Planifier la conformité des communications

  • Article

Importante

Conformité des communications Microsoft Purview fournit des outils pour aider les organisations à détecter la conformité réglementaire (par exemple, SEC ou FINRA) et les violations de conduite commerciale, telles que des informations sensibles ou confidentielles, des propos harcelants ou menaçants, et le partage de contenu pour adultes. Conçu avec la confidentialité par défaut, les noms d’utilisateur sont pseudonymisés par défaut, les contrôles d’accès en fonction du rôle sont intégrés, les enquêteurs sont activés par un administrateur et les journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Avant de commencer à utiliser la conformité des communications dans votre organization, il existe des activités de planification et des considérations importantes qui doivent être examinées par vos équipes de gestion des technologies de l’information et de la conformité. Une compréhension et une planification approfondies du déploiement dans les domaines suivants vous aideront à garantir que votre implémentation et votre utilisation des fonctionnalités de conformité des communications se déroule sans problème et s’aligne sur les meilleures pratiques pour la solution.

Regardez la vidéo ci-dessous pour savoir comment répondre aux exigences de conformité réglementaire avec la conformité des communications :

Pour plus d’informations et une vue d’ensemble du processus de planification pour traiter les activités de conformité et à risque dans votre organization, consultez Démarrage d’un programme de gestion des risques internes.

Vous pouvez également case activée la vidéo Microsoft Mechanics sur la façon dont la gestion des risques internes et la conformité des communications fonctionnent ensemble pour réduire les risques liés aux données des utilisateurs de votre organization.

Importante

La conformité des communications est actuellement disponible dans les locataires hébergés dans des régions géographiques et des pays pris en charge par les dépendances de service Azure. Pour vérifier que la conformité des communications est prise en charge pour votre organization, consultez Disponibilité des dépendances Azure par pays/région.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Collaborez avec les parties prenantes de votre organization

Identifiez les parties prenantes appropriées dans votre organization à collaborer pour prendre des mesures sur les alertes de conformité des communications. Certaines parties prenantes recommandées à envisager d’inclure dans la planification initiale et le workflow de conformité des communications de bout en bout sont des personnes des domaines suivants de votre organization :

  • Technologies de l’information
  • Conformité
  • Confidentialité
  • Sécurité
  • Ressources humaines
  • Informations juridiques

Planifier le workflow d’investigation et de correction

Sélectionnez des parties prenantes dédiées pour examiner et examiner les alertes et les cas régulièrement dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview. Veillez à comprendre comment affecter des utilisateurs et des parties prenantes à différents groupes de rôles de conformité des communications dans votre organization.

Importante

Après avoir configuré vos groupes de rôles, l’application des autorisations de groupe de rôles aux utilisateurs affectés dans votre organization peut prendre jusqu’à 30 minutes.

Configuration des autorisations

Six groupes de rôles sont utilisés pour configurer les autorisations initiales afin de gérer les fonctionnalités de conformité des communications. Pour rendre la conformité des communications disponible en tant qu’option de menu dans portail de conformité Microsoft Purview et poursuivre ces étapes de configuration, vous devez être affecté à l’un de ces groupes. Pour plus d’informations, consultez Activer les autorisations pour la conformité des communications.

Utilisateurs délimités

Avant de commencer à utiliser la conformité des communications, vous devez déterminer qui a besoin de ses communications. Dans la stratégie, les adresses e-mail des utilisateurs identifient les individus ou les groupes de personnes auxquels appliquer la stratégie. Voici quelques exemples de ces groupes : Groupes Microsoft 365, listes de distribution Exchange, communautés Viva Engage et canaux Microsoft Teams. Vous pouvez également exclure des utilisateurs ou des groupes spécifiques de la vérification avec un groupe d’exclusion spécifique ou une liste de groupes. Pour plus d’informations sur les types de groupes pris en charge dans les stratégies de conformité des communications, consultez Prise en main de la conformité des communications.

Importante

Les utilisateurs couverts par les stratégies de conformité des communications doivent avoir une licence Microsoft 365 E5 Conformité, une licence Office 365 Entreprise E3 avec le module complémentaire Conformité avancée ou être inclus dans un abonnement Office 365 Entreprise E5. Si vous n’avez pas d’offre Entreprise E5 existante et que vous souhaitez essayer la conformité des communications, vous pouvez vous inscrire à une version d’évaluation de Office 365 Entreprise E5.

