Créez des types d’informations sensibles personnalisés à l’aide d’une classification Exact Data Match.Create custom sensitive information types with Exact Data Match based classification

Les types d’informations sensibles personnalisés sont utilisés pour vous aider à identifier les éléments sensibles afin de pouvoir empêcher leur partage par inadvertance.Custom sensitive information types are used to help identify sensitive items so that you can prevent them from being inadvertently or inappropriately shared. Vous définissez un type d’informations sensibles personnalisé (SIT) basé sur :You define a custom sensitive information type (SIT)based on:

  • modèlespatterns
  • mots clés de preuve, tels que employé,badge ou IDkeyword evidence such as employee, badge, or ID
  • caractère à proximité de la preuve dans un modèle particuliercharacter proximity to evidence in a particular pattern
  • niveaux de confianceconfidence levels

De tels types d’informations sensibles personnalisés répondent aux besoins métier de nombreuses organisations.Such custom sensitive information types meet business needs for many organizations.

Mais que se passe-t-il si vous voulez utiliser un type d’informations sensibles personnalisé qui utilise des valeurs de données exactes, au lieu d’un type qui établissait des correspondances avec des modèles génériques ?But what if you wanted a custom sensitive information type (SIT) that uses exact data values, instead of one that found matches based on generic patterns? Une classification Exact Data Match (EDM) vous permet de créer un type d’informations sensibles personnalisé conçu pour :With Exact Data Match (EDM)-based classification, you can create a custom sensitive information type that is designed to:

  • être dynamique et actualisé facilement ;be dynamic and easily refreshed
  • être plus évolutif ;be more scalable
  • entraîner moins de faux positifs ;result in fewer false-positives
  • utiliser des données sensibles structurées ;work with structured sensitive data
  • gérer les informations sensibles de manière plus sécurisée ;handle sensitive information more securely
  • être utilisé avec différents services de cloud computing Microsoft.be used with several Microsoft cloud services

Classification EDM

La classification EDM vous permet de créer des types d’informations sensibles personnalisés qui font référence à des valeurs exactes dans une base de données d’informations sensibles.EDM-based classification enables you to create custom sensitive information types that refer to exact values in a database of sensitive information. La base de données peut être actualisée quotidiennement et peut contenir jusqu’à 100 millions de lignes de données.The database can be refreshed daily, and contain up to 100 million rows of data. À mesure que des employés, patients ou clients vont et viennent, et que les enregistrements changent, vos types d’informations sensibles personnalisés restent à jour et valides.So as employees, patients, or clients come and go, and records change, your custom sensitive information types remain current and applicable. Vous pouvez également utiliser la classification basée sur EDM avec des stratégies, telles que les stratégies de protection contre la perte de données ou les stratégies de fichier de Microsoft Cloud App Security.And, you can use EDM-based classification with policies, such as data loss prevention policies or Microsoft Cloud App Security file policies.

Notes

Microsoft 365 Information Protection prend désormais en charge, en préversion, les langues de jeu de caractères à double octets pour :Microsoft 365 Information Protection supports in preview double byte character set languages for:

  • Chinois (simplifié)Chinese (simplified)
  • Chinois (traditionnel)Chinese (traditional)
  • KoreanKorean
  • JapaneseJapanese

Cette prise en charge est disponible pour les types d’informations sensibles.This support is available for sensitive information types. Si vous souhaitez en savoir plus, consultez l’article Prise en charge de la protection des informations pour les jeux de caractères à double octets (préversion).See, Information protection support for double byte character sets release notes (preview) for more information.

Licences et autorisations requisesRequired licenses and permissions

Pour effectuer les tâches décrites dans cet article, vous devez être un administrateur général, un administrateur de conformité ou un administrateur Exchange Online.You must be a global admin, compliance administrator, or Exchange Online administrator to perform the tasks described in this article. Pour en avoir plus sur les autorisations DLP, consultez la sectionAutorisations.To learn more about DLP permissions, see Permissions.

La classification EDM est incluse dans ces abonnementsEDM-based classification is included in these subscriptions

  • Office 365 E5Office 365 E5
  • Microsoft 365 E5Microsoft 365 E5
  • Microsoft 365 E5 ConformitéMicrosoft 365 E5 Compliance
  • Microsoft E5/A5 Information Protection et gouvernanceMicrosoft E5/A5 Information Protection and Governance
PortailPortal World Wide/GCCWorld Wide/GCC GCC-HighGCC-High DODDOD
Office SCCOffice SCC protection.office.comprotection.office.com scc.office365.usscc.office365.us scc.protection.apps.milscc.protection.apps.mil
Centre de sécurité Microsoft 365Microsoft 365 Security center security.microsoft.comsecurity.microsoft.com security.microsoft.ussecurity.microsoft.us security.apps.milsecurity.apps.mil
Centre de conformité Microsoft 365Microsoft 365 Compliance center compliance.microsoft.comcompliance.microsoft.com compliance.microsoft.uscompliance.microsoft.us compliance.apps.milcompliance.apps.mil

Flux de travail en un clin d’œilThe work flow at a glance

PhasePhase De quoi ai-je besoin ?What's needed
Partie 1: configurer la classification EDMPart 1: Set up EDM-based classification

(selon vos besoins)(As needed)
- Modifier le schéma de base de données- Edit the database schema
- Supprimer le schéma- Remove the schema
-Accès en lecture aux données sensibles- Read access to the sensitive data
-Schéma de base de données au format XML (fourni en exemple)- Database schema in XML format (example provided)
-Package de règles au format XML (fourni en exemple)- Rule package in XML format (example provided)
-Autorisations d’administrateur sur le centre de sécurité & conformité (à l’aide de PowerShell)- Admin permissions to the Security & Compliance Center (using PowerShell)
Partie 2 : hacher et télécharger les données sensiblesPart 2: Hash and upload the sensitive data

(selon vos besoins)(As needed)
Actualiser les donnéesRefresh the data
-Groupe de sécurité personnalisé et compte d’utilisateur- Custom security group and user account
-Accès administrateur local à l’ordinateur à l’aide de l’agent de téléchargement EDM- Local admin access to machine with EDM Upload Agent
-Accès en lecture aux données sensibles- Read access to the sensitive data
-Processus et planification pour l’actualisation des données- Process and schedule for refreshing the data
Partie 3: utiliser la classification EDM avec vos services Cloud MicrosoftPart 3: Use EDM-based classification with your Microsoft cloud services - Abonnement Microsoft 365 avec DLP- Microsoft 365 subscription with DLP
- Fonctionnalité de classification EDM activée- EDM-based classification feature enabled

Partie 1 : configurer la classification EDMPart 1: Set up EDM-based classification

La configuration de la classification basée sur EDM inclut les étapes suivantes :Setting up and configuring EDM-based classification involves:

