Appliquer des contrôles de sécurité et de conformité

S’applique à : Administrateur client consommateur — Administrateur de conformité / Administrateur de la sécurité / Administrateur SharePoint

Appliquez des contrôles de sécurité et de conformité au contenu SharePoint Embedded à l’aide de Microsoft Purview et des fonctionnalités d’administration SharePoint prises en charge.

SharePoint Embedded utilise les fonctionnalités de conformité et de gouvernance des données de Microsoft 365 afin que les organisations puissent protéger, gouverner et examiner le contenu stocké par les applications incorporées.

Certains scénarios de conformité nécessitent que l’application propriétaire fournisse l’expérience de l’utilisateur final, car SharePoint Embedded est une API uniquement et n’a pas sa propre interface utilisateur.

Importante

Coordonner les contrôles de conformité avec le propriétaire de l’application SharePoint Embedded. Une stratégie peut protéger le contenu, mais le comportement de l’application doit être implémenté par l’application propriétaire pour gérer les effets de ces stratégies.

Avant de commencer

Confirmez ces prérequis.

  • Vous pouvez accéder à Microsoft Purview avec le rôle de conformité requis.
  • Vous pouvez accéder aux outils d’administration SharePoint lorsque les détails du conteneur sont nécessaires.
  • Vous pouvez identifier l’application SharePoint Embedded et les conteneurs dans l’étendue.
  • Vous pouvez récupérer des URL de site conteneur pour les stratégies ciblées.
  • Les propriétaires d’applications comprennent l’impact de la stratégie sur leur expérience utilisateur.
  • Les parties prenantes juridiques, de gestion des enregistrements et de sécurité approuvent la conception du contrôle.

Pour connaître les contrôles pris en charge, consultez Planifier la sécurité, la conformité et la gouvernance.

Obtenir les détails du conteneur pour l’étendue de la stratégie

De nombreuses tâches de conformité nécessitent une URL de conteneur ou un identificateur de conteneur.

Utilisez PowerShell pour récupérer les détails de l’application et du conteneur.

  1. Afficher les applications SharePoint Embedded inscrites dans le locataire.

    Get-SPOApplication
    
  2. Récupérer des conteneurs pour une application.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. Récupérer les détails d’un conteneur.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

Utilisez l’URL du site de conteneur pour cibler des stratégies sur des conteneurs SharePoint Embedded spécifiques.

Pour plus d’informations sur les applets de commande, consultez Get-SPOContainer.

Appliquer des contrôles d’audit

Fonctionnalités d’audit de SharePoint Embedded miroir fonctionnalités d’audit SharePoint existantes. Les opérations utilisateur et administrateur effectuées dans les applications SharePoint Embedded sont capturées dans le journal d’audit unifié.

Utilisez l’audit Microsoft Purview pour rechercher l’activité et examiner les opérations de fichier, d’utilisateur, d’application et d’administration.

Microsoft Purview audite les résultats de la recherche pour l’activité SharePoint Embedded, y compris les champs ContainerInstanceId et ContainerTypeId.

Pour connaître les étapes de révision d’audit, consultez Examiner les événements d’audit. Pour obtenir la liste détaillée des événements d’audit de type de conteneur et d’inscription de type de conteneur, voir Événements du journal d’audit SharePoint Embedded.

Appliquer eDiscovery

Les administrateurs de conformité peuvent utiliser Microsoft Purview eDiscovery pour rechercher, conserver et exporter du contenu hébergé dans SharePoint Embedded.

Pour rechercher tout le contenu SharePoint Embedded avec du contenu SharePoint :

  1. Ouvrez l’expérience eDiscovery dans Microsoft Purview.
  2. Configurez la recherche.
  3. Sélectionnez Tous les sites SharePoint pour la charge de travail SharePoint.
  4. Exécutez la recherche.
  5. Passez en revue les résultats en fonction de votre processus eDiscovery.

Microsoft Purview eDiscovery recherche configurée avec Tous les sites SharePoint sélectionnés pour inclure tous les conteneurs SharePoint Embedded.

Pour limiter la recherche aux conteneurs SharePoint Embedded sélectionnés :

  1. Récupérez l’URL du site de conteneur.
  2. Dans la charge de travail sites SharePoint, choisissez des sites spécifiques.
  3. Ajoutez l’URL du conteneur.
  4. Exécutez et validez la recherche.

Microsoft Purview eDiscovery rechercher à l’aide de Choisir des sites sous la charge de travail sites SharePoint pour cibler une URL de conteneur spécifique.

Pour obtenir des conseils sur les produits, consultez solutions Microsoft Purview eDiscovery.

Appliquer la rétention et les conservations

SharePoint Embedded prend en charge les stratégies de rétention et de conservation sur le contenu stocké dans les applications via Microsoft Purview. Utilisez ces options d’étendue :

Portée Effet
Tous les sites SharePoint S’applique aux sites SharePoint et aux conteneurs SharePoint Embedded.
Emplacements sélectionnés S’applique à des emplacements SharePoint spécifiques, y compris les URL de conteneur SharePoint Embedded sélectionnées.

Utilisez une étendue étendue lorsqu’une stratégie s’applique à tout le contenu SharePoint et SharePoint Embedded.

Utilisez les URL de conteneur sélectionnées lorsqu’une stratégie s’applique uniquement à des données spécifiques.

Stratégie de rétention Microsoft Purview configurée pour Tous les sites, qui l’applique à tous les sites SharePoint et conteneurs SharePoint Embedded.

Stratégie de rétention Microsoft Purview étendue aux URL de conteneur SharePoint Embedded sélectionnées.

Remarque

SharePoint Embedded ne fournit pas d’interface utilisateur final native pour les interactions avec les étiquettes de rétention. Si les utilisateurs doivent appliquer ou répondre à des étiquettes de rétention dans une application, l’application propriétaire doit fournir cette expérience.

Pour Gestion du cycle de vie des données Microsoft Purview, consultez En savoir plus sur les Gestion du cycle de vie des données Microsoft Purview.

Appliquer des stratégies DLP

Utilisez Protection contre la perte de données Microsoft Purview (DLP) pour identifier, surveiller et protéger automatiquement les éléments sensibles stockés dans les applications SharePoint Embedded.

Pour appliquer DLP à grande échelle :

  1. Créez ou modifiez une stratégie DLP dans Microsoft Purview.
  2. Choisissez la charge de travail sites SharePoint.
  3. Sélectionnez Tous les sites lorsque la stratégie doit inclure tous les sites SharePoint et les conteneurs SharePoint Embedded.
  4. Configurez des règles, des actions et des alertes.
  5. Testez, puis activez la stratégie en fonction de votre processus de déploiement.

Pour appliquer la protection contre la perte de données aux conteneurs SharePoint Embedded sélectionnés :

  1. Récupérez les URL du conteneur.
  2. Configurez la stratégie DLP pour les emplacements SharePoint sélectionnés.
  3. Ajoutez les URL de conteneur.
  4. Validez le comportement de la stratégie avec le propriétaire de l’application.

Stratégie DLP Microsoft Purview configurée pour Tous les sites afin d’inclure tous les sites SharePoint et les conteneurs SharePoint Embedded.

Stratégie DLP Microsoft Purview limitée aux URL de conteneur SharePoint Embedded sélectionnées.

Certains scénarios DLP nécessitent une interaction utilisateur, par exemple une justification métier pour la substitution ou des conseils de stratégie.

Étant donné que SharePoint Embedded ne fournit pas d’interface utilisateur native, l’application cliente doit implémenter l’expérience utilisateur requise, souvent en utilisant Microsoft Graph, le cas échéant.

Pour plus d’informations sur la protection contre la perte de données, consultez En savoir plus sur la protection contre la perte de données.

Appliquer des étiquettes de confidentialité aux conteneurs

Les administrateurs généraux et les administrateurs SharePoint Embedded peuvent définir ou supprimer des étiquettes de confidentialité sur des conteneurs SharePoint Embedded avec SharePoint PowerShell.

Définir une étiquette :

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Supprimez une étiquette à l’aide de la commande d’étiquette de conteneur prise en charge documentée dans Gérer les conteneurs avec PowerShell.

Avant d’appliquer des étiquettes :

  • Vérifiez que l’étiquette est publiée.
  • Vérifiez que l’étiquette est appropriée pour le conteneur.
  • Confirmez le comportement de l’application avec le propriétaire de l’application.
  • Vérifiez les exigences de conformité avec les propriétaires de données.

Pour connaître les concepts relatifs aux étiquettes, consultez En savoir plus sur les étiquettes de confidentialité.

Appliquer la stratégie de téléchargement de bloc

Les administrateurs SharePoint et les administrateurs généraux peuvent bloquer les téléchargements de fichiers à partir de conteneurs SharePoint Embedded avec l’applet de commande de stratégie de site SharePoint.

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Une licence Gestion avancée SharePoint est nécessaire pour appliquer cette stratégie.

Lisez la documentation SharePoint avant de l’activer en production.

Pour plus d’informations, voir Bloquer la stratégie de téléchargement pour les sites SharePoint et OneDrive.

Appliquer la stratégie d’accès conditionnel

SharePoint Embedded prend en charge les configurations de stratégie d’accès conditionnel de base.

Le ConditionalAccessPolicy paramètre prend en charge ces valeurs :

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

Utilisez cette applet de commande SharePoint PowerShell :

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Passez en revue les stratégies d’accès des locataires avant de modifier l’accès aux conteneurs.

Testez le comportement de l’application pour les clients web, de bureau et mobiles.

Pour obtenir des conseils connexes, consultez Contrôler l’accès à partir d’appareils non gérés.

Clarifier les responsabilités

Les contrôles de sécurité et de conformité s’étendent souvent à plusieurs équipes.

Équipe Responsibilities
Administrateurs de conformité Configurez l’audit Purview, eDiscovery, la rétention, la DLP et l’étendue de stratégie.
Administrateurs SharePoint Embedded Récupérez les détails du conteneur et appliquez les paramètres de conteneur pris en charge.
Propriétaires d’applications SharePoint Embedded Implémentez des expériences utilisateur d’application pour les conseils de stratégie, les remplacements, les étiquettes et la gestion des erreurs.
Administrateurs de la sécurité Passez en revue l’accès conditionnel et les restrictions d’accès.
Équipes juridiques ou d’enregistrements Approuver les décisions de conservation, de rétention et de suppression.

Documentez le propriétaire de chaque contrôle avant le déploiement.

Valider le comportement de la stratégie

Après l’application d’un contrôle :

  1. Vérifiez que la stratégie est publiée ou activée.
  2. Vérifiez que l’URL du conteneur cible ou l’étendue de tous les sites est correcte.
  3. Demandez au propriétaire de l’application de tester les workflows utilisateur courants.
  4. Passez en revue les enregistrements d’audit pour l’activité liée à la stratégie.
  5. Passez en revue les alertes DLP, les résultats eDiscovery ou l’état de rétention, le cas échéant.
  6. Enregistrez la modification dans votre journal des opérations de conformité.

Conseil

Pilotez les contrôles sur un petit ensemble de conteneurs avant de les appliquer largement à tous les sites SharePoint et conteneurs SharePoint Embedded.

Étapes suivantes

Passez en revue les conseils de résolution des problèmes dans Résolution des problèmes.