Relecteurs

Lorsque vous créez une stratégie de conformité des communications, vous devez déterminer qui examine les messages des utilisateurs délimités. Dans la stratégie, les adresses e-mail des utilisateurs identifient des individus ou des groupes de personnes pour examiner les communications étendues. Tous les réviseurs doivent avoir des boîtes aux lettres hébergées sur Exchange Online, doivent être affectés aux groupes de rôles Analystes de conformité des communications ou Enquêteurs de conformité des communications, et doivent être affectés dans la stratégie qu’ils doivent examiner. Lorsque des réviseurs sont ajoutés à une stratégie, ils reçoivent automatiquement un e-mail qui les informe de l’affectation à la stratégie et fournit des liens vers des informations sur le processus de révision.

Groupes pour les utilisateurs et les réviseurs délimités

Pour simplifier votre configuration, nous vous recommandons de créer des groupes pour les personnes dont les communications doivent être examinées et des groupes pour les personnes qui examinent ces communications. Si vous utilisez des groupes, vous aurez peut-être besoin de plusieurs. Par exemple, si vous souhaitez identifier les communications entre deux groupes de personnes distincts, ou si vous souhaitez spécifier un groupe qui n’est pas dans l’étendue. Lorsque vous attribuez un groupe de distribution dans la stratégie, la stratégie détecte tous les e-mails de chaque utilisateur dans le groupe de distribution. Lorsque vous affectez un groupe Microsoft 365 dans la stratégie, la stratégie détecte tous les e-mails envoyés à ce groupe, et non les e-mails individuels reçus par chaque membre du groupe.

Remarque

Avant de créer une stratégie, vous devez décider si vous souhaitez appliquer une étendue adaptative pour les utilisateurs ou les groupes. Pour plus d’informations, consultez Étendues de stratégie adaptative pour les solutions de conformité.

L’ajout de groupes et de listes de distribution aux stratégies de conformité des communications fait partie de l’ensemble des conditions et règles définies, de sorte que le nombre maximal de groupes et de listes de distribution pris en charge par une stratégie varie en fonction du nombre de conditions également ajoutées à la stratégie. Chaque stratégie doit prendre en charge environ 20 groupes ou listes de distribution, en fonction du nombre de conditions supplémentaires présentes dans la stratégie.

Le graphique suivant peut vous aider à configurer des groupes dans votre organization pour les stratégies de conformité des communications :

Membre de stratégie Groupes pris en charge Groupes non pris en charge
Utilisateurs délimités
Utilisateurs exclus		 Groupes de distribution
Groupes Microsoft 365		 Groupes de distribution dynamique
Groupes de distribution imbriqués
Groupes de sécurité à extension messagerie
Groupes Microsoft 365 avec appartenance dynamique
Relecteurs Aucun Groupes de distribution
Groupes de distribution dynamique
Groupes de distribution imbriqués
Groupes de sécurité à extension messagerie

Confidentialité

La protection de la confidentialité des utilisateurs qui ont des correspondances de stratégie est importante et peut contribuer à promouvoir l’objectivité dans les examens d’analyse et d’investigation des données pour les alertes de conformité des communications. Ce paramètre s’applique uniquement aux noms d’utilisateur affichés dans la solution de conformité des communications. Cela n’affecte pas la façon dont les noms sont affichés dans d’autres solutions de conformité ou dans le centre d’administration.

