S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Intégration d’Azure Information ProtectionAzure Information Protection integration

Microsoft Cloud App Security vous permet d’appliquer des étiquettes de classification Azure Information Protection automatiquement, avec ou sans protection, à des fichiers, en tant qu’action de gouvernance de stratégie de fichier.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Vous pouvez également rechercher des fichiers en filtrant sur l’étiquette de classification appliquée dans le portail Cloud App Security.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. Ceci accroît la visibilité et le contrôle de vos données sensibles dans le cloud.This enables greater visibility and control of your sensitive data in the cloud. Pour intégrer Azure Information Protection à Cloud App Security, il suffit de cocher une seule case.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

En intégrant Azure Information Protection dans Cloud App Security, vous pouvez tirer parti de toute la puissance des services et des fichiers sécurisés dans le cloud, notamment :By integrating Azure Information Protection into Cloud App Security, you can leverage the full power of both services and secure files in your cloud, including:

  • La possibilité d’appliquer des étiquettes de classification en tant qu’action de gouvernance aux fichiers qui correspondent à des stratégies spécifiquesThe ability to apply classification labels as a governance action to files that match specific policies
  • La possibilité de voir tous les fichiers classifiés à un emplacement centralisé.The ability to view all classified files in a central location
  • La possibilité d’investiguer en fonction du niveau de classification et de quantifier l’exposition des données sensibles sur vos applications cloud.The ability to perform investigation according to classification level, and quantify exposure of sensitive data over your cloud applications
  • La possibilité de créer des stratégies pour que les fichiers classifiés soient gérés correctement.The ability to create policies to make sure classified files are being handled properly

Note

Pour activer cette fonctionnalité, vous avez besoin d’une licence Cloud App Security et d’une licence pour Azure Information Protection Premium P2.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P2. Dès que ces deux licences sont en place, Cloud App Security synchronise les étiquettes des organisations à partir du service Azure Information Protection.As soon as both licenses are in place, Cloud App Security syncs the organizations labels from the Azure Information Protection service.

PrérequisPrerequisites

Cloud App Security prend actuellement en charge l’application d’étiquettes de classification Azure Information Protection pour les types de fichiers suivants :Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Word : docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Excel : xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint : potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • Les fichiers PDF seront disponibles dans des versions ultérieuresPDF will be available in future versions

Cette fonctionnalité est actuellement disponible pour les fichiers stockés dans Box, G Suite, SharePoint Online et OneDrive Entreprise.This feature is currently available for files that are stored in Box, G Suite, SharePoint Online, and OneDrive for Business. D’autres applications cloud seront prises en charge dans les prochaines versions.More cloud apps will be supported in future versions.

Les fichiers qui ont été étiquetés avec la protection en dehors de Cloud App Security ne peuvent pas être analysés ou modifiés par Cloud App Security pour l’instant.Files that were labeled with protection outside of Cloud App Security cannot currently be scanned or changed by Cloud App Security. Les fichiers qui ont été étiquetés (sans protection) en dehors de Cloud App Security peuvent être analysés, et Cloud App Security peut appliquer une autre étiquette (avec ou sans protection) telle qu’elle est définie dans les stratégies Cloud App Security.Files that were labeled (without protection) external to Cloud App Security, can be scanned and Cloud App Security can apply a different label (with or without protection) as defined in Cloud App Security policies.

FonctionnementHow it works

Vous connaissez probablement déjà les étiquettes de classification des fichiers dans Azure Information Protection.You are probably familiar with file classification labels in Azure Information Protection. Vous pouvez voir les étiquettes de classification d’Azure Information Protection dans Cloud App Security.You can see the Azure Information Protection classification tags in Cloud App Security. Dès que vous intégrez Cloud App Security à Azure Information Protection, Cloud App Security analyse les fichiers comme suit :As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Cloud App Security récupère la liste de toutes les étiquettes de classification utilisées dans votre locataire (tenant).Cloud App Security retrieves the list of all the classification labels used in your tenant. Cette opération est effectuée toutes les heures pour maintenir la liste à jour.This is performed every hour to keep the list up to date.

  2. Cloud App Security recherche ensuite les étiquettes de classification pour les fichiers, comme suit :Cloud App Security then scans the files for classification labels, as follows:

    1. Si vous avez autorisé une analyse automatique (voir ci-dessous), tous les fichiers nouveaux ou modifiés sont ajoutés à la file d’attente de l’analyse tandis que tous les fichiers et référentiels existants sont analysés, classés et protégés.If you enabled automatic scan (see the following), all new or modified files are added to the scan queue and all existing files and repositories will be scanned, classified and protected.
    2. Si vous définissez une stratégie de fichier (voir ci-dessous) pour rechercher les étiquettes de classification, ces fichiers sont ajoutés à la file d’attente d’analyse pour les étiquettes de classification.If you set a file policy (see the following) to search for classification labels, these files are added to the scan queue for classification labels.
  3. Comme indiqué ci-dessus, ces analyses concernent les étiquettes de classification découvertes lors de l’analyse initiale que Cloud App Security réalise pour déterminer les étiquettes de classification utilisées dans votre locataire.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security performs to see which classification labels are used in your tenant. Les étiquettes externes, qui sont des étiquettes de classification définies par une personne externe à votre locataire, sont ajoutées à la liste des étiquettes de classification.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Si vous ne voulez pas rechercher ces étiquettes, cochez la case Analyser uniquement les fichiers pour les étiquettes de classification Azure Information Protection de ce locataire (voir ci-dessous).If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box (see the following).

  4. Une fois que vous avez activé Azure Information Protection sur Cloud App Security, les étiquettes de classification sont également recherchées dans tous les nouveaux fichiers ajoutés à Office 365.After you enable Azure Information Protection on Cloud App Security, all new files that are added to Office 365 will be scanned for classification labels as well.

  5. Vous pouvez créer des stratégies dans Cloud App Security qui appliquent automatiquement vos étiquettes de classification.You can create new policies within Cloud App Security that apply your classification labels automatically.

Comment intégrer Azure Information Protection à Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Activer Azure Information ProtectionEnable Azure Information Protection

Voici tout ce que vous avez à faire pour intégrer Azure Information Protection à Cloud App Security : activer l’analyse automatique pour permettre la recherche des étiquettes de classification Azure Information Protection sur vos fichiers Office 365 sans avoir à créer une stratégie.This is all you have to do to integrate Azure Information Protection with Cloud App Security: Enable automatic scan to enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Après avoir activé cette option, si des fichiers de votre environnement cloud sont étiquetés avec des étiquettes de classification Azure Information Protection, vous les voyez dans Cloud App Security.After you enable this, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you will see them in Cloud App Security.

Pour permettre à Cloud App Security d’analyser des fichiers quand l’inspection du contenu est activée pour les étiquettes de classification :To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. Dans Cloud App Security, sous l’icône de roue dentée des paramètres, sélectionnez la page Paramètres généraux.In Cloud App Security, under the settings cog, select the General settings page.
  2. Sous Azure Information Protection, sélectionnez Détecter automatiquement les étiquettes de classification Azure Information Protection dans les fichiers.Under Azure Information Protection, select Automatically scan files for Azure Information Protection classification labels.

Après avoir activé Azure Information Protection, vous pouvez voir les fichiers qui ont des étiquettes de classification et les filtrer par étiquette dans Cloud App Security.After enabling Azure Information Protection, you will be able to see files that have classification labels and filter them per label in Cloud App Security. Une fois Cloud App Security connecté à l’application cloud, vous pouvez utiliser les fonctionnalités d’intégration Azure Information Protection de Cloud App Security qui vous permettent d’appliquer des étiquettes Azure Information Protection (avec ou sans protection) directement dans le portail Cloud App Security, en les ajoutant directement aux fichiers ou en configurant une stratégie de fichier pour appliquer automatiquement des étiquettes de classification en tant qu’action de gouvernance.After Cloud App Security is connected to the cloud app, you will be able to use the Cloud App Security Azure Information Protection integration features that enable you to apply Azure Information Protection labels (with or without protection) directly in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

