Empêcher le partage d’éléments sensibles avec des applications et services cloud non autorisés

Ce scénario montre comment limiter le partage involontaire d’informations sensibles à des applications et services cloud non approuvés à l’aide de Microsoft Purview DLP. En définissant des domaines de service sensibles et en appliquant des contrôles via des navigateurs pris en charge, les organisations peuvent surveiller et guider la façon dont données sensibles est chargé ou accessible.

Remarque

Les navigateurs web suivants sont pris en charge :

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS) - Extension Microsoft Purview pour Chrome Windows uniquement
  • Firefox (Win/macOS)- Extension Microsoft Purview pour Firefox Windows uniquement
  • Safari (macOS uniquement)

Lorsqu’une stratégie est configurée pour l’emplacement Appareils , les navigateurs non pris en charge ne peuvent pas accéder au contenu sensible et les utilisateurs sont redirigés vers Microsoft Edge, où les contrôles DLP peuvent bloquer ou restreindre les actions en fonction des conditions de stratégie. Cette application prenant en compte le navigateur permet de réduire le risque d’exfiltration de données tout en conservant une expérience utilisateur cohérente et guidée.

Pour implémenter cette approche, vous définissez des destinations restreintes (domaines, services ou adresses IP), spécifiez des navigateurs non pris en charge et configurez des règles DLP qui détectent le contenu sensible et appliquent des contrôles tels que Charger sur les services cloud et Accéder à partir d’un navigateur non autorisé.

Cette configuration permet aux organisations d’auditer le comportement des utilisateurs, d’affiner les stratégies et d’appliquer progressivement des contrôles plus stricts en fonction des besoins, tout en minimisant les perturbations des activités professionnelles légitimes.

Conditions préalables et hypothèses

Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP). Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.

Importante

Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.

La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.

Ce scénario utilise l’étiquette confidentialité . Il vous oblige donc à créer et à publier des étiquettes de confidentialité. Pour en savoir plus, reportez-vous à la rubrique :

Cette procédure utilise un groupe de distribution hypothétique Ressources humaines et un groupe de distribution pour l’équipe de sécurité au Contoso.com.

Cette procédure utilise des alertes, consultez : Bien démarrer avec les alertes de protection contre la perte de données

Mappage et instruction d’intention de stratégie

Nous, Contoso, voulons empêcher les utilisateurs de partager involontairement des informations sensibles avec des applications et des services cloud non approuvés à partir d’appareils de point de terminaison. En même temps, nous voulons nous assurer que les utilisateurs peuvent continuer à accéder et à travailler avec des non-données sensibles sans restrictions inutiles. Pour ce faire, nous allons définir un ensemble de domaines de service cloud restreints et appliquer des contrôles lorsque des informations sensibles sont détectées dans l’activité de l’utilisateur. Lorsque des utilisateurs tentent de charger du contenu sensible vers ces services non approuvés, ou d’accéder à ce contenu via des navigateurs non pris en charge, nous allons auditer l’activité et guider les utilisateurs vers des flux de travail pris en charge et conformes (comme l’utilisation de Microsoft Edge). Cette approche nous permet d’appliquer progressivement des contrôles en auditant d’abord le comportement des utilisateurs, en comprenant les modèles de risque et en affinant la stratégie avant de passer à une application plus stricte si nécessaire.

