Configurer les équipes avec la protection des données sensibles

  • Article

Icône d’informationsCertaines fonctionnalités de cet article nécessitent des Microsoft Syntex - Gestion avancée de SharePoint

Dans cet article, nous étudions la configuration d’une équipe pour un niveau de protection sensible. Assurez-vous d’avoir effectué les étapes décrites dans Déployer des équipes avec une protection de base de référence avant de suivre les étapes décrites dans cet article. Le niveau sensible offre les protections supplémentaires suivantes sur le niveau de référence :

  • Une étiquette de confidentialité pour l’équipe qui vous permet d’activer ou de désactiver le partage d’invités et de limiter l’accès au contenu SharePoint au web uniquement pour les appareils non gérés. Cette étiquette est également utilisée comme étiquette par défaut pour les fichiers.
  • Type de lien de partage par défaut plus restrictif
  • Seuls les propriétaires d’équipe peuvent créer des canaux privés.

Démonstration vidéo

Regardez cette vidéo pour une explication pas à pas des procédures décrites dans cet article.

Partage d’invités

Selon la nature de votre entreprise, il est possible que vous souhaitiez ou non activer le partage d’invités pour les équipes qui contiennent des données sensibles. Si vous envisagez de collaborer avec des personnes extérieures à votre organisation, nous vous recommandons d’activer le partage d’invités. Microsoft 365 inclut de nombreuses fonctionnalités de sécurité et conformité qui vous permettent de partager du contenu sensible de façon sécurisée. Il s’agit généralement d’une option plus sécurisée que la messagerie électronique de contenu directement pour les personnes extérieures à votre organisation.

Pour plus d’informations sur le partage sécurisé avec des invités, consultez les ressources suivantes :

Pour autoriser ou bloquer le partage d’invités, nous utilisons une combinaison d’une étiquette de confidentialité pour les contrôles de partage au niveau du site et des équipes pour le site SharePoint associé, les deux décrites ultérieurement.

Étiquettes de confidentialité

Pour le niveau de protection sensible, nous utilisons une étiquette de confidentialité pour classifier l’équipe. Nous utilisons également cette étiquette pour classifier des fichiers individuels dans l’équipe. (Il peut également être utilisé sur des fichiers situés à d’autres emplacements de fichiers tels que SharePoint ou OneDrive.)

Pour commencer, vous devez activer les étiquettes de confidentialité pour Teams. Pour plus d’informations, voir Utiliser des étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, Groupes Microsoft 365 et les sites SharePoint.

Si vous avez déjà déployé des étiquettes de confidentialité au sein de votre organisation, réfléchissez à la façon dont cette étiquette correspond à votre stratégie d’étiquette globale. Vous pouvez modifier le nom ou les paramètres si nécessaire pour répondre aux besoins de votre organisation.

Une fois que vous avez activé les étiquettes de confidentialité pour Teams, l’étape suivante consiste à créer l’étiquette.

