Crear un tipo de información confidencial personalizado con clasificación basada en coincidencia exacta de datosCreate custom sensitive information types with Exact Data Match based classification

Los tipos de información confidencial personalizada se usan para ayudar a identificar los elementos confidenciales y así evitar que se compartan de forma inadvertida o inapropiada.Custom sensitive information types are used to help identify sensitive items so that you can prevent them from being inadvertently or inappropriately shared. Se define un tipo de información confidencial personalizado (SIT) basado en:You define a custom sensitive information type (SIT)based on:

  • patronespatterns
  • evidencia de palabras clave como empleado, distintivo o id.keyword evidence such as employee, badge, or ID
  • proximidad de caracteres a la evidencia en un patrón determinadocharacter proximity to evidence in a particular pattern
  • niveles de confianzaconfidence levels

Estos tipos de información confidencial personalizada satisfacen las necesidades de negocio para muchas organizaciones.Such custom sensitive information types meet business needs for many organizations.

Pero ¿qué sucede si quiere un tipo de información confidencial personalizado (SIT) que use valores de datos exactos, en lugar de uno que encontrara coincidencias basándose en patrones genéricos?But what if you wanted a custom sensitive information type (SIT) that uses exact data values, instead of one that found matches based on generic patterns? Con la clasificación basada en la coincidencia exacta de datos (EDM), puede crear un tipo de información confidencial personalizada que está diseñado para:With Exact Data Match (EDM)-based classification, you can create a custom sensitive information type that is designed to:

  • ser dinámico y actualizarse fácilmentebe dynamic and easily refreshed
  • ser más escalablebe more scalable
  • generar menos falsos positivosresult in fewer false-positives
  • funcionar con datos confidenciales estructuradoswork with structured sensitive data
  • trabajar con información confidencial de forma más segurahandle sensitive information more securely
  • usarse con varios servicios en la nube de Microsoft.be used with several Microsoft cloud services

Clasificación basada en EDM

La clasificación basada en EDM le permite crear tipos de información confidencial personalizados que hacen referencia a valores exactos en una base de datos de información confidencial.EDM-based classification enables you to create custom sensitive information types that refer to exact values in a database of sensitive information. La base de datos se puede actualizar diariamente y puede contener hasta 100 millones de filas de datos.The database can be refreshed daily, and contain up to 100 million rows of data. Así que mientras los empleados, clientes o pacientes van y vienen y cambian los registros, los tipos de información confidencial se mantienen al día y aplicables.So as employees, patients, or clients come and go, and records change, your custom sensitive information types remain current and applicable. Y puede usar la clasificación basada en EDM con directivas, como directivas de prevención de pérdida de datos o directivas de archivo de Microsoft Cloud App Security.And, you can use EDM-based classification with policies, such as data loss prevention policies or Microsoft Cloud App Security file policies.

Nota

Microsoft 365 Information Protection es compatible con los idiomas del conjunto de caracteres de doble byte de vista previa para:Microsoft 365 Information Protection supports in preview double byte character set languages for:

  • Chino (simplificado)Chinese (simplified)
  • Chino (tradicional)Chinese (traditional)
  • CoreanoKorean
  • JaponésJapanese

Este soporte está disponible para tipos de información confidencial.This support is available for sensitive information types. Para más información, consulte Notas de la versión sobre la compatibilidad de Information Protection con juegos de caracteres de doble byte (vista previa).See, Information protection support for double byte character sets release notes (preview) for more information.

Permisos y licencias necesariosRequired licenses and permissions

Debe ser un administrador global, administrador de cumplimiento o administrador de Exchange Online para realizar las tareas descritas en este artículo.You must be a global admin, compliance administrator, or Exchange Online administrator to perform the tasks described in this article. Para obtener más información acerca de los permisos de DLP, consulte Permisos.To learn more about DLP permissions, see Permissions.

La clasificación basada en EDM se incluye en estas suscripcionesEDM-based classification is included in these subscriptions

  • Office 365 E5Office 365 E5
  • Microsoft 365 E5Microsoft 365 E5
  • Cumplimiento de Microsoft 365 E5Microsoft 365 E5 Compliance
  • Gobierno y protección de información de Microsoft E5/A5Microsoft E5/A5 Information Protection and Governance
PortalPortal World Wide/GCCWorld Wide/GCC GCC-HighGCC-High DODDOD
Office SCCOffice SCC protection.office.comprotection.office.com scc.office365.usscc.office365.us scc.protection.apps.milscc.protection.apps.mil
Centro de seguridad de Microsoft 365Microsoft 365 Security center security.microsoft.comsecurity.microsoft.com security.microsoft.ussecurity.microsoft.us security.apps.milsecurity.apps.mil
Centro de cumplimiento de Microsoft 365Microsoft 365 Compliance center compliance.microsoft.comcompliance.microsoft.com compliance.microsoft.uscompliance.microsoft.us compliance.apps.milcompliance.apps.mil

El flujo de trabajo de un vistazoThe work flow at a glance

FasePhase RequisitosWhat's needed
Parte 1: Configurar la clasificación basada en EDMPart 1: Set up EDM-based classification

(Según sea necesario)(As needed)
- Editar el esquema de la base de datos- Edit the database schema
- Quitar el esquema- Remove the schema
- Acceso de lectura a los datos confidenciales- Read access to the sensitive data
- Esquema de la base de datos en formato XML (ejemplo proporcionado)- Database schema in XML format (example provided)
- Paquete de reglas en formato XML (ejemplo proporcionado)- Rule package in XML format (example provided)
- Permisos de administrador para el Centro de seguridad y cumplimiento (con PowerShell)- Admin permissions to the Security & Compliance Center (using PowerShell)
Parte 2: Crear un hash y cargar los datos confidencialesPart 2: Hash and upload the sensitive data

(Según sea necesario)(As needed)
Actualizar los datosRefresh the data
- Cuenta de usuario y de grupo de seguridad personalizado- Custom security group and user account
- Acceso de administrador local en el equipo con el agente de carga EDM- Local admin access to machine with EDM Upload Agent
- Acceso de lectura a los datos confidenciales- Read access to the sensitive data
- Procesar y programar la actualización de los datos- Process and schedule for refreshing the data
Parte 3: Usar clasificación basada en EDM con los servicios de nube de MicrosoftPart 3: Use EDM-based classification with your Microsoft cloud services - Suscripción a Microsoft 365 con DLP- Microsoft 365 subscription with DLP
- Característica de clasificación basada en EDM habilitada- EDM-based classification feature enabled

Parte 1: Configurar la clasificación basada en EDMPart 1: Set up EDM-based classification

La configuración y la configuración de la clasificación basada en EDM incluye lo siguiente:Setting up and configuring EDM-based classification involves:

