Scénario

Adatum a désormais une bonne vision de Microsoft 365 grâce à son projet pilote. L'entreprise a gagné plusieurs contrats gouvernementaux, l'amenant à travailler sur de nombreux produits sensibles et classifiés.
Dans son rôle d'administrateur de l'entreprise Adatum, Dominique Skyetson s'est vu demandé par le CTO d'étudier une solution pour protéger et chiffrer les messages concernant ces contrats sensibles.
Il lui a également été demandé que toute référence au "Project New Day" soit automatiquement chiffrée. Il s'agit du nom de code d'un projet top-secret, et il est impératif qu'aucune mention de ce projet ne fuite en dehors du contexte d'Adatum.
Dans cet atelier, vous allez voir comment mettre en oeuvre la réponse à la demande du CTO en utilisant les labels d'informations sensibles dans le centre d'administration Purview et avec des commandes Windows Powershell.

Important : Les labels d'informations sensibles et leurs stratégies peuvent prendre jusqu'à 24h pour se propager dans l'intégralité de l'environnement 365. Malheureusement, comme votre stage touche à sa fin, il y a de fortes chances que vous ne soyez pas à même d'en vérifier l'application dans votre tenant de test. Ceci étant acté, cet exercice va tout de même vous permettre de découvrir les interfaces de mise en oeuvre desdits labels et des stratégies correspondantes.

Objectifs

A la fin de cet exercice, vous aurez une meilleure connaissance de :

  • La création de labels de sensibilité dans le portail Purview.
  • La création de labels de sensibilité avec *Windows PowerShell.
  • La création de stratégies de publication de labels de sensibilité dans le portail Purview.
  • La création de stratégies de publication de labels de sensibilité avec *Windows PowerShell.

Tâche 1 - Créer une équipe Teams de test

Dans votre rôle d'administrateur, en tant que Dominique Skyetson, vous allez créer une nouvelle équipe Teams, nommée PND Group (pour groupe Project New Day) qui sera utilisée pour l'applications des labels de données sensibles par la suite.

  1. Basculez vers la machine virtuelle LON-CL1, sur laquelle vous devrez être resté connecté avec le compte adatum\Administrator avec le mot de passe Pa55w.rd.

  2. A l'issue de l'atelier précédent, votre navigateur Internet devrait être resté ouvert, avec un onglet contenant le portail Microsoft 365 admin center, connecté avec le compte de Dominique Skyetson.

    Note : Si besoin, utilisez l'adresse https://admin.microsoft.com pour ouvrir le portail d'administration si vous l'aviez fermé.

  3. Dans le menu de navigation du portail Microsoft 365 admin center, cliquez sur Active teams & groups dans le groupe d'options Teams & groups.

  4. Sur la page Active teams & groups, cliquez sur le bouton + Add a team sur la barre d'outils de l'onglet Teams & Microsoft 365 groups.

  5. Sur la page Set up the basics, saisissez PND Group dans le champ Name of team et Group used for sensitivity label testing dans le champ Describe this team.

  6. Cliquez sur Next.

  7. Sur la page Add owners, entrez Dominiquedans le champ Owners et cliquez sur le compte de Dominique Skyetson lorsqu'il s'affiche.

  8. Cliquez sur Next.

  9. Sur la page Add members, entrez Bethdans le champ Members et cliquez sur le compte de Beth Burke lorsqu'il s'affiche.

  10. Procédez de même pour ajouter les comptes de Alan (Alan Yoo) et Joni (Joni Sherman).

  11. Cliquez sur le bouton Next.

  12. Sur la page Edit settings, saisissez PNDgroup dans le champ Team email address.

  13. Toujours sur la page Edit Settings, dans le champ Privacy, sélectionnez Private - People can only join if they're added by an owner[...]..

  14. Cliquez sur le bouton Next.

  15. Sur la page Review and finish adding team, cliquez sur le bouton Add Team.

  16. Sur la page New team created, notez le message indiquant qu'il peut s'écouler 5 minutes avant que la nouvelle équipe ne s'affiche. Cliquez sur Close.

  17. Sur la page Active teams and groups, cliquez sur le bouton Refresh dans la barre de menu au-dessus de la liste des groupes. Si nécessaire, attendez quelques instants et répétez l'opération jusqu'à ce qu'apparaisse la nouvelle équipe.

  18. Une fois l'équipe PND group affichée dans la liste, cliquez sur son nom.

  19. Pour des questions de sécurité, vous avez décidé d'inclure Elviss Cress comme copropriétaire de cette équipe. Dans le panneau PND Group qui s'affiche, l'onglet General est affiché par défaut, cliquez sur l'onglet Membership pour l'afficher.

  20. Sur l'onglet Membership, cliquez sur le bouton + Add owners.

  21. Sur le panneau Add team owners to PND Group, saisissez Elvis et cliquez sur le compte de Elvis Cress qui s'affiche.

  22. En bas de page, cliquez sur Add (1).

  23. De retour sur le panneau Add team owners to PND Group, cliquez sur le X en haut à droite pour fermer les informations sur l'équipe.

  24. Laissez ouvert le navigateur Internet pour la tâche suivante.

Tâche 2 - Création de labels dans le portail Purview

Dominique a décidé de tester la création de labels de données sensibles en utilisant le portail Purview et Windows Powershell. Dans cette tâche, vous allez d'abord utiliser le portail Purview pour créer un premier label.

  1. Dans le menu du portail Microsoft 365 admin center, cliquez sur Compliance sous la section Admin centers (le cas échéant, il vous faudra peutêtre basculer sur le New Microsoft Purview portal).
  2. Cliquez sur la case I agree to the terms of data flow[...] avant de cliquer sur Get started.
  3. Dans le menu de navigation du portail Microsoft Purview, cliquez sur Solutions/Information Protection.
  4. Dans le menu Information protection, cliquez sur le choix Sensitivity labels.
  5. Sur la page Sensitivity labels, dans le bandeau jaune sur la page Labels, cliquez sur Turn on now.
  6. Sur la page Labels, cliquez sur + Create a label dans la barre de menu au-dessus de la liste des labels.
  7. Sur la page Provide basic details for this label, saisissez Adatum-Classified dans les champs Name et Display name
  8. Saisissez For Official Use Only dans les champs Description for Users et Description for admins
  9. Choisissez une couleur pour ce label en cliquant sur le carré la contenant.
  10. Cliquez sur le bouton Next.
  11. Sur la page Define the scope for this label, cliquez sur Next.
  12. Sur la page Choose protection settings hte tyoes of items you selected, cochez la case devant Apply content marking et cliquez sur Next.
  13. Sur la page Content marking, cliquez sur le contrôle de bascule Content marking pour le faire passer à ON*. De nouvelles options s'affichent que vous allez compléter dans les étapes suivantes.
  14. Cochez la case Add a watermark et cliquez sur le bouton Customize text.
  15. Dans le panneau Customize watermark text, saisissez les informations suivantes avant de cliquer sur le bouton Save :
    • Watermark text : ADATUM - CLASSIFIED
    • Font size : 48
    • Font color : Red
    • Text layout : Diagonal
  16. Cochez la case Add a header et cliquez sur le bouton Customize text.
  17. Dans le panneau Customize header text, saisissez les informations suivantes avant de cliquer sur le bouton Save :
    • Header text : FOR OFFICIAL USE ONLY
    • Font size : 12
    • Font color : Blue
    • Align text : Left
  18. Cliquez sur le bouton Customize text sous la case à cocher Add a footer (cochez-la si elle ne l'est pas par défaut).
  19. Dans le panneau Customize footer text, saisissez les informations suivantes avant de cliquer sur le bouton Save :
    • Footer text : ADATUM - CLASSIFIED
    • Font size : 12
    • Font color : Green
    • Align text: Left
  20. Sur la page Content marking, cliquez sur le bouton Next.
  21. Sur la page Auto-labeling for files and emails, assurez-vous que l'option Auto-labeling for files and emails reste désactivée et cliquez sur Next.
  22. Sur la page Define protection settings for groups and sites, cliquez sur Next.
  23. Sur la page Review your settings and finish, révisez votre saisie et, si nécessaire, cliquez sur le lien Edit pour les modifier ; sinon, cliquez sur le bouton Create label en bas de page.
  24. Sur la page Your sensitivity label was created, cliquez sur le bouton Done.
  25. Sur le panneau Publish label qui s'affiche, cliquez sur Cancel, vous réaliserez la publication des labels ultérieurement, dans la tâche 4 du présent exercice.

Tâche 3 - Création de labels avec Windows PowerShell

Après avoir testé la création de labels de données sensibles en utilisant le portail Purview, Dominique souhaite tester la création de labels avec Windows Powershell.

  1. Si vous aviez minimisé la fenêtre Administrator: Windows Powershell ISE dans la barre des tâches, cliquez sur son icône pour la maximiser. Sinon, tapez Windows Powershell ISE dans le champ de recherche à droite du bouton Démarrer sur la barre des tâches. A droite du menu Démarrer, cliquez sur Run as administrator sous l'application.
  2. Dans la commande (bleue) de Administrator: Windows PowerShell ISE, utilisez la commande suivante :
    Install-Module -Name ExchangeOnlineManagement -Force
  3. Dans l'invite Powershell, utilisez la commande suivante pour vous connecter à l'environnement Purview : (Si la commande pose problème en Powershell ISE, utilisez une simple invite Powershell) :
    Connect-IPPSSession -UserPrincipalName dom@[onmicrosoftDomain].onmicrosoft.com
  4. Sur la page Enter password, saisissez ibForm@tion dans le champ Password avant de cliquer sur Sign in.
  5. Dans l'invite Powershell, utilisez la commande suivante pour créer un nouveau label de données sensibles nommé Adatum-Secret :
    New-Label -Name Adatum-Secret -DisplayName Adatum-Secret -Tooltip 'For use with Government contracts ONLY' -AdvancedSettings @{Color="Red"} -Comment 'For use with Government contracts ONLY' -ApplyContentMarkingFooterEnabled $true -ApplyContentMarkingFooterText 'ADATUM - SECRET' -ApplyContentMarkingFooterFontSize 12 -ApplyContentMarkingFooterFontColor '#008000' -ApplyContentMarkingFooterAlignment left -ApplyContentMarkingHeaderEnabled $true -ApplyContentMarkingHeaderText 'TOP SECRET' -ApplyContentMarkingHeaderAlignment left -ApplyContentMarkingHeaderFontColor '#0000FF' -ApplyContentMarkingHeaderFontSize 12 -ApplyWaterMarkingEnabled $true -ApplyWaterMarkingText 'ADATUM - SECRET' -ApplyWaterMarkingFontColor '#FF0000' -ApplyWaterMarkingFontSize 48 -ApplyWaterMarkingLayout Diagonal
  6. Basculez vers votre navigateur Internet et affichez l'onglet du portail Microsoft Purview. Vous devriez être resté sur la page Labels.
  7. Dans la liste des labels, le label Adatum-Classified que vous avez créé dans le portail est affiché. Cliquez sur le bouton Refresh dans la barre de menu au-dessus de la liste.
  8. Vous devriez désormais trouver dans la liste des labels le label Adatum-Secret que vous venez de créer en PowerShell en plus du label Adatum-Classified.

Tâche 4 - Publication de labels dans Purview

Dans sa découverte des méthodes de travail avec les labels de données sensibles dans Microsoft 365, Dominique souhaite comprendre comment publier ces labels dans le portail Purview.

  1. Dans le menu de Microsoft Purview, cliquez sur Publishing policies dans le groupe Sensitivity labels de la solution Information Protection
  2. Sur la page Label policies, cliquez sur Publish label dans le menu au-dessus de la liste des stratégies de labels.
  3. Dans l'assistant Create policy, sur la page Choose sensitivity labels to publish, cliquez sur le lien Choose sensitivity labels to publish.
  4. Dans le panneau Sensitivity labels to publish qui s'affiche, cochez la case devant Adatum-Classified avant de cliquer sur Add.
  5. De retour sur la page Choose sensitivity labels to publish cliquez sur le bouton Next.
  6. Sur la page Assign admin units, cliquez sur Next.
  7. Sur la page Publish to users and groups, vous allez définir quels utilisateurs et groupes sont légitime à utiliser le label. Notez que le choix sélectionné est sur All users & groups, ce qui inclut tous les utilisateurs d'Adatum. Cliquez donc sur Next.
  8. Sur la page Policy Settings, laissez toutes les cases décochées et cliquez sur Next.
  9. Sur la page Apply a default label to documents, cliquez sur Next.
  10. Sur la page Default settings for emails, cliquez sur Next.
  11. Sur la page Default settings for meetings and calendar events, cliquez sur le bouton Next.
  12. Sur la page Default settings for Power BI content, cliquez sur Next.
  13. Sur la page Name your policy, saisissez Adatum-Classified Policy dans le champ Name et This policy is used for sensitive information in Government contracts only dans le champ Description avant de cliquer Next.
  14. Sur la page Review and finish, révisez votre saisie et, si nécessaire, cliquez sur le lien Edit pour la modifier ; sinon, cliquez sur le bouton Submit en bas de page.
  15. Sur la page New policy created, cliquez sur Done.

Tâche 5 - Publication de labels avec Windows PowerShell

Dominique a, pour finir, décidé de tester la publication de labels de données sensibles avec Windows PowerShell.

Note : Comme pour les labels précédemment, il serait hors portée de notre stage de réaliser le détail de ces opérations avec Windows PowerShell. C'est pourquoi Dominique va se contenter de vérifier la faisabilité de la publication de labels en Powershell...

  1. Utilisez son icône sur la barre des tâches pour maximiser la fenêtre Administrator: Windows PowerShell ISE que vous aviez utilisée dans une tâche précédente.

  2. Dans la commande (bleue) de Administrator: Windows PowerShell ISE, utilisez la commande suivante pour créer un stratégie de publication de labels nommée Adatum-Secret policy :
    New-LabelPolicy -Name 'Adatum-Secret policy' -Labels 'Adatum-Secret' -Comment 'This policy is for the Microsoft 365 pilot project team related to Project New Day.' -ModernGroupLocation PNDgroup@M[onmicrosoftDomain].onmicrosoft.com -AdvancedSettings @{AttachmentAction = 'Automatic'; DisableMandatoryInOutlook = 'True'}

  3. Basculez vers votre navigateur Internet et affichez l'onglet du portail Microsoft Purview. Vous devriez être resté sur la page Label policies.

  4. Dans la liste des stratégies, la stratégie Adatum-Classified Policy que vous avez créé dans le portail est affichée. Cliquez sur le bouton Refresh dans la barre de menu au-dessus de la liste.

  5. Vous devriez désormais trouver dans la liste des stratégies celle nommée Adatum-Secret policy que vous venez de créer en PowerShell.

  6. Laissez votre navigateur Internet ouvert pour la réalisation du dernier atelier.

Résultat

Dans cet atelier, vous avez créé des labels de données sensibles et les stratégies permettant de les rendre disponibles aux utilisateurs de l'environnement.

Fin de l'atelier 10