  1. Enregistrement de données sensibles au format .csv ou .tsvSaving sensitive data in .csv or .tsv format
  2. Définition de votre schéma de base de données d’informations sensiblesDefine your sensitive information database schema
  3. Création d’un package de règlesCreate a rule package

Enregistrer des données sensibles au format .csv format .tsv ou .tsvSave sensitive data in .csv or .tsv format

  1. Identifiez les informations sensibles que vous voulez utiliser.Identify the sensitive information you want to use. Exportez les données vers une application, telle que Microsoft Excel, et enregistrez le fichier dans un fichier texte.Export the data to an app, such as Microsoft Excel, and save the file in a text file. Le fichier peut être enregistré au format .csv (valeurs séparées par des virgules), .tsv (valeurs séparées par des tabulations) ou séparés par des |.The file can be saved in .csv (comma-separated values), .tsv (tab-separated values), or pipe-separated (|) format. Le format .tsv est recommandé dans les cas où vos valeurs de données peuvent inclure des virgules, telles que des adresses postales.The .tsv format is recommended in cases where your data values may included commas, such as street addresses. Le fichier de données peut inclure au maximum :The data file can include a maximum of:

    • 100 millions de lignes de données sensiblesUp to 100 million rows of sensitive data
    • 32 colonnes (champs) par source de donnéesUp to 32 columns (fields) per data source
    • 5 colonnes (champs) marquées comme pouvant faire l’objet d’une rechercheUp to 5 columns (fields) marked as searchable
  2. Structurez les données sensibles dans le fichier .csv ou .tsv afin que la première ligne comprenne les noms des champs utilisés pour la classification EDM.Structure the sensitive data in the .csv or .tsv file such that the first row includes the names of the fields used for EDM-based classification. Dans votre fichier, vous pouvez avoir des noms de champ tels que « ssn », « birthdate », « firstname », « lastname ».In your file you might have field names such as "ssn", "birthdate", "firstname", "lastname". Les noms d’en-tête de colonne ne peuvent pas contenir des espaces ni des traits de soulignement.The column header names can't include spaces or underscores. Par exemple, le fichier .csv utilisé dans cet exemple est appelé PatientRecords.csv. Ses colonnes incluent PatientID, MRN, LastName, FirstName, SSN, etc.For example, the sample .csv file that we use in this article is named PatientRecords.csv, and its columns include PatientID, MRN, LastName, FirstName, SSN, and more.

  3. Prêtez attention au format des champs de données sensibles.Pay attention to the format of the sensitive data fields. En particulier, les champs qui peuvent contenir des virgules dans leur contenu, par exemple, une adresse de rue qui contient la valeur « Seattle,WA » sera évaluée en tant que deux champs distincts lors de l'.csv si le format .csv est sélectionné.In particular, fields that may contain commas in their content, for example, a street address that contains the value "Seattle,WA" would be parsed as two separate fields when parsed if the .csv format is selected. Pour éviter cela, utilisez le format .tsv ou entourez la virgule contenant des valeurs par des guillemets doubles dans la table de données sensibles.To avoid this, use the .tsv format or surrounded the comma containing values by double quotes in the sensitive data table. Si des virgules contenant des valeurs contiennent également des espaces, vous devez créer un sit personnalisé qui correspond au format correspondant.If comma containing values also contain spaces, you need to create a custom SIT that matches the corresponding format. Par exemple, un SIT qui détecte une chaîne à plusieurs mots avec des virgules et des espaces.For example, a SIT that detects multi-word string with commas and spaces in it.

Définir le schéma de votre base de données d’informations sensiblesDefine the schema for your database of sensitive information

Si, pour des raisons commerciales ou techniques, vous préférez ne pas utiliser PowerShell ou la ligne de commande pour créer votre schéma et votre modèle de type d’informations sensibles EDM (package de règles), vous pouvez utiliser l’Assistant de correspondance exacte de données et de type d’informations sensibles pour les créer.If for business or technical reasons, you prefer not to use PowerShell or command line to create your schema and EDM sensitive info type pattern (rule package), you can use the Exact Data Match Schema and Sensitive Information Type Wizard to create them. Lorsque vous avez terminé de créer le schéma et le modèle de type d’informations sensibles EDM, revenez à la procédure afin d’effectuer toutes les étapes nécessaires pour que votre type d’informations sensibles EDM soit disponible.When you are done creating the schema and EDM sensitive info type pattern, return to complete all the steps necessary to make your EDM based sensitive information type available for use.

Notes

L’Assistant de schéma de correspondance exacte des données et de type d’informations sensibles est disponible uniquement pour les nuages mondiaux et GCC.The Exact Data Match Schema and Sensitive Information Type Wizard is only available for the World Wide and GCC clouds only.

  1. Définissez le schéma pour la base de données d’informations sensibles dans un fichier XML (comme dans l’exemple ci-dessous).Define the schema for the database of sensitive information in XML format (similar to our example below). Nommez ce fichier de schéma edm.xml et configurez-le de telle sorte que pour chaque colonne de la base de données, une ligne utilise la syntaxe :Name this schema file edm.xml, and configure it such that for each column in the database, there is a line that uses the syntax:

    \<Field name="" searchable=""/\>.\<Field name="" searchable=""/\>.

    • Utilisez les noms de colonne pour les valeurs de nom de champ.Use column names for Field name values.
    • Utilisez searchable="true" pour jusqu’à 5 champs dont vous voulez qu’il puissent faire l’objet d’une recherche.Use searchable="true" for the fields that you want to be searchable up to a maximum of 5 fields. Au moins un champ doit pouvoir faire l’objet d’une recherche.At least one field must be searchable.

    Par exemple, le fichier XML suivant définit le schéma d’une base de données de dossiers de patients, avec cinq champs pouvant faire l’objet d’une recherche : PatientID, MRN, SSN, Phone, and DOB.As an example, the following XML file defines the schema for a patient records database, with five fields specified as searchable: PatientID, MRN, SSN, Phone, and DOB.

    (vous pouvez copier, modifier et utiliser notre exemple).(You can copy, modify, and use our example.)

    <EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
          <DataStore name="PatientRecords" description="Schema for patient records" version="1">
                <Field name="PatientID" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
                <Field name="MRN" searchable="true" />
                <Field name="FirstName" />
                <Field name="LastName" />
                <Field name="SSN" searchable="true" />
                <Field name="Phone" searchable="true" />
                <Field name="DOB" searchable="true" />
                <Field name="Gender" />
                <Field name="Address" />
          </DataStore>
    </EdmSchema>
    
Correspondance configurable à l’aide des champs caseInsensitive et ignoredDelimitersConfigurable match using the caseInsensitive and ignoredDelimiters fields

L’exemple XML ci-dessus utilise les champs caseInsensitive et ignoredDelimiters.The above XML sample makes use of the caseInsensitive and the ignoredDelimiters fields.