  1. Guardar datos confidenciales en .csv o en formato .tsvSaving sensitive data in .csv or .tsv format
  2. Definir el esquema de la base de datos de su información confidencialDefine your sensitive information database schema
  3. Crear un paquete de reglasCreate a rule package

Guardar datos confidenciales en .csv o en formato .tsvSave sensitive data in .csv or .tsv format

  1. Identifique la información confidencial que quiera usar.Identify the sensitive information you want to use. Exporte los datos a una aplicación, como Microsoft Excel, y guarde el archivo en un archivo de texto.Export the data to an app, such as Microsoft Excel, and save the file in a text file. El archivo se puede guardar en .csv (valores separados por comas), .tsv (valores separados por tabulaciones) o en formato separado por |).The file can be saved in .csv (comma-separated values), .tsv (tab-separated values), or pipe-separated (|) format. El formato .tsv se recomienda en casos en los que los valores de datos pueden incluir comas, como direcciones de calle.The .tsv format is recommended in cases where your data values may included commas, such as street addresses. El archivo de datos puede incluir un máximo de:The data file can include a maximum of:

    • Hasta 100 millones de filas de datos confidencialesUp to 100 million rows of sensitive data
    • Hasta 32 columnas (campos) por origen de datosUp to 32 columns (fields) per data source
    • Hasta 5 columnas (campos) marcadas como utilizables en búsquedasUp to 5 columns (fields) marked as searchable
  2. Estructura los datos confidenciales del archivo .csv o .tsv de forma que la primera fila incluya los nombres de los campos usados para la clasificación basada en EDM.Structure the sensitive data in the .csv or .tsv file such that the first row includes the names of the fields used for EDM-based classification. En el archivo, es posible que tenga nombres de campo como "ssn", "fecha de nacimiento", "nombre", "apellido".In your file you might have field names such as "ssn", "birthdate", "firstname", "lastname". Los nombres de encabezado de las columnas no pueden contener espacios ni guiones bajos.The column header names can't include spaces or underscores. Por ejemplo, el archivo .csv de ejemplo que usamos en este artículo se denomina RegistrosPacientes.csv y sus columnas IdPaciente, NEM, Apellido, Nombre, NSS, etc.For example, the sample .csv file that we use in this article is named PatientRecords.csv, and its columns include PatientID, MRN, LastName, FirstName, SSN, and more.

  3. Preste atención al formato de los campos de datos confidenciales.Pay attention to the format of the sensitive data fields. En concreto, los campos que pueden contener comas en su contenido, por ejemplo, una dirección de calle que contiene el valor "Seattle,WA" se analizarán como dos campos independientes cuando se analice si se selecciona el formato .csv.In particular, fields that may contain commas in their content, for example, a street address that contains the value "Seattle,WA" would be parsed as two separate fields when parsed if the .csv format is selected. Para evitar esto, use el formato .tsv o rodeado de la coma que contiene valores entre comillas dobles en la tabla de datos confidenciales.To avoid this, use the .tsv format or surrounded the comma containing values by double quotes in the sensitive data table. Si las comas que contienen valores también contienen espacios, debe crear un SIT personalizado que coincida con el formato correspondiente.If comma containing values also contain spaces, you need to create a custom SIT that matches the corresponding format. Por ejemplo, un SIT que detecta cadenas de varias palabras con comas y espacios en ella.For example, a SIT that detects multi-word string with commas and spaces in it.

Definir el esquema de la base de datos de información confidencialDefine the schema for your database of sensitive information

Si por razones técnicas o de negocios prefiere no usar PowerShell o la línea de comandos para crear el esquema y el tipo de información confidencial de EDM patter (paquete de reglas), puede usar el Asistente de tipo de información confidencial y esquema de coincidencia de datos para crearlos.If for business or technical reasons, you prefer not to use PowerShell or command line to create your schema and EDM sensitive info type pattern (rule package), you can use the Exact Data Match Schema and Sensitive Information Type Wizard to create them. Cuando termine de crear el esquema y el patrón de tipo de información confidencial de EDM, vuelva a completar todos los pasos necesarios para que su tipo de información confidencial basado en EDM esté disponible para su uso.When you are done creating the schema and EDM sensitive info type pattern, return to complete all the steps necessary to make your EDM based sensitive information type available for use.

Nota

El esquema de coincidencia exacta de datos y el Asistente para tipos de información confidencial solo están disponibles para las nubes en todo el mundo y GCC.The Exact Data Match Schema and Sensitive Information Type Wizard is only available for the World Wide and GCC clouds only.

  1. Defina el esquema de la base de datos de información confidencial en formato XML (similar al siguiente ejemplo).Define the schema for the database of sensitive information in XML format (similar to our example below). Dé un nombre a este archivo de esquema edm.xml y configúrelo para que por cada columna de la base de datos haya una línea que use la sintaxis:Name this schema file edm.xml, and configure it such that for each column in the database, there is a line that uses the syntax:

    \<Field name="" searchable=""/\>.\<Field name="" searchable=""/\>.

    • Use nombres de columna para los valores Nombre de campo.Use column names for Field name values.
    • Use searchable="true" para los campos que quiere que se puedan buscar, hasta un máximo de 5 campos.Use searchable="true" for the fields that you want to be searchable up to a maximum of 5 fields. Al menos un campo se debe poder utilizar en búsquedas.At least one field must be searchable.

    Por ejemplo, el siguiente archivo XML define el esquema para una base de datos de registros de pacientes, con cinco campos especificados para la búsqueda: IdPaciente, NEM, NSS, Teléfono y FechaNacimiento.As an example, the following XML file defines the schema for a patient records database, with five fields specified as searchable: PatientID, MRN, SSN, Phone, and DOB.

    (Puede copiar, modificar y usar nuestro ejemplo).(You can copy, modify, and use our example.)

    <EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
          <DataStore name="PatientRecords" description="Schema for patient records" version="1">
                <Field name="PatientID" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
                <Field name="MRN" searchable="true" />
                <Field name="FirstName" />
                <Field name="LastName" />
                <Field name="SSN" searchable="true" />
                <Field name="Phone" searchable="true" />
                <Field name="DOB" searchable="true" />
                <Field name="Gender" />
                <Field name="Address" />
          </DataStore>
    </EdmSchema>
    
Coincidencia configurable con los campos caseInsensitive y ignoredDelimitersConfigurable match using the caseInsensitive and ignoredDelimiters fields

En el ejemplo de XML anterior se usan los campos caseInsensitive y ignoredDelimiters.The above XML sample makes use of the caseInsensitive and the ignoredDelimiters fields.

Al incluir el campo *caseInsensitive _ establecido en el valor de true en la definición del esquema, EDM no excluirá un elemento basado en diferencias entre mayúsculas y minúsculas para el campo PatientID.When you include the *caseInsensitive _ field set to the value of true in your schema definition, EDM will not exclude an item based on case differences for PatientID field. Por lo tanto, EDM verá PatientID _ FOO-1234* y fOo-1234 como iguales.So EDM will see, PatientID _ FOO-1234* and fOo-1234 as being identical.

Al incluir el campo *ignoredDelimiters _ con caracteres compatibles, EDM pasará por alto estos caracteres en PatientID.When you include the *ignoredDelimiters _ field with supported characters, EDM will ignore those characters in the PatientID. Por lo tanto, EDM verá PatientID _ FOO-1234* y PatientID FOO-1234 como iguales.So EDM will see, PatientID _ FOO-1234* and PatientID FOO#1234 as being identical. El indicador ignoredDelimiters admite cualquier carácter no alfanumérico. Aquí se muestran algunos ejemplos:The ignoredDelimiters flag supports any non-alphanumeric character, here are some examples:

  • ..
  • -
  • /
  • _
  • *
  • ^
  • #
  • !
  • ?
  • [
  • ]
  • {
  • }
  • \
  • ~
  • ;

El indicador ignoredDelimiters no es compatible con:The ignoredDelimiters flag doesn't support:

  • caracteres 0-9characters 0-9
  • A-ZA-Z
  • a-za-z
  • "
  • ,

En este ejemplo, donde se usan tanto caseInsensitive como ignoredDelimiters, EDM vería FOO-1234 y fOo#1234 como iguales y clasificaría al elemento como el tipo de información confidencial para el registro del paciente.In this example, where both caseInsensitive and ignoredDelimiters are used, EDM would see FOO-1234 and fOo#1234 as identical and classify the item as a patient record sensitive information type.

  1. Conéctese al Centro de seguridad y cumplimiento por medio de los procedimientos que se describen en Conectar al PowerShell del Centro de seguridad y cumplimiento.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  2. Para cargar el esquema de la base de datos, ejecute, uno a la vez, los siguientes cmdlets:To upload the database schema, run the following cmdlets, one at a time:

    $edmSchemaXml=Get-Content .\\edm.xml -Encoding Byte -ReadCount 0
    New-DlpEdmSchema -FileData $edmSchemaXml -Confirm:$true
    

    Se le pedirá que confirme lo siguiente:You will be prompted to confirm, as follows:

    ConfirmarConfirm

    ¿Está seguro de que desea realizar esta acción?Are you sure you want to perform this action?

    Se importará el nuevo esquema EDM para el almacén de datos "registrospacientes".New EDM Schema for the data store 'patientrecords' will be imported.

    ¿[S] Sí [T] Sí a todo [N] No [A] No a todo [?] Ayuda (el valor predeterminado es "S"):[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

Sugerencia

Si quiere que los cambios se realicen sin confirmación, en el paso 5, use este cmdlet: New-DlpEdmSchema -FileData $edmSchemaXmlIf you want your changes to occur without confirmation, in Step 5, use this cmdlet instead: New-DlpEdmSchema -FileData $edmSchemaXml

Nota

La actualización de EDMSchema con adiciones puede tardar de 10 a 60 minutos.It can take between 10-60 minutes to update the EDMSchema with additions. La actualización debe completarse antes de ejecutar los pasos que usan las adiciones.The update must complete before you execute steps that use the additions.

Configuración de un paquete de reglasSet up a rule package

  1. Cree un paquete de reglas en formato XML (con codificación Unicode), similar al siguiente ejemplo:Create a rule package in XML format (with Unicode encoding), similar to the following example. (Puede copiar, modificar y usar nuestro ejemplo).(You can copy, modify, and use our example.)

    Al configurar el paquete de reglas, asegúrese de hacer referencia correctamente al archivo .csv o .tsv y edm.xml archivo.When you set up your rule package, make sure to correctly reference your .csv or .tsv file and edm.xml file. Puede copiar, modificar y usar nuestro ejemplo.You can copy, modify, and use our example. En este XML de ejemplo, debe personalizar los siguientes campos para crear el tipo confidencial de EDM:In this sample xml the following fields needs to be customized to create your EDM sensitive type:

    • RulePack id y ExactMatch id: use New-GUID para generar un GUID.RulePack id & ExactMatch id: Use New-GUID to generate a GUID.

    • Datastore: este campo especifica el almacén de datos de búsqueda de EDM que se va a usar.Datastore: This field specifies EDM lookup data store to be used. Debe proporcionar un nombre de origen de datos de un esquema EDM configurado.You provide a data source name of a configured EDM Schema.

    • idMatch: este campo señala al elemento principal para EDM.idMatch: This field points to the primary element for EDM.

      • Matches: especifica el campo que se usará en la búsqueda exacta.Matches: Specifies the field to be used in exact lookup. Se proporciona un nombre de campo que se puede buscar en el esquema EDM para DataStore.You provide a searchable field name in EDM Schema for the DataStore.
      • Classification: este campo especifica la coincidencia de tipo confidencial que desencadena la búsqueda de EDM.Classification: This field specifies the sensitive type match that triggers EDM lookup. Puede especificar el nombre o el GUID de una clasificación personalizada o integrada existente.You can provide the Name or GUID of an existing built-in or custom sensitive information type. Tenga en cuenta que a cualquier cadena que coincida con el tipo de información confidencial proporcionada se le aplicará un hash y se comparará con cada entrada de la tabla de información confidencial.Be aware that any string that matches the sensitive information type provided will be hashed and compared to every entry in the sensitive information table. Para evitar problemas de rendimiento, si usa un tipo de información confidencial personalizado como elemento clasificación en EDM, evite usar uno que coincida con un gran porcentaje de contenido (como "cualquier número" o "cualquier palabra de cinco letras") agregando palabras clave o incluyendo formato en la definición del tipo de información confidencial de clasificación personalizada.In order to avoid causing performance issues, if you use a custom sensitive information type as the Classification element in EDM, avoid using one that will match a large percentage of content (such as "any number" or "any five-letter word") by adding supporting keywords or including formatting in the definition of the custom classification sensitive information type.
    • Match: este campo señala a la evidencia adicional que se encuentra cerca de idMatch.Match: This field points to additional evidence found in proximity of idMatch.

      • Matches: se proporciona un nombre de campo en el esquema EDM para DataStore.Matches: You provide any field name in EDM Schema for DataStore.
    • Resource: esta sección especifica el nombre y la descripción del tipo confidencial en varias configuraciones regionales.Resource: This section specifies the name and description for sensitive type in multiple locales.

      • idRef: se proporciona un GUID para Id. de ExactMatch.idRef: You provide GUID for ExactMatch ID.
      • Nombres y descripciones: personalice según sea necesario.Name & descriptions: customize as required.
    <RulePackage xmlns="http://schemas.microsoft.com/office/2018/edm">
      <RulePack id="fd098e03-1796-41a5-8ab6-198c93c62b11">
        <Version build="0" major="2" minor="0" revision="0" />
        <Publisher id="eb553734-8306-44b4-9ad5-c388ad970528" />
        <Details defaultLangCode="en-us">
          <LocalizedDetails langcode="en-us">
            <PublisherName>IP DLP</PublisherName>
            <Name>Health Care EDM Rulepack</Name>
            <Description>This rule package contains the EDM sensitive type for health care sensitive types.</Description>
          </LocalizedDetails>
        </Details>
      </RulePack>
      <Rules>
        <ExactMatch id = "E1CC861E-3FE9-4A58-82DF-4BD259EAB371" patternsProximity = "300" dataStore ="PatientRecords" recommendedConfidence = "65" >
          <Pattern confidenceLevel="65">
            <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
          </Pattern>
          <Pattern confidenceLevel="75">
            <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
            <Any minMatches ="3" maxMatches ="6">
              <match matches="PatientID" />
              <match matches="MRN"/>
              <match matches="FirstName"/>
              <match matches="LastName"/>
              <match matches="Phone"/>
              <match matches="DOB"/>
            </Any>
          </Pattern>
        </ExactMatch>
        <LocalizedStrings>
          <Resource idRef="E1CC861E-3FE9-4A58-82DF-4BD259EAB371">
            <Name default="true" langcode="en-us">Patient SSN Exact Match.</Name>
            <Description default="true" langcode="en-us">EDM Sensitive type for detecting Patient SSN.</Description>
          </Resource>
        </LocalizedStrings>
      </Rules>
    </RulePackage>
    
  2. Cargue el paquete de reglas ejecutando, uno a la vez, los siguientes cmdlets de PowerShell:Upload the rule package by running the following PowerShell cmdlets, one at a time:

    $rulepack=Get-Content .\\rulepack.xml -Encoding Byte -ReadCount 0
    New-DlpSensitiveInformationTypeRulePackage -FileData $rulepack
    

Ya tiene configurada la clasificación basada en EDM.At this point, you have set up EDM-based classification. El siguiente paso es crear un hash para los datos confidenciales y luego cargarlo para indexarlo.The next step is to hash the sensitive data, and then upload the hashes for indexing.

Recuerde del procedimiento anterior que nuestro esquema RegistrosPacientes define cinco campos para la búsqueda: IdPaciente, NEM, NSS, Teléfono y FechaNacimiento.Recall from the previous procedure that our PatientRecords schema defines five fields as searchable: PatientID, MRN, SSN, Phone, and DOB. Nuestro paquete de reglas de ejemplo incluye esos campos y hace referencia al archivo de esquema de la base de datos (edm.xml), con un elemento ExactMatch por campo de búsqueda.Our example rule package includes those fields and references the database schema file (edm.xml), with one ExactMatch item per searchable field. Considere el siguiente elemento ExactMatch:Consider the following ExactMatch item:

<ExactMatch id = "E1CC861E-3FE9-4A58-82DF-4BD259EAB371" patternsProximity = "300" dataStore ="PatientRecords" recommendedConfidence = "65" >
      <Pattern confidenceLevel="65">
        <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
      </Pattern>
      <Pattern confidenceLevel="75">
        <idMatch matches = "SSN" classification = "U.S. Social Security Number (SSN)" />
        <Any minMatches ="3" maxMatches ="100">
          <match matches="PatientID" />
          <match matches="MRN"/>
          <match matches="FirstName"/>
          <match matches="LastName"/>
          <match matches="Phone"/>
          <match matches="DOB"/>
        </Any>
      </Pattern>
    </ExactMatch>

En este ejemplo, tenga en cuenta lo siguiente:In this example, note that:

  • El nombre de dataStore hace referencia al archivo .csv que hemos creado anteriormente: dataStore = "RegistrosPacientes".The dataStore name references the .csv file we created earlier: dataStore = "PatientRecords".

  • El valor de idMatch hace referencia a un campo para la búsqueda que aparece en el archivo de esquema de la base de datos: idMatch matches = "NSS".The idMatch value references a searchable field that is listed in the database schema file: idMatch matches = "SSN".

  • El valor classification hace referencia a un tipo de información confidencial existente o personalizada: classification = "Número de seguridad social de Estados Unidos (NSS)".The classification value references an existing or custom sensitive information type: classification = "U.S. Social Security Number (SSN)". (En este caso, usamos el tipo de información confidencial existente del número de la seguridad social de Estados Unidos).(In this case, we use the existing sensitive information type of U.S. Social Security Number.)

Nota

La actualización de EDMSchema con adiciones puede tardar de 10 a 60 minutos.It can take between 10-60 minutes to update the EDMSchema with additions. La actualización debe completarse antes de ejecutar los pasos que usan las adiciones.The update must complete before you execute steps that use the additions.

Después de que haya importado su paquete de reglas con el tipo de información confidencial EDM, así como la tabla de datos confidenciales, puede probar el último tipo de que creado usando la función Test en el asistente EDM del centro de cumplimiento.After you have imported your rule package with your EDM sensitive info type and have imported your sensitive data table, you can test your newly created type by using the Test function in the EDM wizard in the compliance center. Consulte las instrucciones Utilice el esquema de coincidencia de datos exactos y el asistente para tipos de información confidencial sobre cómo usar esta funcionalidad.See Use the Exact Data Match Schema and Sensitive Information Type Wizard for instructions on using this functionality.

Editar el esquema de la clasificación basada en EDMEditing the schema for EDM-based classification

Si quiere realizar cambios en el archivo edm.xml, como cambiar los campos que se usan para la clasificación basada en EDM, siga estos pasos:If you want to make changes to your edm.xml file, such as changing which fields are used for EDM-based classification, follow these steps:

Sugerencia

Puede cambiar el esquema EDM y el archivo de datos para aprovechar la coincidencia configurable.You can change your EDM schema and data file to take advantage of configurable match. Cuando se configura, EDM omite las diferencias entre mayúsculas y minúsculas y otros delimitadores cuando evalúa un elemento.When configured, EDM will ignore case differences and some delimiters when it evaluates an item. Esto facilita la definición del esquema XML y los archivos de datos confidenciales.This makes defining your xml schema and your sensitive data files easier. Para obtener más información, consulte Modificar el esquema de coincidencia de datos exacta para usar la coincidencia configurable.To learn more see, Modify Exact Data Match schema to use configurable match.

  1. Edite el archivo edm.xml (este es el archivo tratado en la sección Definir el esquema de este artículo).Edit your edm.xml file (this is the file discussed in the Define the schema section of this article).

  2. Conéctese al Centro de seguridad y cumplimiento por medio de los procedimientos que se describen en Conectar al PowerShell del Centro de seguridad y cumplimiento.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  3. Para actualizar el esquema de la base de datos, ejecute, uno a la vez, los siguientes cmdlets:To update your database schema, run the following cmdlets, one at a time:

    $edmSchemaXml=Get-Content .\\edm.xml -Encoding Byte -ReadCount 0
    Set-DlpEdmSchema -FileData $edmSchemaXml -Confirm:$true
    

    Se le pedirá que confirme lo siguiente:You will be prompted to confirm, as follows:

    ConfirmarConfirm

    ¿Está seguro de que desea realizar esta acción?Are you sure you want to perform this action?

    Se actualizará el esquema EDM para el almacén de datos "registrospacientes".EDM Schema for the data store 'patientrecords' will be updated.

    ¿[S] Sí [T] Sí a todo [N] No [A] No a todo [?] Ayuda (el valor predeterminado es "S"):[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

    Sugerencia

    Si quiere que los cambios se realicen sin confirmación, en el paso 3, use este cmdlet: Set-DlpEdmSchema -FileData $edmSchemaXmlIf you want your changes to occur without confirmation, in Step 3, use this cmdlet instead: Set-DlpEdmSchema -FileData $edmSchemaXml

    Nota

    La actualización de EDMSchema con adiciones puede tardar de 10 a 60 minutos.It can take between 10-60 minutes to update the EDMSchema with additions. La actualización debe completarse antes de ejecutar los pasos que usan las adiciones.The update must complete before you execute steps that use the additions.

Eliminación del esquema de la clasificación basada en EDMRemoving the schema for EDM-based classification

(Según sea necesario) Si quiere quitar el esquema que está usando de la clasificación basada en EDM, siga estos pasos:(As needed) If you want to remove the schema you're using for EDM-based classification, follow these steps:

  1. Conéctese al Centro de seguridad y cumplimiento por medio de los procedimientos que se describen en Conectar al PowerShell del Centro de seguridad y cumplimiento.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

  2. Ejecute los siguientes cmdlets de PowerShell y sustituya el nombre del almacén de datos "registros de pacientes" por el que quiera quitar:Run the following PowerShell cmdlets, substituting the data store name of "patient records" with the one you want to remove:

    Remove-DlpEdmSchema -Identity patientrecords
    

    Se le pedirá una confirmación:You will be prompted to confirm:

    ConfirmarConfirm

    ¿Está seguro de que desea realizar esta acción?Are you sure you want to perform this action?

    Se quitará el esquema EDM para el almacén de datos "registrospacientes".EDM Schema for the data store 'patientrecords' will be removed.

    ¿[S] Sí [T] Sí a todo [N] No [A] No a todo [?] Ayuda (el valor predeterminado es "S"):[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):

    Sugerencia

    Si quiere que los cambios se realicen sin confirmación, en el paso 2, use este cmdlet: Remove-DlpEdmSchema -Identity registrospacientes -Confirm:$falseIf you want your changes to occur without confirmation, in Step 2, use this cmdlet instead: Remove-DlpEdmSchema -Identity patientrecords -Confirm:$false

Parte 2: Crear un hash y cargar los datos confidencialesPart 2: Hash and upload the sensitive data

En esta fase, configurará una cuenta de usuario y un grupo de seguridad personalizado y configurará la herramienta de agente de carga de EDM.In this phase, you set up a custom security group and user account, and set up the EDM Upload Agent tool. Luego, usará la herramienta para aplicar el algoritmo hash con valor de sal a los datos confidenciales y, después, los cargará.Then, you use the tool to hash with salt value the sensitive data, and upload it.

El algoritmo hash y la carga se pueden realizar con un equipo o puede separar el paso de hash del paso de carga para mayor seguridad.The hashing and uploading can be done using one computer or you can separate the hashing step from the upload step for greater security.

Si desea aplicar un algoritmo hash y cargar desde un equipo, tendrá que hacerlo desde un equipo que pueda conectarse directamente a su espacio empresarial de Microsoft 365.If you want to hash and upload from one computer, you need to do it from a computer that can directly connect to your Microsoft 365 tenant. Esto requiere que los archivos de datos confidenciales de texto no cifrado se encuentren en el equipo para la aplicación del algoritmo hash.This requires that your clear text sensitive data files are on that computer for hashing.

Si no desea que se muestre el archivo de datos confidenciales de texto no cifrado, puede aplicar un algoritmo hash en un equipo en una ubicación segura y, a continuación, copiar el archivo hash y el archivo de sal en un equipo que pueda conectarse directamente a su espacio empresarial de Microsoft 365 para cargarlo.If you do not want to expose your clear text sensitive data file, you can hash it on a computer in a secure location and then copy the hash file and the salt file to a computer that can directly connect to your Microsoft 365 tenant for upload. En este escenario, necesitará el EDMUploadAgent en ambos equipos.In this scenario, you will need the EDMUploadAgent on both computers.

Importante

Si ha usado el esquema Coincidencia de datos exacto y el Asistente para tipos de información confidencial para crear los archivos de patrón y esquema, debe descargar el esquema para este procedimiento.If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, you must download the schema for this procedure.

Nota

Si su organización ha configurado la clave de cliente para Microsoft 365en el nivel de inquilino, la coincidencia exacta de datos hará uso de su funcionalidad de cifrado automáticamente.If your organization has set up Customer Key for Microsoft 365 at the tenant level, Exact data match will make use of its encryption functionality automatically. Esto solo está disponible para los inquilinos con licencia E5 en la nube comercial.This is available only to E5 licensed tenants in the Commercial cloud.

Requisitos previosPrerequisites

  • una cuenta profesional o educativa de Microsoft 365 que se agregará al grupo de seguridad de EDM_DataUploadersa work or school account for Microsoft 365 that will be added to the EDM_DataUploaders security group
  • un equipo con Windows 10 o Windows Server 2016 con .NET versión 4.6.2 para ejecutar el EDMUploadAgenta Windows 10 or Windows Server 2016 machine with .NET version 4.6.2 for running the EDMUploadAgent
  • un directorio en el equipo de carga para lo siguiente:a directory on your upload machine for the:
    • EDMUploadAgentEDMUploadAgent
    • el archivo de elemento confidencial en .csv formato .tsv o .tsv, PatientRecords.csv en nuestros ejemplosyour sensitive item file in .csv or .tsv format, PatientRecords.csv in our examples
    • los archivos hash y de sal de salidaand the output hash and salt files
    • el nombre del almacén de datos del archivo edm.xml que para este ejemplo es PatientRecordsthe datastore name from the edm.xml file, for this example its PatientRecords
  • Si ha usado el esquema de coincidencia exacta de datos y el Asistente para el tipo de información confidencial entonces debe descargarloIf you used the Exact Data Match schema and sensitive information type wizard you must download it

Configuración de la cuenta de usuario y del grupo de seguridad personalizadoSet up the security group and user account

  1. Como administrador global, vaya al Centro de administración mediante el vínculo apropiado para su suscripción y cree un grupo de seguridadllamado EDM_DataUploaders.As a global administrator, go to the admin center using the appropriate link for your subscription and create a security group called EDM_DataUploaders.

  2. Agregue uno o más usuarios al grupo de seguridad EDM_DataUploaders.Add one or more users to the EDM_DataUploaders security group. (Estos usuarios administrarán la base de datos de información confidencial).(These users will manage the database of sensitive information.)

Crear un hash y cargar desde un equipoHash and upload from one computer

Este equipo debe tener acceso directo a su espacio empresarial de Microsoft 365.This computer must have direct access to your Microsoft 365 tenant.

Nota

Antes de comenzar este procedimiento, asegúrese de que es miembro del grupo de seguridad EDM_DataUploaders.Before you begin this procedure, make sure that you are a member of the EDM_DataUploaders security group.

Sugerencia

Opcionalmente, puede ejecutar una validación en el archivo .csv o .tsv antes de cargarlo ejecutando:Optionally, you can run a validation against your .csv or .tsv file before uploading by running:

EdmUploadAgent.exe /ValidateData /DataFile [data file] /Schema [schema file]

Para más información sobre todos los parámetros admitidos de EdmUploadAgent.exe >, ejecuteFor more information on all the EdmUploadAgent.exe >supported parameters run

EdmUploadAgent.exe /?

  • Comercial + GCC: la mayoría de los clientes comerciales deben usarloCommercial + GCC - most commercial customers should use this
  • GCC alto: está específicamente diseñado para los suscriptores de nube de administración pública de alta seguridadGCC-High - This is specifically for high security government cloud subscribers
  • DoD : está específicamente diseñado para los clientes de la nube del Departamento de defensa de Estados UnidosDoD - this is specifically for United States Department of Defense cloud customers
  1. Cree un directorio de trabajo para EDMUploadAgent.Create a working directory for the EDMUploadAgent. Por ejemplo: C:\EDM\Data.For example, C:\EDM\Data. Coloque el archivo RegistrosPacientes.csv dentro.Place the PatientRecords.csv file there.

  2. Descargue e instale el Agente de carga de EDM adecuado para su suscripción en el directorio que creó en el paso 1.Download and install the appropriate EDM Upload Agent for your subscription into the directory you created in step 1.

    Nota

    El EDMUploadAgent de los vínculos anteriores se ha actualizado para agregar automáticamente un valor de sal a los datos hash.The EDMUploadAgent at the above links has been updated to automatically add a salt value to the hashed data. De forma alternativa, puede brindar su propio valor de sal.Alternately, you can provide your own salt value. Una vez que haya usado esta versión, no podrá usar la versión anterior de EDMUploadAgent.Once you have used this version, you will not be able to use the previous version of the EDMUploadAgent.

    Puede cargar datos con EDMUploadAgent en cualquier almacén de datos determinado solo dos veces al día.You can upload data with the EDMUploadAgent to any given data store only twice per day.

    Sugerencia

    Para obtener una lista de los parámetros de comando compatibles, ejecute el agente sin argumentos.To a get a list out of the supported command parameters, run the agent no arguments. Por ejemplo, 'EdmUploadAgent.exe'.For example 'EdmUploadAgent.exe'.

  3. Autorice el agente de carga de EDM, abra la ventana del Símbolo del sistema (como administrador), cambie al directorio C:\EDM\Data y, después, ejecute el siguiente comando:Authorize the EDM Upload Agent, open Command Prompt window (as an administrator), switch to the C:\EDM\Data directory and then run the following command:

    EdmUploadAgent.exe /Authorize

  4. Inicie sesión con su cuenta profesional o educativa de Microsoft 365 que se ha agregado al grupo de seguridad de EDM_DataUploaders.Sign in with your work or school account for Microsoft 365 that was added to the EDM_DataUploaders security group. La información de inquilino se extrae de la cuenta de usuario para establecer una conexión.Your tenant information is extracted from the user account to make the connection.

    OPCIONAL: Si usó el esquema de coincidencia exacta de datos y el Asistente para el tipo de información confidencial con el fin de crear los archivos de esquema y de patrón, ejecute el siguiente comando en una ventana de símbolo del sistema:OPTIONAL: If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, run the following command in a Command Prompt window:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  5. Para crear un hash y cargar los datos confidenciales, ejecute el siguiente comando en la ventana del Símbolo del sistema:To hash and upload the sensitive data, run the following command in Command Prompt window:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] /ColumnSeparator ["{Tab}"|"|"]

    Por ejemplo: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xmlExample: EdmUploadAgent.exe /UploadData /DataStoreName PatientRecords /DataFile C:\Edm\Hash\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml

    El formato predeterminado del archivo de datos confidenciales son valores separados por comas.The default format for the sensitive data file is comma-separated values. Puede especificar un archivo separado por tabulaciones indicando la opción "{Tab}" con el parámetro /ColumnSeparator, o bien puede especificar un archivo separado por canalización indicando la opción "|".You can specify a tab-separated file by indicating the "{Tab}" option with the /ColumnSeparator parameter, or you can specify a pipe-separated file by indicating the "|" option.
    Este comando agregará automáticamente un valor de sal generado aleatoriamente al hash para mayor seguridad.This command will automatically add a randomly generated salt value to the hash for greater security. De forma opcional, si quiere usar su propio valor de sal, agregue /Salt al comando.Optionally, if you want to use your own salt value, add the /Salt to the command. Este valor debe tener 64 caracteres de longitud y solo puede contener los caracteres a-z y 0-9.This value must be 64 characters in length and can only contain the a-z characters and 0-9 characters.

  6. Compruebe el estado de la carga al ejecutar este comando:Check the upload status by running this command:

    EdmUploadAgent.exe /GetSession /DataStoreName \<DataStoreName\>

    Ejemplo: EdmUploadAgent.exe /GetSession /DataStoreName PatientRecordsExample: EdmUploadAgent.exe /GetSession /DataStoreName PatientRecords

    Verifique que el estado se encuentre en ProcesamientoEnCurso.Look for the status to be in ProcessingInProgress. Verifique nuevamente cada pocos minutos hasta que el estado cambie a Completado.Check again every few minutes until the status changes to Completed. Una vez que el estado se muestre como completado, los datos de EDM ya están listos para su uso.Once the status is completed, your EDM data is ready for use.

Separe el hash y cargueSeparate Hash and upload

Aplique el algoritmo hash en un equipo en un entorno seguro.Perform the hash on a computer in a secure environment.