Pour créer une étiquette de confidentialité

  1. Ouvrez le Portail de conformité Microsoft Purview.
  2. Sous Solutions, développez Protection des informations.
  3. Sélectionnez Créer une étiquette.
  4. Donnez un nom à l’étiquette. Nous vous suggérons le terme Sensible, mais vous pouvez choisir un autre nom si celui-ci est déjà utilisé.
  5. Ajoutez un nom complet et une description, puis sélectionnez Suivant.
  6. Dans la page Définir l’étendue de cette étiquette, sélectionnez Éléments, Fichiers, E-mails et Groupes & sites. Décochez la case Réunions case activée.
  7. Sélectionnez Suivant.
  8. Dans la page Choisir les paramètres de protection pour les éléments étiquetés , sélectionnez Suivant.
  9. Dans la page Étiquetage automatique des fichiers et des e-mails , sélectionnez Suivant.
  10. Dans la page Définir les paramètres de protection pour les groupes et les sites , sélectionnez Confidentialité et accès utilisateur externe et Partage externe et Accès conditionnel , puis sélectionnez Suivant.
  11. Dans la page Définir les paramètres de confidentialité et d’accès des utilisateurs externes, sous Confidentialité, sélectionnez l’option Privé .
  12. Si vous souhaitez autoriser l’accès invité, sous Accès des utilisateurs externes, sélectionnez Autoriser les propriétaires de groupe Microsoft 365 à ajouter des personnes externes à votre organisation au groupe comme invités.
  13. Sélectionnez Suivant.
  14. Dans la page Définir les paramètres de partage externe et d’accès conditionnel , sélectionnez Contrôler le partage externe à partir de sites SharePoint étiquetés.
  15. Sous Le contenu peut être partagé avec, sélectionnez Invités nouveaux et existants si vous autorisez l’accès invité ou Uniquement les membres de votre organisation si ce n’est pas le cas.
  16. Sélectionnez Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés.
  17. Choisissez l’option Déterminer si les utilisateurs peuvent accéder aux sites SharePoint à partir d’appareils non gérés , puis choisissez Autoriser l’accès web limité uniquement.
  18. Sélectionnez Suivant.
  19. Dans la page Étiquetage automatique pour les ressources de données schématisées , sélectionnez Suivant.
  20. Sélectionnez Créer une étiquette, puis Terminé.

Une fois que vous avez créé l’étiquette, vous devez la publier aux utilisateurs qui l’utiliseront. Pour la protection sensible, nous mettons l’étiquette à la disposition de tous les utilisateurs. Vous publiez l’étiquette dans le portail de conformité Microsoft Purview, sur la page Stratégies d’étiquette sous Protection des informations. Si vous avez une stratégie existante qui s’applique à tous les utilisateurs, ajoutez cette étiquette à cette stratégie. Si vous avez besoin de créer une stratégie, consultez Publier des étiquettes de confidentialité en créant une stratégie d’étiquette.

Paramètres de Teams

Une configuration supplémentaire du scénario sensible est effectuée dans l’équipe elle-même et dans le site SharePoint associé à l’équipe. L’étape suivante consiste donc à créer une équipe.

Nous allons créer l’équipe dans le Centre d’administration Teams.

Pour créer une équipe pour les informations sensibles

  1. Dans le Centre d’administration Teams, développez Teams et sélectionnez Gérer les équipes.
  2. Sélectionnez Ajouter.
  3. Tapez un nom et une description pour l’équipe.
  4. Ajoutez un ou plusieurs propriétaires pour l’équipe. (Conservez-vous en tant que propriétaire afin de pouvoir choisir une étiquette de confidentialité par défaut pour les fichiers et définir les paramètres de partage de site ci-dessous.)
  5. Choisissez l’étiquette de confidentialité que vous avez créée pour les informations sensibles dans la liste déroulante Sensibilité .
  6. Sélectionnez Appliquer.

Paramètres du canal privé

À ce niveau, nous limitons la création de canaux privés aux propriétaires d'équipe.

Pour restreindre la création d’un canal privé

  1. Dans le Centre d’administration Teams, sélectionnez l’équipe que vous avez créée, puis sélectionnez Modifier.
  2. Développez Autorisations de message.
  3. Définissez Ajouter et modifier des canaux privés sur Désactivé.
  4. Sélectionnez Appliquer.

Paramètres de canal partagé

Les canaux partagés n’ont pas de paramètres au niveau de l’équipe. Les paramètres de canal partagé que vous configurez dans le Centre d’administration Teams et le Centre d’administration Microsoft Entra s’appliquent aux utilisateurs individuels.

Paramètres de SharePoint

Chaque fois que vous créez une équipe avec l’étiquette sensible, il y a trois étapes à effectuer dans SharePoint :

  • Mettez à jour les paramètres de partage d’invités pour le site dans le Centre d’administration SharePoint, afin qu’ils mettent à jour le lien de partage par défaut vers Personnes spécifiques.
  • Mettez à jour les paramètres de partage du site lui-même pour empêcher les membres de partager le site.
  • Choisissez une étiquette de confidentialité par défaut pour la bibliothèque de documents connectée à l’équipe.

