Intégration d’Azure Information ProtectionAzure Information Protection integration

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security vous permet d’appliquer des étiquettes de classification Azure Information Protection automatiquement, avec ou sans protection, à des fichiers, en tant qu’action de gouvernance de stratégie de fichier.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Vous pouvez également rechercher des fichiers en filtrant sur l’étiquette de classification appliquée dans le portail Cloud App Security.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. L’utilisation de classifications accroît la visibilité et le contrôle de vos données sensibles dans le cloud.Using classifications enables greater visibility and control of your sensitive data in the cloud. Pour intégrer Azure Information Protection à Cloud App Security, il suffit de cocher une seule case.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

Notes

Cet article s’applique également aux étiquettes de sensibilité unifiée d’Office 365 si vous avez déjà migré vos étiquettes de classification pour le centre de sécurité et conformité office 365.This article is also relevant for Office 365 unified sensitivity labels if you already migrated your classification labels for the Office 365 Security and Compliance Center. Si vous n’avez pas migré vos étiquettes de classification existantes et que vous commencez à créer de nouvelles étiquettes dans le centre de sécurité et conformité Office 365, Cloud App Security utilisera uniquement les étiquettes préexistantes configurées dans le portail Azure Information Protection.If you did not migrate your existing classification labels, and you begin to create new labels in the Office 365 Security and Compliance Center, Cloud App Security will only use the preexisting labels configured in the Azure Information Protection portal.

En intégrant Azure Information Protection à Cloud App Security, vous pouvez utiliser toute la puissance des services et des fichiers sécurisés dans votre cloud, notamment :By integrating Azure Information Protection into Cloud App Security, you can use the full power of both services and secure files in your cloud, including:

  • La possibilité d’appliquer des étiquettes de classification en tant qu’action de gouvernance aux fichiers qui correspondent à des stratégies spécifiquesThe ability to apply classification labels as a governance action to files that match specific policies
  • La possibilité de voir tous les fichiers classifiés à un emplacement centralisé.The ability to view all classified files in a central location
  • La possibilité d’investiguer en fonction du niveau de classification et de quantifier l’exposition des données sensibles sur vos applications cloud.The ability to investigate according to classification level, and quantify exposure of sensitive data over your cloud applications
  • La possibilité de créer des stratégies pour que les fichiers classifiés soient gérés correctement.The ability to create policies to make sure classified files are being handled properly

Notes

Pour activer cette fonctionnalité, vous avez besoin d’une licence Cloud App Security et d’une licence pour Azure Information Protection Premium P1.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P1. Dès que ces deux licences sont en place, Cloud App Security synchronise les étiquettes des organisations à partir du service Azure Information Protection.As soon as both licenses are in place, Cloud App Security syncs the organizations labels from the Azure Information Protection service.

PrérequisPrerequisites

Pour utiliser des étiquettes dans Cloud App Security, les étiquettes doivent être publiées dans le cadre de la stratégie.To use labels in Cloud App Security, the labels must be published as part of the policy. Si vous utilisez Azure Information Protection, les étiquettes doivent être publiées via le portail Azure Information Protection.If you're using Azure Information Protection, labels must be published via the Azure Information Protection portal. Si vous avez migré vers des étiquettes unifiées, les étiquettes doivent être publiées via le centre de sécurité et conformité Office 365.If you migrated to unified labels, labels must be published via Office 365 Security and Compliance Center.

Cloud App Security prend actuellement en charge l’application d’étiquettes de classification Azure Information Protection pour les types de fichiers suivants :Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Word : docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Excel : xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint : potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDFPDF

    Notes

    Pour PDF, vous devez utiliser des étiquettes unifiées.For PDF, you must use unified labels.

Cette fonctionnalité est actuellement disponible pour les fichiers stockés dans Box, G Suite, SharePoint Online et OneDrive Entreprise.This feature is currently available for files stored in Box, G Suite, SharePoint Online, and OneDrive for Business. D’autres applications cloud seront prises en charge dans les prochaines versions.More cloud apps will be supported in future versions.

Les fichiers qui ont été étiquetés avec une protection en dehors de Cloud App Security ne peuvent pas être modifiés par Cloud App Security.Files that were labeled with protection outside of Cloud App Security can't be changed by Cloud App Security. Toutefois, vous pouvez analyser ces fichiers en accordant des autorisations pour inspecter le contenu des fichiers protégés.However, you can scan these files by granting permissions to inspect content for protected files.

FonctionnementHow it works

Vous connaissez probablement déjà les étiquettes de classification des fichiers dans Azure Information Protection.You're probably familiar with file classification labels in Azure Information Protection. Vous pouvez voir les étiquettes de classification d’Azure Information Protection dans Cloud App Security.You can see the Azure Information Protection classification tags in Cloud App Security. Dès que vous intégrez Cloud App Security à Azure Information Protection, Cloud App Security analyse les fichiers comme suit :As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Cloud App Security récupère la liste de toutes les étiquettes de classification utilisées dans votre locataire (tenant).Cloud App Security retrieves the list of all the classification labels used in your tenant. Cette action est effectuée toutes les heures pour maintenir la liste à jour.This action is performed every hour to keep the list up-to-date.

  2. Cloud App Security recherche ensuite les étiquettes de classification pour les fichiers, comme suit :Cloud App Security then scans the files for classification labels, as follows:

    • Si vous avez activé l’analyse automatique, tous les fichiers nouveaux ou modifiés sont ajoutés à la file d’attente d’analyse, et tous les fichiers et dépôts existants sont analysés.If you enabled automatic scan, all new or modified files are added to the scan queue and all existing files and repositories will be scanned.
    • Si vous définissez une stratégie de fichier pour rechercher les étiquettes de classification, ces fichiers sont ajoutés à la file d’attente d’analyse pour les étiquettes de classification.If you set a file policy to search for classification labels, these files are added to the scan queue for classification labels.
  3. Comme indiqué ci-dessus, ces analyses concernent les étiquettes de classification découvertes lors de l’analyse initiale que Cloud App Security réalise pour déterminer les étiquettes de classification utilisées dans votre locataire.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security does to see which classification labels are used in your tenant. Les étiquettes externes, qui sont des étiquettes de classification définies par une personne externe à votre locataire, sont ajoutées à la liste des étiquettes de classification.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Si vous ne voulez pas effectuer d’analyse pour ces étiquettes, cochez la case Analyser uniquement les fichiers pour les étiquettes de classification Azure Information Protection de ce locataire.If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box.

  4. Une fois que vous avez activé Azure Information Protection sur Cloud App Security, tous les nouveaux fichiers ajoutés à vos applications Cloud connectées sont analysés pour rechercher les étiquettes de classification.After you enable Azure Information Protection on Cloud App Security, all new files that are added to your connected cloud apps will be scanned for classification labels.

  5. Vous pouvez créer des stratégies dans Cloud App Security qui appliquent automatiquement vos étiquettes de classification.You can create new policies within Cloud App Security that apply your classification labels automatically.

Comment intégrer Azure Information Protection à Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Activer Azure Information ProtectionEnable Azure Information Protection

Il vous suffit de cocher une seule case pour intégrer Azure Information Protection à Cloud App Security.All you have to do to integrate Azure Information Protection with Cloud App Security is click a single checkbox. Le fait d’activer l’analyse automatique vous permet d’activer la recherche des étiquettes de classification Azure Information Protection dans vos fichiers Office 365 sans devoir créer de stratégie.By enabling automatic scan, you enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Après avoir activé cette option, si des fichiers de votre environnement cloud sont étiquetés avec des étiquettes de classification Azure Information Protection, vous les voyez dans Cloud App Security.After you enable it, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you'll see them in Cloud App Security.

Pour permettre à Cloud App Security d’analyser des fichiers quand l’inspection du contenu est activée pour les étiquettes de classification :To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. Dans Cloud App Security, sous la roue dentée Paramètres, sélectionnez la page Paramètres sous l’en-tête Système.In Cloud App Security, under the settings cog, select the Settings page under the System heading.

    menu Paramètres

  2. Sous Azure Information Protection, sélectionnez Analyser automatiquement les nouveaux fichiers pour détecter les étiquettes de classification Azure Information Protection.Under Azure Information Protection, select Automatically scan new files for Azure Information Protection classification labels.

    activer azure information protection

Après avoir activé Azure Information Protection, vous pouvez voir les fichiers qui ont des étiquettes de classification et les filtrer par étiquette dans Cloud App Security.After enabling Azure Information Protection, you'll be able to see files that have classification labels and filter them per label in Cloud App Security. Une fois Cloud App Security connecté à l’application cloud, vous pouvez utiliser les fonctionnalités d’intégration Azure Information Protection pour appliquer des étiquettes de classification Azure Information Protection (avec ou sans protection) dans le portail Cloud App Security, en les ajoutant directement aux fichiers ou en configurant une stratégie de fichier pour appliquer automatiquement des étiquettes de classification en tant qu’action de gouvernance.After Cloud App Security is connected to the cloud app, you'll be able to use the Azure Information Protection integration features to apply Azure Information Protection classification labels (with or without protection) in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

Notes

L’analyse automatique ne retraite les fichiers existants que s’ils sont modifiés.Automatic scan does not scan existing files until they are modified again. Pour analyser les fichiers existants en vue d’Azure Information Protection étiquettes de classification, vous devez avoir au moins une stratégie de fichier qui comprend l’inspection du contenu.To scan existing files for Azure Information Protection classification labels, you must have at least one File policy that includes content inspection. Si vous n’en avez pas, créez une nouvelle stratégie de fichier, supprimez tous les filtres prédéfinis, sous méthode d’inspection , sélectionnez DLP intégré.If you have none, create a new File policy, delete all the preset filters, under Inspection method select Built-in DLP. Dans le champ inspection du contenu , sélectionnez inclure les fichiers qui correspondent à une expression prédéfinie et sélectionnez une valeur prédéfinie, puis enregistrez la stratégie.In the Content inspection field, select Include files that match a preset expression and select any predefined value, and save the policy. Cette opération permet d’activer l’inspection de contenu qui détecte automatiquement les étiquettes de classification Azure Information Protection.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Définir des étiquettes internes et externesSet internal and external tags

Par défaut, Cloud App Security analyse les étiquettes de classification qui ont été définies dans votre organisation, ainsi que les étiquettes externes définies par d’autres organisations.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones defined by other organizations.

Pour ignorer les étiquettes de classification définies en externe à votre organisation, dans le portail Cloud App Security, accédez à Paramètres et Azure Information Protection.To ignore classification labels set external to your organization, in the Cloud App Security portal, go under Settings and Azure Information Protection. Sélectionnez Analyser les fichiers uniquement pour détecter les étiquettes de classification Azure Information Protection et les avertissements émis suite à l'inspection du contenu de ce locataire.Select Only scan files for Azure Information Protection classification labels and content inspection warnings from this tenant.

ignorer les étiquettes

Appliquer des étiquettes directement à des fichiersApply labels directly to files

  1. Sur la page Fichiers sous Investiguer, sélectionnez le fichier que vous souhaitez protéger.From the Files page under Investigate, select the file you want to protect. Cliquez sur les points de suspension à la fin de la ligne du fichier, puis choisissez Appliquer l’étiquette de classification.Click the three dots at the end of the file's row then choose Apply classification label.

    protéger une application

    Notes

    Cloud App Security peut appliquer Azure Information Protection sur des fichiers de 50 Mo maximum.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Vous êtes invité à choisir une des étiquettes de classification de votre organisation à appliquer au fichier. Cliquez ensuite sur Appliquer.You're asked to choose one of your organization's classification labels to apply to the file, and click Apply.

    étiquette de classification de protection

  3. Une fois que vous avez choisi une étiquette de classification et que vous avez cliqué sur Appliquer, Cloud App Security applique cette étiquette au fichier d’origine.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Vous pouvez également supprimer des étiquettes de classification en choisissant l’option Supprimer l’étiquette de classement.You can also remove classification labels by choosing the Remove classification label option.

Notes

Seules sont supprimables les étiquettes qui ne comportent pas de protection et ont été appliquées dans Cloud App Security, et non celles qui ont été appliquées directement dans Information Protection.You can remove labels only if they do not include protection, and they were applied from within Cloud App Security, not labels applied directly in Information Protection.

Pour plus d’informations sur la façon dont Cloud App Security et Azure Information Protection fonctionnent ensemble, consultez appliquer automatiquement des étiquettes de classification Azure information protection.For more information about how Cloud App Security and Azure Information Protection work together, see Automatically apply Azure Information Protection classification labels.

