Configurar as definições de prevenção de perda de dados do ponto de extremidade

As definições configuradas centralmente controlam muitos aspetos do comportamento de prevenção de perda de dados (DLP) de pontos finais. Estas definições aplicam-se a todas as políticas DLP para dispositivos. Utilize estas definições para controlar os seguintes comportamentos:

• Restrições de saída de nuvem
• Vários tipos de ações restritivas em atividades de utilizador por aplicação
• Exclusões de caminhos de ficheiros para dispositivos Windows e macOS
• Restrições de navegador e domínio
• Aspeto das justificações comerciais para substituir políticas em sugestões de políticas
• Se as ações executadas nos ficheiros Office, PDF e CSV são automaticamente auditadas

Para aceder a estas definições, no portal do Microsoft Purview, aceda a Prevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições> deponto final.

Verificação e proteção de classificação avançada

Quando ativa a análise e proteção avançadas de classificação, o serviço de classificação de dados baseado na cloud do Microsoft Purview pode analisar itens, classificá-los e devolver os resultados ao computador local. Por conseguinte, pode tirar partido de técnicas de classificação, como a classificação exata de correspondência de dados , classificadores treináveis, classificadores de credenciais e entidades nomeadas nas suas políticas DLP.

Quando ativa a classificação avançada, o dispositivo local envia conteúdos para os serviços cloud para análise e classificação. Se a utilização da largura de banda for uma preocupação, pode definir um limite para a quantidade de largura de banda que pode ser utilizada num período sem interrupção de 24 horas. Pode configurar o limite nas definições DLP do Ponto Final e este aplica-se por dispositivo. Se definir um limite de utilização de largura de banda e esse limite de utilização for excedido, o DLP deixa de enviar o conteúdo do utilizador para a cloud. Nessa altura, a classificação de dados continua localmente no dispositivo, mas a classificação através da correspondência de dados exata, entidades nomeadas, classificadores treináveis e classificadores de credenciais não está disponível. Quando a utilização da largura de banda cumulativa for inferior ao limite de 24 horas sem interrupção, a comunicação com os serviços cloud é retomada.

Se a utilização da largura de banda não for uma preocupação, selecione Não limitar a largura de banda. Ilimitado para permitir a utilização ilimitada de largura de banda.

Limites avançados de tamanho de análise de ficheiros de classificação

Mesmo que ative Não limitar a largura de banda. Ilimitado para classificação avançada, os limites ainda existem no tamanho dos ficheiros individuais que o sistema pode analisar.

• Existe um limite de 64 MB nos ficheiros de texto.
• Existe um limite de 50 MB nos ficheiros de imagem quando o Reconhecimento Ótico de Carateres (OCR) está ativado.

A classificação avançada não funciona para ficheiros de texto com mais de 64 MB, mesmo que defina o limite de largura de banda como Não limitar a largura de banda. Ilimitado.

As seguintes versões do Windows (e versões posteriores) suportam a análise e proteção avançadas de classificação.

• Todas as versões Windows 11
• Windows 10 versões 20H1/21H1 ou superior (KB 5006738)
• Windows 10 RS5 (KB 5006744)

Proteção avançada baseada em etiquetas para todos os ficheiros em dispositivos

Quando ativa esta funcionalidade, os utilizadores podem trabalhar em ficheiros , incluindo ficheiros que não os ficheiros Office e PDF, que tenham etiquetas de confidencialidade a aplicar definições de controlo de acesso num estado não encriptado, nos respetivos dispositivos. O DLP de ponto final continua a monitorizar e a impor proteções baseadas em etiquetas e controlo de acesso nestes ficheiros, mesmo num estado não encriptado. Encripta-os automaticamente antes de serem transferidos para fora do dispositivo de um utilizador. Para obter mais informações sobre esta funcionalidade, veja Saiba mais sobre a Proteção Avançada Baseada em Etiquetas.

Exclusões de caminho de arquivo

Para excluir determinados caminhos da monitorização DLP, dos alertas DLP e da imposição da política DLP nos seus dispositivos, configure as exclusões de caminhos de ficheiros para desativar essas definições de configuração. Files em localizações excluídas não são auditadas. Os ficheiros que criar ou modificar nessas localizações não estão sujeitos à imposição da política DLP. Para configurar exclusões de caminho nas definições de DLP, aceda a Portal > do Microsoft PurviewPrevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições>> deponto finalExclusões de caminhos de ficheiros para Windows.

Exclusões de caminhos de ficheiros para Windows

Utilize a seguinte lógica para construir os caminhos de exclusão para dispositivos Windows 10 e Windows 11:

• Um caminho de ficheiro válido que termina com \ exclui apenas ficheiros diretamente na pasta especificada.
  Exemplo: C:\Temp\

• Um caminho de ficheiro válido que termina com \* exclui apenas ficheiros dentro de subpastas da pasta especificada. Files diretamente na pasta especificada não são excluídas.
  Exemplo: C:\Temp\*

• Um caminho de ficheiro válido que termina sem \ ou \* exclui todos os ficheiros diretamente na pasta especificada e em todas as respetivas subpastas.
  Exemplo: C:\Temp

• Um caminho com um caráter universal entre \ cada lado.
  Exemplo: C:\Users\*\Desktop\

• Um caminho com um caráter universal entre \ cada lado e com (number) para especificar o número exato de subpastas a excluir.
  Exemplo: C:\Users\*(1)\Downloads\

• Um caminho com variáveis de ambiente do sistema.
  Exemplo: %SystemDrive%\Test\*

• Uma mistura de todos os padrões descritos aqui.
  Exemplo: %SystemDrive%\Users\*\Documents\*(2)\Sub\

Caminhos de ficheiro do Windows excluídos por predefinição

• %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
• %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
• %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Exclusões de caminhos de ficheiros para Mac

Também pode adicionar as suas próprias exclusões para dispositivos macOS.

