Configurer des équipes avec la protection des données hautement sensibles

Icône d’informationsCertaines fonctionnalités de cet article nécessitent des Microsoft Syntex - Gestion avancée de SharePoint

Dans cet article, nous étudions la configuration d’une équipe pour un niveau de protection hautement sensible. Assurez-vous d’avoir effectué les étapes décrites dans Déployer des équipes avec une protection de base de référence avant de suivre les étapes décrites dans cet article.

Pour ce niveau de protection, nous créons une étiquette de confidentialité qui peut être utilisée dans votre organisation pour des équipes et des fichiers hautement sensibles.

Le niveau hautement sensible offre les protections supplémentaires suivantes sur le niveau de référence :

  • Une étiquette de confidentialité pour l’équipe qui vous permet d’activer ou de désactiver le partage invité et applique une stratégie d’accès conditionnel pour l’accès au site SharePoint.
  • L’étiquette est également utilisée comme étiquette par défaut pour les fichiers et chiffre les fichiers auxquels elle est appliquée. Seuls les membres de votre organisation et les invités que vous spécifiez peuvent déchiffrer les fichiers utilisant cette étiquette.
  • Seuls les propriétaires d’équipe peuvent créer des canaux privés.
  • L’accès au site est limité aux membres de l’équipe.

Démonstration vidéo

Regardez cette vidéo pour une explication pas à pas des procédures décrites dans cet article.

Partage d’invités

Selon la nature de votre entreprise, il est possible que vous souhaitiez ou non activer le partage d’invités pour les équipes qui contiennent des données hautement sensibles. Si vous envisagez de collaborer avec des personnes extérieures à votre organisation, nous vous recommandons d’activer le partage d’invités. Microsoft 365 inclut de nombreuses fonctionnalités de sécurité et conformité qui vous permettent de partager du contenu sensible de façon sécurisée. Il s’agit généralement d’une option plus sécurisée que la messagerie électronique de contenu directement pour les personnes extérieures à votre organisation.

Pour plus d’informations sur le partage sécurisé avec des invités, consultez les ressources suivantes :

Pour autoriser ou bloquer le partage d’invités, nous utilisons des contrôles disponibles dans les étiquettes de confidentialité.

Contexte d’authentification

Nous utilisons un contexte d’authentification Microsoft Entra pour appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent à des sites SharePoint.

Tout d’abord, ajoutez un contexte d’authentification dans Microsoft Entra’ID.

Pour ajouter un contexte d’authentification

  1. Dans Microsoft Entra accès conditionnel, sous Gérer, sélectionnez Contextes d’authentification.

  2. Sélectionnez Nouveau contexte d’authentification.

  3. Tapez un nom et une description, puis sélectionnez la zone Publier dans les applications case activée.

    Capture d’écran de l’ajout de l’interface utilisateur du contexte d’authentification.

  4. Sélectionnez Enregistrer.

Ensuite, créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui exige que les invités utilisent l’authentification multifacteur lors de l’accès à SharePoint.

Pour créer une stratégie d’accès conditionnel, procédez comme suit :

  1. Dans Microsoft Entra accès conditionnel, sélectionnez Créer une stratégie.

  2. Tapez un nom pour la stratégie.

  3. Sous l’onglet Utilisateurs, choisissez l’option Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.

  4. Choisissez utilisateurs invités B2B Collaboration dans la liste déroulante.

  5. Sous l’onglet Ressources cibles, sous Sélectionner ce à quoi cette stratégie s’applique, choisissez Contexte d’authentification, puis sélectionnez la zone case activée pour le contexte d’authentification que vous avez créé.

    Capture d’écran des options de contexte d’authentification dans les paramètres des applications cloud ou des actions pour une stratégie d’accès conditionnel.

  6. Sous l’onglet Accorder , sélectionnez Exiger l’authentification multifacteur, puis sélectionnez Sélectionner.

  7. Choisissez si vous souhaitez activer la stratégie, puis sélectionnez Créer.

Nous allons pointer vers le contexte d’authentification dans l’étiquette de confidentialité.

Étiquettes de confidentialité

Pour le niveau de protection hautement sensible, nous utilisons une étiquette de confidentialité pour classifier l’équipe. Nous utilisons également cette étiquette pour classifier et chiffrer des fichiers individuels dans l’équipe. (Il peut également être utilisé sur des fichiers situés à d’autres emplacements de fichiers tels que SharePoint ou OneDrive.)

