Uso de la prevención de pérdida de datos en puntos de conexión

Para ayudarle a familiarizarse con las características de DLP de los puntos de conexión y cómo se muestran en las directivas DLP, hemos recopilado algunos escenarios para que los siga.

Importante

Estos escenarios DLP de los puntos de conexión no son los procedimientos oficiales para crear y optimizar directivas DLP. Consulte los temas siguientes cuando necesite trabajar con directivas DLP en situaciones generales:

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Antes de empezar

Licencias de SKU/suscripciones

Para obtener información completa sobre licencias, vea Guía de licencias para la protección de la información de Microsoft 365.

Estos escenarios requieren que ya tenga dispositivos incorporados y que presenten informes al Explorador de actividades. Si todavía no ha incorporado sus dispositivos, consulte Introducción a la prevención de pérdida de datos de los puntos de conexión.

Importante

Asegúrese de comprender la diferencia entre un administrador sin restricciones y una unidad administrativa administrador restringido unidades administrativas unidades administrativas antes de empezar.

Escenario 1: crear una directiva a partir de una plantilla, solo auditoría

Este escenario es para la creación de un administrador sin restricciones y la directiva de directorio completa.

  1. Abra la Página de prevención de pérdida de datos.

  2. Elija + Crear directiva.

  3. En este escenario, elija Privacidad y, a continuación, Datos de información de identificación personal (PII) mejorados de Ee. UU. y, a continuación, elija Siguiente.

  4. Asigne a la nueva directiva un nombre y una descripción.

  5. En Administración unidades, asegúrese de que la selección es para Directorio completo y, a continuación, Siguiente.

  6. Desactive el campo Estado para todas las ubicaciones excepto dispositivos. Elija Siguiente.

  7. En la página Definir configuración de directiva , acepte la configuración predeterminada Revisar y personalizar de la selección de plantilla y elija Siguiente.

  8. En la página Información para proteger , acepte los valores predeterminados y elija Siguiente.

  9. Acepte las acciones de protección predeterminadas y elija Siguiente.

  10. En la página Personalizar la configuración de acceso e invalidación , elija Auditar o restringir actividades en dispositivos. Acepte los valores predeterminados restantes y elija Siguiente.

  11. En la página Modo de directiva, acepte el valor predeterminado Ejecutar la directiva en modo de simulación y seleccione Mostrar sugerencias de directiva mientras está en modo de simulación. Elija Siguiente.

  12. Revise la directiva y elija Enviar para crearla y, a continuación, elija Listo. La nueva directiva aparece en la lista Directivas DLP.

  13. En el panel de navegación izquierdo, elija Prevención de pérdida de datos y, a continuación, Explorador de actividad.

  14. Intente compartir un elemento de prueba que contenga contenido que desencadenará la condición de datos de información de identificación personal (PII) de Ee. UU. Esto debería activar la directiva.

  15. Compruebe que el evento se encuentre en el Explorador de actividades.

Escenario 2: modificar la directiva existente, configurar una alerta

Este escenario es para un administrador sin restricciones que modifica una directiva con ámbito de directorio completo.

  1. Vaya a la página Directivas de prevención de pérdida de datos.

  2. Elija la directiva de datos mejorados de información de identificación personal (PII) de EE. UU. que creó en el escenario 1.

  3. Elija Editar directiva.

  4. Vaya a la página Personalizar reglas DLP avanzadas y edite el volumen bajo de contenido detectado en Ee. UU. Inf de identificación personal.

  5. Desplácese hacia abajo hasta la sección Informes de incidentes y active Send an alert to admins when a rule match (Enviar una alerta a los administradores cuando se produzca una coincidencia de regla ) en Activado. Email alertas se envían automáticamente al administrador y a cualquier otra persona que agregue a la lista de destinatarios.

    En esta captura de pantalla se muestra la opción para activar los informes de incidentes.

  6. Para este escenario, elija Enviar una alerta cada vez que una actividad coincida con la regla.

  7. Seleccione Guardar.

  8. Conserve toda la configuración anterior eligiendo Siguiente durante el resto del asistente y, a continuación, Enviar los cambios de directiva.

  9. Intente compartir un elemento de prueba que contenga contenido que desencadenará la condición de datos de información de identificación personal (PII) de Ee. UU. Esto debería activar la directiva.

