Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article utilise le processus que vous avez appris dans Concevoir une stratégie de protection contre la perte de données pour vous montrer comment créer une stratégie de Protection contre la perte de données Microsoft Purview (DLP) qui permet de protéger les fichiers que endpoint DLP ne prend pas en charge. Parcourez ces scénarios dans votre environnement de test pour vous familiariser avec l’interface utilisateur de création de stratégie.
Appliquer des contrôles à tous les fichiers non pris en charge est en préversion.
Utilisez ce scénario pour appliquer des contrôles Audit, Bloquer ou Bloquer avec remplacement sur les activités des utilisateurs pour les fichiers qui ne figurent pas dans la liste Des fichiers supervisés sans énumérer toutes les extensions de fichier via la condition File extension is . Utilisez cette configuration pour créer une stratégie globale afin de placer des contrôles sur des fichiers tels que .mp3, .wav et .dat.
Attention
La possibilité d’appliquer des contrôles à tous les fichiers est une fonctionnalité puissante. Si vous l’implémentez sans précaution appropriée, cela peut avoir des conséquences inattendues. Testez cette stratégie dans un environnement hors production avant de la déployer dans votre environnement de production. Cet exemple montre également comment vous pouvez (éventuellement) exclure des extensions de fichier spécifiques de l’étendue de la stratégie.
Importante
Lorsque vous sélectionnez l’action Auditer ou restreindre les activités sur les appareils dans les actions de configuration de stratégie, l’option Appliquer des restrictions aux extensions de fichier uniquement non prises en charge s’affiche. L’option de configuration Appliquer des restrictions uniquement aux extensions de fichiers non prises en chargene prend PAS en charge l’étendue par groupe d’appareils et d’appareils dans le paramètre d’emplacement de stratégie.
Ces actions sont prises en charge :
- Charger dans un domaine de service cloud restreint
- Copier sur un périphérique USB amovible
- Copier vers un partage réseau
Importante
Cet article présente un scénario hypothétique avec des valeurs hypothétiques. C’est uniquement à titre d’illustration. Remplacez vos propres types d’informations sensibles, étiquettes de confidentialité, groupes de distribution et utilisateurs.
La façon dont vous déployez une stratégie est aussi importante que la conception de stratégie. Cet article explique comment utiliser les options de déploiement afin que la stratégie atteigne votre objectif tout en évitant les interruptions coûteuses de l’activité.
Mappage et instruction d’intention de stratégie
Il existe de nombreux types de fichiers que le point de terminaison DLP n’analyse pas, plus que ce que nous pouvons suivre. Nous ne savons pas s’il existe des informations sensibles dans ces fichiers et nous souhaitons donc avoir un point de contrôle en place avant que notre utilisateur tente de copier ces fichiers sur un périphérique USB ou sur un partage réseau. Nous ne voulons pas perturber le flux de travail des utilisateurs pour le type de fichier abc qui est bien connu pour nous et ne présente aucune menace de fuite de données.
| Statement | Réponse à la question de configuration et mappage de configuration |
|---|---|
| « Il existe de nombreux types de fichiers que le point de terminaison DLP n’analyse pas,... » | - Étendue administrative : Répertoire complet - Où surveiller : Applications d’entreprise & appareils, Appareils - Étendue : Tousutilisateurs, groupes, appareils, groupes d’appareils, groupes d’appareils |
| "... Nous ne voulons pas interrompre le flux de travail des utilisateurs pour le type de fichier abc qui est bien connu pour nous et ne présente aucune menace de fuite de données. » | - Paramètres de point de terminaison : créez une liste d’exclusions d’extensions de fichier non prises en charge et ajoutez l’extension de fichier abc à la liste. |
| "... plus que ce que nous pouvons suivre. Nous ne savons pas s’il existe des informations sensibles dans ces fichiers, et nous souhaitons donc avoir un point de contrôle en place avant qu’ils essaient de copier ces fichiers sur un périphérique USB ou sur un partage réseau... » |
- Conditions d’une correspondance : Action impossible d’analyser le document : sélectionnez auditer ou restreindre les activités sur les appareils - désactivez Charger dans un domaine de service cloud ou un accès à partir d’un navigateur non autorisé- sélectionnez Appliquer des restrictions à une activité spécifique- sélectionnez Copier sur un périphérique USB amovible, puis Bloquer avec remplacement - sélectionnez Copier dans un partage réseau et Bloquer avec remplacement - effacer Copier dans le Presse-papiers, Imprimer, Copier ou déplacer à l’aide d’une application Bluetooth non autorisée, et Copier ou déplacer à l’aide de RDP : le fichier sélectionné n’a pas pu être analysé. - sélectionnez Appliquer des restrictions uniquement aux extensions de fichier non prises en charge. |
Importante
La différence entre cette fonctionnalité et l’extension de fichier est condition est la suivante :
- La DLP de point de terminaison analyse le contenu pour la condition De l’extension de fichier . Par exemple, vous voyez la valeur du type d’informations sensibles sur l’événement ou l’alerte ; d’autre part, cette fonctionnalité n’analyse pas le contenu du fichier.
- L’extension de fichier est une condition déclenchant l’analyse du contenu peut consommer des ressources d’ordinateur plus élevées, telles que le processeur et la mémoire, et peut entraîner des problèmes de performances d’application pour certains types de fichiers.
Étapes pour ajouter un type de fichier aux exclusions d’extension de fichier non prises en charge
Utilisez ce paramètre pour exclure les extensions de fichier de la stratégie.
- Se connecter au portail Microsoft Purview
- Ouvrez Paramètres Protection>contre la> perte de donnéesParamètres> DLP du point de terminaisonExclusions d’extension de fichier non prises en charge.
- Sélectionnez Ajouter des extensions de fichier.
- Fournissez des extensions.
- Sélectionnez Enregistrer.
- Fermez l’élément.
Étapes de configuration des actions de stratégie
- Connectez-vous au portail Microsoft Purview.
- Ouvrez les stratégies de protection contre la> pertede données.
- Sélectionnez Applications d’entreprise & appareils.
- Sélectionnez Créer une stratégie et sélectionnez Le modèle Personnalisé dans Catégories , puis Le modèle de stratégie personnalisée dans Réglementations.
- Nommez votre nouvelle stratégie et fournissez une description.
- Sélectionnez Répertoire complet sous Administration unités.
- Limitez l’emplacement à Appareils uniquement.
- Créez une règle où :
- Dans les conditions :
- Impossible d’analyser le document.
- Dans Actions :
- Sélectionnez Auditer ou restreindre les activités sur les appareils.
- Décochez Charger dans un domaine de service cloud redécoupé ou l’accès à partir d’un navigateur non autorisé.
- Sélectionnez Appliquer des restrictions à une activité spécifique.
- Sélectionnez Copier sur un périphérique USB amovible, puis Bloquer avec remplacement.
- Sélectionnez Copier dans un partage réseau, puis Bloquer avec remplacement.
- Décochez Copier dans le Presse-papiers, Imprimer, Copier ou déplacer à l’aide d’une application Bluetooth non autorisée, et Copier ou déplacer à l’aide de RDP.
- Sélectionnez Appliquer des restrictions aux extensions de fichier uniquement non prises en charge.
- Dans les conditions :
- Enregistrez.
- Choisissez Activer la stratégie immédiatement. Cliquez sur Suivant.
- Passez en revue vos paramètres, puis sélectionnez Envoyer.
Importante
Vous ne pouvez pas utiliser Document qui n’a pas pu être analysé avec d’autres conditions dans ce scénario.