Appliquer automatiquement une étiquette de confidentialité au contenu

  • Article

Guide de sécurité et conformité pour les licences Microsoft 365.

Remarque

Pour plus d'informations sur l'application automatique d'une étiquette de sensibilité dans la carte de données, voir Étiquetage dans la carte de données Microsoft Purview .

Lorsque vous créez une étiquette de confidentialité, vous pouvez attribuer automatiquement cette étiquette au contenu lorsque celle-ci répond aux conditions que vous spécifiez.

La possibilité d’appliquer automatiquement des étiquettes à du contenu est importante pour les raisons suivantes :

  • Vous n’avez pas besoin de former vos utilisateurs pour leur apprendre à utiliser chacune de vos classifications.

  • Vous n’avez pas à dépendre des utilisateurs pour classer correctement tout le contenu.

  • Vos utilisateurs n’ont plus besoin de connaître vos stratégies. À la place, ils peuvent porter leur attention sur leur travail.

Deux méthodes s’offrent à vous pour appliquer automatiquement une étiquette de confidentialité au contenu dans Microsoft 365 :

  • Étiquetage côté client lorsque les utilisateurs modifient des documents ou rédigent des e-mails (lorsqu’ils répondent ou transfèrent un e-mail également) : utilisez une étiquette configurée pour l’étiquetage automatique des fichiers et des e-mails (cela inclut Word, Excel, PowerPoint et Outlook).

    Cette méthode prend en charge la recommandation d’une étiquette aux utilisateurs ainsi que l’application automatique d’une étiquette. Dans les deux cas, l’utilisateur décide d’accepter ou de refuser l’étiquette afin de garantir l’étiquetage correct du contenu. Cet étiquetage côté client présente un délai minimal pour les documents, car l’étiquette peut être appliquée avant même que le document ne soit enregistré. Toutefois, toutes les applications clientes ne prennent pas en charge l’étiquetage automatique.

    Pour des instructions de configuration, consultez l’article Comment configurer l’étiquetage automatique pour les applications Office sur cette page.

  • Étiquetage côté service lorsque le contenu est déjà enregistré (dans SharePoint ou dans OneDrive) ou est envoyé par e-mail (traité par Exchange Online) : utilisez une stratégie d’étiquetage automatique.

    Cette méthode est également appelée étiquetage automatique des données au repos (documents dans SharePoint et dans OneDrive) et de données en transit (courriers envoyés ou reçus par Exchange). Dans le cas d’Exchange, cela n’inclut pas les e-mails au repos (boîtes aux lettres).

    Comme cet étiquetage est appliqué par les services plutôt que par les applications, vous n’avez pas à vous soucier des applications des utilisateurs et de leur version. Par conséquent, cette fonctionnalité est immédiatement disponible dans toute l’organisation et est appropriée pour l’étiquetage à grande échelle. Les stratégies d’étiquetage automatique ne prennent pas en charge l’étiquetage recommandé, car l’utilisateur n’interagit pas avec le processus d’étiquetage. Au lieu de cela, l’administrateur exécute les stratégies dans la simulation pour garantir l’étiquetage correct du contenu avant d’appliquer réellement l’étiquette.

    Pour des instructions de configuration, consultez l’article Configurer les stratégies d’étiquetage automatique pour SharePoint, OneDrive et Exchange sur cette page.

    Spécifique à l’étiquetage automatique pour SharePoint et OneDrive :

    • Les documents PDF et les fichiers Office pour Word (.docx), PowerPoint (.pptx) et Excel (.xlsx) sont pris en charge.
      • Ces fichiers peuvent être étiquetés automatiquement au repos avant ou après la création des stratégies d’étiquette automatique. Les fichiers ne peuvent pas être étiquetés automatiquement s’ils font partie d’une session ouverte (le fichier est ouvert).
      • Les pièces jointes aux éléments de liste ne sont actuellement pas prises en charge et ne seront pas étiquetées automatiquement.
    • Jusqu’à 25 000 fichiers automatiquement étiquetés dans votre client par jour.
    • Jusqu’à 100 stratégies d’étiquetage automatique par locataire, chacune ciblant jusqu’à 100 emplacements (sites SharePoint ou utilisateurs individuels ou groupes OneDrive) lorsque vous spécifiez des emplacements spécifiques à l’aide des options Inclus ou Exclu . Si vous conservez la configuration par défaut de Tous, cette configuration est exemptée du nombre maximal de 100 emplacements.
    • Les valeurs existantes pour les valeurs modifiées, modifiées par et la date ne sont pas modifiées en raison des stratégies d’étiquetage automatique, pour le mode de simulation et le moment où les étiquettes sont appliquées.
    • Lorsque l’étiquette applique le chiffrement, l’émetteur des droits de gestion et le propriétaire de la gestion des droits correspond au dernier compte qui a modifié le fichier.

    Spécifique à l’étiquetage automatique pour Exchange :

    • Les pièces jointes PDF et les pièces jointes Office sont analysées à la recherche des conditions que vous spécifiez dans votre stratégie d’étiquetage automatique. En cas de correspondance, l’e-mail est étiqueté, mais pas la pièce jointe.
      • Pour les fichiers PDF, si l'étiquette applique le cryptage, ces fichiers sont cryptés en utilisant le cryptage des messages lorsque votre locataire est activé pour les pièces jointes PDF.
      • Ces fichiers Office sont pris en charge dans Word, PowerPoint et Excel. Si l’étiquette applique le chiffrement et que ces fichiers ne sont pas chiffrés, ils sont désormais chiffrés à l’aide du chiffrement des messages. Les paramètres de chiffrement sont hérités du courrier.
    • Pour étiqueter et protéger les e-mails qui contiennent des messages vocaux Teams, consultez les instructions de configuration dans Activer la messagerie vocale protégée dans votre organization.
    • Si vous avez des règles de flux d'e-mails Exchange ou des stratégies de prévention des pertes de données (DLP) Microsoft Purview qui appliquent le cryptage IRM : Lorsque le contenu est identifié par ces règles ou stratégies et une stratégie d'étiquetage automatique, l'étiquette est appliquée. Si cette étiquette applique le chiffrement, les paramètres IRM des règles de flux de messagerie Exchange ou des stratégies de protection contre la perte de données sont ignorés. Toutefois, si cette étiquette n’applique pas le chiffrement, les paramètres IRM des règles de flux de messagerie ou des stratégies de protection contre la perte de données sont appliqués en plus de l’étiquette.
    • Les e-mails dont le chiffrement IRM n’a pas d’étiquette sont remplacés par une étiquette avec tous les paramètres de chiffrement lorsqu’il existe une correspondance à l’aide de l’étiquetage automatique.
    • Les e-mails entrants sont étiquetés lorsqu’il existe une correspondance avec vos conditions d’étiquetage automatique. Pour que ce résultat s’applique aux expéditeurs en dehors de votre organization, l’emplacement Exchange doit être défini sur Tous inclus et Aucun exclu. Si l’étiquette est configurée pour le chiffrement :
      • Ce chiffrement est toujours appliqué lorsque l’expéditeur provient de votre organization.
      • Par défaut, ce chiffrement n’est pas appliqué lorsque l’expéditeur est en dehors de votre organisation, mais peut être appliqué en configurant Paramètres supplémentaires pour messagerieet en spécifiant un propriétaire Rights Management.
    • Lorsque l’étiquette applique le chiffrement, l’émetteur Rights Management et propriétaire Rights Management est la personne qui envoie l’e-mail lorsque l’expéditeur est de votre propre organisation. Lorsque l’expéditeur est en dehors de votre organisation, vous pouvez spécifier un propriétaire Rights Management pour les e-mails entrants étiquetés et chiffrés par votre stratégie.
    • Si l’étiquette est configurée pour appliquer marquages dynamiques, sachez que pour les e-mails entrants, cette configuration peut entraîner l’affichage des noms des personnes extérieures à votre organisation.

Remarque

Pour certains nouveaux clients, nous offrons la configuration automatique des paramètres d’étiquetage automatique par défaut pour l’étiquetage côté client et l’étiquetage côté service. Même si vous n’êtes pas éligible à cette configuration automatique, vous pouvez trouver utile de référencer leur configuration. Par exemple, vous pouvez configurer manuellement des étiquettes existantes et créer vos propres stratégies d’étiquetage automatique avec les mêmes paramètres pour accélérer votre déploiement d’étiquetage.

Pour plus d'informations, voir Étiquettes et politiques par défaut pour Microsoft Purview Information Protection.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Comparer l’étiquetage automatique pour les applications Office et les stratégies d’étiquetage automatique

Utilisez le tableau suivant pour vous aider à déterminer les différences de comportement de ces deux méthodes d’étiquetage automatiques complémentaires :

Fonctionnalité ou comportement Paramètre de l’étiquette : étiquetage automatique des fichiers et des e-mails Stratégie : étiquetage automatique
Dépendance de l’application Oui (versions minimales) Non*
Limiter par emplacement Non Oui
Conditions : options de partage et options supplémentaires pour le courrier électronique Non Oui
Conditions : exceptions Non Oui
Prise en charge des fichiers PDF Non Oui
Prise en charge des images Non Oui
Recommandations, info-bulle de stratégie et remplacements de l’utilisateur Oui Non
Mode simulation Non Oui
Pièces jointes Exchange vérifiées pour les conditions Non Oui
Appliquer des marquages visuels Oui Oui (e-mail uniquement)
Remplacer le chiffrement IRM appliqué sans étiquette Oui, si l’utilisateur dispose du droit d’utilisation minimal d’exportation Oui (e-mail uniquement)
Étiquette du courrier électronique entrant Non Oui
Affecter un propriétaire Rights Management pour les e-mails envoyés à partir d’une autre organisation Non Oui
Pour les e-mails, remplacez l’étiquette existante ayant la même priorité ou une priorité inférieure Non Oui (configurable)

* L’étiquetage automatique n’est actuellement pas disponible dans toutes les régions en raison d’une dépendance Azure principale. Si votre locataire ne peut pas prendre en charge cette fonctionnalité, la page d’étiquetage automatique n’est pas visible dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview. Pour plus d’informations, voir Disponibilité des dépendances Azure par pays.

Comment plusieurs conditions sont évaluées lorsqu’elles s’appliquent à plusieurs étiquettes

Les étiquettes sont classées pour évaluation en fonction de leur position que vous spécifiez dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview : l’étiquette positionnée en premier a la position la plus basse (la moins sensible, donc la priorité la plus basse) et l’étiquette positionnée en dernier a la position la plus élevée (la plus sensible, donc la priorité la plus élevée). L’étiquette avec le numéro de commande le plus élevé est sélectionnée.

Ce comportement est également vrai pour l’étiquetage automatique côté service (stratégies d’étiquetage automatique) lorsque les sous-étiquettes partagent la même étiquette parente : si après l’évaluation et le classement, plusieurs sous-étiquettes de la même étiquette parente répondent aux conditions d’étiquetage automatique, la sous-étiquette avec le numéro d’ordre le plus élevé est sélectionnée et appliquée.

Toutefois, le comportement est un peu différent pour l’étiquetage automatique côté client (paramètres d’étiquetage automatique dans l’étiquette). Si plusieurs sous-étiquettes de la même étiquette parente correspondent aux conditions :

  • Si un fichier n’est pas déjà étiqueté, la sous-étiquette d’ordre le plus élevé configurée pour l’étiquetage automatique est toujours sélectionnée, plutôt que la sous-étiquette d’ordre le plus élevé configurée pour l’étiquetage recommandé. Si aucune de ces sous-étiquettes n’est configurée pour l’étiquetage automatique, mais uniquement l’étiquetage recommandé, la sous-étiquette d’ordre le plus élevé est sélectionnée et recommandée.

  • Si un fichier est déjà étiqueté avec une sous-étiquette du même parent, aucune action n’est effectuée et la sous-étiquette existante reste. Ce comportement s’applique même si la sous-étiquette existante était une étiquette par défaut ou automatiquement appliquée.

Pour plus d’informations sur la priorité des étiquettes, consultez Priorité des étiquettes (ordre important).

Considérations relatives aux configurations d’étiquettes

Les considérations suivantes s’appliquent à l’étiquetage côté client et à l’étiquetage côté service.