  10. Compruebe el evento en el explorador de actividades.

Caso 3: modificar la directiva existente, bloquear la acción con permitir invalidación

Este escenario es para un administrador sin restricciones que modifica una directiva de directorio completa.

  1. Abra la página Directivas de prevención de pérdida de datos.

  2. Elija la directiva de datos de información de identificación personal (PII) de Ee. UU. que creó en el escenario 1.

  3. Elija Editar directiva.

  4. Vaya a la página Personalizar reglas DLP avanzadas y edite el volumen bajo de contenido detectado en Ee. UU. Inf de identificación personal.

  5. Desplácese hacia abajo hasta la sección Auditar o restringir actividades en el dispositivo Windows y establezca ambas opciones en El dominio de servicio y las actividades del explorador en Bloquear con invalidación.

    En la captura de pantalla se muestra el bloque set con opciones de acción de invalidación.

  6. Elija **Guardar**.
  7. Repita los pasos del 4 al 6 para el alto volumen de contenido detectado en Ee. UU. Inf de identificación personal.

  8. Conserve toda la configuración anterior eligiendo Siguiente en el resto del asistente y, a continuación, Enviar los cambios de directiva.

  9. Intente compartir un elemento de prueba que contenga contenido que desencadenará la condición de datos de información de identificación personal (PII) de Ee. UU. con alguien fuera de su organización. Esto debería activar la directiva.

    Verá un elemento emergente como este en el dispositivo cliente:

     En esta captura de pantalla se muestra la notificación de invalidación del cliente dlp de punto de conexión bloqueado.

  10. Compruebe el evento en el explorador de actividades.

Escenario 4: Evitar el bucle de notificaciones DLP de aplicaciones de sincronización en la nube con autocurantina

Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.

Antes de comenzar el escenario 4

En este escenario, se bloquea la sincronización de archivos con la etiqueta de confidencialidad Extremadamente confidencial para OneDrive. Se trata de un escenario complejo con varios componentes y procedimientos. Te hace falta:

Hay tres pasos:

  1. Configure los valores de Autoquarantine DLP de punto de conexión.
  2. Cree una directiva que bloquee los elementos confidenciales que tengan la etiqueta de confidencialidad Extremadamente confidencial.
  3. Cree un documento de Word en el dispositivo Windows 10/11 al que está destinada la directiva, aplique la etiqueta y cópiela en la carpeta local de OneDrive de las cuentas de usuario que se está sincronizando.

Configuración de la aplicación no permitida dlp de punto de conexión y la configuración de Autoquarantine

  1. Abra la configuración del punto de conexión de la DLP

  2. Expanda Aplicaciones restringidas y grupos de aplicaciones.

  3. En Grupos de aplicaciones restringidos, elija Agregar grupo de aplicaciones restringidas. Escriba aplicaciones de Cloud Sync como nombre del grupo.

  4. Seleccione el cuadro Cuarentena automática .

  5. En Nombre de la aplicación, escriba OneDrive. En Nombre del ejecutable, escriba onedrive.exey, a continuación, elija el + botón . Esto impide que onedrive.exe acceda a elementos con la etiqueta Altamente confidencial .

  6. Seleccione Guardar.

  7. En Configuración de la cuarentena automática elija Editar la configuración de la cuarentena automática.

  8. Habilite Cuarentena automática para las aplicaciones no permitidas.

  9. Escriba la ruta de acceso a la carpeta de los equipos locales a las que desea mover los archivos confidenciales originales. Por ejemplo:

'%homedrive%%homepath%\Microsoft DLP\Quarantine' para el nombre de usuario Isaiah Langer colocará los elementos movidos en una carpeta denominada:

C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive

  1. Anexe una marca de fecha y hora al nombre de archivo original.

    Nota:

    La cuarentena automática dlp creará subcarpetas para los archivos de cada aplicación no permitida. Por lo tanto, si tiene tanto el Bloc de notas como OneDrive en la lista de aplicaciones no permitidas, se creará una subcarpeta para \OneDrive y otra subcarpeta para \Bloc de notas.

  2. Elija Reemplace los archivos por un archivo .txt que contenga el siguiente texto y escriba el texto que desee en el archivo del marcador de posición. Por ejemplo, para un archivo denominado auto quar 1.docx, puede escribir:

    %%FileName%% contiene información confidencial que la organización protege con la directiva de prevención de pérdida de datos (DLP) %%PolicyName%%. Se ha movido a la carpeta de cuarentena: %%QuarantinePath%%

    dejará un archivo de texto que contiene este mensaje:

    auto quar 1.docx contiene información confidencial que su organización está protegiendo con la directiva de prevención de pérdida de datos (DLP). Se ha movido a la carpeta de cuarentena: C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1.docx.

  3. Seleccione Guardar.

Configuración de una directiva para bloquear la sincronización de archivos de OneDrive con la etiqueta de confidencialidad "Extremadamente confidencial"

  1. Abra la Página de prevención de pérdida de datos.

  2. Vaya a Prevención de pérdida de datos"Directivas>Crear directiva.

  3. En este escenario, elija Personalizado y, después, Directiva personalizada. Elija Siguiente.

  4. Rellene los campos Nombre y Descripción y elija Siguiente.

  5. Seleccione Directorio completo en unidades Administración.

  6. Desactive el campo Estado para todas las ubicaciones excepto para Dispositivos. Si tiene una cuenta de usuario final específica desde la que desea hacer una prueba, asegúrese de seleccionarla en el ámbito de búsqueda. Elija Siguiente.

  7. Acepte la selección Crear o personalizar reglas DLP avanzadas que viene predeterminada y elija Siguiente.

  8. Cree una regla con estos valores:

    1. Nombre>Escenario 4 Autoquarantine.
    2. En Condiciones , elija Agregar condición y, a continuación , Contenido contiene.
    3. Escriba un nombre de grupo, por ejemplo , Etiquetas de confidencialidad altamente confidencial y, a continuación, elija Agregar.
    4. Seleccione Etiquetas de confidencialidad y, a continuación , Extremadamente confidencial y elija Agregar.
    5. En Acciones , elija Agregar una acción.
    6. Seleccione Auditar o restringir actividades en dispositivos> WindowsActividades de archivo para aplicaciones en grupos de aplicaciones restringidos.
    7. Elija Agregar grupo de aplicaciones restringidas y, a continuación, elija el grupo Aplicaciones de sincronización en la nube que creó anteriormente.
    8. Elija Aplicar una restricción a todos los bloques de actividad>. Para los fines de este escenario, borre todas las demás actividades.
    9. En Notificaciones de usuario, cambie Notificaciones de usuario a Activado y, en Dispositivos de punto de conexión , elija Mostrar a los usuarios una notificación de sugerencia de directiva cuando una actividad no esté habilitada.
  9. Elija Guardar y Siguiente.

  10. Elija Activar inmediatamente. Elija Siguiente.

  11. Revise la configuración y elija Enviar.

    Nota:

    Espere al menos una hora para que la nueva directiva se replique y se aplique al equipo de Windows 10 de destino.

  12. La nueva directiva DLP aparece en la lista de directivas.

Prueba de autoquarantine en el dispositivo Windows 10/11

  1. Inicie sesión en el equipo Windows 10/11 con la cuenta de usuario que especificó en [Configure a policy to block OneDrive synchronization of files with the sensitivity label-highly confidential](#configure-a-policy-to-block-onedrive-synchronization-of-files-with-the-sensitivity-label-highly-confidential, step 5.

  2. Cree una carpeta cuyo contenido no se sincronizará con OneDrive. Por ejemplo:

    carpeta de origen C:\auto-cuarentena

  3. Abra Microsoft Word y cree un archivo en la carpeta de origen autoquarantine. Aplique la etiqueta de confidencialidad Extremadamente confidencial; vea Aplicar etiquetas de confidencialidad a los archivos y el correo electrónico en Office.

  4. Copie el archivo que creó en la carpeta de sincronización de OneDrive. Debería aparecer una notificación del usuario que le indica que la acción no está permitida y que el archivo se pondrá en cuarentena. Por ejemplo, para el nombre de usuario Isaiah Langer y un documento titulado autoquarantine doc 1.docx verá este mensaje:

    En esta captura de pantalla se muestra el mensaje de notificación del usuario de prevención de pérdida de datos que indica que la acción de sincronización de OneDrive no está permitida para el archivo especificado y que el archivo se pondrá en cuarentena.

