Prise en main de la protection contre la perte de données de point de terminaisonGet started with Endpoint data loss prevention

Microsoft Points de terminaison Protection contre la perte de données (Endpoint DLP) fait partie de la suite de fonctionnalités Microsoft 365 de protection contre la perte de données (DLP) que vous pouvez utiliser pour découvrir et protéger les éléments sensibles dans les services Microsoft 365.Microsoft Endpoint data loss prevention (Endpoint DLP) is part of the Microsoft 365 data loss prevention (DLP) suite of features you can use to discover and protect sensitive items across Microsoft 365 services. Pour plus d’informations sur les offres DLP de Microsoft, voir Vue d’ensemble de la protection contre la perte de données.For more information about all of Microsoft’s DLP offerings, see Overview of data loss prevention. Pour en savoir plus sur la DLP du Point de terminaison , consultez Découvrir la protection contre la perte de donnéesTo learn more about Endpoint DLP, see Learn about Endpoint data loss prevention

Microsoft Endpoint DLP vous permet de surveiller les appareils Windows 10 et de détecter les situations d’utilisation et de partage des éléments sensibles.Microsoft Endpoint DLP allows you to monitor Windows 10 devices and detect when sensitive items are used and shared. Ainsi, vous bénéficiez de la visibilité et du contrôle dont vous avez besoin pour vous assurer qu’ils sont utilisés et protégés correctement, et pour éviter tout comportement risqué susceptible de les compromettre.This gives you the visibility and control you need to ensure that they are used and protected properly, and to help prevent risky behavior that might compromise them.

Avant de commencerBefore you begin

Licences SKU/abonnementsSKU/subscriptions licensing

Avant de commencer à utiliser point de terminaison DLP, vous devez confirmer votre abonnement Microsoft 365 et tous les modules complémentaires.Before you get started with Endpoint DLP, you should confirm your Microsoft 365 subscription and any add-ons. Pour accéder à la fonctionnalité de points de terminaison DLP et l’utiliser, vous devez disposer de l’un de ces abonnements ou modules complémentaires.To access and use Endpoint DLP functionality, you must have one of these subscriptions or add-ons.

  • Microsoft 365 E5Microsoft 365 E5
  • Microsoft 365 A5 (EDU)Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 ConformitéMicrosoft 365 E5 compliance
  • Microsoft 365 A5 ConformitéMicrosoft 365 A5 compliance
  • Microsoft 365 E5, Protection des informations et gouvernanceMicrosoft 365 E5 information protection and governance
  • Microsoft 365 A5, Protection des informations et gouvernanceMicrosoft 365 A5 information protection and governance

AutorisationsPermissions

Pour activer la gestion des appareils, le compte que vous utilisez doit être membre de l’un de ces rôles :To enable device management, the account you use must be a member of any one of these roles:

  • Administrateur globalGlobal admin
  • Administrateur de la sécuritéSecurity admin
  • Administrateur de mise en conformitéCompliance admin

Si vous voulez utiliser un compte personnalisé pour afficher les paramètres de gestion des appareils, celui-ci doit se trouver dans l’un de ces rôles :If you want to use a custom account to view the device management settings, it must be in one of these roles:

  • Administrateur globalGlobal admin
  • Administrateur de mise en conformitéCompliance admin
  • Administrateur des données de mise en conformitéCompliance data admin
  • Lecteur généralGlobal reader

Si vous voulez utiliser un compte personnalisé pour accéder à la page d’intégration/déclassement, celui-ci doit se trouver dans l’un de ces rôles :If you want to use a custom account to access the onboarding/offboarding page, it must be in one of these roles:

  • Administrateur globalGlobal admin
  • Administrateur de mise en conformitéCompliance admin

Si vous voulez utiliser un compte personnalisé pour activer/désactiver la surveillance de l’appareil, celui-ci doit se trouver dans l’un de ces rôles :If you want to use a custom account to turn on/off device monitoring, it must be in one of these roles:

  • Administrateur globalGlobal admin
  • Administrateur de mise en conformitéCompliance admin

Les données du point de terminaison DLP peuvent être affichées dans l’Explorateur d’activités.Data from Endpoint DLP can be viewed in Activity explorer. Il existe quatre rôles qui accordent l’autorisation à l’Explorateur d’activités, le compte que vous utilisez pour accéder aux données doit être membre de l’un d’eux.There are four roles that grant permission to activity explorer, the account you use for accessing the data must be a member of any one of them.

  • Administrateur globalGlobal admin
  • Administrateur de mise en conformitéCompliance admin
  • Administrateur de la sécuritéSecurity admin
  • Administrateur des données de mise en conformitéCompliance data admin
  • Lecteur généralGlobal reader
  • Lecteur SécuritéSecurity reader
  • Lecteur de rapportsReports reader

Préparer vos points de terminaisonPrepare your endpoints

Assurez-vous que les appareils Windows 10 pour lesquels vous envisagez de déployer le point de terminaison DLP répondent à ces exigences.Make sure that the Windows 10 devices that you plan on deploying Endpoint DLP to meet these requirements.

