Appliquer automatiquement les étiquettes de sensibilité
Lorsque vous créez une étiquette de confidentialité, vous pouvez attribuer automatiquement cette étiquette au contenu lorsque celle-ci répond aux conditions que vous spécifiez. La possibilité d’appliquer automatiquement des étiquettes à du contenu est importante pour les raisons suivantes :
- Vous n’avez pas besoin de former vos utilisateurs pour leur apprendre quand ils doivent utiliser chacune de vos classifications.
- Vous n’avez pas à dépendre des utilisateurs pour classer correctement tout le contenu.
- Les utilisateurs n'ont plus besoin de connaître vos stratégies. Ils peuvent ainsi se concentrer sur leur travail.
Deux méthodes s’offrent à vous pour appliquer automatiquement une étiquette de confidentialité au contenu dans Microsoft 365 :
Étiquetage côté client lorsque les utilisateurs modifient des documents ou composent des e-mails (et y répondent ou les transfèrent). Utilisez une étiquette que vous avez configurée pour l'étiquetage automatique des fichiers et des courriels (y compris Word, Excel, PowerPoint et Outlook).
Cette méthode permet de recommander un label aux utilisateurs et d'appliquer automatiquement un label. Dans les deux cas, l’utilisateur décide d’accepter ou de refuser l’étiquette afin de garantir l’étiquetage correct du contenu. Cet étiquetage côté client n'entraîne qu'un délai minimal pour les documents, car vous pouvez appliquer l'étiquette avant même d'enregistrer le document. Cependant, toutes les applications client ne prennent pas en charge l'étiquetage automatique. L'étiquetage intégré prend en charge cette capacité avec certaines versions d'Office, ainsi qu'avec le client d'étiquetage unifié Microsoft Entra ID Protection.
Pour les instructions de configuration, voir Comment configurer l'étiquetage automatique pour les applications Office .
Étiquetage côté service lorsque vous avez déjà enregistré du contenu (dans SharePoint ou OneDrive) ou envoyé du contenu par courrier électronique (traité par Exchange Online). Utiliser une stratégie d'étiquetage automatique.
Cette méthode est également appelée étiquetage automatique pour les données au repos (documents dans SharePoint et OneDrive) et les données en transit (courrier électronique envoyé ou reçu par Exchange). Exchange n'inclut pas les e-mails au repos (boîtes aux lettres).
Étant donné que les services appliquent cet étiquetage plutôt que les applications, vous n'avez pas à vous soucier des applications que les utilisateurs possèdent et de leur version. Par conséquent, le système rend cette capacité immédiatement disponible dans l'ensemble de l'organisation. Cela permet également de l'étiqueter à grande échelle. Les stratégies d'étiquetage automatique ne prennent pas en charge l'étiquetage recommandé car l'utilisateur n'interagit pas avec le processus d'étiquetage. Au lieu de cela, l’administrateur exécute les stratégies dans la simulation pour garantir l’étiquetage correct du contenu avant d’appliquer réellement l’étiquette.
Pour obtenir des instructions de configuration, voir Comment configurer les politiques d'étiquetage automatique pour SharePoint, OneDrive et Exchange .
Les conditions suivantes sont spécifiques à l'étiquetage automatique pour SharePoint et OneDrive :
- Les fichiers Office pris en charge sont les fichiers Word (.docx), PowerPoint (.pptx) et Excel (.xlsx).
- Le système peut étiqueter automatiquement ces fichiers au repos avant ou après la création des stratégies d'étiquetage automatique. Le système ne peut pas étiqueter automatiquement les fichiers qui font partie d'une session ouverte (le fichier est ouvert).
- Le système ne prend pas actuellement en charge les pièces jointes aux éléments de la liste et ne peut pas les étiqueter automatiquement.
- Jusqu’à 25 000 fichiers automatiquement étiquetés dans votre client par jour.
- Maximum de 100 stratégies d'étiquetage automatique par locataire, chacune ciblant jusqu'à 100 sites (SharePoint ou OneDrive) lorsqu'elles sont spécifiées individuellement. Vous pouvez également spécifier tous les sites, et cette configuration est exemptée du maximum de 100 sites.
- En raison des politiques d'étiquetage automatique, le système ne modifie pas les valeurs existantes pour modifié, modifié par et la date de dernière modification. Cette condition s'applique aussi bien au mode simulation qu'à l'application d'étiquettes.
- Lorsque l'étiquette applique le cryptage, l'émetteur et le propriétaire de la gestion des droits sont le compte qui a modifié le fichier en dernier.
Les conditions suivantes sont spécifiques à l'étiquetage automatique pour Exchange :
- Contrairement à l'étiquetage manuel ou à l'étiquetage automatique avec les applications Office, le système analyse les pièces jointes PDF et les pièces jointes Office en fonction des conditions que vous spécifiez dans votre stratégie d'étiquetage automatique. En cas de correspondance, le système étiquette l'e-mail, mais pas la pièce jointe.