Étiqueter automatiquement des fichiersAutomatically label files

Vous pouvez appliquer automatiquement des étiquettes de classification à des fichiers en créant une stratégie de fichier et en définissant Appliquer l’étiquette de classification comme action de gouvernance.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Suivez ces instructions pour créer la stratégie de fichier :Follow these instructions to create the file policy:

  1. Créez une stratégie de fichier.Create a file policy.

  2. Définissez la stratégie en incluant le type de fichier que vous voulez détecter.Set the policy to include the type of file you want to detect. Par exemple, sélectionnez tous les fichiers où Niveau d’accès n’est pas égal à Interne et où UO propriétaire est égal à votre équipe Finance.For example, select all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. Sous les actions de gouvernance pour l’application concernée, cliquez sur Appliquer une étiquette de classification, puis sélectionnez le type d’étiquette.Under governance actions for the relevant app, click Apply a classification label then select the label type.

    Appliquer une étiquette

Notes

La possibilité d’appliquer automatiquement une étiquette Azure Information Protection via la stratégie de fichier est une puissante fonctionnalité.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Pour protéger les clients contre toute application par erreur d’une étiquette à un grand nombre de fichiers, il existe, pour des raisons de sécurité, une limite quotidienne de 100 actions Appliquer une étiquette par application et le client.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Une fois la limite quotidienne atteinte, l’action Appliquer une étiquette est temporairement interrompue, puis reprend automatiquement le jour suivant (après 12:00 UTC).After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Pour augmenter la limite pour votre locataire, ouvrez un ticket de support.To raise the limit for your tenant, open a support ticket.

Contrôler l’exposition des fichiersControl file exposure

  • Par exemple, si ce qui suit est un document que vous avez étiqueté avec une étiquette de classification Azure Information Protection :For example, if the below is a document you labeled with an Azure Information Protection classification label:

    exemple d’écran Azure Information Protection

  • Vous pouvez voir ce document dans Cloud App Security en filtrant sur l’étiquette de classification pour Azure Information Protection dans la page Fichiers.You can see this document in Cloud App Security by filtering on the classification label for Azure Information Protection in the Files page.

    Comparaison de Cloud App Security et d’Azure Information Protection

  • Vous pouvez obtenir plus d’informations sur ces fichiers et leurs étiquettes de classification dans le tiroir des fichiers.You can get more information about these files and their classification labels in the file drawer. Il vous suffit de cliquer sur le fichier approprié dans la page Fichiers pour voir s’il a une étiquette de classification.Just click on the relevant file in the Files page and check whether it has a classification label.

    tiroir du fichier

  • Vous pouvez ensuite créer des stratégies de fichiers dans Cloud App Security pour contrôler les fichiers qui sont partagés de façon inappropriée, et pour rechercher les fichiers étiquetés qui ont été modifiés récemment.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • Vous pouvez créer une stratégie qui applique automatiquement une étiquette de classification à des fichiers spécifiques.You can create a policy that automatically applies a classification label to specific files.

  • Vous pouvez aussi déclencher des alertes sur des activités liées à la classification des fichiers.You can also trigger alerts on activities related to file classification.

Notes

Quand les étiquettes Azure Information Protection sont désactivées sur un fichier, elles apparaissent désactivées dans Cloud App Security.When Azure Information Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Les étiquettes supprimées ne sont pas affichées.Deleted labels are not displayed.

Exemple de stratégie : données confidentielles partagées en externe sur Box :Sample policy - confidential data that is externally shared on Box:

  1. Créez une stratégie de fichier.Create a file policy.

  2. Définissez le nom, la gravité et la catégorie de la stratégie.Set the policy's name, severity, and category.

  3. Ajoutez les filtres suivants pour rechercher toutes les données confidentielles qui sont partagées en externe sur Box :Add the following filters to find all confidential data that is externally shared on Box:

    stratégie confidentialité

Exemple de stratégie : données restreintes qui ont été modifiées récemment en dehors du dossier Finance sur SharePoint :Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Créez une stratégie de fichier.Create a file policy.

  2. Définissez le nom, la gravité et la catégorie de la stratégie.Set the policy's name, severity, and category.

  3. Ajoutez les filtres suivants pour rechercher tous les fichiers restreints qui ont été modifiés récemment tout en excluant le dossier Finance dans l’option de sélection de dossier :Add the following filters to find all recently modified restricted files while excluding the Finance folder in the folder selection option:

    stratégie données restreintes

Vous pouvez également définir des alertes ou une notification utilisateur ou encore prendre des mesures immédiates pour ces stratégies.You can also choose to set alerts, user notification or take immediate action for these policies. En savoir plus sur les actions de gouvernance.Learn more about governance actions.

En savoir plus sur Azure Information Protection et suivre le didacticiel de démarrage rapide pour Azure Information Protection.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.