Créer et déployer des stratégies de protection contre la perte de données

Il existe de nombreuses options de configuration dans une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Chaque option modifie le comportement de la stratégie. Cet article présente certains scénarios d’intention courants pour les stratégies que vous mappez aux options de configuration. Ensuite, il vous guide tout au long de la configuration de ces options. Une fois que vous vous êtes familiarisé avec ces scénarios, vous êtes à l’aise avec l’expérience utilisateur de création de stratégie DLP pour créer vos propres stratégies.

La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Vous disposez de plusieurs options pour contrôler le déploiement de la stratégie. Cet article vous montre comment utiliser ces options afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles que vous devez connaître lorsque vous implémentez DLP :

1. Unités administratives
2. En savoir plus sur Protection contre la perte de données Microsoft Purview : l’article vous présente la discipline de protection contre la perte de données et l’implémentation de la protection contre la perte de données par Microsoft.
3. Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
   1. Identifier les parties prenantes
   2. Décrire les catégories d’informations sensibles à protéger
   3. Définir des objectifs et une stratégie
4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et explique comment chacun d’eux influence le comportement d’une stratégie.
5. Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
6. Créer et déployer des stratégies de protection contre la perte de données : cet article, que vous lisez maintenant, présente certains scénarios d’intention de stratégie courants que vous mappez aux options de configuration. Il vous guide ensuite dans la configuration de ces options et fournit des conseils sur le déploiement d’une stratégie.
7. En savoir plus sur l’examen des alertes de protection contre la perte de données : cet article présente le cycle de vie des alertes depuis la création, jusqu’à la correction finale et au réglage de la stratégie. Il vous présente également les outils que vous utilisez pour examiner les alertes.

Licences SKU/abonnements

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

Autorisations

Le compte que vous utilisez pour créer et déployer des stratégies doit être membre de l’un de ces groupes de rôles

• Administrateur de conformité
• Administrateur de conformité des données
• Protection des informations
• Administrateur Information Protection
• Administrateur de sécurité

Importante

Veillez à comprendre la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative en lisant Unités administratives avant de commencer.

Rôles granulaires et groupes de rôles

Il existe des rôles et des groupes de rôles que vous pouvez utiliser pour affiner vos contrôles d’accès.

Voici une liste des rôles applicables. Pour plus d’informations, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Gestion de la conformité DLP
• Administrateur Information Protection
• Analyste Information Protection
• Enquêteur Information Protection
• Lecteur Information Protection

Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Pour en savoir plus, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Protection des informations
• Administrateurs Information Protection
• Analystes Information Protection
• Enquêteurs Information Protection
• Lecteurs Information Protection

Scénarios de création de stratégie

L’article précédent Concevoir une stratégie DLP vous a présenté la méthodologie de création d’une instruction d’intention de stratégie, puis le mappage de cette instruction d’intention aux options de configuration de stratégie. Cette section prend ces exemples, ainsi que quelques exemples supplémentaires et vous guide tout au long du processus de création de stratégie réel. Vous devez utiliser ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.

Il existe tellement d’options de configuration dans le flux de création de stratégie qu’il n’est pas possible de couvrir toutes, voire la plupart des configurations. Cet article couvre donc plusieurs des scénarios de stratégie DLP les plus courants. L’exécution de ces opérations vous offre une expérience pratique sur un large éventail de configurations.

Scénario 1 Bloquer les e-mails avec des numéros de carte de crédit

Importante

Il s’agit d’un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Vous devez remplacer vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.

Conditions préalables et hypothèses du scénario 1

Ce scénario utilise l’étiquette de confidentialité hautement confidentielle . Il nécessite donc que vous ayez créé et publié des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

• En savoir plus sur les étiquettes de niveau de confidentialité
• Prise en main des étiquettes de confidentialité
• Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies

Cette procédure utilise un groupe de distribution hypothétique équipe Finance à Contoso.com et un destinataire adele.vance@fabrikam.comSMTP hypothétique .

Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données

Définition et mappage de l’intention de stratégie du scénario 1

Nous devons bloquer les e-mails à tous les destinataires qui contiennent des numéros de carte de crédit ou auxquels l’étiquette de confidentialité « hautement confidentielle » est appliquée, sauf si l’e-mail est envoyé par un membre de l’équipe financière à adele.vance@fabrikam.com. Nous voulons informer l’administrateur de conformité chaque fois qu’un e-mail est bloqué et avertir l’utilisateur qui a envoyé l’élément et que personne ne peut être autorisé à remplacer le bloc. Suivre toutes les occurrences de cet événement à haut risque dans le journal et nous voulons que les détails de tous les événements soient capturés et mis à disposition pour investigation

Statement	Réponse à la question de configuration et mappage de configuration
« Nous devons bloquer les e-mails à tous les destinataires... »	- Où surveiller : Étendue administrative Exchange - : Action de répertoire - complet : Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers > SharePoint, OneDrive et Teams partagés > Bloquer tout le monde
"... qui contiennent des numéros de carte de crédit ou dont l’étiquette de confidentialité « hautement confidentielle » est appliquée... »	- Que surveiller utilisez le modèle - personnalisé Conditions pour une correspondance modifiez-le afin d’ajouter l’étiquette de confidentialité hautement confidentielle
"... sauf si...	- Configuration du groupe de conditions : créez un groupe de conditions NOT booléen imbriqué joint aux premières conditions à l’aide d’un and booléen
"... l’e-mail est envoyé par une personne de l’équipe financière... »	- Condition de correspondance : L’expéditeur est membre de
"... et... »	- Condition de correspondance : ajouter une deuxième condition au groupe NOT
"... à adele.vance@fabrikam.com... »	- Condition de correspondance : L’expéditeur est
"... Notifier...	- Notifications utilisateur : conseils de stratégie activés - : activé
"... l’administrateur de conformité chaque fois qu’un e-mail est bloqué et avertit l’utilisateur qui a envoyé l’élément... »	- Conseils de stratégie : activé - Notifier ces personnes : sélectionné La personne qui a envoyé, partagé ou modifié le contenu : sélectionné - Envoyer l’e-mail à ces personnes supplémentaires : ajouter l’adresse e-mail de l’administrateur de conformité-
"... et personne ne peut être autorisé à remplacer le bloc...	- Autoriser les remplacements à partir des services M365 : non sélectionné
"... Suivez toutes les occurrences de cet événement à haut risque dans le journal et nous voulons que les détails de tous les événements soient capturés et mis à disposition pour investigation. »	- Utilisez ce niveau de gravité dans les alertes et rapports d’administration : élevé - Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit : sélectionnez - Envoyer une alerte chaque fois qu’une activité correspond à la règle : sélectionné

Étapes de création d’une stratégie pour le scénario 1

Importante

Pour les besoins de cette procédure de création de stratégie, vous acceptez les valeurs include/exclude par défaut et laissez la stratégie désactivée. Vous les modifierez lorsque vous déployez la stratégie.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Se connecter au portail Microsoft Purview

2. Ouvrez la solution de protection contre la perte de données et accédez à Stratégies>+ Créer une stratégie.

3. Sélectionnez Personnalisé dans la liste Catégories .

4. Sélectionnez Personnalisé dans la liste Réglementations .

5. Cliquez sur Suivant.

6. Donnez à la stratégie un nom et une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

   Importante

   Les stratégies ne peuvent pas être renommées

7. Sélectionnez Suivant.

8. Affecter des unités d’administration. Pour appliquer la stratégie à tous les utilisateurs, acceptez le paramètre par défaut.

9. Cliquez sur Suivant.

10. Choisissez l’emplacement où appliquer la stratégie. Sélectionnez uniquement l’emplacement de la messagerie Exchange . Désélectionnez tous les autres emplacements.

11. Cliquez sur Suivant.

12. Dans la page Définir les paramètres de stratégie , l’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

13. Sélectionnez Suivant.

14. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

15. Sous Conditions, sélectionnez Ajouter une condition>contenu

16. (Facultatif) Entrez un nom de groupe.

