Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo scenario illustra come usare le condizioni basate sulla rete in Microsoft Purview DLP per applicare protezioni diverse in base alla posizione in cui gli utenti accedono a dati sensibili. Definendo le connessioni VPN e configurando le eccezioni di rete, i criteri regolano le azioni, ad esempio il controllo o il blocco dell'attività degli Appunti, in base al contesto di rete, consentendo un controllo più preciso per gli ambienti di lavoro ibridi senza limitare in modo uniforme l'attività degli utenti.
Questo scenario è destinato a un amministratore senza restrizioni che crea un criterio di directory completa.
Prerequisiti e presupposti
Questo scenario richiede l'onboarding dei dispositivi e la creazione di report in Esplora attività. Se non si è ancora eseguito l'onboarding di dispositivi, vedere Introduzione alla prevenzione della perdita di dati degli endpoint.
In questo scenario viene definito un elenco di VPN usate da ruoli di lavoro ibridi per l'accesso alle risorse dell'organizzazione.
Questo articolo usa il processo appreso in Progettare criteri di prevenzione della perdita dei dati per illustrare come creare un criterio di Prevenzione della perdita dei dati Microsoft Purview (DLP). Usare questi scenari nell'ambiente di test per acquisire familiarità con l'interfaccia utente di creazione dei criteri.
Importante
Questo articolo presenta uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. Sostituire i propri tipi di informazioni riservate, etichette di riservatezza, gruppi di distribuzione e utenti.
La modalità di distribuzione di un criterio è altrettanto importante per la progettazione dei criteri. Questo articolo illustra come usare le opzioni di distribuzione in modo che i criteri raggiungano la finalità, evitando costose interruzioni aziendali.
Questo scenario usa l'etichetta di riservatezza Riservato , pertanto è necessario creare e pubblicare etichette di riservatezza. Per altre informazioni, vedere:
- Informazioni sulle etichette di riservatezza
- Iniziare a usare le etichette di riservatezza
- Creare e configurare etichette di riservatezza e i relativi criteri
Questa procedura usa un ipotetico gruppo di distribuzione Risorse umane e un gruppo di distribuzione per il team di sicurezza in Contoso.com.
Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati
Istruzione e mapping delle finalità dei criteri
Contoso vuole controllare il modo in cui il contenuto legale sensibile viene gestito in base al contesto di rete in cui operano gli utenti. In particolare, si vogliono applicare diversi livelli di restrizione a seconda che gli utenti siano connessi tramite reti aziendali attendibili o connessioni VPN usate dai lavoratori ibridi.
A tale scopo, definiamo connessioni VPN note e le useremo nelle regole di eccezione di rete all'interno di un criterio DLP. In questo modo è possibile applicare controlli più severi, ad esempio il blocco dell'attività degli Appunti con override, quando gli utenti sono connessi tramite VPN specifiche, mantenendo al tempo stesso un comportamento meno restrittivo (solo controllo) in altri contesti. Questo approccio consente la protezione dei dati contestuale che si adatta a come e dove gli utenti accedono dati sensibili.
| Istruzione | Risposta alla domanda di configurazione e mapping della configurazione |
|---|---|
| "Vogliamo applicare diversi controlli di protezione dei dati a seconda che gli utenti di rete siano connessi da..." | - Ambito amministrativo: directory completa - Dove monitorare: solo dispositivi - Ambito dei criteri: tutti gli utenti/dispositivi o gli utenti di destinazione |
| "Vogliamo identificare le connessioni VPN usate dai ruoli di lavoro ibridi..." | - Impostazioni endpoint: configurare le impostazioni VPN usando l'indirizzo server o l'indirizzo di rete - Dati raccolti tramite i comandi di PowerShell (Get-VpnConnection, Get-NetConnectionProfile) |
| "Vogliamo rilevare contenuti legali sensibili gestiti sugli endpoint..." | - Condizione: contenuto contiene = classificatori sottoponibili a training, affari legali |
| "Vogliamo controllare specifiche attività utente che coinvolgono contenuti sensibili..." | - Azione: Controllare o limitare le attività nei dispositivi - Tipo di attività: Attività file in tutte le app - Attività specifica: copia negli Appunti (estendibile ad altri utenti come la stampa o la copia USB) |
| "Vogliamo un monitoraggio meno restrittivo in condizioni normali..." | - Azione attività predefinita: controlla solo la copia negli Appunti |
| "Vogliamo controlli più severi quando gli utenti sono connessi tramite reti VPN definite..." | - Eccezione di rete: selezionare VPN e impostare azione su Blocca con override - Priorità: la VPN deve essere impostata come priorità principale nella configurazione delle eccezioni di rete |
| "Vogliamo supportare la produttività degli utenti mantenendo la responsabilità..." | - Funzionalità di override: gli utenti possono procedere con la giustificazione quando sono bloccati in condizioni VPN |
| "Vogliamo garantire la corretta precedenza delle regole basate sulla rete..." | - Comportamento di configurazione: le regole VPN hanno la precedenza sulle impostazioni di rete aziendali se ordinate correttamente - Attenzione: "Applica a tutte le attività" può sovrascrivere altre configurazioni specifiche dell'attività |
| "Si vuole testare in modo sicuro il comportamento dei criteri prima dell'applicazione completa..." | - Modalità criteri: esecuzione in modalità di simulazione - Esperienza utente: mostra suggerimenti per i criteri in modalità di simulazione |
| "Vogliamo convalidare il comportamento dei criteri tramite monitoraggio e test..." | - Monitoraggio: usare Esplora attività per esaminare le corrispondenze dei criteri - Test: eseguire l'azione di copia degli Appunti in condizioni di rete diverse (VPN e non VPN) |
Passaggi per creare criteri
Creare e usare un'eccezione di rete
Le eccezioni di rete consentono di configurare le azioni Consenti, Controlla solo, Blocca con override e Blocca per le attività dei file in base alla rete da cui gli utenti accedono al file. È possibile selezionare dall'elenco delle impostazioni VPN definite e usare l'opzione Rete aziendale . Le azioni possono essere applicate singolarmente o collettivamente a queste attività utente:
- Copia negli Appunti
- Copiare in un dispositivo rimovibile USB
- Copia in una condivisione di rete
- Stampa
- Copia o sposta usando un'app Bluetooth non consentita
- Copiare o spostare con RDP
Ottenere l'indirizzo server o l'indirizzo di rete
In un dispositivo Windows monitorato dalla prevenzione della perdita dei dati aprire una finestra di Windows PowerShell come amministratore.
Eseguire questo cmdlet:
Get-VpnConnectionL'esecuzione di questo cmdlet restituisce più campi e valori.
Trovare il campo ServerAddress e registrare tale valore. Questa operazione viene usata quando si crea una voce VPN nell'elenco VPN.
Trovare il campo Nome e registrare tale valore. Il campo Nome viene mappato al campo Indirizzo di rete quando si crea una voce VPN nell'elenco VPN.
Determinare se il dispositivo è connesso tramite una rete aziendale
In un dispositivo Windows monitorato dalla prevenzione della perdita dei dati aprire una finestra di Windows PowerShell come amministratore.
Eseguire questo cmdlet:
Get-NetConnectionProfileSe il campo NetworkCategory è DomainAuthenticated, il dispositivo è connesso a una rete aziendale. In caso contrario, la connessione del dispositivo non avviene tramite una rete aziendale.
Aggiungere una VPN
Accedere al portale di Microsoft Purview.
Aprire Impostazioni Impostazioni> impostazioniendpointdi prevenzione >della perdita dei datiImpostazioni> VPN.
Selezionare Aggiungi o modifica indirizzi VPN.
Specificare l'indirizzo server o l'indirizzo di rete dall'esecuzione di Get-VpnConnection.
Seleziona Salva.
Chiudere l'elemento.
Configurare le azioni dei criteri
Accedere al portale di Microsoft Purview.
Aprire Criteri di prevenzione> della perdita dei dati.
Selezionare Crea criterio
Dati archiviati in origini connesse.
Selezionare Custom (Personalizzato) dal modello Categorie e quindi Custom policy (Criteri personalizzati) da Regulations (Regolamenti).
Assegnare un nome ai nuovi criteri e specificare una descrizione.
Selezionare Directory completa in unità di Amministrazione.
Definire l'ambito della posizione solo su Dispositivi .
Creare una regola in cui:
- Il contenuto contiene = Classificatori sottoponibili a training, Affari legali
- Azioni = Controllare o limitare le attività nei dispositivi
- Selezionare quindi Attività file in tutte le app
- Selezionare Applica restrizioni a un'attività specifica
- Selezionare le azioni per cui si vogliono configurare le eccezioni di rete .
Selezionare Copia negli Appunti e l'azione Controlla solo
Selezionare Scegliere restrizioni diverse per la copia negli Appunti.
Selezionare VPN e impostare l'azione su Blocca con override.
Importante
Quando si vuole controllare le attività di un utente quando è connesso tramite una VPN , è necessario selezionare la VPN e impostare la VPN come priorità principale nella configurazione delle eccezioni di rete . In caso contrario, se l'opzione Rete aziendale è selezionata, verrà applicata l'azione definita per la voce di rete aziendale .
Attenzione
L'opzione Applica a tutte le attività copia le eccezioni di rete definite qui e le applica a tutte le altre attività specifiche configurate, ad esempio Stampa e Copia in una condivisione di rete. In questo modo le eccezioni di rete verranno sovrascritte per le altre attività L'ultima configurazione salvata vince.
Salva.
Accettare il valore predefinito Esegui i criteri in modalità di simulazione e scegliere Mostra suggerimenti per i criteri in modalità di simulazione. Scegliere Avanti.
Esaminare le impostazioni e scegliere Invia e quindi Fatto.
I nuovi criteri DLP vengono visualizzati nell'elenco dei criteri.