  1. Vous devez exécuter Windows 10 x64 Build 1809 ou version ultérieure.Must be running Windows 10 x64 build 1809 or later.

  2. La version du client anti-programme malveillant est 4.18.2009.7 ou ultérieure.Antimalware Client Version is 4.18.2009.7 or newer. Vérifiez votre version actuelle à l’aide de l’application Sécurité Windows, sélectionnez l’icône Paramètres, puis À propos de.Check your current version by opening Windows Security app, select the Settings icon, and then select About. Le numéro de version est répertorié sous version du client anti-programme malveillant.The version number is listed under Antimalware Client Version. Effectuez une mise à jour vers la dernière version du client anti-programme malveillant en installant Windows Update KB4052623.Update to the latest Antimalware Client Version by installing Windows Update KB4052623.

    Notes

    Aucune des composants de sécurité Windows ne doit être actif, vous pouvez exécuter la protection contre la perte de données de point de terminaison indépendamment de l’état de Sécurité Windows mais la protection en temps réel et le moniteur de comportement) doivent être activés.None of Windows Security components need to be active, you can run Endpoint DLP independent of Windows Security status, but the Real-time protection and Behavior monitor) must be enabled.

  3. Les mises à jour Windows suivantes sont installées.The following Windows Updates are installed.

    Notes

    Remarque : ces mises à jour ne sont pas des conditions préalables à l’intégration d’un appareil au DLP de point de terminaison , mais contiennent des correctifs pour les problèmes importants qui doivent donc être installés avant d’utiliser le produit.These updates are not a pre-requisite to onboard a device to Endpoint DLP, but contain fixes for important issues thus must be installed before using the product.

    • Pour Windows 10 version 1809 : KB4559003, KB4577069, KB4580390For Windows 10 1809 - KB4559003, KB4577069, KB4580390
    • Pour Windows 10 version 1903 ou 1909 : KB4559004, KB4577062, KB4580386For Windows 10 1903 or 1909 - KB4559004, KB4577062, KB4580386
    • Pour Windows 10 version 2004 : KB4568831, KB4577063For Windows 10 2004 - KB4568831, KB4577063
    • Pour les appareils exécutant Office 2016 (et non aucune autre version d’Office) : KB4577063For devices running Office 2016 (and not any other Office version) - KB4577063
  4. Tous les appareils doivent être joints à Azure Active Directory (Azure AD) ou jointure hybride Azure AD.All devices must be Azure Active Directory (Azure AD) joined, or Hybrid Azure AD joined.

  5. Installez le navigateur Microsoft Chromium Edge sur l’appareil de point de terminaison afin d’appliquer des actions de stratégie pour l’activité de téléchargement vers le Cloud.Install Microsoft Chromium Edge browser on the endpoint device to enforce policy actions for the upload to cloud activity. Télécharger le nouveau Microsoft Edge sur la base de chrome.See, Download the new Microsoft Edge based on Chromium.

  6. Si vous utilisez le Canal Entreprise mensuel de Microsoft 365 Apps versions 2004-2008, un problème connu concerne la protection contre la perte de données de point de terminaison qui classe le contenu Office. Vous devez effectuer une mise à jour vers la version 2009 ou une version ultérieure.If you are on Monthly Enterprise Channel of Microsoft 365 Apps versions 2004-2008, there is a known issue with Endpoint DLP classifying Office content and you need to update to version 2009 or later. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Historique des mises à jour de Microsoft 365 Apps (répertoriées par date).See Update history for Microsoft 365 Apps (listed by date) for current versions. Si vous souhaitez en savoir plus sur ce problème, veuillez consultez la section Suite Office, dans les Notes de publication pour les publications du Canal actuel dans 2020.To learn more about this issue, see the Office Suite section of Release notes for Current Channel releases in 2020.

  7. Si vous avez des terminaux qui utilisent un proxy de périphérique pour se connecter à l'internet, suivez les procédures de la section Configurer le proxy de périphérique et les paramètres de connexion à l'internet pour le DLP de terminal.If you have endpoints that use a device proxy to connect to the internet, follow the procedures in Configure device proxy and internet connection settings for Endpoint DLP.

Dispositifs d’intégration dans la gestion des appareilsOnboarding devices into device management

Vous devez activer la surveillance des appareils et intégrer vos points de terminaison avant de pouvoir surveiller et protéger les éléments sensibles sur un appareil.You must enable device monitoring and onboard your endpoints before you can monitor and protect sensitive items on a device. Ces deux actions sont effectuées dans le portail de conformité Microsoft 365.Both of these actions are done in the Microsoft 365 Compliance portal.

