Démarrage avec des fenêtres contextuelles de surpartage

Lorsque vous configurez la stratégie de protection contre la perte de données (DLP) Microsoft Purview appropriée, DLP vérifie les e-mails avant qu’ils ne soient envoyés pour obtenir des informations étiquetées ou sensibles et applique les actions définies dans la stratégie DLP. Cette fonctionnalité nécessite un abonnement Microsoft 365 E5, ainsi qu’une version d’Outlook qui la prend en charge. Pour identifier la version minimale d’Outlook requise, utilisez le tableau des fonctionnalités pour Outlook et recherchez la ligne de conseil de stratégie DLP empêchant le surpartage .

Importante

Voici un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Vous devez remplacer vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs lors de l’implémentation de cette fonctionnalité.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Licences SKU/abonnements

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, voir Microsoft 365, Office 365, Enterprise Mobility + Security et Abonnements Windows 11 pour les entreprises.

Autorisations

Le compte que vous utilisez pour créer et déployer des stratégies doit être membre de l’un des groupes de rôles suivants

• Administrateur de conformité
• Administrateur de conformité des données
• Protection des informations
• Administrateur Information Protection
• Administrateur de sécurité

Importante

Lisez Unités administratives avant de commencer pour vous assurer que vous comprenez la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative.

Rôles et groupes de rôles granulaires

Il existe plusieurs rôles et groupes de rôles que vous pouvez utiliser pour affiner vos contrôles d’accès.

Voici une liste des rôles applicables. Pour plus d’informations, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Gestion de la conformité DLP
• Administrateur Information Protection
• Analyste Information Protection
• Enquêteur Information Protection
• Lecteur Information Protection

Voici une liste des groupes de rôles applicables. Pour en savoir plus à leur sujet, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Protection des informations
• Administrateurs Information Protection
• Analystes Information Protection
• Enquêteurs Information Protection
• Lecteurs Information Protection

Conditions préalables et hypothèses

Dans Outlook pour Microsoft 365, une fenêtre contextuelle de surpartage affiche une fenêtre contextuelle avant l’envoi d’un message. Pour activer ces fenêtres contextuelles, commencez par étendre votre stratégie à l’emplacement Exchange, puis sélectionnez l’option Afficher l’info-bulle de stratégie sous forme de boîte de dialogue pour l’utilisateur avant d’envoyer dans le conseil de stratégie lorsque vous créez une règle DLP pour cette stratégie.

Notre exemple de scénario utilise l’étiquette de confidentialité hautement confidentielle . Il nécessite donc que vous ayez créé et publié des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

• En savoir plus sur les étiquettes de niveau de confidentialité
• Prise en main des étiquettes de confidentialité
• Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies

Cette procédure utilise contoso.com. un domaine d’entreprise hypothétique.

Intention de stratégie et mappage

Pour cet exemple, notre déclaration d’intention de stratégie est la suivante :

Nous devons bloquer les e-mails à tous les destinataires auxquels l’étiquette de confidentialité « hautement confidentielle » est appliquée, sauf si le domaine du destinataire est contoso.com. Nous voulons informer l’utilisateur avec une boîte de dialogue contextuelle lorsqu’il envoie l’e-mail. Aucun utilisateur ne peut être autorisé à remplacer le bloc.

Statement	Réponse à la question de configuration et mappage de configuration
« Nous devons bloquer les e-mails à tous les destinataires... »	- Où surveiller : Étendue administrative Exchange - : Action de répertoire - complet : Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers > SharePoint, OneDrive et Teams partagés > Bloquer tout le monde
"... qui ont l’étiquette de confidentialité « hautement confidentielle » appliquée... »	- Éléments à surveiller : utiliser le modèle - personnalisé Conditions pour une correspondance : modifiez-le pour ajouter l’étiquette de confidentialité hautement confidentielle
"... sauf si...	Configuration du groupe de conditions : créez un groupe de condition NOT booléen imbriqué joint aux premières conditions à l’aide d’un and booléen
"... le domaine du destinataire est contoso.com. »	Condition de correspondance : Le domaine du destinataire est
"... Notifier...	Notifications utilisateur : activé
"... l’utilisateur avec une boîte de dialogue contextuelle lorsqu’il envoie... »	Conseils de stratégie : sélectionnez - Afficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant d’envoyer : sélectionné
"... Aucun utilisateur ne peut être autorisé à remplacer le bloc...	Autoriser les remplacements à partir des services M365 : non sélectionné

Pour configurer des fenêtres contextuelles de surpartage avec du texte par défaut, la règle DLP doit inclure les conditions suivantes :

• Le contenu contient>Étiquettes> de confidentialitéchoisir votre ou vos étiquettes de confidentialité

et une ou plusieurs des conditions suivantes basées sur le destinataire

• Le destinataire est
• Le destinataire est membre de
• Le domaine du destinataire est

Lorsque ces conditions sont remplies, le conseil de stratégie affiche les destinataires non approuvés pendant que l’utilisateur écrit le courrier dans Outlook, avant de l’envoyer.

Étapes de configuration de l'« attente lors de l’envoi »

Si vous le souhaitez, vous pouvez définir la clé de regkey dlpwaitonsendtimeout (valeur dans dword) sur tous les appareils sur lesquels vous souhaitez implémenter « wait on send » pour les fenêtres contextuelles de surpartage. Cette clé de Registre (RegKey) définit la durée maximale de conservation de l’e-mail lorsqu’un utilisateur sélectionne Envoyer. Cela permet au système d’effectuer l’évaluation de la stratégie DLP pour le contenu étiqueté ou sensible. Vous trouverez ce RegKey sous :

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Vous pouvez définir cette clé d’enregistrement via une stratégie de groupe (Spécifier le temps d’attente pour évaluer le contenu sensible), un script ou un autre mécanisme de configuration des clés de Registre.

Si vous utilisez une stratégie de groupe, vérifiez que vous avez téléchargé la version la plus récente des fichiers de modèle d’administration de stratégie de groupe pour Microsoft 365 Apps for enterprise, puis accédez à ce paramètre à partir de Configuration >> utilisateur Modèles >> d’administration Microsoft Office 2016 >> Security Settings. Si vous utilisez le service Cloud Policy pour Microsoft 365, recherchez le paramètre par nom pour le configurer.

Lorsque cette valeur est définie et que la stratégie DLP est configurée, les e-mails sont vérifiés pour les informations sensibles avant d’être envoyés. Si un message contient une correspondance aux conditions définies dans la stratégie, une notification de conseil de stratégie s’affiche avant que l’utilisateur clique sur Envoyer.

Cette RegKey vous permet de spécifier le comportement d’attente lors de l’envoi pour vos clients Outlook.

Voici ce que signifient chacun des paramètres :

Non configuré ou désactivé : il s’agit de la valeur par défaut. Lorsque dlpwaitonsendtimeout n’est pas configuré, le message n’est pas vérifié avant que l’utilisateur ne l’envoie. Le message électronique est envoyé immédiatement une fois que vous avez cliqué sur Envoyer . Le service de classification des données DLP évalue le message et applique les actions définies dans la stratégie DLP.

Activé : l’e-mail est vérifié lorsque l’utilisateur clique sur Envoyer , mais avant que le message ne soit réellement envoyé. Vous pouvez définir une limite de temps sur le délai d’attente de la fin de l’évaluation de la stratégie DLP (valeur T , en secondes). Si l’évaluation de la stratégie ne se termine pas à l’heure spécifiée, un bouton Envoyer quand même s’affiche, ce qui permet à l’utilisateur de contourner la vérification préalable à l’envoi. La plage de valeurs T est comprise entre 0 et 9999 secondes.

Importante

Si la valeur T est supérieure à 9999, elle est remplacée par 10000 et le bouton Envoyer quand même n’apparaît pas. Cela conserve le message jusqu’à la fin de l’évaluation de la stratégie et ne fournit pas d’option de remplacement à l’utilisateur. La durée de l’évaluation peut varier en fonction de facteurs tels que la vitesse d’Internet, la longueur du contenu et le nombre de stratégies définies. Certains utilisateurs peuvent rencontrer des messages d’évaluation de stratégie plus fréquemment que d’autres, en fonction des stratégies déployées sur leur boîte aux lettres.

Pour en savoir plus sur la configuration et l’utilisation de l’objet de stratégie de groupe, consultez Administrer la stratégie de groupe dans un domaine managé Microsoft Entra Domain Services.

Étapes de création d’une stratégie DLP pour une fenêtre contextuelle de surpartage

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail> Microsoft PurviewStratégies de protection contre la> perte de données

2. Choisissez + Créer une stratégie.

3. Sélectionnez Personnalisé dans la liste Catégories .

4. Sélectionnez Personnalisé dans la liste Réglementations .

5. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

6. Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

7. Sélectionnez Suivant.

8. Sélectionnez Répertoire complet sous Unités d’administration.

9. Sélectionnez uniquement l’emplacement de la messagerie Exchange .

10. Sélectionnez Suivant.

11. Dans la page Définir les paramètres de stratégie , sélectionnez Créer ou personnaliser des règles DLP avancées.

12. L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

13. Sélectionnez Suivant.

14. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

15. Sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.

16. Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.

17. Sélectionnez Le domaine du destinataire est>contoso.com. Sélectionnez Ajouter.

    Conseil

    Vous pouvez également utiliser Recipient is ou Recipient is un membre de au lieu de Domaine du destinataire pour déclencher une fenêtre contextuelle de surpartage.

18. Sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.

19. Sélectionnez Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés, ainsi qu’aux éléments Power BI.

20. Sélectionnez Bloquer tout le monde.

21. Définissez le bouton bascule Notifications utilisateursur Activé.

22. Sélectionnez Conseils> de stratégieAfficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant l’envoi (disponible pour la charge de travail Exchange uniquement).

23. Si cette option est déjà sélectionnée, décochez l’option Autoriser le remplacement à partir des services M365 .

24. Cliquez sur Enregistrer.

25. Définissez le bouton bascule État sur Activé , puis choisissez Suivant.

26. Dans la page Mode stratégie , sélectionnez Exécuter la stratégie en mode test et cochez la case Afficher les conseils de stratégie en mode simulation .

27. Choisissez Suivant , puis Envoyer.

28. Choisissez OK.

Portail de conformité

1. Connectez-vous au portail > de conformité Microsoft PurviewSolutions Stratégies> deprotection contre la>> perte de données + Créer une stratégie.

2. Sélectionnez Personnalisé dans la liste Catégories .

3. Sélectionnez Personnalisé dans la liste Modèles .

4. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

5. Entrez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

6. Sélectionnez Suivant.

7. Sélectionnez Répertoire complet sous Unités d’administration.

8. Sélectionnez uniquement l’emplacement de la messagerie Exchange .

9. Sélectionnez Suivant.

10. Acceptez les valeurs par défaut pour Inclure = tout et Exclure = aucun.

11. L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

12. Sélectionnez Suivant.

13. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

14. Sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.

15. Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.

16. Sélectionnez Le domaine du destinataire est>contoso.com. Sélectionnez Ajouter.

    Conseil

    Recipient is et Recipient is a member of peuvent également être utilisés à l’étape précédente et déclenchent une fenêtre contextuelle de surpartage.

17. Sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés>.>>Bloquer tout le monde.

18. Définissez Notifications utilisateursur Activé.

19. Sélectionnez Conseils> de stratégieAfficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant l’envoi.

20. Assurez-vous que l’option Autoriser le remplacement à partir des services M365n’est pas sélectionnée.

21. Cliquez sur Enregistrer.

22. Choisissez Suivant>Ne pas l’envoyer>suivant>.

Étapes PowerShell pour créer une stratégie

Les stratégies et règles DLP peuvent également être configurées dans PowerShell. Pour configurer des fenêtres contextuelles de surpartage à l’aide de PowerShell, commencez par créer une stratégie DLP (à l’aide de PowerShell) et ajoutez des règles DLP pour chaque type de fenêtre contextuelle d’avertissement, de justification ou de blocage.

Vous allez configurer et étendre votre stratégie DLP à l’aide de New-DlpCompliancePolicy. Ensuite, vous allez configurer chaque règle de surpartage à l’aide de New-DlpComplianceRule

Pour configurer une nouvelle stratégie DLP pour le scénario contextuel de surpartage, utilisez cet extrait de code :

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Cet exemple de stratégie DLP est étendu à tous les utilisateurs de votre organisation. Limitez vos stratégies DLP à l’aide -ExchangeSenderMemberOf de et -ExchangeSenderMemberOfException.

Paramètre	Configuration
-ContentContainsSensitiveInformation	Configure une ou plusieurs conditions d’étiquette de confidentialité. Cet exemple en inclut un. Au moins une étiquette est obligatoire.
-ExceptIfRecipientDomainIs	Liste des domaines approuvés.
-NotifyAllowOverride	« WithJustification » active les cases d’option de justification, « WithoutJustification » les désactive.
-NotifyOverrideRequirements	« WithAcknowledgement » active la nouvelle option d’accusé de réception. Cette option est facultative.

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle d’avertissement à l’aide de domaines approuvés, exécutez le code PowerShell suivant :

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de justification à l’aide de domaines approuvés, exécutez ce code PowerShell :

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de bloc à l’aide de domaines approuvés, exécutez ce code PowerShell :

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Utilisez ces procédures pour accéder à l’en-tête X de justification métier.

Voir aussi

• Prise en main du tableau de bord Alertes de protection contre la perte de données
• Créer et déployer des stratégies de protection contre la perte de données