17. (Facultatif) Sélectionner un opérateur Group

18. Sélectionnez Ajouter des>types d’informations> sensiblesnuméro de carte de crédit.

19. Sélectionnez Ajouter.

20. Toujours dans la section Contenu contient, sélectionnez Ajouter des>étiquettes> de confidentialitéHautement confidentiel, puis choisissez Ajouter.

21. Ensuite, sous la section Contenu contient , choisissez Ajouter un groupe.

22. Laissez l’opérateur booléen défini sur AND, puis définissez le bouton bascule sur NOT.

23. Sélectionnez Ajouter une condition.

24. Sélectionnez L’expéditeur est membre de.

25. Sélectionnez Ajouter ou supprimer des groupes.

26. Sélectionnez Équipe finance , puis choisissez Ajouter.

27. Choisissez Ajouter une condition>Que le destinataire est.

28. Dans le champ e-mail, entrez adele.vance@fabrikam.com et sélectionnez Ajouter .

29. Sous Actions, sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365

30. Sélectionnez Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés, puis sélectionnez Bloquer tout le monde.

31. Définissez le bouton bascule Notifications utilisateursur Activé.

32. Sélectionnez Email notifications>Informez la personne qui a envoyé, partagé ou modifié le contenu pour la dernière fois.

33. Indiquez s’il faut joindre ou non un message électronique correspondant à la notification.

34. Choisissez d’ajouter ou non des conseils de stratégie.

35. Sous Utilisateurs ovverides, assurez-vous que l’option Autoriser les remplacements à partir des applications et services Microsoft 365 ...n’est PAS sélectionnée.

36. Sous Rapports d’incidents, définissez Utiliser ce niveau de gravité dans les alertes et rapports d’administration sur Élevé.

37. Définissez Envoyer une alerte chaque fois qu’une activité correspond à la règle bascule sur Activé.

38. Cliquez sur Enregistrer.

39. Choisissez Suivant, puis Exécuter la stratégie en mode simulation.

40. Choisissez Suivant , puis Envoyer.

41. Choisissez OK.

Portail de conformité

1. Connectez-vous à la stratégie portail de conformité Microsoft Purview>Solutions> Stratégies deprotection contre la> pertede> données + Créer.

2. Sélectionnez Personnalisé dans la liste Catégories .

3. Sélectionnez Personnalisé dans la liste Réglementations , puis choisissez Suivant.

4. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

5. Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

6. Cliquez sur Suivant.

7. Acceptez le répertoire complet par défaut sous Administration unités.

8. Définissez l’emplacement de la messagerie Exchange status sur Activé. Désélectionnez tous les autres emplacements.

9. Cliquez sur Suivant.

10. L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée. Cliquez sur Suivant.

11. Sélectionnez + Créer une règle. Nommez la règle et fournissez une description.

12. Sous Conditions, sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>types d’informations> sensiblesnuméro de carte de crédit. Sélectionnez Ajouter.

13. Sélectionnez Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.

14. Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.

15. Sélectionnez Expéditeur est membre de l’équipe> financeAjouter ou supprimer des groupes>de distribution.

16. Sélectionnez Ajouter.

17. Choisissez Ajouter une condition>Que le destinataire est. Ajoutez adele.vance@fabrikam.com , puis choisissez Ajouter.

18. Sous Action, sélectionnez Ajouter et action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.

19. Sélectionnez Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés et aux éléments Power BI.

20. Sélectionnez Bloquer tout le monde.

21. Définissez Notifications utilisateursur Activé.

22. Sélectionnez Email notification>Notifier ces personnes :>la personne qui a envoyé, partagé ou modifié le contenu.

23. Sous Envoyer l’e-mail à ces personnes supplémentaires et ajoutez l’adresse e-mail de l’administrateur de conformité.

24. Sous Remplacements par l’utilisateur, assurez-vous que l’option Autoriser le remplacement à partir des services M365n’est pas sélectionnée.

