Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce scénario montre comment utiliser des conditions réseau dans Microsoft Purview DLP pour appliquer différentes protections en fonction de l’endroit où les utilisateurs accèdent données sensibles. En définissant des connexions VPN et en configurant des exceptions réseau, la stratégie ajuste les actions, telles que l’audit ou le blocage de l’activité du Presse-papiers, en fonction du contexte réseau, ce qui permet un contrôle plus précis pour les environnements de travail hybrides sans restreindre uniformément l’activité des utilisateurs.
Ce scénario concerne un administrateur non restreint qui crée une stratégie d’annuaire complète.
Conditions préalables et hypothèses
Ce scénario nécessite que vous ayez déjà intégré des appareils et que vous créez des rapports dans l’Explorateur d’activités. Si vous n’avez pas encore intégré d’appareils, consultez l’article Prise en main de la protection contre la perte de données de point de terminaison.
Dans ce scénario, nous définissons une liste de VPN que les workers hybrides utilisent pour accéder aux ressources organization.
Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.
Importante
Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.
La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.
Ce scénario utilise l’étiquette confidentialité . Il vous oblige donc à créer et à publier des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :
- En savoir plus sur les étiquettes de niveau de confidentialité
- Prise en main des étiquettes de confidentialité
- Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies
Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.
Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données
Mappage et instruction d’intention de stratégie
Nous, Contoso, voulons contrôler la façon dont le contenu juridique sensible est géré en fonction du contexte réseau dans lequel les utilisateurs opèrent. En particulier, nous souhaitons appliquer différents niveaux de restriction selon que les utilisateurs sont connectés via des réseaux d’entreprise approuvés ou des connexions VPN utilisées par les workers hybrides.
Pour ce faire, nous allons définir des connexions VPN connues et les utiliser dans des règles d’exception réseau au sein d’une stratégie DLP. Cela nous permet d’appliquer des contrôles plus stricts, tels que le blocage de l’activité du Presse-papiers avec remplacement, lorsque les utilisateurs sont connectés via des VPN spécifiques, tout en conservant un comportement moins restrictif (audit uniquement) dans d’autres contextes. Cette approche permet une protection contextuelle des données qui s’adapte à la façon et à l’endroit où les utilisateurs accèdent données sensibles.
| Statement | Réponse à la question de configuration et mappage de configuration |
|---|---|
| « Nous souhaitons appliquer différents contrôles de protection des données en fonction du réseau à partir duquel les utilisateurs sont connectés... » | - Étendue administrative : répertoire complet - Où surveiller : appareils uniquement - Étendue de la stratégie : tous les utilisateurs/appareils ou utilisateurs ciblés |
| « Nous voulons identifier les connexions VPN utilisées par les workers hybrides... » | - Paramètres de point de terminaison : Configurer les paramètres VPN à l’aide de l’adresse du serveur ou de l’adresse réseau - Données collectées via des commandes PowerShell (Get-VpnConnection, Get-NetConnectionProfile) |
| « Nous voulons détecter le contenu juridique sensible géré sur les points de terminaison... » | - Condition : Content contains = Classifieurs pouvant être formés, Legal Affairs |
| « Nous voulons contrôler des activités utilisateur spécifiques impliquant du contenu sensible... » | - Action : Auditer ou restreindre les activités sur les appareils - Type d’activité : Activités de fichier sur toutes les applications - Activité spécifique : copier dans le Presse-papiers (extensible à d’autres comme l’impression ou la copie USB) |
| « Nous voulons un suivi moins restrictif dans des conditions normales... » | - Action d’activité par défaut : auditer uniquement pour la copie dans le Presse-papiers |
| « Nous voulons des contrôles plus stricts lorsque les utilisateurs sont connectés via des réseaux VPN définis... » | - Exception réseau : sélectionnez VPN et définissez l’action sur Bloquer avec remplacement - Priorité : LE VPN doit être défini comme priorité absolue dans la configuration de l’exception réseau |
| « Nous voulons prendre en charge la productivité des utilisateurs tout en maintenant la responsabilité... » | - Fonctionnalité de remplacement : les utilisateurs peuvent procéder à la justification lorsqu’ils sont bloqués dans des conditions VPN |
| « Nous voulons garantir la priorité correcte des règles basées sur le réseau... » | - Comportement de configuration : les règles VPN sont prioritaires sur les paramètres réseau d’entreprise lorsqu’elles sont correctement ordonnées - Attention : « Appliquer à toutes les activités » peut remplacer d’autres configurations spécifiques à l’activité |
| « Nous voulons tester en toute sécurité le comportement de la stratégie avant une mise en œuvre complète... » | - Mode stratégie : exécution en mode simulation - Expérience utilisateur : afficher les conseils de stratégie en mode simulation |
| « Nous voulons valider le comportement de la stratégie par le biais de la surveillance et des tests... » | - Surveillance : Utiliser l’Explorateur d’activités pour examiner les correspondances de stratégie - Test : Effectuer une action de copie du Presse-papiers dans différentes conditions réseau (VPN ou non-VPN) |
Étapes de création d’une stratégie
Créer et utiliser une exception réseau
Les exceptions réseau vous permettent de configurer les actions Autoriser, Auditer uniquement, Bloquer avec remplacement et Bloquer pour les activités de fichier en fonction du réseau à partir duquel les utilisateurs accèdent au fichier. Vous pouvez sélectionner dans la liste des paramètres VPN que vous avez définie et utiliser l’option Réseau d’entreprise . Les actions peuvent être appliquées individuellement ou collectivement à ces activités utilisateur :
- Copier dans le Presse-papiers
- Copier sur un périphérique usb amovible
- Copier vers un partage réseau
- Imprimer
- Copier ou déplacer à l'aide d'une application Bluetooth non autorisée
- Copier ou déplacer à l’aide de RDP
Obtenir l’adresse du serveur ou l’adresse réseau
Sur un appareil Windows surveillé par DLP, ouvrez une fenêtre Windows PowerShell en tant qu’administrateur.
