Prevención de pérdida de datos y Microsoft TeamsData loss prevention and Microsoft Teams

Nota

Las capacidades de prevención de pérdida de datos se agregaron recientemente al chat y los mensajes de canal de Microsoft Teams para usuarios con licencia para Office 365 E5/A5, Microsoft 365 E5/A5, Microsoft 365 Information Protection and Governance u Office 365 Advanced Compliance.Data loss prevention capabilities were recently added to Microsoft Teams chat and channel messages for users licensed for Office 365 E5/A5, Microsoft 365 E5/A5, Microsoft 365 Information Protection and Governance or Office 365 Advanced Compliance. Office 365 y Microsoft 365 E3 incluyen protección DLP para SharePoint Online, OneDrive y Exchange Online.Office 365 and Microsoft 365 E3 include DLP protection for SharePoint Online, OneDrive, and Exchange Online. Esto también incluye archivos que se comparten a través de Teams porque Teams usa SharePoint Online y OneDrive para compartir archivos.This also includes files that are shared through Teams because Teams uses SharePoint Online and OneDrive to share files. La compatibilidad con la protección DLP en el chat de Teams requiere E5.Support for DLP protection in Teams Chat requires E5. Para obtener más información sobre los requisitos de licencias, consulte Instrucciones de licencias de Microsoft 365 del nivel de espacio empresarial.To learn more about licensing requirements, see Microsoft 365 Tenant-Level Services Licensing Guidance.

Información general sobre DLP para Microsoft TeamsOverview of DLP for Microsoft Teams

Recientemente, las capacidades de prevención de pérdida de datos (DLP) se ampliaron para incluir mensajes de canal y chat de Microsoft Teams, incluidos los mensajes de canal privado.Recently, data loss prevention (DLP) capabilities were extended to include Microsoft Teams chat and channel messages, including private channel messages.

Importante

DLP actualmente solo se aplica a los mensajes reales en el subproceso de chat o canal.DLP currently applies only to the actual messages in the chat or channel thread. Las notificaciones de actividad ,que incluyen una vista previa de mensaje breve y aparecen según la configuración de notificación de un usuario, no se incluyen en DLP de Teams en este momento.Activity notifications -- which include a short message preview and appear based on a user's notification settings -- are not included in Teams DLP at this time. Cualquier información confidencial presente en la parte del mensaje que aparece en la vista previa permanecerá visible en la notificación incluso después de que se haya aplicado la directiva DLP y se haya quitado la información confidencial del mensaje en sí.Any sensitive information present in the part of the message that appears in the preview will remain visible in the notification even after the DLP policy has been applied and removed sensitive information the message itself.

Si su organización tiene DLP, ahora puede definir directivas que impidan que las personas compartan información confidencial en un canal o una sesión de chat de Microsoft Teams.If your organization has DLP, you can now define policies that prevent people from sharing sensitive information in a Microsoft Teams channel or chat session. Estos son algunos ejemplos de cómo funciona esta protección:Here are some examples of how this protection works:

  • Ejemplo 1: Protección de información confidencial en mensajes.Example 1: Protecting sensitive information in messages. Supongamos que alguien intenta compartir información confidencial en un chat o canal de Teams con invitados (usuarios externos).Suppose that someone attempts to share sensitive information in a Teams chat or channel with guests (external users). Si tiene una directiva DLP definida para evitarlo, se eliminan los mensajes con información confidencial que se envían a usuarios externos.If you have a DLP policy defined to prevent this, messages with sensitive information that are sent to external users are deleted. Esto sucede automáticamente y en segundos, según cómo se configura la directiva DLP.This happens automatically, and within seconds, according to how your DLP policy is configured.

    Nota

    DLP para Microsoft Teams bloquea el contenido confidencial cuando se comparte con usuarios de Microsoft Teams que tienen:DLP for Microsoft Teams blocks sensitive content when shared with Microsoft Teams users who have:
    - acceso de invitado en equipos y canales; o- guest access in teams and channels; or
    - acceso externo en reuniones y sesiones de chat.- external access in meetings and chat sessions.

    DLP para sesiones de chat externas solo funcionará si tanto el remitente como el receptor están en modo solo de Teams y usan la federación nativa de Microsoft Teams.DLP for external chat sessions will only work if both the sender and the receiver are in Teams Only mode and using Microsoft Teams native federation. DLP para Teams no bloquea los mensajes en interoperabilidad con Skype Empresarial o sesiones de chat federadas no nativas.DLP for Teams does not block messages in interop with Skype for Business or non-native federated chat sessions.