Statement Réponse à la question de configuration et mappage de configuration
« Nous voulons empêcher les utilisateurs de partager des informations sensibles avec des applications et services cloud non approuvés... » - Étendue administrative : répertoire complet
- Où surveiller : appareils uniquement
- Étendue de la stratégie : tous les utilisateurs/appareils (ou les utilisateurs ciblés à des fins de test)
« Nous voulons définir les services cloud qui sont considérés comme non autorisés pour le partage données sensibles... » - Paramètres de point de terminaison : Créer un groupe de domaines de service sensible
- Domaines définis à l’aide d’UNE URL/d’une plage IP/IP (avec prise en charge des caractères génériques)
- Groupe réutilisé dans les règles de stratégie
« Nous voulons détecter le contenu sensible partagé avec ces services... » - Conditions : le contenu contient les types d’informations sensibles sélectionnés
- Logique de détection : types d’informations sensibles intégrés ou personnalisés
« Nous voulons surveiller les tentatives de chargement de contenu sensible ou d’accès via des navigateurs non pris en charge... » - Actions : charger dans un domaine de service cloud restreint ou un accès à partir d’un navigateur non autorisé
- Contrôle de navigateur intégré à Endpoint DLP
« Nous voulons d’abord observer le comportement des utilisateurs sans bloquer les processus métier... » - Mode Action : Auditer uniquement les activités de domaine de service et de navigateur
- Aucun blocage ou remplacement appliqué à ce stade
« Nous souhaitons rediriger les utilisateurs vers les navigateurs pris en charge et prenant en charge les stratégies... » - Comportement du point de terminaison : les navigateurs non autorisés ne peuvent pas accéder au contenu sensible
- Expérience utilisateur : redirection vers Microsoft Edge où les contrôles DLP sont appliqués
« Nous voulons conserver la flexibilité nécessaire pour étendre les protections au fil du temps... » - Fonctionnalité de conception : ajoutez d’autres groupes de domaines, applications et stratégies en fonction des besoins
- Extensibilité de la stratégie : prend en charge la transition future vers le bloc ou le bloc avec remplacement
« Nous voulons surveiller et éventuellement contrôler d’autres activités de fichiers entre les applications... » - Actions supplémentaires : Configurer les activités de fichier pour toutes les applications en fonction des besoins
- Surveillance affinée ou restriction des comportements des points de terminaison
« Nous voulons que cette politique soit immédiatement active pour l’évaluation... » - Mode stratégie : activez-le immédiatement
- Déploiement : mise en œuvre immédiate en mode audit

Étapes de création d’une stratégie

  1. Connectez-vous au portail >Microsoft PurviewParamètres de protection contre la> perte de données (icône d’engrenage dans le coin supérieur gauche) > Paramètres du point determinaison de>protection contre la> perte de données Restrictions de navigateuret de domaine pour données sensibles> Groupes de domaines de service sensibles.

  2. Sélectionnez Créer un groupe de domaines de service sensible.

  3. Nommez le groupe.

  4. Entrez le domaine de service sensible pour le groupe. Vous pouvez ajouter plusieurs sites web à un groupe et utiliser des caractères génériques pour couvrir les sous-domaines. Par exemple, www.contoso.com pour le site web de niveau supérieur ou pour : *.contoso.com pour corp.contoso.com, hr.contoso.com, fin.contoso.com.

  5. Sélectionnez le type de correspondance que vous souhaitez. Vous pouvez sélectionner l’URL, l’adresse IP et la plage d’adresses IP.

  6. Sélectionnez Enregistrer.

  7. Dans le volet de navigation gauche, sélectionnez Stratégies de protection contre la> pertede données.

  8. Données stockées dans des sources connectées.

  9. Créez et limitez une stratégie qui est appliquée uniquement à l’emplacement Appareils . Pour plus d’informations sur la création d’une stratégie, consultez Créer et déployer des stratégies de protection contre la perte de données. Veillez à définir l’étendue des unités de Administration sur le répertoire complet.

  10. Dans la page Définir les paramètres de stratégie , sélectionnez Créer ou personnaliser des règles DLP avancées , puis choisissez Suivant.

  11. Créez une règle, comme suit :

    1. Sous Conditions, sélectionnez + Ajouter une condition et sélectionnez Contenu contient dans le menu déroulant.
    2. Donnez un nom au groupe.
    3. Choisissez Ajouter , puis sélectionnez Types d’informations sensibles.
    4. Sélectionnez un type d’informations sensibles dans le volet volant, puis choisissez Ajouter.
    5. Ajoutez l’action Auditer ou restreindre les activités sur les appareils.
    6. Sous Domaine de service et activités de navigateur, choisissez Charger vers un domaine de service cloud restreint ou un accès à partir d’un navigateur non autorisé , puis définissez l’action sur Auditer uniquement.
    7. Sélectionnez + Choisir différentes restrictions pour les domaines de service sensibles , puis ajouter un groupe.
    8. Dans le menu volant Choisir des groupes de domaines de service sensibles , sélectionnez le ou les groupes de domaines de service sensibles souhaités, choisissez Ajouter , puis Enregistrer.
    9. Sous Activités de fichier pour toutes les applications, sélectionnez les activités utilisateur que vous souhaitez surveiller ou restreindre, ainsi que les actions que DLP doit effectuer en réponse à ces activités.
    10. Terminez la création de la règle et choisissez Enregistrer , puis Suivant.
    11. Dans la page de confirmation, choisissez Terminé.
    12. Dans la page Mode stratégie , choisissez Activer immédiatement. Choisissez Suivant , puis Envoyer.
  • Last updated on