Guide complet de configuration de Microsoft Purview Suite pour PME suisses : étiquettes de sensibilité, SIT personnalisés (AVS, IBAN, données médicales), auto-labelling, politiques DLP, DSPM for AI, Endpoint DLP, Insider Risk Management, eDiscovery, Communication Compliance, gouvernance SharePoint et Power Platform. Conformité nLPD.
View the Project on GitHub doit4everyone/microsoft-purview-configuration-2026-nLPD
| Méthode | Comment faire | Risque |
|---|---|---|
| Mode simulation DLP | DLP → votre politique → Modifier → Mode : Simulation | ✅ Aucun — recommandé |
| Exclure un utilisateur | DLP → politique → Modifier → Emplacements → Exclure → votre compte test | ⚠️ Faible : 1 utilisateur |
| Désactiver une règle | DLP → politique → Règles → toggle OFF sur la règle spécifique | ⚠️ Moyen |
| Désactiver la politique | DLP → politique → Mode : Désactivé | 🚨 Élevé — aucune protection |
L’accès aux documents protégés par chiffrement est évalué dynamiquement. Le retrait d’un utilisateur d’un groupe associé à une étiquette entraîne la perte immédiate d’accès à l’ensemble des documents protégés, y compris ceux reçus antérieurement par courrier électronique ou déjà téléchargés.
| Vérification | Où dans Purview |
|---|---|
| Nouveaux événements DLP | Prévention des pertes de données → Activity Explorer |
| Interactions Copilot inhabituelles | DSPM pour l’IA → Activités de l’IA |
| Documents non étiquetés dans SharePoint RH/Finances | Protection des informations → Content Explorer |
| Rapport hebdomadaire DSPM | Email automatique si configuré en 5.1 |
| Problème | Cause probable | Solution |
|---|---|---|
| Page Purview inaccessible | Rôle manquant | Vérifiez les 5 groupes Purview RBAC (section 0.3) |
| Bouton audit grisé | Rôle Organization Management manquant | Ajoutez-vous au groupe Exchange (section 0.3) |
| PowerShell = False malgré la commande | Rôle Audit Logs manquant | Vérifiez Organization Management Exchange |
| Étiquettes invisibles dans Word après un délai variable | Politique d’étiquettes non publiée | Purview → Politiques d’étiquettes → vérifiez le statut |
| Auto-labelling ne détecte rien | Fichiers pas dans les emplacements configurés | Vérifiez les sites SharePoint dans la stratégie |
| DLP ne bloque pas | Politique en mode simulation | Changez le mode en Activé |
| Copilot non bloqué malgré DLP | Documents pas encore étiquetés | Attendez que l’auto-labelling applique les labels (délai variable selon le tenant) |
| Content Explorer vide | Rôle Content Viewer manquant | Ajoutez-vous aux 2 groupes Content Explorer (section 0.3) |
Le chiffrement Purview ne nécessite pas que vous transmettiez un mot de passe au partenaire. L’accès est géré automatiquement par Microsoft via le authentification sécurisée (compte Microsoft/Entra ID ou code email). Voici les points essentiels pour répondre aux questions des utilisateurs et éviter les contournements de sécurité.
| Question / Situation | Réponse / Conseil support |
|---|---|
| Accès du partenaire externe | Le code est généré automatiquement par Microsoft au moment où le partenaire clique sur le lien, uniquement s’il ne possède pas de compte Microsoft ou Entra ID. |
| Durée de validité | Si un code email est utilisé, il est valable 15 minutes. Après expiration, le partenaire doit cliquer à nouveau sur Envoyer le code. |
| Le partenaire ne reçoit pas le code | Vérifiez les spams. L’email provient de microsoft.com. Si le problème persiste, demandez au partenaire d’essayer avec un autre navigateur ou de vider le cache. |
| Conseil support général | Recommandez la version Web (navigateur) plutôt que l’application de bureau pour une authentification invité (navigateur recommandé). Rappel : ne jamais transmettre un code de vérification reçu par email via un autre canal — il est à usage unique et lié à la session. |
Dans un tenant Microsoft 365 actif depuis plusieurs années et sans gouvernance initiale des données, il est normal qu’une dette de labellisation existe : documents historiques, fichiers métier, contenus transférés ou hérités. L’objectif de cette section est de décrire la méthode pour identifier et piloter cette dette, en tenant compte des limitations connues de Purview.
Rappel de la limitation Purview :** **l’Explorateur de données (Content Explorer) n’offre pas de filtre « étiquette de sensibilité = aucune ». L’identification des fichiers non étiquetés repose donc sur une approche combinée, décrite ci-dessous en 4 méthodes.
Méthode 1 : Analyse des contenus déjà étiquetés (vue positive)
Purview → Protection des données → Explorateur de données : analysez chaque étiquette de sensibilité existante (RH-Confidentiel, Interne, Direction, etc.) individuellement. Observez les volumes de fichiers étiquetés par emplacement (SharePoint, OneDrive), par site et par bibliothèque. Cette étape fournit une cartographie fiable des données déjà gouvernées.
Méthode 2 : Comparaison avec l’inventaire réel des emplacements
Comparez les volumes observés dans l’Explorateur de données avec l’inventaire réel des sites et bibliothèques SharePoint (rapports SharePoint/OneDrive), en priorité sur les emplacements sensibles : sites RH, Finances, Direction et OneDrive des fonctions à risque. Tout écart significatif entre le volume total de fichiers et le volume visible comme étiqueté constitue de la dette de labellisation à qualifier.
Méthode 3 : Auto-labellisation en mode simulation (rattrapage ciblé)
Pour identifier précisément les fichiers sensibles non étiquetés, relancez les stratégies d’auto-labellisation existantes en mode Simulation (données RH : AVS, données personnelles ; données financières : IBAN ; données médicales). La simulation identifie les fichiers qui devraient être étiquetés selon les règles définies, sans modifier les documents et sans impact utilisateur. Tout fichier détecté en simulation sans étiquette existante est un candidat prioritaire au rattrapage.
Méthode 4 : Gouvernance par emplacement
Certains documents sensibles ne contiennent pas de motifs détectables automatiquement (contenu stratégique, juridique, direction). Pour ces cas, la gouvernance par emplacement s’applique : sur les sites identifiés comme sensibles, tout fichier sans étiquette est considéré non conforme par défaut, un étiquetage manuel ou une confirmation utilisateur est exigé. Cette approche complète les méthodes automatisées pour les données non structurées.
Résultat attendu et fréquence
Cadence recommandée : revue trimestrielle. À l’issue de chaque cycle, la dette de labellisation est identifiée, quantifiée et localisée ; les zones à risque sont priorisées ; les actions correctives (auto-labellisation, étiquetage manuel, gouvernance renforcée) sont planifiées et tracées dans le registre nLPD. L’objectif mesurable à atteindre est un taux de couverture des sensitivity labels supérieur à 80 % sur les emplacements sensibles, vérifiable via l’Explorateur de données et corrélé avec les rapports SharePoint/OneDrive.
Cette démarche constitue le point de transition vers la mise en oeuvre progressive de stratégies d’auto-labellisation complémentaires et la réduction continue de la dette dans le temps cohérente avec l’approche itérative documentée en section 7.2.
Indicateurs minimaux de suivi
Ces trois indicateurs constituent le tableau de bord minimal pour piloter la dette de labellisation dans le temps. Ils sont mis à jour lors de chaque revue trimestrielle et documentés dans le registre nLPD.
| Indicateur | Fréquence | Seuil d’alerte |
|---|---|---|
| % de fichiers sans étiquette sur les sites sensibles (RH, Finances, Direction) | Trimestrielle | À définir par l’organisation (objectif recommandé : couverture > 80 %) |
| Évolution vs trimestre précédent (hausse / stable / baisse) | Trimestrielle | Hausse > 5 % → action corrective immédiate |
| Taux de couverture global des sensitivity labels | Trimestrielle | < 70 % → revue prioritaire à planifier |
| ← Partie 6 — Scénarios de test et validation | Partie 8 — Fonctionnalités avancées Purview → |