OPCIONAL: Si usó el esquema de coincidencia exacta de datos y el Asistente para el tipo de información confidencial con el fin de crear los archivos de esquema y de patrón, ejecute el siguiente comando en una ventana de símbolo del sistema:OPTIONAL: If you used the Exact Data Match schema and sensitive information type wizard to create your schema and pattern files, run the following command in a Command Prompt window:

EdmUploadAgent.exe /SaveSchema /DataStoreName <schema name> /OutputDir <path to output folder>

  1. Ejecute el siguiente comando en la ventana del Símbolo del sistema:Run the following command in Command Prompt windows:

    EdmUploadAgent.exe /CreateHash /DataFile [data file] /HashLocation [hash file location] /Schema [Schema file] >

    Por ejemplo:For example:

    EdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xmlEdmUploadAgent.exe /CreateHash /DataFile C:\Edm\Data\PatientRecords.csv /HashLocation C:\Edm\Hash /Schema edm.xml

    De este forma, se obtendrá un archivo con hash y un archivo de sal con estas extensiones si no ha especificado la opción /Salt :This will output a hashed file and a salt file with these extensions if you didn't specify the /Salt option:

    • .EdmHash.EdmHash
    • .EdmSalt.EdmSalt
  2. Copie estos archivos de forma segura en el equipo que usará para cargar los elementos confidenciales .csv o archivo .tsv (PatientRecords) a su inquilino.Copy these files in a secure fashion to the computer you will use to upload your sensitive items .csv or .tsv file (PatientRecords) to your tenant.

    Para cargar los datos con hash, ejecute el siguiente comando en el Símbolo del sistema de Windows:To upload the hashed data, run the following command in Windows Command Prompt:

    EdmUploadAgent.exe /UploadHash /DataStoreName \<DataStoreName\> /HashFile \<HashedSourceFilePath\>

    Por ejemplo:For example:

    EdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\Edm\Hash\PatientRecords.EdmHashEdmUploadAgent.exe /UploadHash /DataStoreName PatientRecords /HashFile C:\Edm\Hash\PatientRecords.EdmHash

    Para comprobar que se hayan cargado los datos confidenciales, ejecute el siguiente comando en el Símbolo del sistema de Windows:To verify that your sensitive data has been uploaded, run the following command in Command Prompt window:

    EdmUploadAgent.exe /GetDataStore

    Verá una lista de almacenes de datos y la última vez que se actualizaron.You'll see a list of data stores and when they were last updated.

    Si desea ver todos los datos cargados en una determinada tienda, ejecute el comando siguiente en un símbolo del sistema de Windows:If you want to see all the data uploads to a particular store, run the following command in a Windows command prompt:

    EdmUploadAgent.exe /GetSession /DataStoreName <DataStoreName>

    Continúe con el proceso de configuración y programación para actualizar la base de datos de información confidencial.Proceed to set up your process and schedule for Refreshing your sensitive information database.

En este momento, está listo para usar la clasificación basada en EDM con los servicios de nube de Microsoft.At this point, you are ready to use EDM-based classification with your Microsoft cloud services. Por ejemplo, puede configurar una directiva DLP con clasificación basada en EDM.For example, you can set up a DLP policy using EDM-based classification.

Actualizar la base de datos de información confidencialRefreshing your sensitive information database

Puede actualizar la base de datos de información confidencial diariamente y la herramienta de carga de EDM puede volver a indexar los datos confidenciales y cargar de nuevo los datos indexados.You can refresh your sensitive information database daily, and the EDM Upload Tool can reindex the sensitive data and then reupload the indexed data.

  1. Determine el proceso y la frecuencia (diaria o semanal) para actualizar la base de datos de información confidencial.Determine your process and frequency (daily or weekly) for refreshing the database of sensitive information.

  2. Vuelva a exportar los datos confidenciales a una aplicación, como Microsoft Excel, y guarde el archivo en formato .csv o .tsv.Re-export the sensitive data to an app, such as Microsoft Excel, and save the file in .csv or .tsv format. Mantenga el mismo nombre de archivo y ubicación que usó cuando siguió los pasos descritos en Crear un hash y cargar los datos confidenciales.Keep the same file name and location you used when you followed the steps described in Hash and upload the sensitive data.

    Nota

    Si no hay cambios en la estructura (nombres de campo) del archivo .csv o .tsv, no tendrá que realizar cambios en el archivo de esquema de base de datos al actualizar los datos.If there are no changes to the structure (field names) of the .csv or .tsv file, you won't need to make any changes to your database schema file when you refresh the data. Pero si necesita realizar cambios, asegúrese de editar el esquema de la base de datos y su paquete de reglas consecuentemente.But if you must make changes, make sure to edit the database schema and your rule package accordingly.

  3. Use el Programador de tareas para automatizar los pasos 2 y 3 en el procedimiento Hash y carga de los datos confidenciales.Use Task Scheduler to automate steps 2 and 3 in the Hash and upload the sensitive data procedure. Puede programar tareas con varios métodos:You can schedule tasks using several methods:

    MétodoMethod Qué hacerWhat to do
    Windows PowerShellWindows PowerShell Consulte la documentación TareasProgramadas y script de PowerShell de ejemplo de este artículoSee the ScheduledTasks documentation and the example PowerShell script in this article
    API del Programador de tareasTask Scheduler API Consulte la documentación del Programador de tareasSee the Task Scheduler documentation
    Interfaz de usuario de WindowsWindows user interface En Windows, haga clic en Inicio y escriba Programador de tareas.In Windows, click Start, and type Task Scheduler. A continuación, en la lista de resultados, haga clic en Programador de tareas y Ejecutar como administrador.Then, in the list of results, right-click Task Scheduler, and choose Run as administrator.

Script de PowerShell de ejemplo para el Programador de tareasExample PowerShell script for Task Scheduler

Esta sección incluye un script de PowerShell de ejemplo que puede usar para programar las tareas de creación de hash para los datos y cargar los datos con hash:This section includes an example PowerShell script you can use to schedule your tasks for hashing data and uploading the hashed data:

Para programar la creación del hash y cargar en un paso combinadoTo schedule hashing and upload in a combined step
param(\[string\]$dataStoreName,\[string\]$fileLocation)
\# Assuming current user is also the user context to run the task
$user = "$env:USERDOMAIN\\$env:USERNAME"
$edminstallpath = 'C:\\Program Files\\Microsoft\\EdmUploadAgent\\'
$edmuploader = $edminstallpath + 'EdmUploadAgent.exe'
$csvext = '.csv'
$schemaext = '.xml'
\# Assuming file name is same as data store name and file is in .csv format
$dataFile = "$fileLocation\\$dataStoreName$csvext"
\# Assuming location to store hash file is same as the location of csv file
$hashLocation = $fileLocation
\# Assuming Schema file name is same as data store name
$schemaFile = "$fileLocation\\$dataStoreName$schemaext"
$uploadDataArgs = '/UploadData /DataStoreName ' + $dataStoreName + ' /DataFile ' + $dataFile + ' /HashLocation' + $hashLocation + ' /Schema ' + $schemaFile
\# Set up actions associated with the task
$actions = @()
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $uploadDataArgs -WorkingDirectory $edminstallpath
\# Set up trigger for the task
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
\# Set up task settings
$principal = New-ScheduledTaskPrincipal -UserId $user -LogonType S4U -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -RunOnlyIfNetworkAvailable -StartWhenAvailable -WakeToRun
\# Create the scheduled task
$scheduledTask = New-ScheduledTask -Action $actions -Principal $principal -Trigger $trigger -Settings $settings
\# Get credentials to run the task
$creds = Get-Credential -UserName $user -Message "Enter credentials to run the task"
$password=\[Runtime.InteropServices.Marshal\]::PtrToStringAuto(\[Runtime.InteropServices.Marshal\]::SecureStringToBSTR($creds.Password))
\# Register the scheduled task
$taskName = 'EDMUpload\_' + $dataStoreName
Register-ScheduledTask -TaskName $taskName -InputObject $scheduledTask -User $user -Password $password

Para programar la creación del hash y cargar en pasos separadosTo schedule hashing and upload as separate steps

param(\[string\]$dataStoreName,\[string\]$fileLocation)
\# Assuming current user is also the user context to run the task
$user = "$env:USERDOMAIN\\$env:USERNAME"
$edminstallpath = 'C:\\Program Files\\Microsoft\\EdmUploadAgent\\'
$edmuploader = $edminstallpath + 'EdmUploadAgent.exe'
$csvext = '.csv'
$edmext = '.EdmHash'
$schemaext = '.xml'
\# Assuming file name is same as data store name and file is in .csv format
$dataFile = "$fileLocation\\$dataStoreName$csvext"
$hashFile = "$fileLocation\\$dataStoreName$edmext"
\# Assuming Schema file name is same as data store name
$schemaFile = "$fileLocation\\$dataStoreName$schemaext "

\# Assuming location to store hash file is same as the location of csv file
$hashLocation = $fileLocation
$createHashArgs = '/CreateHash' + ' /DataFile ' + $dataFile + ' /HashLocation ' + $hashLocation + ' /Schema ' + $schemaFile
$uploadHashArgs = '/UploadHash /DataStoreName ' + $dataStoreName + ' /HashFile ' + $hashFile
\# Set up actions associated with the task
$actions = @()
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $createHashArgs -WorkingDirectory $edminstallpath
$actions += New-ScheduledTaskAction -Execute $edmuploader -Argument $uploadHashArgs -WorkingDirectory $edminstallpath
\# Set up trigger for the task
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
\# Set up task settings
$principal = New-ScheduledTaskPrincipal -UserId $user -LogonType S4U -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -RunOnlyIfNetworkAvailable -StartWhenAvailable -WakeToRun
\# Create the scheduled task
$scheduledTask = New-ScheduledTask -Action $actions -Principal $principal -Trigger $trigger -Settings $settings
\# Get credentials to run the task
$creds = Get-Credential -UserName $user -Message "Enter credentials to run the task"
$password=\[Runtime.InteropServices.Marshal\]::PtrToStringAuto(\[Runtime.InteropServices.Marshal\]::SecureStringToBSTR($creds.Password))
\# Register the scheduled task
$taskName = 'EDMUpload\_' + $dataStoreName
Register-ScheduledTask -TaskName $taskName -InputObject $scheduledTask -User $user -Password $password

Parte 3: Usar clasificación basada en EDM con los servicios de nube de MicrosoftPart 3: Use EDM-based classification with your Microsoft cloud services

Estas ubicaciones son compatibles con los tipos de información confidencial de EDM:These locations are support EDM sensitive information types:

  • DLP para Exchange Online (correo electrónico)DLP for Exchange Online (email)
  • OneDrive para la Empresa (archivos)OneDrive for Business (files)
  • Microsoft Teams (conversaciones)Microsoft Teams (conversations)
  • DLP para SharePoint (archivos)DLP for SharePoint (files)
  • Directivas DLP para la seguridad de las aplicaciones en la nube de MicrosoftMicrosoft Cloud App Security DLP policies
  • Directivas de etiquetado automático del lado servidor: disponibles para clientes comerciales en la nube y clientes en la nube gubernamentalesServer-side auto-labeling policies - available for commercial cloud customers and government cloud customers

Para crear una directiva DLP con EDMTo create a DLP policy with EDM

  1. Vaya al Centro de seguridad y cumplimiento con el vínculo adecuado para su suscripción.Go to the Security & Compliance Center using the appropriate link for your subscription.

  2. Seleccione Directiva de prevención de pérdida de datos > Directiva.Choose Data loss prevention > Policy.

  3. Elija Crear una directiva > Personalizado > Siguiente.Choose Create a policy > Custom > Next.

  4. En la pestaña Nombre de la directiva, especifique un nombre y una descripción y elija Siguiente.On the Name your policy tab, specify a name and description, and then choose Next.

  5. En la pestaña Elegir ubicaciones, haga clic en Permitir elegir ubicaciones concretas y luego en Siguiente.On the Choose locations tab, select Let me choose specific locations, and then choose Next.

  6. En la columna Estado, seleccione correo electrónico de Exchange, cuentas de OneDrive, conversación de Teams y mensaje de canal, y después elija Siguiente.In the Status column, select Exchange email, OneDrive accounts, Teams chat and channel message, and then choose Next.

  7. En la pestaña Configuración de directiva, elija Usar la configuración avanzada y luego elija Siguiente.On the Policy settings tab, choose Use advanced settings, and then choose Next.

  8. Elija + Nueva regla.Choose + New rule.

  9. En la sección Nombre, especifique un nombre y una descripción para la regla.In the Name section, specify a name and description for the rule.

  10. En la sección Condiciones en la lista + Agregar una condición, elija El contenido incluye tipo confidencial.In the Conditions section, in the + Add a condition list, choose Content contains sensitive type.

    El contenido incluye tipos de información confidencial

  11. Busque el tipo de información confidencial que creó al configurar el paquete de reglas y elija + Agregar.Search for the sensitive information type you created when you set up your rule package, and then choose + Add.
    Elija Hecho.Then choose Done.

  12. Termine de seleccionar las opciones para la regla, como Notificaciones de usuario, Invalidaciones de usuario, Informes de incidentes, etc. y luego elija Guardar.Finish selecting options for your rule, such as User notifications, User overrides, Incident reports, and so on, and then choose Save.

  13. En la pestaña Configuración de directiva, revise las reglas y elija Siguiente.On the Policy settings tab, review your rules, and then choose Next.

  14. Especifique si quiere activar la directiva inmediatamente, probarla o dejarla desactivada.Specify whether to turn on the policy right away, test it out, or keep it turned off. A continuación, elija Siguiente.Then choose Next.

  15. En la pestaña Revisar la configuración, revise la directiva.On the Review your settings tab, review your policy. Realice los cambios necesarios.Make any needed changes. Cuando haya terminado, seleccione Crear.When you're ready, choose Create.

Nota

Espere aproximadamente una hora para que la nueva directiva DLP pase por el centro de datos.Allow approximately one hour for your new DLP policy to work its way through your data center.