Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este escenario se muestra cómo usar condiciones basadas en red en DLP de Microsoft Purview para aplicar distintas protecciones en función de dónde acceden los usuarios datos confidenciales. Al definir conexiones VPN y configurar excepciones de red, la directiva ajusta las acciones (como auditar o bloquear la actividad del Portapapeles) en función del contexto de red, lo que permite un control más preciso para entornos de trabajo híbridos sin restringir uniformemente la actividad del usuario.
Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.
Requisitos previos y supuestos
Este escenario requiere que ya tenga dispositivos incorporados e informes en el Explorador de actividad. Si todavía no ha incorporado sus dispositivos, consulte Introducción a la prevención de pérdida de datos de los puntos de conexión.
En este escenario, definimos una lista de VPN que los trabajadores híbridos usan para acceder a los recursos de la organización.
En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP). Trabaje en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.
Importante
En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.
La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.
En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que es necesario crear y publicar etiquetas de confidencialidad. Para más información, vea:
- Información sobre las etiquetas de confidencialidad
- Introducción a las etiquetas de confidencialidad
- Crear y configurar etiquetas de confidencialidad y sus directivas
Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.
Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.
Asignación y instrucción de intención de directiva
Nosotros, Contoso, queremos controlar cómo se controla el contenido legal confidencial en función del contexto de red en el que operan los usuarios. En concreto, queremos aplicar diferentes niveles de restricción en función de si los usuarios están conectados a través de redes corporativas de confianza o conexiones VPN usadas por los trabajadores híbridos.
Para ello, definiremos las conexiones VPN conocidas y las usaremos en las reglas de excepción de red dentro de una directiva DLP. Esto nos permite aplicar controles más estrictos(como bloquear la actividad del Portapapeles con invalidación) cuando los usuarios están conectados a través de VPN específicas, a la vez que se mantiene un comportamiento menos restrictivo (solo auditoría) en otros contextos. Este enfoque permite la protección de datos contextual que se adapta a cómo y dónde acceden los usuarios a datos confidenciales.
| Instrucción | Pregunta de configuración respondida y asignación de configuración |
|---|---|
| "Queremos aplicar diferentes controles de protección de datos en función de que los usuarios de red estén conectados..." | - Ámbito administrativo: directorio completo - Dónde supervisar: solo dispositivos - Ámbito de directiva: todos los usuarios o dispositivos o usuarios de destino |
| "Queremos identificar las conexiones VPN que usan los trabajadores híbridos..." | - Configuración del punto de conexión: configuración de VPN mediante la dirección del servidor o la dirección de red - Datos recopilados a través de comandos de PowerShell (Get-VpnConnection, Get-NetConnectionProfile) |
| "Queremos detectar contenido legal confidencial controlado en puntos de conexión..." | - Condición: El contenido contiene = clasificadores entrenables, asuntos legales |
| "Queremos controlar actividades de usuario específicas que impliquen contenido confidencial..." | - Acción: Auditar o restringir actividades en dispositivos - Tipo de actividad: actividades de archivo en todas las aplicaciones - Actividad específica: Copia en el Portapapeles (extensible a otros como impresión o copia USB) |
| "Queremos una supervisión menos restrictiva en condiciones normales..." | - Acción de actividad predeterminada: auditar solo para copiar en el Portapapeles |
| "Queremos controles más estrictos cuando los usuarios están conectados a través de redes VPN definidas..." | - Excepción de red: seleccione VPN y establezca la acción en Bloquear con invalidación. - Prioridad: vpn debe establecerse como prioridad máxima en la configuración de excepciones de red |
| "Queremos apoyar la productividad de los usuarios mientras se mantiene la responsabilidad..." | - Capacidad de invalidación: los usuarios pueden continuar con la justificación cuando se bloquean en condiciones de VPN |
| "Queremos garantizar la prioridad correcta de las reglas basadas en red..." | - Comportamiento de configuración: las reglas de VPN tienen prioridad sobre la configuración de red corporativa cuando se ordenan correctamente - Precaución: "Aplicar a todas las actividades" puede sobrescribir otras configuraciones específicas de la actividad |
| "Queremos probar de forma segura el comportamiento de la directiva antes de la aplicación completa..." | - Modo de directiva: Ejecución en modo de simulación - Experiencia del usuario: Mostrar sugerencias de directivas en modo de simulación |
| "Queremos validar el comportamiento de la directiva mediante la supervisión y las pruebas..." | - Supervisión: use el Explorador de actividad para revisar las coincidencias de directivas. - Pruebas: realizar la acción de copia del Portapapeles en diferentes condiciones de red (VPN frente a no VPN) |
Pasos para crear la directiva
Creación y uso de una excepción de red
Las excepciones de red permiten configurar las acciones Permitir, Solo auditoría, Bloquear con invalidación y Bloquear en las actividades de archivo en función de la red desde la que los usuarios acceden al archivo. Puede seleccionar en la lista de configuración de VPN que ha definido y usar la opción Red corporativa . Las acciones se pueden aplicar individual o colectivamente a estas actividades de usuario:
- Copiar en el portapapeles
- Copia en un dispositivo extraíble USB
- Copiar en un recurso compartido de red
- Imprimir
- Copiar o mover mediante una aplicación Bluetooth no permitida
- Copia o movimiento mediante RDP
Obtener la dirección del servidor o la dirección de red
En un dispositivo Windows supervisado por DLP, abra una ventana de Windows PowerShell como administrador.
Ejecute este cmdlet:
Get-VpnConnectionLa ejecución de este cmdlet devuelve varios campos y valores.
Busque el campo ServerAddress y registre ese valor. Esto se usa al crear una entrada VPN en la lista de VPN.
Busque el campo Nombre y registre ese valor. El campo Nombre se asigna al campo Dirección de red al crear una entrada VPN en la lista VPN.
Determinar si el dispositivo está conectado a través de una red corporativa
En un dispositivo Windows supervisado por DLP, abra una ventana de Windows PowerShell como administrador.
Ejecute este cmdlet:
Get-NetConnectionProfileSi el campo NetworkCategory es DomainAuthenticated, el dispositivo se conecta a una red corporativa. Si es cualquier otra cosa, la conexión del dispositivo no se realiza a través de una red corporativa.
Adición de una VPN
Inicie sesión en el portal de Microsoft Purview.
Abra Configuración> del punto de conexión deprevención> de pérdida de datosConfiguración de>VPN.
Seleccione Agregar o editar direcciones VPN.
Proporcione la dirección del servidor o la dirección de red de la ejecución de Get-VpnConnection.
Haga clic en Guardar.
Cierre el elemento.
Configuración de acciones de directiva
Inicie sesión en el portal de Microsoft Purview.
Abra directivas de prevención> de pérdida de datos.
Seleccione Crear directiva.
Datos almacenados en orígenes conectados.
Seleccione Custom (Personalizado ) en Categories ( Categorías ) y , después, Custom policy template (Directiva personalizada ) en Regulations (Regulaciones).
Asigne un nombre a la nueva directiva y proporcione una descripción.
Seleccione Directorio completo en unidades Administración.
Establezca el ámbito de la ubicación solo en Dispositivos .
Cree una regla en la que:
- El contenido contiene = Clasificadores entrenables, Asuntos Jurídicos
- Acciones = Auditoría o restricción de actividades en dispositivos
- A continuación, elija Actividades de archivo en todas las aplicaciones.
- Seleccione Aplicar restricciones a una actividad específica.
- Seleccione las acciones para las que desea configurar excepciones de red .
Seleccione Copiar en el Portapapeles y la acción Solo auditoría .
Seleccione Elegir distintas restricciones de copia en el Portapapeles.
Seleccione VPN y establezca la acción en Bloquear con invalidación.
Importante
Si desea controlar las actividades de un usuario cuando está conectado a través de una VPN , debe seleccionar la VPN y convertirla en la prioridad principal en la configuración Excepciones de red. De lo contrario, si se selecciona la opción Red corporativa , se aplicará esa acción definida para la entrada de red corporativa .
Precaución
La opción Aplicar a todas las actividades copiará las excepciones de red que se definen aquí y las aplicará a todas las demás actividades específicas configuradas, como Imprimir y Copiar en un recurso compartido de red. Esto sobrescribirá las excepciones de red en las otras actividades La última configuración guardada gana.
Guardar.
Acepte el valor predeterminado Ejecutar la directiva en modo de simulación y elija Mostrar sugerencias de directiva mientras está en modo de simulación. Elija Siguiente.
Revise la configuración y elija Enviar y, a continuación, Listo.
La nueva directiva DLP aparece en la lista de directivas.