Guide de l’utilisateur d’évaluation : Microsoft Priva

Bienvenue dans le guide de l’utilisateur Microsoft Priva version d’évaluation.

Avec le paysage de la confidentialité et de la réglementation en constante évolution, il est devenu impératif pour les organisations de garder la confidentialité et la protection des données au premier plan. Ce guide vous aidera à tirer le meilleur parti de votre essai gratuit en vous aidant à protéger vos données personnelles et à créer un espace de travail résilient à la confidentialité.

À l’aide des recommandations de Microsoft, vous allez découvrir comment Microsoft Priva pouvez vous aider à :

• Identifiez et protégez-vous de manière proactive contre les risques de confidentialité tels que l’accaparement des données, les transferts de données et le surpartage des données.
• Automatisez et gérez les demandes d’objet à grande échelle.
• Permettre à vos employés de prendre des décisions intelligentes en matière de gestion des données.

Commençons

Microsoft Priva se compose de deux solutions, la gestion des risques de confidentialité et les demandes de droits de l’objet, qui peuvent toutes deux être mises à l’essai et achetées séparément. Vous trouverez les détails des licences et des achats sur Microsoft.com.

Gestion des risques de confidentialité

Gestion des risques de confidentialité Priva vous donne la possibilité de configurer des stratégies qui identifient les risques de confidentialité dans votre environnement Microsoft 365 et permettent une correction facile. Les stratégies de gestion des risques de confidentialité sont destinées à être des guides internes et peuvent vous aider à :

• Détecter les données personnelles surexposées afin que les utilisateurs puissent les sécuriser.
• Repérer et limiter les transferts de données personnelles entre les services ou les frontières régionales.
• Aidez les utilisateurs à identifier et à réduire la quantité de données personnelles inutilisées que vous stockez.

La gestion des risques de confidentialité offre des modèles intégrés pour ces scénarios afin de vous aider à créer facilement des stratégies. Vous pouvez également affiner votre approche en créant des stratégies personnalisées, en utilisant l’un de ces modèles comme point de départ. Lorsque des correspondances de stratégie sont trouvées, les administrateurs peuvent passer en revue les alertes sur les résultats et prendre des décisions sur la façon de gérer les données en créant des problèmes pour que vos utilisateurs prennent des mesures ultérieures. Vous pouvez également configurer Notifications par e-mail et, pour les types de stratégies pris en charge, les notifications Teams pour informer directement vos propriétaires de contenu des correspondances de stratégie. Ils peuvent prendre des mesures correctives à partir de ces notifications et en savoir plus sur les bonnes pratiques de gestion des données avec des liens que vous fournissez à vos propres supports de formation.

Demandes de droits de l’objet

Dans le monde entier, plusieurs réglementations en matière de confidentialité accordent aux individus (ou aux personnes concernées) le droit d’effectuer des demandes de révision ou de gestion des données personnelles que les entreprises ont collectées à leur sujet. Ces demandes de droits des personnes concernées sont également appelées demandes de personnes concernées (DSR), demandes d’accès des personnes concernées (DSDR) ou demandes de droits des consommateurs. Pour les entreprises qui stockent de grandes quantités d’informations, trouver les données pertinentes peut être une tâche formidable. Pour la plupart des organisations, le traitement des demandes est un processus très manuel et fastidieux.

La solution Demandes de droits des personnes concernées Microsoft Priva est conçue pour aider à réduire la complexité et la durée de réponse aux demandes de renseignements des personnes concernées. Nous fournissons une automatisation, des insights et des flux de travail pour aider les organisations à répondre aux demandes de manière plus fiable et plus efficace.

Démarrer votre version d’évaluation Microsoft Priva

Si vous êtes prêt à commencer à utiliser Microsoft Priva, procédez comme suit pour configurer les prérequis et commencer à explorer les insights sur la confidentialité.

1. Confirmer les abonnements et les licences
2. Définir des autorisations utilisateur et attribuer des rôles
3. Sélectionnez Démarrer la version d’évaluationet les opérations suivantes seront effectuées pour vous :
   • Les licences d’évaluation Priva sont activées (cela se produit en temps réel)
   • Des insights sur la confidentialité sont générés (cela prend 24 heures)

Commencer à rechercher et à visualiser les risques de confidentialité

Priva vous aide à comprendre les données stockées par votre organization en automatisant la découverte des ressources de données personnelles et en fournissant des visualisations des informations essentielles. Ces visualisations sont disponibles dans les pages de vue d’ensemble et de profil de données.