• As definições de caminho do arquivo não diferenciam maiúsculas, portanto User é o mesmo que user.

• Há suporte para valores curinga. Assim, uma definição de caminho pode conter um asterisco (*) no meio do caminho ou no final do caminho.
  Exemplo: /Users/*/Library/Application Support/Microsoft/Teams/*

Caminhos de ficheiro macOS excluídos por predefinição

/System

Exclusões de caminhos de ficheiro recomendadas para macOS

Por motivos de desempenho, a DLP do ponto de extremidade inclui uma lista de exclusões recomendadas de caminho de arquivo para dispositivos macOS. Se definir o seletor Incluir exclusões de caminhos de ficheiro recomendadas para Mac paraAtivado, os seguintes caminhos também serão excluídos:

• /Applications
• /usr
• /Library
• /private
• /opt
• /Users/*/Library/Logs
• /Users/*/Library/Containers
• /Users/*/Library/Application Support
• /Users/*/Library/Group Containers
• /Users/*/Library/Caches
• /Users/*/Library/Developer

Mantenha este botão de alternar definido como Ativado. No entanto, pode parar de excluir estes caminhos ao definir o botão de alternar para Desativado.

Configurar a recolha de provas para atividades de ficheiros em dispositivos

Quando o DLP identifica itens que correspondem a políticas em dispositivos, pode copiá-los para uma conta de armazenamento Azure. Esta funcionalidade é útil para auditar a atividade da política e resolver problemas de correspondências específicas. Utilize esta secção para adicionar o nome e o URL da conta de armazenamento.

• Para obter mais informações sobre esta funcionalidade, consulte Saiba mais sobre a recolha de ficheiros que correspondem a políticas de prevenção de perda de dados a partir de dispositivos.
• Para obter mais informações sobre como configurar esta funcionalidade, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados a partir de dispositivos.

Cobertura e exclusões da partilha de rede

A cobertura e exclusões de partilhas de rede expandem as políticas e ações DLP de ponto final a ficheiros novos e editados em partilhas de rede e unidades de rede mapeadas. Se a proteção just-in-time também estiver ativada, a cobertura e as exclusões da proteção just-in-time são expandidas para partilhas de rede e unidades mapeadas. Para excluir um caminho de rede específico para todos os dispositivos monitorizados, adicione o valor de caminho em Excluir estes caminhos de partilha de rede.

Esta tabela mostra as predefinições para cobertura e exclusões de partilhas de rede.

A cobertura e as exclusões da partilha de rede complementam as ações do repositório no local do DLP. Esta tabela mostra as definições de exclusão e o comportamento resultante consoante o DLP esteja ativado ou desativado para repositórios no local.

Aplicativos restritos e grupos de aplicativos

Aplicativos restritos

A lista Aplicações restritas é uma lista personalizada de aplicações que cria. Pode configurar as ações que o DLP executa quando alguém utiliza uma aplicação na lista para aceder a um ficheiro protegido por DLP num dispositivo. A lista Aplicações restritas está disponível para dispositivos Windows 10/11 e macOS com qualquer uma das três versões mais recentes do macOS.

Algumas aplicações têm uma interface baseada na Web, além de uma versão instalada localmente da aplicação. Na pré-visualização, quando adiciona uma aplicação à qual os utilizadores podem aceder localmente e através de uma interface baseada na Web a um grupo de aplicações Restritas ou como uma aplicação Restrita, o DLP impõe todas as políticas aplicáveis ao acesso a um ficheiro protegido através do Microsoft Edge para a interface de aplicação do browser e no dispositivo para a interface baseada na aplicação.

Quando seleciona Acesso por aplicações restritas numa política e um utilizador utiliza uma aplicação na lista de aplicações restritas para aceder a um ficheiro protegido, a atividade é audited, blockedou blocked with override, consoante a forma como configurou a lista aplicações restritas . Se uma aplicação na lista Aplicações restritas também for membro de um grupo de aplicações Restritas, as ações que configurar para atividades no grupo Aplicações restritas substituem as ações que configurar para a lista Aplicações restritas . Toda a atividade é auditada e está disponível para revisão no explorador de atividades.

Grupos de aplicativos restritos

Grupos de aplicativos restritos são coleções de aplicativos que você cria nas configurações de DLP e adiciona a uma regra em uma política. Quando adiciona um grupo de aplicações restrito a uma política, pode efetuar as ações definidas na tabela seguinte.

Pode adicionar um máximo de 50 aplicações a um único grupo e pode criar um máximo de 10 grupos. Isto dá um máximo de 500 aplicações às quais as ações de política podem ser atribuídas.

Bloquear todas as aplicações, exceto uma lista de aplicações permitidas

Pode criar uma lista de aplicações permitidas e bloquear todas as outras. Desta forma, não precisa de criar e gerir uma lista abrangente de aplicações não fidedignos. Esta funcionalidade ajuda a simplificar a gestão de políticas e melhora o seu controlo sobre as atividades de ficheiros com base na aplicação.

