Partager via


En savoir plus sur les points de terminaison de protection contre la perte de données

Vous pouvez utiliser la protection contre la perte de données Microsoft Purview (DLP) pour surveiller les actions effectuées sur les éléments que vous avez déterminés comme sensibles et pour empêcher le partage involontaire de ces éléments.

La protection contre la perte de données de point de terminaison (Endpoint DLP) étend les fonctionnalités de surveillance et de protection des activités de DLP aux éléments sensibles qui sont physiquement stockés sur les appareils Windows 10/11 et macOS (les trois dernières versions majeures publiées). Une fois que les appareils sont intégrés aux solutions Microsoft Purview, les informations sur ce que les utilisateurs font avec les éléments sensibles sont rendues visibles dans l’Explorateur d’activités. Vous pouvez ensuite appliquer des actions de protection sur ces éléments via des stratégies DLP.

Conseil

Si vous recherchez le contrôle d’appareil pour le stockage amovible, consultez Contrôle d’accès Stockage amovible Contrôle d’appareil Microsoft Defender pour Point de terminaison .

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Activités de point de terminaison que vous pouvez surveiller et sur lesquels vous pouvez agir

La protection contre la perte de données de point de terminaison vous permet d’auditer et de gérer les types d’activités suivants que les utilisateurs prennent sur les éléments sensibles qui sont stockés physiquement sur des appareils Windows 10, Windows 11 ou macOS.

Activité Description Windows 10 (21H2, 22H2), Windows 11 (21H2, 22H2), Windows Server 2019, Server 2022 (21H2 et versions ultérieures) pour points de terminaison (X64) Windows 11 (21H2, 22H2) pour points de terminaison (ARM64) macOS trois dernières versions publiées Vérifiables/
Restreignant
Charger dans un domaine de service cloud restreint ou un accès à partir d’un navigateur non autorisé Détecte lorsqu'un utilisateur tente de télécharger un article dans un domaine de service restreint ou d'accéder à un article par le biais d'un navigateur. S’ils utilisent un navigateur non autorisé, l’activité de chargement est bloquée et l’utilisateur est redirigé pour utiliser Microsoft Edge. Microsoft Edge autorise ou bloque ensuite le chargement ou l’accès en fonction de la configuration de la stratégie DLP. Vous pouvez bloquer, avertir ou auditer quand des fichiers protégés peuvent être chargés ou empêchés d’être chargés vers des services cloud en fonction de la liste des domaines autorisés/non autorisés dans les paramètres de protection contre la perte de données. Lorsque l’action configurée est définie pour avertir ou bloquer, les autres navigateurs (définis dans la liste des navigateurs non autorisés sous Paramètres de protection contre la perte de données) ne peuvent pas accéder au fichier. Pris en charge Pris en charge Pris en charge Auditable et restreignant
Coller dans les navigateurs pris en charge Détecte lorsqu’un utilisateur tente de coller du contenu dans un domaine de service restreint. L’évaluation est effectuée sur le contenu qui est collé. Cette évaluation est indépendante de la façon dont l’élément source d’où provient le contenu est classifié. Pris en charge Pris en charge Non pris en charge Auditable et restreignant
Copier dans le Presse-papiers Lorsqu’un utilisateur tente de copier du contenu à partir d’un fichier protégé, vous pouvez bloquer, bloquer avec remplacement ou auditer la copie de fichiers protégés dans un Presse-papiers sur un appareil de point de terminaison. Si la règle est configurée pour Bloquer ou Bloquer avec la copie de remplacement est bloqué lorsque le contenu source est sensible, sauf lorsque la destination se trouve dans la même application Office Microsoft 365. Cette activité s’applique également aux Presse-papiers redirigés lors de l’utilisation d’Azure Virtual Desktop avec Windows 365. Pris en charge Pris en charge Pris en charge Auditable et restreignant
Copier sur un périphérique usb amovible Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer la copie ou le déplacement de fichiers protégés d’un périphérique de point de terminaison vers un support usb amovible. Pris en charge Pris en charge Pris en charge Auditable et restreignant
Copier vers un partage réseau Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer la copie ou le déplacement de fichiers protégés d’un appareil de point de terminaison vers n’importe quel partage réseau, y compris les périphériques USB redirigés affichés en tant que partages réseau sur un bureau virtuel Azure avec Windows 365. Pris en charge Pris en charge Pris en charge Auditable et restreignant
Print Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer l’impression de fichiers protégés à partir d’un appareil de point de terminaison. Cette activité s’applique également aux imprimantes redirigées lors de l’utilisation d’Azure Virtual Desktop avec Windows 365. Pris en charge Pris en charge Pris en charge Auditable et restreignant
Copier ou déplacer à l'aide d'une application Bluetooth non autorisée Détecte quand un utilisateur tente de copier un élément dans une application Bluetooth non autorisée (comme défini dans la liste des applications Bluetooth non autorisées dans paramètres > de protection contre la perte de donnéesParamètres de point de terminaison). Pris en charge Pris en charge Pris en charge Auditable et restreignant
Copier ou déplacer à l’aide de RDP Détecte lorsqu’un utilisateur tente de copier un élément dans une session Bureau à distance. Pris en charge Pris en charge Non pris en charge Auditable et restreignant
Créer un élément Détecte la création d’un élément. Pris en charge Pris en charge Pris en charge Vérifiables
Renommer un élément Détecte le changement de nom d’un élément. Pris en charge Pris en charge Pris en charge Vérifiables
Accès par les applications restreintes Détecte quand une application figurant dans la liste des applications restreintes (telle que définie dans applications et groupes d’applications restreints) tente d’accéder à des fichiers protégés sur un appareil de point de terminaison. Pris en charge Pris en charge Pris en charge

Comportement de copie dans le Presse-papiers

Quand vous configurez une règle pour bloquer ou bloquer avec remplacement lorsqu’un utilisateur tente l’activité Copier dans le Presse-papiers sur le contenu d’un fichier qui correspond à la stratégie, les utilisateurs finaux voient ce comportement avec ces configurations :

  • Le fichier Word 123 contient des informations sensibles qui correspondent à la règle de blocage de copie dans le Presse-papiers.

  • Le fichier Excel 123 contient des informations sensibles qui correspondent à la règle de blocage de copie dans le Presse-papiers.

  • Le fichier PowerPoint 123 contient des informations sensibles qui correspondent à la règle de blocage de copie dans le Presse-papiers.

  • Le fichier Word 789 ne contient pas d’informations sensibles.

  • Le fichier Excel 789 ne contient pas d’informations sensibles.

  • Le fichier PowerPoint 789 ne contient pas d’informations sensibles.

  • Le bloc-notes (ou tout fichier d’application ou de processus non basé sur Microsoft Office) XYZ contient des informations sensibles qui correspondent à la règle de blocage de copie dans le Presse-papiers.

  • Le fichier ABC du Bloc-notes (ou tout autre processus ou application non basé sur Microsoft Office) ne contient pas d’informations sensibles.

Source Destination Comportement
Fichier Word 123/Fichier Excel 123/Fichier PowerPoint 123 Fichier Word 123/Fichier Excel 123/Fichier PowerPoint 123 copier et coller sont autorisés, en d’autres termes, la copie et le collage intra-fichier sont autorisés.
Fichier Word 123/Fichier Excel 123/Fichier PowerPoint 123 Fichier Word 789/Fichier Excel 789/Fichier PowerPoint 789 copier et coller sont bloqués, en d’autres termes, la copie et le collage inter-fichiers sont bloqués.
Fichier Word 789/Fichier Excel 789/Fichier PowerPoint 789 Fichier Word 123/Fichier Excel 123/Fichier PowerPoint 123 copier et coller sont autorisés
Fichier Word 123/Fichier Excel 123/Fichier PowerPoint 123 Fichier ABC du Bloc-notes copier et coller sont bloqués
Fichier XYZ du Bloc-notes indifférent la copie est bloquée
Fichier ABC du Bloc-notes indifférent copier et coller sont autorisés

Meilleure pratique pour les stratégies DLP de point de terminaison

Supposons que vous souhaitiez empêcher tous les éléments qui contiennent des numéros de carte de crédit de quitter les points de terminaison des utilisateurs du service Financier. Nous vous recommandons :

  • Créez une stratégie et étendez-la aux points de terminaison et à ce groupe d’utilisateurs.
  • Créez une règle dans la stratégie qui détecte le type d’informations que vous souhaitez protéger. Dans ce cas, définissez le contenu surType d’informations sensibles*, puis sélectionnez Carte de crédit.
  • Définissez les actions de chaque activité sur Bloquer.

Pour plus d’informations sur la conception de vos stratégies DLP, consultez Concevoir une stratégie de protection contre la perte de données .

Remarque

Dans la conformité Microsoft Purview, l’évaluation de la stratégie DLP des éléments sensibles se produit de manière centralisée, de sorte qu’il n’y a pas de délai pour que les stratégies et les mises à jour des stratégies soient distribuées aux appareils individuels. Lorsqu’une stratégie est mise à jour dans le centre de conformité, la synchronisation de ces mises à jour dans le service prend généralement environ une heure. Une fois les mises à jour de stratégie synchronisées, les éléments sur les appareils ciblés sont automatiquement réévalués la prochaine fois qu’ils sont consultés ou modifiés. (Préversion) Pour les modifications de groupes autorisés, la stratégie a besoin de 24 heures pour se synchroniser.

Fichiers analysées

Fichiers surveillés par le biais d’une stratégie

Endpoint DLP surveille ces types de fichiers via une stratégie dans Windows 10, 11 et dans les trois dernières versions majeures de macOS :

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config

Remarque

Ces types de fichiers peuvent être surveillés via les paramètres de stratégie dans les appareils Windows 10, 11 et macOS, si la reconnaissance optique de caractères est activée :

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Fichiers audités indépendamment de la correspondance de stratégie

Les activités peuvent être auditées sur ces types de fichiers dans Windows 10, 11 et dans les trois dernières versions majeures de macOS, même s’il n’existe aucune correspondance de stratégie :

Windows 10, 11 macOS
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv,

Remarque

Ces types de fichiers peuvent être audités, quelle que soit la correspondance de stratégie, sur les appareils Windows 10, 11 et macOS, tant que la reconnaissance optique de caractères est activée :

.jpg, .png, .tif, .tiff, .bmp, .jpeg

Importante

Pour plus d’informations sur les exigences d’Adobe pour l’utilisation des fonctionnalités de protection contre la perte de données (DLP) de Microsoft Purview avec des fichiers PDF, consultez cet article d’Adobe : Prise en charge de la protection des informations Microsoft Purview dans Acrobat.

Si vous souhaitez uniquement surveiller les données des correspondances de stratégie, vous pouvez désactiver l’activité toujours auditer les fichiers pour les appareils dans les paramètres> de protection contre la perte de donnéesParamètres de point de terminaison.

Si le paramètre Toujours auditer l’activité des fichiers pour les appareils est activé, les activités sur les fichiers Word, PowerPoint, Excel, PDF et .csv sont toujours auditées, même si l’appareil n’est ciblé par aucune stratégie.

Pour vous assurer que les activités sont auditées pour tous les types de fichiers pris en charge, créez une stratégie DLP personnalisée.

La DLP de point de terminaison surveille l’activité basée sur le type MIME, de sorte que les activités sont capturées, même si l’extension de fichier est modifiée, pour ces types de fichiers :

Une fois l’extension remplacée par une autre extension de fichier :

  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .pdf

Si l’extension est remplacée uniquement par les extensions de fichier prises en charge :

  • .txt
  • .Msg
  • .rtf
  • .c
  • .Rpc
  • .h
  • .Cs
  • .Java
  • .tsv

Types de fichiers analysés pour le contenu

Vous pouvez utiliser un ou plusieurs types de fichiers comme conditions dans vos stratégies DLP.

Type de fichier Applications Extensions de fichier supervisées
traitement de texte Word, PDF .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
feuille de calcul Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
présentation PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
archive Outils d’archivage et de compression de fichiers .zip, .zipx, .rar, .7z, .tar, .gz
email Outlook .Msg

Différences avec Endpoint DLP

Vous devez tenir compte d’un certain nombre de concepts supplémentaires avant d’approfondir le point de terminaison DLP.

Activation de la gestion des appareils

La gestion des appareils est une fonctionnalité qui permet d’assembler la télémétrie à partir d’appareils et de l’intégrer à des solutions de conformité Microsoft Purview telles que la DLP de point de terminaison et la gestion des risques internes. Vous devez intégrer tous les appareils que vous souhaitez utiliser comme emplacements dans vos stratégies DLP.

activer la gestion des appareils.

L’intégration et la désintégration sont gérées par le biais de scripts que vous téléchargez à partir du centre de gestion des appareils. Le centre de gestion des appareils dispose de scripts personnalisés pour chacune des méthodes de déploiement suivantes :

  • Script local (jusqu’à 10 ordinateurs)
  • Stratégie de groupe
  • System Center Configuration Manager, Version 1610 ou ultérieure
  • Gestion des périphériques mobiles/Microsoft Intune
  • Scripts d’intégration VDI pour les machines non persistantes

page d’intégration des appareils.

Utilisez les procédures décrites dans Prise en main des points de terminaison Microsoft 365 DLP vers les appareils intégrés.

L’intégration d’appareils à Defender les intègre également à DLP. Par conséquent, si vous avez intégré des appareils via Microsoft Defender pour point de terminaison, ces appareils s’affichent automatiquement dans la liste des appareils. Il vous suffit d’activer la surveillance des appareils pour utiliser la protection contre la perte de données (DLP) du point de terminaison.

liste des appareils gérés.

Affichage des données DLP de point de terminaison

Vous pouvez afficher les alertes liées aux stratégies DLP appliquées sur les appareils de point de terminaison en accédant au tableau de bord de gestion des alertes DLP et Examiner les incidents de perte de données avec Microsoft Defender XDR.

Informations d’alerte.

Vous pouvez également afficher les détails de l’événement associé, avec des métadonnées enrichies, dans le même tableau de bord

informations sur l’événement.

Une fois qu’un appareil est intégré, les informations relatives aux activités auditées sont transmises dans l’Explorateur d’activités, même avant de configurer et déployer des stratégies DLP qui ont des périphériques comme emplacement.

événements dlp de point de terminaison dans l’Explorateur d’activités.

Point de terminaison DLP recueille de nombreuses informations sur l’activité auditée.

Par exemple, si un fichier est copié sur un support USB amovible, les attributs suivants apparaissent dans les détails de l’activité :

  • type d’activité
  • IP Client
  • Chemin d’accès du fichier
  • horodatage arrivé
  • nom du fichier
  • utilisateur
  • extension du fichier
  • taille du fichier
  • type d’informations sensibles (le cas échéant)
  • valeur SHA1
  • valeur SHA256
  • nom de fichier précédent
  • emplacement
  • parent
  • chemin d’accès
  • type d’emplacement source
  • platform
  • nom du périphérique
  • type d’emplacement de destination
  • application ayant effectué la copie
  • ID de l’appareil Microsoft Defender pour point de terminaison (le cas échéant)
  • fabricant de l’appareil multimédia amovible
  • modèle d’appareil multimédia amovible
  • numéro de série de l’appareil multimédia amovible

copier dans les attributs d’activité usb.

Appareils DLP et hors connexion de point de terminaison

Lorsqu’un appareil de point de terminaison Windows est hors connexion, les stratégies existantes continuent d’être appliquées sur les fichiers existants. En outre, avec la protection juste-à-temps activée et en mode « bloquer », lorsqu’un fichier est créé sur un appareil hors connexion, le fichier est toujours empêché d’être partagé tant que l’appareil ne se connecte pas au service de classification des données et que l’évaluation n’est pas terminée. Si une stratégie est créée sur le serveur ou si une stratégie existante est modifiée, ces modifications sont mises à jour sur l’appareil une fois qu’il se reconnecte à Internet.

Considérez les cas d’usage suivants.

  1. Les stratégies qui ont été envoyées à un appareil continueront d’être appliquées aux fichiers déjà classés comme sensibles, même après que l’appareil est hors connexion.
  2. Les stratégies mises à jour dans le portail de conformité lorsqu’un appareil est hors connexion ne seront pas envoyées à cet appareil. De même, ces stratégies ne seront pas appliquées sur cet appareil tant que l’appareil n’est pas de nouveau en ligne. Toutefois, la stratégie obsolète qui existe sur l’appareil hors connexion est toujours appliquée. Protection juste-à-temps

Si les notifications sont configurées pour s’afficher, elles s’affichent toujours lorsque des stratégies DLP sont déclenchées, que l’appareil soit en ligne ou non.

Remarque

Bien que les stratégies qui ont déjà été envoyées à un appareil hors connexion soient appliquées, les événements d’application n’apparaissent pas dans l’Explorateur d’activités tant que l’appareil n’est pas de nouveau en ligne.

