Prise en main de la collecte de fichiers qui correspondent aux stratégies de protection contre la perte de données à partir d’appareils

Cet article vous guide tout au long des conditions préalables et des étapes de configuration pour la collecte de preuves pour les activités de fichiers sur les appareils et explique comment afficher les éléments qui sont copiés et enregistrés.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Voici les étapes générales de configuration et d’utilisation de la collecte de preuves pour les activités de fichiers sur les appareils.

1. Intégrer des appareils
2. Comprendre vos besoinsCréer votre compte de stockage Azure managé
3. Ajouter un objet blob de stockage Azure à votre compte
4. Activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft (préversion)
5. Configurer votre stratégie DLP
6. Afficher un aperçu de la preuve

Avant de commencer

Avant de commencer ces procédures, consultez En savoir plus sur la collecte de preuves pour les activités de fichier sur les appareils.

Licences et abonnements

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Consultez les conditions de licence requises pour Microsoft Entra ID P1 ou P2 nécessaires pour créer un contrôle d’accès en fonction du rôle (RBAC) personnalisé.

Autorisations

Des autorisations Protection contre la perte de données Microsoft Purview standard (DLP) sont requises. Pour plus d’informations, voir Autorisations.

Intégration des appareils

Avant de pouvoir utiliser la copie des éléments correspondants que vous devez intégrer des appareils Windows 10/11 à Purview, consultez Vue d’ensemble de l’intégration d’appareils Windows dans Microsoft 365.

Comprendre vos besoins

Importante

Chaque conteneur hérite des autorisations du compte de stockage dans lequel il se trouve. Vous ne pouvez pas définir d’autorisations différentes par conteneur. Si vous devez configurer différentes autorisations pour différentes régions, vous devez créer plusieurs comptes de stockage, et non plusieurs conteneurs.

Vous devez avoir des réponses à la question suivante avant de configurer votre stockage Azure et d’étendre la fonctionnalité aux utilisateurs.

Avez-vous besoin de compartimenter les éléments et d’y accéder selon les lignes de rôle ou de service ?

Par exemple, si votre organization souhaite avoir un ensemble d’administrateurs ou d’enquêteurs d’événements DLP qui peuvent afficher les fichiers enregistrés de votre direction et un autre ensemble d’administrateurs ou d’enquêteurs d’événements DLP pour les éléments enregistrés à partir des ressources humaines, vous devez créer un compte de stockage Azure pour la direction de votre organization et un autre pour le service des ressources humaines. Cela garantit que les administrateurs de stockage Azure ou les enquêteurs d’événements DLP peuvent uniquement voir les éléments qui correspondent aux stratégies DLP de leurs groupes respectifs.

Voulez-vous utiliser des conteneurs pour organiser les éléments enregistrés ?

Vous pouvez créer plusieurs conteneurs de preuves dans le même compte de stockage pour trier les fichiers enregistrés. Par exemple, un pour les fichiers enregistrés à partir du service RH et un autre pour ceux du service informatique.

Quelle est votre stratégie de protection contre la suppression ou la modification des éléments enregistrés ?

Dans stockage Azure, la protection des données fait référence à la fois aux stratégies de protection du compte de stockage et des données qu’il contient contre la suppression ou la modification, et à la restauration des données après leur suppression ou leur modification. Le stockage Azure offre également des options de récupération d’urgence, notamment plusieurs niveaux de redondance, pour protéger vos données contre les pannes de service dues à des problèmes matériels ou à des catastrophes naturelles. Il peut également protéger vos données à l’aide d’un basculement géré par le client si le centre de données de la région primaire devient indisponible. Pour plus d’informations, consultez Vue d’ensemble de la protection des données.

Vous pouvez également configurer des stratégies d’immuabilité pour vos données blob qui protègent contre les éléments enregistrés qui sont remplacés ou supprimés. Pour plus d’informations, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.

