre stratégie DLP bloque l’impression des contrats sur toutes les imprimantes, à l’exception de celles qui se trouvent dans le service juridique.

  1. Utilisez les paramètres suivants pour affecter des imprimantes dans chaque groupe.

    • Nom convivial de l’imprimante : obtenez la valeur nom de l’imprimante conviviale à partir des détails de la propriété du périphérique d’imprimante dans le gestionnaire de périphériques.
    • Imprimante USB : imprimante connectée via le port USB d’un ordinateur. Sélectionnez cette option si vous souhaitez appliquer une imprimante USB tout en laissant l’ID de produit USB et l’ID de fournisseur USB non sélectionnés. Vous pouvez également attribuer une imprimante USB spécifique en spécifiant son ID de produit USB et son ID de fournisseur USB.
      • ID de produit USB : obtenez la valeur du chemin d’accès de l’instance de périphérique à partir des détails de la propriété du périphérique d’imprimante dans le gestionnaire de périphériques. Convertissez cette valeur au format ID de produit et ID de fournisseur. Pour plus d’informations, consultez Identificateurs USB standard.
      • ID du fournisseur USB : obtenez la valeur chemin d’accès de l’instance de périphérique à partir des détails de la propriété du périphérique d’imprimante dans le gestionnaire de périphériques. Convertissez cette valeur au format ID de produit et ID de fournisseur. Pour plus d’informations, consultez Identificateurs USB standard.
    • Plage IP
    • Imprimer dans un fichier : Microsoft Print to PDF ou Microsoft XPS Document Writer. Si vous souhaitez uniquement appliquer Microsoft Print au format PDF, vous devez utiliser le nom convivial de l’imprimante avec « Microsoft Print to PDF ».
    • Impression universelle déployée sur une imprimante : pour plus d’informations sur les imprimantes universelles, consultez Configurer l’impression universelle.
    • Imprimante d’entreprise : est une file d’attente d’impression partagée via un serveur d’impression Windows local dans votre domaine. Son chemin d’accès peut ressembler à ceci : \print-server\contoso.com\legal_printer_001
    • Imprimer en local : toute imprimante se connectant via le port d’impression Microsoft, mais pas l’un des types ci-dessus. Par exemple : imprimer via le Bureau à distance ou rediriger l’imprimante.

Remarque

Vous ne devez pas utiliser plusieurs paramètres d’imprimante USB, de plage d’adresses IP, d’impressiondans un fichier, d’impression universelle déployée sur une imprimante, d’imprimante d’entreprise et d’impression locale.

  1. Attribuez à chaque imprimante du groupe un nom d’affichage. Ces noms apparaissent uniquement dans la console Microsoft Purview.

  2. Créez un groupe d’imprimantes nommé Imprimantes légales et ajoutez des imprimantes individuelles (avec un alias) par leur nom convivial ; pour instance , legal_printer_001legal_printer_002 et legal_color_printer. (Vous pouvez sélectionner plusieurs paramètres à la fois pour vous aider à identifier sans ambiguïté une imprimante spécifique.)

  3. Affectez les actions de stratégie au groupe dans une stratégie DLP :

    • Allow (auditer sans notifications ni alertes utilisateur)
    • Audit only (vous pouvez ajouter des notifications et des alertes)
    • Block with override (bloque l’action, mais l’utilisateur peut remplacer)
    • Block (bloque quoi qu’il arrive)

Créer un groupe d’imprimantes

  1. Ouvrez portail de conformité Microsoft Purview et accédez à Protection contre la> perte de donnéesVue d’ensemble>des paramètres> de protection contre la perte de donnéesParamètres de point> de terminaisonGroupes d’imprimantes.
  2. Sélectionnez Créer un groupe d’imprimantes.
  3. Donnez un nom au groupe.
  4. Sélectionnez Ajouter une imprimante.
  5. Donnez à l’imprimante un nom convivial. Le nom que vous sélectionnez s’affiche uniquement ici.
  6. Sélectionnez les paramètres et fournissez les valeurs pour identifier de manière non ambiguë l’imprimante spécifique.
  7. Sélectionnez Ajouter.
  8. Ajoutez d’autres imprimantes en fonction des besoins.
  9. Sélectionnez Enregistrer , puis Fermer.