25. Sous Rapports d’incidents, définissez Utiliser ce niveau de gravité dans les alertes et rapports d’administration sur élevé.

26. Définissez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.

27. Sélectionnez Envoyer une alerte chaque fois qu’une activité correspond à la règle.

28. Cliquez sur Enregistrer.

29. Sélectionnez Suivant

30. Dans la page Mode de stratégie, sélectionnez Exécuter la stratégie en mode simulation , puis choisissez Suivant.

31. Choisissez Envoyer , puis Terminé.

Scénario 2 Bloquer le partage d’éléments sensibles via SharePoint et OneDrive dans Microsoft 365 avec des utilisateurs externes

Pour SharePoint et OneDrive dans Microsoft 365, vous créez une stratégie pour bloquer le partage d’éléments sensibles avec des utilisateurs externes via SharePoint et OneDrive.

Conditions préalables et hypothèses du scénario 2

Ce scénario utilise l’étiquette de confidentialité Confidentiel . Il nécessite donc que vous ayez créé et publié des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

• En savoir plus sur les étiquettes de niveau de confidentialité
• Prise en main des étiquettes de confidentialité
• Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies

Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.

Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données

Déclaration et mappage de l’intention de stratégie du scénario 2

Nous devons bloquer tout partage d’éléments SharePoint et OneDrive avec tous les destinataires externes qui contiennent des numéros de sécurité sociale, des données de crédit carte ou qui ont l’étiquette de confidentialité « Confidentiel ». Nous ne voulons pas que cela s’applique à quiconque dans l’équipe des ressources humaines. Nous devons également répondre aux exigences d’alerte. Nous voulons informer notre équipe de sécurité avec un e-mail chaque fois qu’un fichier est partagé, puis bloqué. En outre, nous voulons que l’utilisateur soit alerté par e-mail et dans l’interface si possible. Enfin, nous ne voulons pas d’exceptions à la stratégie et devons être en mesure de voir cette activité dans le système.

Statement	Réponse à la question de configuration et mappage de configuration
« Nous devons bloquer tout partage d’éléments SharePoint et OneDrive avec tous les destinataires externes... »	- Étendue administrative : Répertoire - complet Où surveiller : Sites SharePoint, comptes - OneDrive Conditions pour une correspondance : Première condition > partagée en dehors de mon organisation - Action : Restreindre l’accès ou chiffrer le contenu dans les > emplacements Microsoft 365 Empêcher les utilisateurs de recevoir des e-mails ou d’accéder au partage SharePoint, OneDrive > Bloquer uniquement les personnes extérieures à votre organization
"... qui contiennent des numéros de sécurité sociale, des données de crédit carte ou ont l’étiquette de confidentialité « Confidentiel ».	- Éléments à surveiller : utiliser le modèle - personnalisé Condition pour une correspondance : Créez une deuxième condition jointe à la première condition avec une valeur booléenne ET - Conditions pour une correspondance : Deuxième condition, premier groupe > de conditions Le contenu contient les types d’informations sensibles Numéro de sécurité sociale (SSN) des États-Unis, configuration du groupe de conditions de numéro - de carte de crédit Créer un deuxième groupe Condition connecté au premier par booléen OR - Condition pour une correspondance : Deuxième groupe de conditions, deuxième condition > Le contenu contient l’une de ces étiquettes de confidentialité Confidentiel.
"... Nous ne voulons pas que cela s’applique à quiconque dans l’équipe des ressources humaines...	- Où appliquer excluez les comptes OneDrive de l’équipe des ressources humaines
"... Nous voulons informer notre équipe de sécurité avec un e-mail chaque fois qu’un fichier est partagé, puis bloqué... »	- Rapports d’incidents : Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit - Envoyer des alertes par e-mail à ces personnes (facultatif) : ajouter l’équipe - de sécurité Envoyer une alerte chaque fois qu’une activité correspond à la règle : sélectionnez - Utiliser les rapports d’incidents par e-mail pour vous avertir lorsqu’une correspondance de stratégie se produit : Sur - Envoyer des notifications à ces personnes : ajoutez des administrateurs individuels comme vous le souhaitez - Vous pouvez également inclure les informations suivantes dans le rapport : Sélectionner toutes les options
"... En outre, nous voulons que l’utilisateur soit alerté par e-mail et dans l’interface si possible... »	- Notifications utilisateur : Sur - Notifier utilise dans Office 365 avec un conseil de stratégie : sélectionné
"... Enfin, nous ne voulons pas d’exceptions à la stratégie et devons être en mesure de voir cette activité dans le système... »	-Remplacements utilisateur : non sélectionné

Lorsque les conditions sont configurées, le résumé ressemble à ceci :

Étapes de création d’une stratégie pour le scénario 2

Importante

Pour les besoins de cette procédure de création de stratégie, vous laisserez la stratégie désactivée. Vous les modifiez quand vous déployez la stratégie.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Se connecter au portail Microsoft Purview

2. Sélectionnez Stratégies de protection contre la>> perte de données + Créer une stratégie.

3. Sélectionnez Personnalisé dans la liste Catégories et la liste Réglementations .

4. Cliquez sur Suivant.

5. Donnez à la stratégie un nom et une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

   Importante

   Les stratégies ne peuvent pas être renommées.

6. Sélectionnez Suivant.

7. Acceptez le répertoire complet par défaut dans la page Attribuer des unités d’administration .

8. Cliquez sur Suivant.

9. Choisissez l’emplacement où appliquer la stratégie.

   1. Vérifiez que les emplacements des sites SharePoint et des comptes OneDrive sont sélectionnés.
   2. Désélectionnez tous les autres emplacements.
   3. Sélectionnez Modifier dans la colonne Étendue en regard de Comptes OneDrive.
   4. Sélectionnez Tous les utilisateurs et groupes, puis Sélectionnez Exclure les utilisateurs et les groupes.
   5. Choisissez +Exclure , puis Exclure les groupes.
   6. Sélectionnez Ressources humaines.

10. Choisissez Terminé , puis Suivant.

11. Dans la page Définir les paramètres de stratégie , l’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée. Cliquez sur Suivant.

12. Dans la page Personnaliser les règles DLP avancées , sélectionnez + Créer une règle.

13. Donnez à la règle un Nom et une description.

14. Sélectionnez Ajouter une condition et utilisez ces valeurs :

    1. Choisissez Le contenu est partagé à partir de Microsoft 365.
    2. Sélectionnez avec des personnes en dehors de mon organization.

15. Sélectionnez Ajouter une condition pour créer une deuxième condition et utiliser ces valeurs.

    1. Sélectionnez Contenu contient.

16. Sélectionnez Ajouter des>étiquettes> de confidentialité, puis Confidentiel.

17. Sélectionnez Ajouter.

18. Sous Actions, ajoutez une action avec les valeurs suivantes :

    1. Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.
    2. Bloquez uniquement les personnes extérieures à votre organization.

19. Définissez le bouton bascule Notifications utilisateursur Activé.

20. Sélectionnez Notifier les utilisateurs dans Office 365 services avec un conseil de stratégie, puis sélectionnez Notifier l’utilisateur qui a envoyé, partagé ou modifié le contenu pour la dernière fois.

21. Sous Remplacements d’utilisateur, assurez-vous que l’option Autoriser le remplacement à partir des services M365n’est PAS sélectionnée.

22. Sous Rapports d’incident :

    1. Définissez Utiliser ce niveau de gravité dans les alertes et rapports d’administrateur sur Faible.
    2. Définissez le bouton bascule pour Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.

23. Sous Envoyer des alertes par e-mail à ces personnes (facultatif), choisissez + Ajouter ou supprimer des utilisateurs , puis ajoutez l’adresse e-mail de l’équipe de sécurité.

24. Choisissez Enregistrer , puis Suivant.

25. Dans la page Mode stratégie , choisissez Exécuter la stratégie en mode simulation et Afficher les conseils de stratégie en mode simulation.

26. Choisissez Suivant , puis Envoyer.

27. Choisissez OK.

Portail de conformité

1. Dans le portail de conformité Microsoft Purview accédez à Solutions Stratégies> deprotection contre la>> perte de données + Créer une stratégie.

2. Sélectionnez Personnalisé dans la liste Catégories , puis Stratégie personnalisée dans la liste Réglementations .

3. Cliquez sur Suivant.

4. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

5. Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

6. Cliquez sur Suivant.

7. Acceptez le répertoire complet par défaut sous Administration unités.

8. Cliquez sur Suivant.

9. Définissez les sites SharePoint et les emplacements des comptes OneDrive , Désélectionnez tous les autres emplacements.

10. Modifiez l’étendue des comptes OneDrive . Sélectionnez Tous les utilisateurs et groupe>Exclure les utilisateurs et les groupes>+ Exclure>Exclure les groupes et ajoutez le groupe Ressources humaines .

11. Sélectionnez Terminé.

12. Sélectionnez Terminé.

13. Sélectionnez Suivant.

14. Dans la page Définir les paramètres de stratégie , l’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée. Cliquez sur Suivant.

15. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

16. Sous Conditions, sélectionnez + Ajouter une condition>Le contenu est partagé à partir de Microsoft 365>avec des personnes extérieures à mon organization.

17. Choisissez Ajouter une condition.

18. Sélectionnez Contenu contient>Ajouter des> types >d’informations sensiblesnuméro de sécurité sociale (SSN) et numéro de carte de crédit. Sélectionnez Ajouter.

19. Sélectionnez Créer un groupe. Définissez l’opérateur booléen sur OR

20. Sélectionnez >Ajouter des>étiquettes> de confidentialité et Confidentiel.

21. Sélectionnez Ajouter.

22. Sous Actions, sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365Bloquer uniquement les personnes extérieures à votre organization.>

23. Définissez Notifications utilisateursur Activé.

24. Sélectionnez Notifier les utilisateurs dans Office 365 services avec un conseil>de stratégie Notifier l’utilisateur qui a envoyé, partagé ou modifié le contenu pour la dernière fois.

25. Sous Remplacements par l’utilisateur, assurez-vous que l’option Autoriser le remplacement à partir des services M365n’est pas sélectionnée.

26. Sous Rapports d’incidents, définissez ce niveau de gravité sur Faible dans les alertes et rapports d’administration.

27. Définissez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.

28. Sous Envoyer des alertes par e-mail à ces personnes (facultatif), choisissez + Ajouter ou supprimer des utilisateurs.

29. Ajoutez l’adresse e-mail de l’équipe de sécurité.

30. Sélectionnez Envoyer une alerte chaque fois qu’une activité correspond à la règle.

31. Cliquez sur Enregistrer.

32. Cliquez sur Suivant.

33. Dans la page Mode de stratégie, choisissez Exécuter la stratégie en mode simulation.

34. Choisissez Suivant , puis Envoyer.

35. Choisissez OK.

Déploiement

Un déploiement de stratégie réussi ne se limite pas à l’obtention de la stratégie dans votre environnement pour appliquer des contrôles sur les actions de l’utilisateur. Un déploiement aléatoire et pressé peut avoir un impact négatif sur le processus métier et gêner vos utilisateurs. Ces conséquences ralentissent l’acceptation de la technologie DLP dans votre organization et les comportements plus sûrs qu’elle favorise. En fin de compte, rendre vos éléments sensibles moins sûrs à long terme.

Avant de commencer votre déploiement, vérifiez que vous avez lu le déploiement de stratégie. Il vous donne une vue d’ensemble générale du processus de déploiement de stratégie et des conseils généraux.

Cette section explore plus en détail les trois types de contrôles que vous utilisez de concert pour gérer vos stratégies en production. N’oubliez pas que vous pouvez modifier l’un de ces éléments à tout moment, pas seulement lors de la création de la stratégie.

Trois axes de gestion du déploiement

Il existe trois axes que vous pouvez utiliser pour contrôler le processus de déploiement de stratégie, l’étendue, l’état de la stratégie et les actions. Vous devez toujours adopter une approche incrémentielle du déploiement d’une stratégie, du mode le moins impactant/simulation à l’application complète.

Configurations de contrôle de déploiement recommandées

Lorsque l’état de votre stratégie est	L’étendue de votre stratégie peut être	Impact des actions de stratégie
Exécuter la stratégie en mode simulation	L’étendue de la stratégie des emplacements peut être étroite ou large	- Vous pouvez configurer n’importe quelle action - Aucun impact sur l’utilisateur des actions configurées - Administration voit les alertes et peut suivre les activités
Exécuter la stratégie en mode simulation avec des conseils de stratégie	La stratégie doit être étendue pour cibler un groupe pilote, puis développer l’étendue à mesure que vous réglez la stratégie	- Vous pouvez configurer n’importe quelle action - Aucun impact sur l’utilisateur des actions configurées - Les utilisateurs peuvent recevoir des conseils de stratégie et des alertes - Administration voit les alertes et peut suivre les activités
L’activer	Toutes les instances d’emplacement ciblé	- Toutes les actions configurées sont appliquées aux activités de l’utilisateur : Administration voit les alertes et peut suivre les activités
Gardez-le hors service	s/o	s/o

État

L’état est le contrôle principal que vous utilisez pour déployer une stratégie. Lorsque vous avez terminé de créer votre stratégie, vous définissez l’état de la stratégie sur Conserver la stratégie. Vous devez le laisser dans cet état pendant que vous travaillez sur la configuration de la stratégie et jusqu’à ce que vous obteniez une révision finale et que vous vous en désactiviez. L’état peut être défini sur :

• Exécuter la stratégie en mode simulation : aucune action de stratégie n’est appliquée, les événements sont audités. Dans cet état, vous pouvez surveiller l’impact de la stratégie dans la vue d’ensemble du mode de simulation DLP et la console de l’Explorateur d’activités DLP.
• Exécutez la stratégie en mode simulation et affichez des conseils de stratégie en mode simulation : aucune action n’est appliquée, mais les utilisateurs reçoivent des conseils de stratégie et des e-mails de notification pour les sensibiliser et les éduquer.
• Activez-la immédiatement : il s’agit du mode d’application complète.
• Ne pas le faire : la stratégie est inactive. Utilisez cet état lors du développement et de la révision de votre stratégie avant le déploiement.

Vous pouvez modifier l’état d’une stratégie à tout moment.

Actions

Les actions sont ce qu’une stratégie fait en réponse aux activités des utilisateurs sur des éléments sensibles. Étant donné que vous pouvez les modifier à tout moment, vous pouvez commencer par le moins impactant, Autoriser (pour les appareils) et Auditer uniquement (pour tous les autres emplacements), collecter et examiner les données d’audit, et les utiliser pour paramétrer la stratégie avant de passer à des actions plus restrictives.

• Autoriser : l’activité de l’utilisateur est autorisée à se produire, donc aucun processus métier n’est impacté. Vous obtenez des données d’audit et il n’y a pas de notifications ou d’alertes utilisateur.

  Remarque

  L’action Autoriser est disponible uniquement pour les stratégies qui sont étendues à l’emplacement Appareils .

• Auditer uniquement : l’activité de l’utilisateur est autorisée à se produire, donc aucun processus métier n’est affecté. Vous obtenez des données d’audit et vous pouvez ajouter des notifications et des alertes pour sensibiliser et former vos utilisateurs à savoir que ce qu’ils font est un comportement risqué. Si votre organization a l’intention d’appliquer des actions plus restrictives ultérieurement, vous pouvez également le dire à vos utilisateurs.

