Partager via

Empêcher le partage via Microsoft Edge for Business à des applications IA non managées à partir d’appareils gérés

Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de protection contre la perte de données (DLP) Microsoft Purview qui permet d’empêcher le partage d’informations sensibles entre un appareil géré et une application IA. Utilisez ce scénario dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.

Utilisez ce scénario pour utiliser Edge comme point de contrôle pour bloquer le partage d’informations sensibles avec des applications IA non managées, comme OpenAI ChatGPT, DeepSeek ou Google Gemini. Cela nécessite que les appareils soient gérés par Intune.

Importante

Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.

La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.

Conditions préalables et hypothèses

Cette procédure utilise des groupes de distribution hypothétiques, l’un nommé Équipe finance et un autre groupe pour l’équipe de sécurité.

Importante

Avant de commencer cette procédure, consultez En savoir plus sur la protection contre la perte de données pour les applications cloud dans Edge for Business. Il fournit des informations importantes sur les conditions préalables et les hypothèses pour ce scénario.

L’implémentation de stratégies DLP pour les applications non managées dans le navigateur suit les phases suivantes :

  1. Créez une stratégie DLP ciblant les applications non managées dans le navigateur (procédure décrite dans cet article) dans le portail Protection contre la perte de données Microsoft Purview.

  2. La création de la stratégie DLP déclenche le service de gestion Microsoft Edge pour créer automatiquement les stratégies de configuration requises pour activer les stratégies DLP dans Edge for Business. Les stratégies de configuration utilisent des stratégies Microsoft Intune pour activer entièrement vos stratégies Purview dans Microsoft Edge.

Importante

L’utilisateur doit être dans l’étendue de la stratégie DLP et de la stratégie de configuration Edge pour que la stratégie s’applique à l’utilisateur dans Edge.

Facturation

Cette fonctionnalité utilise la facturation avec paiement à l’utilisation ou les licences par utilisateur pour les fonctionnalités De Microsoft Purview ou les deux. Pour vous aider à comprendre et à gérer votre utilisation, Microsoft Purview fournit un centre d’utilisation dans le portail Microsoft Purview. Pour plus d’informations, consultez Gérer l’utilisation des licences avec paiement à l’utilisation et par utilisateur.

Mappage et instruction d’intention de stratégie

Nous devons empêcher les membres de l’équipe financière de partager des informations sensibles avec des applications IA non managées via Edge. Les autres équipes n’ayant pas accès à ces informations hautement sensibles, le bloc doit uniquement s’appliquer à cette équipe. Lorsque leurs invites de texte contiennent des informations telles que le compte bancaire, le routage ou les numéros SWIFT de nos clients internationaux, le partage est bloqué. Nous devons également répondre aux exigences d’alerte. Nous voulons informer notre équipe de sécurité par e-mail chaque fois qu’il y a une correspondance avec la stratégie. Enfin, nous voulons que cela prenne effet dès que possible après le test et que nous devons être en mesure de voir l’activité associée au sein du système.

Statement Réponse à la question de configuration et mappage de configuration
Nous devons empêcher les membres de l’équipe financière de partager des informations sensibles avec des applications IA non managées via Edge... - Choisissez où appliquer la stratégie : Données dans l’activité
du navigateur -Étendue administrative : Répertoire
complet - Où appliquer la stratégie : OpenAI ChatGPT,. Google Gemini, Microsoft Copilot, DeepSeek
Action : Bloquer
Les autres équipes n’ayant pas accès à ces informations, le bloc doit uniquement s’appliquer à cette équipe... - étendue pour chaque application » utilisateurs et groupes spécifiques, Inclure des utilisateurs et des groupes>Équipe financière
Lorsque leurs invites de texte contiennent des informations telles que le compte bancaire, le routage ou les numéros SWIFT de nos clients internationaux, le partage doit être bloqué. Éléments à surveiller : - utiliser le modèle
de stratégie personnalisé- Conditions pour une correspondance : Le contenu contient les types> d’informations sensiblesABA Routing Number, Australia Bank Account Number, Canada Bank Account Number, International Bank Account Number (IBAN), IsraelBank Account Number, Japan Bank Account Number, NewZealand bank account number, SWIFT Code, U.S Bank Account Number
- Action : Restreindre les activités> du navigateur et du réseauBloc de chargement> de texte.
Nous devons également répondre aux exigences d’alerte. Nous voulons informer notre équipe de sécurité par e-mail chaque fois qu’il y a une correspondance avec la stratégie. - Rapports d’incidents : envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit
- Envoyer des alertes par e-mail à ces personnes (facultatif) : ajouter l’équipe
de sécurité - Envoyer une alerte chaque fois qu’une activité correspond à la règle : sélectionné
- Utilisez les rapports d’incidents par e-mail pour vous avertir lorsqu’une correspondance de stratégie se produit : Activé
- Envoyer des notifications à ces personnes : ajoutez des administrateurs individuels comme vous le souhaitez
- Vous pouvez également inclure les informations suivantes dans le rapport : sélectionner toutes les options
... Enfin, nous voulons que cela prenne effet dès que possible après le test et que nous devons être en mesure de voir l’activité associée au sein du système.... Mode de stratégie : activé dans la simulation

Étapes de création d’une stratégie

  1. Connectez-vous au portail Microsoft Purview.
  2. Sélectionnez Stratégies de protection contre la>> perte de données + Créer une stratégie.
  3. Sélectionnez Trafic web inline.
  4. Sélectionnez Personnalisé dans la liste Catégories , puis stratégie personnalisée dans la liste Réglementations .
  5. Cliquez sur Suivant.
  6. Entrez un nom de stratégie et fournissez une description. Vous pouvez utiliser l’instruction d’intention de stratégie ici.

Importante

Vous ne pouvez pas renommer des stratégies.

  1. Cliquez sur Suivant.

  2. Acceptez le répertoire complet par défaut dans la page Attribuer des unités d’administration .

  3. Cliquez sur Suivant.

  4. Sélectionnez Modifier dans la colonne Actions en regard de chaque emplacement.

    1. Sélectionnez OpenAIChatGPT, Google Gemini, Microsoft Copilot, DeepSeek.

  5. Sélectionnez Utilisateurs et groupes spécifiques.

  6. Choisissez + Inclure , puis Inclure les groupes.

  7. Sélectionnez Équipe finance.

  8. Sélectionnez Terminé , puis Suivant.

  9. Dans la page Définir les paramètres de stratégie , l’option Créer ou personnaliser des règles DLP avancées doit déjà être sélectionnée.

  10. Cliquez sur Suivant.

  11. Dans la page Personnaliser les règles DLP avancées , sélectionnez + Créer une règle.

  12. Entrez un nom et une description pour la règle.

  13. Sélectionnez Ajouter une condition et utilisez ces valeurs :

    1. Sélectionnez Contenu contient.
    2. Sélectionnez Ajouter des> types >d’informations sensiblesTypesd’informations> sensiblesAba Routing Number, Australia Bank Account Number, Canada Bank Account Number, International Bank Account Number (IBAN),Israel Bank Account Number, Japan Bank Account Number, New Zealand bank account number, SWIFT Code, U.S Bank Account Number.

  14. Sélectionnez Ajouter.

  15. Sous Actions, ajoutez une action avec les valeurs suivantes :

    1. Restreindre les activités du navigateur et du réseau
    2. Chargement de texte>Bloquer

  16. Sous Rapports d’incident, sélectionnez :

    1. Définissez Utiliser ce niveau de gravité dans les alertes et rapports d’administrateur sur Faible.
    2. Définissez le bouton bascule pour Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé.
    3. Sous Envoyer des alertes par e-mail à ces personnes (facultatif), sélectionnez + Ajouter ou supprimer des utilisateurs , puis ajoutez l’adresse e-mail de l’équipe de sécurité.

  17. Sélectionnez Enregistrer , puis Suivant.

  18. Dans la page Mode stratégie , sélectionnez Exécuter la stratégie en mode simulation.

  19. Sélectionnez Suivant , puis Envoyer.

  20. Sélectionnez Terminé.

  21. Le service de gestion Microsoft Edge crée automatiquement les stratégies de configuration requises et les stratégies de Microsoft Intune requises pour activer vos stratégies Purview dans Microsoft Edge.

Importante

La stratégie DLP n’est pas appliquée dans Edge tant que les exigences du service DLP et du service de gestion Edge ne sont pas remplies.

Remarque

Lorsque l’action de la stratégie est configurée sur Bloquer, les utilisateurs ne peuvent pas ouvrir Firefox et d’autres navigateurs au niveau de l’appareil. Ils ne peuvent pas ouvrir Chrome si l’extension Microsoft Purview pour Chrome n’est pas installée ou est obsolète. Dans Chrome avec l’extension Purview, l’accès à un ensemble dynamique d’applications d’IA génératives est bloqué. Pour plus d’informations, consultez : [Activer vos stratégies Purview dans Microsoft Edge]/deployedge/microsoft-edge-dlp-purview-configuration)

  • Last updated on