Lorsque vous incluez le champ *caseInsensitive _ défini sur la valeur true dans votre définition de schéma, EDM n’exclut pas un élément sur la base des différences de casse dans le champ PatientID.When you include the *caseInsensitive _ field set to the value of true in your schema definition, EDM will not exclude an item based on case differences for PatientID field. EDM considère donc PatientID _ FOO-1234* et fOo-1234 comme étant identiques.So EDM will see, PatientID _ FOO-1234* and fOo-1234 as being identical.

Lorsque vous incluez le champ ignoredDelimiters _ avec les caractères pris en charge, EDM ignore ces caractères dans PatientID.When you include the *ignoredDelimiters _ field with supported characters, EDM will ignore those characters in the PatientID. EDM considère donc PatientID _ FOO-1234* et PatientID FOO#1234 comme étant identiques.So EDM will see, PatientID _ FOO-1234* and PatientID FOO#1234 as being identical. L’indicateur ignoredDelimiters prend en charge tous les caractères non alphanumériques. Voici quelques exemples :The ignoredDelimiters flag supports any non-alphanumeric character, here are some examples:

  • ..
  • -
  • /
  • _
  • *
  • ^
  • #
  • !
  • ?
  • [
  • ]
  • {
  • }
  • \
  • ~
  • ;

L’indicateur ignoredDelimiters ne prend pas en charge :The ignoredDelimiters flag doesn't support:

  • Les caractères 0 à 9characters 0-9
  • A-ZA-Z
  • a-za-z
  • "
  • ,

Dans cet exemple, où caseInsensitive et ignoredDelimiters sont utilisés ensemble, EDM considère FOO-1234 et fOo#1234 comme étant identiques et classifie l’élément comme un type d’informations sensibles de dossier de patient.In this example, where both caseInsensitive and ignoredDelimiters are used, EDM would see FOO-1234 and fOo#1234 as identical and classify the item as a patient record sensitive information type.

  1. Connectez-vous au Centre de sécurité et conformité en utilisant la procédure Se connecter à l’interface PowerShell du Centre de sécurité et conformité.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  2. Pour charger le schéma de base de données, exécutez les cmdlets suivantes, l’une après l’autre :To upload the database schema, run the following cmdlets, one at a time:

    $edmSchemaXml=Get-Content .\\edm.xml -Encoding Byte -ReadCount 0
    New-DlpEdmSchema -FileData $edmSchemaXml -Confirm:$true
    

    Vous êtes invité à confirmer comme suit :You will be prompted to confirm, as follows:

    ConfirmerConfirm

    Êtes-vous sûr de vouloir effectuer cette action ?Are you sure you want to perform this action?

    Un nouveau schéma EDM pour le magasin de données « patientrecords » va être importé.New EDM Schema for the data store 'patientrecords' will be imported.

    [Y] Oui [A] Oui pour tout [N] Non [L] Non pour tout [?] Aide (par défaut « Y ») :[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

Conseil

Si vous souhaitez que vos modifications se produisent sans confirmation, à l’étape 5, utilisez plutôt la cmdlet New-DlpEdmSchema -FileData $edmSchemaXmlIf you want your changes to occur without confirmation, in Step 5, use this cmdlet instead: New-DlpEdmSchema -FileData $edmSchemaXml

Notes

La mise à jour du schéma EDMS avec les ajouts peut prendre de 10 à 60 minutes.It can take between 10-60 minutes to update the EDMSchema with additions. Vous devez l’effectuer avant d’exécuter les étapes qui utilisent les ajouts.The update must complete before you execute steps that use the additions.

Configurer un package de règlesSet up a rule package

  1. Créez un package de règles au format XML (avec codage Unicode) similaire à l’exemple suivant.Create a rule package in XML format (with Unicode encoding), similar to the following example. (vous pouvez copier, modifier et utiliser notre exemple).(You can copy, modify, and use our example.)

    Lorsque vous définissez votre package de règles, veillez à référencer correctement .csv fichier .tsv ou .tsv etedm.xml fichier.When you set up your rule package, make sure to correctly reference your .csv or .tsv file and edm.xml file. Vous pouvez copier, modifier et utiliser notre exemple.You can copy, modify, and use our example. Dans cet exemple de fichier xml, les champs suivants doivent être personnalisés pour créer votre type sensible d’EDM :In this sample xml the following fields needs to be customized to create your EDM sensitive type:

    • RulePack id & ExactMatch id : utilisez New-GUID pour générer un GUID.RulePack id & ExactMatch id: Use New-GUID to generate a GUID.

    • Datastore : ce champ spécifie le magasin de données de recherche EDM à utiliser.Datastore: This field specifies EDM lookup data store to be used. Vous indiquez un nom de source de données ou un schéma EDM configuré.You provide a data source name of a configured EDM Schema.

    • idMatch : ce champ pointe vers l’élément principal pour EDM.idMatch: This field points to the primary element for EDM.

      • Matches : spécifie le champ à utiliser dans la recherche exacte.Matches: Specifies the field to be used in exact lookup. Vous fournissez un nom de champ pouvant faire l’objet d’une recherche dans le schéma EDM pour le magasin de données.You provide a searchable field name in EDM Schema for the DataStore.
      • Classification : ce champ spécifie la correspondance de type sensible qui déclenche la recherche EDM.Classification: This field specifies the sensitive type match that triggers EDM lookup. Vous pouvez fournir le nom ou le GUID d’un type d’informations sensibles intégré ou personnalisé.You can provide the Name or GUID of an existing built-in or custom sensitive information type. N’ignorez pas que toute chaîne qui correspond au type d’informations sensibles fourni sera hachée et comparée à chaque entrée de la table des informations sensibles.Be aware that any string that matches the sensitive information type provided will be hashed and compared to every entry in the sensitive information table. Pour éviter de provoquer des problèmes de performances, si vous utilisez un type d’informations sensibles personnalisé comme élément Classification dans Dem, évitez d’en utiliser un qui corresponde à un grand pourcentage de contenu (par exemple, « n’importe quel nombre » ou « tout mot de cinq lettres ») en ajoutant des mots clés à l’appui ou en ajoutant une mise en forme dans la définition du type d’informations sensibles de classification personnalisée.In order to avoid causing performance issues, if you use a custom sensitive information type as the Classification element in EDM, avoid using one that will match a large percentage of content (such as "any number" or "any five-letter word") by adding supporting keywords or including formatting in the definition of the custom classification sensitive information type.
    • Match : ce champ pointe vers d’autres preuves à proximité d’idMatch.Match: This field points to additional evidence found in proximity of idMatch.

      • Matches : vous indiquez un nom de champ dans le schéma EDM pour DataStore.Matches: You provide any field name in EDM Schema for DataStore.
    • Resource : cette section spécifie le nom et la description du type sensible dans plusieurs paramètres régionaux.Resource: This section specifies the name and description for sensitive type in multiple locales.