Lorsque vous voulez intégrer des appareils qui n’ont pas encore été intégrés, vous devez télécharger et déployer les scripts appropriés sur ces appareils.When you want to onboard devices that haven't been onboarded yet, you'll download the appropriate script and deploy it to those devices. Suivez la procédure d’intégration d’appareils.Follow the Onboarding devices procedure.

Si vous disposez déjà d’appareils incorporés dans Microsoft Defender pour point de terminaison, ceux-ci apparaissent déjà dans la liste des périphériques gérés.If you already have devices onboarded into Microsoft Defender for Endpoint, they will already appear in the managed devices list. Suivez la procédure Appareils intégrés à Microsoft Defender pour point de terminaison.Follow the With devices onboarded into Microsoft Defender for Endpoint procedure.

Intégration des appareilsOnboarding devices

Dans ce scénario de déploiement, vous allez intégrer des appareils qui n’ont pas encore été intégrés, et vous voulez simplement contrôler et protéger les éléments sensibles contre le partage involontaire sur les appareils Windows 10.In this deployment scenario, you'll onboard devices that have not been onboarded yet, and you just want to monitor and protect sensitive items from unintentional sharing on Windows 10 devices.

  1. Ouvrez le Centre de conformité Microsoft.Open the Microsoft compliance center.

  2. Ouvrez la page Paramètres du centre de conformité et sélectionnez Appareils intégrés.Open the Compliance Center settings page and choose Onboard devices.

    activer la gestion des appareilsenable device management

    Notes

    Bien que l’activation de l’intégration des appareils dure généralement environ 60 secondes, patientez jusqu’à 30 minutes avant de contacter le support Microsoft.While it usually takes about 60 seconds for device onboarding to be enabled, please allow up to 30 minutes before engaging with Microsoft support.

  3. Sélectionnez Gestion des appareils pour ouvrir la liste des Appareils.Choose Device management to open the Devices list. La liste est vide tant que vous n’avez pas intégré de périphériques.The list will be empty until you onboard devices.

  4. Sélectionnez Intégration pour lancer le processus d’intégration.Choose Onboarding to begin the onboarding process.

  5. Choisissez la manière dont vous voulez déployer ces autres appareils à partir de la liste Méthode de déploiement, puis Télécharger le package.Choose the way you want to deploy to these additional devices from the Deployment method list and then download package.

    méthode de déploiementdeployment method

  6. Suivez les procédures appropriées dans Outils et méthodes d’intégration pour les ordinateurs Windows 10.Follow the appropriate procedures in Onboarding tools and methods for Windows 10 machines. Ce lien vous dirige vers une page d’accueil dans laquelle vous pouvez accéder aux procédures Microsoft Defender pour point de terminaison qui correspondent au package de déploiement que vous avez sélectionné à l’étape 5 :This link takes you to a landing page where you can access Microsoft Defender for Endpoint procedures that match the deployment package you selected in step 5:

    • Intégrer les ordinateurs Windows 10 utilisant une stratégie de groupeOnboard Windows 10 machines using Group Policy
    • Intégrer les ordinateurs Windows à l’aide du gestionnaire de configuration de point de terminaison MicrosoftOnboard Windows machines using Microsoft Endpoint Configuration Manager
    • Intégrer les ordinateurs Windows 10 à l’aide des outils de gestion des appareils mobilesOnboard Windows 10 machines using Mobile Device Management tools
    • Intégrer les ordinateurs Windows 10 utilisant un script localOnboard Windows 10 machines using a local script
    • Intégrer les ordinateurs virtuels d’infrastructure de bureau virtuel (VDI) non persistants.Onboard non-persistent virtual desktop infrastructure (VDI) machines.

Une fois l’opération effectuée et le point de terminaison intégré, celui-ci doit être visible dans la liste des appareils et commencer à créer des rapports d’activité d’audit dans l’Explorateur d’activités.Once done and endpoint is onboarded, it should be visible in the devices list and also start reporting audit activity logs to Activity explorer.

Notes

Cette expérience est sous l’application de la licence.This experience is under license enforcement. Sans la licence requise, les données ne sont pas visibles ni accessibles.Without the required license, data will not be visible or accessible.

Appareils intégrés à Microsoft Defender pour point de terminaisonWith devices onboarded into Microsoft Defender for Endpoint

Dans ce scénario, Microsoft Defender pour point de terminaison est déjà déployé et des points de terminaison y sont signalés.In this scenario, Microsoft Defender for Endpoint is already deployed and there are endpoints reporting in. Tous ces points de terminaison s’affichent dans la liste des appareils gérés.All these endpoints will appear in the managed devices list. Vous pouvez continuer à intégrer de nouveaux appareils dans le point de terminaison DLP pour étendre la couverture à l’aide de la procédure d’intégration d’appareils.You can continue to onboard new devices into Endpoint DLP to expand coverage by using the Onboarding devices procedure.

