Migrer Exchange Online stratégies de protection contre la perte de données vers portail de conformité Microsoft Purview

Exchange Online stratégies de protection contre la perte de données (DLP) sont déconseillées. Des fonctionnalités DLP beaucoup plus riches, y compris Exchange Online DLP, sont proposées dans le portail de conformité Microsoft Purview. Vous pouvez utiliser l’Assistant Migration de stratégie DLP pour vous aider à placer vos stratégies DLP Exchange Online dans le portail de conformité où vous allez les gérer.

L’Assistant Migration fonctionne en lisant la configuration de vos stratégies DLP dans Exchange, puis en créant des stratégies en double dans le portail de conformité. Par défaut, l’Assistant crée les nouvelles versions des stratégies en mode Test , ce qui vous permet de voir l’impact qu’elles auraient sur votre environnement sans appliquer d’actions. Une fois que vous êtes prêt à passer entièrement aux versions du portail de conformité, vous devez :

  1. Désactivez ou supprimez la stratégie source dans exchange Administration Center (EAC).
  2. Modifiez la version du portail de conformité de la stratégie et modifiez son état de Test à Appliquer.

Avertissement

Si vous ne supprimez pas ou ne désactivez pas la stratégie source dans le Centre d’administration Exchange avant de définir la version du Centre de conformité sur Appliquer les deux ensembles de stratégies, vous tentez d’appliquer des actions et vous recevrez des événements en double. Il s’agit d’une configuration non prise en charge.

L’Assistant Migration migre uniquement les stratégies EXO et les règles de flux de messagerie associées. Les règles de flux de messagerie Exchange autonomes ne sont pas migrées.

Conseil

Si vous n’êtes pas un client E5, vous pouvez essayer gratuitement toutes les fonctionnalités Premium de Microsoft Purview. Utilisez la version d’évaluation de 90 jours des solutions Purview pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Flux de travail de migration

La migration des stratégies DLP d’Exchange vers la console de gestion DLP unifiée dans le portail de conformité comporte quatre phases.

  1. Préparer la migration
    1. Évaluez et comparez vos stratégies DLP Exchange Online (EXO) et vos stratégies DLP du portail de conformité pour les fonctionnalités dupliquées.
    2. Choisissez les stratégies EXO DLP que vous souhaitez importer exactement telles quelles. Vous pouvez utiliser l’Assistant pour les migrer.
    3. Déterminez les stratégies EXO DLP que vous souhaitez consolider et consolider dans le Centre d’administration Exchange, puis utilisez l’Assistant Migration pour les intégrer dans le portail de conformité.
  2. Effectuer la migration - Utiliser l’Assistant
  3. Test et validation : examiner les résultats
  4. Activer les stratégies migrées

Avant de commencer

Licences et versions

Avant de commencer à migrer des stratégies DLP, vous devez confirmer votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour accéder à l’Assistant Migration de stratégie et l’utiliser, vous devez disposer de l’un de ces abonnements ou modules complémentaires

  • Microsoft 365 E3
  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 Conformité
  • Microsoft 365 A5 Conformité
  • Microsoft 365 E5, Protection des informations et gouvernance
  • Microsoft 365 A5, Protection des informations et gouvernance

Pour obtenir la liste détaillée des exigences de licence DLP, consultez Guide de gestion des licences Microsoft 365 pour la conformité de la sécurité & et la protection contre la perte de données

Autorisations

Le compte que vous utilisez pour exécuter l’Assistant Migration doit avoir accès à la fois à la page DLP de la console Exchange Administration et à la console DLP unifiée dans le portail de conformité.