Pour commencer, accédez à la section Priva du portail de conformité Microsoft Purview et affichez les pages suivantes :

1. Vue d’ensemble : fournit une vue d’ensemble des données de votre organization dans Microsoft 365. Les administrateurs de la confidentialité peuvent surveiller les tendances et les activités, identifier et examiner les risques potentiels impliquant des données personnelles, et se lancer dans des activités clés telles que la gestion des stratégies ou les actions de demande de droits de l’objet.
2. Profil de données : fournit un instantané des données personnelles que votre organization stocke dans Microsoft 365. Cette page vous permet de visualiser l’emplacement des données personnelles, les types les plus répandus dans votre organization et le nombre de types qui existent entre différents emplacements dans votre environnement Microsoft 365. Vous pouvez également explorer les données personnelles à partir de cet emplacement.

stratégies de Gestion des risques de confidentialité Priva

Gestion des risques de confidentialité Priva stratégies peuvent vous aider à gérer les scénarios à risque importants pour votre organization. Nos modèles de stratégie sont centrés sur la promotion de pratiques de gestion des données saines. Les alertes indiquent aux administrateurs quand des correspondances de stratégie sont détectées et peuvent nécessiter une investigation plus approfondie. Email des notifications et des conseils dans Microsoft Teams aident les utilisateurs à comprendre quelles activités comportent des risques en matière de confidentialité, permettent aux utilisateurs de résoudre immédiatement les problèmes et les orientent vers une formation sur la confidentialité.

Pour démarrer rapidement, utilisez un modèle avec les paramètres par défaut pour créer de nouvelles stratégies pour la surexposition des données, les transferts de données, ainsi que la réduction des données et les scénarios. Vous pouvez également personnaliser les paramètres de modèle pour créer des stratégies qui répondent aux besoins de votre organization.

Découvrez comment tout faire, de la configuration rapide des stratégies à la modification et à la suppression de stratégies dans la page Créer et gérer des stratégies :

1. Configuration rapide de la stratégie à l’aide de modèles : la plupart des paramètres sont choisis automatiquement pour vous aider à être rapidement opérationnel.
2. Configuration de stratégie personnalisée : choisissez un modèle, puis parcourez chaque paramètre pour personnaliser votre stratégie.
3. Définition d’alertes : permet aux administrateurs de savoir quand un événement utilisateur correspond aux conditions d’une stratégie. Celles-ci sont facultatives et vous contrôlez la fréquence à laquelle les alertes sont générées, le seuil pour les générer et la gravité.
4. Test d’une stratégie : vous permet d’afficher des insights avant qu’une stratégie soit activée afin de pouvoir évaluer le comportement d’une stratégie et le type d’alertes qui peuvent être générées.
5. Activation ou désactivation des stratégies : après l’analyse en mode test, vous pouvez activer ou désactiver une stratégie à tout moment.
6. Modification des stratégies : modifiez les paramètres d’une stratégie à tout moment, qu’elle soit en mode test ou activée.
7. Suppression de stratégies : si vous devez supprimer une stratégie de gestion des risques de confidentialité existante.

Examiner et corriger les alertes dans la gestion des risques de confidentialité

Microsoft Priva peuvent vous aider à fournir une visibilité sur les découvertes importantes à partir de vos stratégies de surexposition, de réduction des données ou de transfert de données. Dans la solution de gestion des risques de confidentialité, les administrateurs peuvent passer en revue les alertes relatives au contenu qui correspond à vos conditions de stratégie. L’examen des alertes vous permet d’identifier les cas qui nécessitent un suivi. Pour ce faire, vous pouvez créer des problèmes. Les problèmes offrent à vos utilisateurs un moyen structuré d’examiner le contenu, d’attribuer la gravité du problème et de collaborer pour résoudre les problèmes.

La page Examiner et corriger les alertes fournit des informations pour les actions suivantes :

1. Afficher les alertes et les problèmes actuels : la page Vue d’ensemble de Priva fournit une vue des résultats récents avec des mises à jour sur les principaux domaines de préoccupation.
2. Gérer les alertes : accédez à votre page Alertes pour évaluer vos alertes actives et spécifier celles qui nécessitent un suivi.
3. Gérer les problèmes : les problèmes sont créés par les administrateurs lors de l’évaluation des alertes concernant les correspondances de stratégie et peuvent être résolus à partir de la page Problèmes.
4. Examiner le contenu et corriger les problèmes : passez en revue le contenu associé à un problème. Vous pouvez ouvrir l’onglet Contenu et afficher les détails du fichier, les activités enregistrées et son historique de correction, puis sélectionnez Corriger pour effectuer une ou plusieurs des actions.

Notifications utilisateur dans La gestion des risques de confidentialité

Lorsque vous configurez une stratégie dans Gestion des risques de confidentialité Priva, vous pouvez choisir d’informer les utilisateurs lorsque leurs actions répondent aux conditions que vous avez définies dans la stratégie. Il existe deux types de notifications : les e-mails, qui sont disponibles pour les trois types de stratégies, et les conseils qui apparaissent dans Teams, qui sont disponibles uniquement pour le type de stratégie de transfert de données. Lorsque vous créez ou modifiez une stratégie, vous pouvez décider s’il faut activer ces notifications, à quelle fréquence les envoyer, et vous pouvez personnaliser leur contenu.

L’envoi de notifications aux utilisateurs peut être un composant important pour aider votre organization à atteindre ses objectifs de confidentialité. Les notifications sont conçues pour :

• Sensibiliser immédiatement les utilisateurs lorsque leurs actions peuvent exposer des données personnelles à des risques de confidentialité.
• Fournissez des méthodes de correction directement dans les e-mails, afin que les utilisateurs puissent prendre des mesures rapides pour protéger les données à risque.
• Dirigez les utilisateurs vers les recommandations et bonnes pratiques en matière de confidentialité de votre organization.

Explorez les notifications utilisateur pour découvrir ce que vous pouvez configurer dans votre organization :

1. Préparer le contenu de formation pour les notifications : l’ajout d’un lien vers la formation sur la confidentialité est nécessaire si vous choisissez d’envoyer des notifications utilisateur lorsque des correspondances de stratégie sont détectées.
2. Définir les Notifications par e-mail utilisateur : configurez Notifications par e-mail pour tous les types de stratégies lorsque vous créez une stratégie ou modifiez une stratégie existante.
3. Envoyer des notifications dans Teams : pour les stratégies de transfert de données, vous pouvez choisir que les utilisateurs reçoivent des conseils et des recommandations de stratégie dans les canaux Teams sécurisés lorsqu’une correspondance de stratégie est détectée.
4. Afficher un aperçu et personnaliser le contenu des e-mails : lorsque les utilisateurs reçoivent des Notifications par e-mail sur les correspondances de stratégie, ils peuvent suivre les invites dans les e-mails pour prendre immédiatement des mesures correctives. Vous pouvez afficher un aperçu du contenu de l’e-mail et apporter vos propres modifications lors de l’ajustement de ce paramètre dans le processus de création ou de modification de stratégie.

Comprendre le flux de travail Demandes de droits de l’objet

Lorsque vous créez une demande dans la solution Demandes de droits de l’objet, les informations que vous fournissez sont utilisées pour rechercher des correspondances sur votre personne concernée dans l’environnement Microsoft 365 de votre organization. Les éléments correspondants sont compilés pour vous permettre de les consulter, de faire des choix sur ce qu’il faut inclure et d’éditer les informations si nécessaire. Plusieurs utilisateurs peuvent collaborer sur ces étapes dans l’interface Des demandes de droits de l’objet. La page Vue d’ensemble de la demande fournit des status sur les étapes de progression et des conseils sur les étapes suivantes.

Comprendre les étapes de progression des demandes et la page des détails des demandes

Sélectionnez Demandes de droits des personnes concernées Priva dans le volet de navigation gauche de l’portail de conformité Microsoft Purview pour accéder aux demandes créées par votre organization et afficher leur status.