Une étiquette parent (une étiquette comportant des sous-étiquettes) ne peut pas être appliquée au contenu. Assurez-vous de ne pas configurer d’étiquette parent pour qu’elle soit appliquée automatiquement ou recommandée dans les applications Office ; ne sélectionnez pas d’étiquette parent pour une stratégie d’attribution automatique d’étiquette. Dans le cas contraire, l’étiquette parent ne sera pas appliquée au contenu.

Pour utiliser l’étiquetage automatique avec des sous-étiquettes, assurez-vous de publier l’étiquette parent et la sous-étiquette.

Pour en savoir plus sur les étiquettes parents et les sous-étiquettes, consultez la section Sous-étiquettes (regroupement d’étiquettes).

Étendue d’étiquette qui exclut les fichiers ou les e-mails

Pour appliquer automatiquement une étiquette de confidentialité au contenu, l’étendue de l’étiquette doit inclure Des éléments. Si vous affinez cette sélection, vous devez inclure Fichiers si vous souhaitez appliquer automatiquement une étiquette aux documents, et E-mails pour appliquer automatiquement une étiquette aux e-mails.

Pour plus d’informations sur l’affinement de l’étendue des étiquettes Items , consultez Étendre les étiquettes à des fichiers ou des e-mails uniquement.

Une étiquette existante sera-t-elle remplacée ?

Remarque

Un paramètre récemment ajouté pour les stratégies d’étiquetage automatique des e-mails vous permet de spécifier qu’une étiquette de confidentialité correspondante remplacera toujours une étiquette existante.

Comportement par défaut indiquant si l’étiquetage automatique remplace une étiquette existante :

  • Lorsque le contenu a été étiqueté manuellement, cette étiquette ne sera pas remplacée par l’étiquetage automatique.

  • L’étiquetage automatique remplace une étiquette de confidentialité de priorité inférieure qui a été appliquée automatiquement, mais pas une étiquette de priorité plus élevée.

    Conseil

    Par exemple, l’étiquette de confidentialité en haut de la liste dans le portail Microsoft Purview ou la portail de conformité Microsoft Purview est nommée Public avec un numéro de commande (priorité) de 0, et l’étiquette de confidentialité en bas de la liste est nommée Hautement confidentiel avec un numéro de commande (priorité de 4). L’étiquette Hautement confidentiel peut remplacer l’étiquette Public, mais pas l’inverse.

Pour les stratégies d’étiquetage automatique des e-mails uniquement, vous pouvez sélectionner un paramètre pour toujours remplacer une étiquette de confidentialité existante, quelle que soit la façon dont elle a été appliquée.

Étiquette existante Remplacer par le paramètre d’étiquette : étiquetage automatique pour les fichiers et les e-mails Remplacer par la stratégie : étiquetage automatique
Appliqué manuellement, n’importe quelle priorité Word, Excel, PowerPoint : Non

Outlook : Non		 SharePoint et OneDrive : Non

Exchange : Non par défaut, mais configurable
Application automatique ou étiquette par défaut de la stratégie, priorité inférieure Word, Excel, PowerPoint : Oui *

Outlook : Oui *		 SharePoint et OneDrive : Oui

Exchange : Oui
Application automatique ou étiquette par défaut de la stratégie, priorité supérieure Word, Excel, PowerPoint : Non

Outlook : Non		 SharePoint et OneDrive : Non

Exchange : Non par défaut, mais configurable

* Il existe une exception pour les sous-étiquettes qui partagent la même étiquette parente

Le paramètre configurable pour les stratégies d’étiquetage automatique de l’e-mail se trouve sur la page Paramètres supplémentaires pour le courrier électronique. Cette page s’affiche une fois que vous avez sélectionné une étiquette de confidentialité pour une stratégie d’étiquetage automatique qui inclut l’emplacement Exchange.

Comment configurer l’étiquetage automatique pour les applications Office

Pour l’étiquetage intégré dans Office applications, vérifiez les versions minimales requises pour l’étiquetage automatique dans Office applications.

Les paramètres d’étiquetage automatique des applications Office sont disponibles lorsque vous créer ou modifier une étiquette de confidentialité. Vérifiez que Items est sélectionné pour l’étendue de l’étiquette. Vérifiez ensuite que Les fichiers sont également sélectionnés pour étiqueter automatiquement les documents, et que Les e-mails sont sélectionnés pour étiqueter automatiquement les e-mails. Par exemple :

Options d’étendue d’étiquette de confidentialité pour les éléments qui incluent fichiers et Email.

À mesure que vous avancez dans la configuration, vous voyez la page Étiquetage automatique pour les fichiers et e-mails dans laquelle vous pouvez choisir parmi une liste de types d’informations sensibles ou de classifieurs pouvant être formés :

Conditions de l’étiquetage automatique dans les applications Office.

Lorsqu’une étiquette de confidentialité est appliquée automatiquement, les utilisateurs voit une notification dans leur application Office. Par exemple :

Notification indiquant qu’une étiquette a été appliquée automatiquement à un document.

Configuration des types d’informations sensibles pour une étiquette

Lorsque vous sélectionnez l’option Types d’informations sensibles , vous voyez la même liste de types d’informations sensibles que lorsque vous créez une stratégie de protection contre la perte de données (DLP). Par exemple, vous pouvez appliquer automatiquement une étiquette hautement confidentiel à tout contenu ayant des informations d’identification personnelle (PII) de clients, comme les numéros de carte de crédit ou les numéros de sécurité sociale :

Types d’informations sensibles pour l’étiquetage automatique dans les applications Office.

De même, lorsque vous configurez les stratégies DLP, vous pouvez affiner votre condition en modifiant le nombre d’instances et la précision de correspondance. Par exemple :

Options pour la précision de la correspondance et le nombre de instance.

Pour en savoir plus sur les niveaux de confiance, consultez la documentation DLP : En savoir plus sur les niveaux de confiance

Importante

Les types d’informations sensibles ont deux manières différentes de définir le nombre maximal de paramètres de d’instances uniques. Pour plus d’informations, consultez Valeurs prises en charge par le nombre d’instances pour SIT.

