Comment configurer des conditions pour la classification automatique et recommandée pour Azure Information Protection

Lorsque vous configurez des conditions pour une étiquette, vous pouvez affecter automatiquement une étiquette à un document ou à un e-mail. Ou vous pouvez inviter les utilisateurs à sélectionner l’étiquette que vous recommandez.

Quand vous configurez ces conditions, vous pouvez utiliser des modèles prédéfinis, comme Numéro de carte de crédit ou Numéro de sécurité sociale (USA). Vous pouvez aussi définir une chaîne ou un modèle personnalisé comme condition de classification automatique. Ces conditions s’appliquent au corps de texte dans les documents et les e-mails, ainsi qu’aux en-têtes et pieds de page. Pour plus d’informations sur les conditions, consultez l’étape 5 de la procédure suivante.

Pour bénéficier de la meilleure expérience utilisateur possible et pour assurer la continuité des activités, nous vous recommandons de commencer avec la classification recommandée par l’utilisateur plutôt que par la classification automatique. Cette configuration permet à vos utilisateurs d’accepter la classification et toute protection associée, ou de modifier ces suggestions si elles ne sont pas adaptées à leur document ou à leur e-mail.

Un exemple d’invite s’affiche lorsque vous configurez une condition d’application d’une étiquette en tant qu’action recommandée, avec un conseil de stratégie personnalisé :

Dans cet exemple, l’utilisateur peut cliquer sur Modifier maintenant pour appliquer l’étiquette recommandée ou remplacer la recommandation en sélectionnant Ignorer. Si l’utilisateur choisit d’ignorer la recommandation et que la condition s’applique toujours quand le document est ensuite ouvert, la recommandation de l’étiquette est réaffichée.

Si vous configurez la classification automatique au lieu de la classification recommandée, l’étiquette est appliquée automatiquement et l’utilisateur continue de voir une notification dans Word, Excel et PowerPoint. Toutefois, les boutons Modifier maintenant et Ignorer sont remplacés par OK. Dans Outlook, il n’existe pas de notification pour la classification automatique, et l’étiquette est appliquée au moment de que l’e-mail est envoyé.

Important

Ne configurez pas une étiquette pour la classification automatique et une autorisation définie par l’utilisateur. L’option de configuration des autorisations définies par l’utilisateur est un paramètre de protection qui permet aux utilisateurs de spécifier qui doit avoir des autorisations.

Lorsqu’une étiquette est configurée pour la classification automatique alors que des autorisations sont définies par l’utilisateur, les conditions sont vérifiées dans le contenu et le paramètre de configuration des autorisations définies par l’utilisateur n’est pas appliqué. Vous pouvez utiliser la classification et les autorisations définies par l’utilisateur recommandées.

Manière d’appliquer des étiquettes automatiques ou recommandées

• La classification automatique s’applique à Word, Excel et PowerPoint lorsque vous enregistrez des documents, et s’applique à Outlook lorsque vous envoyez des e-mails.

  Vous ne pouvez pas utiliser la classification automatique pour des documents et e-mails précédemment étiquetés manuellement ou automatiquement avec une classification plus élevée.

• La classification recommandée s’applique à Word, Excel et PowerPoint lorsque vous enregistrez des documents. Vous ne pouvez pas utiliser la classification recommandée pour Outlook si vous ne configurez pas un paramètre client avancé, qui est actuellement en préversion.

  Vous ne pouvez pas utiliser la classification recommandée pour des documents qui ont préalablement été étiquetés avec une classification plus élevée.

Vous pouvez changer ce comportement afin que le client Azure Information Protection vérifie régulièrement les règles des conditions que vous spécifiez dans les documents. Par exemple, cela serait approprié si vous utilisez l’enregistrement automatique avec des applications Office qui sont automatiquement enregistrées dans Microsoft SharePoint, OneDrive pour le travail ou l’école, ou OneDrive pour les particuliers. Pour prendre en charge ce scénario, vous pouvez configurer un paramètre client avancé actuellement en préversion. Le paramètre active la classification pour qu’elle s’exécute en continu en arrière-plan.

Évaluation de plusieurs conditions lorsqu’elles s’appliquent à plusieurs étiquettes

1. Les étiquettes sont triées en vue de leur évaluation, en fonction de leur position que vous spécifiez dans la stratégie : l’étiquette positionnée en premier a la position la plus basse (la moins sensible) et l’étiquette positionnée en dernier a la position la plus élevée (la plus sensible).

2. L’étiquette la plus sensible est appliquée.

3. La dernière sous-étiquette est appliquée.

Pour configurer la classification automatique ou recommandée pour une étiquette

1. Si ce n’est pas déjà fait, ouvrez une nouvelle fenêtre de navigateur et connectez-vous au Portail Azure. Accédez ensuite au volet Azure Information Protection.

   Par exemple, dans la zone de recherche de ressources, services et documents : Commencez à taper Information et sélectionnez Azure Information Protection.

2. Dans l’option de menu Étiquettes> de classification : dans le volet Azure Information Protection - Étiquettes, sélectionnez l’étiquette à configurer.

3. Dans le volet Étiquette , dans la section Configurer les conditions d’application automatique de cette étiquette , cliquez sur Ajouter une nouvelle condition.