Pour les utilisateurs avec une correspondance de conformité des communications, vous pouvez choisir l’un des paramètres suivants dans Paramètres de conformité des communications :

  • Afficher les versions anonymes des noms d’utilisateur : les noms d’utilisateur sont rendus anonymes pour empêcher les utilisateurs du groupe de rôles Analystes de conformité des communications de voir qui est associé aux alertes de stratégie. Les utilisateurs du groupe de rôles Enquêteurs de conformité des communications voient toujours les noms d’utilisateur, et non les versions rendues anonymes. Par exemple, un utilisateur « Grace Taylor » apparaît avec un pseudonyme aléatoire tel que « AnonIS8-988 » dans tous les domaines de l’expérience de conformité des communications. Le choix de ce paramètre permet d'anonymiser tous les utilisateurs ayant des correspondances de stratégie actuelle et passée et s’applique à toutes les stratégies. Les informations de profil utilisateur dans les détails de l’alerte de conformité des communications ne sont pas disponibles lorsque cette option est choisie. Toutefois, les noms d’utilisateur s’affichent lors de l’ajout de nouveaux utilisateurs à des stratégies existantes ou lors de l’affectation d’utilisateurs à de nouvelles stratégies. Si vous choisissez de désactiver ce paramètre, les noms d’utilisateur s’affichent pour tous les utilisateurs qui ont des correspondances de stratégie actuelles ou passées.
  • Ne pas afficher les versions anonymes des noms d’utilisateur : les noms d’utilisateur sont affichés pour toutes les correspondances de stratégie actuelles et passées pour les alertes de conformité des communications. Les informations de profil utilisateur (nom, titre, alias et organization ou service) sont affichées pour l’utilisateur pour toutes les alertes de conformité des communications.

Planifier les stratégies de conformité des communications

La création de stratégies de conformité des communications est rapide et facile avec les modèles prédéfinis pour analyser le contenu potentiellement inapproprié, les informations sensibles et les problèmes de conformité réglementaire. Les stratégies de conformité des communications personnalisées permettent de détecter et d’examiner les problèmes spécifiques à vos organization et exigences.

Lorsque vous planifiez des stratégies de conformité des communications, tenez compte des domaines suivants :

  • Envisagez d’ajouter tous les utilisateurs de votre organization comme dans l’étendue de vos stratégies de conformité des communications. L’identification d’utilisateurs spécifiques comme étant dans l’étendue des stratégies individuelles est utile dans certaines circonstances, mais la plupart des organisations doivent inclure tous les utilisateurs dans des stratégies de conformité des communications optimisées pour la détection de harcèlement ou de discrimination.
  • Décidez si vous souhaitez appliquer une étendue adaptative à votre stratégie de conformité des communications. Pour plus d’informations, consultez Étendues de stratégie adaptative pour la rétention. La création de plusieurs stratégies peut entraîner des surcharges administratives plus élevées.
  • Configurez le pourcentage de communications à examiner à 100 % pour vous assurer que les stratégies interceptent tous les problèmes dans les communications pour votre organization.
  • Vous pouvez analyser les communications provenant de sources tierces à la recherche de données importées dans des boîtes aux lettres dans votre organization Microsoft 365. Pour inclure l’examen des communications dans ces plateformes, vous devez configurer un connecteur tiers à ces services avant que les messages répondant aux conditions de stratégie soient détectés par une stratégie de communication.
  • Les stratégies peuvent prendre en charge la détection de langues autres que l’anglais dans les stratégies de conformité des communications personnalisées. Créez un dictionnaire mot clé personnalisé de mots offensants dans le langage de votre choix ou créez votre propre modèle Machine Learning à l’aide de classifieurs pouvant être entraînés dans Microsoft 365.
  • Toutes les organisations ont des normes de communication et des besoins de stratégie différents. Détectez des mots clés spécifiques à l’aide de conditions de stratégie de conformité des communications ou détectez des types d’informations spécifiques avec des types d’informations sensibles personnalisés.

Procédure pas à pas pour créer une stratégie de conformité des communications

Vous souhaitez voir une procédure pas à pas détaillée de la configuration d’une nouvelle stratégie de conformité des communications et de la correction d’une alerte ? Regardez la vidéo de 15 minutes suivante pour voir une démonstration de la façon dont les stratégies de conformité des communications peuvent vous aider à détecter les messages potentiellement inappropriés, à examiner les violations potentielles et à corriger les problèmes de conformité.


Vous êtes prêt ?

Pour configurer la conformité des communications pour votre organization Microsoft 365, consultez Configurer la conformité des communications ou case activée l’étude de cas pour Contoso et comment elle a rapidement configuré une stratégie de conformité des communications pour détecter le contenu potentiellement inapproprié dans Microsoft Teams, Exchange Online et Viva Engage communications.