Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce scénario montre comment utiliser des groupes d’autorisation dans Microsoft Purview DLP pour appliquer un bloc par défaut sur données sensibles actions tout en autorisant des exceptions contrôlées. Dans cet exemple, l’impression de documents classés comme du contenu légal est limitée sur tous les appareils, à l’exception d’un ensemble défini d’imprimantes de service juridique approuvées.
En combinant les restrictions d’impression au niveau de l’appareil avec une liste d’autorisation d’imprimante, cette approche permet aux organisations de protéger les informations sensibles tout en prenant en charge les flux de travail métier légitimes. Il illustre également comment les groupes d’autorisation peuvent être réutilisés pour d’autres scénarios, tels que des périphériques de stockage amovibles ou des partages réseau.
Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.
Ces scénarios nécessitent que les appareils soient déjà intégrés et reportés dans l’Explorateur d’activités. Si vous n’avez pas encore intégré d’appareils, consultez l’article Prise en main de la protection contre la perte de données de point de terminaison.
Les groupes d’autorisation sont principalement utilisés comme listes d’autorisation. Vous avez affecté au groupe des actions de stratégie qui sont différentes des actions de stratégie globales. Dans ce scénario, nous allons définir un groupe d’imprimantes, puis configurer une stratégie avec des actions de blocage pour toutes les activités d’impression, à l’exception des imprimantes du groupe. Ces procédures sont essentiellement les mêmes pour les groupes de périphériques de stockage pouvant être supprimés et les groupes de partage réseau.
Dans ce scénario, nous définissons un groupe d’imprimantes que le service juridique utilise pour les contrats d’impression. L’impression de contrats sur d’autres imprimantes est bloquée.
Conditions préalables et hypothèses
Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.
Importante
Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.
La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.
Ce scénario utilise l’étiquette confidentialité . Il vous oblige donc à créer et à publier des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :
- En savoir plus sur les étiquettes de niveau de confidentialité
- Prise en main des étiquettes de confidentialité
- Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies
Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.
Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données
Mappage et instruction d’intention de stratégie
Nous, Contoso, voulons empêcher les utilisateurs d’imprimer du contenu juridique sensible sur des imprimantes non autorisées tout en autorisant les workflows métier approuvés pour le service juridique. Dans ce scénario, les documents qui correspondent au classifieur pouvant être formé aux affaires juridiques doivent être protégés contre l’impression à grande échelle dans l’organization, mais les utilisateurs dans Legal doivent être en mesure d’imprimer ces documents sur un ensemble défini d’imprimantes approuvées.
Pour ce faire, nous allons créer une stratégie qui applique des restrictions d’impression sur les appareils pour le contenu classé comme légal par nature. L’impression est bloquée par défaut, mais un groupe d’autorisations d’imprimantes approuvées est configuré en tant qu’exception et autorisé. Cela permet une forte posture de protection par défaut tout en prenant en charge les besoins métier légitimes via un modèle de liste d’autorisation contrôlée.
| Statement | Réponse à la question de configuration et mappage de configuration |
|---|---|
| « Nous voulons protéger les documents juridiques sensibles contre l’impression d’imprimantes non autorisées... » | - Étendue administrative : répertoire complet - Où surveiller : appareils uniquement - Étendue de la stratégie : tous les utilisateurs/appareils couverts par la stratégie |
| « Nous voulons identifier les documents qui contiennent du contenu juridiquement sensible... » | - Condition : Content contains = Classifieurs pouvant être formés, Legal Affairs |
| « Nous voulons restreindre l’impression de ce contenu sensible sur les appareils de point de terminaison... » | - Action : Auditer ou restreindre les activités sur les appareils - Type d’activité : Activités de fichier sur toutes les applications - Modèle de restriction : appliquer des restrictions à une activité spécifique |
| « Nous voulons que l’impression soit bloquée par défaut, sauf autorisation explicite... » | - Restriction d’activité : Imprimer = Bloquer |
| « Nous voulons que les imprimantes approuvées du service juridique soient exemptées du bloc par défaut... » | - Paramètres de point de terminaison : créer un groupe d’imprimantes nommé Imprimantes légales - Les membres du groupe peuvent être définis par le nom convivial de l’imprimante, l’ID de produit/fournisseur USB, la plage d’adresses IP, l’impression à fichier, l’impression universelle, l’imprimante d’entreprise ou l’impression locale |
| « Nous voulons un comportement de stratégie différent pour les imprimantes approuvées de l’action de stratégie globale... » | - Comportement du groupe d’autorisation : choisissez différentes restrictions d’impression - Restriction du groupe d’imprimantes : Ajouter des imprimantes légales - Action spécifique au groupe : Autoriser |
| « Nous voulons que l’activité d’impression approuvée reste visible à des fins d’audit sans créer d’alertes inutiles... » | - Autoriser le comportement de l’action : l’activité d’impression autorisée est enregistrée dans le journal d’audit - Aucune alerte ou notification utilisateur n’est générée pour l’action d’imprimante de liste verte |
| « Nous voulons tester la politique en toute sécurité avant son application... » | - Mode stratégie : exécuter la stratégie en mode simulation - Expérience utilisateur : afficher les conseils de stratégie en mode simulation |
| « Nous voulons utiliser ce même modèle de conception pour d’autres destinations autorisées à l’avenir... » | - Modèle de groupe d’autorisation réutilisable : la même approche s’applique aux groupes de périphériques de stockage amovibles et aux groupes de partage réseau |
Étapes de création d’une stratégie
Créer et utiliser des groupes d’imprimantes
Connectez-vous au portail> Microsoft PurviewParamètres de protection contre la> perte de données (engrenage dans le coin supérieur gauche) > Paramètres de point determinaison>de protection contre la> perte de donnéesGroupes d’imprimantes.
Sélectionnez Créer un groupe d’imprimantes et entrez un nom Grouper un nom. Dans ce scénario, nous utilisons
Legal printers.Sélectionnez Ajouter une imprimante et indiquez un nom. Vous pouvez définir des imprimantes en :
- Nom convivial de l’imprimante
- ID de produit USB
- ID du fournisseur USB
- Plage d’adresses IP
- Imprimer dans un fichier
- Impression universelle déployée sur une imprimante
- Imprimante d’entreprise
- Imprimer en local
Sélectionnez Fermer.
Configurer les actions d’impression de stratégie
Connectez-vous au portail Microsoft Purview.
Accédez à Stratégies de protection contre la> perte de données.
Sélectionnez Créer.
Données stockées dans des sources connectées.
Sélectionnez le modèle Personnalisé dans Catégories , puis Le modèle de stratégie personnalisée dans Réglementations.
Donnez un nom et une description à votre nouvelle stratégie.
Acceptez le répertoire complet par défaut sous Administration unités.
Limitez l’emplacement à l’emplacement Appareils uniquement.
Créez une règle avec les valeurs suivantes :
- Ajouter une condition : le contenu contient = des classifieurs pouvant être formés, des affaires juridiques
- Actions = Auditer ou restreindre les activités sur les appareils
- Sélectionnez ensuite Activités de fichier sur toutes les applications
- Sélectionnez Appliquer des restrictions à une activité spécifique.
- Sélectionnez Bloc d’impression =
Sélectionnez Choisir différentes restrictions d’impression
Sous Restrictions de groupe d’imprimantes, sélectionnez Ajouter un groupe , puis Imprimantes légales.
Définissez Action = Autoriser.
Conseil
L’événement Autoriser l’action permet d’enregistrer et d’auditer dans le journal d’audit, mais ne génère pas d’alerte ou de notification.
Sélectionnez Enregistrer , puis Suivant.
Acceptez la valeur par défaut Exécuter la stratégie en mode simulation et choisissez Afficher les conseils de stratégie en mode simulaiton. Cliquez sur Suivant.
Passez en revue vos paramètres, puis sélectionnez Envoyer.
La nouvelle stratégie DLP apparaît dans la liste des stratégies.