4. Dans le volet Condition , sélectionnez Types d’informations si vous souhaitez utiliser une condition prédéfinie ou Personnalisé si vous souhaitez spécifier la vôtre :

   • Pour Types d’informations : sélectionnez une condition dans la liste des conditions disponibles, puis sélectionnez le nombre minimal d’occurrences et déterminez si l’occurrence doit avoir une valeur unique pour être incluse dans le nombre d’occurrences.

     Les types d’informations utilisent les types d’informations de confidentialité de protection contre la perte de données (DLP) microsoft 365 et la détection de modèle. Vous avez le choix entre les nombreux types courants d’informations sensibles, dont certains sont spécifiques à certaines régions. Pour plus d’informations, consultez Ce que recherchent les types d’informations sensibles dans la documentation Microsoft 365.

     La liste des types d’informations que vous pouvez sélectionner à partir du portail Azure est régulièrement mise à jour pour inclure les nouveaux ajouts DLP Office. Toutefois, elle exclut tous les types d’informations sensibles personnalisés que vous avez définis et téléchargés sous la forme d’un package de règles dans le Centre de sécurité et conformité Office 365.

     Important

     Certains types d’informations nécessitent une version minimale du client. Plus d’informations

     Quand Azure Information Protection évalue les types d’informations que vous sélectionnez, il n’utilise pas le paramètre de niveau de confiance DLP d’Office, mais recherche celui avec le niveau de confiance le plus faible.

   • Pour Personnalisé : spécifiez un nom et une expression pour la correspondance, sans guillemets ni caractères spéciaux. Spécifiez ensuite s’il s’agit d’une expression régulière, si la casse doit être respectée, le nombre minimal d’occurrences, et si l’occurrence doit avoir une valeur unique pour être incluse dans le nombre d’occurrences.

     Les expressions régulières utilisent les modèles regex d’Office 365. Pour vous aider à spécifier des expressions régulières pour vos conditions personnalisées, consultez la version spécifique suivante de la syntaxe des expressions régulières Perl dans Boost. Les regex personnalisés doivent être conformes à la documentation .NET. En outre, l’échappement de caractères Perl 5 utilisé pour spécifier Unicode (au format \x{####...}, où ####... est une série de chiffres hexadécimaux) n’est pas pris en charge.

5. Si nécessaire, changez les options Nombre minimal d’occurrences et Comptabiliser seulement les occurrences avec des valeurs uniques, puis sélectionnez Enregistrer.

   Exemple d’options occurrences : Vous sélectionnez le numéro de sécurité sociale (USA) comme type d’informations et affectez au nombre minimal d’occurrences la valeur 2, et un document contient deux fois le même numéro de sécurité sociale. Si vous définissez Comptabiliser seulement les occurrences avec des valeurs uniques sur Activé, la condition n’est pas remplie. Si vous définissez cette option sur Désactivé, la condition est remplie.

6. Dans le volet Étiquette , configurez les éléments suivants, puis cliquez sur Enregistrer :

   • Choisissez la classification automatique ou recommandée : pour l’option Sélectionner comment cette étiquette est appliquée : automatiquement ou recommandée à l’utilisateur, sélectionnez Automatique ou Recommandée.

   • Spécifiez le texte de l’invite utilisateur ou du conseil de stratégie : conservez le texte par défaut ou spécifiez votre propre chaîne.

Quand vous cliquez sur Enregistrer, vos modifications sont automatiquement disponibles pour les utilisateurs et les services. Il n’y a plus d’option de publication distincte.

Types d’informations sensibles nécessitant une version minimale du client

Les types d’informations sensibles suivants nécessitent une version minimale de 1.48.204.0 du client Azure Information Protection :

• Chaîne de connexion Azure Service Bus
• Chaîne de connexion Azure IoT
• Compte Stockage Azure
• Chaîne de connexion de base de données IAAS Azure et chaîne de connexion Azure SQL
• Chaîne de connexion Azure Cache pour Redis
• Azure SAAS
• Chaîne de connexion SQL Server
• Clé d’autorisation Azure DocumentDB
• Mot de passe de paramètre de publication Azure
• Clé du compte de Stockage Azure (générique)

Pour plus d’informations sur ces types d’informations sensibles, consultez le billet de blog suivant : Azure Information Protection vous aide à être plus sécurisé en détectant automatiquement les informations d’identification

En outre, à compter de la version 1.48.204.0 du client Azure Information Protection, les types d’informations sensibles suivants ne sont pas pris en charge et ne s’affichent plus dans le Portail Azure. Si vous avez des étiquettes qui utilisent ces types d’informations sensibles, nous vous recommandons de les supprimer, car nous ne pouvons pas garantir leur détection correcte et toutes les références à celles-ci dans les rapports du scanneur doivent être ignorées :

• Numéro de téléphone de l’UE
• Coordonnées GPS de l’UE

Étapes suivantes

Envisagez de déployer le scanneur Azure Information Protection, qui peut utiliser vos règles de classification automatique pour découvrir, classifier et protéger des fichiers situés dans les partages réseau et les magasins de fichiers locaux.

Pour plus d’informations sur la configuration de votre stratégie Azure Information Protection, utilisez les liens dans la section Configuration de la stratégie de votre organisation.