Pour commencer, vous devez activer les étiquettes de confidentialité pour Teams. Pour plus d’informations, voir Utiliser des étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, Groupes Microsoft 365 et les sites SharePoint.

Si vous avez déjà déployé des étiquettes de confidentialité au sein de votre organisation, réfléchissez à la façon dont cette étiquette correspond à votre stratégie d’étiquette globale. Vous pouvez modifier le nom ou les paramètres si nécessaire pour répondre aux besoins de votre organisation.

Une fois que vous avez activé les étiquettes de confidentialité pour Teams, l’étape suivante consiste à créer l’étiquette.

Pour créer une étiquette de confidentialité

  1. Ouvrez le Portail de conformité Microsoft Purview.
  2. Sous Solutions, développez Protection des informations.
  3. Sélectionnez Créer une étiquette.
  4. Donnez un nom à l’étiquette. Nous vous suggérons le terme Hautement sensible, mais vous pouvez choisir un autre nom si celui-ci est déjà utilisé.
  5. Ajoutez un nom complet et une description, puis sélectionnez Suivant.
  6. Dans la page Définir l’étendue de cette étiquette, sélectionnez Éléments, Fichiers, E-mails et Groupes & sites. Décochez la case Réunions case activée.
  7. Sélectionnez Suivant.
  8. Dans la page Choisir les paramètres de protection pour les fichiers et les e-mails , sélectionnez Appliquer ou supprimer le chiffrement, puis sélectionnez Suivant.
  9. Sur la page Chiffrement, sélectionnez Configurer les paramètres de chiffrement.
  10. Sous Attribuer des autorisations à des utilisateurs et des groupes spécifiques, sélectionnez Attribuer des autorisations.
  11. Sélectionnez Ajouter tous les utilisateurs et groupes dans votre organization.
  12. Si des invités doivent disposer des autorisations nécessaires pour déchiffrer des fichiers, sélectionnez Ajouter des utilisateurs ou des groupes et ajoutez-les.
  13. Sélectionnez Enregistrer, puis Suivant.
  14. Dans la page Étiquetage automatique des fichiers et des e-mails , sélectionnez Suivant.
  15. Dans la page Définir les paramètres de protection pour les groupes et les sites , sélectionnez Confidentialité et accès utilisateur externe et Partage externe et Accès conditionnel , puis sélectionnez Suivant.
  16. Dans la page Définir les paramètres de confidentialité et d’accès des utilisateurs externes, sous Confidentialité, sélectionnez l’option Privé .
  17. Si vous souhaitez autoriser l’accès invité, sous Accès des utilisateurs externes, sélectionnez Autoriser les propriétaires de groupe Microsoft 365 à ajouter des personnes externes à votre organisation au groupe comme invités.
  18. Sélectionnez Suivant.
  19. Dans la page Définir les paramètres de partage externe et d’accès conditionnel , sélectionnez Contrôler le partage externe à partir de sites SharePoint étiquetés.
  20. Sous Le contenu peut être partagé avec, sélectionnez Invités nouveaux et existants si vous autorisez l’accès invité ou Uniquement les membres de votre organisation si ce n’est pas le cas.
  21. Sélectionnez Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés.
  22. Sélectionnez l’option Choisir un contexte d’authentification existant , puis sélectionnez le contexte d’authentification que vous avez créé dans la liste déroulante.
  23. Sélectionnez Suivant.
  24. Dans la page Étiquetage automatique pour les ressources de données schématisées , sélectionnez Suivant.
  25. Sélectionnez Créer une étiquette, puis Terminé.

Une fois que vous avez créé l’étiquette, vous devez la publier aux utilisateurs qui l’utiliseront. Pour la protection sensible, nous mettons l’étiquette à la disposition de tous les utilisateurs. Vous publiez l’étiquette dans le portail de conformité Microsoft Purview, sur la page Stratégies d’étiquette sous Protection des informations. Si vous avez une stratégie existante qui s’applique à tous les utilisateurs, ajoutez cette étiquette à cette stratégie. Si vous avez besoin de créer une stratégie, consultez Publier des étiquettes de confidentialité en créant une stratégie d’étiquette.

Paramètres de Teams

Une configuration supplémentaire du scénario hautement sensible est effectuée dans l’équipe elle-même et dans le site SharePoint associé à l’équipe. L’étape suivante consiste donc à créer une équipe.

Nous allons créer l’équipe dans le Centre d’administration Teams.