  • Ejemplo 2: Protección de información confidencial en documentos.Example 2: Protecting sensitive information in documents. Supongamos que alguien intenta compartir un documento con invitados en un canal o chat de Microsoft Teams y que el documento contiene información confidencial.Suppose that someone attempts to share a document with guests in a Microsoft Teams channel or chat, and the document contains sensitive information. Si tiene una directiva DLP definida para evitarlo, el documento no se abrirá para esos usuarios.If you have a DLP policy defined to prevent this, the document won't open for those users. Tenga en cuenta que, en este caso, la directiva DLP debe incluir SharePoint y OneDrive para que la protección esté en su lugar.Note that in this case, your DLP policy must include SharePoint and OneDrive in order for protection to be in place. (Este es un ejemplo de DLP para SharePoint que se muestra en Microsoft Teams y, por lo tanto, requiere que los usuarios tienen licencia para DLP de Office 365 (incluido en Office 365 E3), pero no requiere que los usuarios tienen licencia para el cumplimiento avanzado de Office 365).(This is an example of DLP for SharePoint that shows up in Microsoft Teams, and therefore requires that users are licensed for Office 365 DLP (included in Office 365 E3), but does not require users to be licensed for Office 365 Advanced Compliance.)

Las sugerencias de directiva ayudan a educar a los usuariosPolicy tips help educate users

De forma similar a cómo funciona DLP en Exchange, Outlook, Outlook enla web, SharePoint Online, sitiosde OneDrive para la Empresa y clientes de escritorio de Office,aparecen sugerencias de directiva cuando una acción entra en conflicto con una directiva DLP.Similar to how DLP works in Exchange, Outlook, Outlook on the web, SharePoint Online, OneDrive for Business sites, and Office desktop clients, policy tips appear when an action conflicts with a DLP policy. Este es un ejemplo de una sugerencia de directiva:Here's an example of a policy tip:

Notificación de mensajes bloqueados en Teams

En este caso, el remitente intentó compartir un número de seguridad social en un canal de Microsoft Teams.In this case, the sender attempted to share a social security number in a Microsoft Teams channel. El vínculo ¿Qué puedo hacer? abre un cuadro de diálogo que proporciona opciones para que el remitente resuelva el problema.The What can I do? link opens a dialog box that provides options for the sender to resolve the issue. Tenga en cuenta que, en este caso, el remitente puede optar por invalidar la directiva o notificar a un administrador que la revise y resuelva.Notice that in this case, the sender can opt to override the policy, or notify an admin to review and resolve it.

Opciones para resolver el mensaje bloqueado

En su organización, puede elegir permitir que los usuarios invalide una directiva DLP.In your organization, you can choose to allow users to override a DLP policy. Además, al configurar las directivas DLP, puede usar las sugerencias de directiva predeterminadas o personalizar las sugerencias de directiva para su organización.And, when you configure your DLP policies, you can use the default policy tips, or customize policy tips for your organization.

Volviendo a nuestro ejemplo, donde un remitente compartió un número de seguridad social en un canal de Teams, esto es lo que vio el destinatario:Returning to our example, where a sender shared a social security number in a Teams channel, here's what the recipient saw:

Mensaje bloqueadoMessage blocked

El vínculo ¿Qué es esto? abre un artículo sobre directivas DLP, que ayuda a explicar por qué se bloqueó el mensaje.The What's this? link opens an article about DLP policies, which helps explain why the message was blocked.

Para personalizar las sugerencias de directivaTo customize policy tips

Para realizar esta tarea, debe tener asignado un rol que tenga permisos para editar directivas DLP.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Para obtener más información vea Permisos.To learn more, see Permissions.

  1. Vaya al Centro de seguridad & cumplimiento ( https://protection.office.com ) e inicie sesión.Go to the Security & Compliance Center (https://protection.office.com) and sign in.

  2. Elija Directiva de prevención de pérdida de > datos.Choose Data loss prevention > Policy.

  3. Seleccione una directiva y, junto a Configuración de directiva, elija Editar.Select a policy, and next to Policy settings, choose Edit.

  4. Cree una nueva regla o edite una regla existente para la directiva.Either create a new rule, or edit an existing rule for the policy.

    Edición de una regla para una directivaEditing a rule for a policy

  5. En la pestaña Notificaciones de usuario, seleccione Personalizar el texto del correo electrónico o Personalizar las opciones de texto de sugerencia de directiva.On the User notifications tab, select Customize the email text and/or Customize the policy tip text options.