  1. Ouvrez le Centre de conformité Microsoft.Open the Microsoft compliance center.

  2. Ouvrez la page Paramètres du centre de conformité et sélectionnez Activer la surveillance d’appareils.Open the Compliance Center settings page and choose Enable device monitoring.

  3. Sélectionnez Gestion des appareils pour ouvrir la liste des Appareils.Choose Device management to open the Devices list. Vous devriez voir apparaître la liste des appareils qui signalent déjà à Microsoft Defender pour point de terminaison.You should see the list of devices that are already reporting in to Microsoft Defender for Endpoint.

    Gestion des appareilsdevice management

  4. Sélectionnez Intégration si vous avez besoin d’intégrer d’autres appareils.Choose Onboarding if you need to onboard additional devices.

  5. Choisissez la manière dont vous voulez déployer ces autres appareils à partir de la liste Méthode de déploiement, puis Télécharger le package.Choose the way you want to deploy to these additional devices from the Deployment method list and then Download package.

  6. Suivez les procédures appropriées dans Outils et méthodes d’intégration pour les ordinateurs Windows 10.Follow the appropriate procedures in Onboarding tools and methods for Windows 10 machines. Ce lien vous dirige vers une page d’accueil dans laquelle vous pouvez accéder aux procédures Microsoft Defender pour point de terminaison qui correspondent au package de déploiement que vous avez sélectionné à l’étape 5 :This link takes you to a landing page where you can access Microsoft Defender for Endpoint procedures that match the deployment package you selected in step 5:

    • Intégrer les ordinateurs Windows 10 utilisant une stratégie de groupeOnboard Windows 10 machines using Group Policy
    • Intégrer les ordinateurs Windows à l’aide du gestionnaire de configuration de point de terminaison MicrosoftOnboard Windows machines using Microsoft Endpoint Configuration Manager
    • Intégrer les ordinateurs Windows 10 à l’aide des outils de gestion des appareils mobilesOnboard Windows 10 machines using Mobile Device Management tools
    • Intégrer les ordinateurs Windows 10 utilisant un script localOnboard Windows 10 machines using a local script
    • Intégrer les ordinateurs virtuels d’infrastructure de bureau virtuel (VDI) non persistants.Onboard non-persistent virtual desktop infrastructure (VDI) machines.

Une fois l’opération effectuée et le point de terminaison intégré, celui-ci doit être visible dans le tableau des Appareils et commencer à créer des rapports d’activité d’audit dans l’Explorateur d’activités.Once done and endpoint is onboarded, it should be visible under the Devices table and also start reporting audit logs to the Activity Explorer.

Notes

Cette expérience est sous l’application de la licence.This experience is under license enforcement. Sans la licence requise, les données ne sont pas visibles ni accessibles.Without the required license, data will not be visible or accessible.

Affichage des alertes DLP de point de terminaison dans le tableau de bord de Gestion des alertes DLPViewing Endpoint DLP alerts in DLP Alerts Management dashboard

  1. Ouvrez la page de protection contre la perte de données dans le Centre de conformité Microsoft 365, puis sélectionnez Alertes.Open the Data loss prevention page in the Microsoft 365 Compliance center and choose Alerts.

  2. Reportez-vous aux procédures décrites dans Comment configurer et afficher les alertes pour les stratégies DLP pour afficher les alertes relatives à vos stratégies DLP de point de terminaison.Refer to the procedures in How to configure and view alerts for your DLP policies to view alerts for your Endpoint DLP policies.

Affichage de données DLP de point de terminaison dans l’Explorateur d’activitésViewing Endpoint DLP data in activity explorer

  1. Ouvrez la Page classification des données pour votre domaine dans le centre de conformité Microsoft 365, puis sélectionnez Explorateur d’activités.Open the Data classification page for your domain in the Microsoft 365 Compliance center and choose Activity explorer.

  2. Reportez-vous aux procédures décrites dans Prise en main de l’Explorateur d’activités pour accéder aux données de vos appareils de point de terminaison et les filtrer.Refer to the procedures in Get started with Activity explorer to access and filter all the data for your Endpoint devices.

    filtre de l’Explorateur d’activités pour les appareils de point de terminaisonactivity explorer filter for endpoint devices

Étapes suivantesNext steps

Maintenant que vous disposez d’appareils intégrés et que vous pouvez afficher les données d’activité dans l’Explorateur d’activités, vous êtes prêt à passer à l’étape suivante dans laquelle vous créez des stratégies DLP qui protègent vos éléments sensibles.Now that you have onboarded devices and can view the activity data in Activity explorer, you are ready to move on to your next step where you create DLP policies that protect your sensitive items.

Voir aussiSee also