Appliquer automatiquement des libellés de classification aux fichiers Drive à l'aide des règles de protection contre la perte de données

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Fundamentals, Education Standard et Education Plus. Comparer votre édition

La protection contre la perte de données Drive et la protection contre la perte de données Chat sont disponibles pour les utilisateurs Cloud Identity Premium qui disposent également d'une licence Google Workspace. Pour la protection contre la perte de données Drive, la licence doit inclure les événements de journaux Drive.

En tant qu'administrateur, les règles de protection contre la perte de données vous permettent d'appliquer automatiquement des libellés aux fichiers Drive en fonction du contenu sensible détecté. Les libellés et les noms de données indiqués dans les exemples de cet article ne sont pas inclus nativement dans le gestionnaire de libellés ni la protection contre la perte de données.

Utiliser des libellés dans les conditions des règles de protection contre la perte de données pour Drive

Vous pouvez utiliser des libellés de classification dans les conditions des règles.

Les conditions suivantes sont acceptées :

  • Vérifier la présence d'un libellé.
  • Vérifier la présence d'une ou de plusieurs valeurs de champ de la liste d'options lorsque le paramètre Autoriser les sélections multiples de la liste d'options est désactivé.
  • Exclure les conditions ci-dessus.

Les conditions suivantes ne sont pas acceptées :

  • Vérifier les valeurs du champ de la liste d'options lorsque le paramètre Autoriser les sélections multiples est activé.
  • Vérifiez les valeurs des autres types de champs, tels que "Nombre", "Date", "Texte" ou "Personne".

Utiliser des libellés dans les actions des règles de protection contre la perte de données pour Drive

Appliquez un libellé de classification en tant qu'action de protection contre la perte de données appliquée automatiquement. Lorsque la règle de protection contre la perte de données est déclenchée, le système applique des libellés comme action aux fichiers Drive qui répondent aux critères de la règle.

L'action de règle suivante est acceptée :

  • Appliquer un libellé et une valeur dans le champ de la liste d'options lorsque le paramètre Autoriser les sélections multiples est désactivé.

Les actions de règle suivantes ne sont pas acceptées :

  • Appliquer un libellé, mais pas de valeur de champ. Toutefois, vous pouvez configurer des paramètres de classification par défaut pour appliquer un libellé aux nouveaux fichiers et aux fichiers dont le propriétaire change. Pour en savoir plus, consultez Appliquer automatiquement des libellés de classification aux nouveaux fichiers.
  • Appliquer un libellé et un champ de la liste d'options lorsque le paramètre Autoriser les sélections multiples est activé.
  • Appliquer un libellé à d'autres types de champs, comme "Nombre", "Date", "Texte" ou "Personne".

Avant de commencer

Comprendre les libellés de classification et en créer

Avant de pouvoir utiliser des libellés de classification avec les règles de protection contre la perte de données Drive :

  1. Comprenez l'objectif et le fonctionnement des libellés de classification. Pour en savoir plus, consultez Premiers pas en tant qu'administrateur de libellés de classification.
  2. Créez des libellés, ou identifiez des libellés existants que vous souhaitez utiliser.

Utiliser des règles de protection contre la perte de données ou la classification par défaut pour appliquer automatiquement des libellés

Utilisez des règles de protection contre la perte de données pour appliquer automatiquement des libellés en fonction de conditions ou d'actions spécifiques. Si vous souhaitez uniquement appliquer des libellés aux nouveaux fichiers lorsqu'ils sont créés par des utilisateurs donnés, utilisez les libellés de classification par défaut.

Fonctionnement des libellés de classification par défaut

  • Applique des libellés aux nouveaux fichiers et lorsque la propriété d'un fichier change. La classification par défaut n'applique pas de façon rétroactive les libellés aux fichiers existants, sauf si le propriétaire du fichier change.
  • Applique les libellés en fonction de l'unité organisationnelle ou du groupe du propriétaire du fichier. La classification par défaut ne recherche pas le contenu ni les métadonnées des fichiers pour certaines conditions.
  • Si les utilisateurs sont autorisés à modifier un libellé, ils peuvent le modifier ou le supprimer après son application automatique.
  • Seuls les libellés associés à un champ de liste d'options sont compatibles avec la classification par défaut.
  • Les libellés de classification par défaut sont remplacés par les libellés définis par la protection contre la perte de données, même si la valeur de classification des données est plus élevée dans la liste d'options.

Fonctionnement des libellés définis par les règles de protection contre la perte de données

  • Applique des libellés aux fichiers nouveaux et existants.
  • Applique des libellés en fonction de conditions telles que le type de fichier, les correspondances de mots et les correspondances de chaînes.
  • Vous ne pouvez pas appliquer un libellé avec une règle de protection contre la perte de données qui utilise un libellé comme condition.
  • Vous pouvez empêcher les utilisateurs de modifier le libellé, même s'ils sont autorisés à le faire. S'ils le modifient, la protection contre la perte de données analyse immédiatement le fichier et rétablit la configuration des libellés.
  • Si votre organisation dispose d'une règle de protection contre la perte de données qui bloque le partage externe, les utilisateurs n'appartenant pas à votre organisation ne peuvent pas consulter l'historique des versions des fichiers auxquels une règle de protection contre la perte de données a été appliquée. Cette stipulation inclut les règles de protection contre la perte de données qui appliquent des libellés, mais ne bloquent pas le partage externe.
  • Les règles de protection contre la perte de données peuvent appliquer des libellés comportant des champs de liste d'options, y compris des libellés avec badge.

Fonctionnement des libellés de classification par IA

  • Applique des libellés aux fichiers nouveaux et existants.
  • Seuls les libellés avec un champ de liste d'options comprenant entre deux et sept valeurs sont compatibles avec la classification par IA.
  • Applique les libellés après une période d'entraînement. Au cours de la période d'entraînement, les personnes désignées appliquent un libellé d'entraînement à au moins 100 fichiers par option de champ.
  • Les libellés de classification par IA sont remplacés par les libellés définis par la protection contre la perte de données, mais ils remplacent les libellés de classification par défaut.

Comprendre comment les conflits de règles sont résolus

Les valeurs de libellé définies par les règles de protection contre la perte de données prévalent sur la classification par IA, et toutes deux sont prioritaires sur la classification par défaut.

Lorsqu'au moins deux règles du même type tentent d'appliquer différentes valeurs de libellé à un même fichier, la valeur la plus élevée dans la liste d'options du libellé est appliquée. Par exemple, vous pouvez avoir un libellé dont un champ comporte trois options dans le gestionnaire de libellés :

  1. Confidentiel
  2. Interne
  3. Public

Si la règle 1 tente de définir le libellé sur Confidentiel et que la règle 2 tente de le définir sur Public pour le même fichier, c'est la valeur Confidentiel (règle 1) qui s'applique. Avant de configurer des règles, assurez-vous que les options de champ d'un libellé sont classées selon l'ordre de priorité de votre choix.

Configurer une règle de protection contre la perte de données Drive pour appliquer un libellé de classification

Comprendre le verrouillage des libellés

Les libellés, les champs et les options de champ associés aux règles de protection contre la perte de données sont verrouillés dans le gestionnaire de libellés. Cela permet d'éviter que les libellés ou les champs soient modifiés d'une façon qui enfreigne les règles de l'entreprise. Pour déverrouiller le libellé, le champ ou l'option de champ, supprimez-le de toutes les règles de protection contre la perte de données.

Modifications apportées dans le gestionnaire de libellés :

  • Il est possible d'ajouter de nouveaux champs ou options de champ, ainsi que de les renommer.
  • Il n'est pas possible de supprimer ou désactiver les libellés, champs ou options de champ utilisés dans les règles de protection contre la perte de données. Les administrateurs disposant du droit Gérer les libellés peuvent voir si un libellé est utilisé dans une règle, mais ils ne peuvent pas voir la règle elle-même, sauf s'ils disposent des droits requis.

Vous ne pouvez pas créer de règles de protection contre la perte de données avec des libellés, champs ou options de champ désactivés, même dans les brouillons de libellés publiés.

Annuler une modification globale apportée aux libellés Drive

Si vous avez appliqué par erreur un libellé (ou un libellé et des valeurs de champ) à un grand nombre de fichiers à l'aide d'une règle de protection contre la perte de données, vous pouvez supprimer cette modification par le même moyen.

Pour ce faire, désactivez la règle de protection contre la perte de données à l'origine de la modification. La règle supprime alors automatiquement le libellé et les valeurs de champ. Vous pouvez également modifier la règle de protection contre la perte de données en question pour supprimer l'action Appliquer le libellé. Cela a également pour effet de supprimer le libellé et les valeurs de champ appliquées par la règle. L'application de cette modification peut prendre quelques minutes, quelques heures, voire plus, en fonction du nombre de documents à mettre à jour.

Cette procédure de nettoyage comporte une exception si vous choisissez d'autoriser l'option Indiquez si les utilisateurs sont autorisés à modifier les libellés et les valeurs de champ appliqués à leurs fichiers. Les libellés et les champs modifiés par les règles de protection contre la perte de données sont alors supprimés, mais ceux qui ont été modifiés par les utilisateurs restent inchangés.

Consulter les événements de journaux Drive pour vérifier les actions

Pour savoir ce qui a changé dans un fichier, consultez le journal d'audit de Drive. La colonne "Description" de l'événement liste les actions associées à la protection contre la perte de données, telles que Libellé Contrat appliqué par une règle de protection contre la perte de données. Pour en savoir plus, consultez Événements de journaux Drive.

Les analyses de protection contre la perte de données prennent plus de temps que prévu. Que se passe-t-il ?

Appliquer les libellés à l'aide du système de protection contre la perte de données vous permet de modifier de nombreux documents dans Drive. Le nombre de fichiers concernés peut être plus important que prévu. Le traitement des règles qui modifient un grand nombre de fichiers peut être plus long que celui des règles qui n'affectent qu'un petit nombre de fichiers. Il peut être judicieux de tester une règle ajoutant un libellé sur un petit échantillon avant de l'appliquer à grande échelle.