Types de fichiers pris en charge pour le stockage et l’aperçu des preuves

Peut être stocké	Peut être prévisualisé
Tous les types de fichiers surveillés par endpoint DLP	Tous les types de fichiers pris en charge pour l’aperçu des fichiers dans OneDrive, SharePoint et Teams

Enregistrer les éléments correspondants dans le stockage d’objets blob Azure

Pour enregistrer la preuve que Microsoft Purview détecte quand vos stratégies de protection contre la perte de données sont appliquées, vous devez configurer le stockage Blob Azure. Il existe deux méthodes pour y parvenir :

1. Créer un stockage géré par le client
2. Créer un stockage géré par Microsoft (préversion)

Pour plus d’informations et une comparaison de ces deux types de stockage, consultez Stockage des preuves lorsque des informations sensibles sont détectées (préversion).

Créer un stockage géré par le client

Les procédures de configuration de votre compte de stockage Azure, de votre conteneur et de vos objets blob sont documentées dans l’ensemble de documents Azure. Voici des liens vers des articles pertinents que vous pouvez consulter pour vous aider à commencer :

1. Introduction à Stockage Blob Azure
2. Créer un compte de stockage
3. La valeur par défaut est et autorise l’accès aux objets blob à l’aide de Microsoft Entra ID
4. Gérer les conteneurs d’objets blob à l’aide du Portail Azure
5. Gérer des objets blob de blocs avec PowerShell

Veillez à enregistrer le nom et l’URL du conteneur d’objets blob Azure. Pour afficher l’URL, ouvrez lespropriétés duconteneur> du portail > de stockage Accueil>des comptes> de stockage.

Le format de l’URL du conteneur d’objets blob Azure est :https://storageAccountName.blob.core.windows.net/containerName .

Ajouter un objet blob de stockage Azure à votre compte

Il existe plusieurs façons d’ajouter un objet blob de stockage Azure à votre compte. Choisissez l’une des méthodes ci-dessous.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

Pour ajouter le stockage d’objets blob Azure à l’aide du portail Microsoft Purview :

1. Connectez-vous au portail Microsoft Purview et choisissez l’engrenage Paramètres dans la barre de menus.
2. Choisissez Protection contre la perte de données.
3. Sélectionnez Paramètres DLP du point de terminaison.
4. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils.
5. Changez le bouton bascule de Off à Activé.
6. Dans le champ Définir le cache des preuves sur l’appareil , sélectionnez la durée pendant laquelle la preuve doit être enregistrée localement lorsque l’appareil est hors connexion. Vous pouvez choisir 7, 30 ou 60 jours.
7. Sélectionnez un type de stockage (Magasin géré par le client ou Magasin géré Par Microsoft (préversion)), puis sélectionnez + Ajouter un stockage.
   1. Pour le stockage géré par le client :
      1. Choisissez Magasin géré par le client : puis + Ajouter un stockage.
      2. Entrez donnez un nom au compte et entrez l’URL de l’objet blob de stockage.
      3. Cliquez sur Enregistrer.
   2. Pour le stockage géré par Microsoft :
      1. Choisir le magasin géré Microsoft (préversion)

Stratégie DLP dans le portail Microsoft Purview

Pour ajouter le stockage Blob Azure à l’aide du workflow de création de stratégie DLP dans le portail Microsoft Purview :

1. Connectez-vous au portail Microsoft Purview et choisissez Protection contre la perte de données.
2. Suivez les étapes pour créer une stratégie.
3. À l’étape Emplacements , vérifiez que seul l’emplacement Appareils est sélectionné, puis choisissez Suivant.
4. À l’étape Paramètres de stratégie, sélectionnez Créer ou personnaliser des règles DLP avancées.
5. Sélectionnez +Créer une règle et ajoutez Conditions, Actions, Notifications utilisateur et Remplacements utilisateur avec les valeurs de votre choix.
6. Dans la section Rapports d’incidents , le bouton bascule Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit doit être Activé par défaut. (Si ce n’est pas le cas, activez-la.)
7. Cochez la case en regard de Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison.
8. Sélectionnez les activités pour lesquelles vous souhaitez collecter des preuves.
9. Sélectionnez Ajouter un stockage en regard de l’élément de case à cocher.
10. Dans la page Paramètres DLP du point de terminaison , développez Collection de preuves d’installation pour les activités de fichier sur les appareils et vérifiez que l’option est basculée sur Activé.

