Chiffrement des étiquettes de confidentialité pour la conformité du gouvernement australien avec PSPF
Cet article fournit des conseils aux organisations gouvernementales australiennes sur l’utilisation du chiffrement des étiquettes de confidentialité. Son objectif est d’aider les organisations gouvernementales australiennes à renforcer leurs approches en matière de sécurité des données. Les recommandations de ce guide s’alignent étroitement sur les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Microsoft Purview offre la possibilité de chiffrer les éléments avec une étiquette de confidentialité appliquée via Azure Rights Management. Azure Rights Management est utilisé pour confirmer l’authentification et l’autorisation. Pour qu’un utilisateur accède à un élément chiffré, il doit s’authentifier auprès du service Microsoft 365 et se voir accorder l’autorisation d’accéder à l’élément. Azure Rights Management est utilisé pour appliquer des restrictions d’utilisation aux éléments. Ces restrictions empêchent les utilisateurs d’actions telles que la modification de contenu, l’enregistrement d’éléments, l’impression, la copie de contenu ou leur transfert à d’autres utilisateurs.
Exigences de chiffrement des étiquettes
Les organisations gouvernementales doivent utiliser le chiffrement des étiquettes conformément aux exigences d’accès et de transmission résumées dans exigences de chiffrement. Ces exigences indiquent que le chiffrement est requis pour la transmission d’informations OFFICIAL : Sensibles ou PROTÉGÉES sur des réseaux publics ou non protégés.
Conseil
Les organisations qui communiquent fréquemment avec des organisations et des entités externes au niveau OFFICIAL ou supérieur peuvent avoir besoin d’évaluer cette posture en fonction de leurs besoins métier. Pour plus d’informations, consultez Vue d’ensemble du chiffrement.
Activation du chiffrement basé sur les étiquettes sur OFFICIAL : Les éléments sensibles et PROTÉGÉS renforcent la capacité des organization gouvernementaux à répondre aux exigences de chiffrement pendant la transmission et garantissent que les éléments étiquetés sont chiffrés dans les cas suivants :
- Copié dans le stockage USB.
- Chargé vers des services cloud non-Microsoft, y compris les services de stockage cloud.
- Enregistré sur des appareils potentiellement dangereux (par exemple, des appareils sans chiffrement BitLocker).
- Envoyé par e-mail à des destinataires externes qui peuvent violer le besoin de savoir en distribuant davantage les informations.
Les organisations gouvernementales australiennes mettent généralement en œuvre des stratégies et des solutions supplémentaires pour s’attaquer à ces vecteurs de risque. Par exemple, l’utilisation de lecteurs USB chiffrés, de solutions CASB (Cloud Access Security Broker) et de plateformes de gestion des appareils. Le chiffrement basé sur les étiquettes n’est pas destiné à remplacer ces solutions. Toutefois, il est utilisé pour compléter ces solutions en fournissant une protection supplémentaire contre les mauvaises utilisations accidentelles et les initiés malveillants.
Considérations relatives au chiffrement des étiquettes
Pour plus d’informations sur les considérations standard et les impacts potentiels de l’activation du chiffrement des étiquettes de confidentialité, consultez Considérations relatives au contenu chiffré.
Il existe d’autres considérations plus spécifiques aux organisations gouvernementales australiennes. Il s’agit notamment des modifications apportées aux métadonnées de document et aux exigences relatives au partage d’informations.
Modifications de co-création chiffrées
Microsoft 365 prend en charge la co-création sur les documents chiffrés.
L’activation de la co-création chiffrée introduit des modifications dans la façon dont les métadonnées des étiquettes de confidentialité sont appliquées au document Office et l’utilisation de MSIP_labels propriétés du document. Après l’activation de la co-création chiffrée, les métadonnées sur les éléments chiffrés sont déplacées de l’emplacement de propriété de document traditionnel vers le xml interne d’un document. Pour plus d’informations, consultez Modifications des métadonnées pour les étiquettes de confidentialité.
Les organisations gouvernementales australiennes qui appliquent des règles sur les passerelles de messagerie qui case activée pour la classification des pièces jointes via des propriétés de document doivent connaître les modifications apportées aux métadonnées afin que leurs configurations soient alignées. Les administrateurs Microsoft Exchange doivent :
- Lisez et comprenez 2.6.3 LabelInfo par rapport aux propriétés du document personnalisé.
- Évaluez la protection contre la perte de données (DLP), la règle de flux de courrier ou la syntaxe de règle de transport de leur organisation sur les passerelles de messagerie non-Microsoft pour les problèmes potentiels.
Une règle de flux de courrier ou de transport qui vérifie les pièces jointes PROTÉGÉES via le GUID d’étiquette dans une propriété de document ne fonctionne pas correctement une fois que les métadonnées du document sont déplacées de la propriété de document vers l’emplacement LabelInfo.
Comme alternatives aux approches basées sur des propriétés de document :
-
ClassificationContentMarkingHeaderTextetClassificationContentMarkingFooterTextles propriétés de document sont utilisées. Ces propriétés apparaissent après l’activation de la co-création chiffrée et sont remplies avec le texte de marquage visuel appliqué aux documents Office. - Les méthodes de flux de messagerie sont transférées vers une approche DLP plus récente, où les étiquettes de confidentialité peuvent être interrogées en mode natif dans le cadre d’une stratégie DLP.
Accès des utilisateurs externes aux éléments chiffrés
Les organisations gouvernementales australiennes qui utilisent le chiffrement basé sur les étiquettes le font conformément à l’infrastructure de stratégie de sécurité de protection (PSPF).
| Conditions requises | Détails |
|---|---|
| Politique 9 du PSPF Condition 1 - Ententes formalisées pour le partage de l’information et des ressources | Lors de la divulgation d’informations ou de ressources classifiées en matière de sécurité à une personne ou à un organization à l’extérieur du gouvernement, les entités doivent disposer d’un accord ou d’un arrangement, tel qu’un contrat ou un contrat, régissant la façon dont les informations sont utilisées et protégées. |
Pour garantir que seuls les utilisateurs d’organisations externes autorisées peuvent accéder aux éléments chiffrés, les approches suivantes peuvent être utilisées :
- Listes de domaines externes approuvés sont ajoutés aux autorisations Azure Rights Management, à l’instar des approches DLP décrites dans la prévention de la distribution par e-mail d’informations classifiées à des organisations non autorisées.
- Groupes contenant des comptes invités sont utilisés pour accorder des autorisations uniquement à un ensemble autorisé d’utilisateurs provenant de domaines externes approuvés. Cette approche est similaire à la distribution par e-mail d’informations classifiées aux invités autorisés.
Conseil
L’alignement de l’approche de votre organization pour la protection contre la perte de données avec celle du chiffrement des étiquettes pour les informations classifiées simplifie l’administration. Le résultat est une approche robuste et cohérente de la gestion des informations classifiées, dans laquelle seuls les utilisateurs autorisés peuvent recevoir des informations classifiées et y avoir accès.
Activation du chiffrement des étiquettes
Pour plus d’informations sur les prérequis et les étapes requises pour activer le chiffrement des étiquettes de confidentialité, consultez Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.
Les configurations de chiffrement d’étiquette suivantes sont particulièrement pertinentes par rapport aux exigences du gouvernement australien et sont abordées en détail.
Attribuer des autorisations maintenant
Attribuer des autorisations maintenant fournit un contrôle cohérent de l’accès aux éléments étiquetés dans l’ensemble d’un environnement. Par le biais de cette configuration, lorsqu’une étiquette avec des paramètres de chiffrement est appliquée à un élément, le chiffrement du contenu est déclenché immédiatement.
Lorsque l’option Attribuer des autorisations maintenant est sélectionnée, les administrateurs doivent configurer les autorisations à appliquer aux éléments étiquetés. Les options disponibles sont les suivantes :
Tous les utilisateurs et groupes de votre organization : cette option ajoute l’autorisation pour tous les utilisateurs de l’environnement, à l’exception des comptes invités. Il s’agit d’un bon point d’introduction pour les organisations qui souhaitent restreindre l’accès aux éléments étiquetés aux utilisateurs internes uniquement.
Il s’agit d’une bonne option pour les organisations qui souhaitent chiffrer les informations « OFFICIAL : Sensible » et s’assurer qu’elles peuvent être ouvertes par l’ensemble des organization.
Tout utilisateur authentifié : cette option permet d’accéder à tout utilisateur authentifié auprès de Microsoft 365 via un compte tel qu’un compte Microsoft 365, un fournisseur de réseaux sociaux fédérés ou une adresse e-mail externe, qui est inscrite en tant que compte Microsoft (MSA). Cette option garantit que les éléments sont envoyés et stockés dans un format chiffré, mais est la plus ouverte en termes d’accès aux éléments. Cette option n’est pas adaptée en termes de nécessité de connaître et d’alignement PSPF dans le gouvernement australien.
