Empêcher l’accès invité aux fichiers pendant l’application de règles DLP
Lorsque de nouveaux fichiers sont ajoutés à SharePoint ou OneDrive dans Microsoft 365, la stratégie de protection contre la perte de données (DLP) Microsoft Purview prend un certain temps pour analyser le contenu et appliquer des règles pour protéger le contenu sensible. Si le partage externe est activé, le contenu sensible peut être partagé et accessible par les invités avant la fin du traitement de la règle DLP.
Au lieu de désactiver entièrement le partage externe, vous pouvez marquer les fichiers de votre organisation comme sensibles par défaut. Cela bloque l’accès invité au nouveau contenu jusqu’à ce qu’il soit analysé pour le contenu sensible et les stratégies DLP qui incluent des conditions basées sur le contenu sont appliquées. Les invités sont avertis que le fichier est analysé s’ils tentent d’y accéder pendant cette période.
Une fois qu’un fichier est analysé et qu’aucun contenu qui bloquerait le partage par règles DLP n’est détecté, les invités peuvent accéder au fichier. Si la stratégie identifie le contenu sensible dans le document qui correspond aux règles DLP, le comportement normal défini par ces règles DLP est appliqué.
Cette fonctionnalité ne bloque pas l’accès à un fichier si :
- le contenu a déjà été analysé et aucun contenu sensible n’a été trouvé qui correspond aux conditions dans les règles DLP,
- ou si le fichier a des propriétés qui correspondent aux exemptions dans les règles DLP qui permettent son partage.
Cette fonctionnalité s’applique aux fichiers nouvellement ajoutés dans SharePoint et OneDrive. Cela ne bloque pas le partage si un fichier existant est modifié.
Des règles DLP sont requises pour que le contenu soit partagé avec les invités
Lorsque cette fonctionnalité est activée, tout contenu qui n’est pas explicitement vérifié dans une stratégie DLP ne peut pas faire l’objet d’un accès externe. En d’autres termes, pour que le contenu puisse être partagé en externe, il doit se trouver dans un emplacement couvert par une stratégie DLP et les stratégies de cet emplacement doivent déterminer, une fois le contenu analysé et identifié, que le fichier ne correspond à aucune règle qui l’empêcherait d’être partagé. Cela permet d’empêcher les utilisateurs de fuiter des fichiers sensibles en les plaçant dans un emplacement non couvert par les stratégies DLP.
Si vous souhaitez utiliser le principe selon lequel seuls les emplacements explicitement vérifiés par DLP peuvent être partagés en externe, aucune autre action n’est nécessaire.
Si vous souhaitez activer le partage externe dans des emplacements qui ne sont actuellement pas couverts par les stratégies DLP, vous pouvez créer une règle DLP qui inclut tous les emplacements SharePoint et OneDrive qui contiennent au moins une règle avec la condition « contenu contient » (pour tout contenu) et qui n’effectue aucune action (comme limiter ou bloquer le contenu), déclencher des alertes, ou génère des notifications ou des rapports. Cette stratégie doit être déplacée en haut de la liste et ne pas avoir l’option Arrêter le traitement d’autres règles définie. Elle n’est donc effective que pour le contenu qui ne correspond à aucune autre règle DLP. En raison d’une telle règle, tout fichier situé à un emplacement qui ne correspond pas à d’autres règles DLP sera autorisé pour le partage externe.
Pour plus d’informations sur la création d’une règle DLP, consultez Découvrir comment créer et activer une stratégie DLP.
Marquer les fichiers comme sensibles par défaut
Cette fonctionnalité est configurée à l’aide de PowerShell.
Téléchargez la dernière version de SharePoint Online Management Shell.
Remarque
Si vous avez installé une version antérieure de SharePoint Online Management Shell, accédez à Ajouter ou supprimer des programmes et désinstaller « SharePoint Online Management Shell ».
Connectez-vous à SharePoint en tant qu’administrateur SharePoint ou version ultérieure dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.
Exécutez la commande suivante :
Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing
Pour désactiver cette fonctionnalité, exécutez la commande suivante :
Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
Remarque
L’application de ce nouveau paramètre peut prendre jusqu’à 60 minutes.