      • idRef : fournissez un GUID pour ExactMatch ID.idRef: You provide GUID for ExactMatch ID.
      • Nom et descriptions : personnalisez si nécessaire.Name & descriptions: customize as required.
    <RulePackage xmlns="http://schemas.microsoft.com/office/2018/edm">
      <RulePack id="fd098e03-1796-41a5-8ab6-198c93c62b11">
        <Version build="0" major="2" minor="0" revision="0" />
        <Publisher id="eb553734-8306-44b4-9ad5-c388ad970528" />
        <Details defaultLangCode="en-us">
          <LocalizedDetails langcode="en-us">
            <PublisherName>IP DLP</PublisherName>
            <Name>Health Care EDM Rulepack</Name>
            <Description>This rule package contains the EDM sensitive type for health care sensitive types.</Description>
          </LocalizedDetails>
        </Details>
      </RulePack>
      <Rules>
        <ExactMatch id = "E1CC861E-3FE9-4A58-82DF-4BD259EAB371" patternsProximity = "300" dataStore ="PatientRecords" recommendedConfidence = "65" >
          <Pattern confidenceLevel="65">
            <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
          </Pattern>
          <Pattern confidenceLevel="75">
            <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
            <Any minMatches ="3" maxMatches ="6">
              <match matches="PatientID" />
              <match matches="MRN"/>
              <match matches="FirstName"/>
              <match matches="LastName"/>
              <match matches="Phone"/>
              <match matches="DOB"/>
            </Any>
          </Pattern>
        </ExactMatch>
        <LocalizedStrings>
          <Resource idRef="E1CC861E-3FE9-4A58-82DF-4BD259EAB371">
            <Name default="true" langcode="en-us">Patient SSN Exact Match.</Name>
            <Description default="true" langcode="en-us">EDM Sensitive type for detecting Patient SSN.</Description>
          </Resource>
        </LocalizedStrings>
      </Rules>
    </RulePackage>
    
  2. Téléchargez le package de règles en exécutant les cmdlets PowerShell suivantes, l’une après l’autre :Upload the rule package by running the following PowerShell cmdlets, one at a time:

    $rulepack=Get-Content .\\rulepack.xml -Encoding Byte -ReadCount 0
    New-DlpSensitiveInformationTypeRulePackage -FileData $rulepack
    

À ce stade, vous avez configuré la classification EDM.At this point, you have set up EDM-based classification. L’étape suivante consiste à hacher les données sensibles, puis à charger les hachages pour l’indexation.The next step is to hash the sensitive data, and then upload the hashes for indexing.

Rappelez-vous que la procédure précédente de notre schéma PatientRecords définit cinq champs pouvant faire l’objet d’une recherche : PatientID,MRN, SSN, Phone et DOB.Recall from the previous procedure that our PatientRecords schema defines five fields as searchable: PatientID, MRN, SSN, Phone, and DOB. Notre exemple de package de règles inclut ces champs et référence le fichier de schéma de base de données (edm.xml), avec un seul élément ExactMatch par champ pouvant faire l’objet d’une recherche.Our example rule package includes those fields and references the database schema file (edm.xml), with one ExactMatch item per searchable field. Prenons l’élément ExactMatch suivant :Consider the following ExactMatch item:

<ExactMatch id = "E1CC861E-3FE9-4A58-82DF-4BD259EAB371" patternsProximity = "300" dataStore ="PatientRecords" recommendedConfidence = "65" >
      <Pattern confidenceLevel="65">
        <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
      </Pattern>
      <Pattern confidenceLevel="75">
        <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
        <Any minMatches ="3" maxMatches ="100">
          <match matches="PatientID" />
          <match matches="MRN"/>
          <match matches="FirstName"/>
          <match matches="LastName"/>
          <match matches="Phone"/>
          <match matches="DOB"/>
        </Any>
      </Pattern>
    </ExactMatch>

À partir de cet exemple, notez les points suivants :In this example, note that:

  • Le nom du magasin de données fait référence au fichier .csv que nous avons créé précédemment : dataStore = "PatientRecords".The dataStore name references the .csv file we created earlier: dataStore = "PatientRecords".

  • La valeur idMatch fait référence à un champ pouvant faire l’objet d’une recherche figurant dans le fichier de schéma de base de données : idMatch matches = "SSN".The idMatch value references a searchable field that is listed in the database schema file: idMatch matches = "SSN".

  • La valeur de classification fait référence à un type d’informations sensibles existant ou personnalisé : classification = "U.S. Social Security Number (SSN)"The classification value references an existing or custom sensitive information type: classification = "U.S. Social Security Number (SSN)". (en l’occurrence, nous utilisons le type d’informations sensibles existant pour le numéro de sécurité sociale aux États-Unis).(In this case, we use the existing sensitive information type of U.S. Social Security Number.)

Notes

La mise à jour du schéma EDMS avec les ajouts peut prendre de 10 à 60 minutes.It can take between 10-60 minutes to update the EDMSchema with additions. Vous devez l’effectuer avant d’exécuter les étapes qui utilisent les ajouts.The update must complete before you execute steps that use the additions.

Après avoir importé votre package de règles avec votre type d’informations sensibles EDM et importé votre table de données sensibles, vous pouvez tester votre type nouvellement créé à l’aide de la fonction Tester dans l’Assistant Gestion des problèmes de sécurité des données dans le Centre de conformité.After you have imported your rule package with your EDM sensitive info type and have imported your sensitive data table, you can test your newly created type by using the Test function in the EDM wizard in the compliance center. Consultez Utiliser l’Assistant de schéma de correspondance exacte des données et de type d’informations sensibles pour obtenir des instructions sur l’utilisation de cette fonctionnalité.See Use the Exact Data Match Schema and Sensitive Information Type Wizard for instructions on using this functionality.

Modification du schéma pour la classification EDMEditing the schema for EDM-based classification

Si vous souhaitez modifier votre fichier edm.xml, par exemple pour changer les champs utilisés pour la classification EDM, procédez comme suit :If you want to make changes to your edm.xml file, such as changing which fields are used for EDM-based classification, follow these steps:

Conseil

Vous pouvez modifier votre schéma EDM et votre fichier de données pour tirer parti d’une correspondance configurable.You can change your EDM schema and data file to take advantage of configurable match. Lorsqu’il est configuré, EDM ignore les différences de casse et certains séparateurs lorsqu’il évalue un élément.When configured, EDM will ignore case differences and some delimiters when it evaluates an item. Cela simplifie la définition de votre schéma XML et de vos fichiers de données sensibles.This makes defining your xml schema and your sensitive data files easier. Pour plus d’informations, voir Modifier le schéma de correspondance des données exactes pour utiliser la correspondance configurable.To learn more see, Modify Exact Data Match schema to use configurable match.

  1. Modifiez votre fichier edm.xml (présenté dans la section Définir le schéma de cet article).Edit your edm.xml file (this is the file discussed in the Define the schema section of this article).

  2. Connectez-vous au Centre de sécurité et conformité en utilisant la procédure Se connecter à l’interface PowerShell du Centre de sécurité et conformité.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  3. Pour mettre à jour votre schéma de base de données, exécutez les cmdlets suivantes, l’une après l’autre :To update your database schema, run the following cmdlets, one at a time:

    $edmSchemaXml=Get-Content .\\edm.xml -Encoding Byte -ReadCount 0
    Set-DlpEdmSchema -FileData $edmSchemaXml -Confirm:$true
    

    Vous êtes invité à confirmer comme suit :You will be prompted to confirm, as follows:

    ConfirmerConfirm

    Êtes-vous sûr de vouloir effectuer cette action ?Are you sure you want to perform this action?

    Le schéma EDM pour le magasin de données « patientrecords » va être mis à jour.EDM Schema for the data store 'patientrecords' will be updated.

    [Y] Oui [A] Oui pour tout [N] Non [L] Non pour tout [?] Aide (par défaut « Y ») :[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

    Conseil

    Si vous souhaitez que vos modifications se produisent sans confirmation, à l’étape 3, utilisez plutôt la cmdlet Set-DlpEdmSchema -FileData $edmSchemaXmlIf you want your changes to occur without confirmation, in Step 3, use this cmdlet instead: Set-DlpEdmSchema -FileData $edmSchemaXml

    Notes

    La mise à jour du schéma EDMS avec les ajouts peut prendre de 10 à 60 minutes.It can take between 10-60 minutes to update the EDMSchema with additions. Vous devez l’effectuer avant d’exécuter les étapes qui utilisent les ajouts.The update must complete before you execute steps that use the additions.

Suppression du schéma pour la classification EDMRemoving the schema for EDM-based classification

(Le cas échéant) Si vous voulez supprimer le schéma que vous utilisez pour la classification EDM, procédez comme suit :(As needed) If you want to remove the schema you're using for EDM-based classification, follow these steps:

  1. Connectez-vous au Centre de sécurité et conformité en utilisant la procédure Se connecter à l’interface PowerShell du Centre de sécurité et conformité.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  2. Exécutez les applets de commande PowerShell suivantes, en remplaçant le nom de magasin de données « patient records » par celui que vous voulez supprimer :Run the following PowerShell cmdlets, substituting the data store name of "patient records" with the one you want to remove:

    Remove-DlpEdmSchema -Identity patientrecords
    

    Vous serez invité à confirmer :You will be prompted to confirm:

    ConfirmerConfirm

    Êtes-vous sûr de vouloir effectuer cette action ?Are you sure you want to perform this action?

    Le schéma EDM pour le magasin de données « patientrecords » va être supprimé.EDM Schema for the data store 'patientrecords' will be removed.

    [Y] Oui [A] Oui pour tout [N] Non [L] Non pour tout [?] Aide (par défaut « Y ») :[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

    Conseil

    Si vous souhaitez que vos modifications se produisent sans confirmation, à l’étape 2, utilisez plutôt la cmdlet Remove-DlpEdmSchema -Identity patientrecords -Confirm:$falseIf you want your changes to occur without confirmation, in Step 2, use this cmdlet instead: Remove-DlpEdmSchema -Identity patientrecords -Confirm:$false

Partie 2 : hacher et charger les données sensiblesPart 2: Hash and upload the sensitive data

Au cours de cette phase, vous configurez un groupe de sécurité personnalisé et un compte d’utilisateur, et configurez l’outil de chargement de l’agent EDM.In this phase, you set up a custom security group and user account, and set up the EDM Upload Agent tool. Vous utilisez ensuite l’outil pour hacher les données sensibles avec valeur salt et les charger.Then, you use the tool to hash with salt value the sensitive data, and upload it.

L’opération de hachage et de chargement peut être effectuée à l’aide d’un ordinateur ou vous pouvez séparer ces deux étapes pour renforcer la sécurité.The hashing and uploading can be done using one computer or you can separate the hashing step from the upload step for greater security.

Si vous voulez hacher et charger à partir d’un ordinateur, vous devez le faire à partir d’un ordinateur qui peut se connecter directement à votre client Microsoft 365.If you want to hash and upload from one computer, you need to do it from a computer that can directly connect to your Microsoft 365 tenant. Vos fichiers de données sensibles en texte clair doivent se trouver sur cet ordinateur pour le hachage.This requires that your clear text sensitive data files are on that computer for hashing.

Si vous ne souhaitez pas exposer votre fichier de données sensibles en texte clair, vous pouvez le hacher sur un ordinateur dans un emplacement sécurisé, puis copier le fichier de hachage et le fichier salt sur un ordinateur qui peut se connecter directement à votre client Microsoft 365 pour le chargement. Dans ce scénario, vous aurez besoin d’EDMUploadAgent sur les deux ordinateurs.If you do not want to expose your clear text sensitive data file, you can hash it on a computer in a secure location and then copy the hash file and the salt file to a computer that can directly connect to your Microsoft 365 tenant for upload. In this scenario, you will need the EDMUploadAgent on both computers.

Important

Si vous utilisiez l’assistant du schéma de correspondance des données exacte et du type d’informations sensibles pour créer vos fichiers de schéma et de modèle, vous devez télécharger le schéma pour cette procédure.If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, you must download the schema for this procedure.

Notes

Si votre organisation a installé la clé client pour Microsoft 365au niveau du client, la correspondance exacte des données utilisera automatiquement sa fonctionnalité de chiffrement.If your organization has set up Customer Key for Microsoft 365 at the tenant level, Exact data match will make use of its encryption functionality automatically. Cette offre est disponible uniquement pour les clients sous licence E5 dans le cloud commercial.This is available only to E5 licensed tenants in the Commercial cloud.

Configuration requisePrerequisites

  • Un compte professionnel ou scolaire pour Microsoft 365 qui sera ajouté au groupe de sécurité EDM_DataUploadersa work or school account for Microsoft 365 that will be added to the EDM_DataUploaders security group
  • Un ordinateur Windows 10 ou Windows Server 2016 avec .NET version 4.6.2 pour l’exécution d’EDMUploadAgenta Windows 10 or Windows Server 2016 machine with .NET version 4.6.2 for running the EDMUploadAgent
  • Un répertoire sur votre ordinateur de téléchargement pour :a directory on your upload machine for the:
    • EDMUploadAgentEDMUploadAgent
    • votre fichier d’élément sensible au format .csv .tsv ou .tsv, PatientRecords.csv dans nos exemplesyour sensitive item file in .csv or .tsv format, PatientRecords.csv in our examples
    • Les fichiers de hachage et salt générésand the output hash and salt files
    • Le nom du magasin de données provenant du fichier edm.xml, ici PatientRecordsthe datastore name from the edm.xml file, for this example its PatientRecords
  • Si vous avez utilisé l’Assistant de schéma de correspondance exacte des données et de type d’informations sensibles, vous devez le télécharger.If you used the Exact Data Match schema and sensitive information type wizard you must download it

Configurer les groupe de sécurité personnalisé et compte d’utilisateurSet up the security group and user account

  1. En tant qu’administrateur général, accédez au centre d’administration à l’aide du lien approprié pour votre abonnement et créez un groupe de sécurité nommé EDM_DataUploaders.As a global administrator, go to the admin center using the appropriate link for your subscription and create a security group called EDM_DataUploaders.

  2. Ajoutez un ou plusieurs utilisateurs au groupe de sécurité EDM_DataUploaders.Add one or more users to the EDM_DataUploaders security group. (ces utilisateurs peuvent gérer la base de données d’informations sensibles).(These users will manage the database of sensitive information.)

Hacher et charger à partir d’un même ordinateurHash and upload from one computer

Cet ordinateur doit avoir accès directement à votre client Microsoft 365.This computer must have direct access to your Microsoft 365 tenant.

Notes

Avant de commencer cette procédure, assurez-vous que vous êtes membre du groupe de sécurité EDM_DataUploaders.Before you begin this procedure, make sure that you are a member of the EDM_DataUploaders security group.

Conseil

Si vous le souhaitez, vous pouvez exécuter une validation sur votre fichier .csv .tsv ou .tsv avant de télécharger en exécutant :Optionally, you can run a validation against your .csv or .tsv file before uploading by running:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Pour plus d’informations sur tous les paramètres pris en charge par EdmUploadAgent.exeFor more information on all the EdmUploadAgent.exe >supported parameters run

EdmUploadAgent.exe /?

  • Commercial + GCC : pour la plupart des clients commerciauxCommercial + GCC - most commercial customers should use this
  • GCC-High : conçu spécifiquement pour les abonnés cloud du secteur public haute sécuritéGCC-High - This is specifically for high security government cloud subscribers
  • DoD : conçu spécifiquement pour les clients cloud du Department of Defense américainDoD - this is specifically for United States Department of Defense cloud customers
  1. Créez un répertoire de travail pour EDMUploadAgent.Create a working directory for the EDMUploadAgent. Par exemple, C:\EDM\Data.For example, C:\EDM\Data. Placez le fichier PatientRecords.csv à cet emplacement.Place the PatientRecords.csv file there.

  2. Téléchargez et installez l’agent de chargement EDM approprié pour votre abonnement dans le répertoire créé à l’étape 1.Download and install the appropriate EDM Upload Agent for your subscription into the directory you created in step 1.

    Notes

    La version d’EDMUploadAgent fournie à travers les liens ci-dessus a été mise à jour afin d’ajouter automatiquement une valeur salt aux données hachées.The EDMUploadAgent at the above links has been updated to automatically add a salt value to the hashed data. Vous pouvez également fournir votre propre valeur salt.Alternately, you can provide your own salt value. Une fois que vous avez utilisé cette version, vous ne pourrez pas utiliser la version précédente d’EDMUploadAgent.Once you have used this version, you will not be able to use the previous version of the EDMUploadAgent.

    Vous pouvez télécharger des données avec EDMUploadAgent vers n’importe quel magasin de données donné deux fois par jour uniquement.You can upload data with the EDMUploadAgent to any given data store only twice per day.

    Conseil

    Exécutez l'agent sans arguments pour obtenir une liste des paramètres de commande pris en charge. Par exemple, « EdmUploadAgent.exe ».To a get a list out of the supported command parameters, run the agent no arguments. For example 'EdmUploadAgent.exe'.

  3. Autorisez l’agent de chargement EDM, en ouvrant l’invite de commandes Windows (en tant qu’administrateur), puis en accédant au répertoire C:\EDM\Data pour exécuter la commande suivante :Authorize the EDM Upload Agent, open Command Prompt window (as an administrator), switch to the C:\EDM\Data directory and then run the following command:

    EdmUploadAgent.exe /Authorize

  4. Connectez-vous à l’aide de votre compte professionnel ou scolaire pour Microsoft 365 qui a été ajouté au groupe de sécurité EDM_DataUploaders.Sign in with your work or school account for Microsoft 365 that was added to the EDM_DataUploaders security group. Vos informations de client sont extraites du compte d’utilisateur pour établir la connexion.Your tenant information is extracted from the user account to make the connection.

    FACULTATIF : si vous avez utilisé l’Assistant de schéma de correspondance exacte des données et de type d’informations sensibles pour créer vos fichiers de schéma et de modèle, exécutez la commande suivante dans une fenêtre Invite de commandes :OPTIONAL: If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, run the following command in a Command Prompt window:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  5. Pour hacher et charger les données sensibles, exécutez la commande suivante dans l’invite de commandes Windows :To hash and upload the sensitive data, run the following command in Command Prompt window:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /ColumnSeparator ["{Tab}"|"|"]

    Exemple : EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xmlExample: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml

    Le format par défaut du fichier de données sensibles est les valeurs séparées par des virgules.The default format for the sensitive data file is comma-separated values. Vous pouvez spécifier un fichier séparé par des tabulations en indiquant l’option « {Tab} » avec le paramètre /ColumnSeparator, ou vous pouvez spécifier un fichier séparé par un canal en indiquant l’option « | ».You can specify a tab-separated file by indicating the "{Tab}" option with the /ColumnSeparator parameter, or you can specify a pipe-separated file by indicating the "|" option.
    Cette commande ajoute automatiquement une valeur salt générée de manière aléatoire au hachage pour une sécurité accrue.This command will automatically add a randomly generated salt value to the hash for greater security. Si vous voulez utiliser votre propre valeur salt, vous pouvez également ajouter /Salt à la commande.Optionally, if you want to use your own salt value, add the /Salt to the command. Cette valeur doit comporter 64 caractères et ne peut contenir que les caractères allant de a à z et de 0 à 9.This value must be 64 characters in length and can only contain the a-z characters and 0-9 characters.

  6. Vérifiez l’état du chargement en exécutant la commande suivante :Check the upload status by running this command:

    EdmUploadAgent.exe /GetSession /DataStoreName \<DataStoreName\>

    Exemple : EdmUploadAgent.exe /GetSession /DataStoreName PatientRecordsExample: EdmUploadAgent.exe /GetSession /DataStoreName PatientRecords

    Vous verrez l’état ProcessingInProgress.Look for the status to be in ProcessingInProgress. Vérifiez à quelques minutes d’intervalle jusqu’à ce que l’état devienne Completed.Check again every few minutes until the status changes to Completed. Une fois que le chargement est à l’état Completed, vos données EDM sont prêtes à l’emploi.Once the status is completed, your EDM data is ready for use.

Séparer le hachage et le chargementSeparate Hash and upload

Effectuez le hachage sur un ordinateur dans un environnement sécurisé.Perform the hash on a computer in a secure environment.

FACULTATIF : si vous avez utilisé l’Assistant de schéma de correspondance exacte des données et de type d’informations sensibles pour créer vos fichiers de schéma et de modèle, exécutez la commande suivante dans une fenêtre Invite de commandes :OPTIONAL: If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, run the following command in a Command Prompt window:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. À l’invite de commandes, exécutez la commande suivante :Run the following command in Command Prompt windows:

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] >

    Par exemple :For example:

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xmlEdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml

    Cela génère un fichier haché et un fichier salt avec les extensions suivantes si vous n’avez pas spécifié l’option /Salt  :This will output a hashed file and a salt file with these extensions if you didn't specify the /Salt option:

    • .EdmHash.EdmHash
    • .EdmSalt.EdmSalt
  2. Copiez ces fichiers de manière sécurisée sur l’ordinateur que vous utiliserez pour télécharger vos éléments sensibles .csv ou .tsv (PatientRecords) vers votre client.Copy these files in a secure fashion to the computer you will use to upload your sensitive items .csv or .tsv file (PatientRecords) to your tenant.

    Pour charger les données hachées, exécutez la commande suivante dans l’invite de commandes Windows :To upload the hashed data, run the following command in Windows Command Prompt:

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\>

    Par exemple :For example:

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\Edm\Hash\PatientRecords.EdmHashEdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\Edm\Hash\PatientRecords.EdmHash

    Pour vérifier que vos données sensibles ont été téléchargées, exécutez la commande suivante dans l’invite de commandes Windows :To verify that your sensitive data has been uploaded, run the following command in Command Prompt window:

    EdmUploadAgent.exe /GetDataStore

    La liste des magasins de données apparaît, ainsi que la date de la dernière mise à jour.You'll see a list of data stores and when they were last updated.

    Si vous voulez afficher toutes les données téléchargées vers un magasin particulier, exécutez la commande suivante dans une invite de commandes Windows :If you want to see all the data uploads to a particular store, run the following command in a Windows command prompt:

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

    Poursuivez la configuration de votre processus et planifiez l’actualisation de votre base de données d'informations sensibles.Proceed to set up your process and schedule for Refreshing your sensitive information database.

À ce stade, vous êtes prêt à utiliser la classification basée sur EDM avec vos services de Cloud Computing Microsoft.At this point, you are ready to use EDM-based classification with your Microsoft cloud services. Par exemple, vous pouvez configurer une stratégie DLP à l’aide d’une classification basée sur EDM.For example, you can set up a DLP policy using EDM-based classification.

Actualisation de votre base de données d’informations sensiblesRefreshing your sensitive information database

Vous pouvez actualiser quotidiennement votre base de données d’informations sensibles, et l’outil de chargement EDM peut réindexer les données sensibles, puis recharger les données indexées.You can refresh your sensitive information database daily, and the EDM Upload Tool can reindex the sensitive data and then reupload the indexed data.

  1. Déterminez vos processus et leur fréquence (quotidien ou hebdomadaire) pour actualiser la base de données d’informations sensibles.Determine your process and frequency (daily or weekly) for refreshing the database of sensitive information.

  2. Réexportez les données sensibles vers une application, telle que Microsoft Excel, et enregistrez le fichier au format .csv ou .tsv.Re-export the sensitive data to an app, such as Microsoft Excel, and save the file in .csv or .tsv format. Conservez le même nom de fichier et l’emplacement que vous avez utilisé lorsque vous avez suivi les étapes décrites dansHachage et téléchargement des données sensibles.Keep the same file name and location you used when you followed the steps described in Hash and upload the sensitive data.

    Notes

    Si aucune modification n’est apportée à la structure (noms de champs) du fichier .csv ou .tsv, vous n’avez pas besoin d’apporter des modifications à votre fichier de schéma de base de données lorsque vous actualisez les données.If there are no changes to the structure (field names) of the .csv or .tsv file, you won't need to make any changes to your database schema file when you refresh the data. Si vous devez apporter des modifications, assurez-vous de modifier le schéma de base de données et votre package de règles en conséquence.But if you must make changes, make sure to edit the database schema and your rule package accordingly.

  3. Utilisez le planificateur de tâches pour automatiser les étapes 2 et 3 dans la procédurehacher et télécharger les données sensibles.Use Task Scheduler to automate steps 2 and 3 in the Hash and upload the sensitive data procedure. Vous pouvez planifier des tâches à l’aide de plusieurs méthodes :You can schedule tasks using several methods:

    MéthodeMethod ProcédureWhat to do
    Windows PowerShellWindows PowerShell Consultez la documentationScheduledTasks et l’exemple de script PowerShell dans cet articleSee the ScheduledTasks documentation and the example PowerShell script in this article
    API planificateur de tâchesTask Scheduler API Consultez la documentation relative au planificateur de tâchesSee the Task Scheduler documentation
    Interface utilisateur WindowsWindows user interface Dans Windows, cliquez sur Démarrer, puis tapez Planificateur de tâches.In Windows, click Start, and type Task Scheduler. Dans la liste des résultats, cliquez avec le bouton droit sur planificateur de tâches, puis sélectionnez exécuter en tant qu’administrateur.Then, in the list of results, right-click Task Scheduler, and choose Run as administrator.

Exemple de script PowerShell pour le planificateur de tâchesExample PowerShell script for Task Scheduler

Cette section inclut un exemple de script PowerShell que vous pouvez utiliser pour planifier vos tâches de hachage de données et de téléchargement des données hachées :This section includes an example PowerShell script you can use to schedule your tasks for hashing data and uploading the hashed data:

Pour planifier un hachage et effectuer un téléchargement dans une étape seule combinéeTo schedule hashing and upload in a combined step
param(\[string\]$dataStoreName,\[string\]$fileLocation)
\# Assuming current user is also the user context to run the task
$user = "$env:USERDOMAIN\\$env:USERNAME"
$edminstallpath = 'C:\\Program Files\\Microsoft\\EdmUploadAgent\\'
$edmuploader = $edminstallpath + 'EdmUploadAgent.exe'
$csvext = '.csv'
$schemaext = '.xml'
\# Assuming file name is same as data store name and file is in .csv format
$dataFile = "$fileLocation\\$dataStoreName$csvext"
\# Assuming location to store hash file is same as the location of csv file
$hashLocation = $fileLocation
\# Assuming Schema file name is same as data store name
$schemaFile = "$fileLocation\\$dataStoreName$schemaext"
$uploadDataArgs = '/UploadData /DataStoreName ' + $dataStoreName + ' /DataFile ' + $dataFile + ' /HashLocation' + $hashLocation + ' /Schema ' + $schemaFile
\# Set up actions associated with the task
$actions = @()
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $uploadDataArgs -WorkingDirectory $edminstallpath
\# Set up trigger for the task
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
\# Set up task settings
$principal = New-ScheduledTaskPrincipal -UserId $user -LogonType S4U -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -RunOnlyIfNetworkAvailable -StartWhenAvailable -WakeToRun
\# Create the scheduled task
$scheduledTask = New-ScheduledTask -Action $actions -Principal $principal -Trigger $trigger -Settings $settings
\# Get credentials to run the task
$creds = Get-Credential -UserName $user -Message "Enter credentials to run the task"
$password=\[Runtime.InteropServices.Marshal\]::PtrToStringAuto(\[Runtime.InteropServices.Marshal\]::SecureStringToBSTR($creds.Password))
\# Register the scheduled task
$taskName = 'EDMUpload\_' + $dataStoreName
Register-ScheduledTask -TaskName $taskName -InputObject $scheduledTask -User $user -Password $password