• Bloquer avec remplacement : l’activité de l’utilisateur est bloquée par défaut. Vous pouvez auditer l’événement, déclencher des alertes et des notifications. Cela a un impact sur le processus métier, mais vos utilisateurs ont la possibilité de remplacer le bloc et de fournir une raison pour le remplacement. Étant donné que vous obtenez des commentaires directs de vos utilisateurs, cette action peut vous aider à identifier les correspondances de faux positifs, que vous pouvez utiliser pour optimiser davantage la stratégie.

  Remarque

  Pour Exchange Online et SharePoint dans Microsoft 365, les remplacements sont configurés dans la section de notification utilisateur.

• Bloquer : l’activité de l’utilisateur est bloquée quoi qu’il arrive. Vous pouvez auditer l’événement, déclencher des alertes et des notifications.

Étendue de la stratégie

Chaque stratégie est étendue à un ou plusieurs emplacements, tels qu’Exchange, SharePoint dans Microsoft 365, Teams et Appareils. Par défaut, lorsque vous sélectionnez un emplacement, toutes les instances de cet emplacement relèvent de l’étendue et aucune n’est exclue. Vous pouvez affiner les instances de l’emplacement (tels que les sites, les groupes, les comptes, les groupes de distribution, les boîtes aux lettres et les appareils) auxquelles la stratégie est appliquée en configurant les options include/exclude pour l’emplacement. Pour en savoir plus sur vos options d’étendue d’inclusion/exclusion, consultez Emplacements.

En général, vous disposez d’une plus grande flexibilité avec l’étendue lorsque la stratégie est dans l’état Exécuter la stratégie en mode simulation , car aucune action n’est effectuée. Vous pouvez commencer par l’étendue pour laquelle vous avez conçu la stratégie ou aller plus large pour voir comment la stratégie impacte les éléments sensibles dans d’autres emplacements.

Ensuite, lorsque vous modifiez l’état sur Exécuter la stratégie en mode simulation et afficher des conseils de stratégie, vous devez limiter votre portée à un groupe pilote qui peut vous donner des commentaires et être des utilisateurs précoces qui peuvent être une ressource pour d’autres personnes lorsqu’ils sont intégrés.

Lorsque vous déplacez la stratégie sur Activer immédiatement, vous élargissez l’étendue pour inclure toutes les instances des emplacements que vous aviez prévus lors de la conception de la stratégie.

Étapes de déploiement de stratégie

1. Une fois que vous avez créé la stratégie et défini son état sur Ne pas la désactiver, effectuez une révision finale avec vos parties prenantes.
2. Remplacez l’état par Exécuter la stratégie en mode simulation. L’étendue de l’emplacement peut être large à ce stade afin que vous puissiez collecter des données sur le comportement de la stratégie sur plusieurs emplacements ou simplement commencer par un seul emplacement.
3. Ajustez la stratégie en fonction des données de comportement afin qu’elle réponde mieux à l’intention de l’entreprise.
4. Remplacez l’état par Exécuter la stratégie en mode simulation et affichez les conseils de stratégie. Affinez l’étendue des emplacements pour prendre en charge un groupe pilote si nécessaire et utilisez les inclusions/exclusions afin que la stratégie soit d’abord déployée dans ce groupe pilote.
5. Rassemblez les commentaires des utilisateurs et les données d’alerte et d’événement, si nécessaire, ajustez davantage la stratégie et vos plans. Veillez à résoudre tous les problèmes que vos utilisateurs mettent en avant. Vos utilisateurs rencontreront probablement des problèmes et soulèveront des questions sur des choses que vous n’avez pas pensé pendant la phase de conception. Développez un groupe de super utilisateurs à ce stade. Ils peuvent être une ressource permettant de former d’autres utilisateurs à mesure que l’étendue de la stratégie augmente et que de plus en plus d’utilisateurs sont intégrés. Avant de passer à l’étape suivante du déploiement, assurez-vous que la stratégie est atteinte de vos objectifs de contrôle.
6. Modifiez l’état pour l’activer immédiatement. La stratégie est entièrement déployée. Surveillez les alertes DLP et l’Explorateur d’activités DLP. Traiter les alertes.