Démarrage avec des fenêtres contextuelles de surpartage
Lorsque vous configurez la stratégie de Protection contre la perte de données Microsoft Purview (DLP) appropriée, DLP case activée les messages électroniques avant qu’ils ne soient envoyés pour toute information étiquetée ou sensible et applique les actions définies dans la stratégie DLP. Cette fonctionnalité nécessite un abonnement Microsoft 365 E5, ainsi qu’une version d’Outlook qui la prend en charge. Pour identifier la version minimale d’Outlook requise, utilisez le tableau des fonctionnalités pour Outlook et recherchez la ligne de conseil de stratégie DLP empêchant le surpartage .
Importante
Voici un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Vous devez remplacer vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs lors de l’implémentation de cette fonctionnalité.
Conseil
Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Avant de commencer
Licences SKU/abonnements
Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.
Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.
Autorisations
Le compte que vous utilisez pour créer et déployer des stratégies doit être membre de l’un des groupes de rôles suivants
- Administrateur de conformité
- Administrateur de conformité des données
- Protection des informations
- Administrateur Information Protection
- Administrateur de sécurité
Importante
Lisez Unités administratives avant de commencer pour vous assurer que vous comprenez la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative.
Rôles et groupes de rôles granulaires
Il existe plusieurs rôles et groupes de rôles que vous pouvez utiliser pour affiner vos contrôles d’accès.
Voici une liste des rôles applicables. Pour plus d’informations, consultez Autorisations dans le portail de conformité Microsoft Purview.
- Gestion de la conformité DLP
- Administrateur Information Protection
- Analyste Information Protection
- Enquêteur Information Protection
- Lecteur Information Protection
Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Autorisations dans la portail de conformité Microsoft Purview.
- Protection des informations
- Administrateurs Information Protection
- Analystes Information Protection
- Enquêteurs Information Protection
- Lecteurs Information Protection
Conditions préalables et hypothèses
Dans Outlook pour Microsoft 365, une fenêtre contextuelle de surpartage affiche une fenêtre contextuelle avant l’envoi d’un message. Pour activer ces fenêtres contextuelles, commencez par étendre votre stratégie à l’emplacement Exchange, puis sélectionnez l’option Afficher l’info-bulle de stratégie sous forme de boîte de dialogue pour l’utilisateur avant d’envoyer dans le conseil de stratégie lorsque vous créez une règle DLP pour cette stratégie.
Notre exemple de scénario utilise l’étiquette de confidentialité hautement confidentielle . Il nécessite donc que vous ayez créé et publié des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :
- En savoir plus sur les étiquettes de niveau de confidentialité
- Prise en main des étiquettes de confidentialité
- Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies
Cette procédure utilise contoso.com. un domaine d’entreprise hypothétique.
Intention de stratégie et mappage
Pour cet exemple, notre déclaration d’intention de stratégie est la suivante :
Nous devons bloquer les e-mails à tous les destinataires auxquels l’étiquette de confidentialité « hautement confidentielle » est appliquée, sauf si le domaine du destinataire est contoso.com. Nous voulons informer l’utilisateur avec une boîte de dialogue contextuelle lorsqu’il envoie l’e-mail. Aucun utilisateur ne peut être autorisé à remplacer le bloc.
Statement | Réponse à la question de configuration et mappage de configuration |
---|---|
« Nous devons bloquer les e-mails à tous les destinataires... » |
-
Où surveiller : Étendue administrative Exchange - : Action de répertoire - complet : Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers > SharePoint, OneDrive et Teams partagés > Bloquer tout le monde |
"... qui ont l’étiquette de confidentialité « hautement confidentielle » appliquée... » |
-
Éléments à surveiller : utiliser le modèle - personnalisé Conditions pour une correspondance : modifiez-le pour ajouter l’étiquette de confidentialité hautement confidentielle |
"... sauf si... | Configuration du groupe de conditions : créez un groupe de condition NOT booléen imbriqué joint aux premières conditions à l’aide d’un and booléen |
"... le domaine du destinataire est contoso.com. » | Condition de correspondance : Le domaine du destinataire est |
"... Notifier... | Notifications utilisateur : activé |
"... l’utilisateur avec une boîte de dialogue contextuelle lorsqu’il envoie... » |
Conseils de stratégie : sélectionnez - Afficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant d’envoyer : sélectionné |
"... Aucun utilisateur ne peut être autorisé à remplacer le bloc... | Autoriser les remplacements à partir des services M365 : non sélectionné |
Pour configurer des fenêtres contextuelles de surpartage avec du texte par défaut, la règle DLP doit inclure les conditions suivantes :
- Le contenu contient>Étiquettes> de confidentialitéchoisir votre ou vos étiquettes de confidentialité
et une ou plusieurs des conditions suivantes basées sur le destinataire
- Le destinataire est
- Le destinataire est membre de
- Le domaine du destinataire est
Lorsque ces conditions sont remplies, le conseil de stratégie affiche les destinataires non approuvés pendant que l’utilisateur écrit le courrier dans Outlook, avant de l’envoyer.
Étapes de configuration de l'« attente lors de l’envoi »
Si vous le souhaitez, vous pouvez définir la clé de regkey dlpwaitonsendtimeout (valeur dans dword) sur tous les appareils sur lesquels vous souhaitez implémenter « wait on send » pour les fenêtres contextuelles de surpartage. Cette clé de Registre (RegKey) définit la durée maximale de conservation de l’e-mail lorsqu’un utilisateur sélectionne Envoyer. Cela permet au système d’effectuer l’évaluation de la stratégie DLP pour le contenu étiqueté ou sensible. Vous trouverez ce RegKey sous :
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
Vous pouvez définir cette clé d’enregistrement via une stratégie de groupe (Spécifier le temps d’attente pour évaluer le contenu sensible), un script ou un autre mécanisme de configuration des clés de Registre.
Si vous utilisez stratégie de groupe, vérifiez que vous avez téléchargé la version la plus récente des fichiers de modèle d’administration stratégie de groupe pour Applications Microsoft 365 pour les grandes entreprises, puis accédez à ce paramètre à partir de configuration utilisateur >> Modèles d’administration >> Paramètres de sécurité Microsoft Office 2016>>. Si vous utilisez le service Cloud Policy pour Microsoft 365, recherchez le paramètre par nom pour le configurer.
Lorsque cette valeur est définie et que la stratégie DLP est configurée, les e-mails sont vérifiés pour les informations sensibles avant d’être envoyés. Si un message contient une correspondance aux conditions définies dans la stratégie, une notification de conseil de stratégie s’affiche avant que l’utilisateur clique sur Envoyer.
Cette RegKey vous permet de spécifier le comportement d’attente lors de l’envoi pour vos clients Outlook.
Voici ce que signifient chacun des paramètres :
Non configuré ou désactivé : il s’agit de la valeur par défaut. Lorsque dlpwaitonsendtimeout n’est pas configuré, le message n’est pas vérifié avant que l’utilisateur ne l’envoie. Le message électronique est envoyé immédiatement une fois que vous avez cliqué sur Envoyer . Le service de classification des données DLP évalue le message et applique les actions définies dans la stratégie DLP.
Activé : l’e-mail est vérifié lorsque l’utilisateur clique sur Envoyer , mais avant que le message ne soit réellement envoyé. Vous pouvez définir une limite de temps sur le délai d’attente de la fin de l’évaluation de la stratégie DLP (valeur T , en secondes). Si l’évaluation de la stratégie ne se termine pas dans l’heure spécifiée, un bouton Envoyer quand même s’affiche, ce qui permet à l’utilisateur de contourner la case activée préalable à l’envoi. La plage de valeurs T est comprise entre 0 et 9999 secondes.
Importante
Si la valeur T est supérieure à 9999, elle est remplacée par 10000 et le bouton Envoyer quand même n’apparaît pas. Cela conserve le message jusqu’à la fin de l’évaluation de la stratégie et ne fournit pas d’option de remplacement à l’utilisateur. La durée de l’évaluation peut varier en fonction de facteurs tels que la vitesse d’Internet, la longueur du contenu et le nombre de stratégies définies. Certains utilisateurs peuvent rencontrer des messages d’évaluation de stratégie plus fréquemment que d’autres, en fonction des stratégies déployées sur leur boîte aux lettres.