De même, de même que la configuration de stratégie DLP, vous pouvez choisir si une condition doit détecter tous les types d’informations sensibles ou seulement l’un d’eux. Pour améliorer la flexibilité ou la complexité de vos conditions, vous pouvez ajouter des groupes et utiliser des opérateurs logiques entre les groupes.

Types d’informations sensibles personnalisés à l’aide de la correspondance de données exacte

Vous pouvez configurer une étiquette de confidentialité pour utiliser des types d’informations sensibles basés sur des correspondances de données exactes pour les types d’informations sensibles personnalisés. Toutefois, actuellement, vous devez également spécifier au moins un type d’informations sensibles qui n’utilise pas EDM. Par exemple, l’un des types d’informations sensibles intégrés, comme Numéro de carte de crédit.

Si vous configurez une étiquette de confidentialité avec uniquement EDM comme condition de type d’informations sensibles, le paramètre d’étiquetage automatique est automatiquement désactivé pour l’étiquette.

Configuration des classifieurs pouvant être formés pour une étiquette

Si vous utilisez cette option avec Microsoft 365 Apps pour Windows version 2106 ou inférieure, ou Microsoft 365 Apps pour Mac version 16.50 ou inférieure, assurez-vous que vous avez publié dans votre locataire au moins une autre étiquette de sensibilité configurée pour l'étiquetage automatique et l'option des types d'informations sensibles. Cette exigence n’est pas nécessaire lorsque vous utilisez des versions ultérieures sur ces plateformes.

Lorsque vous sélectionnez l’option Classifieurs pouvant être formés , sélectionnez un ou plusieurs classifieurs préentraînés ou personnalisés :

Options pour les classifieurs pouvant être formés et les étiquettes de confidentialité.

Les classifieurs préentraînés disponibles étant souvent mis à jour, il peut y avoir plus d’entrées à sélectionner que celles affichées dans cette capture d’écran.

Pour plus d’informations sur ces classifieurs, voir En savoir plus sur les classifieurs de formation.

Recommander que l’utilisateur applique une étiquette de critère de sensibilité

Si vous le souhaitez, vous pouvez recommander à vos utilisateurs qu’ils appliquent l’étiquette. Cette option permet à vos utilisateurs d’accepter la classification et toute protection associée, ou d’ignorer la recommandation si l’étiquette ne convient pas à leur contenu.

Option permettant de recommander une étiquette de confidentialité aux utilisateurs.

Lorsque vous utilisez l’étiquetage intégré avec les versions de bureau de Word, les utilisateurs disposent d’une option supplémentaire pour Afficher le contenu sensible avec l’invite d’étiquette recommandée. Lorsqu’il sélectionne ce bouton, le volet Rédacteur guide l’utilisateur dans chaque détection. L’utilisateur peut ensuite supprimer les données sensibles ou les laisser avec une meilleure compréhension de la raison pour laquelle l’étiquette de confidentialité a été recommandée. Lorsqu’ils disposent de ces informations supplémentaires, les utilisateurs ont plus de confiance pour sélectionner le bouton Appliquer la confidentialité . Par exemple :

Invite à appliquer une étiquette recommandée et à afficher du contenu sensible.

Cet exemple montre l’invite d’étiquette recommandée par défaut, mais comme avec l’étiquetage automatique, vous pouvez personnaliser ce texte pour qu’il soit plus explicite ou plus spécifique pour vos utilisateurs. Par exemple, incluez le nom de votre organization ou référencez votre service informatique pour augmenter la visibilité et donner aux utilisateurs plus d’assurance qu’il ne s’agit pas d’un message générique qui ne leur est peut-être pas applicable.

Conseil

Bien que la recommandation d’une étiquette de confidentialité interrompe le flux de travail d’un utilisateur, il s’agit d’un moyen très efficace d’éduquer les utilisateurs sur les données sensibles avec lesquelles ils travaillent. Pour voir cela en action, watch la vidéo : Classifier automatiquement & protéger les documents & les données

L’étiquetage recommandé est particulièrement puissant lorsqu’il est associé à cette option pour permettre aux utilisateurs de parcourir chaque instance de contenu sensible détecté. Cela peut entraîner un étiquetage plus précis, non seulement pour l’élément immédiat, mais également pour les éléments futurs qui nécessitent un étiquetage manuel, ou pour les éléments modifiés qui peuvent maintenant nécessiter un réétiquetage.

Toutes les applications Office ne prennent pas en charge l’étiquetage automatique et recommandé. Pour plus d’informations, voir Prise en charge des fonctionnalités d’étiquettes de confidentialité dans les applications.

Autres considérations :

  • Vous ne pouvez pas utiliser la classification automatique pour les documents et les e-mails qui ont été précédemment étiquetés manuellement ou automatiquement avec une classification supérieure. N’oubliez pas que vous ne pouvez appliquer qu’une seule étiquette de confidentialité à un document ou un e-mail (en plus d’une seule étiquette de rétention).

  • Vous ne pouvez pas utiliser la classification recommandée pour les documents ou e-mails qui ont été étiquetés précédemment avec une classification supérieure. Lorsque le contenu est déjà étiqueté avec une classification supérieure, l'utilisateur ne voit pas l'invite avec la recommandation et le conseil de stratégie.

  • Pour les étiquettes recommandées dans les versions de bureau de Word, le contenu sensible ayant déclenché la recommandation est signalé de sorte que les utilisateurs puissent examiner et supprimer le contenu sensible au lieu d’appliquer l’étiquette de confidentialité recommandée.

Pour plus d’informations sur l’application de ces étiquettes dans les applications Office, les captures d’écran et la détection d’informations sensibles, voir Appliquer ou recommander automatiquement des étiquettes de confidentialité à vos fichiers et e-mails dans Office.

Convertir vos paramètres d’étiquette en stratégie d’étiquetage automatique

Si l’étiquette inclut des types d’informations sensibles pour les conditions configurées, vous verrez une option à la fin du processus de création ou de modification de l’étiquette pour créer automatiquement une stratégie d’étiquetage automatique basée sur les mêmes paramètres d’étiquetage automatique.