Préparer la migration

  1. Si vous n’êtes pas familiarisé avec DLP, la console DLP du portail de conformité ou la console DLP du centre Exchange Administration, vous devez vous familiariser avant de tenter une migration de stratégie.
    1. Exchange Online stratégies de protection contre la perte de données (DLP)
    2. Découvrir la protection contre la perte de données de point de terminaison
    3. Créer et déployer des stratégies de protection contre la perte de données
  2. Évaluez vos stratégies de protection contre la perte de données exchange et de votre portail de conformité en vous posant les questions suivantes :
Question Action Procédure de migration
La stratégie est-elle toujours nécessaire ? Si ce n’est pas le cas, supprimez-le ou désactivez-le ne pas migrer
Est-ce qu’il chevauche d’autres stratégies DLP du portail Exchange ou de conformité ? Si oui, pouvez-vous consolider les stratégies qui se chevauchent ? - Si elle chevauche une autre stratégie Exchange, créez manuellement la stratégie DLP consolidée dans le centre de Administration Exchange, puis utilisez l’Assistant Migration.
- S’il chevauche une stratégie de portail de conformité existante, vous pouvez modifier la stratégie du portail de conformité existante pour qu’elle corresponde. Ne migrez pas la version d’Exchange
La stratégie DLP Exchange est-elle étroitement étendue et a-t-elle des conditions, des actions, des inclusions et des exclusions bien définies ? Si oui, il s’agit d’un bon candidat pour migrer avec l’Assistant, notez la stratégie afin que vous n’ayez pas à revenir pour la supprimer ultérieurement migrer avec l’Assistant

Migration

Une fois que vous avez évalué toutes vos stratégies DLP du portail Exchange et de conformité en fonction des besoins et de la compatibilité, vous pouvez utiliser l’Assistant Migration.

  1. Ouvrez la console DLP portail de conformité Microsoft Purview.
  2. Si des stratégies DLP Exchange peuvent être migrées, une bannière s’affiche en haut de la page.
  3. Choisissez Migrer les stratégies dans la bannière pour ouvrir l’Assistant Migration. Toutes les stratégies DLP Exchange sont répertoriées. Les stratégies précédemment migrées ne peuvent pas être sélectionnées.
  4. Sélectionnez les stratégies que vous souhaitez migrer. Vous pouvez les migrer individuellement ou en groupes à l’aide d’une approche par phases ou tout à la fois. Sélectionnez Suivant.
  5. Passez en revue le volet volant pour rechercher des avertissements ou des messages. Résolvez les problèmes avant de continuer.
  6. Sélectionnez le mode dans lequel vous souhaitez créer la nouvelle stratégie du portail de conformité, Actif, Test ou Désactivé. La valeur par défaut est Test. Sélectionnez Suivant.
  7. Si vous le souhaitez, vous pouvez créer d’autres stratégies basées sur les stratégies DLP Exchange pour d’autres emplacements DLP unifiés. Il en résulte une nouvelle stratégie DLP unifiée pour la stratégie Exchange migrée et une nouvelle stratégie DLP unifiée pour tous les autres emplacements que vous choisissez ici.

Importante

Toutes les conditions et actions de stratégie DLP Exchange qui ne sont pas prises en charge par d’autres emplacements DLP, tels que les appareils, SharePoint, OneDrive, localement, MCAS ou les messages de conversation et de canal Teams, seront supprimées de la stratégie supplémentaire. En outre, il y a du travail préalable qui doit être effectué pour les autres emplacements. Voir :

  1. Passez en revue les paramètres de session de l’Assistant Migration. Sélectionnez Suivant.
  2. Passez en revue le rapport de migration. Faites attention aux défaillances impliquant des règles de flux de messagerie Exchange. Vous pouvez les corriger et remigrater les stratégies associées.

Les stratégies migrées apparaissent désormais dans la liste des stratégies DLP dans la console DLP du portail de conformité.

