En savoir plus sur les points de terminaison de protection contre la perte de données
Vous pouvez utiliser Protection contre la perte de données Microsoft Purview (DLP) pour surveiller les actions effectuées sur les éléments que vous avez déterminés comme sensibles et pour empêcher le partage involontaire de ces éléments. Si vous souhaitez en savoir plus sur DLP, veuillez consulter la rubrique En savoir plus sur la protection contre la perte de données.
La protection contre la perte de données de point de terminaison (Endpoint DLP) étend les fonctionnalités de surveillance et de protection des activités de DLP aux éléments sensibles qui sont physiquement stockés sur des appareils Windows 10, Windows 11 et macOS (trois dernières versions publiées). Une fois que les appareils sont intégrés aux solutions de conformité Microsoft Purview, les informations relatives à ce que les utilisateurs font avec les éléments sensibles sont rendues visibles dans l’Explorateur d’activités et vous pouvez appliquer des actions de protection à ces éléments via des stratégies DLP.
Conseil
Si vous recherchez le contrôle d’appareil pour le stockage amovible, consultez Contrôle d’accès Stockage amovible Contrôle d’appareil Microsoft Defender pour Point de terminaison .
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Activités de point de terminaison que vous pouvez surveiller et sur lesquels vous pouvez agir
La protection contre la perte de données de point de terminaison vous permet d’auditer et de gérer les types d’activités suivants que les utilisateurs prennent sur les éléments sensibles qui sont stockés physiquement sur des appareils Windows 10, Windows 11 ou macOS.
| Activité | Description | Windows 10 1809 et ultérieures/ Windows 11 | macOS trois dernières versions publiées | Auditable/restrictable |
|---|---|---|---|---|
| Charger sur le service cloud ou accéder par des navigateurs non autorisés | Détecte lorsqu'un utilisateur tente de télécharger un article dans un domaine de service restreint ou d'accéder à un article par le biais d'un navigateur. S’ils utilisent un navigateur répertorié dans DLP comme navigateur non autorisé, l’activité de chargement est bloquée et l’utilisateur est redirigé pour utiliser Microsoft Edge. Microsoft Edge autorise ou bloque ensuite le chargement ou l’accès en fonction de la configuration de la stratégie DLP. Vous pouvez bloquer, avertir ou auditer quand des fichiers protégés sont chargés ou bloqués pour être chargés vers des services cloud en fonction de la liste des domaines autorisés/non autorisés dans les paramètres globaux. Lorsque l’action configurée est définie pour avertir ou bloquer, les autres navigateurs (définis dans la liste des navigateurs non autorisés sous Paramètres globaux) ne peuvent pas accéder au fichier. | Pris en charge | Pris en charge | Auditable et restreignant |
| Coller dans un navigateur | Cette activité est détectée lorsqu’un utilisateur copie et colle des chaînes d’informations sensibles (plutôt que d’essayer de joindre ou de charger un fichier sensible) dans un navigateur. Par instance, copiez des données à partir d’une base de données et collez-les dans un formulaire web. | Pris en charge | Non pris en charge | Auditable et restreignant |
| Copier vers une autre application | Détecte lorsqu'un utilisateur tente de copier des informations d'un élément protégé et de les coller ensuite dans une autre application, un autre processus ou un autre élément. Il détecte également quand un utilisateur copie et colle du contenu entre des fichiers au sein d’une même application, d’un même processus ou d’un même élément pour Word, Excel et PowerPoint. | Pris en charge | Pris en charge | Auditable et restreignant |
| Copier sur un support usb amovible | Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer la copie ou le déplacement de fichiers protégés d’un périphérique de point de terminaison vers un support amovible USB. | Pris en charge | Pris en charge | Auditable et restreignant |
| Copier vers un partage réseau | Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer la copie ou le déplacement de fichiers protégés d’un appareil de point de terminaison vers n’importe quel partage réseau. | Pris en charge | Pris en charge | Auditable et restreignant |