Ici, vous pouvez obtenir un instantané de votre activité de demande et de toutes les demandes qui nécessitent une attention urgente en fonction de l’échéance définie sur la demande. Vous pouvez voir quelles requêtes ont été créées dans ce portail (origine : Microsoft 365) par rapport à celles qui ont été créées via l’API (origine : Externe). Vous pouvez également trier les demandes de liste ou de groupe dans votre affichage par résidence de la personne concernée, par réglementation, par rapport à la organization, etc.

La colonne « Phase » indique l’étape dans laquelle se trouve la requête correspondante. La sélection d’une demande affiche une page de vue d’ensemble adaptée pour vous aider à afficher des détails sur l’étape dans laquelle se trouve la demande afin de vous guider sur ce que vous devez faire ensuite.

Créer une requête et définir les paramètres de recherche

Les utilisateurs auront besoin des rôles dans le groupe de rôles Administrateurs de la demande de droits de l’objet pour créer une demande. Il existe deux main façons de créer une requête :

• À partir d’un modèle, une option « prête à l’emploi » rapide qui utilise des paramètres par défaut personnalisés ; Ou
• L’option personnalisée, qui est un processus guidé pour parcourir tous les paramètres.

Informations pour créer une demande et définir les paramètres de recherche :

1. Comprendre les types de demandes : Demandes de droits des personnes concernées Priva prend en charge trois types de demandes différents : accès, exportation, liste étiquetée pour le suivi.
2. Prise en main de votre première demande : configuration simple et prête à l’emploi pour votre première requête qui utilise les paramètres par défaut. Cette expérience de première exécution peut vous aider à explorer le flux de travail de demande de droits d’objet et à vous familiariser avec ses fonctionnalités.
3. Modèles de demande de données : en quelques détails, vous pouvez créer une requête à l’aide des paramètres par défaut et être rapidement opérationnel. Vous pouvez éventuellement modifier ces paramètres pour plus de flexibilité.
4. Requête personnalisée : processus guidé pour la création d’une stratégie. Une fois que vous avez choisi l’option de modèle personnalisé, vous pouvez parcourir chaque paramètre pour personnaliser votre recherche.
5. Définir les paramètres de recherche : vous avez la possibilité d’améliorer les identificateurs à utiliser pour rechercher votre sujet de données, ainsi que de mieux cibler votre recherche à l’aide des paramètres de recherche. Vous pouvez également choisir d’obtenir une estimation de vos données avant que les éléments de contenu ne soient récupérés, ce qui vous permet d’afficher un aperçu des résultats et de modifier votre requête de recherche en fonction de ce que vous trouvez. Vous pouvez effectuer ces sélections dans la page Paramètres de recherche de l’Assistant Création de demande.
6. Affiner votre recherche : choisissez « Affiner votre recherche » dans la page Paramètres de recherche ou modifiez votre requête de recherche à l’étape Estimation des données. Vous serez alors invité à fournir des détails sur les attributs personnels et à définir des conditions pour cibler davantage vos résultats de recherche.

Estimation et récupération des données

Une fois que vous avez créé une demande, Priva commence immédiatement à rechercher des correspondances avec la personne concernée dans le contenu de votre environnement Microsoft 365. Une fois que nous avons identifié les éléments correspondant à vos critères, vous voyez l’estimation dans la carte Résumé de l’estimation des données dans la page Vue d’ensemble de la demande, et l’étape d’estimation des données sur la vignette de progression passe à une coche. La quantité de données dans l’étendue de votre recherche aura une incidence sur la durée nécessaire à l’exécution de l’estimation.

Votre demande passe automatiquement à l’étape suivante de la récupération des données, où tous les éléments de contenu sont rassemblés pour permettre aux parties prenantes de collaborer à l’examen des données. Dans certains cas, nous suspendrons l’estimation des données avant de passer à la récupération et vous informerons des étapes suivantes avant de continuer.