Les stratégies DLP se synchronisent régulièrement avec les appareils de point de terminaison. Si un appareil est hors connexion, les stratégies ne peuvent pas être synchronisées. Dans ce cas, la liste Appareils indique que l’appareil n’est pas synchronisé avec les stratégies dans sur le serveur.

Importante

Cette fonctionnalité n’est pas prise en charge sur les appareils de point de terminaison macOS.

Protection juste-à-temps

La protection juste-à-temps bloque toutes les activités de sortie sur les fichiers surveillés suivants jusqu’à ce que l’évaluation de la stratégie se termine correctement :

  • Éléments qui n’ont jamais été évalués.
  • Éléments sur lesquels l’évaluation est devenue obsolète. Il s’agit d’éléments précédemment évalués qui n’ont pas été réévalués par les versions cloud actuelles et mises à jour des stratégies.

Avant de pouvoir déployer la protection juste-à-temps, vous devez d’abord déployer Antimalware Client version 4.18.23080 ou ultérieure.

Remarque

Pour les machines avec une version obsolète du client Antimalware, nous vous recommandons de désactiver la protection juste-à-temps en installant l’une des bases de connaissances suivantes :

Pour activer la protection juste-à-temps dans le portail de conformité Microsoft Purview, sélectionnez Paramètres dans le volet de navigation gauche, choisissez Protection juste-à-temps et configurez les paramètres souhaités.

Choisir les emplacements à surveiller

  • Sélectionnez Appareils.
  • Choisissez Modifier.
  • Dans le volet volant, sélectionnez l’étendue des comptes et groupes de distribution auxquels vous souhaitez appliquer la protection juste-à-temps. (Gardez à l’esprit que, pendant le traitement de l’évaluation de la stratégie, endpoint DLP bloque toutes les activités de sortie pour chaque utilisateur dont le compte se trouve dans l’étendue sélectionnée. La DLP du point de terminaison audite les activités de sortie pour tous les comptes d’utilisateur qui ont été spécifiquement exclus (via le paramètre Exclure) ou qui ne sont pas dans l’étendue.)

Remarque

Gardez à l’esprit que pour tous les utilisateurs que vous sélectionnez dans l’étendue, la DLP de point de terminaison bloque toutes les activités de sortie en attendant la fin de l’évaluation de la stratégie . pour les utilisateurs qui ne se trouvent pas dans l’étendue ou qui se trouvent sous le paramètre Exclure, la DLP du point de terminaison audite les activités de sortie.

  • Action de secours en cas d’échec : cette configuration spécifie le mode d’application que DLP doit appliquer lorsque l’évaluation de la stratégie ne se termine pas. Quelle que soit la valeur que vous sélectionnez, les données de télémétrie appropriées s’affichent dans l’Explorateur d’activités.

Conseil

Conseils pour optimiser la productivité des utilisateurs :

  • Configurez et déployez vos stratégies DLP de point de terminaison sur vos appareils avant d’activer la protection juste-à-temps pour éviter de bloquer inutilement l’activité des utilisateurs pendant l’évaluation de la stratégie.
  • Veillez à configurer soigneusement vos paramètres pour les activités de sortie. La protection juste-à-temps bloque une activité de sortie uniquement lorsque cette activité a une ou plusieurs stratégies Bloquer ou Bloquer avec remplacement . Cela signifie que les activités de sortie qui ne sont pas spécifiquement bloquées seront auditées, même pour les utilisateurs inclus dans l’étendue des stratégies applicables.
  • Étant donné que la protection juste-à-temps bloque l’activité de sortie uniquement lorsque cette activité a une ou plusieurs stratégies Bloquer ou Bloquer avec remplacement , ce qui signifie que si l’utilisateur final, même dans l’étendue, n’a pas de stratégie DLP ou uniquement une stratégie DLP d’audit , la protection juste-à-temps audite uniquement l’activité de sortie.

Pour plus d’informations, consultez Prise en main de la protection juste-à-temps.

Étapes suivantes

Maintenant que vous en savez plus sur les points de terminaison DLP, vos prochaines étapes sont les suivantes :

  1. Vue d’ensemble de l’intégration des appareils Windows 10 ou Windows 11 dans Microsoft Purview
  2. Intégration des appareils macOS dans la vue d'ensemble de Microsoft Purview (aperçu)
  3. Configurer les paramètres de protection contre la perte de données de point de terminaison
  4. Utilisation des points de terminaison protection contre la perte de données

Voir aussi