Pour planifier un hachage et effectuer un téléchargement en deux étapes distinctesTo schedule hashing and upload as separate steps

param(\[string\]$dataStoreName,\[string\]$fileLocation)
\# Assuming current user is also the user context to run the task
$user = "$env:USERDOMAIN\\$env:USERNAME"
$edminstallpath = 'C:\\Program Files\\Microsoft\\EdmUploadAgent\\'
$edmuploader = $edminstallpath + 'EdmUploadAgent.exe'
$csvext = '.csv'
$edmext = '.EdmHash'
$schemaext = '.xml'
\# Assuming file name is same as data store name and file is in .csv format
$dataFile = "$fileLocation\\$dataStoreName$csvext"
$hashFile = "$fileLocation\\$dataStoreName$edmext"
\# Assuming Schema file name is same as data store name
$schemaFile = "$fileLocation\\$dataStoreName$schemaext "

\# Assuming location to store hash file is same as the location of csv file
$hashLocation = $fileLocation
$createHashArgs = '/CreateHash' + ' /DataFile ' + $dataFile + ' /HashLocation ' + $hashLocation + ' /Schema ' + $schemaFile
$uploadHashArgs = '/UploadHash /DataStoreName ' + $dataStoreName + ' /HashFile ' + $hashFile
\# Set up actions associated with the task
$actions = @()
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $createHashArgs -WorkingDirectory $edminstallpath
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $uploadHashArgs -WorkingDirectory $edminstallpath
\# Set up trigger for the task
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
\# Set up task settings
$principal = New-ScheduledTaskPrincipal -UserId $user -LogonType S4U -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -RunOnlyIfNetworkAvailable -StartWhenAvailable -WakeToRun
\# Create the scheduled task
$scheduledTask = New-ScheduledTask -Action $actions -Principal $principal -Trigger $trigger -Settings $settings
\# Get credentials to run the task
$creds = Get-Credential -UserName $user -Message "Enter credentials to run the task"
$password=\[Runtime.InteropServices.Marshal\]::PtrToStringAuto(\[Runtime.InteropServices.Marshal\]::SecureStringToBSTR($creds.Password))
\# Register the scheduled task
$taskName = 'EDMUpload\_' + $dataStoreName
Register-ScheduledTask -TaskName $taskName -InputObject $scheduledTask -User $user -Password $password

Partie 3 : utiliser la classification EDM avec vos services de cloud computing MicrosoftPart 3: Use EDM-based classification with your Microsoft cloud services

Ces emplacements prennent en charge les types d’informations sensibles EDM :These locations are support EDM sensitive information types:

  • DLP pour Exchange Online (e-mail)DLP for Exchange Online (email)
  • OneDrive Entreprise (fichiers)OneDrive for Business (files)
  • Microsoft Teams (conversations)Microsoft Teams (conversations)
  • DLP pour SharePoint (fichiers)DLP for SharePoint (files)
  • Stratégies DLP de la sécurité de l’application Microsoft CloudMicrosoft Cloud App Security DLP policies
  • Stratégies d’étiquetage automatique côté serveur : disponibles pour les clients du cloud commercial et les clients cloud du secteur publicServer-side auto-labeling policies - available for commercial cloud customers and government cloud customers

Pour créer une stratégie DLP avec EDMTo create a DLP policy with EDM

  1. Accédez au Centre de conformité et de sécurité à l’aide du lien approprié pour votre abonnement.Go to the Security & Compliance Center using the appropriate link for your subscription.

  2. Sélectionnez stratégie de Protection contre la perte de données > ****.Choose Data loss prevention > Policy.

  3. Sélectionnez Créer une stratégie > Personnaliser > Suivant.Choose Create a policy > Custom > Next.

  4. Sous l'onglet Nommez votre stratégie, spécifiez un nom et une description, puis sélectionnez suivant.On the Name your policy tab, specify a name and description, and then choose Next.

  5. Dans le volet Choisir des emplacements, cliquez sur Me laisser choisir des emplacements spécifiques, puis cliquez sur Suivant.On the Choose locations tab, select Let me choose specific locations, and then choose Next.

  6. Dans la colonne État, sélectionnez Courrier Exchange, Comptes OneDrive, Messages de conversation et de canal de Teams, puis Suivant.In the Status column, select Exchange email, OneDrive accounts, Teams chat and channel message, and then choose Next.

  7. Sous l'onglet paramètres de stratégie, sélectionnez utiliser les paramètres avancés, puis suivant.On the Policy settings tab, choose Use advanced settings, and then choose Next.

  8. Sélectionnez + Nouvelle règle.Choose + New rule.

  9. Dans la section Nom, spécifiez un nom et une description pour la règle.In the Name section, specify a name and description for the rule.

  10. Dans la section conditions, dans la liste + ajouter une condition, sélectionnez le contenu contient un type de contenu sensible.In the Conditions section, in the + Add a condition list, choose Content contains sensitive type.

    Le contenu contient des types d’informations sensibles

  11. Recherchez le type d’informations sensibles que vous avez créé lorsque vous avez configuré votre package de règles, puis sélectionnez + ajouter.Search for the sensitive information type you created when you set up your rule package, and then choose + Add.
    Sélectionnez Terminer.Then choose Done.

  12. Terminez de sélectionner les options de votre règle, telles que notifications d’utilisateur,remplacements d’utilisateur, rapports d’incident, puis sélectionnez Enregistrer.Finish selecting options for your rule, such as User notifications, User overrides, Incident reports, and so on, and then choose Save.

  13. Sous l'onglet paramètres de stratégie, passez en revue vos règles, puis sélectionnez suivant.On the Policy settings tab, review your rules, and then choose Next.

  14. Indiquez si vous voulez activer la stratégie immédiatement, tester celle-ci ou la maintenir désactivée.Specify whether to turn on the policy right away, test it out, or keep it turned off. Sélectionnez Suivant.Then choose Next.

  15. Sous l'onglet Vérifier vos paramètres, passez en revue votre stratégie.On the Review your settings tab, review your policy. Apportez les modifications nécessaires.Make any needed changes. Lorsque vous avez terminé, sélectionnez Créer.When you're ready, choose Create.

Notes

Comptez environ une heure avant que votre nouvelle stratégie DLP soit appliquée à l’ensemble de votre centre de données.Allow approximately one hour for your new DLP policy to work its way through your data center.