Neste procedimento, vai aplicar o nível de restrição Permitir para permitir explicitamente a atividade de um grupo de aplicações definido e, em seguida, bloquear quaisquer aplicações que não estejam nesta lista. Por conseguinte, as aplicações que não têm um nível de restrição definido são efetivamente bloqueadas e as aplicações com um nível de restrição definido como Permitir são explicitamente permitidas. Define um grupo de aplicações restrito para permitir esse grupo de aplicações, mas fá-lo para bloquear quaisquer aplicações que não tenham restrições definidas.

1. Aceda às definições DLP do ponto final.
2. Defina aplicações permitidas ou aprovadas na lista Aplicações Restritas e grupos de aplicações .
3. Na sua política DLP de ponto final existente ou novo, localize a definição Atividades de ficheiros para aplicações em grupos de aplicações restritos .
4. Adicione o grupo de aplicações restrito pretendido.
5. Selecione Aplicar restrição a toda/atividade específica e selecione Permitir.
6. Para todas as outras aplicações, defina o Access por aplicações que não estão na definição da lista "aplicações não permitidas" como Bloquear.

Como a DLP aplica restrições às atividades

As interações entre atividades de Ficheiros para aplicações em grupos de aplicações restritos, Atividades de ficheiros para todas as aplicações e a lista Atividades de aplicações restritas estão confinadas à mesma regra.

Substituições de grupos de aplicativos restritos

As configurações definidas em Atividades de arquivo para aplicativos em grupos de aplicativos restritos substituem as configurações na lista Atividades restritas do aplicativo e as Atividades de arquivo para todos os aplicativos na mesma regra.

Atividades de aplicativos restritas e atividades de arquivos para todos os aplicativos

As configurações de Atividades de aplicativos restritas e Atividades de arquivos para todos os aplicativos funcionarão em conjunto se a ação definida para Atividades de aplicativos restritas for Audit only ou Block with override na mesma regra. Por quê? As ações definidas para atividades de aplicações restritas só se aplicam quando um utilizador acede a um ficheiro através de uma aplicação que está na lista. Depois que o usuário tiver acesso, as ações definidas para atividades em Atividades de arquivo para todos os aplicativos se aplicam.

Por exemplo, adiciona Notepad.exe a Aplicações restritas e configura atividades de Ficheiro para todas as aplicações para Aplicar restrições a atividades específicas. Configure ambos, conforme mostrado na tabela seguinte:

Quando o Utilizador A abre um ficheiro protegido por DLP com o Bloco de Notas, o DLP permite o acesso e audita a atividade. Ainda no Bloco de Notas, o Utilizador A tenta copiar conteúdos do item protegido para a área de transferência. Esta ação foi bem-sucedida e o DLP audita a atividade. O usuário A tenta imprimir o item protegido do Bloco de Notas e a atividade é bloqueada.

Atividades de arquivo apenas para todos os aplicativos

Se uma aplicação não estiver nas Atividades de ficheiros para aplicações em grupos de aplicações restritos ou na lista Atividades de aplicações restritas ou estiver na lista Atividades de aplicações restritas , com uma ação de Audit only, ou Block with override, quaisquer restrições definidas nas Atividades de ficheiro para todas as aplicações são aplicadas na mesma regra.

Dispositivos macOS

Também pode impedir que as aplicações macOS acedam a dados confidenciais ao adicioná-las à lista Atividades de aplicações restritas.

Para encontrar o caminho completo dos aplicativos Mac:

1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

2. Selecione o separador Abrir Files e Portas.

3. Anote o nome completo do caminho, incluindo o nome da aplicação. Por exemplo,

• /System/Applications/TextEdit.app/Contents/MacOS/TextEdit

Quarentena automática

Para impedir que itens confidenciais sejam sincronizados com a cloud por aplicações de sincronização da cloud, como onedrive.exe, adicione a aplicação de sincronização da cloud à lista aplicações restritas com Quarentena automática.

Quando ativada, aquarantina automática é acionada quando uma aplicação restrita tenta aceder a um item confidencial protegido por DLP. A quarentena automática move o item confidencial para uma pasta configurada pelo administrador. Se estiver configurado para tal, a autoquarantina pode deixar um ficheiro de marcador de posição (.txt) em vez do original. Pode configurar o texto no ficheiro de marcador de posição para indicar aos utilizadores a nova localização do item e outras informações pertinentes.

Utilize a funcionalidade de automatizar quando uma aplicação de sincronização de cloud não permitida tentar aceder a um item protegido por uma política DLP de bloqueio. O DLP pode gerar notificações repetidas. Pode evitar estas notificações repetidas ao ativar a Quarentena automática.

Também pode utilizar a autoquarantina para impedir uma cadeia interminável de notificações DLP para o utilizador e administradores. Para obter mais informações, veja Ajudar a evitar a exposição de ficheiros confidenciais ao configurar a quarentena automática para Sincronização do OneDrive

Exclusões de extensões de ficheiros não suportadas

Não foi possível analisar a condição Documento juntamente com Aplicar restrições a apenas extensões de ficheiro não suportadas nas suas políticas DLP para restringir atividades que envolvam ficheiros com extensões que não são suportadas pelo DLP de ponto final. Uma vez que esta condição pode incluir potencialmente muitas extensões de ficheiro não suportadas, refine a deteção ao adicionar extensões não suportadas a excluir. Para obter mais informações, consulte Ajudar a proteger ficheiros que a Prevenção de Perda de Dados de Ponto Final não analisa e Ajudar a proteger contra a partilha de um conjunto definido de ficheiros não suportados.

