Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este cenário demonstra como restringir a partilha não intencional de informações confidenciais a aplicações e serviços na cloud não aprovados com o DLP do Microsoft Purview. Ao definir domínios de serviço confidenciais e impor controlos através de browsers suportados, as organizações podem monitorizar e orientar a forma como os dados confidenciais são carregados ou acedidos.
Observação
São suportados os seguintes browsers:
- Microsoft Edge (Win/macOS)
- Chrome (Win/macOS)- Extensão do Microsoft Purview apenas para Windows do Chrome
- Firefox (Win/macOS)- Extensão do Microsoft Purview apenas para o Firefox Windows
- Safari (apenas macOS)
Quando uma política é configurada para a localização dispositivos, os browsers não suportados são impedidos de aceder a conteúdos confidenciais e os utilizadores são redirecionados para o Microsoft Edge, onde os controlos DLP podem bloquear ou restringir ações com base nas condições da política. Esta imposição com suporte para o browser ajuda a reduzir o risco de transferência de dados não autorizada, mantendo uma experiência de utilizador consistente e orientada.
Para implementar esta abordagem, defina destinos restritos (domínios, serviços ou IPs), especifique browsers não suportados e configure regras DLP que detetem conteúdo confidencial e apliquem controlos como Carregar para serviços cloud e Acesso a partir do browser não permitido.
Esta configuração permite que as organizações auditem o comportamento dos utilizadores, refinem políticas e imponham progressivamente controlos mais rigorosos conforme necessário, minimizando simultaneamente a interrupção de atividades comerciais legítimas.
Pré-requisitos e suposições
Este artigo utiliza o processo que aprendeu em Estruturar uma política de prevenção de perda de dados para lhe mostrar como criar uma política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Trabalhe nestes cenários no seu ambiente de teste para se familiarizar com a IU de criação de políticas.
Importante
Este artigo apresenta um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Substitua os seus próprios tipos de informações confidenciais, etiquetas de confidencialidade, grupos de distribuição e utilizadores.
A forma como implementa uma política é tão importante como um design de política. Este artigo mostra-lhe como utilizar as opções de implementação para que a política atinja a sua intenção, evitando simultaneamente perturbações dispendiosas no negócio.
Este cenário utiliza a etiqueta confidencial confidencial , pelo que requer que crie e publique etiquetas de confidencialidade. Para saber mais, confira:
- Saiba mais sobre rótulos de confidencialidade
- Introdução ao rótulos de confidencialidade
- Criar e configurar rótulos de confidencialidade e suas políticas
Este procedimento utiliza um grupo de distribuição hipotético Recursos Humanos e um grupo de distribuição para a equipa de segurança na Contoso.com.
Este procedimento utiliza alertas. Veja: Introdução aos alertas de prevenção de perda de dados
Declaração e mapeamento da intenção da política
A Contoso quer impedir que os utilizadores partilhem involuntariamente informações confidenciais para aplicações e serviços na cloud não aprovados a partir de dispositivos de ponto final. Ao mesmo tempo, queremos garantir que os utilizadores podem continuar a aceder e a trabalhar com dados não confidenciais sem restrições desnecessárias.
Para tal, vamos definir um conjunto de domínios de serviço cloud restritos e impor controlos quando forem detetadas informações confidenciais na atividade do utilizador. Quando os utilizadores tentam carregar conteúdo confidencial para estes serviços não aprovados ( ou aceder a esses conteúdos através de browsers não suportados), iremos auditar a atividade e orientar os utilizadores para fluxos de trabalho compatíveis suportados (como utilizar o Microsoft Edge).
Esta abordagem permite-nos impor gradualmente controlos ao auditar primeiro o comportamento dos utilizadores, compreender os padrões de risco e refinar a política antes de passar para uma imposição mais rigorosa, se necessário.
| Declaração | Perguntas de configuração respondidas e mapeamento de configuração |
|---|---|
| "Queremos impedir que os utilizadores partilhem informações confidenciais para aplicações e serviços na cloud não aprovados..." | - Âmbito administrativo: diretório completo - Onde monitorizar: apenas dispositivos - Âmbito da política: Todos os utilizadores/dispositivos (ou utilizadores visados para teste) |
| "Queremos definir que serviços cloud são considerados não permitidos para partilha de dados confidenciais..." | - Definições de ponto final: Criar um grupo de domínios de serviço confidencial - Domínios definidos com o intervalo DE URL/IP/IP (com suporte de carateres universais) - Grupo reutilizado em regras de política |
| "Queremos detetar conteúdo confidencial a ser partilhado com estes serviços..." | - Condições: o conteúdo contém tipos de informações confidenciais selecionados - Lógica de deteção: tipos de informações confidenciais incorporadas ou personalizadas |
| "Queremos monitorizar as tentativas de carregar conteúdos confidenciais ou aceder ao mesmo através de browsers não suportados..." | - Ações: carregar para um domínio de serviço cloud restrito ou acesso a partir de um browser não permitido - Controlo do browser integrado com o DLP de Ponto Final |
| "Queremos observar inicialmente o comportamento do utilizador sem bloquear processos empresariais..." | - Modo de ação: Auditar apenas para atividades de domínio de serviço e browser - Sem bloqueio ou substituição imposta nesta fase |
| "Queremos redirecionar os utilizadores para browsers suportados com deteção de políticas..." | - Comportamento do ponto final: os browsers não permitidos são impedidos de aceder a conteúdos confidenciais - Experiência do utilizador: redirecionamento para o Microsoft Edge onde os controlos DLP são impostos |
| "Queremos manter a flexibilidade para alargar as proteções ao longo do tempo..." | - Capacidade de estrutura: adicionar mais grupos de domínio, aplicações e políticas, conforme necessário - Extensibilidade de políticas: suporta a transição futura para bloquear ou bloquear com substituição |
| "Queremos monitorizar e controlar opcionalmente outras atividades de ficheiros entre aplicações..." | - Ações adicionais: Configurar atividades de Ficheiro para todas as aplicações conforme necessário - Monitorização detalhada ou restrição de comportamentos de pontos finais |
| "Queremos que esta política esteja ativa imediatamente para avaliação..." | - Modo de política: ative-o imediatamente - Implementação: Imposição imediata no modo de auditoria |
Passos para criar a política
Inicie sessão no portal > do Microsoft PurviewDefinições deprevenção> de perda de dados (ícone de engrenagem no canto superior esquerdo) >Definições de DLPde Ponto Final de Prevenção> de Perda de Dados Definições > debrowser e restrições de domínio para grupos de domínio de serviço confidenciais de dados>confidenciais.
Selecione Criar grupo de domínio de serviço confidencial.
Nomeie o grupo.
Introduza o domínio de serviço Confidencial do grupo. Você pode adicionar vários sites a um grupo e usar caracteres curingas para abranger subdomínios. Por exemplo,
www.contoso.comapenas para o site de nível superior ou: *.contoso.com para corp.contoso.com, hr.contoso.com fin.contoso.com.Selecione o Tipo de correspondência desejado. Você pode selecionar entre URL, endereço IP, intervalo de endereços IP.
Selecione Salvar.
No painel de navegação esquerdo, selecionePolíticas de prevenção> de perda de dados.
Dados armazenados em origens ligadas.
Criar e definir o âmbito de uma política que é aplicada apenas à localização Dispositivos . Para obter mais informações sobre como criar uma política, veja Criar e Implementar políticas de prevenção de perda de dados. Certifique-se de que define o âmbito das unidades de Administração para Diretório completo.
Na página Definir definições de política , selecione Criar ou personalizar regras DLP avançadas e selecione Seguinte.
Crie uma regra da seguinte forma:
- Em Condições, selecione + Adicionar condição e selecione Conteúdo contém no menu pendente.
- Dê um nome ao grupo.
- Selecione Adicionar e, em seguida, selecione Tipos de informações confidenciais.
- Selecione um tipo de informações confidenciais no painel de lista de opções e, em seguida, selecione Adicionar.
- Adicione a ação Auditar ou restringir atividades em dispositivos.
- Em Atividades de domínio de serviço e browser, selecione Carregar para um domínio de serviço cloud restrito ou acesso a partir de um browser não permitido e defina a ação como Apenas auditoria.
- Selecione + Escolher restrições diferentes para domínios de serviço confidenciais e, em seguida, selecione Adicionar grupo.
- Na lista de opções Escolher grupos de domínio de serviço confidenciais , selecione os grupos de domínios de serviço confidenciais que pretende, selecione Adicionar e, em seguida, selecione Guardar.
- Em Atividades de ficheiro para todas as aplicações, selecione as atividades de utilizador que pretende monitorizar ou restringir e as ações do DLP a realizar em resposta a essas atividades.
- Conclua a criação da regra e selecione Guardar e, em seguida , Seguinte.
- Na página de confirmação, selecione Concluído.
- Na página Modo de política , selecione Ativar imediatamente. Selecione Seguinte e, em seguida, Submeter.