Importante
Tout utilisateur authentifié n’est pas une bonne option pour les organisations gouvernementales australiennes pour l’application à des éléments classifiés de sécurité en raison de la nature ouverte des autorisations appliquées.
Ajouter des utilisateurs ou des groupes : cette option permet de spécifier des utilisateurs individuels (par exemple, des utilisateurs ou des invités d’organisation individuels). Il permet d’allouer des autorisations aux groupes.
Il existe plusieurs utilisations de cette option pour les organisations gouvernementales. Par exemple :
- Cette option est utilisée pour garantir le besoin d’en savoir en limitant l’accès au contenu étiqueté à un sous-ensemble d’utilisateurs internes qui répondent à une exigence. Par exemple, les utilisateurs autorisés disposant d’une autorisation de référence sont regroupés dans un groupe d’utilisateurs protégés , qui accorde des autorisations au contenu PROTÉGÉ. Les utilisateurs en dehors du groupe ne peuvent pas accéder aux éléments PROTÉGÉS.
- Pour les organisations disposant d’un contrôle de collaboration externe élevé (comme indiqué dans contrôle de collaboration externe élevé), un groupe dynamique contenant tous les comptes invités est créé. Ce groupe peut se voir accorder des autorisations sur les éléments chiffrés, ce qui permet aux éléments d’être distribués en externe avec un risque réduit d’accès par des entités extérieures au groupe. Une telle configuration doit également s’aligner sur les contrôles DLP abordés dans l’autorisation de la distribution par e-mail d’informations classifiées aux invités autorisés.
- Pour les organisations avec un contrôle de collaboration externe relativement faible (comme indiqué dans contrôle de collaboration externe faible), un groupe de sécurité est conservé contenant des invités autorisés à accéder au contenu chiffré.
- Pour les organisations souhaitant fournir un accès invité au contenu sans rendre le contenu d’une étiquette accessible à un domaine entier, un groupe dynamique est créé pour accorder l’accès aux invités à partir d’un organization, par exemple, « Invités départementaux ». Cette approche est abordée dans l’autorisation de la distribution par e-mail d’informations classifiées aux invités autorisés.
Ajouter des adresses e-mail ou des domaines spécifiques Cette option permet d’accorder des autorisations aux adresses e-mail individuelles des utilisateurs externes, qui peuvent ou non être des invités. Il peut également être utilisé pour accorder une autorisation à un domaine entier. Par exemple, Contoso.com. Les organisations qui ont des exigences complexes en matière de collaboration et de distribution d’informations ou qui ont besoin de distribuer des informations OFFICIELLES : Sensibles ou PROTÉGÉES à d’autres organisations gouvernementales peuvent envisager d’ajouter une liste des domaines de toutes les organisations auxquelles elles distribuent ces informations. Une telle liste doit s’aligner sur les domaines que votre organization a formalisés pour le partage de l’information et des ressources, comme défini dans la Politique 9 du PSPF Condition 1.
Plusieurs ensembles d’autorisations sont ajoutés à la configuration d’une étiquette pour obtenir le résultat souhaité. Par exemple, tous les utilisateurs et groupes peuvent être utilisés en combinaison avec un ensemble de groupes dynamiques contenant des invités d’autres organisations, ainsi qu’une liste de domaines de service autorisés avec ant vos organization collaborent régulièrement.
Attribuer des autorisations à des utilisateurs, des groupes ou des domaines
Pour chaque utilisateur, groupe d’utilisateurs ou domaine auquel l’accès est accordé, des autorisations spécifiques doivent également être sélectionnées. Ces autorisations sont regroupées dans des ensembles classiques tels que Co-Propriétaire, Co-auteur ou Réviseur. Des ensembles d’autorisations personnalisés peuvent également être définis.
Les autorisations de chiffrement étant granulaires, les organisations doivent effectuer leurs propres analyses métier et évaluations des risques pour déterminer l’approche la plus valide. Voici un exemple d’approche.
| Catégorie d’utilisateurs | Contains | Autorisations |
|---|---|---|
| Tous les utilisateurs et groupes | Tous les utilisateurs internes | Co-Owner (accorde toutes les autorisations) |
| Invités d’autres services ayant des exigences de collaboration | Groupes Microsoft 365 dynamique : - Invités du Département 1 - Invités du Département 2 - Invités du Département 3 |
Co-Author (restreint les autorisations de modification, d’exportation de contenu et de modification) |
| Invités effacés des organisations partenaires | Groupes de sécurité : - Invités du partenaire 1 - Invités du partenaire 2 - Invités du partenaire 3 |
Réviseur (restreint les autorisations d’impression, de copie et d’extraction, d’exportation de contenu et de modification) |
Laisser les utilisateurs décider
Une approche du chiffrement consiste à permettre aux utilisateurs de choisir les autorisations à appliquer lorsqu’ils sélectionnent une étiquette.
Le comportement des éléments étiquetés via cette méthode varie en fonction de l’application. Pour Outlook, les options disponibles sont les suivantes :
Ne pas transférer : Lorsque cette option est sélectionnée, les e-mails sont chiffrés. Le chiffrement applique des restrictions d’accès afin que les destinataires puissent répondre à l’e-mail, mais que les options de transfert, d’impression ou de copie des informations ne sont pas disponibles. Azure Rights Management autorisations sont appliquées à tous les documents Office non protégés joints à l’e-mail. Cette option garantit le besoin d’en savoir en empêchant les destinataires de l’e-mail de transférer des éléments à ceux qui n’étaient pas spécifiés dans l’e-mail d’origine.
Chiffrer uniquement : Cette option chiffre les éléments et accorde aux destinataires tous les droits d’utilisation, à l’exception de l’enregistrement sous, de l’exportation et du contrôle total. Il est utile pour répondre aux exigences de transmission chiffrée, mais n’applique aucune restriction d’accès (le résultat est que les contrôles de nécessité de connaître ne sont pas appliqués).
Ces options offrent une grande granularité. Toutefois, comme les autorisations sont appliquées au niveau de l’élément, ces options peuvent entraîner une configuration incohérente, car les options sélectionnées par différents utilisateurs varient.
En fournissant des options ne pas transférer ou chiffrer uniquement aux utilisateurs en tant que sous-étiquettes, un organization peut fournir aux utilisateurs une méthode de protection de la communication lorsque cela est jugé nécessaire. Par exemple :
- OFFICIEUX
- FONCTIONNAIRE
- OFFICIAL Sensible (catégorie)
- OFFICIAL Sensitive
- Destinataires sensibles OFFICIELs uniquement
Les étiquettes avec ces configurations appliquées doivent être publiées uniquement pour les utilisateurs qui ont besoin de ces fonctionnalités.
Microsoft Purview est capable de s’aligner sur PSPF avec l’exigence d’inclure des marqueurs de gestion des informations (IMMs) et des mises en garde, ainsi que l’ajout de sous-étiquettes pour répondre à des exigences organisationnelles spécifiques. Par exemple, un groupe d’utilisateurs qui sont tenus de communiquer des informations « OFFICIAL : Sensitive Personal Privacy » avec des utilisateurs externes peut avoir une étiquette « OFFICIAL : Sensitive Personal Privacy ENCRYPT-ONLY » publiée.
Expiration de l’accès au contenu
Les options d’expiration du contenu permettent d’accéder aux éléments chiffrés dont l’étiquette est appliquée pour être refusée à une date ou après une période donnée. Cette fonctionnalité est utilisée pour garantir que les éléments ne sont plus accessibles à partir d’un moment donné, quel que soit l’emplacement où ils résident ou les autorisations qui leur ont été appliquées.
Cette option est utile pour répondre aux exigences relatives à l’accès à l’information limité dans le temps, où les organisations gouvernementales doivent fournir un accès temporaire à l’information ou aux ressources. Ces situations sont couvertes par la politique 9 du PSPF :
| Conditions requises | Détails |
|---|---|
| Politique 9 du PSPF Condition 4 : Accès temporaire aux informations et aux ressources classifiées | Les entités peuvent fournir à une personne un accès temporaire à des informations ou des ressources classifiées en matière de sécurité sur la base d’une évaluation des risques pour chaque cas. Dans ce cas, les entités doivent : a. Limiter la durée d’accès aux informations ou aux ressources classifiées de sécurité : i. À la période pendant laquelle une demande d’autorisation de sécurité est traitée pour la personne en question, ou ii. Jusqu’à un maximum de trois mois sur une période de 12 mois b. Effectuer des vérifications d’emploi recommandées (voir la politique du PSPF : Éligibilité et adéquation du personnel) c. Superviser tous les accès temporaires d. Pour accéder à l’information TOP SECRET, assurez-vous que la personne dispose d’une autorisation de sécurité de vérification négative 1 existante, et e. Refuser l’accès temporaire aux informations classifiées mises en réserve (sauf dans des circonstances exceptionnelles, et uniquement avec l’approbation du propriétaire de la mise en garde). |
Cette approche garantit la nécessité d’une supervision de l’accès temporaire et de s’assurer que l’utilisateur temporaire n’a accès qu’à ce qui a été autorisé, et uniquement pendant le temps nécessaire.
