Démarrage avec des fenêtres contextuelles de surpartage

Lorsque vous configurez la stratégie de Protection contre la perte de données Microsoft Purview (DLP) appropriée, DLP case activée les messages électroniques avant qu’ils ne soient envoyés pour toute information étiquetée ou sensible et applique les actions définies dans la stratégie DLP.

La fenêtre contextuelle de surpartage est une fonctionnalité E5.

Importante

Il s’agit d’un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Vous devez remplacer vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.

Importante

Pour identifier la version minimale d’Outlook qui prend en charge cette fonctionnalité, utilisez le tableau des fonctionnalités pour Outlook et la ligne Prévention du surpartage comme conseil de stratégie DLP.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Licences SKU/abonnements

Avant de commencer à utiliser des stratégies DLP, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires.

Pour plus d’informations sur les licences, consultez Microsoft 365, Office 365, Enterprise Mobility + Security et abonnements Windows 11 pour les entreprises.

La licence AIP P2 est prise en charge

Autorisations

Le compte que vous utilisez pour créer et déployer des stratégies doit être membre de l’un de ces groupes de rôles

• Administrateur de conformité
• Administrateur de conformité des données
• Protection des informations
• Administrateur Information Protection
• Administrateur de sécurité

Importante

Veillez à comprendre la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative en lisant Unités administratives avant de commencer.

Rôles granulaires et groupes de rôles

Il existe des rôles et des groupes de rôles que vous pouvez utiliser pour affiner vos contrôles d’accès.

Voici une liste des rôles applicables. Pour plus d’informations, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Gestion de la conformité DLP
• Administrateur Information Protection
• Analyste Information Protection
• Enquêteur Information Protection
• Lecteur Information Protection

Voici une liste des groupes de rôles applicables. Pour en savoir plus, consultez Pour en savoir plus, consultez Autorisations dans le portail de conformité Microsoft Purview.

• Protection des informations
• Administrateurs Information Protection
• Analystes Information Protection
• Enquêteurs Information Protection
• Lecteurs Information Protection

Conditions préalables et hypothèses

Dans Outlook pour Microsoft 365 une fenêtre contextuelle de surpartage affiche une fenêtre contextuelle avant l’envoi d’un message. Sélectionnez Afficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur avant d’envoyer un conseil de stratégie lors de la création d’une règle DLP pour l’emplacement Exchange. Ce scénario utilise l’étiquette de confidentialité hautement confidentielle . Il nécessite donc que vous ayez créé et publié des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

• En savoir plus sur les étiquettes de niveau de confidentialité
• Prise en main des étiquettes de confidentialité
• Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies

Cette procédure utilise un domaine d’entreprise hypothétique à Contoso.com.

Intention de stratégie et mappage

Nous devons bloquer les e-mails à tous les destinataires auxquels l’étiquette de confidentialité « hautement confidentielle » est appliquée, sauf si le domaine du destinataire est contoso.com. Nous voulons informer l’utilisateur lors de l’envoi avec une boîte de dialogue contextuelle et personne ne peut être autorisé à remplacer le bloc.

Statement	Réponse à la question de configuration et mappage de configuration
« Nous devons bloquer les e-mails à tous les destinataires... »	- Où surveiller : Étendue administrative Exchange - : Action de répertoire - complet : Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers > SharePoint, OneDrive et Teams partagés > Bloquer tout le monde
"... qui ont l’étiquette de confidentialité « hautement confidentielle » appliquée... »	- Éléments à surveiller : utiliser le modèle - personnalisé Conditions pour une correspondance : modifiez-le pour ajouter l’étiquette de confidentialité hautement confidentielle
"... sauf si...	Configuration du groupe de conditions : créez un groupe de condition NOT booléen imbriqué joint aux premières conditions à l’aide d’un and booléen
"... le domaine du destinataire est contoso.com. »	Condition de correspondance : Le domaine du destinataire est
"... Notifier...	Notifications utilisateur : activé
"... l’utilisateur lors de l’envoi avec une boîte de dialogue contextuelle... »	Conseils de stratégie : sélectionnez - Afficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant d’envoyer : sélectionné
"... et personne ne peut être autorisé à remplacer le bloc...	Autoriser les remplacements à partir des services M365 : non sélectionné

Pour configurer des fenêtres contextuelles de surpartage avec du texte par défaut, la règle DLP doit inclure les conditions suivantes :

• Le contenu contient > des étiquettes > de confidentialité choisissez votre ou vos étiquettes de confidentialité

et une condition basée sur le destinataire

• Le destinataire est
• Le destinataire est membre de
• Le domaine du destinataire est

Lorsque ces conditions sont remplies, le conseil de stratégie affiche les destinataires non approuvés pendant que l’utilisateur écrit le courrier dans Outlook, avant son envoi.

Étapes de configuration de l'« attente lors de l’envoi »

Si vous le souhaitez, vous pouvez définir la clé de regkey dlpwaitonsendtimeout (valeur dans dword) sur tous les appareils que vous souhaitez implémenter « wait on send » pour les fenêtres contextuelles de surpartage. Cette clé de Registre définit la durée maximale de conservation de l’e-mail lorsque l’utilisateur sélectionne Envoyer. Cela permet d’effectuer l’évaluation de la stratégie DLP pour le contenu étiqueté ou sensible. Il se trouve sous :

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Vous pouvez définir cette clé d’enregistrement via une stratégie de groupe (Spécifier le temps d’attente pour évaluer le contenu sensible), un script ou un autre mécanisme de configuration des clés de Registre.

Si vous utilisez stratégie de groupe, vérifiez que vous avez téléchargé la version la plus récente de stratégie de groupe fichiers de modèle d’administration pour Applications Microsoft 365 pour les grandes entreprises et accédez à ce paramètre à partir de configuration >> utilisateur Modèles d’administration >> Paramètres de sécurité Microsoft Office 2016>>. Si vous utilisez le service Cloud Policy pour Microsoft 365, recherchez le paramètre par nom pour le configurer.

Lorsque cette valeur est définie et que la stratégie DLP est configurée, les messages électroniques sont vérifiés pour les informations sensibles avant d’être envoyés. Si le message contient une correspondance avec les conditions définies dans la stratégie, une notification de conseil de stratégie s’affiche avant que l’utilisateur clique sur Envoyer.

Cette RegKey vous permet de spécifier le comportement « attendre lors de l’envoi » sur vos clients Outlook. Voici ce que signifie chacun des paramètres.

Non configuré ou désactivé : il s’agit de la valeur par défaut. Lorsque dlpwaitonsendtimeout n’est pas configuré, le message n’est pas vérifié avant que l’utilisateur ne l’envoie. L’e-mail est envoyé sans interruption lorsque l’utilisateur clique sur Envoyer . Le service de classification des données DLP évalue le message et applique les actions définies dans la stratégie DLP.

Activé : l’e-mail est vérifié lorsque l’utilisateur clique sur Envoyer , mais avant que le message ne soit réellement envoyé. Vous pouvez définir une limite de temps sur le délai d’attente de la fin de l’évaluation de la stratégie DLP (valeur T en secondes). Si l’évaluation de la stratégie ne se termine pas au moment spécifié, un bouton Envoyer quand même s’affiche, permettant à l’utilisateur de contourner le case activée de préend. La plage de valeurs T est comprise entre 0 et 9999 secondes.

Importante

Si la valeur T est supérieure à 9999, elle est remplacée par 10 000 et le bouton Envoyer quand même n’apparaît pas. Cela conserve le message jusqu’à la fin de l’évaluation de la stratégie sans option de remplacement utilisateur. La durée de l’évaluation peut varier en fonction de facteurs tels que la vitesse d’Internet, la longueur du contenu et le nombre de stratégies définies. Certains utilisateurs peuvent rencontrer des messages d’évaluation de stratégie plus fréquemment que d’autres en fonction des stratégies déployées sur leur boîte aux lettres.

Pour en savoir plus sur la configuration et l’utilisation de l’objet de stratégie de groupe, consultez Administrer stratégie de groupe dans un domaine managé Microsoft Entra Domain Services.

Étapes de création d’une stratégie DLP pour une fenêtre contextuelle de surpartage

Importante

Pour les besoins de cette procédure de création de stratégie, vous acceptez les valeurs include/exclude par défaut et laissez la stratégie désactivée. Vous les modifierez lorsque vous déployez la stratégie.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail> Microsoft PurviewStratégies de protection contre la> perte de données

2. Choisissez + Créer une stratégie.

3. Sélectionnez Personnalisé dans la liste Catégories .

4. Sélectionnez Personnalisé dans la liste Modèles .

5. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

6. Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

7. Sélectionnez Suivant.

8. Sélectionnez Répertoire complet sous Administration unités.

9. Définissez l’emplacement de la messagerie Exchange status sur Activé. Définissez tous les autres emplacements status sur Désactivé.

10. Sélectionnez Suivant.

11. Acceptez les valeurs par défaut pour Inclure = tout et Exclure = aucun.

12. L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

13. Sélectionnez Suivant.

14. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

15. Sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.

16. Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.

17. Sélectionnez Le domaine du destinataire est>contoso.com. Sélectionnez Ajouter.

    Conseil

    Vous pouvez également utiliser Recipient is ou Recipient is un membre de au lieu de Domaine du destinataire pour déclencher une fenêtre contextuelle de surpartage.

18. Sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.

19. Sélectionnez Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés, ainsi qu’aux éléments Power BI.

20. Sélectionnez Bloquer tout le monde.

21. Définissez le bouton bascule Notifications utilisateursur Activé.

22. Sélectionnez Conseils> de stratégieAfficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant l’envoi (disponible pour la charge de travail Exchange uniquement).

23. Si cette option est sélectionnée, décochez l’option Autoriser le remplacement à partir des services M365 .

24. Choisissez *Enregistrer.

25. Définissez le bouton bascule État sur Activé , puis choisissez Suivant.

26. Dans la page Mode stratégie, sélectionnez Exécuter la stratégie en mode test et case activée la zone pour l’option Afficher les conseils de stratégie en mode simulation.

27. Choisissez Suivant , puis Envoyer.

Portail de conformité

1. Connectez-vous à la stratégie portail de conformité Microsoft Purview>Solutions> Stratégies deprotection contre la> pertede> données + Créer.

2. Sélectionnez Personnalisé dans la liste Catégories .

3. Sélectionnez Personnalisé dans la liste Modèles .

4. Donner à la stratégie un nom.

   Importante

   Les stratégies ne peuvent pas être renommées.

5. Renseignez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

6. Sélectionnez Suivant.

7. Sélectionnez Répertoire complet sous Administration unités.

8. Définissez l’emplacement de la messagerie Exchange status sur Activé. Définissez tous les autres emplacements status sur Désactivé.

9. Sélectionnez Suivant.

10. Acceptez les valeurs par défaut pour Inclure = tout et Exclure = aucun.

11. L’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

12. Sélectionnez Suivant.

13. Sélectionnez Créer une règle. Nommez la règle et fournissez une description.

14. Sélectionnez Ajouter une condition>Le contenu contient>Ajouter des>étiquettes> de confidentialitéHautement confidentiel. Sélectionnez Ajouter.

15. Sélectionnez Ajouter un groupe>ET>NON>Ajouter une condition.

16. Sélectionnez Le domaine du destinataire est>contoso.com. Sélectionnez Ajouter.

    Conseil

    Recipient is et Recipient is a member of peuvent également être utilisés à l’étape précédente et déclenchent une fenêtre contextuelle de surpartage.

17. Sélectionnez Ajouter une action>Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365Empêcher les utilisateurs de recevoir des e-mails ou d’accéder aux fichiers SharePoint, OneDrive et Teams partagés>.>>Bloquer tout le monde.

18. Définissez Notifications utilisateursur Activé.

19. Sélectionnez Conseils> de stratégieAfficher le conseil de stratégie sous forme de boîte de dialogue pour l’utilisateur final avant l’envoi.

20. Assurez-vous que l’option Autoriser le remplacement à partir des services M365n’est pas sélectionnée.

21. Cliquez sur Enregistrer.

22. Choisissez Suivant>Ne pas l’envoyer>suivant>.

Étapes PowerShell pour créer une stratégie

Les stratégies et règles DLP peuvent également être configurées dans PowerShell. Pour configurer des fenêtres contextuelles de surpartage à l’aide de PowerShell, vous devez d’abord créer une stratégie DLP (à l’aide de PowerShell) et ajouter des règles DLP pour chaque type de fenêtre contextuelle d’avertissement, de justification ou de blocage.

Vous allez configurer et étendre votre stratégie DLP à l’aide de New-DlpCompliancePolicy. Ensuite, vous allez configurer chaque règle de surpartage à l’aide de New-DlpComplianceRule

Pour configurer une nouvelle stratégie DLP pour le scénario contextuel de surpartage, utilisez cet extrait de code :

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Cet exemple de stratégie DLP est étendu à tous les utilisateurs de votre organization. Limitez vos stratégies DLP à l’aide -ExchangeSenderMemberOf de et -ExchangeSenderMemberOfException.

Paramètre	Configuration
-ContentContainsSensitiveInformation	Configure une ou plusieurs conditions d’étiquette de confidentialité. Cet exemple en inclut un. Au moins une étiquette est obligatoire.
-ExceptIfRecipientDomainIs	Liste des domaines approuvés.
-NotifyAllowOverride	« WithJustification » active les cases d’option de justification, « WithoutJustification » les désactive.
-NotifyOverrideRequirements	« WithAcknowledgement » active la nouvelle option d’accusé de réception. Cette option est facultative.

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle d’avertissement à l’aide de domaines approuvés, exécutez ce code PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de justification à l’aide de domaines approuvés, exécutez ce code PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Pour configurer une nouvelle règle DLP afin de générer une fenêtre contextuelle de bloc à l’aide de domaines approuvés, exécutez ce code PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Utilisez ces procédures pour accéder à l’en-tête X de justification métier.

Voir aussi

• Prise en main du tableau de bord Alertes de protection contre la perte de données
• Créer et déployer des stratégies de protection contre la perte de données