activer azure information protection

Note

L’analyse automatique ne retraite les fichiers existants que s’ils sont modifiés.Automatic scan does not scan existing files until they are modified again. Si vous voulez analyser les fichiers existants pour les étiquettes de classification Azure Information Protection, vous devez avoir au moins une stratégie Fichier d’inspection de contenu.To scan existing files for Azure Information Protection classification labels, you must have at least one Content inspection File policy. Si vous n’en avez aucune, créez une stratégie Fichier, supprimez tous les filtres prédéfinis et sélectionnez l’option Inspection de contenu.If you have none, create a new File policy, delete all the preset filters, check the Content inspection option. Ensuite, sous Inspection de contenu, cliquez sur Inclure les fichiers qui correspondent à une expression prédéfinie, sélectionnez une valeur prédéfinie et enregistrez la stratégie.Then, under Content inspection, click Include files that match a preset expression and select any predefined value, and save the policy. Cette opération permet d’activer l’inspection de contenu qui détecte automatiquement les étiquettes de classification Azure Information Protection.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Définir des étiquettes internes et externesSet internal and external tags

Par défaut, Cloud App Security analyse les étiquettes de classification qui ont été définies dans votre organisation, ainsi que les étiquettes externes qui ont été définies par d’autres organisations.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones that were defined by other organizations.

Pour les ignorer l’ensemble des étiquettes de classification externes à votre organisation, dans le portail Cloud App Security, sous Paramètres généraux, sous Paramètres de sécurité Azure, sélectionnez Ignorer les étiquettes de classification Azure Information Protection des autres locataires.To ignore classification labels set external to your organization, in the Cloud App Security portal, under General settings, under Azure security settings select Ignore Azure Information Protection classification labels from other tenants.

ignorer les étiquettes

Appliquer des étiquettes directement à des fichiersApply labels directly to files

  1. Dans la page Fichiers, sélectionnez le fichier que vous voulez protéger, cliquez sur les trois points à la fin de la ligne correspondant au fichier, puis choisissez Appliquer l’étiquette de classification.From the Files page, select the file you want to protect and then click the three dots at the end of the file's row and choose Apply classification label.

    protéger une application

    Note

    Cloud App Security peut appliquer Azure Information Protection sur des fichiers de 50 Mo maximum.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Vous êtes invité à choisir une des étiquettes de classification de votre organisation à appliquer au fichier. Cliquez ensuite sur Appliquer.You are asked to choose one of your organization's classification labels to apply to the file, and click Apply. étiquette de classification de protectionprotection classification label

  3. Une fois que vous avez choisi une étiquette de classification et que vous avez cliqué sur Appliquer, Cloud App Security applique cette étiquette au fichier d’origine.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Vous pouvez également supprimer des étiquettes de classification en choisissant l’option Supprimer l’étiquette de classement.You can also remove classification labels by choosing the Remove classification label option.

Pour plus d’informations sur l’interaction entre Cloud App Security et Azure Information Protection, consultez Protéger les données contre les erreurs des utilisateurs.For more information about how Cloud App Security and Azure Information Protection work together, see Protect data against user mistakes.

Étiqueter automatiquement des fichiersAutomatically label files

Vous pouvez appliquer automatiquement des étiquettes de classification à des fichiers en créant une stratégie de fichier et en définissant Appliquer l’étiquette de classification comme action de gouvernance.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Suivez ces instructions pour créer la stratégie de fichier :Follow these instructions to create the file policy:

  1. Créez une stratégie de fichier.Create a file policy.

  2. Définissez la stratégie en incluant le type de fichier que vous voulez détecter, par exemple tous les fichiers où Niveau d’accès n’est pas égal à Interne et où UO propriétaire est égal à votre équipe Finance.Set the policy including the type of file you want to detect, for example, all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. Sous les actions de gouvernance pour l’application concernées, choisissez Appliquer une étiquette de classification, puis sélectionnez le type d’étiquette.Under governance actions for the relevant app to Apply a classification label and then select the label type.