Azure Rights Management chiffrement appliqué via l’étiquette et avec la configuration d’expiration de l’accès permet de partager des éléments sensibles avec des individus ou des organisations sans avoir à créer de comptes complets.
Par exemple, un organization du gouvernement dispose d’un ensemble de documents de conception qui doivent être mis à la disposition d’un organization fictive du gouvernement, nommé Contoso. Une étiquette nommée « OFFICIAL Sensitive – Contoso Temp Access » est créée et publiée avec des autorisations accordant l’accès à une liste approuvée d’adresses e-mail Contoso. Une copie des documents de conception a ensuite cette étiquette appliquée, qui démarre un minuteur d’accès de 30 jours. Les documents sont ensuite partagés avec Contoso qui peut accéder aux éléments sur ses propres systèmes jusqu’à ce que le minuteur expire et que l’accès soit révoqué, quel que soit l’emplacement des éléments.
Comme l’expiration du contenu est appliquée à une étiquette plutôt qu’aux autorisations, des étiquettes dédiées sont nécessaires pour y parvenir. Ce scénario, ainsi que d’autres scénarios d’expiration d’accès, sont de niche et ne sont pas applicables dans la plupart des organisations gouvernementales. Cet exemple s’appuie sur et étend la configuration de base du PSPF Protection des données Microsoft Purview en cours d’application, comme indiqué dans ce guide.
Accès hors ligne
Les options d’accès hors connexion permettent de configurer une période pendant laquelle les utilisateurs peuvent accéder aux éléments sans avoir à se réauthentifier ou à réauthoriser leurs autorisations Azure Rights Management. L’accès hors connexion est utile pour garantir, par exemple, que les fichiers hors connexion sont accessibles en cas de panne d’un réseau ou d’un service. Lorsque cette option est configurée, les éléments sont toujours chiffrés et leurs autorisations sont mises en cache sur les appareils clients.
Les organisations gouvernementales qui déploient le chiffrement optent généralement pour une période d’accès hors connexion de trois à sept jours pour s’assurer que les utilisateurs peuvent travailler hors connexion et comme mesure d’atténuation des sinistres.
Une évaluation des risques liés à l’accès mis en cache aux éléments par rapport à l’impact sur la facilité d’utilisation de l’absence d’accès lorsque les utilisateurs travaillent sans accès réseau par un organization du secteur public doit être effectuée lors de l’examen de cette approche.
Exemple de configuration du chiffrement d’étiquette
Remarque
Ces exemples sont destinés à illustrer la configuration du chiffrement des étiquettes avec des contrôles opérationnels proportionnels à la valeur des informations, qui s’aligne sur la stratégie PSPF 8 Condition 1. Les organisations gouvernementales doivent effectuer leur propre analyse métier, évaluation des risques et tests avant d’activer une telle configuration.
| Étiquette de confidentialité | Chiffrement | Autorisations |
|---|---|---|
| OFFICIEUX | - | - |
| FONCTIONNAIRE | - | - |
| OFFICIAL Sensible (catégorie) | - | - |
| OFFICIAL Sensitive | Attribuer une autorisation maintenant |
Tous les utilisateurs et groupes de votre organization : Co-Owner Ajoutez des adresses e-mail ou des domaines spécifiques : Liste des domaines externes approuvés pour l’accès - Co-auteur |
| PROTECTED (Catégorie) | - | - |
| PROTÉGÉ | Attribuer une autorisation maintenant |
Ajouter des utilisateurs ou des groupes : Groupe d’utilisateurs - protégésCopropriétaire Groupe d’invités - protégésCo-auteur |
Chiffrement des messages Microsoft Purview
Chiffrement de messages Microsoft Purview est une fonctionnalité de chiffrement Microsoft 365 basée sur Azure Rights Management. Comme avec le chiffrement Azure Rights Management basé sur les étiquettes, Chiffrement de messages Microsoft Purview confirme l’identité par le biais de l’authentification et l’autorisation via l’application de l’autorisation aux éléments.
Pour plus d’informations sur Chiffrement de messages Microsoft Purview, consultez fonctionnement du chiffrement des messages.
L’un des principaux avantages de Chiffrement de messages Microsoft Purview est l’emplacement où les boîtes aux lettres expéditeur et destinataire sont hébergées dans Exchange Online, avec des clients qui prennent en charge Chiffrement de messages Microsoft Purview (y compris Microsoft 365 Apps, les clients mobiles et web), le processus de chiffrement, y compris l’accès des destinataires aux e-mails reçus, est transparent. Le destinataire peut recevoir et afficher le message comme il le ferait n’importe quel e-mail non chiffré. Toutefois, si le destinataire n’utilise pas Exchange Online et/ou un client de messagerie compatible Chiffrement de messages Microsoft Purview, plutôt que de recevoir un e-mail complet, il reçoit un wrapper qui l’informe de la réception d’un e-mail protégé et les dirige vers un portail Microsoft où ils peuvent s’authentifier afin d’accéder aux informations de manière sécurisée. Ces messages wrapper sont entièrement personnalisables et peuvent donc être modifiés en fonction de votre organization.
L’authentification pour Chiffrement de messages Microsoft Purview est gérée différemment des Azure Rights Management basées sur les étiquettes, car les autorisations n’ont pas besoin d’être définies sur une étiquette. Cela permet une plus grande flexibilité quant aux personnes susceptibles de recevoir une correspondance chiffrée, ce qui peut être souhaitable pour certains cas d’usage.
Il existe trois catégories d’authentification pertinentes pour Chiffrement de messages Microsoft Purview destinataires de messages :
- Si les destinataires utilisent des identités Microsoft 365 via Exchange Online, leurs informations d’identification et/ou jetons existants utilisés pour leur session active peuvent être utilisés pour l’authentification et l’autorisation.
- Si les destinataires utilisent des identités externes prises en charge, telles que celles fournies par Gmail ou Yahoo, ils doivent s’authentifier via ces informations d’identification pour accéder à l’e-mail wrapper et se connecter au portail fourni par Microsoft 365 pour accéder au message.
- Si les destinataires utilisent une identité non prise en charge, ils recevront l’e-mail wrapper et pourront sélectionner le lien pour accéder au portail fourni par Microsoft 365, auquel cas ils seront invités à configurer leur adresse e-mail en tant que compte Microsoft (MSA). Ce compte Microsoft associe un mot de passe et d’autres informations à l’adresse e-mail de l’utilisateur, qui est utilisée pour l’authentification future.
Chiffrement de messages Microsoft Purview est également utilisé pour garantir la confidentialité et fournir aux destinataires l’assurance que leurs renseignements sont traités en toute sécurité. Par exemple, les équipes rh peuvent utiliser des Chiffrement de messages Microsoft Purview pour discuter d’un emploi potentiel avec un candidat. Chiffrement de messages Microsoft Purview est utile pour discuter de questions financières délicates avec un membre du public. Les universités et autres fournisseurs d’enseignement peuvent utiliser Chiffrement de messages Microsoft Purview lors de la correspondance avec les étudiants sur des questions académiques.
Voici les cas d’usage des Chiffrement de messages Microsoft Purview pertinents pour les organisations gouvernementales australiennes :
- Application de Chiffrement de messages Microsoft Purview à tous les e-mails avec une étiquette (par exemple, OFFICIAL Sensitive), envoyés à une liste d’organisations externes. Cette liste inclut d’autres organisations gouvernementales avec qui le organization a conclu des ententes officielles (conformément à la politique 9 du PSPF, Condition 1).
- Application de Chiffrement de messages Microsoft Purview aux e-mails contenant des informations sensibles (identifiées via SIT), qui sont envoyés à une liste d’autres organisations non gouvernementales où il existe une relation. Étant donné que ces organisations n’ont pas nécessairement besoin de se conformer aux exigences de sécurité du gouvernement australien, la status de cet environnement est inconnue.
Pour plus d’informations sur les fonctionnalités Chiffrement de messages Microsoft Purview et les utilisations potentielles, consultez Configurer Chiffrement de messages Microsoft Purview
La configuration pour appliquer Chiffrement de messages Microsoft Purview à la messagerie électronique peut être appliquée via des règles de flux de messagerie Exchange. Tous les messages correspondant à une étiquette de confidentialité déclenchent une règle, qui applique un modèle de Chiffrement de messages Microsoft Purview à l’e-mail. Ces règles nécessitent une méthode basée sur un GUID pour identifier les e-mails étiquetés.