Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este cenário demonstra como utilizar grupos de autorização no DLP do Microsoft Purview para impor um bloco predefinido nas ações dados confidenciais ao mesmo tempo que permite exceções controladas. Neste exemplo, a impressão de documentos classificados como conteúdo legal é restringida em todos os dispositivos, exceto num conjunto definido de impressoras aprovadas do departamento jurídico.
Ao combinar restrições de impressão ao nível do dispositivo com uma lista de permissões de impressora, esta abordagem permite que as organizações protejam informações confidenciais, ao mesmo tempo que suportam fluxos de trabalho empresariais legítimos. Também ilustra como os grupos de autorização podem ser reutilizados para outros cenários, como dispositivos de armazenamento amovíveis ou partilhas de rede.
Este cenário destina-se a um administrador sem restrições que cria uma política de diretório completa.
Esses cenários exigem que você já tenha dispositivos integrados e relatados no Explorador de atividades. Se ainda não tiver integrado os dispositivos, confira Introdução à prevenção contra perda de dados do Ponto de extremidade.
Os grupos de autorização são utilizados principalmente como listas de permissões. Atribuiu ações de política ao grupo diferentes das ações de política global. Neste cenário, vamos definir um grupo de impressoras e, em seguida, configurar uma política com ações de bloqueio para todas as atividades de impressão, exceto para as impressoras no grupo. Estes procedimentos são essencialmente os mesmos para grupos de dispositivos de armazenamento removíveis e Grupos de partilha de rede.
Neste cenário, definimos um grupo de impressoras que o departamento jurídico utiliza para imprimir contratos. A impressão de contratos para outras impressoras está bloqueada.
Pré-requisitos e suposições
Este artigo utiliza o processo que aprendeu em Estruturar uma política de prevenção de perda de dados para lhe mostrar como criar uma política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Trabalhe nestes cenários no seu ambiente de teste para se familiarizar com a IU de criação de políticas.
Importante
Este artigo apresenta um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Substitua os seus próprios tipos de informações confidenciais, etiquetas de confidencialidade, grupos de distribuição e utilizadores.
A forma como implementa uma política é tão importante como um design de política. Este artigo mostra-lhe como utilizar as opções de implementação para que a política atinja a sua intenção, evitando simultaneamente perturbações dispendiosas no negócio.
Este cenário utiliza a etiqueta confidencial confidencial , pelo que requer que crie e publique etiquetas de confidencialidade. Para saber mais, confira:
- Saiba mais sobre rótulos de confidencialidade
- Introdução ao rótulos de confidencialidade
- Criar e configurar rótulos de confidencialidade e suas políticas
Este procedimento utiliza um grupo de distribuição hipotético Recursos Humanos e um grupo de distribuição para a equipa de segurança na Contoso.com.
Este procedimento utiliza alertas. Veja: Introdução aos alertas de prevenção de perda de dados
Declaração e mapeamento da intenção da política
A Contoso quer impedir que os utilizadores imprimam conteúdos legais confidenciais em impressoras não autorizadas, permitindo, ao mesmo tempo, fluxos de trabalho empresariais aprovados para o departamento jurídico. Neste cenário, os documentos que correspondem ao classificador de Assuntos Jurídicos devem ser protegidos contra a impressão geral em toda a organização, mas os utilizadores em Legal têm de conseguir imprimir esses documentos num conjunto definido de impressoras aprovadas.
Para tal, vamos criar uma política que aplica restrições de impressão em dispositivos para conteúdos classificados como de natureza legal. A impressão será bloqueada por predefinição, mas um grupo de autorização de impressoras aprovadas será configurado como uma exceção e permitido. Isto permite uma postura segura de proteção predefinida, ao mesmo tempo que suporta necessidades comerciais legítimas através de um modelo de lista de permissões controlado.
| Declaração | Perguntas de configuração respondidas e mapeamento de configuração |
|---|---|
| "Queremos proteger documentos legais confidenciais de serem impressos em impressoras não autorizadas..." | - Âmbito administrativo: diretório completo - Onde monitorizar: apenas dispositivos - Âmbito da política: todos os utilizadores/dispositivos abrangidos pela política |
| "Queremos identificar documentos que contenham conteúdo sensível à lei..." | - Condição: Conteúdo contém = Classificadores treináveis, Assuntos Jurídicos |
| "Queremos restringir a impressão desses conteúdos confidenciais em todos os dispositivos de ponto final..." | - Ação: Auditar ou restringir atividades em dispositivos - Tipo de atividade: Atividades de ficheiros em todas as aplicações - Modelo de restrição: Aplicar restrições a atividades específicas |
| "Queremos que a impressão seja bloqueada por predefinição, a menos que seja explicitamente permitido..." | - Restrição de atividade: Imprimir = Bloquear |
| "Queremos que as impressoras do departamento jurídico aprovadas estejam isentas do bloco predefinido..." | - Definições de ponto final: criar um grupo impressora com o nome Impressoras legais - Os membros do grupo podem ser definidos por nome de impressora amigável, ID de produto/fornecedor USB, intervalo de IP, impressão em ficheiro, Impressão Universal, impressora empresarial ou impressão local |
| "Queremos um comportamento de política diferente para impressoras aprovadas do que a ação de política global..." | - Comportamento do grupo de autorização: escolher restrições de impressão diferentes - Restrição do grupo de impressoras: Adicionar impressoras Legais - Ação específica do grupo: Permitir |
| "Queremos que a atividade de impressão aprovada permaneça visível para fins de auditoria sem criar alertas desnecessários..." | - Permitir comportamento da ação: a atividade de impressão permitida é registada no registo de auditoria - Não é gerado nenhum alerta ou notificação do utilizador para a ação de impressora na lista de permissões |
| "Queremos testar a política em segurança antes da imposição..." | - Modo de política: executar a política no modo de simulação - Experiência do utilizador: Mostrar sugestões de política no modo de simulação |
| "Queremos utilizar este mesmo padrão de conceção para outros destinos autorizados no futuro..." | - Modelo de grupo de autorização reutilizável: aplica-se a mesma abordagem aos grupos de dispositivos de armazenamento amovíveis e aos Grupos de partilha de rede |
Passos para criar a política
Criar e utilizar grupos de impressoras
Inicie sessão no portal > do Microsoft PurviewDefinições deprevenção> de perda de dados (engrenagem no canto superior esquerdo) >Definições de Ponto Finalde Prevenção> de Perda de DadosGrupos de impressoras>.
Selecione Criar grupo de impressoras e introduza um nome agrupar. Neste cenário, utilizamos
Legal printers.Selecione Adicionar impressora e forneça um nome. Pode definir impressoras ao:
- Nome amigável da impressora
- ID do produto USB
- ID do fornecedor USB
- Intervalo de IP
- Imprimir no ficheiro
- Impressão universal implementada numa impressora
- Impressora empresarial
- Imprimir para local
Selecione Fechar.
Configurar ações de impressão de políticas
Inicie sessão no portal do Microsoft Purview.
Navegue paraPolíticas de prevenção> de perda de dados.
Selecione Criar política.
Dados armazenados em origens ligadas.
Selecione Personalizado nas Categorias e, em seguida, Modelo de política personalizada em Regulamentos.
Atribua um Nome e uma Descrição à sua nova política.
Aceite o diretório Completo predefinido em unidades Administração.
Defina o âmbito da localização apenas para a localização Dispositivos .
Crie uma regra com os seguintes valores:
- Adicionar uma Condição: o conteúdo contém = classificadores treináveis, Assuntos Jurídicos
- Ações = Auditar ou restringir atividades em dispositivos
- Em seguida, selecione Atividades de ficheiro em todas as aplicações
- Selecione Aplicar restrições a atividades específicas
- SelecionarBlocode Impressão =
Selecione Escolher restrições de impressão diferentes
Em Restrições de grupos de impressoras, selecione Adicionar grupo e selecione Impressoras legais.
Definir Permissão de Ação = .
Dica
A ação Permitir irá registar e auditar o evento para o registo de auditoria, mas não gera um alerta ou notificação.
Selecione Guardar e, em seguida , Seguinte.
Aceite a predefinição Executar a política no valor do modo de simulação e selecione Mostrar sugestões de política enquanto estiver no modo de simulação. Escolha Próximo.
Examine as configurações e escolha Enviar.
A nova política DLP é apresentada na lista de políticas.