Utilisation de la protection contre la perte de données de point de terminaison

Pour vous familiariser avec les fonctionnalités de point de terminaison DLP et la manière dont elles se trouvent dans les stratégies DLP, nous avons rassemblé certains scénarios que vous pouvez suivre.

Importante

Ces scénarios de points de terminaison DLP ne sont pas les procédures officielles pour la création et le réglage des stratégies DLP. Reportez-vous aux rubriques ci-dessous lorsque vous devez utiliser les stratégies DLP dans les situations générales suivantes :

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Licences SKU/abonnements

Pour obtenir des détails complets sur les licences, consultez Conseils Microsoft 365 sur les licences pour Information Protection.

Ces scénarios nécessitent que les appareils soient déjà intégrés et reportés dans l’Explorateur d’activités. Si vous n’avez pas encore intégré d’appareils, consultez l’article Prise en main de la protection contre la perte de données de point de terminaison.

Importante

Avant de commencer, veillez à comprendre la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative.

Scénario 1 : créer une stratégie à partir d’un modèle, audit uniquement

Ce scénario s’adresse à un administrateur sans restriction qui crée une stratégie d’annuaire complète.

  1. Ouvrez la page de protection contre la perte de données.

  2. Choisissez + Créer une stratégie.

  3. Pour ce scénario, choisissez Confidentialité, puis Données d’identification personnelle (PII) américaines améliorées, puis choisissez Suivant.

  4. Donnez un nom et une description à votre nouvelle stratégie.

  5. Sous Administration unités, vérifiez que la sélection correspond à Répertoire complet, puis à Suivant.

  6. Désactivez le champ État pour tous les emplacements, à l’exception des appareils. Cliquez sur Suivant.

  7. Dans la page Définir les paramètres de stratégie , acceptez les paramètres de révision et de personnalisation par défaut de la sélection du modèle , puis choisissez Suivant.

  8. Dans la page Informations à protéger , acceptez les valeurs par défaut et choisissez Suivant.

  9. Acceptez les actions de protection par défaut et choisissez Suivant.

  10. Dans la page Personnaliser les paramètres d’accès et de remplacement , choisissez Auditer ou restreindre les activités sur les appareils. Acceptez les valeurs par défaut restantes et choisissez Suivant.

  11. Dans la page Mode stratégie , acceptez la valeur par défaut Exécuter la stratégie en mode simulation et sélectionnez Afficher les conseils de stratégie en mode simulation. Cliquez sur Suivant.

  12. Passez en revue votre stratégie, choisissez Envoyer pour la créer, puis choisissez Terminé. La nouvelle stratégie apparaît dans la liste Stratégies DLP.

  13. Dans le volet de navigation gauche, choisissez Protection contre la perte de données , puis Explorateur d’activités.

  14. Essayez de partager un élément de test contenant du contenu qui déclenchera la condition de données des informations d’identification personnelle (PII) américaines. Cette opération doit déclencher la stratégie.

  15. Consultez l’Explorateur d’activités pour l’événement.

Scénario 2 : modifier la stratégie existante, créer une alerte

Ce scénario s’adresse à un administrateur non restreint qui modifie une stratégie d’étendue de répertoire complet.

  1. Accédez à la page Stratégies de protection contre la perte de données.

  2. Choisissez la stratégie améliorée des données d’identification personnelle (PII) des États-Unis que vous avez créée dans le scénario 1.

  3. Choisissez Modifier la stratégie.

  4. Accédez à la page Personnaliser les règles DLP avancées et modifiez le Volume faible de contenu détecté aux États-Unis Personnellement Identifiable Inf.

  5. Faites défiler jusqu’à la section Rapports d’incidents et basculez Envoyer une alerte aux administrateurs lorsqu’une correspondance de règle se produit sur Activé. Email alertes sont automatiquement envoyées à l’administrateur et à toute autre personne que vous ajoutez à la liste des destinataires.

    Cette capture d’écran montre l’option permettant d’activer les rapports d’incident.

  6. Dans le cadre de ce scénario, sélectionnez Envoyer une alerte chaque fois qu’une activité correspond à la règle.

  7. Cliquez sur Enregistrer.

  8. Conservez tous vos paramètres précédents en choisissant Suivant dans le reste de l’Assistant, puis Envoyer les modifications de stratégie.

  9. Essayez de partager un élément de test contenant du contenu qui déclenchera la condition de données des informations d’identification personnelle (PII) américaines. Cette opération doit déclencher la stratégie.

  10. Vérifiez l’événement dans l’Explorateur d’activités.

Scénario 3 : modifier la stratégie existante, bloquer l’action avec l’option autoriser le remplacement

Ce scénario concerne un administrateur non restreint qui modifie une stratégie d’annuaire complète.

  1. Ouvrez la page Stratégies de protection contre la perte de données.

  2. Choisissez la stratégie de données des informations d’identification personnelle (PII) américaine que vous avez créée dans le scénario 1.

  3. Choisissez Modifier la stratégie.

  4. Accédez à la page Personnaliser les règles DLP avancées et modifiez le Volume faible de contenu détecté aux États-Unis Personnellement Identifiable Inf.

  5. Faites défiler jusqu’à la section Auditer ou restreindre les activités sur un appareil Windows et définissez les deux options sous Le domaine de service et les activités du navigateur sur Bloquer avec remplacement.

    La capture d’écran montre le bloc défini avec les options d’action de remplacement.

  6. Choisissez **Enregistrer**.
  7. Répétez les étapes 4 à 6 pour le volume élevé de contenu détecté aux États-Unis Personnellement Identifiable Inf.

  8. Conservez tous vos paramètres précédents en choisissant Suivant dans le reste de l’Assistant, puis Envoyer les modifications de stratégie.

  9. Essayez de partager un élément de test qui contient du contenu qui déclenchera la condition de données d’identification personnelle (PII) des États-Unis avec une personne extérieure à votre organization. Cette opération doit déclencher la stratégie.

    Une fenêtre contextuelle semblable à celle-ci s’affiche sur l’appareil client :

     Cette capture d’écran montre la notification de remplacement bloquée du client dlp du point de terminaison.

  10. Vérifiez l’événement dans l’Explorateur d’activités.

Scénario 4 : Éviter de boucler les notifications DLP à partir d’applications de synchronisation cloud avec autoquarantine

Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.

Avant de commencer le scénario 4

Dans ce scénario, la synchronisation des fichiers avec l’étiquette de confidentialité Hautement confidentielsur OneDrive est bloquée. Il s’agit d’un scénario complexe avec plusieurs composants et procédures. Tu as besoin de:

Il existe trois procédures.

  1. Configurez les paramètres DLP Autoquarantine du point de terminaison.
  2. Créez une stratégie qui bloque les éléments sensibles qui ont l’étiquette de confidentialité Hautement confidentiel .
  3. Créez un document Word sur l’appareil Windows 10/11 auquel la stratégie est ciblée, appliquez l’étiquette et copiez-la dans le dossier OneDrive local des comptes d’utilisateur en cours de synchronisation.

Configurer l’application DLP de point de terminaison non autorisée et les paramètres autoquarantine

  1. Ouvrir Paramètres DLP de point de terminaison

  2. Développez Applications restreintes et groupes d’applications.

  3. Sous Groupes d’applications restreints, choisissez Ajouter un groupe d’applications restreint. Entrez Applications Cloud Sync comme nom de groupe.

  4. Sélectionnez la zone Mise en quarantaine automatique.

  5. Pour nom de l’application, entrez OneDrive. Pour le Nom de l’exécutable, entrez onedrive.exe, puis choisissez le + bouton . Cela empêche onedrive.exe d’accéder aux éléments avec l’étiquette Hautement confidentiel .

  6. Cliquez sur Enregistrer.

  7. Sous Paramètres de mise en quarantaine automatique choisissez Modifier les paramètres de mise en quarantaine automatique.

  8. Activez Mise en quarantaine automatique pour les applications non autorisées.

  9. Entrez le chemin d’accès au dossier sur les ordinateurs locaux où vous souhaitez déplacer les fichiers sensibles d’origine. Par exemple :

'%homedrive%%homepath%\Microsoft DLP\Quarantine' pour le nom d’utilisateur Isaiah Langer place les éléments déplacés dans un dossier nommé :

C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive

  1. Ajoutez une date et une heure au nom de fichier d’origine.

    Remarque

    La mise en quarantaine automatique DLP crée des sous-dossiers pour les fichiers pour chaque application non autorisée. Par conséquent, si vous avez le Bloc-notes et OneDrive dans votre liste d’applications non autorisées, un sous-dossier sera créé pour \OneDrive et un autre sous-dossier pour \Bloc-notes.

  2. Choisissez Remplacez les fichiers par un fichier .txt qui contient le texte suivant et entrez le texte souhaité dans le fichier d’espace réservé. Par exemple, pour un fichier nommé auto quar 1.docx, vous pouvez entrer :

    %%FileName%% contient des informations sensibles que votre organization protège avec la stratégie de protection contre la perte de données %%PolicyName%%. Il a été déplacé vers le dossier de quarantaine : %%QuarantinePath%%

    laisse un fichier texte qui contient ce message :

    auto quar 1.docx contient des informations sensibles que votre organization protège avec la stratégie de protection contre la perte de données (DLP). Il a été déplacé vers le dossier de quarantaine : C :\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1.docx.

  3. Cliquez sur Enregistrer.

Configurer une stratégie pour bloquer la synchronisation OneDrive des fichiers avec l’étiquette de confidentialité « Hautement confidentiel »

  1. OuvrirPage de protection contre la perte de données.

  2. Accédez à Protection contre la perte de données « Stratégies>Créer une stratégie.

  3. Pour ce scénario, choisissez Personnalisé, puis Stratégie personnalisée. Cliquez sur Suivant.

  4. Renseignez les champs Nom etDescription, choisissez Suivant.

  5. Sélectionnez Répertoire complet sous Administration unités.

  6. Désactivez la case à cocherÉtat pour tous les emplacements, sauf pour les Appareils. Si vous disposez d’un compte d’utilisateur final spécifique à partir duquel vous souhaitez le tester, veillez à le sélectionner dans l’étendue. Cliquez sur Suivant.

  7. Acceptez la sélection par défaut Créer ou personnaliser des règles DLP avancées, puis choisissez Suivant.

  8. Créez une règle avec les valeurs suivantes :

    1. Nom>Scénario 4 Autoquarantine.
    2. Sous Conditions, choisissez Ajouter une condition , puis Contenu contient.
    3. Entrez un nom de groupe, par exemple Des étiquettes de confidentialité hautement confidentielles , puis choisissez Ajouter.
    4. Sélectionnez Étiquettes de confidentialité , puis Hautement confidentiel et choisissez Ajouter.
    5. Sous Actions , choisissez Ajouter une action.
    6. Sélectionnez Auditer ou restreindre les activités sur les appareils> WindowsActivités de fichier pour les applications dans des groupes d’applications restreints.
    7. Choisissez Ajouter un groupe d’applications restreint , puis choisissez le groupe Applications de synchronisation cloud que vous avez créé précédemment.
    8. Choisissez Appliquer une restriction à tous les blocs d’activité>. Pour les besoins de ce scénario, effacez toutes les autres activités.
    9. Sous Notifications utilisateur, basculez Notifications utilisateur sur Activé et sous Appareils de point de terminaison , choisissez Afficher les utilisateurs une notification de conseil de stratégie lorsqu’une activité n’est pas déjà activée.
  9. Choisissez Enregistrer et Suivant.

  10. Choisissez L’activer immédiatement. Cliquez sur Suivant.

  11. Passez en revue vos paramètres, puis sélectionnez Envoyer.

    Remarque

    Autorisez au moins une heure pour que la nouvelle stratégie soit répliquée et appliquée à l’ordinateur Windows 10 cible.

  12. La nouvelle stratégie DLP apparaît dans la liste des stratégies.

Tester autoquarantine sur l’appareil Windows 10/11

  1. Connectez-vous à l’ordinateur Windows 10/11 avec le compte d’utilisateur que vous avez spécifié dans [Configurer une stratégie pour bloquer la synchronisation OneDrive des fichiers avec l’étiquette de confidentialité Hautement confidentiel](#configure-a-policy-to-block-onedrive-synchronization-of-files-with-the-sensitivity-label-highly-confidential, étape 5.

  2. Créez un dossier dont le contenu ne sera pas synchronisé avec OneDrive. Par exemple :

    Dossier source C:\ mise en quarantaine automatique

  3. Ouvrez Microsoft Word et créez un fichier dans le dossier source autoquarantine. Appliquer l’étiquette de confidentialité hautement confidentiel ; consultez Appliquer des étiquettes de confidentialité à vos fichiers et courriers électroniques dans Office.

  4. Copiez le fichier que vous avez créé dans votre dossier de synchronisation OneDrive. Un toast de notification utilisateur doit s’afficher pour vous indiquer que l’action n’est pas autorisée et que le fichier sera mis en quarantaine. Par exemple, pour le nom d’utilisateur Isaiah Langer et un document intitulé autoquarantine doc 1.docx ce message s’affiche :

    Cette capture d’écran montre le message de notification utilisateur protection contre la perte de données indiquant que l’action de synchronisation OneDrive n’est pas autorisée pour le fichier spécifié et que le fichier sera mis en quarantaine.

    Le message indique :

    L’ouverture d’une documentation en quarantaine automatique 1.docx avec cette application n’est pas autorisée. Le fichier sera mis en quarantaine dans « C:\Users\IsaiahLanger\Microsoft DLP\OneDrive »

  5. Choisissez Ignorer.

  6. Ouvrez le fichier texte de l’espace réservé. Il s’appelle le document de mise en quarantaine automatique 1.docx_date_time.txt.

  7. Ouvrez le dossier de quarantaine et vérifiez que le fichier d’origine existe.

  8. Consultez l’Explorateur d’activités pour les données des points de terminaison monitorés. Définissez le filtre d’emplacement pour les appareils et ajoutez la stratégie, puis filtrez par nom de stratégie pour voir l’effet de cette stratégie. Pour plus d’informations sur l’utilisation de l’Explorateur d’activités, consultez Prise en main de l’Explorateur d’activités.

  9. Consultez l’Explorateur d’activités pour l’événement.

Scénario 5 : Limiter le partage involontaire à des applications et services en nuage non autorisés.

Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.

Avec endpoint DLP et un navigateur web pris en charge, vous pouvez limiter le partage involontaire d’éléments sensibles aux applications et services cloud non autorisés. Microsoft Edge comprend quand un élément est limité par une stratégie DLP de point de terminaison et applique des restrictions d’accès.

Remarque

Les navigateurs web suivants sont pris en charge :

  • Microsoft Edge
  • Chrome (avec l’extension Microsoft Purview pour Chrome installée)
  • Firefox (avec l’extension Microsoft Purview pour Firefox installée)

Lorsque vous sélectionnez Appareils comme emplacement dans une stratégie DLP correctement configurée et que vous utilisez un navigateur web pris en charge, les navigateurs non autorisés que vous avez définis dans ces paramètres ne peuvent pas accéder aux éléments sensibles qui correspondent à vos contrôles de stratégie DLP. Au lieu de cela, les utilisateurs sont redirigés pour utiliser Microsoft Edge, qui, avec sa compréhension des restrictions DLP imposées, peut bloquer ou restreindre les activités lorsque les conditions de la stratégie DLP sont remplies.

Pour utiliser cette restriction, vous devez configurer trois éléments importants :

  1. Spécifier les emplacements ,services, domaines, adresses IP, avec lesquels vous ne souhaitez pas partager les éléments sensibles.

  2. Ajoutez les navigateurs qui ne sont pas autorisés à accéder à certains éléments sensibles lorsqu’une correspondance de la stratégie DLP se produit.

  3. Configurez les stratégies DLP pour définir les types d’éléments sensibles pour lesquels le téléchargement doit être limité à ces emplacements en activant Télécharger vers les services Cloud et Accès à partir d’un navigateur non autorisé.

Vous pouvez continuer à ajouter de nouveaux services, applications et stratégies pour développer et augmenter vos restrictions afin de répondre aux besoins de votre entreprise et de protéger les données sensibles.

Cette configuration permet de garantir la sécurité de vos données tout en évitant les restrictions inutiles qui empêchent ou restreignent les utilisateurs d’accéder à des éléments non sensibles et de les partager.

Vous pouvez également auditer, bloquer avec remplacement ou bloquer ces éléments sensibles chargés par l’utilisateur vers des applications et services cloud via des domaines de service sensibles.

  1. Dans le portail de conformité Microsoft Purview, accédez à Stratégies de protection contre la>> perte de donnéesParamètres> Paramètres Du point determinaison Paramètres> DLPNavigateur et restrictions de domaine pour les données> sensiblesGroupes de domaines de service sensibles.

  2. Sélectionnez Créer un groupe de domaines de service sensible.

  3. Nommez le groupe.

  4. Entrez le domaine de service sensible pour le groupe. Vous pouvez ajouter plusieurs sites web à un groupe et utiliser des caractères génériques pour couvrir les sous-domaines. Par exemple, www.contoso.com pour le site web de niveau supérieur ou pour : *.contoso.com pour corp.contoso.com, hr.contoso.com, fin.contoso.com.

  5. Sélectionnez le type de correspondance que vous souhaitez. Vous pouvez sélectionner l’URL, l’adresse IP et la plage d’adresses IP.

  6. Sélectionnez Enregistrer.

  7. Dans le volet de navigation gauche, sélectionnez Stratégies de protection contre la> pertede données.

  8. Créez et limitez une stratégie qui est appliquée uniquement à l’emplacement Appareils . Pour plus d’informations sur la création d’une stratégie, consultez Créer et déployer des stratégies de protection contre la perte de données. Veillez à définir l’étendue des unités de Administration sur le répertoire complet.

  9. Dans la page Définir les paramètres de stratégie , sélectionnez Créer ou personnaliser des règles DLP avancées , puis choisissez Suivant.

  10. Créez une règle, comme suit :

    1. Sous Conditions, sélectionnez + Ajouter une condition et sélectionnez Contenu contient dans le menu déroulant.
    2. Donnez un nom au groupe et sélectionnez une option Opération de groupe .
    3. Choisissez Ajouter , puis sélectionnez Types d’informations sensibles.
    4. Sélectionnez un type d’informations sensibles dans le volet volant, puis choisissez Ajouter.
    5. Ajoutez l’action Auditer ou restreindre les activités sur les appareils.
    6. Sous Domaine de service et activités de navigateur, choisissez Charger vers un domaine de service cloud restreint ou un accès à partir d’un navigateur non autorisé , puis définissez l’action sur Auditer uniquement.
    7. Sélectionnez + Choisir différentes restrictions pour les domaines de service sensibles , puis ajouter un groupe.
    8. Dans le menu volant Choisir des groupes de domaines de service sensibles , sélectionnez le ou les groupes de domaines de service sensibles souhaités, choisissez Ajouter , puis Enregistrer.
    9. Sous Activités de fichier pour toutes les applications, sélectionnez les activités utilisateur que vous souhaitez surveiller ou restreindre, ainsi que les actions que DLP doit effectuer en réponse à ces activités.
    10. Terminez la création de la règle et choisissez Enregistrer , puis Suivant.
    11. Dans la page de confirmation, choisissez Terminé.
    12. Dans la page Mode stratégie , choisissez Activer immédiatement. Choisissez Suivant , puis Envoyer.

Scénario 6 : Surveiller ou restreindre les activités des utilisateurs sur des domaines de service sensibles

Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.

Utilisez ce scénario lorsque vous souhaitez auditer ou bloquer les activités utilisateur suivantes sur un site web.

  • imprimer à partir d’un site web
  • copier des données à partir d’un site web
  • enregistrer un site web en tant que fichiers locaux

Remarque

Les navigateurs web suivants sont pris en charge :

  • Microsoft Edge
  • Chrome (avec l’extension Microsoft Purview pour Chrome installée)
  • Firefox (avec l’extension Microsoft Purview pour Firefox installée)

Configurer des domaines de service sensibles

  1. Dans le portail de conformité Microsoft Purview ouvrez Paramètres de protection contre la> perte de donnéesParamètres>> depoint de terminaisonRestrictions denavigateur et de domaine pour les données> sensiblesDomaines de service sensibles.

  2. Pour contrôler si des fichiers sensibles peuvent être chargés dans des domaines spécifiques, sélectionnez Ajouter un domaine de service cloud.

  3. Entrez le domaine que vous souhaitez auditer ou bloquer, puis choisissez le + bouton . Répétez cette opération pour tous les domaines supplémentaires. Cliquez sur Enregistrer.

  4. Sous Groupes de domaines de service sensibles, choisissez Créer un groupe de domaines de service sensible.

  5. Donnez un nom au groupe, sélectionnez le type de correspondance souhaité (vous pouvez sélectionner l’URL, l’adresse IP, la plage d’adresses IP), puis entrez l’URL, l’adresse IP ou la plage d’adresses IP à auditer ou à bloquer. Lors de la mise en correspondance d’une URL, vous pouvez ajouter plusieurs sites web à un groupe et utiliser des caractères génériques pour couvrir les sous-domaines. Par exemple, www.contoso.com pour le site web de niveau supérieur ou *.contoso.com pour corp.contoso.com, hr.contoso.com fin.contoso.com.

  6. Sélectionnez Enregistrer.

  7. Dans le volet de navigation gauche, sélectionnez Stratégies de protection contre la> pertede données.

  8. Créez et limitez une stratégie qui est appliquée uniquement à l’emplacement Appareils . Pour plus d’informations sur la création d’une stratégie, consultez Créer et déployer des stratégies de protection contre la perte de données. Veillez à définir l’étendue des unités de Administration sur le répertoire complet.

  9. Créez une règle qui utilise la condition que l’utilisateur a accédé à un site sensible à partir de Edge, et l’action Auditer ou restreindre les activités lorsque les utilisateurs accèdent à des sites sensibles dans le navigateur Microsoft Edge sur des appareils Windows.

  10. Dans l’action, sous Restrictions de sites sensibles, sélectionnez Ajouter ou supprimer des groupes de sites sensibles.

  11. Créez et/ou sélectionnez les groupes de sites sensibles souhaités. Tout site web sous le ou les groupes que vous sélectionnez ici est redirigé vers Microsoft Edge lorsqu’il est ouvert dans Chrome ou Firefox (tant que l’extension Microsoft Purview est installée).

  12. Sélectionnez Ajouter.

  13. Sélectionnez les activités utilisateur que vous souhaitez surveiller ou restreindre, ainsi que les actions que Microsoft Purview doit effectuer en réponse à ces activités.

  14. Terminez la configuration de la règle et de la stratégie, puis choisissez Envoyer , puis Terminé.

Scénario 7 : Restreindre le collage de contenu sensible dans un navigateur

Ce scénario est destiné à empêcher les utilisateurs de coller du contenu sensible dans un formulaire web ou un champ de navigateur sur des navigateurs, notamment Microsoft Edge, Google Chrome (avec l’extension Microsoft Purview) et Mozilla Firefox (avec l’extension Microsoft Purview).

Importante

Si vous avez configuré la collecte de preuves pour les activités de fichier sur les appareils et que votre version du client anti-programme malveillant sur l’appareil est antérieure à 4.18.23110, lorsque vous implémentez ce scénario, Restreindre le collage de contenu sensible dans un navigateur, vous verrez des caractères aléatoires lorsque vous tentez d’afficher le fichier source dans Détails de l’alerte. Pour afficher le texte du fichier source réel, vous devez télécharger le fichier.

Créer votre stratégie DLP

Vous pouvez configurer différents niveaux d’application lorsqu’il s’agit de bloquer le collage de données dans un navigateur. Pour ce faire, créez différents groupes d’URL. Par instance, vous pouvez créer une stratégie qui met en garde les utilisateurs contre la publication de numéros de sécurité sociale (SSN) américains sur n’importe quel site web, et qui déclenche une action d’audit pour les sites web du groupe A. Vous pouvez créer une autre stratégie qui bloque complètement l’action de collage, sans donner d’avertissement, pour tous les sites web du groupe B.

Créer un groupe d’URL

  1. Ouvrez le portail de conformité Microsoft Purview et accédez à Paramètres de protection contre la> perte de donnéesParamètres> de point determinaison, puis faites défiler jusqu’à Navigateur et restrictions de domaine pour les données sensibles. Développez la section .

  2. Faites défiler jusqu’à Groupes de domaines de service sensibles.

  3. Choisissez Créer un groupe de domaines de service sensible.

    1. Entrez un nom de groupe.
    2. Dans le champ Domaine de service sensible , entrez l’URL du premier site web que vous souhaitez surveiller, puis choisissez Ajouter un site.
    3. Continuez à ajouter des URL pour le reste des sites web que vous souhaitez surveiller dans ce groupe.
    4. Lorsque vous avez terminé d’ajouter toutes les URL à votre groupe, choisissez Enregistrer.
  4. Créez autant de groupes d’URL distincts que vous le souhaitez.

Restreindre le collage de contenu dans un navigateur

  1. Créez une stratégie DLP étendue à Appareils. Pour plus d’informations sur la création d’une stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.

  2. Dans la page Définir les paramètres de stratégie du flux de création de stratégie DLP, sélectionnez Créer ou personnaliser des règles DLP avancées , puis choisissez Suivant.

  3. Dans la page Personnaliser les règles DLP avancées , choisissez Créer une règle.

  4. Entrez un nom et une description pour la règle.

  5. Développez Conditions, choisissez Ajouter une condition, puis sélectionnez Les types d’informations sensibles.

  6. Sous Contenu contient, faites défiler vers le bas et sélectionnez le nouveau type d’informations sensibles que vous avez précédemment choisi ou créé.

  7. Faites défiler jusqu’à la section Actions , puis choisissez Ajouter une action.

  8. Choisissez Auditer ou restreindre les activités sur les appareils

  9. Dans la section Actions , sous Domaine de service et activités de navigateur, sélectionnez Coller dans les navigateurs pris en charge.1.

  10. Définissez la restriction sur Audit, Bloquer avec remplacement ou Bloquer, puis choisissez Ajouter.

  11. Cliquez sur Enregistrer.

  12. Sélectionnez Suivant

  13. Indiquez si vous souhaitez tester votre stratégie, l’activer immédiatement ou la conserver, puis choisissez Suivant.

  14. Choose Submit.

Importante

Il peut y avoir un bref décalage entre le moment où l’utilisateur tente de coller du texte dans une page web et le moment où le système termine sa classification et répond. Si cette latence de classification se produit, vous pouvez voir à la fois des notifications d’évaluation de stratégie et case activée complètes dans Edge ou toast d’évaluation de stratégie sur Chrome et Firefox. Voici quelques conseils pour réduire le nombre de notifications :

  1. Les notifications sont déclenchées lorsque la stratégie du site web cible est configurée sur Bloquer ou Bloquer avec le remplacement coller dans le navigateur pour cet utilisateur. Vous pouvez configurer la définition de l’action globale sur Auditer , puis répertorier les sites web cibles en utilisant les exceptions en tant que Bloquer. Vous pouvez également définir l’action globale sur Bloquer , puis répertorier les sites web sécurisés en utilisant les exceptions comme Audit.
  2. Utilisez la dernière version du client Antimalware.
  3. Utilisez la dernière version du navigateur Edge, en particulier Edge 120.
  4. Installer ces bases de connaissances Windows

Scénario 8 : Groupes d’autorisation

Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.

Ces scénarios nécessitent que les appareils soient déjà intégrés et reportés dans l’Explorateur d’activités. Si vous n’avez pas encore intégré d’appareils, consultez l’article Prise en main de la protection contre la perte de données de point de terminaison.

Les groupes d’autorisation sont principalement utilisés comme listes d’autorisation. Vous avez affecté au groupe des actions de stratégie qui sont différentes des actions de stratégie globales. Dans ce scénario, nous allons définir un groupe d’imprimantes, puis configurer une stratégie avec des actions de blocage pour toutes les activités d’impression, à l’exception des imprimantes du groupe. Ces procédures sont essentiellement les mêmes pour les groupes de périphériques de stockage pouvant être supprimés et les groupes de partage réseau.

Dans ce scénario, nous définissons un groupe d’imprimantes que le service juridique utilise pour les contrats d’impression. L’impression de contrats sur d’autres imprimantes est bloquée.

Créer et utiliser des groupes d’imprimantes

  1. Dans le portail de conformité Microsoft Purview ouvrez Paramètres de protection contre la> perte de donnéesParamètres>de point> de terminaisonGroupes d’imprimantes.

  2. Sélectionnez Créer un groupe d’imprimantes et entrez un nom Grouper un nom. Dans ce scénario, nous utilisons Legal printers.

  3. Sélectionnez Ajouter une imprimante et indiquez un nom. Vous pouvez définir des imprimantes en :

    1. Nom convivial de l’imprimante
    2. ID de produit USB
    3. ID du fournisseur USB
    4. Plage d’adresses IP
    5. Imprimer dans un fichier
    6. Impression universelle déployée sur une imprimante
    7. Imprimante d’entreprise
    8. Imprimer en local
  4. Sélectionnez Fermer.

Configurer les actions d’impression de stratégie

  1. Accédez à Stratégies de protection contre la> perte de données.

  2. Sélectionnez Créer une stratégie , puis sélectionnez le modèle de stratégie personnalisé.

  3. Sélectionnez Répertoire complet sous Administration unités.

  4. Limitez l’emplacement à l’emplacement Appareils uniquement.

  5. Créez une règle avec les valeurs suivantes :

    1. Ajouter une condition : le contenu contient = des classifieurs pouvant être formés, des affaires juridiques
    2. Actions = Auditer ou restreindre les activités sur les appareils
    3. Sélectionnez ensuite Activités de fichier sur toutes les applications
    4. Sélectionnez Appliquer des restrictions à une activité spécifique.
    5. Sélectionnez Bloc d’impression =
  6. Sélectionnez Choisir différentes restrictions d’impression

  7. Sous Restrictions de groupe d’imprimantes, sélectionnez Ajouter un groupe , puis Imprimantes légales.

  8. Définissez Action = Autoriser.

    Conseil

    L’événement Autoriser l’action permet d’enregistrer et d’auditer dans le journal d’audit, mais ne génère pas d’alerte ou de notification.

  9. Sélectionnez Enregistrer , puis Suivant.

  10. Acceptez la valeur par défaut Exécuter la stratégie en mode simulation et choisissez Afficher les conseils de stratégie en mode simulaiton. Cliquez sur Suivant.

  11. Passez en revue vos paramètres, puis sélectionnez Envoyer.

  12. La nouvelle stratégie DLP apparaît dans la liste des stratégies.

Scénario 9 : Exceptions réseau

Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.

Ces scénarios nécessitent que les appareils soient déjà intégrés et reportés dans l’Explorateur d’activités. Si vous n’avez pas encore intégré d’appareils, consultez l’article Prise en main de la protection contre la perte de données de point de terminaison.

Dans ce scénario, nous définissons une liste de VPN que les workers hybrides utilisent pour accéder aux ressources organization.

Créer et utiliser une exception réseau

Les exceptions réseau vous permettent de configurer les actions Autoriser, Auditer uniquement, Bloquer avec remplacement et Bloquer pour les activités de fichier en fonction du réseau à partir duquel les utilisateurs accèdent au fichier. Vous pouvez sélectionner dans la liste des paramètres VPN que vous avez définie et utiliser l’option Réseau d’entreprise . Les actions peuvent être appliquées individuellement ou collectivement à ces activités utilisateur :

  • Copier dans le Presse-papiers
  • Copier sur un périphérique usb amovible
  • Copier vers un partage réseau
  • Imprimer
  • Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
  • Copier ou déplacer à l’aide de RDP

Obtenir l’adresse du serveur ou l’adresse réseau

  1. Sur un appareil Windows surveillé par DLP, ouvrez une fenêtre Windows PowerShell en tant qu’administrateur.

  2. Exécutez cette applet de commande :

    Get-VpnConnection
    
  3. L’exécution de cette applet de commande retourne plusieurs champs et valeurs.

  4. Recherchez le champ ServerAddress et enregistrez cette valeur. Vous l’utilisez lorsque vous créez une entrée VPN dans la liste DES VPN.

  5. Recherchez le champ Nom et enregistrez cette valeur. Le champ Nom est mappé au champ Adresse réseau lorsque vous créez une entrée VPN dans la liste VPN.

Ajouter un VPN

  1. Ouvrez portail de conformité Microsoft Purview Paramètres>de protection contre la> perte de donnéesParamètres> du > pointde terminaisonParamètres VPN.

  2. Sélectionnez Ajouter ou modifier des adresses VPN.

  3. Indiquez l’adresse du serveur ou l’adresse réseau de l’exécution de Get-VpnConnection.

  4. Sélectionnez Enregistrer.

  5. Fermez l’élément.

Configurer les actions de stratégie

  1. Ouvrez les stratégies de protection contre la> pertede données.

  2. Sélectionnez Créer une stratégie , puis sélectionnez le modèle de stratégie personnalisé.

  3. Sélectionnez Répertoire complet sous Administration unités.

  4. Limitez l’emplacement à Appareils uniquement.

  5. Créez une règle où :

    1. Le contenu contient = Classifieurs pouvant être formés, affaires juridiques
    2. Actions = Auditer ou restreindre les activités sur les appareils
    3. Sélectionnez ensuite Activités de fichier sur toutes les applications
    4. Sélectionnez Appliquer des restrictions à une activité spécifique.
    5. Sélectionnez les actions pour lesquelles vous souhaitez configurer les exceptions réseau .
  6. Sélectionnez Copier dans le Presse-papiers et l’action Auditer uniquement

  7. Sélectionnez Choisir différentes restrictions de copie dans le Presse-papiers.

  8. Sélectionnez VPN et définissez l’action sur Bloquer avec remplacement.

    Importante

    Lorsque vous souhaitez contrôler les activités d’un utilisateur lorsqu’il est connecté via un VPN, vous devez sélectionner le VPN et faire du VPN la priorité absolue dans la configuration des exceptions réseau . Sinon, si l’option Réseau d’entreprise est sélectionnée, cette action définie pour l’entrée Réseau d’entreprise sera appliquée.

    Attention

    L’option Appliquer à toutes les activités copie les exceptions réseau définies ici et les applique à toutes les autres activités spécifiques configurées, telles que Imprimer et Copier sur un partage réseau. Cela remplacera les exceptions réseau sur les autres activités La dernière configuration enregistrée l’emporte.

  9. Enregistrez.

  10. Acceptez la valeur par défaut Exécuter la stratégie en mode simulation et choisissez Afficher les conseils de stratégie en mode simulation. Cliquez sur Suivant.

  11. Passez en revue vos paramètres, choisissez Envoyer , puis Terminé.

  12. La nouvelle stratégie DLP apparaît dans la liste des stratégies.

Voir aussi