Groupes de périphériques USB amovibles

Utilisez ce paramètre pour définir des groupes de périphériques de stockage amovibles, tels que des lecteurs USB, auxquels vous souhaitez affecter des actions de stratégie qui sont différentes des actions d’impression globales. Par exemple, supposons que vous souhaitiez que votre stratégie DLP bloque la copie des éléments avec des spécifications d’ingénierie sur des périphériques de stockage amovibles, à l’exception des disques durs connectés à USB désignés qui sont utilisés pour sauvegarder des données pour le stockage hors site.

Vous pouvez créer un maximum de 20 groupes, avec un maximum de 50 périphériques de stockage amovibles dans chaque groupe.

Remarque

Cette fonctionnalité est disponible pour les appareils exécutant l’une des versions suivantes de Windows :

  • Windows 10 et versions ultérieures (21H1, 21H2) avec kb 5018482
  • Gagnez 11 21H2, 22H2 avec kb 5018483
  • Windows 10 RS5 (Kb 5006744) et Windows Server 2022

Utilisez les paramètres suivants pour définir vos périphériques de stockage amovibles.

  • Nom convivial de l’appareil de stockage : obtenez la valeur nom convivial à partir des détails de la propriété du périphérique de stockage dans le gestionnaire de périphériques. Les valeurs génériques sont prises en charge.
  • ID de produit USB : obtenez la valeur chemin d’accès de l’instance de périphérique à partir des détails de la propriété du périphérique USB dans le gestionnaire de périphériques. Convertissez-le au format ID de produit et ID de fournisseur, consultez Identificateurs USB standard.
  • ID du fournisseur USB : obtenez la valeur chemin d’accès de l’instance de périphérique à partir des détails de la propriété du périphérique USB dans le gestionnaire de périphériques. Convertissez-le au format ID de produit et ID de fournisseur, consultez Identificateurs USB standard.
  • ID de numéro de série : obtenez la valeur d’ID de numéro de série à partir des détails de la propriété du périphérique de stockage dans le gestionnaire de périphériques. Les valeurs génériques sont prises en charge.
  • ID d’appareil : obtenez la valeur de l’ID d’appareil à partir des détails de la propriété du périphérique de stockage dans le Gestionnaire de périphériques. Les valeurs génériques sont prises en charge.
  • ID du chemin d’accès de l’instance : obtenez la valeur de l’ID d’appareil à partir des détails de la propriété du périphérique de stockage dans le gestionnaire de périphériques. Les valeurs génériques sont prises en charge.
  • ID matériel : obtenez la valeur de l’ID matériel à partir des détails de la propriété du périphérique de stockage dans le gestionnaire de périphériques. Les valeurs génériques sont prises en charge.

Vous attribuez un Alias à chaque périphérique de stockage amovible du groupe. L’alias est un nom convivial qui apparaît uniquement dans la console Microsoft Purview. Par conséquent, en continuant avec l’exemple, vous créez un groupe de périphériques de stockage amovible nommé Sauvegarde et ajoutez des appareils individuels (avec un alias) par leur nom convivial, comme backup_drive_001, et backup_drive_002.

Vous pouvez sélectionner plusieurs paramètres, puis le groupe d’imprimantes inclut tous les appareils qui répondent à ces paramètres.

Vous pouvez affecter ces actions de stratégie au groupe dans une stratégie DLP :

  • Allow (auditer sans notifications ni alertes utilisateur)
  • Audit only (vous pouvez ajouter des notifications et des alertes)
  • Block with override (bloque l’action, mais l’utilisateur peut remplacer)
  • Block (bloque quoi qu’il arrive)

Créer un groupe de périphériques USB amovibles

  1. Ouvrez portail de conformité Microsoft Purview Vue d’ensemble>>de la protection contre la> perte > dedonnées Paramètresde point de terminaison >Groupes de périphériques de stockage amovibles.
  2. Sélectionnez Créer un groupe d’appareils de stockage amovible.
  3. Indiquez un nom de groupe.
  4. Sélectionnez Ajouter un périphérique de stockage amovible.
  5. Fournissez un alias.
  6. Sélectionnez les paramètres et fournissez les valeurs pour identifier de manière non ambiguë l’appareil spécifique.
  7. Sélectionnez Ajouter.
  8. Ajoutez d’autres appareils au groupe en fonction des besoins.
  9. Sélectionnez Enregistrer , puis Fermer.

Le cas d’usage le plus courant pour créer des groupes de stockage amovibles consiste à les utiliser pour spécifier les périphériques de stockage amovibles vers lesquels les utilisateurs peuvent copier des fichiers. En règle générale, la copie est autorisée uniquement pour les appareils d’un groupe de sauvegarde désigné.

Après avoir défini un groupe d’appareils de stockage amovible, vous pouvez l’utiliser dans toutes vos stratégies qui sont étendues à Appareils. Pour plus d’informations sur la configuration des actions de stratégie pour utiliser des groupes d’autorisation, consultez Scénario 8 : Groupes d’autorisation.

Groupes de partage réseau

Utilisez ce paramètre pour définir des groupes de chemins de partage réseau auxquels vous souhaitez affecter des actions de stratégie qui sont différentes des actions de chemin de partage réseau global. Par exemple, supposons que vous souhaitiez que votre stratégie DLP empêche les utilisateurs d’enregistrer ou de copier des fichiers protégés dans des partages réseau, à l’exception des partages réseau d’un groupe particulier.

Remarque

Cette fonctionnalité est disponible pour les appareils exécutant l’une des versions suivantes de Windows :

  • Windows 10 et versions ultérieures (21H1, 21H2) avec kb 5018482
  • Gagnez 11 21H2, 22H2 avec kb 5018483
  • Windows 10 RS5 (Kb 5006744) et Windows Server 2022

Pour inclure des chemins de partage réseau dans un groupe, définissez le préfixe avec lequel ils commencent tous les partages. Par exemple :

  • '\Library' correspondra à :

    • Dossier \Library et tous ses sous-dossiers.

  • Vous pouvez utiliser des caractères génériques, par exemple « \Users*\Desktop » correspondra à :

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'

  • Vous pouvez également utiliser des variables d’environnement, par exemple :

    • %AppData%\app123

Vous pouvez affecter les actions de stratégie suivantes au groupe dans une stratégie DLP :

  • Allow (auditer sans notifications ni alertes utilisateur)
  • Audit only (vous pouvez ajouter des notifications et des alertes)
  • Block with override (bloque l’action, mais l’utilisateur peut remplacer)
  • Block (bloque quoi qu’il arrive)

Une fois que vous avez défini un groupe de partage réseau, vous pouvez l’utiliser dans toutes vos stratégies DLP qui sont étendues aux appareils. Pour plus d’informations sur la configuration des actions de stratégie pour utiliser des groupes d’autorisation, consultez Le scénario 8 Groupes d’autorisation.

Créer un groupe de partage réseau

  1. Ouvrez portail de conformité Microsoft Purview>Protection contre la> perte de donnéesVue d’ensemble>des paramètres> de protection contre la perte de données Paramètres > de pointde terminaisonGroupes de partage réseau. 1.Sélectionnez Créer un groupe de partage réseau.
  2. Indiquez un nom de groupe.
  3. Ajoutez le chemin d’accès au partage.
  4. Sélectionnez Ajouter.
  5. Ajoutez d’autres chemins de partage au groupe en fonction des besoins.
  6. Sélectionnez Enregistrer , puis Fermer.

