Prise en main de l’intégration Microsoft DLP IR pour la prévention des pertes de données

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Consultez les informations suivantes avant de commencer à configurer votre Microsoft DLP IR intégration pour la prévention des pertes de données.

    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Obtenez les informations d’identification Microsoft Purview pour extraire les données de l’événement et les informations d’identification de compte de stockage AWS/Azure pour stocker le contenu de la correspondance

    Enregistrer une application auprès de Microsoft Identity Platform

    		 Enregistrez une application sur la plateforme Microsoft Azure à partir d’ici pour obtenir l’ID client, le secret client et l’ID de locataire. Pour plus d’informations sur les rôles requis pour créer une application, consultez Prérequis.

    Pour plus d’informations sur les autorisations/rôles d’API requis sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration de Microsoft DLP, consultez le tableau suivant.
    Autorisations requises pour que l’utilisateur Azure obtienne l’accès de lecture/d’écriture/de suppression d’objet blob sur le stockage Azure
    1. Affectez le rôle de contributeur de données d’objet blob de stockage à un utilisateur Azure existant pour lire, écrire et supprimer des objets blob sur le stockage Azure. Pour plus d’informations sur le rôle, consultez Rôles intégrés Azure : Contributeur de données Blob de stockage. Vous pouvez également créer un rôle personnalisé et spécifier les actions. Pour plus d’informations sur la création de rôles personnalisés, consultez Rôles personnalisés Azure.
    2. Attribuez une clé d’accès partagé à l’utilisateur disposant de privilèges de rôle. Pour plus d’informations sur les clés d’accès du compte, consultez Afficher les clés d’accès du compte.
    Autorisations requises pour que l’utilisateur AWS accède à l’objet en lecture/en écriture/en suppression sur AWS Storage Créez une politique qui donne un accès à la liste, à la lecture, à l’écriture et à la suppression de l’objet dans AWS S3 Storage.
    1. Créez et configurez une catégorie Amazon S3. Pour plus d’informations sur la création d’une catégorie S3, consultez Créer une catégorie S3.
    2. Fournissez un accès en lecture et en écriture aux objets de compartiment Amazon S3. Pour plus d’informations sur les accès aux objets, consultez l’exemple de stratégie. Pour plus d’informations sur la création de politiques, consultez Créer des politiques IAM.
    3. Fournissez la clé d’accès et la clé secrète à l’utilisateur. Pour plus d’informations sur l’authentification, consultez Authentification des outils AWS.
    Affectez et vérifiez si vous disposez des rôles requis pour ServiceNow AI Platform les rôles d’administration en cas de perte de données. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle admin installe l’intégration à partir de et ServiceNow Store affecte le rôle sn_dlir.admin.
    • Le rôle sn_dlir.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Configure les profils d’incident.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration Microsoft DLP IR sont installées et activées avant de configurer cette intégration. Vérifiez que les applications suivantes et les applications courantes de support de sécurité sont DLP IR installées et activées à partir du ServiceNow Store. Installez et activez via l’application, si nécessaire.
    • Prise en charge de la sécurité commune
    • Data Loss Prevention Incident Response
    Tableau 2. Autorisations/rôles API requis sur une application Microsoft AzureVous avez besoin des autorisations/rôles d’API suivants sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration Microsoft DLP.
    API Nom d’autorisation Type Description Quelle fonctionnalité ServiceNow est-elle requise ? Le consentement de l’administrateur est-il requis ?
    API de gestion Office 365 FluxActivité.LectureDlp Application Lisez les événements de politique DLP, y compris les données sensibles détectées. Pour ingérer les événements DLP de MSFT Purview vers ServiceNow.
    Remarque :
    Cette autorisation est requise pour obtenir les données Microsoft dans ServiceNow.
    		 Oui
    Microsoft Graph API Fichiers.Lecture.Tout Application Lisez les fichiers dans toutes les collections de sites auxquelles vous pouvez accéder. Télécharger le fichier : pour télécharger la pièce jointe sur l’instance ServiceNow à l’origine de l’événement DLP à partir de OneDrive ou SharePoint
    Remarque :
    Cette autorisation est facultative. Vous pouvez ignorer cette autorisation d’API si vous ne souhaitez pas autoriser les analystes à télécharger la pièce jointe à l’origine de l’événement DLP.
    		 Oui
    Mail.Read Application Lisez le courrier dans toutes les boîtes aux lettres. Télécharger le fichier : pour télécharger le contenu de l’e-mail (corps et pièce jointe) sur l’instance ServiceNow à l’origine de l’événement DLP à partir d’Exchange.
    Remarque :
    Facultatif. Vous pouvez ignorer cette autorisation d’API si vous ne souhaitez pas autoriser les analystes à télécharger le contenu de l’e-mail (corps, pièce jointe) à l’origine de l’événement DLP.
    		 Oui
    Utilisateur.Lire Délégué Connectez-vous et lisez le profil d’utilisateur. Autorisation par défaut disponible pour toutes les nouvelles applications. Non

    Information sensible détectée (facultatif)

    Le contenu de la correspondance est stocké en externe dans le stockage Azure Blob ou la catégorie Amazon S3 et est extrait du stockage externe lorsque l’utilisateur constate un incident.

    L’une des autorisations suivantes est requise si les utilisateurs souhaitent afficher le contenu de la correspondance/les informations sensibles détectées dans l’application DLP Core :
    1. Si vous êtes un Microsoft Azure utilisateur, vous devez avoir le rôle Contributeur de données d’objet blob de stockage pour lire, écrire et supprimer des objets blob sur le stockage Azure.
    2. Si vous êtes un utilisateur d’Amazon S3, vous devez créer une stratégie qui donne un accès à la liste, à la lecture, à l’écriture et à la suppression de l’objet dans Amazon S3 Storage.