Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este escenario se muestra cómo usar grupos de autorización en DLP de Microsoft Purview para aplicar un bloque predeterminado en acciones de datos confidenciales al tiempo que se permiten excepciones controladas. En este ejemplo, la impresión de documentos clasificados como contenido legal está restringida en todos los dispositivos, excepto en un conjunto definido de impresoras de departamento jurídico aprobadas.
Al combinar las restricciones de impresión de nivel de dispositivo con una lista de permitidos de impresora, este enfoque permite a las organizaciones proteger la información confidencial y, al mismo tiempo, admitir flujos de trabajo empresariales legítimos. También se muestra cómo se pueden reutilizar los grupos de autorización para otros escenarios, como dispositivos de almacenamiento extraíbles o recursos compartidos de red.
Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.
Estos escenarios requieren que ya tenga dispositivos incorporados y que presenten informes al Explorador de actividades. Si todavía no ha incorporado sus dispositivos, consulte Introducción a la prevención de pérdida de datos de los puntos de conexión.
Los grupos de autorización se usan principalmente como listas de permitidos. Ha asignado acciones de directiva al grupo que son diferentes de las acciones de directiva global. En este escenario, se pasa por la definición de un grupo de impresoras y, a continuación, se configura una directiva con acciones de bloque para todas las actividades de impresión excepto para las impresoras del grupo. Estos procedimientos son básicamente los mismos para los grupos de dispositivos de almacenamiento extraíbles y los grupos de recursos compartidos de red.
En este escenario, definimos un grupo de impresoras que el departamento jurídico usa para los contratos de impresión. Se bloquean los contratos de impresión en cualquier otra impresora.
Requisitos previos y supuestos
En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP). Trabaje en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.
Importante
En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.
La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.
En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que es necesario crear y publicar etiquetas de confidencialidad. Para más información, vea:
- Información sobre las etiquetas de confidencialidad
- Introducción a las etiquetas de confidencialidad
- Crear y configurar etiquetas de confidencialidad y sus directivas
Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.
Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.
Asignación y instrucción de intención de directiva
Nosotros, Contoso, queremos evitar que los usuarios impriman contenido legal confidencial en impresoras no autorizadas y, al mismo tiempo, permitir flujos de trabajo empresariales aprobados para el departamento legal. En este escenario, los documentos que coincidan con el clasificador que se puede entrenar de Asuntos Jurídicos deben estar protegidos de que se impriman ampliamente en toda la organización, pero los usuarios de Legal deben poder imprimir esos documentos en un conjunto definido de impresoras aprobadas.
Para ello, crearemos una directiva que aplique restricciones de impresión en los dispositivos para el contenido clasificado como de naturaleza legal. La impresión se bloqueará de forma predeterminada, pero un grupo de autorización de impresoras aprobadas se configurará como una excepción y se permitirá. Esto permite una fuerte posición de protección predeterminada al tiempo que se admiten las necesidades empresariales legítimas a través de un modelo de lista de permitidos controlado.
| Instrucción | Pregunta de configuración respondida y asignación de configuración |
|---|---|
| "Queremos proteger los documentos legales confidenciales de que no se impriman en impresoras no autorizadas..." | - Ámbito administrativo: directorio completo - Dónde supervisar: solo dispositivos - Ámbito de directiva: todos los usuarios o dispositivos cubiertos por la directiva |
| "Queremos identificar los documentos que contienen contenido confidencial legal..." | - Condición: El contenido contiene = clasificadores entrenables, asuntos legales |
| "Queremos restringir la impresión de ese contenido confidencial en los dispositivos de punto de conexión..." | - Acción: Auditar o restringir actividades en dispositivos - Tipo de actividad: actividades de archivo en todas las aplicaciones - Modelo de restricción: Aplicar restricciones a una actividad específica |
| "Queremos que la impresión se bloquee de forma predeterminada a menos que se permita explícitamente..." | - Restricción de actividad: Imprimir = Bloquear |
| "Queremos que las impresoras del departamento legal aprobadas estén exentas del bloque predeterminado..." | - Configuración del punto de conexión: crear un grupo de impresoras denominado Impresoras legales - Los miembros del grupo se pueden definir por nombre descriptivo de impresora, identificador de producto/proveedor USB, intervalo IP, impresión a archivo, impresión universal, impresora corporativa o impresión en local |
| "Queremos un comportamiento de directiva diferente para las impresoras aprobadas que la acción de directiva global..." | - Comportamiento del grupo de autorización: elija diferentes restricciones de impresión. - Restricción del grupo de impresoras: Agregar impresoras legales - Acción específica del grupo: Permitir |
| "Queremos que la actividad de impresión aprobada permanezca visible con fines de auditoría sin crear alertas innecesarias..." | - Permitir comportamiento de acción: la actividad de impresión permitida se registra en el registro de auditoría. - No se genera ninguna alerta o notificación de usuario para la acción de impresora permitida |
| "Queremos probar la directiva de forma segura antes de la aplicación..." | - Modo de directiva: ejecutar la directiva en modo de simulación - Experiencia del usuario: Mostrar sugerencias de directivas en modo de simulación |
| "Queremos usar este mismo patrón de diseño para otros destinos autorizados en el futuro..." | - Modelo de grupo de autorización reutilizable: se aplica el mismo enfoque a los grupos de dispositivos de almacenamiento extraíbles y a los grupos de recursos compartidos de red. |
Pasos para crear la directiva
Creación y uso de grupos de impresoras
Inicie sesión en el portal > de Microsoft PurviewConfiguración deprevención> de pérdida de datos (engranaje en la esquina superior izquierda) >Configuración> del punto de conexión de prevención de pérdida de datosGrupos de impresoras>.
Seleccione Crear grupo de impresoras y escriba un nombre agrupar. En este escenario, usamos
Legal printers.Seleccione Agregar impresora y proporcione un nombre. Puede definir impresoras mediante:
- Nombre descriptivo de la impresora
- Id. de producto USB
- Identificador de proveedor USB
- Intervalo IP
- Imprimir en el archivo
- Impresión universal implementada en una impresora
- Impresora corporativa
- Imprimir en local
Seleccione Cerrar.
Configuración de acciones de impresión de directivas
Inicie sesión en el portal de Microsoft Purview.
Vaya a Directivas de prevención> de pérdida de datos.
Seleccione Crear directiva.
Datos almacenados en orígenes conectados.
Seleccione Custom (Personalizado ) en Categories ( Categorías ) y , después, Custom policy template (Directiva personalizada ) en Regulations (Regulaciones).
Asigne a la nueva directiva un nombre y una descripción.
Acepte el directorio completo predeterminado en Administración unidades.
Establezca el ámbito de la ubicación solo en la ubicación Dispositivos .
Cree una regla con los valores siguientes:
- Agregar una condición: el contenido contiene = clasificadores entrenables, asuntos legales
- Acciones = Auditoría o restricción de actividades en dispositivos
- A continuación, elija Actividades de archivo en todas las aplicaciones.
- Seleccione Aplicar restricciones a una actividad específica.
- Seleccionar bloque de impresión =
Seleccione Elegir restricciones de impresión diferentes
En Restricciones del grupo de impresoras, seleccione Agregar grupo y seleccione Impresoras legales.
Establezca ActionAllow (Permitir acción = ).
Sugerencia
El evento Permitir acción se registrará y audita en el registro de auditoría, pero no generará una alerta o notificación.
Seleccione Guardar y, a continuación, Siguiente.
Acepte el valor predeterminado Ejecutar la directiva en modo de simulación y elija Mostrar sugerencias de directiva en modo simulatán. Elija Siguiente.
Revise la configuración y elija Enviar.
La nueva directiva DLP aparece en la lista de directivas.