Exécutez cette applet de commande :
Get-VpnConnectionL’exécution de cette applet de commande retourne plusieurs champs et valeurs.
Recherchez le champ ServerAddress et enregistrez cette valeur. Vous l’utilisez lorsque vous créez une entrée VPN dans la liste DES VPN.
Recherchez le champ Nom et enregistrez cette valeur. Le champ Nom est mappé au champ Adresse réseau lorsque vous créez une entrée VPN dans la liste VPN.
Déterminer si l’appareil est connecté via un réseau d’entreprise
Sur un appareil Windows surveillé par DLP, ouvrez une fenêtre Windows PowerShell en tant qu’administrateur.
Exécutez cette applet de commande :
Get-NetConnectionProfileSi le champ NetworkCategory est DomainAuthenticated, l’appareil est connecté à un réseau d’entreprise. Si ce n’est pas le cas, la connexion de l’appareil ne passe pas par un réseau d’entreprise.
Ajouter un VPN
Connectez-vous au portail Microsoft Purview.
Ouvrez Paramètres Protection>contre la> perte de donnéesParamètres du point de terminaison Paramètres>VPN.
Sélectionnez Ajouter ou modifier des adresses VPN.
Indiquez l’adresse du serveur ou l’adresse réseau de l’exécution de Get-VpnConnection.
Sélectionnez Enregistrer.
Fermez l’élément.
Configurer les actions de stratégie
Connectez-vous au portail Microsoft Purview.
Ouvrez les stratégies de protection contre la> pertede données.
Sélectionnez Créer une stratégie.
Données stockées dans des sources connectées.
Sélectionnez le modèle Personnalisé dans Catégories , puis Le modèle de stratégie personnalisée dans Réglementations.
Nommez votre nouvelle stratégie et fournissez une description.
Sélectionnez Répertoire complet sous Administration unités.
Limitez l’emplacement à Appareils uniquement.
Créez une règle où :
- Le contenu contient = Classifieurs pouvant être formés, affaires juridiques
- Actions = Auditer ou restreindre les activités sur les appareils
- Sélectionnez ensuite Activités de fichier sur toutes les applications
- Sélectionnez Appliquer des restrictions à une activité spécifique.
- Sélectionnez les actions pour lesquelles vous souhaitez configurer les exceptions réseau .
Sélectionnez Copier dans le Presse-papiers et l’action Auditer uniquement
Sélectionnez Choisir différentes restrictions de copie dans le Presse-papiers.
Sélectionnez VPN et définissez l’action sur Bloquer avec remplacement.
Importante
Lorsque vous souhaitez contrôler les activités d’un utilisateur lorsqu’il est connecté via un VPN, vous devez sélectionner le VPN et faire du VPN la priorité absolue dans la configuration des exceptions réseau . Sinon, si l’option Réseau d’entreprise est sélectionnée, cette action définie pour l’entrée Réseau d’entreprise sera appliquée.
Attention
L’option Appliquer à toutes les activités copie les exceptions réseau définies ici et les applique à toutes les autres activités spécifiques configurées, telles que Imprimer et Copier sur un partage réseau. Cela remplacera les exceptions réseau sur les autres activités La dernière configuration enregistrée l’emporte.
Enregistrez.
Acceptez la valeur par défaut Exécuter la stratégie en mode simulation et choisissez Afficher les conseils de stratégie en mode simulation. Cliquez sur Suivant.
Passez en revue vos paramètres, choisissez Envoyer , puis Terminé.
La nouvelle stratégie DLP apparaît dans la liste des stratégies.