    El mensaje indica:

    No se permite abrir 1.docx de documentos de cuarentena automática con esta aplicación. El archivo se pondrá en cuarentena en "C:\Users\IsaiahLanger\Microsoft DLP\OneDrive".

  5. Elija Descartar.

  6. Abra el archivo de texto del marcador de posición. Se denomina documento de cuarentena automática 1.docx_date_time.txt.

  7. Abra la carpeta de cuarentena y confirme que el archivo original está allí.

  8. Compruebe que los datos de los puntos de conexión supervisados se encuentren en el Explorador de actividades. Establezca el filtro de ubicación para los dispositivos y agregue la directiva y, a continuación, filtre por nombre de directiva para ver el efecto de esta directiva. Para obtener información sobre el uso del explorador de actividad, consulte Introducción al explorador de actividad.

  9. Compruebe que el evento se encuentre en el Explorador de actividades.

Escenario 5: Restringir el uso compartido accidental a servicios y aplicaciones en la nube no permitidos

Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.

Con DLP de punto de conexión y un explorador web compatible, puede restringir el uso compartido involuntario de elementos confidenciales a servicios y aplicaciones en la nube no permitidos. Microsoft Edge entiende cuando un elemento está restringido por una directiva DLP de punto de conexión y aplica restricciones de acceso.

Nota:

Se admiten los siguientes exploradores web:

  • Microsoft Edge
  • Chrome (con la extensión Microsoft Purview para Chrome instalada)
  • Firefox (con la extensión Microsoft Purview para Firefox instalada)

Al seleccionar Dispositivos como ubicación en una directiva DLP configurada correctamente y usar un explorador web compatible, los exploradores no permitidos que haya definido en esta configuración no podrán acceder a los elementos confidenciales que coincidan con los controles de directiva DLP. En su lugar, se redirige a los usuarios a usar Microsoft Edge, que, con su comprensión de las restricciones impuestas por DLP, puede bloquear o restringir las actividades cuando se cumplen las condiciones de la directiva DLP.

Para usar esta restricción, debe configurar tres partes importantes:

  1. Especifique los sitios (servicios, dominios y direcciones IP) con los que no quiere que se compartan elementos confidenciales.

  2. Agregue los exploradores que no tienen permitido acceder a ciertos elementos confidenciales cuando se produzca una coincidencia de directiva DLP.

  3. Configure directivas DLP para definir los tipos de elementos confidenciales que deberían tener carga restringida a estos lugares activando Cargar a los servicios en la nube y Acceso desde un explorador no permitido.

Puede continuar agregando nuevos servicios, aplicaciones y directivas para ampliar y aumentar las restricciones para satisfacer las necesidades de su empresa y proteger los datos confidenciales.

Esta configuración ayuda a garantizar que los datos permanecen seguros, a la vez que evita restricciones innecesarias que impiden o restringen a los usuarios el acceso y el uso compartido de elementos sin sentido.

También puede auditar, bloquear con invalidación o bloquear estos elementos confidenciales de carga del usuario en aplicaciones y servicios en la nube a través de dominios de servicio confidenciales.

  1. En el portal de cumplimiento Microsoft Purview, vaya aConfiguración> de directivas de prevención>> de pérdida de datosConfiguración dlp de> punto de conexiónExplorador y restricciones de dominio agrupos de dominio de servicio confidencial de datos > confidenciales.

  2. Seleccione Crear grupo de dominios de servicio confidencial.

  3. Asigne un nombre al grupo.

  4. Escriba el dominio de servicio confidencial para el grupo. Puede agregar varios sitios web a un grupo y usar caracteres comodín para cubrir subdominios. Por ejemplo, www.contoso.com solo para el sitio web de nivel superior o: *.contoso.com para corp.contoso.com, hr.contoso.com, fin.contoso.com.

  5. Seleccione el Tipo de coincidencia que quiera. Puede seleccionar entre URL, Dirección IP, Intervalo de direcciones IP.