Toutefois, si l’étiquette contient des classifieurs pouvant être formés en tant que condition d’étiquette :

  • Lorsque les conditions d’étiquette contiennent uniquement des classifieurs pouvant être entraînés, vous ne voyez pas l’option permettant de créer automatiquement une stratégie d’étiquetage automatique.

  • Lorsque les conditions d’étiquette contiennent des classifieurs pouvant être formés et des types d’informations de confidentialité, une stratégie d’étiquetage automatique est créée uniquement pour les types d’informations sensibles.

Bien qu'une stratégie d'étiquetage automatique soit automatiquement créée pour vous en remplissant automatiquement les valeurs que vous auriez dû sélectionner manuellement si vous aviez créé la stratégie à partir de zéro, vous pouvez toujours visualiser et modifier les valeurs avant qu'elles ne soient enregistrées.

Par défaut, tous les emplacements pour SharePoint, OneDrive et Exchange sont inclus dans la stratégie d’étiquette automatique et, lorsque la stratégie est enregistrée, elle s’exécute en mode simulation. Il n’est pas possible de vérifier que vous avez activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive, ce qui est l’un des prérequis pour l’étiquetage automatique à appliquer au contenu dans SharePoint et OneDrive.

Configurer les stratégies d’étiquetage automatique pour SharePoint, OneDrive et Exchange

Remarque

N’utilisez pas de stratégies d’étiquetage automatique Exchange pour envoyer des e-mails chiffrés pour des distributions de publipostage en masse. Ces stratégies ne sont pas conçues à cet effet et peuvent entraîner des échecs d’envoi et des accusés de réception de non-remise. Pour ce scénario, le paramètre d’étiquette pour envoyer automatiquement des e-mails est plus approprié.

N’oubliez pas de connaître les conditions préalables avant de configurer les stratégies d’attribution automatique d’étiquette.

Conditions préalables pour les stratégies d’étiquetage automatique

  • Mode de simulation :

    • L’audit pour Microsoft 365 doit être activé. Si vous devez activer l’audit ou si vous ne savez pas celui-ci est déjà activé, consultez l’article Activer ou désactiver la recherche dans un journal d’audit.
    • Pour afficher le contenu des fichiers ou des e-mails dans l’affichage source, vous devez disposer du rôle Visionneuse de contenu de classification des données, qui est inclus dans le groupe de rôles Visionneuse de contenu Explorer contenu, ou Information Protection et Information Protection groupes de rôles Enquêteurs. Sans le rôle requis, le volet d’aperçu ne s’affiche pas lorsque vous sélectionnez un élément sous l’onglet Éléments à réviser . Les administrateurs généraux n’ont pas ce rôle par défaut.

  • Pour étiqueter automatiquement des fichiers dans SharePoint et OneDrive :

    • Vous avez activé les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive.
    • Lors de l’exécution de la stratégie d’étiquetage automatique, le fichier ne doit pas être ouvert par un autre processus ni un autre utilisateur. Un fichier examiné pour la modification est inclus dans cette catégorie.
    • Si vous envisagez d’utiliser des types d’informations sensibles :
      • Les types d’informations sensibles que vous sélectionnez s’appliquent uniquement au contenu créé ou modifié après la création ou la modification de ces types d’informations. Cette restriction s’applique à tous les types d’informations sensibles personnalisés et aux nouveaux types d’informations intégrés.
      • Pour tester de nouveaux types d’informations sensibles personnalisés, créez-les avant de créer votre stratégie d’étiquetage automatique, puis créez de nouveaux documents avec des exemples de données pour pouvoir les tester.
    • Si vous envisagez d’utiliser des propriétés de document comme condition (propriété document), cette option utilise des propriétés gérées par SharePoint. La préparation des stratégies DLP s’applique également lorsque vous utilisez cette condition avec des stratégies d’étiquetage automatique.

  • Une ou plusieurs étiquettes de confidentialité créées et publiées (à au moins un utilisateur) que vous pouvez sélectionner pour vos stratégies d’étiquetage automatique. Pour ces étiquettes :

    • Cela n’a pas d’importance si le paramètre d’étiquetage automatique dans les applications Office est activé ou désactivé, car ce paramètre d’étiquette complète les stratégies d’étiquetage automatique, comme expliqué dans l’introduction.
    • Si les étiquettes que vous souhaitez utiliser pour l'étiquetage automatique sont configurées pour utiliser des marquages visuels (en-têtes, pieds de page, filigranes), notez que ceux-ci ne sont pas appliqués aux documents.
    • Si les étiquettes appliquent le chiffrement :
      • Lorsque la stratégie d’étiquetage automatique inclut des emplacements pour SharePoint ou OneDrive, l’étiquette doit être configurée pour le paramètre Attribuer des autorisations maintenant et L'accès de l'utilisateur au contenu expire doit être défini sur Jamais.
      • Lorsque la stratégie d’étiquetage automatique s’applique uniquement à Exchange, vous pouvez configurer l’étiquette pour Attribuer des autorisations maintenant ou Autoriser les utilisateurs à attribuer des autorisations (pour les options Ne pas transférer ou Chiffrer uniquement). Vous ne pouvez pas appliquer automatiquement une étiquette configurée pour appliquer la protection S/MIME.

En savoir plus sur le mode simulation

Le mode simulation est pris en charge pour les stratégies d’étiquetage automatique et intégré au flux de travail. Vous ne pourrez étiqueter automatiquement les documents et les courriers que lorsque votre stratégie aura exécuté au moins une simulation.

Le mode simulation prend en charge jusqu’à 1 000 000 fichiers mis en correspondance. Si le nombre de fichiers correspond à un nombre supérieur à celui d’une stratégie d’étiquetage automatique, vous ne pouvez pas activer la stratégie pour appliquer les étiquettes. Dans ce cas, vous devez reconfigurer la politique d'étiquetage automatique de manière à ce que moins de fichiers soient mis en correspondance, puis relancer la simulation. Ce maximum de 1 000 000 fichiers mis en correspondance s’applique uniquement au mode simulation et non à une stratégie d’étiquetage automatique déjà activée pour appliquer des étiquettes de confidentialité.

Flux de travail pour une stratégie d’étiquetage automatique :

  1. Créer et configurer une stratégie d’étiquetage automatique.

  2. Exécutez la stratégie en mode de simulation, ce qui peut prendre 12 heures. La simulation effectuée déclenche une notification par courrier qui est envoyée à l’utilisateur configuré pour recevoir les alertes d’activité.

  3. Examinez les résultats et, si nécessaire, affinez votre stratégie. Par exemple, vous devrez peut-être modifier les règles de stratégie pour réduire les faux positifs ou supprimer certains sites afin que le nombre de fichiers correspondants ne dépasse pas 1 000 000. Réexécutez le mode de simulation et attendez sa fin.

  4. Répétez l’étape 3 si besoin.

  5. Déployez en production.

Le déploiement simulé s’exécute comme le paramètre WhatIf pour PowerShell, pour un point spécifique dans le temps. Vous voyez les résultats signalés comme si la stratégie d’étiquetage automatique avait appliqué l’étiquette sélectionnée en utilisant les règles que vous avez définies. Vous pouvez ensuite affiner vos règles de précision si nécessaire et exécuter de nouveau la simulation. Cependant, comme l'étiquetage automatique pour Exchange s'applique aux courriels envoyés et reçus, plutôt qu'aux courriels stockés dans les boîtes aux lettres, ne vous attendez pas à ce que les résultats pour les courriels dans une simulation soient cohérents, à moins que vous puissiez envoyer et recevoir exactement les mêmes courriels.

Le mode simulation vous permet également d’augmenter progressivement l’étendue de votre stratégie d’étiquetage automatique avant de procéder au déploiement. Par exemple, vous pouvez commencer avec un seul emplacement, comme un site SharePoint, avec une seule bibliothèque de documents. Ensuite, avec des modifications itératives, augmentez l’étendue sur plusieurs sites, puis sur un autre emplacement, comme OneDrive.

Enfin, vous pouvez utiliser le mode simulation pour fournir une approximation du temps nécessaire à l’exécution de votre stratégie d’étiquetage automatique et pour vous aider à planifier et à programmer l’exécution sans le mode simulation.

Remarque

Si les résultats de la simulation n’incluent pas les fichiers que vous attendez, en fonction de vos conditions de stratégie automatique configurées et du contenu du fichier actuel, cela peut être dû au fait que les fichiers ont été mis à jour après l’exécution de la simulation. Vérifiez si les fichiers ont été mis à jour et réexécutez la simulation pour confirmer qu’ils seront étiquetés.

Création d’une stratégie d’étiquetage automatique

Pour cette configuration, vous pouvez utiliser le portail Microsoft Purview ou le portail de conformité Microsoft Purview.

  1. Selon le portail que vous utilisez, accédez à l’un des emplacements suivants :

    Remarque

    Si vous ne voyez pas l’option d’étiquetage automatique, cette fonctionnalité n’est actuellement pas disponible dans votre région en raison d’une dépendance Azure principale. Pour plus d’informations, voir Disponibilité des dépendances Azure par pays.

  2. Sélectionnez + créer une stratégie d’étiquetage automatique. Cette opération démarre la Nouvelle configuration de stratégie :

    Nouvelle configuration de stratégies pour l’étiquetage automatique.

  3. Pour la page Choisir les informations auxquelles vous souhaitez appliquer cette étiquette : sélectionnez un modèle, par exemple, Financier or Confidentialité. Vous pouvez affiner votre recherche à l’aide de la zone de recherche ou de liste déroulante pour les pays ou régions. Vous pouvez également sélectionner Stratégie personnalisée si les modèles ne répondent pas à vos besoins. Sélectionnez Suivant.

  4. Pour la page Nommer votre stratégie d’étiquetage automatique : donnez un nom unique et éventuellement une description pour vous aider à identifier l’étiquette, les emplacements et les conditions appliqués automatiquement qui identifient le contenu à étiqueter.

  5. Pour la page Attribuer des unités d’administration : si votre organization utilise des unités administratives dans Microsoft Entra ID, les stratégies d’étiquetage automatique pour Exchange et OneDrive peuvent être automatiquement limitées à des utilisateurs spécifiques en sélectionnant unités administratives. Si des unités administratives ont été affectées à votre compte, vous devez sélectionner une ou plusieurs unités administratives.

    Si vous ne souhaitez pas restreindre la stratégie à l’aide d’unités administratives, ou si votre organization n’a pas configuré d’unités administratives, conservez la valeur par défaut Répertoire complet.

    Remarque

    Si vous modifiez une stratégie existante et modifiez les unités administratives, vous devez maintenant reconfigurer les emplacements à l’étape suivante.

  6. Pour la page Choisir les emplacements dans lesquels vous souhaitez appliquer l’étiquette : sélectionner et spécifier les emplacements pour Exchange, SharePoint et OneDrive. Si vous ne souhaitez pas conserver la valeur par défaut deTout pour les emplacements choisis, sélectionnez le lien pour choisir des instances spécifiques à inclure, ou sélectionnez le lien pour choisir des instances spécifiques à exclure. Ensuite, sélectionnez Suivant.

    Page Choisir des emplacements pour la configuration de l’étiquetage automatique.

    Remarque

    Pour les organisations qui utilisent des unités administratives :

    • Si vous avez sélectionné l’option d’utilisation des unités administratives à l’étape précédente, l’emplacement des sites SharePoint devient indisponible. Seules les stratégies d’étiquetage automatique pour Exchange et OneDrive prennent en charge les unités administratives.
    • Lorsque vous utilisez les options Inclus ou Exclu , vous voyez et ne pouvez sélectionner que des utilisateurs parmi les unités administratives sélectionnées à l’étape précédente.

    Si vous utilisez les options Inclus ou Exclu :

    • Pour l’emplacement Exchange , la stratégie est appliquée en fonction de l’adresse de l’expéditeur des destinataires spécifiés. La plupart du temps, vous souhaiterez conserver la valeur par défaut de Tous inclus avec Aucun exclu. Cette configuration convient même si vous testez un sous-ensemble d’utilisateurs. Au lieu de spécifier votre sous-ensemble d’utilisateurs ici, utilisez les règles avancées de l’étape suivante pour configurer des conditions afin d’inclure ou d’exclure des destinataires dans votre organisation. Dans le cas contraire, lorsque vous modifiez les paramètres par défaut ici :

      • Si vous modifiez la valeur par défaut de Tous inclus et choisissez à la place des utilisateurs ou des groupes spécifiques, les e-mails envoyés en dehors de votre organisation seront exemptés de la stratégie.
      • Si vous conservez la valeur par défaut de Tous inclus, mais spécifiez des utilisateurs ou des groupes à exclure, les e-mails envoyés par ces utilisateurs exclus seront exemptés de la stratégie, mais pas les e-mails qu’ils reçoivent.

    • Déploiement : pour l’emplacement OneDrive, vous devez spécifier des utilisateurs ou des groupes. Auparavant, vous deviez spécifier les sites par URL. Tous les sites d’URL OneDrive existants dans les stratégies d’étiquetage automatique continueront de fonctionner, mais avant de pouvoir spécifier de nouveaux emplacements OneDrive ou pour les administrateurs restreints, vous devez d’abord supprimer les URL de site existantes. Groupes pris en charge : groupes de distribution, groupes Microsoft 365, groupes de sécurité à extension messagerie et groupes de sécurité.

  7. Pour la configurer les règles courantes ou avancées page : conservez la valeur par défaut de règles courantes pour définir des règles qui identifient le contenu à étiqueter dans tous les emplacements sélectionnés. Si vous avez besoin de règles différentes par emplacement, notamment certaines règles qui ne sont disponibles que pour Exchange, ou les sites SharePoint et les comptes OneDrive, sélectionnez Règles avancées. Ensuite, sélectionnez Suivant.

    Les règles utilisent des conditions qui incluent des types d’informations sensibles, des classifieurs pouvant être entraînés, des options de partage et d’autres conditions :

    • Pour sélectionner un type d’informations sensibles ou un classifieur pouvant être formé en tant que condition, sous Contenu contient, sélectionnez Ajouter, puis choisissez Types d’informations sensibles ou Classifieurs trainables.
    • Pour sélectionner des options de partage en tant que condition, sous Le contenu est partagé, choisissez uniquement avec des personnes à l’intérieur de mon organization ou avec des personnes extérieures à mon organization.
    • Autres conditions que vous pouvez sélectionner :

    Si votre emplacement est Exchange et que vous avez sélectionné Règles avancées, vous pouvez sélectionner des conditions supplémentaires :

    • L’adresse IP de l’expéditeur est
    • Le domaine du destinataire est
    • Le destinataire est
    • La pièce jointe est protégée par mot de passe
    • Le contenu de la pièce jointe n’a pas pu être analysé
    • L’analyse du contenu de la pièce jointe n’a pas été terminée
    • L’en-tête correspond aux modèles
    • L’objet correspond aux modèles
    • L'adresse du destinataire contient les mots
    • L’adresse du destinataire correspond aux modèles
    • L’adresse de l’expéditeur correspond aux modèles
    • Le domaine de l’expéditeur est
    • Le destinataire est membre de
    • L’expéditeur est

    Si votre emplacement est des sites SharePoint ou des comptes OneDrive et que vous avez sélectionné Règles avancées, vous pouvez sélectionner une autre condition :

    • Document créé par

  8. Selon vos choix précédents, vous aurez maintenant la possibilité de créer des règles à l’aide de conditions et d’exceptions.

    Les options de configuration pour les types d’informations sensibles sont identiques à celles que vous sélectionnez pour l’étiquetage automatique pour les applications Office. Si vous souhaitez en savoir plus, consultez l’article Configuration des types d’informations sensibles pour une étiquette.

    Lorsque vous avez défini toutes les règles dont vous avez besoin et confirmé que leur statut est activé, sélectionnez Suivant pour passer au choix d'une étiquette à appliquer automatiquement.

  9. Pour la page Choisir une étiquette à appliquer automatiquement : sélectionnez + Choisir une étiquette, puis, sélectionnez une étiquette dans le volet Choisir une étiquette de confidentialité, et enfin, sélectionnez Suivant.

  10. Si votre stratégie inclut l’emplacement Exchange : spécifiez des configurations facultatives dans la page Paramètres supplémentaires pour la messagerie :

    • Remplacez automatiquement les étiquettes existantes ayant la même priorité ou une priorité inférieure: applicable aux e-mails entrants et sortants, lorsque vous sélectionnez ce paramètre, une étiquette de confidentialité correspondante est toujours appliquée. Si vous ne sélectionnez pas ce paramètre, une étiquette de confidentialité correspondante ne sera pas appliquée aux e-mails qui ont une étiquette de confidentialité existante avec une priorité plus élevée ou qui ont été étiquetés manuellement.

    • Appliquer le chiffrement aux e-mails reçus en dehors de votre organisation: lorsque vous sélectionnez cette option, vous devez affecter un propriétaire Rights Management pour vous assurer qu’une personne autorisée de votre organisation dispose de droits de contrôle total d’utilisation pour les e-mails envoyés à partir de votre organisation et vos étiquettes de stratégie avec chiffrement. Ce rôle peut être nécessaire pour supprimer ultérieurement le chiffrement ou attribuer différents droits d’utilisation pour les utilisateurs de votre organisation.

      Pour Affecter un propriétaire Rights Management, spécifiez un utilisateur unique par une adresse e-mail appartenant à votre organisation. Ne spécifiez pas de contact de messagerie, de boîte aux lettres partagée ou de type de groupe, car ceux-ci ne sont pas pris en charge pour ce rôle.

  11. Pour les décidez si vous voulez tester la stratégie maintenant ou plus tard page : sélectionnez exécuter la stratégie en mode de simulation si vous êtes prêt à exécuter la stratégie d’attribution automatique d’étiquette maintenant, en mode de simulation. Décidez ensuite s’il faut activer automatiquement la stratégie si elle n’est pas modifiée pendant 7 jours :

    Tester l’assistant d’attribution automatique d’étiquette de stratégie.

    Si vous n’êtes pas prêt à exécuter la simulation, sélectionnez Quitter la stratégie désactivée.

  12. Pour la page Résumé : consultez la configuration de votre stratégie d’étiquetage automatique et apportez les modifications nécessaires, puis terminez la configuration.

Désormais, sur la page Protection des informations> onglet Etiquetage automatique, vous pouvez voir votre stratégie d’attribution automatique dans les sections Simulation ou Désactivée, selon que vous avez choisi de l’exécuter en mode de simulation ou non. Sélectionnez votre stratégie pour afficher les détails de la configuration et de son état (par exemple, La simulation de stratégie est en cours d’exécution). Pour les stratégies en mode simulation, sélectionnez l’onglet Éléments à réviser pour voir quels e-mails ou documents correspondent aux règles que vous avez spécifiées.

Vous pouvez modifier votre stratégie directement à partir de cette interface :

  • Pour une stratégie dans la section Désactivé, sélectionnez le bouton Modifier la stratégie.

  • Pour Stratégie dans la section Simulation , sélectionnez l’option Modifier la stratégie en haut de la page, à partir de l’un ou l’autre onglet.

    Modifier les options d’une stratégie d’étiquetage automatique.

    Lorsque vous êtes prêt à exécuter la stratégie sans simulation, sélectionnez l’option Activer la stratégie.

Les stratégies d’étiquetage automatique s’exécutent en continu jusqu’à ce qu’elles soient supprimées. Par exemple, les fichiers nouveaux et modifiés sont inclus dans les paramètres de stratégie actuels.

Surveillance de votre stratégie d’étiquetage automatique

Une fois votre stratégie d’étiquetage automatique activée, vous pouvez afficher la progression de l’étiquetage des fichiers dans les emplacements SharePoint et OneDrive que vous avez choisis. Les courriels ne sont pas inclus dans la progression de l'étiquetage car ils sont automatiquement étiquetés au fur et à mesure de leur envoi.

La progression de l’étiquetage inclut les fichiers à étiqueter par la stratégie, les fichiers étiquetés au cours des sept derniers jours et le nombre total de fichiers étiquetés. En raison du nombre maximal de 25 000 fichiers étiquetés par jour, ces informations vous donnent une visibilité sur la progression actuelle de l’étiquetage de votre stratégie et le nombre de fichiers à étiqueter.

Lorsque vous activez votre police pour la première fois, vous voyez initialement une valeur de 0 pour les fichiers à étiqueter jusqu'à ce que les dernières données soient récupérées. Ces informations de progression sont mises à jour toutes les 48 heures. Vous pouvez donc vous attendre à voir les données les plus récentes tous les deux jours. Lorsque vous sélectionnez une stratégie d’étiquetage automatique, vous pouvez voir plus de détails sur la stratégie dans un volet volant, qui inclut la progression de l’étiquetage par les 10 principaux sites. Les informations de ce volet volant peuvent être plus à jour que les informations de stratégie agrégées affichées sur la page principale de l’étiquetage automatique.

Vous pouvez également afficher les résultats de votre stratégie d’étiquetage automatique à l’aide de l’explorateur de contenu lorsque vous disposez des autorisations appropriées :

  • Le groupe de rôles Visionneuse de listes de l’Explorateur de contenu vous permet de d’afficher l’étiquette d’un fichier, mais pas le contenu du fichier.
  • Le contenu Explorer groupe de rôles Visionneuse de contenu et les groupes de rôles Information Protection et Information Protection Investigateurs vous permettent de voir le contenu du fichier.

Toutefois, actuellement, les administrateurs restreints ne peuvent pas voir les activités d’étiquetage pour OneDrive dans l’Explorateur d’activités.

Conseil

Vous pouvez également utiliser l’Explorateur de contenu pour identifier les emplacements qui ont des documents contenant des informations sensibles, mais qui ne sont pas étiquetés. À l’aide de ces informations, songez à ajouter ces emplacements à votre stratégie d’étiquetage automatique, et incluez les types d’informations sensibles identifiés comme règles.

Utiliser PowerShell pour les stratégies d’étiquetage automatique

Vous pouvez utiliser l’Interface PowerShell Sécurité et conformité pour créer et configurer les stratégies d’étiquetage automatique. Cela signifie que vous pouvez générer un script complet pour la création et la maintenance de vos stratégies d’étiquetage automatique, ce qui fournit également une méthode plus efficace pour spécifier plusieurs emplacements pour SharePoint et OneDrive.

Avant d’exécuter les commandes dans PowerShell, vous devez tout d’abord vous connecter à l’interface PowerShell Sécurité et conformité.

Pour créer une stratégie d’étiquetage automatique :

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Cette commande crée une stratégie d’étiquetage automatique pour un site SharePoint que vous spécifiez. Pour un emplacement OneDrive, utilisez plutôt le paramètre OneDriveLocation.

Pour ajouter d'autres sites à une politique d'étiquetage automatique existante :

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Cette commande spécifie les nouvelles URL SharePoint dans une variable qui est ensuite ajoutée à une politique d'étiquetage automatique existante. Pour ajouter à la place des emplacements OneDrive, utilisez le paramètre AddOneDriveLocation avec une variable différente, comme $OneDriveLocations.

Pour créer une règle de stratégie d’étiquetage automatique :

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Pour une stratégie d’étiquetage automatique existante, cette commande crée une règle de stratégie afin de détecter les informations sensibles de type Numéro de sécurité sociale américain (SSN), dont l’ID d’entité est a44669fe-0d48-453d-a9b1-2cc83f2cba77. Pour trouver les ID d’entité d’autres types d’informations sensibles, voir Définitions des entités de types d’informations sensibles.

Pour plus d’informations sur les applets de commande PowerShell qui prennent en charge les stratégies d’étiquetage automatique, leurs paramètres disponibles et quelques exemples, voir l’aide des applet de commande suivantes :

Conseils pour augmenter la portée de l’étiquetage

Bien que l’étiquetage automatique soit l’un des moyens les plus efficaces de classifier, d’étiqueter et de protéger les fichiers Office et PDF dont votre organization est propriétaire, case activée si vous pouvez le compléter avec l’une des méthodes suivantes pour augmenter votre portée d’étiquetage :

Par ailleurs, envisagez de marquer nouveaux fichiers comme sensibles par défaut dans SharePoint pour empêcher les invités d’accéder aux fichiers nouvellement ajoutés jusqu’à ce qu’au moins une stratégie DLP analyse le contenu du fichier.