- Connectez-vous au portail Azure à l’aide d’un utilisateur défini en tant que super-utilisateur dans le compte d’organisation dans Azure.
- Dans le volet de navigation gauche, sélectionnez le service Azure Active Directory , puis sélectionnez enregistrement des applications, nouvelle inscription.
- Dans la page enregistrer un application , entrez les informations d’enregistrement de votre application :
- Nom : entrez un nom de application significatif qui s’affiche pour les utilisateurs de l’application.
- Types de comptes pris en charge : sélectionnez des comptes dans ce répertoire organisationnel uniquement.
Redirect URl (optional) : Vous pouvez laisser ce champ vide.
- Sélectionnez S'enregistrer. Azure AD affecte un ID de application unique à votre application, et vous êtes redirigé vers la page de Présentation de votre application.
- Copiez les valeurs de deux champs : ID d' application (client) ID et répertoire (locataire). Vous en aurez besoin ultérieurement pour créer la configuration du serveur Azure sur les serveurs ePO enregistrés.
- Cliquez sur autorisations API sous gestion, puis cliquez sur Ajouter une autorisation. La page demander les autorisations de l’API s’affiche.
- Ajoutez les API et les autorisations MIP dont le application a besoin au moment de l’exécution :
- Dans la page Sélectionner une API , cliquez sur services de gestion des droits Azure.
- Dans la page API des services de gestion des droits , cliquez sur autorisations sur les applications.
- Dans la section Sélectionner les autorisations , développez le nœud de contenu et sélectionnez content. DelegatedReader, content. DelegatedWriteret les autorisations sur le contenu .SuperUser. Cette option permet à l’application de créer et d’accéder à du contenu protégé pour tous les utilisateurs de votre compte d’organisation dans Azure.
- Cliquez sur Ajouter des autorisations pour enregistrer.
- Répétez l’étape 7 ci-dessus et recherchez l’API dans la page Sélectionner une API .
- Dans la page Sélectionner une API , cliquez sur API utilisées par mon organisation. Dans le champ de recherche, saisissez Microsoft service de synchronisation des informations de protection des informations et sélectionnez-le.
- Dans la page API de service de synchronisation des informations de Microsoft , cliquez sur autorisations d' application.
- Développez le nœud UnifiedPolicy et vérifiez UnifiedPolicy. locataire. Read.
- Cliquez sur Ajouter des autorisations pour enregistrer.
- Dans la page autorisations de l' API , cliquez sur accorder l’autorisation de l’administrateur pour (nom du locataire), puis cliquez sur Oui. Cette sélection fournit une pré-autorisation à l’application à l’aide de cet enregistrement, pour accéder aux API sous les autorisations spécifiées. Si vous vous connectez en tant qu’administrateur global, le consentement est enregistré pour tous les utilisateurs du locataire qui exécutent le application. Sinon, il s’applique uniquement à votre compte d’utilisateur.
- Cliquez sur
Certificates & secrets sous gestion , puis sur nouveau secret client:- Ajoutez une description pour votre code secret client, sélectionnez une durée, puis cliquez sur Ajouter.
- Copiez et enregistrez la valeur de clé secrète du client créée.
Comment configurer Azure MIP dans Data Loss Prevention
Articles techniques ID:
KB91833
Date de la dernière modification : 03/10/2022
Date de la dernière modification : 03/10/2022
Environnement
DLP Endpoint 11.6.x , 11.5.x
Synthèse
Cet article fournit des informations sur la prise en charge d’Azure Microsoft information protection (MIP) dans DLP 11.4.x Endpoint et DLP Endpoint 11.6.x , 11.5.x. mais il fournit également la procédure de configuration nécessaire pour l’utiliser.
Remarque : Lorsque vous enregistrez plusieurs serveurs Azure dans ePolicy Orchestrator (ePO), cela peut entraîner une lenteur des performances. Il est conseillé d’ajouter uniquement les serveurs Azure dont vous avez besoin.
Effectuez les tâches suivantes :
Remarque : Lorsque vous enregistrez plusieurs serveurs Azure dans ePolicy Orchestrator (ePO), cela peut entraîner une lenteur des performances. Il est conseillé d’ajouter uniquement les serveurs Azure dont vous avez besoin.
Effectuez les tâches suivantes :
- Enregistrement d’un application client à l’aide d’Azure Active Directory (AD) :
Pour utiliser la fonction MIP d’Azure dans le serveur DLP Discover, le client application doit être enregistré auprès du AD Azure. Pour enregistrer le application client, procédez comme suit :
Pour utiliser les fonctions Azure avec DLP Endpoint, le client application doit être enregistré auprès du AD Azure. Pour enregistrer le application client, procédez comme suit :
Remarque : Actuellement, DLP prend en charge uniquement les environnements d’entreprise qui utilisent les AD Azure hybrides (services de Fédération, synchronisation du hachage par mot de passe).
- Connectez-vous au portail Azure à l’aide d’un utilisateur défini en tant que super-utilisateur dans le compte d’organisation dans Azure.