| Imprimer un document | Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer l’impression de fichiers protégés à partir d’un appareil de point de terminaison. | Pris en charge | Pris en charge | Auditable et restreignant |
| Copier dans une session à distance | Détecte lorsqu’un utilisateur tente de copier un élément dans une session Bureau à distance. | Pris en charge | Non pris en charge | Auditable et restreignant |
| Copier sur un appareil Bluetooth | Détecte lorsqu'un utilisateur tente de copier un élément vers une application Bluetooth non autorisée (telle que définie dans la liste des applications Bluetooth non autorisées dans les paramètres DLP de point de terminaison). | Pris en charge | Pris en charge (préversion) | Auditable et restreignant |
| Créer un élément | Détecte la création d’un élément. | Pris en charge | Pris en charge | Vérifiables |
| Renommer un élément | Détecte le changement de nom d’un élément. | Pris en charge | Pris en charge | Vérifiables |
| Copier dans le Presse-papiers | Lorsque cette activité est détectée, vous pouvez bloquer, avertir ou auditer la copie de fichiers protégés dans un Presse-papiers sur un appareil de point de terminaison. | Pris en charge | Pris en charge | Auditable et restreignant |
| Accès par des applications non autorisées | Détecte quand une application figurant dans la liste des applications non autorisées (comme défini dans les applications restreintes et les groupes d’applications) tente d’accéder à des fichiers protégés sur un appareil de point de terminaison. | Pris en charge | Pris en charge |
Meilleure pratique pour les stratégies DLP de point de terminaison
Supposons que vous souhaitiez empêcher tous les éléments qui contiennent des numéros de carte de crédit de quitter les points de terminaison des utilisateurs du service Financier. Nous vous recommandons :
- Créez une stratégie et étendez-la aux points de terminaison et à ce groupe d’utilisateurs.
- Créez une règle dans la stratégie qui détecte le type d’informations que vous souhaitez protéger. Dans ce cas, le contenu contient le type d’informations sensibles, puis sélectionnez Carte de crédit.
- Définissez les actions de chaque activité sur Bloquer.
Pour plus d’informations sur la conception de vos stratégies DLP, consultez Concevoir une stratégie de protection contre la perte de données .
Remarque
Dans la conformité Microsoft Purview, l’évaluation de la stratégie DLP des éléments sensibles se produit de manière centralisée, de sorte qu’il n’y a pas de délai pour que les stratégies et les mises à jour des stratégies soient distribuées aux appareils individuels. Lorsqu’une stratégie est mise à jour dans le centre de conformité, la synchronisation de ces mises à jour dans le service prend généralement environ une heure. Une fois les mises à jour de stratégie synchronisées, les éléments sur les appareils ciblés sont automatiquement réévalués la prochaine fois qu’ils sont consultés ou modifiés. (Préversion) Pour les modifications de groupes autorisés, la stratégie a besoin de 24 heures pour se synchroniser
Fichiers analysées
Endpoint DLP prend en charge la surveillance de ces types de fichiers par le biais de la stratégie :
- Fichiers Word
- Fichiers PowerPoint
- Fichiers Excel
- Fichiers .pdf
- Fichiers .csv
- Fichiers .tsv
- fichiers .txt
- Fichiers RTF
- fichiers c
- Fichiers .class (Windows uniquement)
- fichiers CPP
- fichiers cs
- fichiers h
- fichiers Java
DLP audite les activités de ces types de fichiers, même s’il n’existe pas de correspondance de stratégie :
- Fichiers Word
- Fichiers PowerPoint
- Fichiers Excel
- Fichiers .pdf
Importante
Pour plus d’informations sur les exigences d’Adobe pour l’utilisation des fonctionnalités de Protection contre la perte de données Microsoft Purview (DLP) avec des fichiers PDF, consultez cet article d’Adobe : Protection des données Microsoft Purview support dans Acrobat.
Si vous souhaitez surveiller les données des correspondances de stratégie uniquement, vous pouvez désactiver l'option Toujours auditer l’activité du fichier pour les appareils dans les paramètres globaux DLP du point de terminaison.
Si le paramètre Toujours auditer l’activité du fichier pour les appareils est activé, les activités sur n’importe quel fichier Word, PowerPoint, Excel, PDF et .csv sont toujours auditées, même si l’appareil n’est ciblé par aucune stratégie.
Pour vous assurer que les activités sont auditées pour tous les types de fichiers pris en charge, créez une stratégie DLP personnalisée.
La DLP de point de terminaison surveille l’activité basée sur le type MIME, de sorte que les activités sont capturées, même si l’extension de fichier est modifiée pour ces types de fichiers :
Une fois l’extension remplacée par une autre extension de fichier
- doc
- docx
- xls
- xlsx
- ppt
- pptx
Si l’extension est remplacée uniquement par les extensions de fichier prises en charge :
- txt
- Pst
- msg
- rtf
- c
- Rpc
- h
- cs
- Java
- Tsv
Types de fichiers
Les types de fichiers sont un regroupement de formats de fichiers, qui sont utilisés pour protéger des workflows ou des domaines d’activité spécifiques. Vous pouvez utiliser un ou plusieurs types de fichiers comme conditions dans vos stratégies DLP. Les types de fichiers sont pris en charge pour les appareils Windows 10/11.
| Type de fichier | Application | extensions de fichier surveillées |
|---|---|---|
| traitement de texte | Word, PDF | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf |
| feuille de calcul | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv |
| présentation | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
| archive | outils d’archivage et de compression de fichiers | .zip, .zipx, .rar, .7z, .tar, .gz |
| Outlook | .pst, .ost, .msg |
Extensions de fichier
Si les types de fichiers ne couvrent pas les extensions de fichier que vous devez lister en tant que condition dans une stratégie, vous pouvez utiliser des extensions de fichier séparées par des virgules à la place.
Importante
Les extensions de fichier et les options de types de fichiers ne peuvent pas être utilisés comme conditions dans la même règle. Si vous souhaitez les utiliser comme conditions dans la même stratégie, elles doivent être dans des règles distinctes.
Importante
Ces versions Windows prennent en charge les types de fichiers et les fonctionnalités d’extension de fichier suivants :
- Windows 10 versions 20H1/20H2/21H1 (KB 5006738)
- Windows 10 versions 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
Différences avec Endpoint DLP
Vous devez tenir compte d’un certain nombre de concepts supplémentaires avant d’approfondir le point de terminaison DLP.
Activation de la gestion des appareils
La gestion des appareils est une fonctionnalité qui permet d’assembler la télémétrie à partir d’appareils et de l’intégrer à des solutions de conformité Microsoft Purview telles que la DLP de point de terminaison et la gestion des risques internes. Vous devez intégrer tous les appareils que vous souhaitez utiliser comme emplacements dans les stratégies DLP.
L’intégration et déclassement sont gérés à l’aide de scripts téléchargés à partir du centre de gestion des appareils. Le centre inclut des scripts personnalisés pour chacune de ces méthodes de déploiement :
- script local (jusqu’à 10 ordinateurs)
- Stratégie de groupe
- System Center Configuration Manager, Version 1610 ou ultérieure
- Gestion des périphériques mobiles/Microsoft Intune
- Scripts d’intégration VDI pour les machines non persistantes
Utilisez les procédures décrites dans Prise en main des points de terminaison Microsoft 365 DLP vers les appareils intégrés.
Si vous avez intégré des appareils via Microsoft Defender pour point de terminaison, ces appareils s’affichent automatiquement dans la liste des appareils. Cela est dû au fait que l’intégration à Defender intègre également des appareils à DLP. Vous devez uniquement Activer la surveillance des appareilspour utiliser la protection contre la perte de données du point de terminaison.
Affichage des données DLP de point de terminaison
Vous pouvez afficher les alertes liées aux stratégies DLP appliquées sur les appareils de point de terminaison en accédant au Tableau de bord de Gestion des Alertes DLP.
Vous pouvez également afficher les détails de l’événement associé avec des métadonnées complètes dans le même tableau de bord
Une fois qu’un appareil est intégré, les informations relatives aux activités auditées sont transmises dans l’Explorateur d’activités, même avant de configurer et déployer des stratégies DLP qui ont des périphériques comme emplacement.
Point de terminaison DLP recueille de nombreuses informations sur l’activité auditée.
Par exemple, si un fichier est copié sur un support USB amovible, les attributs suivants apparaissent dans les détails de l’activité :
- type d’activité
- IP Client
- Chemin d’accès du fichier
- horodatage arrivé
- nom du fichier
- utilisateur
- extension du fichier
- taille du fichier
- type d’informations sensibles (le cas échéant)
- valeur SHA1
- valeur SHA256
- nom de fichier précédent
- emplacement
- parent
- chemin d’accès
- type d’emplacement source
- platform
- nom du périphérique
- type d’emplacement de destination
- application ayant effectué la copie
- ID de l’appareil Microsoft Defender pour point de terminaison (le cas échéant)
- fabricant de l’appareil multimédia amovible
- modèle d’appareil multimédia amovible
- numéro de série de l’appareil multimédia amovible
Protection juste-à-temps (préversion)
Importante
Si vous souhaitez tester la protection juste-à-temps, vous devez inscrire votre locataire sur endpoint JIT Preview.
Le DLP de point de terminaison peut utiliser la protection juste-à-temps une fois qu’elle est activée dansles paramètres de la console> de conformité Microsoft Purview.
La protection juste-à-temps applique une stratégie candidate aux appareils Windows 10/11 intégrés. La stratégie candidate bloque toutes les activités de sortie sur les fichiers surveillés jusqu’à ce que l’évaluation de la stratégie se termine correctement. La stratégie candidate est appliquée à :
- Éléments qui n’ont jamais été évalués.
- Éléments sur lesquels l’évaluation est devenue obsolète. Il s’agit d’éléments précédemment évalués qui n’ont pas été réévalués par les versions cloud actuelles et mises à jour des stratégies.
Vous pouvez empêcher le blocage permanent d’un fichier si l’évaluation de stratégie démarre sur un fichier, mais ne se termine pas. Utilisez le paramètre de secours de configuration de protection juste-à-temps pour autoriser ou bloquer les activités de sortie si l’évaluation de la stratégie ne se termine pas. Vous configurez les paramètres de secours dans la console > de conformité Microsoft PurviewParamètres Configuration>de la protection> juste-à-tempsDécider ce qui se passe en cas d’échec de la protection JIT.
Conseil
Étant donné que la stratégie candidate de protection juste-à-temps est appliquée à tous les fichiers sur les appareils intégrés, elle peut bloquer l’activité des utilisateurs sur les fichiers qui n’auront pas de stratégie appliquée une fois l’évaluation effectuée. Pour éviter cette interruption de productivité, vous devez configurer et déployer des stratégies sur les appareils avant d’activer la protection juste-à-temps.
Étapes suivantes
Maintenant que vous en savez plus sur les points de terminaison DLP, vos prochaines étapes sont les suivantes :
- Vue d’ensemble de l’intégration des appareils Windows 10 ou Windows 11 dans Microsoft Purview
- Intégration des appareils macOS dans la vue d'ensemble de Microsoft Purview (aperçu)
- Configurer les paramètres de protection contre la perte de données de point de terminaison
- Utilisation des points de terminaison protection contre la perte de données
Voir aussi
- Prise en main des points de terminaison de protection contre la perte de données Microsoft (préversion)
- Utilisation des points de terminaison de protection contre la perte de données Microsoft (préversion)
- En savoir plus sur la prévention des pertes de données
- Créer et déployer des stratégies de protection contre la perte de données
- Prise en main de l’explorateur d’activités
- Microsoft Defender pour point de terminaison
- Gestion des risques internes