Comprendre ce qui se passe lors de l’estimation et de la récupération des données :

1. Suspendre l’estimation des données : il existe deux raisons pour lesquelles une demande s’interrompt à l’étape Estimation des données : si vous avez sélectionné « Obtenir une estimation en premier » ou si l’estimation est prévue pour retourner un grand nombre d’éléments à examiner (plus de 10 000 éléments).
2. Afficher et modifier les requêtes de recherche : pour afficher des informations détaillées sur la recherche de la requête, sélectionnez Afficher les détails de la requête de recherche dans le résumé estimation des données carte. Un volet de menu volant s’ouvre, qui résume la requête et affiche des détails supplémentaires sur ce qui a été trouvé.
3. Récupérer des données : les fichiers, e-mails, conversations, images et autres éléments de contenu contenant les données personnelles de la personne concernée sont récupérés. Une fois cette étape terminée, la vignette de progression de la page de vue d’ensemble de la demande case activée automatiquement hors de la phase Récupérer les données. Les données récupérées sont prêtes à être examinées sous l’onglet « données collectées » de la demande.

Examiner les données et collaborer sur une demande de droits de l’objet

Une fois que les données ont été collectées pour une demande de droits de l’objet, l’étape suivante consiste à examiner les éléments, à décider quels éléments inclure dans le cadre de la demande et à éditer les informations si nécessaire. Par défaut, seuls les éléments inclus font partie des rapports de la personne concernée pour une demande d’accès ou d’exportation. Si vous le souhaitez, vous pouvez exclure des éléments ou les marquer comme ne correspondant pas, en montrant que vous avez examiné l’élément et déterminé qu’il n’était pas applicable à la demande ou qu’il s’agissait d’une correspondance de faux positif.

Pour plus d’informations sur les points ci-dessous, consultez la page vérifier les données et collaborer :

1. Comprendre les tâches permettant d’effectuer la révision des données : l’étape Vérifier les données consiste à examiner les éléments de contenu sous l’onglet Données collectées. Un canal Teams est automatiquement configuré pour faciliter la révision du contenu par toutes les parties prenantes. Vous pouvez désactiver la création de canaux Teams pour les nouvelles demandes dans les paramètres ici.
2. Collaborez sur la révision des données : les administrateurs de demande de droits de l’objet peuvent afficher toutes les demandes. Vous pouvez ajouter d’autres utilisateurs pour collaborer sur une demande, ce qui leur permettra d’afficher cette demande et de travailler avec les données collectées dans celle-ci pour aider à déplacer la demande jusqu’à l’achèvement.
3. Terminer la révision » Lorsque tous les éléments ont été révisés et que vous avez inclus le contenu requis, il est temps de fermer l’étape de révision. Tous les collaborateurs d’une demande peuvent terminer la révision.

Générer des rapports et fermer une requête

Après avoir terminé votre examen des données pour une demande de droits de l’objet, l’étape suivante consiste à générer les rapports nécessaires pour répondre à la demande. Priva crée des rapports et collecte les fichiers marqués comme Include pendant le processus de révision des données. Les fichiers sélectionnés à partir de ces packages de données peuvent être envoyés à votre personne concernée pour compléter sa demande.

Pour plus d’informations sur la façon d’obtenir des rapports et de fermer les demandes :

1. Présentation des rapports : une fois que vous avez sélectionné Terminer la révision à l’étape Examiner les données de la demande de droits de l’objet, les rapports finaux de la demande commencent à générer automatiquement.
2. Présentation des packages de données : le package de données de demande de droits de l’objet contient des éléments marqués comme « Inclure » pendant la phase de révision des données du processus.
3. Sélectionner des périodes de rétention des données pour les rapports et les données : la période de rétention par défaut est de 30 jours à compter de la date de fermeture d’une demande de droits de l’objet. La période de conservation des données est définie dans Priva « Paramètres » et s’applique à toutes les demandes de droits de l’objet. Vous pouvez y afficher ou modifier votre période de conservation des données.
4. Fermer la demande : lorsque vous avez effectué toutes les actions nécessaires liées à la demande de droits de l’objet, marquez la demande comme fermée en sélectionnant Fermer la demande dans le coin supérieur droit de la page des détails de la demande.

Intégrer et étendre via Microsoft API Graph et Power Automate

Vous pouvez intégrer Demandes de droits des personnes concernées Priva à vos processus et outils métier existants à l’aide de l’API de demande de droits du sujet Microsoft Graph. Vous pouvez également étendre les fonctionnalités d’automatisation des demandes de droits d’objet en utilisant des flux Power Automate intégrés pour des tâches telles que la définition de rappels de calendrier et la création de cas dans ServiceNow.