    Appliquer une étiquette

Note

La possibilité d’appliquer automatiquement une étiquette Azure Information Protection via la stratégie de fichier est une puissante fonctionnalité.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Pour protéger les clients contre toute application par erreur d’une étiquette à un grand nombre de fichiers, il existe, pour des raisons de sécurité, une limite quotidienne de 100 actions Appliquer une étiquette par application et le client.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Une fois la limite quotidienne atteinte, l’action Appliquer une étiquette est temporairement interrompue, puis reprend automatiquement le jour suivant (après 12:00 UTC).After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Pour augmenter la limite de votre client, contactez le support Cloud App Security.To raise the limit for your tenant, contact Cloud App Security Support.

Contrôler l’exposition des fichiersControl file exposure

  • S’il s’agit du document que vous avez étiqueté avec une étiquette de classification Azure Information Protection :If this is the document that you labeled with an Azure Information Protection classification label:

    exemple d’écran Azure Information Protection

  • Vous pouvez voir ce fichier dans Cloud App Security, dans la page Fichiers, en filtrant sur l’étiquette de classification :You are able to see this file in Cloud App Security, in the Files page, by filtering for the classification label:

    Comparaison de Cloud App Security et d’Azure Information Protection

  • Vous pouvez obtenir plus d’informations sur ces fichiers et leurs étiquettes de classification dans le tiroir de fichiers, en cliquant sur le fichier approprié dans la page Fichiers et en vérifiant s’il a une étiquette de classification :You can get more information about these files and their classification labels in the file drawer by clicking on the relevant file in the Files page, and check whether it has a classification label:

    tiroir du fichier

  • Vous pouvez ensuite créer des stratégies de fichiers dans Cloud App Security pour contrôler les fichiers qui sont partagés de façon inappropriée, et pour rechercher les fichiers étiquetés qui ont été modifiés récemment.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • En outre, vous pouvez déclencher des alertes sur des activités liées à des fichiers classifiés.In addition, you can trigger alerts on activities related to classified files.

    balises azure information protection dans cloud app security

  • Vous pouvez également créer une stratégie qui applique automatiquement une étiquette de classification à des fichiers spécifiques.You can also create a policy that automatically applies a classification label to specific files.

Note

Quand les étiquettes Azure Identity Protection sont désactivées sur un fichier, elles apparaissent désactivées dans Cloud App Security.When Azure Identity Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Les étiquettes supprimées ne sont pas affichées.Deleted labels are not displayed.

Exemple de stratégie : données confidentielles partagées en externe sur Box :Sample policy - confidential data that is externally shared on Box:

  1. Créez une stratégie de fichier.Create a file policy.
  2. Définissez le nom, la gravité et la catégorie de la stratégie.Set the policy’s name, severity, and category.
  3. Ajoutez les filtres suivants pour rechercher toutes les données confidentielles qui sont partagées en externe sur Box :Add the following filters to find all confidential data that is externally shared on Box:

stratégie confidentialité

Exemple de stratégie : données restreintes qui ont été modifiées récemment en dehors du dossier Finance sur SharePoint :Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Créez une stratégie de fichier.Create a file policy.
  2. Définissez le nom, la gravité et la catégorie de la stratégie.Set the policy’s name, severity, and category.
  3. Ajoutez les filtres suivants pour rechercher toutes les données restreintes qui ont été modifiées récemment et ajouter le dossier Finance dans l’option de sélection de dossier :Add the following filters to find all restricted data that was recently modified, and add exclude the Finance folder in the folder selection option:

stratégie données restreintes

Vous pouvez également définir des alertes ou une notification utilisateur ou encore prendre des mesures immédiates pour ces stratégies.You can also choose to set alerts, user notification or take immediate action for these policies. En savoir plus sur les actions de gouvernance.Learn more about governance actions.

En savoir plus sur Azure Information Protection et suivre le didacticiel de démarrage rapide pour Azure Information Protection.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Intégrations de Cloud App Security + Azure Information ProtectionCloud App Security + Azure Information Protection Integrations

Voir aussiSee Also

Contrôler les applications cloud avec des stratégiesControl cloud apps with policies

Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.