- Dans le volet de navigation gauche, sélectionnez le service Azure Active Directory , puis sélectionnez enregistrement des applications, nouvelle inscription.
- Dans la page enregistrer un application, entrez les informations d’enregistrement de votre application :
- Nom : Entrez un nom de application significatif qui s’affiche pour les utilisateurs de l’application.
- Types de compte pris en charge : Sélectionnez des comptes dans ce répertoire organisationnel uniquement.
Redirect URl (optional) : Ce champ peut être laissé vide.
- Sélectionnez S'enregistrer. Azure AD affecte un ID de application unique à votre application, et vous êtes redirigé vers la page de Présentation de votre application.
- Copiez les valeurs de deux champs : ID d' application (client) ID et répertoire (locataire). Vous en aurez besoin ultérieurement pour créer la configuration du serveur Azure sur les serveurs ePO enregistrés.
- Dans la liste des pages de l’application, sélectionnez manifeste, puis effectuez les opérations suivantes :
- Définissez la propriété allowPublicClient sur true dans l’éditeur de manifestes.
- Cliquez sur Enregistrer dans la barre située au-dessus de l’éditeur de manifeste.
- Vérifiez que signInAudience est défini sur AzureADandPersonalMicrosoftAccount.
- Vérifiez que accessTokenAcceptedVersion est défini sur 2.
- Cliquez sur autorisations API sous gestion, puis cliquez sur Ajouter une autorisation. La page demander les autorisations de l’API s’affiche.
- Ajoutez les API et les autorisations MIP dont le application a besoin au moment de l’exécution :
- Dans la page Sélectionner une API , cliquez sur services de gestion des droits Azure.
- Dans la page API des services de gestion des droits , cliquez sur autorisations sur les applications.
- Dans la section Sélectionner les autorisations , développez le nœud de contenu et sélectionnez content. DelegatedReader, content. DelegatedWriter, content. Writer et content. superutilisateur. Cette option permet à l’application de créer et d’accéder à du contenu protégé pour tous les utilisateurs de votre compte d’organisation dans Azure.
- Modifiez le type d’autorisation en autorisations déléguées, puis sélectionnez user_impersonation autorisation.
- Cliquez sur Ajouter des autorisations pour enregistrer.
- Répétez l’étape 7 et recherchez l’API dans la page Sélectionner une API :
- Dans la page Sélectionner une API , cliquez sur API utilisées par mon organisation. Dans le champ de recherche, saisissez Microsoft service de synchronisation des informations de protection des informations et sélectionnez-le.
- Dans la page API de service de synchronisation des informations de Microsoft , cliquez sur autorisations d' application.
- Développez le nœud UnifiedPolicy et sélectionnez UnifiedPolicy. locataire. Read.
- Accédez à autorisations déléguées, puis sélectionnez UnifiedPolicy. User. Read.
- Cliquez sur Ajouter des autorisations pour enregistrer.
- Répétez l’étape 7 et recherchez l’API dans la page Sélectionner une API :
- Dans la page Sélectionner une API , cliquez sur Microsoft graphique.
- Sur la page Microsoft Graph , cliquez sur autorisations d’application.
- Dans la section Sélectionner les autorisations , sélectionnez
User. Read. All, stratégie. Read .All membre. Read. Hidden, InformationProtectionPolicy. Read. All, Group. Read. All, Domain. ReadWrite. All, Device. ReadWrite.All, application. ReadWrite. OwnedByet application. ReadWrite. All. - Modifiez le type d’autorisation en autorisations déléguées, puis sélectionnez
utilisateur.Read, User. Read. All, User. ReadBasic. Allet Group. Read. All Permissions. - Cliquez sur Ajouter des autorisations pour enregistrer.
- Dans la page autorisations de l' API , cliquez sur accorder l’autorisation d’administrateur pour (nom du locataire) et sur Oui. Cette sélection fournit une pré-autorisation à l’application à l’aide de cet enregistrement pour accéder aux API sous les autorisations spécifiées. Si vous vous connectez en tant qu’administrateur global, le consentement est enregistré pour tous les utilisateurs du locataire qui exécutent le application. Sinon, il s’applique uniquement à votre compte d’utilisateur.
- Cliquez sur
Certificates & secrets sous gestion, puis sur nouveau secret client:- Ajoutez une description pour votre code secret client, sélectionnez la durée, puis cliquez sur Ajouter.
- Copiez et enregistrez la valeur de clé secrète du client créée.
- Consultez la section protection des informations et effectuez les opérations suivantes lors de la configuration des étiquettes :
- Si l’étiquette est définie sur chiffrement, assurez-vous que les utilisateurs qui utilisent l’étiquette disposent au moins de droits de co-propriétaire sur l’étiquette.
- Vérifiez que l’étiquette est définie sur la stratégie utilisée :
- Accédez à stratégies d’étiquette et vérifier si l’étiquette est visible dans la section Etiquettes publiées .
- Affectez l’étiquette à l’aide de l’option modifier une stratégie en cas de non-visibilité.
Pour plus d’informations sur la création et la publication d’étiquettes, reportez-vous à la Documentation Microsoft.
- Enregistrez un serveur Azure dans les serveurs ePO enregistrés.
Une fois que le client application est créé sur le portail Azure, vous devez définir un serveur Azure dans la configuration ePO.
Remarque : Assurez-vous que le propriétaire de la gestion des droits est le propriétaire de l’application dans l’application que vous utilisez. Vous pouvez l’afficher dans l’onglet propriétaires sous les paramètresde l’application.
De plus, les étiquettes utilisées dans Azure doivent être ajoutées manuellement à la définition du serveur.
Ces étiquettes peuvent ensuite être sélectionnées lorsque vous définissez une réaction de stratégie RM pour le serveur Azure. Pour plus d’informations sur cette procédure, reportez-vous au Guide d’installation de Data Loss Prevention pour la version de votre produit.
- Enregistrez un serveur Azure pour Microsoft protection des informations.
Remarque : Cette rubrique s’applique à DLP Endpoint pour une utilisation avec MVISION ePO. DLP Endpoint pour une utilisation avec MVISION ePO peut être intégré avec Azure Microsoft information protection (MIP).
Enregistrez un serveur Azure labels de protection afin de pouvoir le sélectionner pour la protection des réactions des règles.
- Dans MVISION ePO, sélectionnez menu, gestionnaire de stratégies DLP, définitions.
- Dans le volet gauche, dans la catégorie Serveurs de gestion des droits, sélectionnez Microsoft Information Protection. Cliquez sur actions, nouvel élément.
- Entrez un nom pour la configuration du serveur et une description facultative.
- Précisez l'ID de l'application (Client) et l'ID du répertoire (Locataire) tel que définis dans les détails d'enregistrement de l'application Azure.
- Saisissez chaque Nom de l'étiquette AIP et ID d'étiquette AIP tels qu'affichés dans votre compte Azure.
- Cliquez sur Enregistrer lorsque vous avez terminé la configuration.
Les étiquettes de votre serveur Azure et de votre protection des informations sont désormais enregistrées.
Vous pouvez créer une classification à l’aide des étiquettes de protection des informations Azure et l’ajouter à une règle de protection des données.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Informations connexes
Dépannage de l' acquisition des jetons Azure
Recherchez le contenu du journal d’extracteur de texte DLP suivant :
"... AcquireADALToken] Failed to acquire token, status:" <Status#>
Exemple : "AcquireADALToken] Echec de l’acquisition du jeton, État : CAA20003"
traduction du code d’État :
CAA2000C -la demande nécessite une intervention de l’utilisateur.
Cela signifie que l’acquisition silencieuse de jeton échoue.
Passez en revue les éléments suivants :
Cette erreur indique un nom d’utilisateur/mot de passe incorrect pour l’authentification par mot de passe AD. Assurez-vous que le nom d’utilisateur et le mot de passe sont corrects.
CAA82EE7 -le nom du serveur ne peut pas être résolu.
Pour plus d’informations, voir cette documentation.
CAA90018 -impossible de découvrir un domaine utilisateur.
Pour plus d’informations, reportez-vous à la documentation Microsoft.
Impossible de se connecter à un poste client de domaine Kerberos et de procéder à la découverte du domaine. (Windows 10 version 1809 et versions ultérieures uniquement).
Recherchez le contenu du journal d’extracteur de texte DLP suivant :
Exemple : "AcquireADALToken] Echec de l’acquisition du jeton, État : CAA20003"
traduction du code d’État :
CAA2000C -la demande nécessite une intervention de l’utilisateur.
Cela signifie que l’acquisition silencieuse de jeton échoue.
Passez en revue les éléments suivants :
- L’authentification unique (SSO) transparente dans Azure AD est sélectionnée comme méthode d’authentification.
- L’authentification multifactorielle (MFA) est désactivée pour l’application.
- Dans la section autorisations, le consentement de l’administrateur doit être accordé.
Cette erreur indique un nom d’utilisateur/mot de passe incorrect pour l’authentification par mot de passe AD. Assurez-vous que le nom d’utilisateur et le mot de passe sont corrects.
CAA82EE7 -le nom du serveur ne peut pas être résolu.
Pour plus d’informations, voir cette documentation.
CAA90018 -impossible de découvrir un domaine utilisateur.
Pour plus d’informations, reportez-vous à la documentation Microsoft.
Impossible de se connecter à un poste client de domaine Kerberos et de procéder à la découverte du domaine. (Windows 10 version 1809 et versions ultérieures uniquement).
- L’équipement doit avoir accès à Microsoft dans le contexte du système. Cet accès permet à l’équipement d’effectuer une découverte de domaine pour le domaine vérifié. Il doit également déterminer le type de domaine (managé ou fédéré).
- Si l’environnement local nécessite une proxy sortante, il doit s’assurer que le contexte système sur l’équipement peut découvrir et s’authentifier silencieusement sur le proxy sortant.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :