Prise en main du mode de simulation de protection contre la perte de données
Vous pouvez utiliser le mode de simulation de protection contre la perte de données (DLP) Microsoft Purview pour voir :
- Impact d’une stratégie sur votre environnement de production sans application.
- Tous les éléments qui seraient mis en correspondance par une stratégie si elle était appliquée.
Cet article vous guide dans les conditions préalables du mode de simulation, les options de configuration et comment afficher les résultats de la simulation.
Conseil
Commencez à utiliser Microsoft Copilot for Security pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Avant de commencer
Licences
Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.
Pour plus d’informations sur les licences, voir Microsoft 365, Office 365, Enterprise Mobility + Security et Abonnements Windows 11 pour les entreprises.
Autorisations
Le compte que vous utilisez pour interagir avec le mode de simulation doit avoir le rôle d’administrateur Information Protection. Pour plus d’informations sur les rôles et les groupes de rôles nécessaires pour utiliser le mode de simulation, consultez Autorisations. Pour plus d’informations sur les rôles et les groupes de rôles dans la conformité Microsoft Purview, voir Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview
Configuration du système
Pour voir les éléments correspondants des appareils de point de terminaison dans leur application native sur les éléments à réviser, vous devez configurer la collecte de preuves pour les activités de fichiers sur les appareils.
Gérer le mode de simulation DLP
Vous pouvez définir une stratégie pour qu’elle soit en mode simulation lorsque vous la créez ou après sa création. Vous pouvez également désactiver le mode simulation pour une stratégie qui est déjà en mode simulation.
- Suivez les étapes décrites dans Créer et déployer des stratégies de protection contre la perte de données pour créer une stratégie ou modifier une stratégie existante.
- La dernière étape du workflow de configuration de stratégie est Simuler ou activer la stratégie. Sélectionnez Exécuter la stratégie en mode simulation pour activer le mode simulation. Sélectionnez Activer immédiatement ou Conserver pour désactiver le mode simulation. Vous pouvez sélectionner :
- Affichez des conseils de stratégie avec en mode simulation pour aider vos utilisateurs à effectuer des actions susceptibles de déclencher des actions de stratégie.
- Activez la stratégie si elle n’est pas modifiée dans les quinze jours suivant la simulation pour activer la stratégie sans autre interaction.
- Sélectionnez Suivant et Envoyer.
Après la désactivation, l’affichage des insights dans la page Vue d’ensemble peut prendre jusqu’à 24 heures.
Affichage des stratégies DLP en mode simulation
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.
Connectez-vous aux stratégies deprotection contre la> perte de données duportail> Microsoft Purview.
Sélectionnez une stratégie avec l’état In simulation ou In simulation with notifications pour ouvrir le volet volant.
Sélectionnez Afficher la simulation pour afficher les onglets Vue d’ensemble de la simulation, Éléments à réviser et Alertes .
Messages d’état du mode de simulation
Remarque
Les résultats de l’analyse de l’exécution d’une stratégie en mode simulation sont enregistrés pendant 30 jours. Vous pouvez continuer à exécuter la stratégie en mode simulation plus longtemps, mais seuls les résultats de la période de 30 jours la plus récente sont affichés.
Lorsqu’une stratégie s’exécute en mode simulation, l’analyse du contenu dans la plupart des emplacements se produit en temps réel, c’est-à-dire lorsqu’un e-mail ou un message Teams est envoyé. L’analyse du contenu pour les emplacements SharePoint et OneDrive fonctionne un peu différemment. En plus d’analyser le contenu lorsque des documents sont chargés vers ces emplacements, les stratégies exécutées en mode simulation peuvent afficher trois messages de progression supplémentaires : Terminé, En cours et Expiré. Le tableau suivant identifie et décrit les messages d’état disponibles pour chaque emplacement :
État de l’analyse en mode simulation par emplacement
| Emplacement | Descriptions des messages d’état |
|---|---|
| Exchange | Temps réel : le contenu est analysé lors de l’envoi d’un message |
| SharePoint |
Terminé : signifie que l’analyse du contenu existant dans Sharepoint et/ou OneDrive est terminée. Ce message d’état s’affiche uniquement lorsque SharePoint et/ou OneDrive sont les seuls emplacements dans l’étendue. En cours : signifie que la simulation est en cours d’exécution. Les résultats sont mis à jour à mesure que d’autres correspondances sont trouvées. |
| OneDrive |
Terminé : signifie que l’analyse du contenu existant dans Sharepoint et/ou OneDrive est terminée. Ce message d’état s’affiche uniquement lorsque SharePoint et/ou OneDrive sont les seuls emplacements dans l’étendue. En cours : signifie que la simulation est en cours d’exécution. Les résultats sont mis à jour à mesure que d’autres correspondances sont trouvées. |
| conversation et messages de canal Teams | Temps réel : le contenu est analysé lors de l’envoi d’un message |
| Appareils | Temps réel : le contenu est analysé lors du transfert hors de l’appareil |
| Infrastructure et Power BI | Temps réel : le contenu est analysé lors du chargement |
Le tableau suivant explique les messages d’état liés à la progression de la simulation de stratégie globale.
État global du mode de simulation
| État de la simulation | Description |
|---|---|
| Terminé | Disponible uniquement lorsqu’une étendue de stratégie DLP est limitée à SharePoint, OneDrive ou les deux. Indique que toutes les données au repos ont été analysées. |
| En cours | L’analyse de simulation est en cours. Les résultats sont mis à jour à mesure que des correspondances de stratégie supplémentaires sont détectées. |
| Expiré | La stratégie en cours de simulation date de plus de 30 jours. Microsoft Purview conserve les données de simulation pendant seulement 30 jours. Pour obtenir les résultats de l’analyse des données au repos analysées avant la dernière fenêtre de 30 jours, réexécutez l’analyse. |
Seuls les 100 premiers éléments mis en correspondance dans les emplacements SharePoint et OneDrive sont affichés pour révision. Cela peut différer du nombre total d’éléments correspondants.
Les événements de simulation sont affichés dans l’Explorateur d’activités. Vous pouvez filtrer sur le mode, qui a TestWithNotifyUser, TestWithoutNotifyUser et appliquer des valeurs.