- Pour les fichiers PDF, si l'étiquette applique le cryptage, ces fichiers, s'ils ne sont pas cryptés, sont maintenant cryptés en utilisant le cryptage des messages lorsque vous avez activé votre locataire pour les pièces jointes PDF. Les fichiers héritent des paramètres de cryptage appliqués à l'e-mail.
- Les fichiers Office pris en charge comprennent les fichiers Word, PowerPoint et Excel. Si l’étiquette applique le chiffrement et que ces fichiers ne sont pas chiffrés, ils sont désormais chiffrés à l’aide du chiffrement des messages. Les fichiers héritent des paramètres de cryptage de l'e-mail.
- Si vous avez des règles de flux de mails Exchange ou des stratégies de prévention des pertes de données (DLP) Microsoft Purview qui appliquent le cryptage IRM : Lorsque le système identifie un contenu à l'aide de ces règles ou politiques et d'une politique d'étiquetage automatique, il applique l'étiquette. Si cette étiquette applique le chiffrement, le système ignore les paramètres IRM des règles de flux d'e-mails Exchange ou des stratégies DLP. Toutefois, si cette étiquette n'applique pas le chiffrement, le système applique les paramètres IRM des règles de flux de messages ou des stratégies DLP en plus de l'étiquette.
- Lorsqu'un e-mail a un cryptage IRM mais pas d'étiquette, Exchange utilise l'étiquetage automatique pour ajouter une étiquette avec tous les paramètres de cryptage lorsqu'il y a une correspondance.
- Le système étiquette les e-mails entrants lorsqu'ils correspondent à vos conditions d'étiquetage automatique. Si vous avez configuré l'étiquette pour le cryptage, le système applique toujours ce cryptage lorsque l'expéditeur fait partie de votre organisation. Par défaut, le système n'applique pas ce cryptage lorsque l'expéditeur est extérieur à votre organisation. Toutefois, vous pouvez demander au système de l'appliquer en configurant des paramètres supplémentaires pour l'e-mail et en spécifiant un propriétaire pour la gestion des droits.
- Lorsque l'étiquette applique le cryptage, l'émetteur et le propriétaire de la gestion des droits sont la personne qui envoie l'e-mail lorsque l'expéditeur fait partie de votre propre organisation. Lorsque l'expéditeur est extérieur à votre organisation, vous pouvez spécifier un propriétaire de gestion des droits pour les e-mails entrants que votre stratégie a étiquetés et cryptés.
- Si vous avez configuré l'étiquette pour appliquer des marquages dynamiques , le système affiche les noms de personnes extérieures à votre organisation pour les e-mails entrants.
- Les fichiers Office pris en charge sont les fichiers Word (.docx), PowerPoint (.pptx) et Excel (.xlsx).
Quand les étiquettes automatiques ou recommandées sont appliquées
La mise en œuvre de l'étiquetage automatique et recommandé dans les applications Office dépend de l'utilisation de l'étiquetage intégré par Microsoft dans Office ou du client d'étiquetage unifié Microsoft Entra ID Protection. Cependant, dans les deux cas :
- Vous ne pouvez pas utiliser l'étiquetage automatique pour les documents et les courriels que vous avez déjà étiquetés manuellement ou que vous avez déjà étiquetés automatiquement avec une sensibilité plus élevée. N’oubliez pas que vous ne pouvez appliquer qu’une seule étiquette de confidentialité à un document ou un e-mail (en plus d’une seule étiquette de rétention).
- Vous ne pouvez pas utiliser l'étiquetage recommandé pour les documents ou les courriels que vous avez précédemment étiquetés avec une sensibilité plus élevée. Pour ces documents ou courriels, l'utilisateur ne peut pas voir l'invite avec la recommandation et le conseil stratégique.
Spécifique à l’étiquetage intégré :
- Les applications Office ne prennent pas toutes en charge l’étiquetage automatique (et recommandé). Pour plus d’informations, voir Prise en charge des fonctionnalités d’étiquettes de confidentialité dans les applications.
- Pour les étiquettes recommandées dans les versions de bureau de Word, le système signale le contenu sensible qui a déclenché la recommandation. Cela permet aux utilisateurs de revoir et de supprimer le contenu sensible au lieu d'appliquer l'étiquette de sensibilité recommandée.
Spécifique au client d'étiquetage unifié Microsoft Entra ID Protection :
- L’étiquetage automatique et recommandé s’applique à Word, Excel et PowerPoint lors de l’enregistrement d’un document et à Outlook lorsque vous envoyez un courrier électronique.
- Pour qu’Outlook prenne en charge l’étiquetage recommandé, vous devez commencer par configurer un paramètre de stratégie avancé.
- Le système peut détecter des informations sensibles dans le corps du texte des documents et des courriers électroniques, ainsi que dans les en-têtes et les pieds de page. Cependant, il ne peut pas détecter les informations sensibles contenues dans la ligne d'objet ou dans les pièces jointes des e-mails.
Lecture supplémentaire. Pour plus d'informations sur la manière dont le système applique ces étiquettes, voir Appliquer automatiquement ou recommander des étiquettes de sensibilité à vos fichiers et e-mails dans Office .
Convertir vos paramètres d'étiquetage en une stratégie d'étiquetage automatique
À la fin du processus de création ou d'édition de l'étiquette, le système affiche une option d'étiquetage automatique lorsque l'étiquette contient des types d'informations sensibles pour les conditions configurées. Cette option permet la création automatique d'une politique d'étiquetage automatique basée sur les mêmes paramètres d'étiquetage automatique.
Toutefois, si l'étiquette contient des classificateurs entraînables en tant que condition d'étiquette :
- Lorsque les conditions d'étiquetage ne contiennent que des classificateurs entraînables, vous n'avez pas la possibilité de créer automatiquement une stratégie d'étiquetage automatique.
- Lorsque les conditions d'étiquetage contiennent des classificateurs entraînables et des types d'informations sensibles, le système crée une politique d'étiquetage automatique pour les seuls types d'informations sensibles.
Le système crée automatiquement une stratégie d'étiquetage automatique en remplissant automatiquement les valeurs que vous devriez sélectionner manuellement si vous créiez la stratégie à partir de zéro. Dans ce scénario, vous pouvez toujours visualiser et modifier les valeurs avant d'enregistrer la stratégie.
Par défaut, une politique étiquetée automatiquement inclut tous les emplacements pour SharePoint, OneDrive et Exchange. Lorsque vous enregistrez la politique, elle s'exécute en mode simulation. En mode simulation, le système ne vérifie pas si vous avez activé les étiquettes de sensibilité pour les fichiers Office dans SharePoint et OneDrive. Il n'effectue pas cette vérification, bien que cette condition soit l'une des conditions préalables à l'application de l'étiquetage automatique au contenu dans SharePoint et OneDrive.
Exécuter une stratégie en mode simulation
Le mode simulation est propre aux stratégies d'étiquetage automatique et fait partie intégrante du flux de travail. Vous ne pouvez pas étiqueter automatiquement les documents et les e-mails tant que votre politique n'a pas fait l'objet d'au moins une simulation.
Le mode simulation prend en charge jusqu’à 1 000 000 fichiers mis en correspondance. Si le système fait correspondre plus que ce nombre de fichiers à une stratégie d'étiquetage automatique, vous ne pouvez pas activer la stratégie pour appliquer les étiquettes. Dans ce cas, vous devez reconfigurer la stratégie d'étiquetage automatique pour que le système fasse correspondre moins de fichiers, puis réexécuter la simulation. Ce maximum de 1 000 000 de fichiers appariés ne s'applique qu'au mode simulation. Elle ne s'applique pas à une stratégie d'étiquetage automatique que vous avez déjà activée pour appliquer des étiquettes de sensibilité.
Le processus d'exécution d'une stratégie d'étiquetage automatique en mode simulation comprend les étapes suivantes :
- Créer et configurer une stratégie d'étiquetage automatique.
- Exécutez la stratégie en mode de simulation, ce qui peut prendre 12 heures. La simulation terminée déclenche une notification par e-mail que le système envoie à l'utilisateur configuré pour recevoir des alertes d'activité.
- Examinez les résultats et, si nécessaire, affinez votre stratégie. Par exemple, il peut être nécessaire de modifier les règles de politique afin de réduire le nombre de faux positifs ou de supprimer certains sites afin que le nombre de fichiers correspondants ne dépasse pas 1 000 000. Réexécutez le mode de simulation et attendez sa fin.
- Répétez l’étape 3 si besoin.
- Déployez en production.
Le déploiement simulé s'exécute comme le paramètre WhatIf de PowerShell. Les résultats s'affichent comme si la stratégie d'étiquetage automatique appliquait l'étiquette que vous avez sélectionnée, en utilisant les règles que vous avez définies. Vous pouvez ensuite affiner vos règles de précision si nécessaire et exécuter de nouveau la simulation. Cependant, comme l'étiquetage automatique pour Exchange s'applique aux e-mails envoyés et reçus plutôt qu'aux e-mails stockés dans les boîtes aux lettres, ne vous attendez pas à des résultats cohérents pour les e-mails dans une simulation, à moins que vous ne puissiez envoyer et recevoir exactement les mêmes e-mails.
Le mode simulation vous permet également d'augmenter progressivement la portée de votre stratégie d'étiquetage automatique avant de la déployer. Par exemple, vous pouvez commencer par un emplacement unique, tel qu'un site SharePoint, avec une seule bibliothèque de documents. Ensuite, avec des modifications itératives, augmentez l’étendue sur plusieurs sites, puis sur un autre emplacement, comme OneDrive.
Enfin, le mode simulation vous permet de fournir une approximation du temps nécessaire à l'exécution de votre politique d'étiquetage automatique. Ces informations peuvent vous aider à planifier et à programmer le moment où il faut l'exécuter sans le mode simulation.