Bloquear extensões de ficheiro específicas em políticas DLP pode levar a um comportamento inesperado se uma aplicação marcada como não permitida precisar de aceder a ficheiros com essas extensões como parte do seu funcionamento normal. Por exemplo, determinadas aplicações podem ler ou abrir temporariamente ficheiros, como .dll, .jsondurante .tmp processos de rotina, como composição, colocação em cache ou validação de conteúdo. Se bloquear estas extensões, a aplicação poderá não funcionar corretamente, causando erros, fluxos de trabalho incompletos ou pop-ups de imposição não relacionados com a intenção do utilizador. Antes de implementar restrições baseadas em extensões, certifique-se de que sabe que aplicações interagem com estes tipos de ficheiro durante as operações padrão e se os controlos alternativos, como restrições de aplicações ou regras contextuais, podem atingir o objetivo de segurança sem perturbar a funcionalidade.

Aplicativos Bluetooth não permitidos

Para impedir que as pessoas transfiram ficheiros protegidos pelas suas políticas através de aplicações Bluetooth específicas, adicione essas aplicações à lista de aplicações Bluetooth não permitidas nas definições DLP do Ponto Final.

Restrições do navegador e do domínio para dados confidenciais

Restrinja arquivos confidenciais que correspondem às suas políticas de serem compartilhados com domínios de serviço de nuvem irrestritos.

Navegadores não permitidos

Para dispositivos Windows, pode restringir a utilização de browsers especificados pelos respetivos nomes executáveis. Os browsers especificados não podem aceder a ficheiros que correspondam às condições de uma política DLP imposta em que a restrição de carregamento para serviços cloud está definida como block ou block override. Quando estes browsers são impedidos de aceder a um ficheiro, os utilizadores finais veem uma notificação de alerta a pedir-lhes para abrirem o ficheiro através do Microsoft Edge.

Para dispositivos macOS, você deve adicionar o caminho completo do arquivo. Para encontrar o caminho completo dos aplicativos Mac:

1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

2. Selecione o separador Abrir Files e Portas.

3. Certifique-se de que anota o nome completo do caminho, incluindo o nome da aplicação.

Domínios de serviço

A definição Domínios de serviço funciona com a definição Auditar ou restringir atividades em dispositivos no fluxo de trabalho para criar uma regra dentro de uma política DLP.

Quando criar uma regra, utilize ações para proteger o seu conteúdo quando determinadas condições forem cumpridas. Ao criar regras para dispositivos de ponto final, selecione a opção Auditar ou restringir atividades nos dispositivos e selecione uma destas opções:

• Somente Auditoria
• Bloquear com substituição
• Bloquear

Para controlar se os ficheiros confidenciais que as suas políticas protegem podem ser carregados para domínios de serviço específicos, aceda a Definições >de Ponto Final DLPBrowser e restrições de domínio para dados confidenciais e escolha se pretende bloquear ou permitirdomínios de serviço por predefinição.

Bloquear

Quando definir a lista Domínios de serviço como Bloquear, utilize o domínio Adicionar serviço cloud para especificar domínios que pretende bloquear. Todos os outros domínios de serviço são permitidos. Neste caso, as restrições de política DLP só se aplicam quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios na lista.

Por exemplo, considere as seguintes configurações:

• Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
• A definição Domínios de serviço está definida como Bloquear.
• contoso.com NÃO está na lista.
• wingtiptoys.com ESTÁ na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador - o carregamento - também pode ser concluída e é gerado um evento de auditoria e um alerta.

Outro exemplo, considere a seguinte configuração:

• Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear.
• A definição Domínios de serviço está definida como Bloquear.
• contoso.com NÃO está na lista.
• wingtiptoys.com ESTÁ na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador - o carregamento - será bloqueada e será gerado um evento de auditoria e um alerta.

Permitir

Quando definir a lista Domínios de serviço como Permitir, utilize o domínio Adicionar serviço cloud para especificar domínios permitidos. Todos os outros domínios de serviço têm restrições de política DLP impostas. Neste caso, as políticas DLP só se aplicam quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios listados.

Por exemplo, eis duas configurações iniciais:

• Uma política DLP está configurada para detetar itens confidenciais que contêm números de card de crédito e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear com substituição.
• A definição Domínios de serviço está definida como Permitir.
• contoso.com NÃO está na lista Permitir .
• wingtiptoys.com IS na lista Permitir .

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para contoso.com, o carregamento é bloqueado, é apresentado um aviso, dando ao utilizador a opção de substituir o bloco. Se o utilizador optar por substituir o bloco, é gerado um evento de auditoria e é acionado um alerta.

No entanto, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a restrição de política não é aplicada. O carregamento tem permissão para ser concluído e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

• Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
• A definição Domínios de serviço está definida como Permitir.
• contoso.com NÃO está na lista.
• wingtiptoys.com ESTÁ na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria e um alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador - o carregamento - também pode ser concluída, é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Tabela de resumo: Permitir ou bloquear o comportamento

A tabela seguinte mostra como o sistema se comporta consoante as definições listadas.

Quando adicionar um domínio à lista, utilize o formato FQDN do domínio de serviço sem o período final (.). Utilize *. como caráter universal para especificar todos os domínios ou subdomínios. Exclua o protocolo (qualquer coisa antes //) do domínio. Inclua apenas o nome do anfitrião, sem subsites.

Por exemplo:

Pode configurar até 50 domínios em domínios do Serviço Confidencial.

Grupos de domínios de serviço confidenciais

Quando adiciona um site a domínios de serviço confidenciais, pode definir a política como audit, block with overrideou atividade de utilizador completo block quando os utilizadores tentarem efetuar qualquer uma das seguintes ações:

• imprimir de um site
• copiar dados de um site
• salvar um site como arquivo local
• carregar ou arrastar/largar um ficheiro confidencial para um site excluído
• colar dados confidenciais num site excluído

A tabela seguinte mostra os browsers que suportam estas funcionalidades:

Para a ação Colar para browsers suportados , poderá haver um breve atraso de tempo entre quando o utilizador tenta colar texto numa página Web e quando o sistema termina a classificação e responde. Se esta latência de classificação acontecer, poderá ver notificações de avaliação de políticas e marcar concluídas no Microsoft Edge ou alertas de avaliação de políticas no Chrome e no Firefox. Seguem-se algumas sugestões para minimizar o número de notificações:

1. As notificações são acionadas quando uma política para o site de destino está configurada para Bloquear ou Bloquear com a substituição de Colar para browsers suportados para esse utilizador. Pode configurar a ação geral para Auditoria e, em seguida, utilizar as exceções para Bloquear os sites de destino. Em alternativa, pode definir a ação geral como Bloquear e, em seguida, utilizar as exceções para Auditar os sites seguros.
2. Utilize a versão mais recente do cliente Antimalware.
3. Certifique-se de que a sua versão do Microsoft Edge é 120 ou superior.
4. Instale estes KBs do Windows:
   1. Windows 10: KB5032278, KB5023773
   2. Windows 11 21H2: KB5023774
   3. Win 11 22H2: KB5032288, KB5023778
5. No macOS, certifique-se de que a versão do Cliente antimalware é a 101.25022.0003 ou posterior.

A ação Colar nos browsers suportados não segue o comportamento definido na lista Domínio de Serviço. No entanto, se os Grupos de Domínio de Serviço Confidencial estiverem configurados na regra para Colar no Browser, o sistema respeitará esses grupos.

Para dispositivos, tem de configurar a lista Domínios de serviço confidenciais para utilizar a ação Carregar para um domínio de serviço cloud restrito numa política DLP. Também pode definir grupos de sites aos quais pretende atribuir ações de política diferentes das ações globais do grupo de sites. Pode adicionar um máximo de 100 sites a um único grupo e pode criar um máximo de 150 grupos. Esta configuração fornece um máximo de 15.000 sites aos quais as ações de política podem ser atribuídas. Para obter mais informações, veja Ajudar a evitar atividades de utilizadores de risco ao monitorizar ou restringir o acesso a domínios de serviço confidenciais.

Para obter mais informações, consulte Ajudar a evitar fugas de conteúdo confidencial ao restringir as ações de colagem em browsers.

Sintaxe com suporte para designar sites em um grupo de sites

Se utilizar URLs para identificar sites, não inclua o protocolo de rede como parte do URL (por exemplo, https:// ou file://). Em vez disso, utilize uma sintaxe flexível para incluir e excluir domínios, subdomínios, sites e subsites nos seus grupos de sites. Por exemplo,

• Utilize *. como caráter universal para especificar todos os domínios ou todos os subdomínios.
• Utilize / como terminador no final de um URL para definir o âmbito apenas para esse site específico.

Quando adiciona um URL sem uma marca de barra de terminação ( /), esse URL está no âmbito desse site e de todos os subsites. Só pode adicionar *. ao início de um domínio. O / terminador só é suportado no final de um domínio.

Essa sintaxe se aplica a todos os sites http/https. Aqui estão alguns exemplos:

Sintaxe suportada para designar intervalos IP ou endereços IP (pré-visualização)

Na pré-visualização, o DLP suporta a utilização de endereços IP e intervalos de endereços para identificar sites. Defina o Tipo de correspondência como endereço IP ou intervalo de endereços IP e, em seguida, introduza um endereço IP específico ou um intervalo de IP no campo Domínio do serviço confidencial . Selecione Adicionar site para adicionar a seleção ao grupo de domínios do serviço Confidencial.

Exemplos de sintaxe suportada:

• 1.1.1.1
• 1.1.1.1-2.2.2.2
• 2001:0db8:85a3:0000:0000:8a2e:0370:7334
• 2001:0db8:85a3:0000:0000:8a2e:0370:7320-2001:0db8:85a3:0000:0000:8a2e:0370:7334

• Imprimir o site
• Copiar dados do site
• Guardar o site como ficheiros locais (guardar como)
• Colar em browsers suportados
• Carregar para um domínio de serviço cloud restrito

O endereço IP e o intervalo de endereços IP suportam estas ações:

• Imprimir o site
• Copiar dados do site
• Guardar o site como ficheiros locais (guardar como)
• Carregar para um domínio de serviço cloud restrito (apenas Windows)

Os grupos de domínios de serviço confidenciais contêm um grupo pré-configurado para sites de IA Generative. Para obter uma lista de todos os sites deste grupo, consulte Lista de sites de IA suportados por Gerenciamento da Postura de Segurança de Dados do Microsoft Purview para IA.

Configurações adicionais para DLP do ponto de extremidade

Justificativa de negócios em dicas de política

Pode controlar a forma como os utilizadores interagem com a opção de justificação comercial em Opções para configurar sugestões de política. Esta opção aparece quando os usuários realizam uma atividade protegida pela configuração Bloquear com substituição em uma política DLP. Esta definição é global. Escolha uma das seguintes opções:

• Mostrar opções predefinidas e caixa de texto personalizada: por predefinição, os utilizadores podem selecionar uma justificação incorporada ou introduzir o seu próprio texto.
• Mostrar apenas as opções predefinidas: os utilizadores só podem selecionar a partir de uma lista de justificações incorporadas.
• Mostrar apenas uma caixa de texto personalizada: os utilizadores só podem introduzir uma justificação personalizada. A caixa de texto é apresentada na notificação de sugestão de política do utilizador final, sem uma lista de opções.

Personalizando as opções no menu suspenso

Pode criar até cinco opções personalizadas que aparecem quando os utilizadores interagem com a sugestão de notificação de política ao selecionar Personalizar o menu pendente opções.

Ativar o registo de diagnósticos automático para o DLP de ponto final

A funcionalidade Always-on do Microsoft Purview diagnóstico regista automaticamente registos de rastreio abrangentes, poupando-lhe tempo e permitindo uma resolução de problemas mais rápida. Para obter mais informações, veja Always-on diagnóstico for endpoint DLP (Diagnóstico always-on para DLP de ponto final).

Ativar o DLP de Ponto Final para Windows Servers

O DLP de ponto final suporta as seguintes versões do Windows Server:

• Windows Server 2019 (14 de novembro de 2023— KB5032196 (Compilação 17763.5122 do SO) - Suporte da Microsoft)

• Windows Server 2022 (Atualização de segurança de 14 de novembro de 2023 (KB5032198) - Suporte da Microsoft)

Depois de integrar uma Windows Server, ative o suporte DLP de Ponto Final para aplicar o endpoint protection.

Para trabalhar com a gestão de alertas DLP dashboard:

1. No portal do Microsoft Purview, aceda aDescrição Geral da Prevenção> de perda de dados.
2. Selecione Definições no canto superior direito.
3. Em Definições, selecione Definições de ponto final e expanda Suporte DLP de Ponto final para servidores integrados.
4. Defina o botão de alternar para Ativado.

Sempre auditar a atividade dos arquivos para os dispositivos

Por predefinição, quando integra dispositivos, o sistema audita automaticamente a atividade dos ficheiros Office, PDF e CSV. Pode rever esta atividade no explorador de atividades. Desative esta funcionalidade se quiser auditar esta atividade apenas quando os dispositivos integrados estiverem incluídos numa política ativa. A definição Atividade de ficheiro de auditoria sempre para dispositivos permite a auditoria de atividades de ficheiros para documentos em que uma Regra DLP não corresponda: Ficheiro Criado, Ficheiro Modificado, Nome do Ficheiro Mudado, Ficheiro criado em suportes de dados amovíveis e Ficheiro criado na partilha de rede.

O sistema audita sempre a atividade de ficheiros para dispositivos integrados, independentemente de estarem incluídos numa política ativa.

Grupos de impressoras

Utilize esta definição para definir grupos de impressoras aos quais pretende atribuir ações de política diferentes das ações de impressão globais.

O caso de utilização mais comum para a criação de grupos de impressoras é utilizá-los para limitar a impressão de contratos apenas a essas impressoras no departamento jurídico de uma organização. Depois de definir um grupo de impressoras aqui, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Criar política para gerir o acesso à impressora através de grupos de autorização.

Pode criar um máximo de 20 grupos de impressoras. Cada grupo pode conter um máximo de 50 impressoras.

Vejamos um exemplo. Digamos que pretende que a política DLP bloqueie a impressão de contratos para todas as impressoras, exceto para as que estão no departamento jurídico.

1. Utilize os seguintes parâmetros para atribuir impressoras em cada grupo.

   • Nome amigável da impressora – o nome amigável da impressora é o valor apresentado na experiência de utilizador quando seleciona a Impressora.

   • Impressora USB – uma impressora ligada através da porta USB de um computador. Selecione esta opção se pretender impor qualquer impressora USB enquanto deixa o ID de produto USB e o ID do fornecedor USB desmarcados. Também pode atribuir uma impressora USB específica ao especificar o respetivo ID de produto USB e o ID do fornecedor USB.

   • ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor no formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

   • ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

   • Intervalo IP

   • Imprimir para ficheiro - Microsoft Print para PDF ou Microsoft XPS Document Writer. Se apenas quiser impor o Microsoft Print para PDF, deve utilizar o Nome amigável da impressora com "Microsoft Print para PDF".

   • Impressão universal implementada numa impressora – para obter mais informações sobre impressoras universais, consulte Configurar a Impressão Universal.

   • Impressora empresarial – é uma fila de impressão partilhada através do servidor de impressão do Windows no local no seu domínio. O caminho poderá ter o seguinte aspeto: \print-server\contoso.com\legal_printer_001.

   • Imprimir para local – qualquer impressora que se ligue através da porta de impressão da Microsoft, mas não qualquer um dos tipos acima. Por exemplo: imprimir através do ambiente de trabalho remoto ou redirecionar impressora.

2. Atribua um Nome a apresentar a cada impressora no grupo. Estes nomes só aparecem na consola do Microsoft Purview.

3. Crie um grupo de impressoras com o nome Impressoras legais e adicione impressoras individuais (com um alias) pelo nome amigável; por exemplo: legal_printer_001, legal_printer_002e legal_color_printer. (Pode selecionar vários parâmetros de uma só vez para o ajudar a identificar de forma inequívoca uma impressora específica.)

4. Atribua as ações de política ao grupo numa política DLP:

   • Allow (auditar sem notificações ou alertas de utilizador)

   • Audit only (pode adicionar notificações e alertas)

   • Block with override (bloqueia a ação, mas o utilizador pode substituir)

   • Pré-visualização, uma correção para resolver a resubmissão desnecessária para colocar a tarefa de impressão em fila após a substituição inicial, foi implementada.

   • Block (blocos, aconteça o que acontecer)

Criar um grupo de impressoras

1. Abra o portal do Microsoft Purview e aceda ao ícone de engrenagemdefinições deDescrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLPde Ponto Final de Prevenção> de Perda de DadosGrupos de impressoras.>
2. Selecione + Criar grupo de impressoras.
3. Introduza um nome para o grupo.
4. Selecione Adicionar impressora.
5. Introduza um Nome amigável para a impressora. Certifique-se de que o nome corresponde ao valor dos detalhes da propriedade do dispositivo da impressora no Gerenciador de Dispositivos.
6. Selecione os parâmetros e forneça os valores para identificar inequívocamente a impressora específica.
7. Selecione Adicionar.
8. Adicione outras impressoras conforme necessário.
9. Selecione Guardar e , em seguida, Fechar.

Grupos de extensões de ficheiros

Utilize esta definição para definir grupos de extensões de ficheiro aos quais pretende atribuir ações de política. Por exemplo, pode aplicar uma política Ficheiro não pode ser analisada apenas para extensões de ficheiros nos grupos criados.

Desativar classificação

Utilize esta definição para excluir extensões de ficheiro específicas da classificação DLP do Ponto Final.

Para ficheiros que estão na lista Ficheiros monitorizados , pode desativar a classificação através desta definição. Quando adiciona uma extensão de ficheiro a esta definição, o DLP de Ponto Final não analisa conteúdos em ficheiros com esta extensão. Como resultado, o DLP de Ponto Final não efetua uma avaliação de política com base no conteúdo desses ficheiros. Não pode ver informações de conteúdo para efeitos de realização de investigações.

Grupos de dispositivos USB amovíveis

Utilize esta definição para definir grupos de dispositivos de armazenamento amovíveis, como pen USB, aos quais pretende atribuir ações de política diferentes das ações de impressão globais. Por exemplo, digamos que pretende que a política DLP bloqueie a cópia de itens com especificações de engenharia para dispositivos de armazenamento amovíveis, exceto os discos rígidos ligados por USB designados que são utilizados para criar cópias de segurança de dados para armazenamento fora do local.

Pode criar até 20 grupos, com até 50 dispositivos de armazenamento amovíveis em cada grupo.

Utilize os seguintes parâmetros para definir os seus dispositivos de armazenamento amovíveis.

• Nome amigável do dispositivo de armazenamento – obtenha o valor Nome amigável a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

• ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

• ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

• ID do número de série – obtenha o valor do ID do número de série a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

• ID do Dispositivo – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

• ID do caminho da instância – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

• ID de Hardware – obtenha o valor do ID de hardware a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

Atribui um Alias a cada dispositivo de armazenamento amovível no grupo. O alias é um nome amigável que só aparece na consola do Microsoft Purview. Assim, continuando com o exemplo, cria um grupo de dispositivos de armazenamento amovível com o nome Cópia de Segurança e adiciona dispositivos individuais (com um alias) pelo nome amigável, como backup_drive_001, e backup_drive_002.

Pode selecionar múltiplos parâmetros e, em seguida, o grupo de impressoras inclui todos os dispositivos que satisfazem esses parâmetros.

Pode atribuir estas ações de política ao grupo numa política DLP:

• Allow (auditar sem notificações ou alertas de utilizador)
• Audit only (pode adicionar notificações e alertas)
• Block with substituir (bloqueia a ação, mas o utilizador pode substituir)
• Block (blocos, aconteça o que acontecer)

Criar um grupo de dispositivos USB amovível

1. Abra o portal do Microsoft Purview e aceda ao ícone de engrenagemdefinições deDescrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLPde Ponto Final de Prevenção> de Perda de DadosGrupos de dispositivos USB amovíveis.>
2. Selecione + Criar grupo de dispositivos de armazenamento amovível.
3. Introduza um Nome do grupo.
4. Selecione Adicionar dispositivo de armazenamento amovível.
5. Introduza um Alias.
6. Selecione os parâmetros e introduza os valores para identificar claramente o dispositivo específico.
7. Selecione Adicionar.
8. Adicione outros dispositivos ao grupo conforme necessário.
9. Selecione Guardar e , em seguida, Fechar.

