Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo scenario illustra come limitare la condivisione involontaria di informazioni riservate ad applicazioni e servizi cloud non approvati tramite Microsoft Purview DLP. Definendo domini di servizio sensibili e applicando i controlli tramite browser supportati, le organizzazioni possono monitorare e guidare il caricamento o l'accesso a dati sensibili.
Nota
Sono supportati i Web browser seguenti:
- Microsoft Edge (Win/macOS)
- Chrome (Win/macOS)- Estensione Microsoft Purview solo per Windows Chrome
- Firefox (Win/macOS)- Estensione Microsoft Purview solo per Firefox Per Windows
- Safari (solo macOS)
Quando un criterio è configurato per la posizione Dispositivi , ai browser non supportati viene impedito l'accesso ai contenuti sensibili e gli utenti vengono reindirizzati a Microsoft Edge, dove i controlli DLP possono bloccare o limitare le azioni in base alle condizioni dei criteri. Questa applicazione compatibile con browser consente di ridurre il rischio di esfiltrazione dei dati mantenendo al tempo stesso un'esperienza utente coerente e guidata.
Per implementare questo approccio, si definiscono le destinazioni con restrizioni (domini, servizi o INDIRIZZI IP), si specificano browser non supportati e si configurano regole DLP che rilevano contenuto sensibile e applicano controlli come Caricamento nei servizi cloud e Accesso da browser non consentiti.
Questa configurazione consente alle organizzazioni di controllare il comportamento degli utenti, perfezionare i criteri e applicare progressivamente controlli più severi in base alle esigenze, riducendo al minimo le interruzioni delle attività aziendali legittime.
Prerequisiti e presupposti
Questo articolo usa il processo appreso in Progettare criteri di prevenzione della perdita dei dati per illustrare come creare un criterio di Prevenzione della perdita dei dati Microsoft Purview (DLP). Usare questi scenari nell'ambiente di test per acquisire familiarità con l'interfaccia utente di creazione dei criteri.
Importante
Questo articolo presenta uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. Sostituire i propri tipi di informazioni riservate, etichette di riservatezza, gruppi di distribuzione e utenti.
La modalità di distribuzione di un criterio è altrettanto importante per la progettazione dei criteri. Questo articolo illustra come usare le opzioni di distribuzione in modo che i criteri raggiungano la finalità, evitando costose interruzioni aziendali.
Questo scenario usa l'etichetta di riservatezza Riservato , pertanto è necessario creare e pubblicare etichette di riservatezza. Per altre informazioni, vedere:
- Informazioni sulle etichette di riservatezza
- Iniziare a usare le etichette di riservatezza
- Creare e configurare etichette di riservatezza e i relativi criteri
Questa procedura usa un ipotetico gruppo di distribuzione Risorse umane e un gruppo di distribuzione per il team di sicurezza in Contoso.com.
Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati
Istruzione e mapping delle finalità dei criteri
Contoso vuole impedire agli utenti di condividere involontariamente informazioni riservate ad applicazioni e servizi cloud non approvati dai dispositivi endpoint. Allo stesso tempo, vogliamo garantire che gli utenti possano continuare ad accedere e lavorare con non dati sensibili senza restrizioni non necessarie. A tale scopo, definiamo un set di domini di servizio cloud con restrizioni e applichiamo i controlli quando vengono rilevate informazioni riservate nell'attività dell'utente. Quando gli utenti tentano di caricare contenuti sensibili in questi servizi non approvati o di accedere a tali contenuti tramite browser non supportati, verificheremo l'attività e guideremo gli utenti verso flussi di lavoro supportati e conformi (ad esempio l'uso di Microsoft Edge). Questo approccio consente di applicare gradualmente i controlli controllando innanzitutto il comportamento degli utenti, comprendendo i modelli di rischio e affinando i criteri prima di passare a un'applicazione più rigorosa, se necessario.
| Istruzione | Risposta alla domanda di configurazione e mapping della configurazione |
|---|---|
| "Vogliamo impedire agli utenti di condividere informazioni riservate ad app e servizi cloud non approvati..." | - Ambito amministrativo: directory completa - Dove monitorare: solo dispositivi - Ambito dei criteri: tutti gli utenti/dispositivi (o gli utenti di destinazione per i test) |
| "Si vuole definire quali servizi cloud sono considerati non consentiti per la condivisione dati sensibili..." | - Impostazioni endpoint: Creare un gruppo di dominio del servizio sensibile - Domini definiti usando l'intervallo URL/IP/IP (con supporto con caratteri jolly) - Gruppo riutilizzato nelle regole dei criteri |
| "Vogliamo rilevare i contenuti sensibili condivisi con questi servizi..." | - Condizioni: il contenuto contiene i tipi di informazioni sensibili selezionati - Logica di rilevamento: tipi di informazioni sensibili predefiniti o personalizzati |
| "Vogliamo monitorare i tentativi di caricare contenuti sensibili o accedervi tramite browser non supportati..." | - Azioni: caricare in un dominio del servizio cloud con restrizioni o accedere da un browser non consentito - Controllo del browser integrato con Endpoint DLP |
| "Si vuole osservare inizialmente il comportamento degli utenti senza bloccare i processi aziendali..." | - Modalità azione: controlla solo per le attività del browser e del dominio del servizio - Nessun blocco o override applicato in questa fase |
| "Vogliamo reindirizzare gli utenti verso browser supportati e in grado di riconoscere i criteri..." | - Comportamento dell'endpoint: i browser non consentiti non possono accedere al contenuto sensibile - Esperienza utente: reindirizzamento a Microsoft Edge in cui vengono applicati i controlli DLP |
| "Vogliamo mantenere la flessibilità per estendere le protezioni nel tempo..." | - Funzionalità di progettazione: aggiungere altri gruppi di dominio, app e criteri in base alle esigenze - Estendibilità dei criteri: supporta la transizione futura al blocco o al blocco con override |
| "Vogliamo monitorare e facoltativamente controllare altre attività di file tra le app..." | - Azioni aggiuntive: configurare le attività file per tutte le app in base alle esigenze - Monitoraggio o restrizione granulare dei comportamenti degli endpoint |
| "Vogliamo che questo criterio sia attivo immediatamente per la valutazione..." | - Modalità criteri: attivarlo immediatamente - Distribuzione: imposizione immediata in modalità di controllo |
Passaggi per creare criteri
Accedere al portale >di Microsoft PurviewImpostazioni diprevenzione> della perdita dei dati (icona a ingranaggio nell'angolo in alto a sinistra) > Impostazioni >DLP degli endpointdi prevenzione> della perdita dei datiBrowser e restrizioni di dominio per i gruppi di dominio del servizio dati sensibili >Sensitive.
Selezionare Crea gruppo di dominio del servizio sensibile.
Assegnare un nome al gruppo.
Immettere il dominio del servizio sensibile per il gruppo. È possibile aggiungere più siti web a un gruppo e utilizzare i caratteri jolly per coprire i sottodomini. Ad esempio,
www.contoso.comsolo per il sito Web di primo livello o: *.contoso.com per corp.contoso.com, hr.contoso.com, fin.contoso.com.Selezionare il tipo di corrispondenza desiderato. È possibile selezionare tra URL, indirizzo IP, intervallo di indirizzi IP.
Seleziona Salva.
Nel riquadro di spostamento a sinistra selezionare Criteri di prevenzione> della perdita dei dati.
Dati archiviati in origini connesse.
Creare e definire l'ambito di un criterio applicato solo alla posizione Dispositivi . Per altre informazioni su come creare un criterio, vedere Creare e distribuire criteri di prevenzione della perdita dei dati. Assicurarsi di definire l'ambito delle unità di Amministrazione alla directory completa.
Nella pagina Definisci impostazioni criteri selezionare Crea o personalizza regole DLP avanzate e scegliere Avanti.
Creare una regola, come indicato di seguito:
- In Condizioni selezionare + Aggiungi condizione e selezionare Contenuto contiene dal menu a discesa.
- Assegnare un nome al gruppo.
- Scegliere Aggiungi e quindi selezionare Tipi di informazioni sensibili.
- Selezionare un tipo di informazioni sensibili nel riquadro a comparsa e quindi scegliere Aggiungi.
- Aggiungere l'azione Controllare o limitare le attività nei dispositivi.
- In Attività del browser e del dominio del servizio scegliere Carica in un dominio del servizio cloud con restrizioni o accesso da un browser non consentito e impostare l'azione su Solo controllo.
- Selezionare + Scegliere restrizioni diverse per i domini di servizio sensibili e quindi scegliere Aggiungi gruppo.
- Nel riquadro a comparsa Scegliere i gruppi di dominio del servizio sensibili selezionare i gruppi di dominio del servizio sensibili desiderati, scegliere Aggiungi e quindi scegliere Salva.
- In Attività file per tutte le app selezionare le attività utente da monitorare o limitare e le azioni da intraprendere per la prevenzione della perdita dei dati in risposta a tali attività.
- Completare la creazione della regola e scegliere Salva e quindi Avanti.
- Nella pagina di conferma scegliere Fine.
- Nella pagina Modalità criteri scegliere Attiva immediatamente. Scegliere Avanti e quindi Invia.