Les paramètres de partage de site et l’étiquette de confidentialité par défaut doivent être configurés dans le site lui-même et ne peuvent pas être configurés à partir du Centre d’administration SharePoint ou via PowerShell.

Pour mettre à jour le type de lien de partage par défaut du site

  1. Ouvrez le Centre d’administration SharePoint et, sous Sites, sélectionnez Sites actifs.
  2. Sélectionnez le site associé à l’équipe.
  3. Sous l’onglet Paramètres , sous Partage de fichiers externes, sélectionnez Autres paramètres de partage.
  4. Sous Type de lien de partage par défaut, désactivez la case à cocher Identique au paramètre de niveau organisation, puis sélectionnez Personnes spécifiques (uniquement les membres spécifiés par l’utilisateur).
  5. Sélectionnez Enregistrer.

Si vous voulez créer un script dans le cadre de votre processus de création d’équipe, vous pouvez utiliser Set-SPOSite avec les paramètre -DefaultSharingLinkType Direct pour modifier le lien de partage par défaut pour Personnes spécifiques.

Notez que si vous ajoutez des canaux privés ou partagés à l’équipe, chacun crée un site SharePoint avec les paramètres de partage par défaut. Vous pouvez les mettre à jour dans le Centre d’administration SharePoint en sélectionnant les sites associés à l’équipe.

Paramètres de partage de site

Pour garantir que le site SharePoint n’est pas partagé avec des personnes qui ne sont pas membres de l’équipe, nous limitons ce partage aux propriétaires. Cela n’est nécessaire que pour le site SharePoint qui a été créé avec l’équipe. Les sites supplémentaires créés dans le cadre de canaux privés ou partagés ne peuvent pas être partagés en dehors de l’équipe ou du canal.

Vous devez être un propriétaire d’équipe pour effectuer cette tâche.

Pour configurer le partage de sites propriétaires uniquement

  1. Dans Teams, accédez à l’onglet Général de l’équipe que vous voulez mettre à jour.
  2. Dans la barre d’outils de l’équipe, sélectionnez Fichiers.
  3. Sélectionnez les points de suspension, puis sélectionnez Ouvrir dans SharePoint.
  4. Dans la barre d’outils du site SharePoint sous-jacent, sélectionnez l’icône des paramètres, puis sélectionnez Autorisations du site.
  5. Dans le volet Autorisations du site , sous Partage de site, sélectionnez Modifier la façon dont les membres peuvent partager.
  6. Sous Autorisations de partage, choisissez Propriétaires et membres du site, et les personnes disposant d’autorisations de modification peuvent partager des fichiers et des dossiers, mais seuls les propriétaires de site peuvent partager le site, puis sélectionnez Enregistrer.

Choisir une étiquette de confidentialité par défaut pour les fichiers

Nous allons utiliser l’étiquette de confidentialité que nous avons créée comme étiquette de confidentialité par défaut pour la bibliothèque de documents de site connectée à Teams. Cela applique automatiquement l’étiquette hautement sensible à tous les nouveaux fichiers compatibles avec les étiquettes qui sont chargés dans la bibliothèque. (Cela nécessite une licence Microsoft Syntex - Gestion avancée SharePoint.)

Vous devez être un propriétaire d’équipe pour effectuer cette tâche.

Pour définir une étiquette de confidentialité par défaut pour une bibliothèque de documents

  1. Dans Teams, accédez au canal Général de l’équipe que vous souhaitez mettre à jour.

  2. Dans la barre d’outils de l’équipe, sélectionnez Fichiers.

  3. Sélectionnez Ouvrir dans SharePoint.

  4. Dans le site SharePoint, ouvrez Paramètres , puis choisissez Paramètres de la bibliothèque.

  5. Dans le volet volant Paramètres de la bibliothèque , sélectionnez Étiquettes de confidentialité par défaut, puis sélectionnez l’étiquette sensible dans la zone de liste déroulante.

Pour plus d’informations sur le fonctionnement des étiquettes de bibliothèque par défaut, voir Configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint et Ajouter une étiquette de confidentialité à la bibliothèque de documents SharePoint.

Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies