Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este cenário mostra como utilizar condições baseadas na rede no DLP do Microsoft Purview para aplicar proteções diferentes com base no local onde os utilizadores acedem dados confidenciais. Ao definir ligações VPN e configurar exceções de rede, a política ajusta as ações ( como a auditoria ou o bloqueio da atividade da área de transferência) com base no contexto de rede, permitindo um controlo mais preciso para ambientes de trabalho híbridos sem restringir uniformemente a atividade do utilizador.
Este cenário destina-se a um administrador sem restrições que cria uma política de diretório completa.
Pré-requisitos e suposições
Este cenário requer que já tenha dispositivos integrados e a reportar no Explorador de atividades. Se ainda não tiver integrado os dispositivos, confira Introdução à prevenção contra perda de dados do Ponto de extremidade.
Neste cenário, definimos uma lista de VPNs que as funções de trabalho híbridas utilizam para aceder aos recursos da organização.
Este artigo utiliza o processo que aprendeu em Estruturar uma política de prevenção de perda de dados para lhe mostrar como criar uma política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Trabalhe nestes cenários no seu ambiente de teste para se familiarizar com a IU de criação de políticas.
Importante
Este artigo apresenta um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Substitua os seus próprios tipos de informações confidenciais, etiquetas de confidencialidade, grupos de distribuição e utilizadores.
A forma como implementa uma política é tão importante como um design de política. Este artigo mostra-lhe como utilizar as opções de implementação para que a política atinja a sua intenção, evitando simultaneamente perturbações dispendiosas no negócio.
Este cenário utiliza a etiqueta confidencial confidencial , pelo que requer que crie e publique etiquetas de confidencialidade. Para saber mais, confira:
- Saiba mais sobre rótulos de confidencialidade
- Introdução ao rótulos de confidencialidade
- Criar e configurar rótulos de confidencialidade e suas políticas
Este procedimento utiliza um grupo de distribuição hipotético Recursos Humanos e um grupo de distribuição para a equipa de segurança na Contoso.com.
Este procedimento utiliza alertas. Veja: Introdução aos alertas de prevenção de perda de dados
Declaração e mapeamento da intenção da política
A Contoso quer controlar a forma como os conteúdos legais confidenciais são processados com base no contexto de rede no qual os utilizadores estão a operar. Em particular, queremos aplicar diferentes níveis de restrição consoante os utilizadores estejam ligados através de redes empresariais fidedignas ou ligações VPN utilizadas por funções de trabalho híbridas.
Para tal, vamos definir ligações VPN conhecidas e utilizá-las em regras de exceção de rede numa política DLP. Isto permite-nos impor controlos mais rigorosos, como bloquear a atividade da área de transferência com substituição, quando os utilizadores estão ligados através de VPNs específicas, mantendo um comportamento menos restritivo (apenas de auditoria) noutros contextos. Esta abordagem permite a proteção de dados contextuais que se adapta a como e onde os utilizadores acedem dados confidenciais.
| Declaração | Perguntas de configuração respondidas e mapeamento de configuração |
|---|---|
| "Queremos aplicar diferentes controlos de proteção de dados consoante os utilizadores de rede a partir de..." | - Âmbito administrativo: diretório completo - Onde monitorizar: apenas dispositivos - Âmbito da política: Todos os utilizadores/dispositivos ou utilizadores visados |
| "Queremos identificar as ligações VPN utilizadas pelas funções de trabalho híbridas..." | - Definições de ponto final: Configurar as definições de VPN com o Endereço do servidor ou o Endereço de rede - Dados recolhidos através dos comandos do PowerShell (Get-VpnConnection, Get-NetConnectionProfile) |
| "Queremos detetar conteúdos legais confidenciais processados em pontos finais..." | - Condição: Conteúdo contém = Classificadores treináveis, Assuntos Jurídicos |
| "Queremos controlar atividades específicas de utilizadores que envolvam conteúdo confidencial..." | - Ação: Auditar ou restringir atividades em dispositivos - Tipo de atividade: Atividades de ficheiros em todas as aplicações - Atividade específica: copiar para a área de transferência (expansível para outras pessoas, como imprimir ou cópia USB) |
| "Queremos uma monitorização menos restritiva em condições normais..." | - Ação de atividade predefinida: Auditar apenas a cópia para a área de transferência |
| "Queremos controlos mais rigorosos quando os utilizadores estão ligados através de redes VPN definidas..." | - Exceção de rede: selecione VPN e defina a ação como Bloquear com substituição - Prioridade: a VPN tem de ser definida como prioridade máxima na configuração da exceção de rede |
| "Queremos apoiar a produtividade dos utilizadores e manter a responsabilidade..." | - Capacidade de substituição: os utilizadores podem prosseguir com a justificação quando bloqueados em condições de VPN |
| "Queremos garantir a precedência correta das regras baseadas na rede..." | - Comportamento de configuração: as regras de VPN têm precedência sobre as definições de rede empresarial quando ordenadas corretamente - Atenção: "Aplicar a todas as atividades" pode substituir outras configurações específicas da atividade |
| "Queremos testar em segurança o comportamento da política antes da imposição total..." | - Modo de política: executar no modo de simulação - Experiência do utilizador: Mostrar sugestões de política no modo de simulação |
| "Queremos validar o comportamento da política através da monitorização e do teste..." | - Monitorização: Utilizar o Explorador de atividades para rever as correspondências de políticas - Teste: executar a ação de cópia da área de transferência em diferentes condições de rede (VPN vs. não VPN) |
Passos para criar a política
Criar e utilizar uma exceção de Rede
As exceções de rede permitem-lhe configurar as ações Permitir, Apenas Auditoria, Bloquear com substituição e Bloquear para as atividades de ficheiro com base na rede a partir da qual os utilizadores estão a aceder ao ficheiro. Pode selecionar a partir da lista de definições de VPN que definiu e utilizar a opção Rede empresarial . As ações podem ser aplicadas individual ou coletivamente a estas atividades de utilizador:
- Copiar para a área de transferência
- Copiar para um dispositivo amovível USB
- Copiar para um compartilhamento de rede
- Imprimir
- Copiar ou mover usando o aplicativo Bluetooth não permitido
- Copiar ou mover com RDP
Obter o Endereço do servidor ou o Endereço de rede
Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
Execute este cmdlet:
Get-VpnConnectionA execução deste cmdlet devolve vários campos e valores.
Localize o campo ServerAddress e registe esse valor. Utilize esta opção quando cria uma entrada VPN na lista de VPN.
Localize o campo Nome e registe esse valor. O campo Nome mapeia para o campo Endereço de rede quando cria uma entrada VPN na lista de VPN.
Determinar se o dispositivo está ligado através de uma rede empresarial
Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
Execute este cmdlet:
Get-NetConnectionProfileSe o campo NetworkCategory for DomainAuthenticated, o dispositivo está ligado a uma rede empresarial. Se for outra coisa, a ligação do dispositivo não é através de uma rede empresarial.
Adicionar uma VPN
Inicie sessão no portal do Microsoft Purview.
Abra definições> definições de Ponto Finalde Prevenção> de Perda de Dadosdefinições> deVPN.
Selecione Adicionar ou editar endereços VPN.
Forneça o Endereço do servidor ou o Endereço de rede da execução de Get-VpnConnection.
Selecione Salvar.
Feche o item.
Configurar ações de política
Inicie sessão no portal do Microsoft Purview.
AbraPolíticas de Prevenção> de Perda de Dados.
Selecione Criar política
Dados armazenados em origens ligadas.
Selecione Personalizado nas Categorias e, em seguida, Modelo de política personalizada em Regulamentos.
Atribua um nome à nova política e forneça uma descrição.
Selecione Diretório completoem unidades Administração.
Definir o âmbito da localização apenas para Dispositivos .
Crie uma regra em que:
- O conteúdo contém = Classificadores treináveis, Assuntos Jurídicos
- Ações = Auditar ou restringir atividades em dispositivos
- Em seguida, selecione Atividades de ficheiro em todas as aplicações
- Selecione Aplicar restrições a atividades específicas
- Selecione as ações para as quais pretende configurar Exceções de rede .
Selecione Copiar para a área de transferência e a ação Apenas auditoria
Selecione Escolher cópia diferente para as restrições da área de transferência.
Selecione VPN e defina a ação como Bloquear com substituição.
Importante
Quando quiser controlar as atividades de um utilizador quando este está ligado através de uma VPN, tem de selecionar a VPN e tornar a VPN a prioridade máxima na configuração de Exceções de rede . Caso contrário, se a opção Rede empresarial estiver selecionada, essa ação definida para a entrada rede empresarial será imposta.
Cuidado
A opção Aplicar a todas as atividades irá copiar as exceções de rede definidas aqui e aplicá-las a todas as outras atividades específicas configuradas, como Imprimir e Copiar para uma partilha de rede. Esta ação substituirá as exceções de rede nas outras atividades A última configuração guardada ganha.
Guarde.
Aceite o valor predefinido Executar a política no modo de simulação e selecione Mostrar sugestões de política enquanto estiver no modo de simulação. Escolha Avançar.
Reveja as suas definições, selecione Submeter e, em seguida , Concluído.
A nova política DLP é apresentada na lista de políticas.