Creare criteri per gestire l'accesso alla stampante usando i gruppi di autorizzazione

Questo scenario illustra come usare i gruppi di autorizzazione in Microsoft Purview DLP per applicare un blocco predefinito alle azioni dati sensibili, consentendo al contempo eccezioni controllate. In questo esempio, la stampa di documenti classificati come contenuto legale è limitata in tutti i dispositivi, ad eccezione di un set definito di stampanti del reparto legale approvate.

Combinando le restrizioni di stampa a livello di dispositivo con un elenco di elementi consentiti della stampante, questo approccio consente alle organizzazioni di proteggere le informazioni sensibili, continuando a supportare flussi di lavoro aziendali legittimi. Illustra anche come i gruppi di autorizzazione possono essere riutilizzati per altri scenari, ad esempio dispositivi di archiviazione rimovibili o condivisioni di rete.

Questo scenario è destinato a un amministratore senza restrizioni che crea un criterio di directory completa.

Per questi scenari è necessario aver già eseguito l'onboarding dei dispositivi che inviano report a Esplora attività. Se non si è ancora eseguito l'onboarding di dispositivi, vedere Introduzione alla prevenzione della perdita di dati degli endpoint.

I gruppi di autorizzazione vengono usati principalmente come elenchi di autorizzazioni. Sono state assegnate azioni di criteri al gruppo diverse dalle azioni dei criteri globali. In questo scenario viene descritto come definire un gruppo di stampanti e quindi configurare un criterio con azioni di blocco per tutte le attività di stampa, ad eccezione delle stampanti del gruppo. Queste procedure sono essenzialmente le stesse per i gruppi di dispositivi di archiviazione rimuovibili e i gruppi di condivisione di rete.

In questo scenario viene definito un gruppo di stampanti usate dal reparto legale per la stampa dei contratti. La stampa di contratti in qualsiasi altra stampante è bloccata.

Prerequisiti e presupposti

Questo articolo usa il processo appreso in Progettare criteri di prevenzione della perdita dei dati per illustrare come creare un criterio di Prevenzione della perdita dei dati Microsoft Purview (DLP). Usare questi scenari nell'ambiente di test per acquisire familiarità con l'interfaccia utente di creazione dei criteri.

Importante

Questo articolo presenta uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. Sostituire i propri tipi di informazioni riservate, etichette di riservatezza, gruppi di distribuzione e utenti.

La modalità di distribuzione di un criterio è altrettanto importante per la progettazione dei criteri. Questo articolo illustra come usare le opzioni di distribuzione in modo che i criteri raggiungano la finalità, evitando costose interruzioni aziendali.

Questo scenario usa l'etichetta di riservatezza Riservato , pertanto è necessario creare e pubblicare etichette di riservatezza. Per altre informazioni, vedere:

Questa procedura usa un ipotetico gruppo di distribuzione Risorse umane e un gruppo di distribuzione per il team di sicurezza in Contoso.com.

Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati

Istruzione e mapping delle finalità dei criteri

Contoso vuole impedire agli utenti di stampare contenuti legali sensibili a stampanti non autorizzate, consentendo al contempo flussi di lavoro aziendali approvati per il reparto legale. In questo scenario, i documenti che corrispondono al classificatore sottoponibile al training per gli affari legali devono essere protetti dall'essere stampati su larga scala nell'intera organizzazione, ma gli utenti di Legal devono essere in grado di stampare tali documenti in un set definito di stampanti approvate.

A tale scopo, verrà creato un criterio che applica restrizioni di stampa ai dispositivi per il contenuto classificato come di natura legale. La stampa verrà bloccata per impostazione predefinita, ma un gruppo di autorizzazioni di stampanti approvate verrà configurato come eccezione e consentito. In questo modo si garantisce un comportamento sicuro per la protezione predefinita, supportando al contempo le esigenze aziendali legittime tramite un modello di elenco di elementi consentiti controllato.

Istruzione Risposta alla domanda di configurazione e mapping della configurazione
"Vogliamo proteggere i documenti legali sensibili da stampare in stampanti non autorizzate..." - Ambito amministrativo: directory completa
- Dove monitorare: solo dispositivi
- Ambito dei criteri: tutti gli utenti/dispositivi coperti dai criteri
"Vogliamo identificare i documenti che contengono contenuti sensibili alla legge..." - Condizione: contenuto contiene = classificatori sottoponibili a training, affari legali
"Vogliamo limitare la stampa di quel contenuto sensibile tra dispositivi endpoint..." - Azione: Controllare o limitare le attività nei dispositivi
- Tipo di attività: Attività file in tutte le app
- Modello di restrizione: applicare restrizioni a un'attività specifica
"Vogliamo che la stampa venga bloccata per impostazione predefinita, a meno che non sia esplicitamente consentita..." - Restrizione attività: Stampa = Blocco
"Vogliamo che le stampanti del reparto legale approvate siano esentate dal blocco predefinito..." - Impostazioni endpoint: creare un gruppo di stampanti denominato Stampanti legali
- I membri del gruppo possono essere definiti dal nome descrittivo della stampante, dall'ID prodotto/fornitore USB, dall'intervallo IP, dalla stampa su file, dalla stampa universale, dalla stampante aziendale o dalla stampa in locale
"Vogliamo un comportamento di criteri diverso per le stampanti approvate rispetto all'azione dei criteri globali..." - Comportamento del gruppo di autorizzazione: scegliere restrizioni di stampa diverse
- Restrizione del gruppo di stampanti: Aggiungere stampanti legali
- Azione specifica del gruppo: Consenti
"Vogliamo che l'attività di stampa approvata rimanga visibile a scopo di controllo senza creare avvisi non necessari..." - Consenti comportamento azione: l'attività di stampa consentita viene registrata nel log di controllo
- Non viene generato alcun avviso o notifica utente per l'azione della stampante consentita
"Vogliamo testare i criteri in modo sicuro prima dell'applicazione..." - Modalità criteri: eseguire i criteri in modalità di simulazione
- Esperienza utente: mostra suggerimenti per i criteri in modalità di simulazione
"Vogliamo usare questo stesso modello di progettazione per altre destinazioni autorizzate in futuro..." - Modello di gruppo di autorizzazione riutilizzabile: lo stesso approccio si applica ai gruppi di dispositivi di archiviazione rimovibili e ai gruppi di condivisione di rete

Passaggi per creare criteri

Creare e usare gruppi di stampanti

  1. Accedere alportale >di Microsoft PurviewImpostazioni diprevenzione> della perdita dei dati (ingranaggio nell'angolo in alto a sinistra) > Impostazioni > endpoint di prevenzione> della perdita dei datiGruppi di stampanti.

  2. Selezionare Crea gruppo stampante e immettere un nome Gruppo. In questo scenario viene usato Legal printers.

  3. Selezionare Aggiungi stampante e specificare un nome. È possibile definire le stampanti in base a:

    1. Nome descrittivo della stampante
    2. ID prodotto USB
    3. ID fornitore USB
    4. Intervallo IP
    5. Stampa su file
    6. Stampa universale distribuita su una stampante
    7. Stampante aziendale
    8. Stampa in locale

  4. Selezionare Chiudi.

Configurare le azioni di stampa dei criteri

  1. Accedere al portale di Microsoft Purview.

  2. Passare aCriteri di prevenzione >della perdita dei dati.

  3. Selezionare Crea criterio.

  4. Dati archiviati in origini connesse.

  5. Selezionare Custom (Personalizzato) dal modello Categorie e quindi Custom policy (Criteri personalizzati) da Regulations (Regolamenti).

  6. Assegnare un nome e una descrizione ai nuovi criteri.

  7. Accettare la directory completa predefinita in unità di Amministrazione.

  8. Definire l'ambito del percorso solo per il percorso Dispositivi .

  9. Creare una regola con i valori seguenti:

    1. Aggiungere una condizione: il contenuto contiene = classificatori sottoponibili a training, affari legali
    2. Azioni = Controllare o limitare le attività nei dispositivi
    3. Selezionare quindi Attività file in tutte le app
    4. Selezionare Applica restrizioni a un'attività specifica
    5. Seleziona blocco di stampa =

  10. Selezionare Scegli restrizioni di stampa diverse

  11. In Restrizioni gruppo stampante selezionare Aggiungi gruppo e selezionare Stampanti legali.

  12. Impostare Action = Allow.

    Consiglio

    L'azione Consenti registra e controlla l'evento nel log di controllo, ma non genera un avviso o una notifica.

  13. Selezionare Salva e quindi Avanti.

  14. Accettare il valore predefinito Esegui i criteri in modalità di simulazione e scegliere Mostra suggerimenti per i criteri in modalità simulato. Scegliere Avanti.

  15. Rivedere le impostazioni e scegliere Invia.

  16. I nuovi criteri DLP vengono visualizzati nell'elenco dei criteri.

  • Last updated on