Intégrer à Microsoft API Graph

L’API de demande de droits de l’objet Microsoft 365 offre un moyen simple mais puissant d’introduire l’automatisation de votre stratégie de droits des sujets existante. Lorsqu’une personne demande des informations à votre organization, nos API vous permettent de créer ces demandes dans Microsoft 365 en fonction des critères de cette demande. Vous pouvez créer la demande de droits de l’objet dans Microsoft 365, effectuer le suivi de sa progression et récupérer du contenu lorsque la demande a terminé la génération de rapports.

Nos API sont accessibles à tous pour rendre leurs solutions plus extensibles, telles que les éditeurs de logiciels indépendants, les partenaires qui cherchent à prendre en charge Microsoft 365 dans leurs solutions et les organisations qui cherchent à utiliser les API avec leurs applications métier. Consultez la documentation complète dans Utiliser l’API de demande de droits d’objet Microsoft Graph.

Utiliser des modèles Power Automate

Microsoft Power Automate est un service de flux de travail qui automatise les actions entre les applications et les services. Les demandes de droits d’objet incluent des modèles Power Automate intégrés pour aider les utilisateurs à gérer les demandes de droits des sujets. Les utilisateurs peuvent configurer des flux d’automatisation pour des processus tels que la création de tickets dans ServiceNow et l’ajout de rappels de calendrier sur les échéances. En savoir plus sur les modèles Power Automate pour les demandes de droits d’objet.

Correspondance des données pour les demandes de droits des personnes concernées

Avec la mise en correspondance des données, les organisations peuvent permettre aux Microsoft Priva d’identifier les sujets de données en fonction des valeurs de données fournies exactement. Cela peut aider à augmenter la précision de la localisation du contenu de la personne concernée qui correspond à ces valeurs de données à la fois pour votre personnel interne et pour les utilisateurs externes avec lesquels vous interagissez. Cela simplifie également la nécessité de fournir des champs manuellement lors de la création d’une demande de droits d’objet.

Remarque : Pour utiliser la fonctionnalité de correspondance des données, vous devez être membre du groupe de rôles Gestion de la confidentialité. À partir de Priva dans le portail de conformité Microsoft Purview, sélectionnez Paramètres dans la navigation supérieure, puis Correspondance des données. À partir de là, vous devez définir le schéma des données personnelles et fournir un chargement de données personnelles, comme indiqué ci-dessous. Notez que vous pouvez ajouter des éléments et supprimer des éléments que vous ajoutez, mais vous ne pouvez pas modifier un élément.

Découvrez comment configurer la correspondance des données :

1. Préparer l’importation des données : avant de définir le schéma ou de charger des données, vous devez identifier la source des informations de la personne concernée.
2. Définir le schéma de données personnelles » La première étape de la configuration de la mise en correspondance des données consiste à définir le schéma de données personnelles, qui décrit les attributs de vos personnes concernées.
3. Créer des types d’informations sensibles : la deuxième étape de la configuration de la correspondance des données consiste à créer des types d’informations sensibles uniques pour la correspondance de données personnelles (PDM). Les types d’informations sensibles (SIT) sont des classifieurs basés sur des modèles qui détectent des informations sensibles telles que la sécurité sociale ou les numéros de carte de crédit.
4. Charger des données personnelles : après avoir défini le schéma de données personnelles et les types d’informations sensibles, la troisième étape consiste à charger des données personnelles.

Ressources supplémentaires

Microsoft Learn : obtenez des informations détaillées sur le fonctionnement de Microsoft Priva et sur la meilleure façon de l’implémenter pour votre organization. Pour plus d’informations, consultez la vue d’ensemble de Priva.

Microsoft Priva Version d’évaluation : pour essayer Microsoft Priva gratuitement, visitez https://aka.ms/trypriva.

Pourquoi Microsoft Priva : En savoir plus sur les fonctionnalités priva dans cette vidéo.

En savoir plus sur ou acheter des Microsoft Priva : La gestion des risques de confidentialité et les demandes de droits de l’objet sont vendues séparément. Vous trouverez des blogs, des informations sur les licences et les achats sur Microsoft.com.