    Personalizar notificaciones de usuario y sugerencias de directivasCustomize user notifications and policy tips

  6. Especifique el texto que desea usar para notificaciones por correo electrónico o sugerencias de directiva y, a continuación, elija Guardar.Specify the text you want to use for email notifications and/or policy tips, and then choose Save.

  7. En la pestaña Configuración de directiva, elija Guardar.On the Policy settings tab, choose Save.

Espere aproximadamente una hora para que los cambios funcionen en su centro de datos y se sincronicen con cuentas de usuario.Allow approximately one hour for your changes to work their way through your data center and sync to user accounts.

Agregar Microsoft Teams como ubicación a directivas DLP existentesAdd Microsoft Teams as a location to existing DLP policies

Para realizar esta tarea, debe tener asignado un rol que tenga permisos para editar directivas DLP.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Para obtener más información vea Permisos.To learn more, see Permissions.

  1. Vaya al Centro de seguridad & cumplimiento ( https://protection.office.com ) e inicie sesión.Go to the Security & Compliance Center (https://protection.office.com) and sign in.

  2. Elija Directiva de prevención de pérdida de > datos.Choose Data loss prevention > Policy.

  3. Seleccione una directiva y vea los valores en Ubicaciones.Select a policy, and look at the values under Locations. Si ve mensajes de canal y chat de Teams, está todo configurado.If you see Teams chat and channel messages, you're all set. Si no lo hace, haga clic en Editar.If you don't, click Edit.

    Ubicaciones de la directiva existenteLocations for existing policy

  4. En la columna Estado, active la directiva para mensajes de canal y chat de Teams.In the Status column, turn the policy on for Teams chat and channel messages.

    DLP para chats y canales de TeamsDLP for Teams chats and channels

  5. En la pestaña Elegir ubicaciones, mantenga la configuración predeterminada de todas las cuentas o seleccione Permitirme elegir ubicaciones específicas.On the Choose locations tab, keep the default setting of all accounts, or select Let me choose specific locations. Puede especificar lo siguiente:You can specify:

    1. hasta 1000 cuentas individuales para incluir o excluirup to 1000 individual accounts to include or exclude
    2. listas de distribución y grupos de seguridad para incluir o excluir.distribution lists and security groups to include or exclude. Se trata de una característica de vista previa pública.This is a public preview feature.
  6. A continuación, elija Siguiente.Then choose Next.

  7. Haga clic en Guardar.Click Save.

Espere aproximadamente una hora para que los cambios funcionen en su centro de datos y se sincronicen con cuentas de usuario.Allow approximately one hour for your changes to work their way through your data center and sync to user accounts.

Definir una nueva directiva DLP para Microsoft TeamsDefine a new DLP policy for Microsoft Teams

Para realizar esta tarea, debe tener asignado un rol que tenga permisos para editar directivas DLP.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Para obtener más información vea Permisos.To learn more, see Permissions.

  1. Vaya al Centro de seguridad & cumplimiento ( https://protection.office.com ) e inicie sesión.Go to the Security & Compliance Center (https://protection.office.com) and sign in.

  2. Elija Directiva de prevención de pérdida de datos + Crear una > > directiva.Choose Data loss prevention > Policy > + Create a policy.

  3. Elija una plantillay, a continuación, elija Siguiente.Choose a template, and then choose Next.

    En nuestro ejemplo, elegimos la plantilla Datos de información de identificación personal de Estados Unidos.In our example, we chose the U.S. Personally Identifiable Information Data template.

    Plantilla de privacidad para la directiva DLPPrivacy template for DLP policy

  4. En la pestaña Nombre de la directiva, especifique un nombre y una descripción para la directiva y, a continuación, elija Siguiente.On the Name your policy tab, specify a name and description for the policy, and then choose Next.

  5. En la pestaña Elegir ubicaciones, mantenga la configuración predeterminada de todas las cuentas o seleccione Permitirme elegir ubicaciones específicas.On the Choose locations tab, keep the default setting of all accounts, or select Let me choose specific locations. Puede especificar lo siguiente:You can specify:

    1. hasta 1000 cuentas individuales para incluir o excluirup to 1000 individual accounts to include or exclude
    2. listas de distribución y grupos de seguridad para incluir o excluir.distribution lists and security groups to include or exclude. Se trata de una característica de vista previa pública.This is a public preview feature.

    Ubicaciones de directivas DLP

    Nota

    Si desea asegurarse de que los documentos que contienen información confidencial no se compartan de forma inadecuada en Teams, asegúrese de que los sitios de SharePoint y las cuentas de OneDrive estén activados, junto con los mensajes de chat y canal de Teams.If you want to make sure documents that contain sensitive information are not shared inappropriately in Teams, make sure SharePoint sites and OneDrive accounts are turned on, along with Teams chat and channel messages.

  6. En la pestaña Configuración de directiva, en Personalizar el tipo de contenido que desea proteger, mantenga la configuración sencilla predeterminada o elija Usar configuración avanzada y, a continuación, elija Siguiente. On the Policy settings tab, under Customize the type of content you want to protect, keep the default simple settings, or choose Use advanced settings, and then choose Next. Si elige la configuración avanzada, puede crear o editar reglas para la directiva.If you choose advanced settings, you can create or edit rules for your policy. (Para obtener ayuda con esto, vea Configuración sencilla frente a configuración avanzada).)(To get help with this, see Simple settings vs. advanced settings.)

  7. En la pestaña Configuración de directiva, en ¿Qué desea hacer si detectamos información confidencial?, revise la configuración.On the Policy settings tab, under What do you want to do if we detect sensitive info?, review the settings. (Aquí es donde puede elegir mantener las sugerencias de directiva predeterminadasy las notificaciones de correo electrónico, o personalizarlas).(Here's where you can choose to keep default policy tips and email notifications, or customize them.)

    Configuración de directiva DLP con sugerencias y notificacionesDLP policy settings with tips and notifications

    Cuando haya terminado de revisar o editar la configuración, elija Siguiente.When you're finished reviewing or editing settings, choose Next.

  8. En la pestaña Configuración de directiva, en ¿Desea activar la directiva o probar primero las cosas?, elija si desea activar la directiva,probarla primero o mantenerla desactivada por ahora y, a continuación, elija Siguiente.On the Policy settings tab, under Do you want to turn on the policy or test things out first?, choose whether to turn the policy on, test it first, or keep it turned off for now, and then choose Next.

    Especificar si se debe activar la directivaSpecify whether to turn the policy on

  9. En la pestaña Revisar la configuración, revisa la configuración de la nueva directiva.On the Review your settings tab, review the settings for your new policy. Elija Editar para realizar cambios.Choose Edit to make changes. Cuando haya terminado, elija Crear.When you're finished, choose Create.

Espere aproximadamente una hora para que la nueva directiva funcione en su centro de datos y se sincronice con cuentas de usuario.Allow approximately one hour for your new policy to work its way through your data center and sync to user accounts.

Impedir el acceso externo a documentos confidencialesPrevent external access to sensitive documents

Para asegurarse de que los invitados externos no puedan acceder a los documentos de SharePoint que contienen información confidencial desde SharePoint o Teams de forma predeterminada, seleccione lo siguiente:To ensure that SharePoint documents that contain sensitive information cannot be accessed by external guests either from SharePoint or Teams by default, select the following:

  • Puede asegurarse de que los documentos están protegidos hasta que DLP los examina y los marca como seguros para compartir marcando los nuevos archivos como confidenciales de forma predeterminada.You can ensure that documents are protected until DLP scans and marks them as safe to share by marking new files as sensitive by default.

  • Estructura de directiva DLP recomendadaRecommended DLP policy structure

    • CondicionesConditions

      • El contenido contiene cualquiera de estos tipos de información confidencial: [Seleccionar todo lo que se aplica]Content contains any of these sensitive information types: [Select all that applies]

      • El contenido se comparte desde Microsoft 365 con personas fuera de mi organizaciónContent is shared from Microsoft 365 with people outside my organization

        Condiciones dlp para detectar el uso compartido externo de contenido confidencialDLP conditions to detect external sharing of sensitive content

    • ActionsActions

      • Restringir el acceso al contenido para usuarios externosRestrict access to the content for external users

      • Notificar a los usuarios con sugerencias de correo electrónico y directivasNotify users with email and policy tips

      • Enviar informes de incidentes al administradorSend incident reports to the Administrator

      Acción DLP para bloquear el uso compartido externo de contenido confidencialDLP action to block external sharing of sensitive content

Directiva DLP en acción al intentar compartir un documento en SharePoint que contiene información confidencial con un invitado externo:DLP policy in action when attempting to share a document in SharePoint that contains sensitive information with an external guest:

Uso compartido externo bloqueadoExternal sharing blocked

Directiva DLP en acción cuando el invitado intenta abrir un documento en Teams con bloqueo externo:DLP policy in action when guest attempts to open a document in Teams with block external:

Acceso externo bloqueadoExternal access blocked

Crear, probar y optimizar una directiva DLPCreate, test, and tune a DLP policy

Enviar notificaciones de email y mostrar sugerencias para directivas DLPSend email notifications and show policy tips for DLP policies