Portail de conformité

Pour ajouter le stockage d’objets blob Azure à l’aide du portail de conformité :

1. À partir du volet de navigation gauche du portail de conformité, accédez àVue d’ensemble> de la protection contre la>perte de données Paramètres> de protection contre la perte de donnéesParamètres de point de terminaison DLP.
2. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils et définissez le bouton bascule sur Activé.
3. Dans le champ Définir le cache des preuves sur l’appareil , sélectionnez la durée pendant laquelle la preuve doit être enregistrée localement lorsque l’appareil est hors connexion. Vous pouvez choisir 7, 30 ou 60 jours.
4. Sélectionnez un type de stockage (Magasin géré par le client ou Magasin géré Par Microsoft (préversion)), puis sélectionnez + Ajouter un stockage.
   1. Pour le stockage géré par le client :
      1. Choisissez Magasin géré par le client : puis + Ajouter un stockage.
      2. Entrez donnez un nom au compte et entrez l’URL de l’objet blob de stockage.
      3. Cliquez sur Enregistrer.
   2. Pour le stockage géré par Microsoft :
      1. Choisir le magasin géré Microsoft (préversion)

Workflow de stratégie DLP dans le portail de conformité

Pour ajouter le stockage Blob Azure à l’aide du workflow de création de stratégie DLP dans le portail de conformité :

1. Dans le volet de navigation gauche, accédez à Stratégies de protection contre la> perte de données.
2. Choisissez de modifier une stratégie existante ou d’en créer une nouvelle.
3. Parcourez le flux de travail de création de stratégie. Dans la page Paramètres de stratégie, sélectionnez Créer ou personnaliser des règles DLP avancées.
4. Dans la page Emplacements , vérifiez que seul l’emplacement Appareils est sélectionné, puis choisissez Suivant.
5. Dans la page Définir les paramètres de stratégie , sélectionnez Créer ou personnaliser des règles DLP avancées.
6. Sélectionnez + Créer une règle.
7. Utilisez le générateur de règles comme d’habitude, en sélectionnant les options suivantes :
   1. Dans la section Rapports d’incidents , sélectionnez une option pour Utiliser ce niveau de gravité dans les alertes et rapports d’administration*.
   2. Basculez l’option Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.
   3. Cochez la case en regard de Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison.
   4. Choisissez Ajouter un stockage. La page Paramètres DLP du point de terminaison s’ouvre dans une nouvelle fenêtre.
   5. Dans la page Paramètres DLP du point de terminaison , développez Collection de preuves d’installation pour les activités de fichier sur les appareils et vérifiez que l’option est basculée sur Activé.
   6. Pour Définir le cache de preuve sur l’appareil, spécifiez le nombre de jours pendant lesquels les fichiers doivent être conservés si l’appareil est déconnecté du serveur.
   7. Sélectionnez + Ajouter un stockage.
   8. Dans le menu volant Ajouter un compte , entrez un nom et une URL pour votre objet blob.
   9. Cliquez sur Enregistrer.
   10. De retour dans le générateur de règles, sélectionnez Envoyer une alerte chaque fois qu’une activité correspond à la règle.
   11. Cliquez sur Save (Enregistrer).
   12. Terminez la création ou la modification de votre règle, puis choisissez Envoyer.

Définir des autorisations sur le stockage d’objets blob Azure

À l’aide de l’autorisation Microsoft Entra, vous devez configurer deux ensembles d’autorisations (groupes de rôles) sur les objets blob :

1. Un pour les administrateurs et les enquêteurs afin qu’ils puissent afficher et gérer les preuves
2. Un pour les utilisateurs qui doivent charger des éléments sur Azure à partir de leurs appareils

La meilleure pratique consiste à appliquer le privilège minimum pour tous les utilisateurs, quel que soit le rôle. En appliquant le privilège minimum, vous vous assurez que les autorisations utilisateur sont limitées uniquement aux autorisations nécessaires pour leur rôle. Pour configurer les autorisations des utilisateurs, créez des rôles et des groupes de rôles dans Microsoft Defender pour Office 365 et Microsoft Purview.

Autorisations sur un objet blob Azure pour les administrateurs et les enquêteurs

Une fois que vous avez créé le groupe de rôles pour les enquêteurs d’incidents DLP, vous devez configurer les autorisations décrites dans les sections Actions de l’enquêteur et Actions de données de l’enquêteur qui suivent.

Pour plus d’informations sur la configuration de l’accès aux objets blob, consultez les articles suivants :

• Comment autoriser l’accès aux données blob dans le Portail Azure
• Attribuer des autorisations au niveau du partage.

Actions de l’enquêteur

Configurez ces autorisations d’objet et d’action pour le rôle d’enquêteur :

Objet	Autorisations
Microsoft.Storage/storageAccounts/blobServices	Lecture : Répertorier les services d’objets blob
Microsoft.Storage/storageAccounts/blobServices	Lecture : Obtenir des propriétés ou des statistiques du service d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers	Lecture : Obtenir un conteneur d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers	Lecture : Liste des conteneurs d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Lecture : Objet blob de lecture

Actions des données de l’enquêteur

Objet	Autorisations
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Lecture : Objet blob de lecture

Le json du groupe de rôles d’enquêteur doit ressembler à ceci :

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

Autorisations sur un objet blob Azure pour les utilisateurs

Attribuez ces autorisations d’objet et d’action à l’objet blob Azure pour le rôle d’utilisateur :

Actions de l’utilisateur

Objet	Autorisations
Microsoft.Storage/storageAccounts/blobServices	Lecture : Répertorier les services d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers	Lecture : Obtenir un conteneur d’objets blob
Microsoft.Storage/storageAccounts/blobServices/containers	Écriture : Placer un conteneur d’objets blob

Actions des données utilisateur

Objet	Autorisations
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Écriture : Objet blob d’écriture
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Autre : Ajouter du contenu d’objet blob

Le json pour le groupe de rôles d’utilisateur doit ressembler à ceci :

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft (préversion)

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

Pour activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft à partir du portail Microsoft Purview :

1. Connectez-vous à l’engrenageParamètres du portail> Microsoft Purview dans la barre de menus.
2. Choisissez Protection contre la perte de données.
3. Sélectionnez Paramètres DLP du point de terminaison.
4. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils et définissez le bouton bascule sur Activé.
5. Sous Sélectionner un type de stockage, choisissez Stockage géré par Microsoft.

Portail de conformité

Pour activer et configurer la collecte de preuves sur un compte de stockage géré par Microsoft à partir du portail de conformité :

1. Ouvrez portail de conformité Microsoft Purview>Protection contre la perte de donnéesParamètres de protection contre la>> perte de donnéesParamètres DLP du point de terminaison.
2. Développez Configurer la collecte de preuves pour les activités de fichier sur les appareils et définissez le bouton bascule sur Activé.
3. Dans le champ Définir le cache des preuves sur l’appareil , sélectionnez la durée pendant laquelle la preuve doit être enregistrée localement lorsque l’appareil est hors connexion. Vous pouvez choisir 7, 30 ou 60 jours.
4. Sous Sélectionner un type de stockage, choisissez Stockage managé Microsoft (préversion) .

Configurer votre stratégie DLP

Créez une stratégie DLP comme vous le feriez normalement. Pour obtenir des exemples de configuration de stratégie, consultez Créer et déployer des stratégies de protection contre la perte de données.

Configurez votre stratégie à l’aide des paramètres suivants :

• Assurez-vous que Appareils est le seul emplacement sélectionné.
• Dans Rapports d’incidents, basculez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.
• Dans Rapports d’incidents, sélectionnez Collecter le fichier d’origine comme preuve pour toutes les activités de fichier sélectionnées sur le point de terminaison.
• Sélectionnez le compte de stockage souhaité.
• Sélectionnez les activités pour lesquelles vous souhaitez copier les éléments correspondants dans le stockage Azure, par exemple :
  • Copier sur un périphérique USB amovible
  • Copier dans un partage réseau
  • Print
  • Copier ou déplacer à l’aide d’une application Bluetooth non autorisée
  • Copier ou déplacer à l’aide de RDP

Afficher un aperçu de la preuve

Il existe différentes façons d’afficher un aperçu de vos preuves, selon le type de stockage que vous sélectionnez.

Type de stockage	Options d’aperçu
Géré par le client	- Utiliser l’Explorateur d’activités - Utiliser le portail de conformité
Microsoft Managed (préversion)	- Utiliser l’Explorateur d’activités

Aperçu des preuves via l’Explorateur d’activités

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail >Microsoft PurviewProtection contre la> perte de donnéesExplorateur d’activités.
2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
3. Dans la liste des résultats, double-cliquez sur l’élément de ligne de l’activité que vous souhaitez examiner.
4. Dans le volet volant, le lien vers l’objet blob Azure où la preuve est stockée s’affiche sous Fichier de preuve.
5. Sélectionnez le lien Stockage Blob Azure pour afficher le fichier correspondant.

Portail de conformité

1. Ouvrez portail de conformité Microsoft Purview>Explorateur d’activitésde protection contre la> perte de données.
2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
3. Dans la liste des résultats, sélectionnez l’activité que vous souhaitez examiner.
4. Dans le volet volant, le lien vers l’objet blob Azure où la preuve est stockée s’affiche sous Fichier de preuve.
5. Sélectionnez le lien Stockage Blob Azure pour afficher le fichier correspondant.

Aperçu des preuves via la page Alertes du portail de conformité

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail >Microsoft PurviewAlertes de protection contre la> perte de données.
2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
3. Dans la liste des résultats, double-cliquez sur l’élément de ligne de l’activité que vous souhaitez examiner.
4. Dans le volet volant, sélectionnez Afficher les détails.
5. Sélectionnez l’onglet Événements .
6. Dans le volet Détails , sélectionnez l’onglet Source. Le fichier correspondant s’affiche.

Portail de conformité

1. Ouvrez le portail de conformité Microsoft Purview et accédez àAlertesde protection contre la> perte de données.
2. Dans la liste déroulante Date , sélectionnez les dates de début et de fin de la période qui vous intéresse.
3. Dans la liste des résultats, sélectionnez l’activité que vous souhaitez examiner.
4. Dans le volet volant, sélectionnez Afficher les détails.
5. Sélectionnez l’onglet Événements .
6. Dans le volet Détails , sélectionnez l’onglet Source . Le fichier correspondant s’affiche.

Remarque

Si le fichier qui a été mis en correspondance existe déjà dans l’objet blob de stockage Azure, il n’est pas chargé à nouveau tant que des modifications ne sont pas apportées au fichier et qu’un utilisateur n’effectue une action sur celui-ci.

Comportements connus

• Les fichiers stockés dans le cache de l’appareil ne sont pas conservés si le système se bloque ou redémarre.
• La taille maximale des fichiers qui peuvent être chargés à partir d’un appareil est de 500 Mo.
• Si la protection juste-à-temps est déclenchée sur un fichier analysé, OU si le fichier est stocké sur un partage réseau, le fichier de preuve n’est pas collecté.
• Si plusieurs règles de stratégie sont détectées dans un seul fichier, le fichier de preuve est stocké uniquement si la règle de stratégie la plus restrictive est configurée pour collecter des preuves.