Hacher et charger la table de source d’informations sensibles pour les données exactes correspondant aux types d’informations sensibles
Cet article explique comment hacher et charger votre table source d’informations sensibles.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
S’applique à
- Créer une nouvelle expérience de type d’informations sensibles correspondant exactement aux données
- Créer une expérience classique de type d’informations sensibles correspondant exactement aux données
Hachage et chargement de la table source d’informations sensibles
Au cours de cette phase, vous :
- Configurez un groupe de sécurité et un compte d’utilisateur personnalisés.
- Configurez l’outil Exact Data Match (EDM) Upload Agent.
- Utilisez l’outil EDM Upload Agent pour hacher, avec une valeur salt, la table source d’informations sensibles et la charger.
Vous pouvez hacher et charger vos données sensibles à l’aide de la méthode à deux ordinateurs ou de la méthode Ordinateur unique , comme décrit dans Hachage et chargement de vos données. La meilleure pratique consiste à utiliser deux ordinateurs pour séparer les processus de hachage et de chargement de vos données sensibles. La séparation des étapes sur deux ordinateurs permet de s’assurer que vos données réelles ne sont jamais disponibles sous forme de texte clair sur un ordinateur susceptible d’être compromis en raison de sa connexion à Internet. Cela permet également d’isoler les problèmes que vous rencontrez plus facilement.
Configuration requise
Exigences technologiques
- Un compte professionnel ou scolaire pour Microsoft 365. Ce compte doit être ajouté au groupe de sécurité EDM_DataUploaders .
- Un ordinateur avec l’un des systèmes d’exploitation suivants. Cet ordinateur exécute l’agent de chargement EDM.
- Windows 11
- Windows 10
- Windows Server 2016 avec .NET version 4.6.2
- Windows Server 2019
- Windows Server 2022
- Répertoire sur l’ordinateur que vous utilisez pour charger vos données. Ce répertoire contient :
- Agent de chargement EDM.
- Votre fichier de données d’informations sensibles au format .csv, .tsv ou canal (|). Par défaut, l’agent de chargement EDM s’attend à ce que votre fichier de données soit au format .csv.
> [! CONSEIL]
Vous pouvez utiliser un fichier avec des données séparées par des onglets ou des canaux (au lieu de virgules), en indiquant les options « (Tab) » ou « (|) » avec le
/ColumnSeparated
paramètre . Par exemple :EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5
- La sortie contient et les fichiers salt qui sont créés à la fin de la procédure de hachage.
- Nom du magasin de données du fichier edm.xml . Notre exemple utilise
PatientRecords
.
Exigences relatives au groupe de sécurité et au compte d’utilisateur
En tant qu’administrateur général, accédez au Centre d’administration à l’aide du lien approprié pour votre abonnement et créez un groupe de sécurité appelé EDM_DataUploaders.
Ajoutez un ou plusieurs utilisateurs au groupe de sécurité EDM_DataUploaders . (Ces utilisateurs sont ceux qui gèrent la base de données d’informations sensibles.)
Schéma de correspondance exacte des données
Si vous avez utilisé le schéma EDM et l’outil de type d’informations sensibles pour la nouvelle expérience ou le package de règles/types d’informations sensibles EDM pour l’expérience classique, vous devez télécharger ce schéma pour hacher votre table de source d’informations sensibles. Pour plus d’informations, consultez Exportation du fichier de schéma EDM au format XML.
Pour télécharger ce schéma EDM, ouvrez une fenêtre d’invite de commandes et exécutez la commande suivante :
EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>
Exigences de mise en forme des données
Avant de hacher et de charger vos données sensibles, exécutez une recherche pour tous les caractères spéciaux dans la table qui peuvent entraîner des problèmes lors de l’analyse du contenu.
Vous pouvez vérifier que la table est dans un format approprié en utilisant l’agent de chargement EDM avec la syntaxe suivante :
EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]
Problèmes courants de mise en forme
- Nombre de colonnes incompatible : Ce problème peut être dû à la présence de virgules ou de guillemets dans les valeurs de la table qu’EDM interprète comme délimiteurs de colonnes. Sauf s’ils entourent une valeur entière, les guillemets simples et doubles peuvent entraîner une mauvaise identification du début et de la fin des colonnes individuelles par l’outil.
- Guillemets simples ou virgules à l’intérieur d’une valeur : Par exemple, si le nom d’une personne inclut une citation unique telle que Tom O’Neil ou que le nom d’une ville commence par une apostrophe telle que 's-Gravenhage, vous devez modifier le processus d’exportation de données utilisé pour générer la table d’informations sensibles et entourer ces colonnes de guillemets doubles.