  6. Seleccione Guardar.

  7. En el panel de navegación izquierdo, seleccione Directivas de prevención> de pérdida de datos.

  8. Cree y establezca el ámbito de una directiva que se aplique solo a la ubicación dispositivos . Para obtener más información sobre cómo crear una directiva, vea Crear e implementar directivas de prevención de pérdida de datos. Asegúrese de limitar las unidades de Administración al directorio Completo.

  9. En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas y elija Siguiente.

  10. Cree una regla, como se indica a continuación:

    1. En Condiciones, seleccione + Agregar condición y seleccione Contenido que contiene en el menú desplegable.
    2. Asigne un nombre al grupo y seleccione una opción De operación de grupo .
    3. Elija Agregar y, a continuación, seleccione Tipos de información confidencial.
    4. Seleccione un tipo de información confidencial en el panel flotante y, a continuación, elija Agregar.
    5. Agregue la acción Auditar o restringir las actividades en los dispositivos.
    6. En Dominio de servicio y actividades del explorador, elija Cargar en un dominio de servicio en la nube restringido o acceso desde un explorador no permitido y establezca la acción en Solo auditoría.
    7. Seleccione + Elija restricciones diferentes para dominios de servicio confidenciales y, a continuación, elija Agregar grupo.
    8. En el control flotante Elegir grupos de dominio de servicio confidencial , seleccione los grupos de dominios de servicio confidencial que desee, elija Agregar y, a continuación, elija Guardar.
    9. En Actividades de archivo para todas las aplicaciones, seleccione las actividades de usuario que desea supervisar o restringir y las acciones que DLP debe realizar en respuesta a esas actividades.
    10. Termine de crear la regla y elija Guardar y , a continuación, Siguiente.
    11. En la página de confirmación, elija Listo.
    12. En la página Modo de directiva , elija Activar de inmediato. Elija Siguiente y, a continuación, Enviar.

Escenario 6: Supervisión o restricción de actividades de usuario en dominios de servicio confidenciales

Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.

Use este escenario cuando desee auditar o bloquear las siguientes actividades de usuario en un sitio web.

  • imprimir desde un sitio web
  • copiar datos de un sitio web
  • guardar un sitio web como archivos locales

Nota:

Se admiten los siguientes exploradores web:

  • Microsoft Edge
  • Chrome (con la extensión Microsoft Purview para Chrome instalada)
  • Firefox (con la extensión Microsoft Purview para Firefox instalada)

Configurar dominios de servicio confidencial

  1. En el portal de cumplimiento Microsoft Purview abra Configuración de prevención> de pérdida de datosConfiguración>del punto de conexión Explorador>y restricciones de dominio paradominios de servicio confidencial de datos > confidenciales.

  2. Para controlar si los archivos confidenciales se pueden cargar en dominios específicos, seleccione Agregar dominio de servicio en la nube.

  3. Escriba el dominio que desea auditar o bloquear y elija el + botón . Repita la operación para los dominios adicionales. Seleccione Guardar.

  4. En Grupos de dominio de servicio confidencial, elija Crear grupo de dominios de servicio confidencial.

  5. Asigne un nombre al grupo, seleccione el tipo de coincidencia que desee (puede seleccionar entre dirección URL, dirección IP, intervalo de direcciones IP) y escriba la dirección URL, la dirección IP o el intervalo de direcciones IP que se van a auditar o bloquear. Al hacer coincidir una dirección URL, puede agregar varios sitios web a un grupo y usar caracteres comodín para cubrir subdominios. Por ejemplo, www.contoso.com solo para el sitio web de nivel superior o *.contoso.com para corp.contoso.com, hr.contoso.com, fin.contoso.com.

  6. Seleccione Guardar.

  7. En el panel de navegación izquierdo, seleccione Directivas de prevención> de pérdida de datos.

  8. Cree y establezca el ámbito de una directiva que se aplique solo a la ubicación dispositivos . Consulte Crear e implementar directivas de prevención de pérdida de datos para obtener más información sobre cómo crear una directiva. Asegúrese de limitar las unidades de Administración al directorio Completo.

  9. Cree una regla que use la condición en la que el usuario accedió a un sitio confidencial desde Edge y la acción Auditar o restringir actividades cuando los usuarios acceden a sitios confidenciales en el explorador Microsoft Edge en dispositivos Windows.

  10. En la acción, en Restricciones de sitios confidenciales, seleccione Agregar o quitar grupos de sitios confidenciales.

  11. Cree o seleccione los grupos de sitios confidenciales que desee. Cualquier sitio web en los grupos que seleccione aquí se redirigirá a Microsoft Edge cuando se abra en Chrome o Firefox (siempre y cuando se instale la extensión Microsoft Purview).

  12. Seleccione Agregar.

  13. Seleccione las actividades de usuario que desea supervisar o restringir y las acciones que quiere que Microsoft Purview realice en respuesta a esas actividades.

  14. Termine de configurar la regla y la directiva, elija Enviar y, a continuación, Listo.

Escenario 7: Restricción de pegar contenido confidencial en un explorador

Este escenario es para restringir a los usuarios pegar contenido confidencial en un formulario web de explorador o campo en exploradores como Microsoft Edge, Google Chrome (con la extensión Microsoft Purview) y Mozilla Firefox (con la extensión Microsoft Purview).

Importante

Si ha configurado la recopilación de pruebas para las actividades de archivo en los dispositivos y la versión de cliente de Antimalware en el dispositivo es anterior a la 4.18.23110, al implementar este escenario, Restringir pegar contenido confidencial en un explorador, verá caracteres aleatorios al intentar ver el archivo de origen en Detalles de alerta. Para ver el texto real del archivo de origen, debe descargar el archivo.

Creación de la directiva DLP

Puede configurar diferentes niveles de cumplimiento cuando se trata de bloquear que los datos se peguen en un explorador. Para ello, cree grupos de direcciones URL diferentes. Por ejemplo, puede crear una directiva que advierta a los usuarios contra la publicación de números de seguro social (SSN) en cualquier sitio web y que desencadene una acción de auditoría para los sitios web del grupo A. Puede crear otra directiva que bloquee completamente la acción de pegar (sin dar una advertencia) para todos los sitios web del grupo B.

Creación de un grupo de direcciones URL

  1. Abra el portal de cumplimiento Microsoft Purview y vaya a Configuración de prevención> de pérdida de datosConfiguración>del punto de conexión y desplácese hacia abajo hasta Restricciones de explorador y dominio a datos confidenciales. Expanda la sección .

  2. Desplácese hacia abajo hasta Grupos de dominio de servicio confidencial.

  3. Elija Crear grupo de dominios de servicio confidencial.

    1. Escriba un nombre de grupo.
    2. En el campo Dominio de servicio confidencial , escriba la dirección URL del primer sitio web que desea supervisar y, a continuación, elija Agregar sitio.
    3. Continúe agregando direcciones URL para el resto de sitios web que desea supervisar en este grupo.
    4. Cuando haya terminado de agregar todas las direcciones URL al grupo, elija Guardar.
  4. Cree tantos grupos de direcciones URL independientes como necesite.

Restricción de pegar contenido en un explorador

  1. Cree una directiva DLP con ámbito de dispositivos. Para obtener información sobre cómo crear una directiva DLP, vea Crear e implementar directivas de prevención de pérdida de datos.

  2. En la página Definir configuración de directiva del flujo de creación de directivas DLP, seleccione Crear o personalizar reglas DLP avanzadas y, a continuación, elija Siguiente.

  3. En la página Personalizar reglas DLP avanzadas , elija Crear regla.

  4. Escriba un nombre y una descripción para la regla.

  5. Expanda Condiciones, elija Agregar condición y, a continuación, seleccione tipos de información confidencial.

  6. En Contenido contiene, desplácese hacia abajo y seleccione el nuevo tipo de información confidencial que eligió o creó anteriormente.

  7. Desplácese hacia abajo hasta la sección Acciones y elija Agregar una acción.

  8. Elija Auditar o restringir actividades en dispositivos

  9. En la sección Acciones , en Dominio de servicio y actividades del explorador, seleccione Pegar en exploradores compatibles.1.

  10. Establezca la restricción en Auditar, Bloquear con invalidación o Bloquear y, a continuación, elija Agregar.

  11. Seleccione Guardar.

  12. Elija Siguiente

  13. Elija si desea probar la directiva, activarla inmediatamente o mantenerla desactivada y, a continuación, elija Siguiente.

  14. Choose Submit.

Importante

Puede haber un breve retraso de tiempo entre el momento en que el usuario intenta pegar texto en una página web y cuando el sistema termina de clasificarlo y responde. Si se produce esta latencia de clasificación, es posible que vea las notificaciones de evaluación de directivas y comprobación-completa en Edge o el sistema de evaluación de directivas en Chrome y Firefox. Estas son algunas sugerencias para minimizar el número de notificaciones:

  1. Las notificaciones se desencadenan cuando la directiva del sitio web de destino está configurada en Bloquear o Bloquear con la invalidación pegar en el explorador para ese usuario. Puede configurar la configuración de la acción general en Auditar y, a continuación, enumerar los sitios web de destino mediante las excepciones como Bloquear. Como alternativa, puede establecer la acción general en Bloquear y, a continuación, enumerar sitios web seguros mediante las excepciones como Auditoría.
  2. Use la versión de cliente de Antimalware más reciente.
  3. Use la versión más reciente del explorador Edge, especialmente Edge 120.
  4. Instalar estos KB de Windows

Escenario 8: Grupos de autorización

Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.

Estos escenarios requieren que ya tenga dispositivos incorporados y que presenten informes al Explorador de actividades. Si todavía no ha incorporado sus dispositivos, consulte Introducción a la prevención de pérdida de datos de los puntos de conexión.

Los grupos de autorización se usan principalmente como listas de permitidos. Ha asignado acciones de directiva al grupo que son diferentes de las acciones de directiva global. En este escenario, se pasa por la definición de un grupo de impresoras y, a continuación, se configura una directiva con acciones de bloque para todas las actividades de impresión excepto para las impresoras del grupo. Estos procedimientos son básicamente los mismos para los grupos de dispositivos de almacenamiento extraíbles y los grupos de recursos compartidos de red.

En este escenario, definimos un grupo de impresoras que el departamento jurídico usa para los contratos de impresión. Se bloquean los contratos de impresión en cualquier otra impresora.

Creación y uso de grupos de impresoras

  1. En el portal de cumplimiento Microsoft Purview abraConfiguración deprevención > de pérdida de datosConfiguración> de punto de conexión Grupos >de impresoras.

  2. Seleccione Crear grupo de impresoras y escriba un nombre agrupar. En este escenario, usamos Legal printers.

  3. Seleccione Agregar impresora y proporcione un nombre. Puede definir impresoras mediante:

    1. Nombre descriptivo de la impresora
    2. Id. de producto USB
    3. Identificador de proveedor USB
    4. Intervalo IP
    5. Imprimir en el archivo
    6. Impresión universal implementada en una impresora
    7. Impresora corporativa
    8. Imprimir en local
  4. Seleccione Cerrar.

Configuración de acciones de impresión de directivas

  1. Vaya a Directivas de prevención> de pérdida de datos.

  2. Seleccione Crear directiva y seleccione la plantilla de directiva personalizada.

  3. Seleccione Directorio completo en unidades Administración.

  4. Establezca el ámbito de la ubicación solo en la ubicación Dispositivos .

  5. Cree una regla con los valores siguientes:

    1. Agregar una condición: el contenido contiene = clasificadores entrenables, asuntos legales
    2. Acciones = Auditoría o restricción de actividades en dispositivos
    3. A continuación, elija Actividades de archivo en todas las aplicaciones.
    4. Seleccione Aplicar restricciones a una actividad específica.
    5. Seleccionar bloque de impresión =
  6. Seleccione Elegir restricciones de impresión diferentes

  7. En Restricciones del grupo de impresoras, seleccione Agregar grupo y seleccione Impresoras legales.

  8. Establezca ActionAllow (Permitir acción = ).

    Sugerencia

    El evento Permitir acción se registrará y audita en el registro de auditoría, pero no generará una alerta o notificación.

  9. Seleccione Guardar y, a continuación, Siguiente.

  10. Acepte el valor predeterminado Ejecutar la directiva en modo de simulación y elija Mostrar sugerencias de directiva en modo simulatán. Elija Siguiente.

  11. Revise la configuración y elija Enviar.

  12. La nueva directiva DLP aparece en la lista de directivas.

Escenario 9: Excepciones de red

Este escenario es para un administrador sin restricciones que crea una directiva de directorio completa.

Estos escenarios requieren que ya tenga dispositivos incorporados e informes en el Explorador de actividad. Si todavía no ha incorporado sus dispositivos, consulte Introducción a la prevención de pérdida de datos de los puntos de conexión.

En este escenario, definimos una lista de VPN que los trabajadores híbridos usan para acceder a los recursos de la organización.

Creación y uso de una excepción de red

Las excepciones de red permiten configurar las acciones Permitir, Solo auditoría, Bloquear con invalidación y Bloquear en las actividades de archivo en función de la red desde la que los usuarios acceden al archivo. Puede seleccionar en la lista de configuración de VPN que ha definido y usar la opción Red corporativa . Las acciones se pueden aplicar individual o colectivamente a estas actividades de usuario:

  • Copiar en el portapapeles
  • Copia en un dispositivo extraíble USB
  • Copiar en un recurso compartido de red
  • Imprimir
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copia o movimiento mediante RDP

Obtener la dirección del servidor o la dirección de red

  1. En un dispositivo Windows supervisado por DLP, abra una ventana de Windows PowerShell como administrador.

  2. Ejecute este cmdlet:

    Get-VpnConnection
    
  3. La ejecución de este cmdlet devuelve varios campos y valores.

  4. Busque el campo ServerAddress y registre ese valor. Esto se usa al crear una entrada VPN en la lista de VPN.

  5. Busque el campo Nombre y registre ese valor. El campo Nombre se asigna al campo Dirección de red al crear una entrada VPN en la lista VPN.

Determinar si el dispositivo está conectado a través de una red corporativa

  1. En un dispositivo Windows supervisado por DLP, abra una ventana de Windows PowerShell como administrador.

  2. Ejecute este cmdlet:

    Get-NetConnectionProfile
    
  3. Si el campo NetworkCategory es DomainAuthenticated, el dispositivo se conecta a una red corporativa. Si es cualquier otra cosa, la conexión del dispositivo no se realiza a través de una red corporativa.

Adición de una VPN

  1. Abra portal de cumplimiento Microsoft Purview>Configuraciónde la prevención > de pérdida de datosConfiguración> del punto de conexiónConfiguración de> VPN.

  2. Seleccione Agregar o editar direcciones VPN.

  3. Proporcione la dirección del servidor o la dirección de red de la ejecución de Get-VpnConnection.

  4. Seleccione Guardar.

  5. Cierre el elemento.

Configuración de acciones de directiva

  1. Abra Directivas de prevención> de pérdida de datos.

  2. Seleccione Crear directiva y seleccione la plantilla de directiva personalizada.

  3. Seleccione Directorio completo en unidades Administración.

  4. Establezca el ámbito de la ubicación solo en Dispositivos .

  5. Cree una regla en la que:

    1. El contenido contiene = Clasificadores entrenables, Asuntos Jurídicos
    2. Acciones = Auditoría o restricción de actividades en dispositivos
    3. A continuación, elija Actividades de archivo en todas las aplicaciones.
    4. Seleccione Aplicar restricciones a una actividad específica.
    5. Seleccione las acciones para las que desea configurar excepciones de red .
  6. Seleccione Copiar en el Portapapeles y la acción Solo auditoría .

  7. Seleccione Elegir distintas restricciones de copia en el Portapapeles.

  8. Seleccione VPN y establezca la acción en Bloquear con invalidación.

    Importante

    Si desea controlar las actividades de un usuario cuando está conectado a través de una VPN , debe seleccionar la VPN y convertirla en la prioridad principal en la configuración Excepciones de red. De lo contrario, si se selecciona la opción Red corporativa , se aplicará esa acción definida para la entrada de red corporativa .

    Precaución

    La opción Aplicar a todas las actividades copiará las excepciones de red que se definen aquí y las aplicará a todas las demás actividades específicas configuradas, como Imprimir y Copiar en un recurso compartido de red. Esto sobrescribirá las excepciones de red en las otras actividades La última configuración guardada gana.

  9. Guardar.

  10. Acepte el valor predeterminado Ejecutar la directiva en modo de simulación y elija Mostrar sugerencias de directiva mientras está en modo de simulación. Elija Siguiente.

  11. Revise la configuración y elija Enviar y, a continuación, Listo.

  12. La nueva directiva DLP aparece en la lista de directivas.

Consulte también