Erreurs courantes et atténuation

Message d’erreur Reason Atténuation/Étapes recommandées
Une stratégie de conformité portant le nom <Name of the policy> existe déjà dans les scénarios Dlp. Il est probable que cette migration de stratégie ait été effectuée plus tôt, puis réattemptée dans la même session Actualisez la session pour mettre à jour la liste des stratégies disponibles pour la migration. Toutes les stratégies précédemment migrées doivent être dans l’état Already migrated .
Une stratégie de conformité portant le nom <Name of the policy> existe déjà dans les scénarios Hold. Une stratégie de rétention portant le même nom existe dans le même locataire. - Renommez la stratégie DLP dans EAC sous un autre nom.
- Réessayez la migration pour la stratégie impactée.
DLP-group@contoso.com ne peut pas être utilisé comme valeur pour la condition Partagé par, car il s’agit d’un groupe de distribution ou d’un groupe de sécurité à extension messagerie. Utilisez Partagé par membre du prédicat pour détecter les activités des membres de certains groupes. Les règles de transport autorisent l’utilisation de groupes dans la sender is condition, mais la DLP unifiée ne l’autorise pas. Mettez à jour la règle de transport pour supprimer toutes les adresses e-mail de groupe de la sender is condition et ajoutez le groupe à la sender is a member of condition si nécessaire. Réessayer la migration pour la stratégie impactée
Désolé... Nous n’avons pas trouvé le destinataire DLP-group@contoso.com. S’il vient d’être créé, recommencez l’opération après. En cas de suppression ou d’expiration, réinitialisez avec des valeurs valides, puis réessayez. Il est probable que l’adresse de groupe utilisée dans sender is a member of la condition ou recipient is a member of soit expirée ou non valide. - Supprimez/remplacez toutes les adresses e-mail de groupe non valides dans la règle de transport dans le Centre d’administration Exchange.
- Réessayez la migration pour la stratégie impactée.
La valeur spécifiée dans le FromMemberOf prédicat doit être un groupe de sécurité à extension messagerie. Les règles de transport permettent à des utilisateurs individuels d’être utilisés dans la sender is a member of condition, mais la DLP unifiée ne l’autorise pas. - Mettez à jour la règle de transport pour supprimer toutes les adresses e-mail des utilisateurs individuels de la sender is a member of condition et ajouter les utilisateurs à la sender is condition si nécessaire.
- Réessayez la migration pour la stratégie impactée.
La valeur spécifiée dans le SentToMemberOf prédicat doit être un groupe de sécurité à extension messagerie. Les règles de transport autorisent l’utilisation d’utilisateurs individuels sous la recipient is a member of condition, mais la DLP unifiée ne l’autorise pas. - Mettez à jour la règle de transport pour supprimer toutes les adresses e-mail des utilisateurs individuels de la recipient is a member of condition et ajouter les utilisateurs à la recipient is condition si nécessaire.
- Réessayez la migration pour la stratégie impactée.
L’utilisation du <Name of condition> paramètre est prise en charge uniquement pour Exchange. Supprimez ce paramètre ou activez uniquement l’emplacement Exchange. Il est probable qu’une autre stratégie portant le même nom existe dans le portail de conformité avec d’autres emplacements tels que SPO/ODB/Teams pour lesquels la condition mentionnée n’est pas prise en charge. Renommez la stratégie DLP dans le Centre d’administration Exchange et réessayez la migration.

Test et validation

Testez et passez en revue vos stratégies.

  1. Suivez les procédures Tester une stratégie DLP .
  2. Passez en revue les événements créés par la stratégie dans l’Explorateur d’activités.

Passer en revue les correspondances de stratégie entre exchange Administration Center DLP et Microsoft Purview Unified DLP

Pour vous assurer que les stratégies migrées se comportent comme prévu, vous pouvez exporter les rapports à partir des deux centres d’administration et effectuer une comparaison des correspondances de stratégie.

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exportez le rapport DLP DU CAE. Vous pouvez copier cette applet de commande et insérer les valeurs appropriées :

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">
    
  3. Exportez le rapport DLP unifié. Vous pouvez copier cette applet de commande et insérer les valeurs appropriées :

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">
    

Activer vos stratégies migrées

Une fois que vous êtes satisfait du fonctionnement de vos stratégies migrées, vous pouvez les définir sur Appliquer.

  1. Ouvrez la console DLP exchange Administration Center.
  2. Désactivez ou supprimez la stratégie source.
  3. Ouvrez la console DLP portail de conformité Microsoft Purview et sélectionnez la stratégie que vous souhaitez activer pour la modifier.
  4. Définissez l’état sur Activer.