Introducción a la extensión de cumplimiento de Microsoft

  • Artículo
  • 4 minutos para leer

Use estos procedimientos para implementar la extensión de cumplimiento de Microsoft.

Antes de empezar

Para usar la extensión de cumplimiento de Microsoft, el dispositivo debe haber sido incorporado a la DLP del punto de conexión Consulte estos artículos si la DLP o la DLP del punto de conexión son algo nuevo para usted.

Licencias de SKU y suscripciones

Antes de empezar, debe confirmar la Suscripción a Microsoft 365 y cualquier complemento. Para acceder y usar la funcionalidad Endpoint DLP, debe tener una de estas suscripciones o complementos.

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Cumplimiento de Microsoft 365 E5
  • Cumplimiento de Microsoft 365 A5
  • Gobierno y protección de información de Microsoft 365 E5
  • Gobierno y protección de información de Microsoft 365 A5

Para una guía detallada sobre las licencias, vea: Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.

  • Su organización debe tener la licencia de DLP para punto de conexión
  • Sus dispositivos deben ejecutar Windows 10 x64 compilación 1809 o posterior.
  • El dispositivo debe tener la versión del cliente antimalware 4.18.2101.9 o posterior. Para comprobar la versión actual, abra la aplicación de Seguridad de Windows, seleccione el icono Configuración y, a continuación, Acerca de.

Permisos

Los datos de Endpoint DLP se pueden ver en el Explorador de actividad. Hay siete roles que conceden permisos al explorador de actividad; la cuenta que use para acceder a los datos debe pertenecer a uno de ellos.

  • Administrador global
  • Administrador de cumplimiento
  • Administrador de seguridad
  • Administrador de datos de cumplimiento
  • Lector global
  • Lector de seguridad
  • Lector de informes

Flujo general de trabajo de la instalación

La implementación de la extensión de cumplimiento de Microsoft es un proceso de varias fases. Puede elegir entre instalar en las máquinas de una en una o usar Microsoft Endpoint Manager o la directiva de grupo para la implementación a nivel de la organización.

  1. Preparar sus dispositivos.
  2. Autohospedaje de máquina única de instalación básica
  3. Implementar con Microsoft Endpoint Manager
  4. Implementar mediante la directiva de grupo
  5. Probar la extensión
  6. Usar el panel de administración de alertas para ver las alertas de DLP de Chrome
  7. Visualizar datos de DLP de Chrome en el explorador de actividad

Preparar la infraestructura

Si va a implementar la extensión de cumplimiento de Microsoft en todos sus dispositivos Windows 10 supervisados, debería quitar Google Chrome de las listas de aplicaciones y de exploradores no permitidos. Para más información, consulte Exploradores no permitidos. Si solo va a realizar la implementación en unos pocos dispositivos, puede dejar Chrome en las listas de aplicaciones o exploradores no permitidos. La extensión de cumplimiento de Microsoft ignorará las restricciones de ambas listas para aquellos equipos en los que se haya instalado.

Preparar sus dispositivos

  1. Use los procedimientos de estos temas para incorporar sus dispositivos:
    1. Introducción a la prevención de pérdida de datos en punto de conexión
    2. Incorporación de dispositivos Windows 10 y Windows 11
    3. Configurar la configuración de proxy de dispositivo y conexión a Internet para Information Protection

Autohospedaje de máquina única de instalación básica

Esta método es el recomendado.

  1. Inicie sesión en el equipo de Windows 10 en el que quiera instalar la extensión de cumplimiento de Microsoft y ejecute este script de PowerShell como administrador.

    Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force

  2. Vaya a Extensión de cumplimiento de Microsoft - Almacén web de Chrome (google.com).

  3. Instale la extensión mediante las instrucciones de la página del almacén web de Chrome.

Implementación con Microsoft Endpoint Manager

Use este método de configuración para implementaciones a nivel de la organización.

Habilitar el valor necesario del Registro a través de Microsoft Endpoint Manager

  1. Cree un script de PowerShell con el contenido siguiente:

    Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force

  2. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  3. Vaya a Dispositivos > Scripts y seleccione Agregar.

  4. Cuando se le solicite, vaya a la ubicación del script creado.

  5. Seleccione la siguiente configuración:

    1. Ejecutar este script con las credenciales de inicio de sesión: NO
    2. Aplicar comprobación de firma de script: NO
    3. Ejecutar script en host de PowerShell de 64 bits: SÍ

  6. Seleccione los grupos adecuados de dispositivos y aplique la directiva.

Pasos para la instalación forzada de Microsoft Endpoint Manager

Antes de agregar la extensión de cumplimiento de Microsoft a la lista de extensiones instaladas de manera forzosa, es importante incorporar ADMX de Chrome. Los pasos de este proceso en Microsoft Endpoint Manager son documentados por Google: Administrar el explorador Chrome con Microsoft Intune - Ayuda de Google Chrome Enterprise.

Tras incorporar ADMX, se pueden dar los siguientes pasos para crear un perfil de configuración para esta extensión.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager (https://endpoint.microsoft.com).

  2. Vaya a Perfiles de configuración.

  3. Seleccione Crear perfil.

  4. Seleccione Windows 10 como plataforma.

  5. Seleccione Personalizado como tipo de perfil.

  6. Seleccione la pestaña Configuración.

  7. Seleccione Agregar.

  8. Escriba la información siguiente de directiva:

    OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Chrome~Policy~googlechrome~Extensions/ExtensionInstallForcelist
    Tipo de datos: String
    Valor: <enabled/><data id="ExtensionInstallForcelistDesc" value="1&#xF000; echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx"/>

  9. Haga clic en Crear

Implementar mediante la directiva de grupo

Si no quiere usar Microsoft Endpoint Manager, puede usar directivas de grupo para implementar la extensión de cumplimiento de Microsoft en toda la organización

  1. Sus dispositivos deben poder ser administrados mediante la directiva de grupo, y debe importar todos los ADMX de Chrome en el almacén central de la directiva de grupo. Para más información, consulte Cómo crear y administrar el almacén central de plantillas administrativas de directiva de grupo en Windows.

  2. Crear un script de PowerShell mediante este comando de PowerShell:

    Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force

  3. Abra la Consola de administración de la directiva de grupo y vaya a la unidad organizativa (OU).

  4. Haga clic y seleccione Crear un GPO en este dominio y vincularlo aquí. Cuando se solicite, asigne un nombre descriptivo a este objeto de directiva de grupo (GPO) y finalice la creación.

  5. Haga clic en el GPO y seleccione Editar.

  6. Vaya a Configuración del equipo > Preferencias > Configuración del panel de control > Tareas programadas.

  7. Cree una nueva tarea inmediata. Para ello, haga clic y seleccione Nuevo > Tarea inmediata (al menos Windows 7).

  8. Asigne un nombre y una descripción a la tarea.

  9. Elija la cuenta correspondiente para ejecutar la tarea inmediata, por ejemplo NT Authority.

  10. Seleccione Ejecutar con los privilegios más altos.

  11. Configure la directiva para Windows 10.

  12. En la pestaña Acciones, seleccione la acción Iniciar un programa.

  13. Escriba la ruta de acceso al Programa/Script creado en el paso 1.

  14. Seleccione Aplicar.

Agregar la extensión de Chrome a la lista ForceInstall

  1. En el Editor de administración de directivas de grupo, vaya a su OU.

  2. Expanda la siguiente ruta Configuración del equipo/usuario > Directivas > Plantillas administrativas > Plantillas administrativas clásicas > Google > Google Chrome > Extensiones. Esta ruta puede variar en función de su configuración.

  3. Seleccione Configurar la lista de extensiones instaladas de manera forzosa.

  4. Haga clic con el botón derecho y seleccione Editar.

  5. Seleccione Habilitado.

  6. Seleccionar Mostrar.

  7. En Valor, agregue la siguiente entrada: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. Seleccione Aceptar y, luego, Aplicar.

Probar la extensión

Cargar en el servicio en la nube o acceso por salida de la nube de exploradores no permitidos

  1. Cree u obtenga un elemento confidencial y pruebe a cargar un archivo a uno de los dominios de servicio restringido de la organización. Los datos confidenciales deben coincidir con uno de nuestros Tipos de información confidencial o con uno de los tipos de información confidencial de su organización. Debería recibir una notificación del sistema DLP en el dispositivo en el que esté probando que muestre que esta acción no está permitida cuando el archivo está abierto.

Probar otros escenarios DLP en Chrome

Ahora que ha quitado Chrome de la lista de aplicaciones/exploradores no permitidos, puede probar los siguientes escenarios para confirmar que el comportamiento se ajusta a los requisitos de su organización:

  • Copiar datos de un elemento confidencial a otro documento mediante el Portapapeles
    • Para probarlo, abra un archivo que esté protegido contra acciones de copiar al portapapeles en el explorador Chrome y trate de copiar datos del archivo.
    • Resultado esperado: se muestra una notificación de sistema de DLP que indica que esta acción no se permite cuando el archivo está abierto.
  • Imprimir un documento
    • Para probarlo, abra un archivo que esté protegido contra acciones de impresión en el explorador Chrome y trate de imprimir el archivo.
    • Resultado esperado: se muestra una notificación de sistema de DLP que indica que esta acción no se permite cuando el archivo está abierto.
  • Copiar en un medio extraíble USB
    • Para probarlo, trate de guardar el archivo en un almacenamiento de medio extraíble.
    • Resultado esperado: se muestra una notificación de sistema de DLP que indica que esta acción no se permite cuando el archivo está abierto.
  • Copiar en un recurso compartido de red
    • Para probarlo, trate de guardar el archivo en un recurso compartido de red.
    • Resultado esperado: se muestra una notificación de sistema de DLP que indica que esta acción no se permite cuando el archivo está abierto.

Usar el panel de administración de alertas para ver las alertas de DLP de Chrome

  1. Abra la página sobre la prevención de pérdida de datos en el Centro de cumplimiento de Microsoft 365 y seleccione Alertas.

  2. Vea los procedimientos descritos en Cómo configurar y ver las alertas de las directivas DLP para ver las alertas de las directivas DLP del punto de conexión.

Visualizar datos de Endpoint DLP en el explorador de actividad

  1. Abra la página Clasificación de datos del dominio en el Centro de cumplimiento de Microsoft 365 y elija Explorador de actividad.

  2. Consulte los procedimientos descritos en Introducción al explorador de actividad para tener acceso a todos los datos de los dispositivos con Endpoint y filtrarlos.

    filtro de explorador de actividad para dispositivos de punto de conexión.

Problemas y limitaciones conocidos

  1. No se admite la Invalidación del bloqueo para la salida de la nube.
  2. No se admite el modo incógnito y se debe deshabilitar.

Pasos siguientes

Ahora que tiene dispositivos incorporados y puede ver los datos de la actividad en el explorador de actividad, está listo para realizar el siguiente paso, donde puede crear directivas DLP que protegen los elementos confidenciales.

Consulte también