Paramètres VPN

Utilisez la liste VPN pour contrôler uniquement les actions effectuées sur ce VPN.

Remarque

Cette fonctionnalité est disponible pour les appareils exécutant l’une des versions suivantes de Windows :

  • Windows 10 et versions ultérieures (21H1, 21H2) avec kb 5018482
  • Windows 11 21H2, 22H2 avec ko 5018483
  • Windows 10 RS5 (KB 5006744)

Lorsque vous répertoriez un VPN dans les paramètres VPN, vous pouvez lui attribuer les actions de stratégie suivantes :

  • Allow (auditer sans notifications ni alertes utilisateur)
  • Audit only (vous pouvez ajouter des notifications et des alertes)
  • Block with override (bloque l’action, mais l’utilisateur peut remplacer)
  • Block (bloque quoi qu’il arrive)

Ces actions peuvent être appliquées individuellement ou collectivement aux activités utilisateur suivantes :

  • Copier dans le Presse-papiers
  • Copier sur un périphérique usb amovible
  • Copier vers un partage réseau
  • Print
  • Copier ou déplacer à l’aide d’une application Bluetooth non autorisée (restreinte)
  • Copier ou déplacer à l’aide de RDP

Lorsque vous configurez une stratégie DLP pour restreindre l’activité sur les appareils, vous pouvez contrôler ce qui se passe pour chaque activité effectuée lorsque les utilisateurs sont connectés à votre organization dans l’un des VPN répertoriés.

Utilisez les paramètres Adresse du serveur ou Adresse réseau pour définir le VPN autorisé.

Obtenir l’adresse du serveur ou l’adresse réseau

  1. Sur un appareil Windows surveillé par DLP, ouvrez une fenêtre Windows PowerShell en tant qu’administrateur.
  2. Exécutez l’applet de commande suivante, qui retourne plusieurs champs et valeurs.
Get-VpnConnection
  1. Parmi les résultats de l’applet de commande, recherchez le champ ServerAddress et enregistrez cette valeur. Vous utilisez serverAddress lorsque vous créez une entrée VPN dans la liste VPN.
  2. Recherchez le champ Nom et enregistrez cette valeur. Le champ Nom est mappé au champ Adresse réseau lorsque vous créez une entrée VPN dans la liste VPN.

Ajouter un VPN

  1. Ouvrez portail de conformité Microsoft Purview Vue d’ensemble>>de la protection contre la>perte de données Paramètres>VPNdes paramètres> de point de terminaison.
  2. Sélectionnez Ajouter ou modifier des adresses VPN.
  3. Indiquez l’adresse du serveur ou l’adresse réseau que vous avez enregistrée après l’exécution Get-VpnConnectionde .
  4. Sélectionnez Enregistrer.
  5. Fermez l’élément.

Importante

Sous le paramètre Restrictions réseau , vous verrez également Réseau d’entreprise comme option. Les connexions réseau d’entreprise sont toutes des connexions aux ressources de votre organisation. Vous pouvez voir si l’appareil utilise un réseau d’entreprise en exécutant l’applet Get-NetConnectionProfile de commande en tant qu’administrateur. Si dans NetworkCategoryId la sortie est DomainAuthenticated, cela signifie que la machine est connectée au réseau d’entreprise. Si la sortie est autre chose, la machine n’est pas . Dans certains cas, une machine peut être connectée à un VPN et à un réseau d’entreprise. Si les deux sont sélectionnés sous les restrictions réseau, endpoint DLP applique l’action en fonction de l’ordre. Si vous souhaitez que l’action vpn soit celle qui est appliquée, déplacez l’entrée VPN au-dessus du réseau d’entreprise pour avoir une priorité plus élevée que l’action pour réseau d’entreprise.

Pour plus d’informations sur la configuration des actions de stratégie pour utiliser des exceptions réseau , consultez Scénario 9 : Exceptions réseau.

Voir aussi