O caso de utilização mais comum para criar grupos de armazenamento amovíveis é especificar para que dispositivos de armazenamento amovíveis os utilizadores podem copiar ficheiros. Geralmente, a cópia só é permitida para dispositivos num grupo de Cópia de Segurança designado.

Depois de definir um grupo de dispositivos de armazenamento amovível, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Criar política para gerir o acesso à impressora através de grupos de autorização.

Grupos de partilha de rede

Utilize esta definição para definir grupos de caminhos de partilha de rede aos quais pretende atribuir ações de política diferentes das ações de caminho de partilha de rede global. Por exemplo, digamos que pretende que a política DLP impeça os utilizadores de guardar ou copiar ficheiros protegidos para partilhas de rede, exceto as partilhas de rede num grupo específico.

Para incluir caminhos de partilha de rede num grupo, defina o prefixo com o qual todas as partilhas começam. Por exemplo:

• '\Library' corresponde a:

  • \Pasta biblioteca e todas as respetivas subpastas.

• Pode utilizar carateres universais, por exemplo correspondências "\Utilizadores*\Ambiente de Trabalho":

  • '\Utilizadores\utilizador1\Ambiente de Trabalho'
  • '\Utilizadores\utilizador1\utilizador2\Ambiente de Trabalho'
  • '\Utilizadores*\Ambiente de Trabalho'

• Também pode utilizar variáveis ambientais, por exemplo:

  • %AppData%\app123

• Há suporte para valores curinga. Assim, uma definição de caminho pode conter um asterisco (*) no meio do caminho ou no final do caminho.
  Exemplo: \\Lib* capas \\Libray

Pode atribuir as seguintes ações de política ao grupo numa política DLP:

• Allow (auditar sem notificações ou alertas de utilizador)
• Audit only (pode adicionar notificações e alertas)
• Block with override (bloqueia a ação, mas o utilizador pode substituir)
• Block (blocos, aconteça o que acontecer)

Depois de definir um grupo de partilha de rede, pode utilizá-lo em todas as políticas DLP que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Criar política para gerir o acesso à impressora através de grupos de autorização.

Criar um grupo de Partilha de Rede

1. Abra o portal do Microsoft Purview e aceda ao ícone de engrenagemdefinições deDescrição Geral da Prevenção>> de Perda de Dados no canto > superior direito Definições do Ponto Final de Prevenção> de Perda de DadosDLPGrupos de partilha de >rede.
2. Selecione + Criar grupo de partilha de rede.
3. Introduza um Nome do grupo.
4. Adicione o caminho do ficheiro à partilha.
5. Selecione Adicionar.
6. Adicione outros caminhos de partilha ao grupo conforme necessário.
7. Selecione Guardar e , em seguida, Fechar.

Configurações da VPN

Utilize a lista de VPN para controlar apenas as ações executadas nessa VPN.

Quando lista uma VPN nas Definições de VPN, pode atribuir-lhe as seguintes ações de política:

• Allow (auditar sem notificações ou alertas de utilizador)
• Audit only (pode adicionar notificações e alertas)
• Block with override (bloqueia a ação, mas o utilizador pode substituir)
• Block (blocos, aconteça o que acontecer)

Pode aplicar estas ações individual ou coletivamente às seguintes atividades de utilizador:

• Copiar para a área de transferência
• Copiar para um dispositivo amovível USB
• Copiar para um compartilhamento de rede
• Print
• Copiar ou mover com a aplicação Bluetooth não permitida (restrita)
• Copiar ou mover com RDP

Quando configura uma política DLP para restringir a atividade nos dispositivos, pode controlar o que acontece a cada atividade realizada quando os utilizadores estão ligados à sua organização dentro de qualquer uma das VPNs listadas.

Utilize os parâmetros Endereço do servidor ou Endereço de rede para definir a VPN permitida.

Obter o endereço do servidor ou o endereço de rede

1. Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
2. Execute o seguinte cmdlet. Devolve vários campos e valores.

Get-VpnConnection

1. Entre os resultados do cmdlet, localize o campo ServerAddress e registe esse valor. Utilize o ServerAddress quando criar uma entrada VPN na lista de VPN.
2. Localize o campo Nome e registe esse valor. O campo Nome mapeia para o campo Endereço de rede quando cria uma entrada VPN na lista de VPN.

Adicionar uma VPN

1. Abra o portal do Microsoft Purview e aceda ao ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direito Definições deVPN das definições > deDLPde Prevenção> de Perda de Dados.
2. Selecione Adicionar ou editar endereços VPN.
3. Introduza o Endereço do servidor ou o Endereço de rede que registou depois de executar Get-VpnConnection.
4. Selecione Salvar.
5. Feche o item.

Veja Criar política para gerir atividades de ficheiros ao implementar exceções de rede para obter mais informações sobre como configurar ações de política para utilizar exceções de rede.

Confira também

• Saiba mais sobre a Prevenção contra perda de dados do ponto de extremidade

• Introdução à Prevenção contra perda de dados do ponto de extremidade

• Saiba mais sobre prevenção contra perda de dados

• Começar a usar o Explorador de atividades

• Microsoft Defender para Ponto de Extremidade

• Integrar dispositivos Windows 10 e Windows 11 na visão geral do Microsoft Purview

• Assinatura do Microsoft 365

• Microsoft Entra aderido

• Baixar o novo Microsoft Edge baseado em Chromium

• Criar e Implementar políticas de prevenção de perda de dados