- Guillemets doubles à l’intérieur des valeurs : La meilleure pratique consiste à utiliser le format délimité par des tabulations pour le tableau. Les tables délimitées par des tabulations sont moins sensibles à ces problèmes.
Hachage et chargement de vos données
Votre table source d’informations sensibles est mise en forme en texte clair. En utilisant un ordinateur pour l’étape de hachage et un autre ordinateur pour l’étape de chargement, vous protégez vos données contre l’exposition en texte clair sur un ordinateur disposant d’une connexion directe à votre locataire Microsoft 365.
Importante
Cette approche nécessite que la même version de l’agent de chargement EDM soit installée sur les deux ordinateurs. Vous pouvez ensuite copier le fichier de hachage et le fichier salt de l’ordinateur sécurisé vers un ordinateur qui peut se connecter directement à votre client Microsoft 365.
Sur l’ordinateur dans l’environnement sécurisé, exécutez la commande suivante dans une fenêtre d’invite de commandes :
EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /AllowedBadLinesPercentage [value]
Par exemple:EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml /AllowedBadLinesPercentage 5
Cela génère un fichier haché et un fichier salt avec ces extensions si vous n’avez pas spécifié l’option /
Salt <saltvalue>
:- EdmHash
- EdmSalt
Copiez en toute sécurité ces fichiers sur l’ordinateur que vous utilisez pour charger votre table source d’informations sensibles (par exemple, PatientRecords.csv) sur votre locataire.
Autorisez l’agent de chargement EDM :
- En tant qu’administrateur, ouvrez une fenêtre d’invite de commandes.
- Basculez vers le répertoire où l’agent de chargement EDM est installé. (Le répertoire recommandé est C :\EDM\Data.)
- Exécutez la commande suivante :
EDM Upload Agent.exe /Authorize
Importante
Vous devez exécuter l’agent de chargement EDM à partir du dossier où il est installé et vous devez sindiquer le chemin d’accès complet à vos fichiers de données.
Connectez-vous avec votre compte Microsoft 365 professionnel ou scolaire. (Compte ajouté au groupe de sécurité EDM_DataUploaders ). Vos informations de client sont extraites du compte d’utilisateur pour établir la connexion.
Pour charger les données hachées, exécutez la commande suivante dans une fenêtre d’invite de commandes :
EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\ /ColumnSeparator ["{Tab}"|"|"]
Par exemple :
EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\\Edm\\Hash\\**PatientRecords.EdmHash**
Pour vérifier que le chargement de vos données sensibles a réussi, exécutez la commande suivante dans une fenêtre d’invite de commandes :
EdmUploadAgent.exe /GetDataStore
Si le chargement a réussi, la liste des magasins de données et leur date de dernière mise à jour s’affiche.
Pour afficher tous les chargements de données dans un magasin particulier et lorsqu’ils ont été mis à jour, exécutez la commande suivante dans une fenêtre d’invite de commandes :
EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>
Conseil
Pour automatiser le processus de hachage et de chargement une fois que vous l’avez créé pour la première fois, consultez Actualiser le fichier de table de la source d’informations sensibles correspondant exactement aux données.
Langages EDM et de jeu de caractères codés sur deux octets
La correspondance exacte des données prend en charge les caractères codés sur deux octets, tels que ceux utilisés en chinois, japonais et coréen. Toutefois, il ne prend pas en charge les correspondances de chaîne pour les preuves corroboratives encodées sous forme de caractères codés sur deux octets. Il ne correspond pas non plus au texte cjk multi-jeton détecté dans le contenu classifié, sauf si la globalisation pour EDM est activée comme décrit plus loin dans ce document. Dans tous les cas, un sit doit être mappé à n’importe quel texte à plusieurs jetons, à la fois pour le champ principal et pour les champs de preuve corroborative.
Pour appeler la correspondance exacte des données pour les caractères codés sur deux octets, procédez comme suit :
- Créez un type d’informations sensibles (SIT) EDM configuré pour correspondre à la langue du jeu de caractères codés sur deux octets, comme le kanji japonais.
- Veillez à télécharger et installer la version 17.01.0495.0 (ou ultérieure) de l’agent de chargement EDM
- Mettez à jour le paramètre de globalisation du fichier EdmUploadAgent.exe.config sur true :
<add key=" IsGlobalizationEnabled" value="true">
- Hachez et chargez une table source avec les données à mettre en correspondance.
Étapes suivantes
Pour la nouvelle expérience : Tester un type d’informations sensibles correspondant exactement aux données
Pour l’expérience classique : Créer un package de règles/types d’informations sensibles de correspondance de données exactes