Pour en savoir plus sur la configuration et l’utilisation de l’objet de stratégie de groupe, consultez Administrer stratégie de groupe dans un domaine managé Microsoft Entra Domain Services.
Étapes de création d’une stratégie DLP pour une fenêtre contextuelle de surpartage
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail> Microsoft PurviewStratégies de protection contre la> perte de données
Choisissez + Créer une stratégie.
Sélectionnez Personnalisé dans la liste Catégories .
Sélectionnez Personnalisé dans la liste Réglementations .
Donner à la stratégie un nom.
Importante
Les stratégies ne peuvent pas être renommées.
Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.
Sélectionnez Suivant.
Sélectionnez Répertoire complet sous Administration unités.
Sélectionnez uniquement l’emplacement de la messagerie Exchange .
Sélectionnez Suivant.
Dans la page Définir les paramètres de stratégie , sélectionnez Créer ou personnaliser des règles DLP avancées.
L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.
Sélectionnez Suivant.
Sélectionnez Créer une règle. Nommez la règle et fournissez une description.
Sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.
Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.
Sélectionnez Le domaine du destinataire est>contoso.com. Sélectionnez Ajouter.
Conseil
Vous pouvez également utiliser Recipient is ou Recipient is un membre de au lieu de Domaine du destinataire pour déclencher une fenêtre contextuelle de surpartage.
Sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.
Sélectionnez Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés, ainsi qu’aux éléments Power BI.
Sélectionnez Bloquer tout le monde.
Définissez le bouton bascule Notifications utilisateursur Activé.
Sélectionnez Conseils> de stratégieAfficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant l’envoi (disponible pour la charge de travail Exchange uniquement).
Si cette option est déjà sélectionnée, décochez l’option Autoriser le remplacement à partir des services M365 .
Cliquez sur Enregistrer.
Définissez le bouton bascule État sur Activé , puis choisissez Suivant.
Dans la page Mode stratégie, sélectionnez Exécuter la stratégie en mode test et case activée la zone pour l’option Afficher les conseils de stratégie en mode simulation.
Choisissez Suivant , puis Envoyer.
Choisissez OK.
Étapes PowerShell pour créer une stratégie
Les stratégies et règles DLP peuvent également être configurées dans PowerShell. Pour configurer des fenêtres contextuelles de surpartage à l’aide de PowerShell, commencez par créer une stratégie DLP (à l’aide de PowerShell) et ajoutez des règles DLP pour chaque type de fenêtre contextuelle d’avertissement, de justification ou de blocage.
Vous allez configurer et étendre votre stratégie DLP à l’aide de New-DlpCompliancePolicy. Ensuite, vous allez configurer chaque règle de surpartage à l’aide de New-DlpComplianceRule
Pour configurer une nouvelle stratégie DLP pour le scénario contextuel de surpartage, utilisez cet extrait de code :
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
Cet exemple de stratégie DLP est étendu à tous les utilisateurs de votre organization. Limitez vos stratégies DLP à l’aide -ExchangeSenderMemberOf
de et -ExchangeSenderMemberOfException
.
Paramètre | Configuration |
---|---|
-ContentContainsSensitiveInformation | Configure une ou plusieurs conditions d’étiquette de confidentialité. Cet exemple en inclut un. Au moins une étiquette est obligatoire. |
-ExceptIfRecipientDomainIs | Liste des domaines approuvés. |
-NotifyAllowOverride | « WithJustification » active les cases d’option de justification, « WithoutJustification » les désactive. |
-NotifyOverrideRequirements | « WithAcknowledgement » active la nouvelle option d’accusé de réception. Cette option est facultative. |
Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle d’avertissement à l’aide de domaines approuvés, exécutez le code PowerShell suivant :
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de justification à l’aide de domaines approuvés, exécutez ce code PowerShell :
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de bloc à l’aide de domaines approuvés, exécutez ce code PowerShell :
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Utilisez ces procédures pour accéder à l’en-tête X de justification métier.