Pour créer une équipe pour les informations hautement sensibles

  1. Dans le Centre d’administration Teams, développez Teams et sélectionnez Gérer les équipes.
  2. Sélectionnez Ajouter.
  3. Tapez un nom et une description pour l’équipe.
  4. Ajoutez un ou plusieurs propriétaires pour l’équipe. (Conservez-vous en tant que propriétaire afin de pouvoir choisir une étiquette de confidentialité par défaut pour les fichiers ci-dessous.)
  5. Choisissez l’étiquette de confidentialité que vous avez créée pour les informations hautement sensibles dans la liste déroulante Sensibilité .
  6. Sélectionnez Appliquer.

Paramètres du canal privé

À ce niveau, nous limitons la création de canaux privés aux propriétaires d'équipe.

Pour restreindre la création d’un canal privé

  1. Dans le Centre d’administration Teams, sélectionnez l’équipe que vous avez créée, puis sélectionnez Modifier.
  2. Développez Autorisations de message.
  3. Définissez Ajouter et modifier des canaux privés sur Désactivé.
  4. Sélectionnez Appliquer.

Paramètres de canal partagé

Les canaux partagés n’ont pas de paramètres au niveau de l’équipe. Les paramètres de canal partagé que vous configurez dans le Centre d’administration Teams et le Centre d’administration Microsoft Entra s’appliquent aux utilisateurs individuels.

Paramètres de SharePoint

Chaque fois que vous créez une équipe avec une étiquette de haute confidentialité, vous devez procéder de deux étapes dans SharePoint :

  • Restreindre l’accès au site aux membres de l’équipe uniquement
  • Choisissez une étiquette de confidentialité par défaut pour la bibliothèque de documents connectée à l’équipe.

L’étiquette de confidentialité par défaut doit être configurée dans le site lui-même et ne peut pas être configurée à partir du Centre d’administration SharePoint ou via PowerShell.

Restreindre l’accès au site aux membres de l’équipe

Chaque fois que vous créez une équipe avec l’étiquette hautement sensible, vous devez activer la restriction d’accès au site sur le site SharePoint associé. Cela empêche les personnes extérieures à l’équipe d’accéder au site ou à son contenu. (Cela nécessite une licence Microsoft Syntex - Gestion avancée SharePoint.)

Si vous n’avez pas utilisé la restriction d’accès au site auparavant, vous devez l’activer pour votre organization.

  1. Dans le Centre d’administration SharePoint, développez Stratégies et cliquez sur Contrôle d’accès.
  2. Sélectionnez Restriction d’accès au site.
  3. Sélectionnez Autoriser la restriction d’accès , puis Enregistrer

Cela peut prendre jusqu’à une heure pour que cela prenne effet.

Pour activer la restriction d’accès au site pour le site

  1. Dans le Centre d’administration SharePoint, développez Sites et sélectionnez Sites actifs.
  2. Sélectionnez le site que vous souhaitez gérer.
  3. Sous l’onglet Paramètres , sélectionnez Modifier dans la section Accès restreint au site .
  4. Sélectionnez la zone Restreindre l’accès à ce site , puis sélectionnez Enregistrer.

Choisir une étiquette de confidentialité par défaut pour les fichiers

Nous allons utiliser l’étiquette de confidentialité que nous avons créée comme étiquette de confidentialité par défaut pour la bibliothèque de documents de site connectée à Teams. Cela applique automatiquement l’étiquette hautement sensible à tous les nouveaux fichiers compatibles avec les étiquettes qui sont chargés dans la bibliothèque, en les chiffrant. (Cela nécessite une licence Microsoft Syntex - Gestion avancée SharePoint.)

Vous devez être un propriétaire d’équipe pour effectuer cette tâche.

Pour définir une étiquette de confidentialité par défaut pour une bibliothèque de documents

  1. Dans Teams, accédez au canal Général de l’équipe que vous souhaitez mettre à jour.

  2. Dans la barre d’outils de l’équipe, sélectionnez Fichiers.

  3. Sélectionnez Ouvrir dans SharePoint.

  4. Dans le site SharePoint, ouvrez Paramètres , puis choisissez Paramètres de la bibliothèque.

  5. Dans le volet volant Paramètres de la bibliothèque , sélectionnez Étiquettes de confidentialité par défaut, puis sélectionnez l’étiquette hautement sensible dans la zone de liste déroulante.

Pour plus d’informations sur le fonctionnement des étiquettes de bibliothèque par défaut, voir Configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint et Ajouter une étiquette de confidentialité à la bibliothèque de documents SharePoint.

Voir aussi

Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies