Referência da política de Prevenção contra Perda de Dados

Observação

Microsoft 365 conformidade agora é chamada de Microsoft Purview e as soluções dentro da área de conformidade foram renomeadas. Para obter mais informações sobre o Microsoft Purview, consulte o comunicado do blog.

Prevenção Contra Perda de Dados do Microsoft Purview (DLP) têm muitos componentes para configurar. Para criar uma política eficaz, você precisa entender qual é a finalidade de cada componente e como sua configuração altera o comportamento da política. Este artigo fornece uma anatomia detalhada de uma política DLP.

Modelos de política

Os modelos de política DLP são pré-classificados em quatro categorias:

  • Aqueles que podem detectar e proteger tipos de informações financeiras .
  • Aqueles que podem detectar e proteger tipos de informações médicas e de saúde.
  • Aqueles que podem detectar e proteger tipos de informações de privacidade.
  • Um modelo personalizado que você pode usar para criar sua própria política se um dos outros não atender às necessidades de suas organizações.

Esta tabela lista todos os modelos de política e os tipos de informações confidenciais (SIT) que eles abrangem.

atualizado em: 23/06/2021

Categoria Modelo SENTAR
Financeiro Dados Financeiros da Austrália - Código SWIFT
- Número do arquivo de imposto da Austrália
- Número da conta bancária da Austrália
- Número do cartão de crédito
Financeiro Dados financeiros do Canadá - Número do cartão de crédito
- Número da conta bancária do Canadá
Financeiro Dados financeiros da França - Número do cartão de crédito
- Número do cartão de débito da UE
Financeiro Dados Financeiros da Alemanha - Número do cartão de crédito
- Número do cartão de débito da UE
Financeiro Dados Financeiros de Israel - Número da conta bancária de Israel
- Código SWIFT
- Número do cartão de crédito
Financeiro Dados Financeiros do Japão - Número da conta bancária do Japão
- Número do cartão de crédito
Financeiro Padrão de Segurança de Dados PCI (PCI DSS) - Número do cartão de crédito
Financeiro Lei anti-crime cibernética da Arábia Saudita - Código SWIFT
- Número de conta bancária internacional (IBAN)
Financeiro Dados Financeiros da Arábia Saudita - Número do cartão de crédito
- Código SWIFT
- Número de conta bancária internacional (IBAN)
Financeiro Dados financeiros do Reino Unido - Número do cartão de crédito
- Número do cartão de débito da UE
- Código SWIFT
Financeiro Dados financeiros dos EUA - Número do cartão de crédito
- Número da conta bancária dos EUA
- Número de Roteamento aba
Financeiro Regras para Consumidores da Comissão Comercial Federal (FTC) dos EUA - Número do cartão de crédito
- Número da conta bancária dos EUA
- Número de Roteamento aba
Financeiro Lei GRAMM-Leach-Bliley (GLBA) Aprimorada - Número do cartão de crédito
- Número da conta bancária dos EUA
- NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
- Número do passaporte dos EUA/Reino Unido
-Número da carteira de motorista dos EUA
- Todos os Nomes Completos
- Endereços físicos dos EUA
Financeiro Ato Gramm-Leach-Bliley (GLBA) dos EUA - Número do cartão de crédito
- Número da conta bancária dos EUA
- NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
Médico e saúde Lei de Registros de Integridade da Austrália (Lei HRIP) aprimorada - Número do arquivo de imposto da Austrália
- Número da conta médica da Austrália
- Todos os Nomes Completos
- Todos os termos e condições médicos
- Endereços físicos da Austrália
Médico e saúde Ato de Registros de Integridade da Austrália (Ato HRIP) - Número do arquivo de imposto da Austrália
- Número da conta médica da Austrália
Médico e saúde Ato de Informações de Saúde do Canadá (HIA) - Número de passaporte do Canadá
- Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Médico e saúde Canada Personal Health Information Act (PHIA) Manitoba - Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Médico e saúde PhiPA (Canada Personal Health Act) Ontário - Número de passaporte do Canadá
- Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Médico e saúde Ato de Acesso a Prontuários Médicos do Reino Unido - Número do serviço nacional de saúde do Reino Unido
- Número nacional do seguro (AMPL) do Reino Unido
Médico e saúde HIPAA (Lei de Seguro de Saúde dos EUA) aprimorada
- Classificação internacional de doenças (ICD-9-CM)
- Classificação internacional de doenças (ICD-10-CM)
- Todos os Nomes Completos
- Todos os termos e condições médicos
- Endereços físicos dos EUA
Médico e saúde Ato do Seguro de Saúde (HIPAA) dos EUA - Classificação internacional de doenças (ICD-9-CM)
- Classificação internacional de doenças (ICD-10-CM)
Privacidade Austrália Privacy Act Enhanced - Número da carteira de habilitação da Austrália
- Número do passaporte da Austrália
- Todos os Nomes Completos
- Todos os termos e condições médicos
- Endereços físicos da Austrália
Privacidade Ato de Privacidade da Austrália - Número da carteira de habilitação da Austrália
- Número do passaporte da Austrália
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) da Austrália - Número do arquivo de imposto da Austrália
- Número da carteira de habilitação da Austrália
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) do Canadá - Número da carteira de motorista do Canadá
- Número da conta bancária do Canadá
- Número de passaporte do Canadá
- Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Privacidade Ato de Proteção a Informações Pessoais do Canadá (PIPA) - Número de passaporte do Canadá
- Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Privacidade Ato de Proteção a Informações Pessoais do Canadá (PIPEDA) - Número da carteira de motorista do Canadá
- Número da conta bancária do Canadá
- Número de passaporte do Canadá
- Número do seguro social do Canadá
- Número do serviço de integridade do Canadá
- Número de Identificação de Saúde Pessoal do Canadá
Privacidade Ato de Proteção de Dados da França - CNI (carteira de identidade nacional) da França
- Número do seguro social da França (INSEE)
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) da França - Número do seguro social da França (INSEE)
- Número da carteira de motorista da França
- Número de passaporte da França
- CNI (carteira de identidade nacional) da França
Privacidade RGPD (Regulamento Geral sobre a Proteção de Dados) Aprimorado - Endereços físicos da Áustria
- Endereços físicos da Bélgica
- Endereços físicos da Bulgária
- Endereços físicos da Croácia
- Endereços físicos de Chipre
- Endereços físicos da República Tcheca
- Endereços físicos da Dinamarca
- Endereços físicos da Estônia
- Endereços físicos da Finlândia
- Endereços físicos da França
- Endereços físicos da Alemanha
- Endereços físicos da Grécia
- Endereços físicos da Hungria
- Endereços físicos da Irlanda
- Endereços físicos da Itália
- Endereços físicos da Letônia
- Endereços físicos da Lituano
- Endereços físicos de Luxemburgo
- Endereços físicos de Malta
- Endereços físicos dos Países Baixos
- Endereços físicos da Polônia
- Endereços físicos português
- Endereços físicos da Romênia
- Endereços físicos da Eslováquia
- Endereços físicos da Eslovênia
- Endereços físicos da Espanha
- Endereços físicos da Suécia
- Número do Seguro Social da Áustria
- Número do Seguro Social da França (INSEE)
- Número do Seguro Social da Grécia (AMKA)
- NÚMERO DO SEGURO SOCIAL húngaro (TAD)
- Número do Seguro Social da Espanha (SSN)
- Cartão de Identidade da Áustria
- Cartão de Identidade do Chipre
- Número do Cartão de Identidade da Alemanha
- Número do Cartão de Identidade de Malta
- CNI (National ID Card) da França
- Cartão de ID Nacional da Grécia
- ID Nacional da Finlândia
- PESEL (ID Nacional da Polônia)
- ID Nacional da Suécia
- Número de OIB (Identificação Pessoal da Croácia)
- Número da Identidade Pessoal Tcheca
- Número de Identificação Pessoal da Dinamarca
- Código de Identificação Pessoal da Estônia
- Número de Identificação Pessoal da Hungria
- Número de Identificação Nacional de Luxemburgo (Pessoas físicas)
- Número de Identificação Nacional de Luxemburgo (pessoas não naturais)
- Código Fiscal da Itália
- Código Pessoal da Letônia
- Código Pessoal da Lituano
- CNP (Código Numérico Pessoal) da Romênia
- Número do BSN (Serviço cidadão dos Países Baixos)
- Número do PPS (Serviço Público Pessoal) da Irlanda
- Número Civil Uniforme da Bulgária
- Número Nacional da Bélgica
- DNI da Espanha
- Número exclusivo do cidadão mestre da Eslovênia
- Número pessoal da Eslováquia
- Número do Cartão de Cidadão de Portugal
- Número da ID de Imposto de Malta
- Número de Identificação Fiscal da Áustria
- Número de Identificação Fiscal de Chipre
- Número de Identificação Fiscal da França (numéro SPI.)
- Número de Identificação Fiscal da Alemanha
- Número de identificação de imposto grego
- Número de identificação de imposto da Hungria
- Número de Identificação Fiscal dos Países Baixos
- Número de Identificação Fiscal da Polônia
- Número de Identificação Fiscal de Portugal
- Número de Identificação Fiscal da Eslovênia
- Número de Identificação Fiscal da Espanha
- Número de Identificação Fiscal da Suécia
- Carteira de Habilitação da Áustria
- Número da Carteira de Habilitação da Bélgica
- Número da Carteira de Habilitação da Bulgária
- Número da Carteira de Habilitação da Croácia
- Número da Carteira de Habilitação de Chipre
- Número da Carteira de Habilitação Tcheca
- Número da Carteira de Habilitação da Dinamarca
- Número da Carteira de Habilitação da Estônia
- Número da Carteira de Habilitação da Finlândia
- Número da Carteira de Habilitação da França
- Número da Carteira de Habilitação Alemã
- Número da Carteira de Habilitação da Grécia
- Número da Carteira de Habilitação da Hungria
- Número da Carteira de Habilitação da Irlanda
- Número da Carteira de Habilitação da Itália
- Número da Carteira de Habilitação da Letônia
- Número da Carteira de Habilitação da Lituano
- Número da Carteira de Habilitação de Luxemburgo
- Número da Carteira de Habilitação de Malta
- Número da Carteira de Habilitação dos Países Baixos
- Número da Carteira de Habilitação da Polônia
- Número da Carteira de Habilitação de Portugal
- Número da Carteira de Habilitação da Romênia
- Número da Carteira de Habilitação da Eslováquia
- Número da Carteira de Habilitação da Eslovênia
- Número da Carteira de Habilitação da Espanha
- Número da Carteira de Habilitação da Suécia
- Número do Passaporte da Áustria
- Número do Passaporte da Bélgica
- Número de Passaporte da Bulgária
- Número do Passaporte da Croácia
- Número do Passaporte de Chipre
- Número do Passaporte da República Tcheca
- Número do Passaporte da Dinamarca
- Número do Passaporte da Estônia
- Número do Passaporte da Finlândia
- Número do Passaporte da França
- Número do Passaporte Alemão
- Número do Passaporte da Grécia
- Número do Passaporte da Hungria
- Número do Passaporte da Irlanda
- Número do Passaporte da Itália
- Número do Passaporte da Letônia
- Número do Passaporte da Lituano
- Número do Passaporte de Luxemburgo
- Número do Passaporte de Malta
- Número do Passaporte dos Países Baixos
- Passaporte da Polônia
- Número do Passaporte de Portugal
- Número do Passaporte da Romênia
- Número do Passaporte da Eslováquia
- Número do Passaporte da Eslovênia
- Número do Passaporte da Espanha
- Número do Passaporte da Suécia
- Número do cartão de débito da UE
- Todos os Nomes Completos
Privacidade Regulamento Geral sobre a Proteção de Dados (RGPD) - Número do cartão de débito da UE
- Número da carteira de habilitação da UE
- Número de identificação nacional da UE
- Número de passaporte da UE
- Número do seguro social da UE ou identificação equivalente
- Número de identificação de imposto da UE
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) da Alemanha - Número da carteira de habilitação da Alemanha
- Número de passaporte da Alemanha
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) de Israel - Número de identificação nacional de Israel
Privacidade Proteção de Privacidade de Israel - Número de identificação nacional de Israel
- Número da conta bancária de Israel
Privacidade Dados de PII (Informações de Identificação Pessoal) do Japão aprimorados - Número do Seguro Social do Japão (SIN)
- Japan My Number - Personal
- Número do passaporte do Japão
- Número da carteira de motorista do Japão
- Todos os Nomes Completos
- Endereços físicos do Japão
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) do Japão - Número de registro de residente do Japão
- Número do Seguro Social do Japão (SIN)
Privacidade Proteção do Japão de informações pessoais aprimorada - Número do Seguro Social do Japão (SIN)
- Japan My Number - Personal
- Número do passaporte do Japão
- Número da carteira de motorista do Japão
- Todos os Nomes Completos
- Endereços físicos do Japão
Privacidade Proteção de Informações Pessoais do Japão - Número de registro de residente do Japão
- Número do Seguro Social do Japão (SIN)
Privacidade Dados pii (identificação pessoal) da Arábia Saudita - ID Nacional da Arábia Saudita
Privacidade Ato de Proteção de Dados do Reino Unido - Número nacional do seguro (AMPL) do Reino Unido
- Número do passaporte dos EUA/Reino Unido
- Código SWIFT
Privacidade Regulamentações de Comunicações Eletrônicas e Privacidade do Reino Unido - Código SWIFT
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) do Reino Unido - Número nacional do seguro (AMPL) do Reino Unido
- Número do passaporte dos EUA/Reino Unido
Privacidade Código de Prática Online de Informações Pessoais (PIOCP) do Reino Unido - Número nacional do seguro (AMPL) do Reino Unido
- Número do serviço nacional de saúde do Reino Unido
- Código SWIFT
Privacidade Ato patriota dos EUA aprimorado - Número do cartão de crédito
- Número da conta bancária dos EUA
- NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
- Todos os Nomes Completos
- Endereços físicos dos EUA
Privacidade Patriot Act dos EUA - Número do cartão de crédito
- Número da conta bancária dos EUA
- NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
Privacidade Dados de PII (informações de identificação pessoal) dos EUA aprimorados - NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
- Número do passaporte dos EUA/Reino Unido
- Todos os Nomes Completos
- Endereços físicos dos EUA
Privacidade Dados de Informações Identificáveis Pessoalmente (PII) dos EUA - NÚMERO DE IDENTIFICAÇÃO do Contribuinte Individual dos EUA (ITIN)
- Número do seguro social (SSN) dos EUA
- Número do passaporte dos EUA/Reino Unido
Privacidade Leis de notificação de violação de estado dos EUA aprimoradas - Número do cartão de crédito
- Número da conta bancária dos EUA
-Número da carteira de motorista dos EUA
- Número do seguro social (SSN) dos EUA
- Todos os Nomes Completos
- Número do passaporte dos EUA/Reino Unido
- Todos os termos e condições médicos
Privacidade Leis de Notificação de Ruptura de Estado dos EUA - Número do cartão de crédito
- Número da conta bancária dos EUA
-Número da carteira de motorista dos EUA
- Número do seguro social (SSN) dos EUA
Privacidade Leis de Confidencialidade de Número de Seguro Social de Estado dos EUA - Número do seguro social (SSN) dos EUA

Localizações

Uma política DLP pode localizar e proteger itens que contêm informações confidenciais em vários locais.

Local Escopo incluir/excluir Estado dos dados Pré-requisitos adicionais
Exchange email online grupo de distribuição dados em movimento Não
SharePoint sites online sites dados em repouso
dados em uso
Não
Contas do OneDrive for Business conta ou grupo de distribuição dados em repouso
dados em uso
Não
Bater papo e canal de mensagens do Teams conta ou grupo de distribuição dados em movimento
dados em uso
Não
Microsoft Defender for Cloud Apps instância do aplicativo de nuvem dados em repouso - Usar políticas de prevenção contra perda de dados para aplicativos de nuvem que não são da Microsoft
Dispositivos usuário ou grupo dados em repouso
dados em uso
dados em movimento
- Saiba mais sobre a prevenção contra perda de dados do ponto de extremidade
- Introdução com prevenção contra perda de dados do ponto de extremidade
- Definir configurações de proxy de dispositivo e conexão com a Internet para Proteção de Informações
Repositórios locais (compartilhamentos de arquivos e SharePoint) Repositório dados em repouso - Saiba mais sobre o verificador local de prevenção contra perda de dados
- Introdução com o verificador local de prevenção contra perda de dados
PowerBI Espaços dados em uso Não

Se você optar por incluir grupos de distribuição específicos no Exchange, a política DLP será delimitada somente aos membros desse grupo. Da mesma maneira, a exclusão de um grupo de distribuição excluirá todos os membros desse grupo de distribuição da avaliação de políticas. Você pode optar por criar uma política para os membros das listas de distribuição, grupos de distribuição dinâmicas e grupos de segurança. Uma política DLP pode conter, no máximo, 50 inclusões e exclusões.

Se optar por incluir ou excluir sites específicos do SharePoint ou contas do OneDrive, uma política de DLP pode conter até 100 inclusões e exclusões. Embora esses limites existam, você pode excede-los ao ignorar uma política no âmbito da organização ou uma política que se aplica a locais inteiros.

Se optar por incluir ou excluir contas ou grupos específicos do OneDrive, uma política DLP não poderá conter mais de 100 contas de usuários ou 50 grupos como inclusão ou exclusão.

Suporte de localização para como o conteúdo pode ser definido

As políticas DLP detectam itens confidenciais correspondendo-os a um tipo de informação confidencial (SIT), a um rótulo de confidencialidade ou a um rótulo de retenção. Cada local dá suporte a diferentes métodos de definição de conteúdo confidencial. Quando você combina locais em uma política, como o conteúdo pode ser definido pode mudar de como ele pode ser definido por um único local.

Importante

Quando você seleciona vários locais para uma política, um valor "não" para uma categoria de definição de conteúdo tem precedência sobre o valor "sim". Por exemplo, quando você seleciona SharePoint sites, a política dá suporte à detecção de itens confidenciais por um ou mais de SIT, por rótulo de confidencialidade ou por rótulo de retenção. Mas, quando você seleciona SharePoint sites e Teams de mensagens de chat e canal, a política só dá suporte à detecção de itens confidenciais por SIT.

Local O conteúdo pode ser definido por SIT O conteúdo pode ser definido como rótulo de confidencialidade O conteúdo pode ser definido pelo rótulo de retenção
Exchange email online Sim Sim Não
SharePoint sites online Sim Sim Sim
Contas do OneDrive for Business Sim Sim Sim
Teams mensagens de chat e canal Sim Não Não
Dispositivos Sim Sim Não
Microsoft Defender for Cloud Apps Sim Sim Sim
Repositórios locais Sim Sim Não
PowerBI Sim Sim Não

Observação

A DLP dá suporte à detecção de rótulos de confidencialidade em emails e anexos. Veja, Use rótulos de confidencialidade como condições em políticas DLP.

Rules

As regras são a lógica de negócios das políticas DLP. Eles consistem em:

  • Condições que, quando correspondidas, disparam a política
  • Exceções às condições
  • Ações a serem tomadas quando a política é disparada
  • Notificações do usuário para informar os usuários quando eles estão fazendo algo que dispara uma política e ajuda a instrui-los sobre como sua organização deseja que as informações confidenciais sejam tratadas
  • Substituições de usuário quando configuradas por um administrador, permitem que os usuários substituam seletivamente uma ação de bloqueio
  • Relatórios de incidentes que notificam os administradores e outros principais stakeholders quando ocorre uma correspondência de regra
  • Opções adicionais que definem a prioridade para avaliação de regra e podem interromper o processamento de regras e políticas adicionais.

Uma política contém uma ou mais regras. As regras são executadas sequencialmente, começando pela prioridade mais alta em cada política.

A prioridade em que as regras são processadas

Cargas de trabalho de serviço hospedado

Para as cargas de trabalho de serviço hospedado, como Exchange Online, SharePoint Online e OneDrive for Business, cada regra recebe uma prioridade na ordem em que é criada. Isso significa que a regra criada primeiro tem prioridade, a regra criada em segundo tem segunda prioridade e assim por diante.

Regras na ordem de prioridade

Quando o conteúdo é avaliado em relação às regras, estas são processadas na ordem de prioridade. Se o conteúdo corresponder a várias regras, a primeira regra avaliada com a ação mais restritiva será imposta. Por exemplo, se o conteúdo corresponder a todas as regras a seguir, a Regra 3 será imposta porque é a regra mais restritiva e de prioridade mais alta:

  • Regra 1: apenas notifica os usuários
  • Regra 2: notifica os usuários, restringe o acesso e permite o usuário substituir
  • Regra 3: notifica os usuários, restringe o acesso e não permite o usuário substituir
  • Regra 4: restringe o acesso

As regras 1, 2 e 4 seriam avaliadas, mas não aplicadas. Neste exemplo, as correspondências para todas as regras são registradas nos logs de auditoria e mostradas nos relatórios DLP, mesmo que apenas a regra mais restritiva seja aplicada.

Você pode usar uma regra para atender a um requisito específico de proteção e depois usar uma política DLP para agrupar requisitos de proteção comuns, como todas as regras necessárias para manter a conformidade com uma regulamentação específica.

Por exemplo, você pode ter uma política DLP que ajuda a detectar a presença de informações sujeitas à lei americana HIPAA (Health Insurance Portability Accountability Act). Essa política DLP pode ajudar a proteger dados HIPAA (objeto) em todos os sites do SharePoint Online e OneDrive for Business (local) ao encontrar qualquer documento com essas informações confidenciais que são compartilhadas com pessoas de fora da sua organização (condições) e, em seguida, bloquear o acesso ao documento e enviar uma notificação (ações). Esses requisitos são armazenados como regras individuais e agrupadas como uma política DLP para simplificar o gerenciamento e a geração de relatório.

O diagrama mostra que a política de DLP contém locais e regras

Para pontos de extremidade

A prioridade para regras em pontos de extremidade também é atribuída de acordo com a ordem na qual ela é criada. Isso significa que a regra criada primeiro tem prioridade, a regra criada em segundo tem segunda prioridade e assim por diante.

Quando um arquivo em um ponto de extremidade corresponde a várias políticas DLP, a primeira regra habilitada com a imposição mais restritiva nas atividades do ponto de extremidade é aquela que é imposta no conteúdo. Por exemplo, se o conteúdo corresponder a todas as regras a seguir, a regra 2 terá precedência sobre as outras regras, pois é a mais restritiva.

  • Regra 1: audita apenas todas as atividades
  • Regra 2: bloqueia todas as atividades
  • Regra 3: bloqueia todas as atividades com a opção de substituição do usuário final

No exemplo abaixo, a Regra 1 tem precedência sobre as outras regras correspondentes, pois é a mais restritiva.

  • Regra 1: bloqueia a atividade e não permite a substituição do usuário
  • Regra 2: bloqueia a atividade e permite substituições de usuário
  • Regra 3: audita apenas todas as atividades
  • Regra 4: sem imposição

Todas as outras regras são avaliadas, mas suas ações não são impostas. Os logs de auditoria mostrarão a regra mais restritiva aplicada no arquivo. Se houver mais de uma regra que corresponda e elas forem igualmente restritivas, a prioridade de política e regra regerá qual regra seria aplicada no arquivo.

Condições

As condições são inclusivas e são onde você define o que deseja que a regra procure e o contexto no qual esses itens estão sendo usados. Eles informam a regra — quando você encontra um item com esta aparência e está sendo usado dessa forma — é uma correspondência e o restante das ações na política deve ser executada nele. Você pode usar condições para atribuir ações diferentes a diferentes níveis de risco. Por exemplo, o conteúdo confidencial compartilhado internamente pode diminuir o risco e exigir menos ações do que o conteúdo confidencial compartilhado com pessoas de fora da organização.

Observação

Os usuários que têm contas não convidadas no Active Directory ou no locatário do Azure Active Directory de uma organização são considerados como pessoas dentro da organização.

O conteúdo contém

Todos os locais compatíveis com o conteúdo contém a condição. Você pode selecionar várias instâncias de cada tipo de conteúdo e refinar ainda mais as condições usando qualquer um desses operadores (OR lógico) ou Todos esses (AND lógicos):

dependendo dos locais aos quais você opta por aplicar a política.

A regra procurará apenas a presença de rótulos de confidencialidade e rótulos de retenção que você escolher.

Os SITs têm um nível de confiança predefinido que você pode alterar, se necessário. Para obter mais informações, consulte Mais sobre níveis de confiança.

Importante

Os SITs têm duas maneiras diferentes de definir os parâmetros de contagem máxima de instâncias exclusivas. Para saber mais, confira Valores com suporte de contagem de instâncias para SIT.

Contexto de condição

As opções de contexto disponíveis mudam dependendo de qual local você escolher. Se você selecionar vários locais, somente as condições que os locais têm em comum estarão disponíveis.

Condições Exchange suporte
  • O conteúdo contém
  • O conteúdo é compartilhado do Microsoft 365
  • O conteúdo é recebido de
  • O endereço IP do remetente é
  • O remetente substituiu a dica de política
  • O remetente é
  • O domínio do remetente é
  • O endereço do remetente contém palavras
  • O endereço do remetente contém padrões
  • O Atributo do AD do Remetente contém palavras ou frases
  • O Atributo do AD do Remetente corresponde aos padrões
  • O remetente é membro do
  • Nenhum conteúdo do anexo de email pôde ser verificado
  • Nenhum conteúdo do anexo de email concluiu a verificação
  • O anexo é protegido por senha
  • A extensão de arquivo é
  • O destinatário é membro do
  • O domínio do destinatário é
  • O destinatário é
  • O endereço do destinatário contém palavras
  • O endereço do destinatário corresponde aos padrões
  • O Atributo do AD do Destinatário contém palavras ou frases
  • O Atributo do AD do Destinatário corresponde aos padrões
  • O nome do documento contém palavras ou frases
  • O nome do documento corresponde aos padrões
  • A propriedade do documento é
  • O tamanho do documento é igual ou maior que
  • O conteúdo do documento contém palavras ou frases
  • O conteúdo do documento corresponde aos padrões
  • O assunto contém palavras ou frases
  • O assunto corresponde aos padrões
  • Assunto ou Corpo contém palavras ou frases
  • O assunto ou o corpo corresponde aos padrões
  • O conjunto de caracteres de conteúdo contém palavras
  • O cabeçalho contém palavras ou frases
  • O cabeçalho corresponde aos padrões
  • O tamanho da mensagem é igual ou maior que
  • O tipo de mensagem é
  • A importância da mensagem é
Condições SharePoint suporte
  • O conteúdo contém
  • O conteúdo é compartilhado do Microsoft 365
  • Documento criado por
  • Documento criado por membro do
  • O nome do documento contém palavras ou frases
  • O nome do documento corresponde aos padrões
  • Tamanho do documento acima
  • A propriedade do documento é
  • A extensão de arquivo é
Condições OneDrive contas compatíveis
  • O conteúdo contém
  • O conteúdo é compartilhado do Microsoft 365
  • Documento criado por
  • Documento criado por membro do
  • O nome do documento contém palavras ou frases
  • O nome do documento corresponde aos padrões
  • Tamanho do documento acima
  • A propriedade do documento é
  • A extensão de arquivo é
Condições Teams suporte a mensagens de chat e canal
  • O conteúdo contém
  • O conteúdo é compartilhado do Microsoft 365
  • O remetente é
  • O domínio do remetente é
  • O domínio do destinatário é
  • O destinatário é
Os dispositivos de condições são compatíveis
Condições Microsoft Defender para Aplicativos de Nuvem suporte
  • O conteúdo contém
  • O conteúdo é compartilhado do Microsoft 365
Suporte a repositórios locais de condições
  • O conteúdo contém
  • A extensão de arquivo é
  • A propriedade do documento é
Condições compatíveis com o PowerBI
  • O conteúdo contém

Grupos de condição

Às vezes, você precisa de uma regra para identificar apenas uma coisa, como todo o conteúdo que contém um número de seguro social dos EUA, que é definido por um único SIT. Mas em muitos cenários, em que os tipos de itens que você está tentando identificar são mais complexos e, portanto, mais difíceis de definir, é necessária mais flexibilidade na definição de condições.

Por exemplo, para identificar conteúdo sujeito à HIPAA (Lei de Seguro de Saúde) dos EUA, você precisa procurar:

  • Conteúdo que apresente tipos específicos de informações confidenciais, como um Número de Seguro Social dos EUA ou Número da DEA (Agência de Combate às Drogas dos EUA).

    E

  • Conteúdo que é mais difícil de identificar, como comunicações sobre cuidados de um paciente ou descrições de serviços médicos fornecidos. Identificar esse conteúdo requer a combinação de palavras-chave de listas de palavras-chave muito extensas, como a Classificação Internacional de Doenças (ICD-9-CM ou ICD-10-CM).

Você pode identificar esse tipo de dados agrupando condições e usando operadores lógicos (AND, OR) entre os grupos.

Para a HIPPA (Lei de Seguro de Saúde) dos EUA, as condições são agrupadas desta forma:

Condições de política hippa

O primeiro grupo contém os SITs que identificam e individuais e o segundo grupo contém os SITs que identificam o diagnóstico médico.

Exceções

Em regras, as exceções definem condições que são usadas para excluir um item da política. Logicamente, condições exclusivas que são avaliadas após as condições inclusivas e o contexto. Eles informam a regra — quando você encontra um item com esta aparência e está sendo usado como se fosse uma correspondência e o restante das ações na política deve ser executada nele, exceto se... —

Por exemplo, mantendo a política HIPPA, podemos modificar a regra para excluir qualquer item que contenha um número de licença de drivers da Bélgica, desta forma:

Política HIPPA com exclusões

As condições de exceções compatíveis com a localização são idênticas a todas as condições de inclusão, com a única diferença sendo o prenido de "Except if" para cada condição com suporte. Se uma regra contiver apenas exceções, ela se aplicará a todos os emails ou arquivos que não atendem aos critérios de exclusão.

Assim como todos os locais dão suporte à condição inclusiva:

  • O conteúdo contém

a exceção seria:

  • Exceto se o conteúdo contiver

Ações

Qualquer item que passar pelos filtros inclusivos conditions _ e exceções exclusivas ** terá todas as ações definidas na regra aplicada a ele. Você precisará configurar as opções necessárias para dar suporte à ação. Por exemplo, se você selecionar Exchange com a ação _Restringir acesso ou criptografar o conteúdo em Microsoft 365 locais, precisará escolher entre estas opções:

  • Impedir que os usuários acessem conteúdo SharePoint, OneDrive e Teams compartilhado
    • Bloqueie todo mundo. Somente o proprietário do conteúdo, o último modificador e o administrador do site continuarão a ter acesso
    • Bloqueie somente pessoas de fora da sua organização. Os usuários dentro de sua organização continuarão a ter acesso.
  • Criptografar mensagens de email (aplica-se somente ao conteúdo do Exchange)

As ações que estão disponíveis em uma regra dependem dos locais que foram selecionados. Se você selecionar apenas um local para a política a ser aplicada, as ações disponíveis serão listadas abaixo.

Importante

Para SharePoint Online e locais do OneDrive for Business, os documentos serão bloqueados proativamente logo após a detecção de informações confidenciais, independentemente de o documento ser compartilhado ou não, para todos os usuários externos, enquanto os usuários internos continuarão a ter acesso ao documento.

Exchange de localização

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais
  • Definir cabeçalhos
  • Remover cabeçalho
  • Redirecionar a mensagem para usuários específicos
  • Encaminhar a mensagem para aprovação para o gerente do remetente
  • Encaminhar a mensagem para aprovação para aprovadores específicos
  • Adicionar destinatário à caixa Para
  • Adicionar destinatário à caixa Cc
  • Adicionar destinatário à caixa Cco
  • Adicionar o gerente do remetente como destinatário
  • Removido o O365 Message Encryption e a proteção de direitos
  • Assunto de email de pré-anexação
  • Modificar Assunto do Email
  • Adicionar Aviso de Isenção de Responsabilidade HTML

SharePoint locais de sites

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais

OneDrive de localização da conta

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais

Teams de chat e mensagens de canal

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais

Ações de dispositivos

  • Auditar ou restringir atividades em Windows dispositivos

Para usar essas configurações, você precisa definir opções nas configurações de DLP e na política na qual deseja usá-las. Consulte, aplicativos restritos e grupos de aplicativos para obter mais informações.

O local dos dispositivos fornece muitas subativações (condições) e ações. Para saber mais, confira As atividades de ponto de extremidade que você pode monitorar e tomar medidas.

Ao selecionar Auditar ou restringir atividades em Windows, você pode restringir as atividades do usuário por domínio de serviço ou navegador e definir o escopo das ações executadas pela DLP:

  • Todos os aplicativos
  • Por uma lista de aplicativos restritos que você define
  • Um grupo de aplicativos restrito (versão prévia) que você define.
Atividades de navegador e domínio de serviço

Quando você configura os domínios de serviço de nuvem Permitir/Bloquear e a lista de navegadores não permitidos (consulte As restrições de navegador e domínio para dados confidenciais) e um usuário tenta carregar um arquivo protegido em um domínio de serviço de nuvem ou acesse-o de um navegador não permitido, Audit only``Block with overridevocê pode configurar a ação de política para, Block ou a atividade.

Atividades de arquivo para todos os aplicativos

Com a opção Atividades de arquivo para todos os aplicativos, selecione Não restringir atividades de arquivo ou Aplicar restrições a atividades específicas. Quando você seleciona aplicar restrições a atividades específicas, as ações selecionadas aqui são aplicadas quando um usuário acessa um item protegido por DLP. Você pode informar a DLP Audit onlypara , Block Block with override(as ações) nessas atividades do usuário:

  • Copiar para a área de transferência
  • Copiar para uma unidade removível USB
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover usando um aplicativo Bluetooth não permitida
  • Serviços de área de Trabalho Remota
Atividades de aplicativo restrito

Anteriormente chamado de aplicativos não permitidos, você define uma lista de aplicativos nas configurações de DLP do ponto de extremidade nos quais deseja colocar restrições. Quando um usuário tenta acessar um arquivo protegido por DLP usando um aplicativo que está na lista, Audit onlyvocê pode ou Block with overridea Block atividade. As ações DLP definidas em atividades de aplicativo restrito serão substituídas se o aplicativo for membro do grupo de aplicativos restrito. Em seguida, as ações definidas no grupo de aplicativos restritos são aplicadas.

Atividades de arquivos para aplicativos em grupos de aplicativos restritos (visualização)

Você define seus grupos de aplicativos restritos nas configurações de DLP do ponto de extremidade e adiciona grupos de aplicativos restritos às suas políticas. Ao adicionar um grupo de aplicativos restrito a uma política, você deve selecionar uma destas opções:

  • Não restringir a atividade do arquivo
  • Aplicar restrições a todas as atividades
  • Aplicar restrições a atividades específicas

Quando você seleciona uma das opções aplicar restrições e um usuário tenta acessar um arquivo protegido por DLP usando um aplicativo que está no grupo de aplicativos restrito, Audit onlyvocê pode, Block with override``Block ou por atividade. As ações DLP definidas aqui substituem as ações definidas em atividades de aplicativo restrita e atividades de arquivo para todos os aplicativos para o aplicativo.

Consulte, aplicativos restritos e grupos de aplicativos para obter mais informações.

Microsoft Defender para Aplicativos de Nuvem ações

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais
  • Restringir aplicativos de terceiros

Ações de repositórios locais

  • Restringir o acesso ou remover arquivos locais

Ações do PowerBI

  • Notificar usuários com dicas de política e email
  • Enviar alertas para o administrador

Ações disponíveis ao combinar locais

Se você selecionar Exchange e qualquer outro local único para a política a ser aplicada, o

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais

e

  • todas as ações para o local não Exchange local

as ações estarão disponíveis.

Se você selecionar dois ou mais locais não Exchange para a política a ser aplicada, o

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais

E

  • todas as ações para locais Exchange não especificados

as ações estarão disponíveis.

Por exemplo, se você selecionar Exchange e Dispositivos como locais, essas ações estarão disponíveis:

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais
  • Auditar ou restringir atividades em Windows dispositivos

Se você selecionar Dispositivos e Microsoft Defender para Aplicativos de Nuvem, essas ações estarão disponíveis:

  • Restringir o acesso ou criptografar o conteúdo em Microsoft 365 locais
  • Auditar ou restringir atividades em Windows dispositivos
  • Restringir aplicativos de terceiros

Se uma ação entra em vigor ou não depende de como você configura o modo da política. Você pode optar por executar a política no modo de teste com ou sem mostrar a dica de política selecionando a primeira opção Testar . Você opta por executar a política assim que uma hora após ela ser criada selecionando a opção Ativar imediatamente ou pode optar por salvá-la e voltar a ela mais tarde selecionando a opção Manter desativado.

Notificações do usuário e dicas de política

Quando um usuário tenta uma ação em um item confidencial em um contexto que atende às condições e exceções de uma regra, você pode informar a ele por meio de emails de notificação do usuário e pop-ups de dica de política de contexto. Essas notificações são úteis porque aumentam a conscientização e ajudam a instruir as pessoas sobre as políticas de DLP da sua organização.

Por exemplo, conteúdo como uma Excel de trabalho em um site OneDrive for Business que contém informações de identificação pessoal (PII) e é compartilhado com um convidado.

Barra de mensagem mostra a dica de política no Excel 2016

Observação

Emails de notificação são enviados desprotegidos.

Você também pode dar às pessoas a opção de substituir a política, de modo que elas não serão bloqueadas se tiverem uma necessidade comercial válida ou se a política estiver detectando um falso positivo.

As opções de configuração de notificações do usuário e dicas de política variam dependendo dos locais de monitoramento selecionados. Se você selecionou:

  • Exchange
  • SharePoint
  • OneDrive
  • Teams chat e canal
  • Aplicativos do Defender para Nuvem

Você pode habilitar/desabilitar notificações de usuário para vários aplicativos da Microsoft, consulte a referência de dicas de política de Prevenção contra Perda de Dados

  • Você pode habilitar/desabilitar notificações com uma dica de política.
    • notificações por email para o usuário que enviou, compartilhou ou modificou o conteúdo pela última vez OU
    • notificar pessoas específicas

e personalize o texto do email, o assunto e o texto da dica de política.

Opções de configuração de notificação do usuário e dica de política que estão disponíveis para Exchange, SharePoint, OneDrive, chat e canal do Teams e aplicativos Defender para Nuvem

Se você selecionou apenas Dispositivos, terá todas as mesmas opções disponíveis para aplicativos do Exchange, SharePoint, OneDrive, chat e canal do Teams e aplicativos do Defender para Nuvem, além da opção de personalizar o título e o conteúdo da notificação que aparece no Windows 10 Dispositivo.

Opções de configuração de notificação do usuário e dica de política disponíveis para dispositivos

Você pode personalizar o título e o corpo do texto usando esses parâmetros. O corpo do texto dá suporte a estes:

Nome comum Parâmetro Exemplo
nome do arquivo %%FileName%% Contoso doc 1
nome do processo %%ProcessName%% Word
nome da política %%PolicyName%% Contoso altamente confidencial
ação %%AppliedActions%% colando o conteúdo do documento da área de transferência para outro aplicativo

%%AppliedActions%% substitui esses valores no corpo da mensagem:

nome comum da ação valor substituído pelo parâmetro %%AppliedActions%%
copiar para armazenamento removêvel gravando em armazenamento removível
copiar para o compartilhamento de rede gravar em um compartilhamento de rede
Imprimir Impressão
colar da área de transferência colando da área de transferência
copiar via bluetooth transferindo por meio Bluetooth
abrir com um aplicativo não permitida abrindo com este aplicativo
copiar para uma área de trabalho remota (RDP) transferindo para a área de trabalho remota
carregando em um site não permitida carregando para este site
acessando o item por meio de um navegador não autorizado abrindo com este navegador

Usando este texto personalizado

%%AppliedActions%% O nome de arquivo %%FileName%% via %%ProcessName%% não é permitido pela sua organização. Clique em 'Permitir' se quiser ignorar a política %%PolicyName%%

produz este texto na notificação personalizada:

colar do Nome do Arquivo da Área de Transferência: o documento 1 da Contoso WINWORD.EXE não é permitido pela sua organização. Clique no botão 'Permitir' se quiser ignorar a política altamente confidencial da Contoso

Observação

As notificações do usuário e as dicas de política não estão disponíveis para o local

Observação

Apenas a dica de política da prioridade mais alta e restritiva será exibida. Por exemplo, uma dica de política de uma regra que bloqueia o acesso ao conteúdo será mostrada em detrimento de uma dica de política de uma regra que simplesmente envia uma notificação. Isso impede que as pessoas vejam uma cascata de dicas de política.

Para saber mais sobre a configuração e o uso da dica de política e notificação do usuário, incluindo como personalizar o texto da notificação e da dica, consulte

Substituições do usuário

A intenção das substituições de usuário é dar aos usuários uma maneira de ignorar, com justificativa, ações de bloqueio de política DLP em itens confidenciais no Exchange, SharePoint, OneDrive ou Teams para que eles possam continuar seu trabalho. As substituições de usuário são habilitadas somente quando notificar os usuários nos serviços do Office 365 com uma dica de política está habilitada, portanto, as substituições de usuário andam lado a lado com notificações e dicas de política.

Opções de substituição do usuário para uma política DLP

Observação

As substituições de usuário não estão disponíveis para o local dos repositórios locais.

Normalmente, as substituições de usuário são úteis quando sua organização está distribuindo uma política pela primeira vez. Os comentários que você obtém de qualquer justificativa de substituição e identificação de falsos positivos ajudam a ajustar a política.

  • Se as dicas de política na regra mais restritiva permitir que as pessoas substituam a regra, substituir essa regra também substitui quaisquer outras regras que o conteúdo correspondeu.

Para saber mais sobre substituições de usuário, confira:

Relatórios de incidentes

Quando uma regra é correspondida, você pode enviar um relatório de incidentes ao responsável pela conformidade (ou qualquer pessoa que você escolher) com detalhes sobre o evento. O relatório inclui informações sobre o item que foi correspondido, o conteúdo real que correspondeu à regra e o nome da pessoa que modificou o conteúdo pela última vez. Para mensagens de email, o relatório também inclui a mensagem original como anexo que corresponde a uma política DLP.

A DLP alimenta informações de incidentes para outros Microsoft Purview de proteção de informações, como o gerenciamento de risco interno. Para obter informações sobre incidentes para o gerenciamento de risco interno, você deve definir o nível de severidade dos relatórios de incidentes como Alto.

Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser barulhento ou pode ser agregada em menos alertas com base no número de partidas ou volume de itens durante um período de tempo definido.

enviar um alerta sempre que uma regra corresponder ou agregar ao longo do tempo em menos relatórios

A DLP examina o email de maneira diferente SharePoint online ou OneDrive for Business itens. No SharePoint Online e no OneDrive for Business, o DLP verifica os itens existentes, bem como os novos, e gera um relatório de incidente sempre que uma correspondência é encontrada. No Exchange Online, o DLP verifica apenas as novas mensagens de e-mail e gera um relatório se houver uma correspondência de política. O DLP não verifica ou combina os itens de e-mail existentes anteriormente que são armazenados em uma caixa de correio ou arquivo morto.

Opções adicionais

Se você tiver várias regras em uma política, poderá usar as opções adicionais para controlar o processamento de regras adicional se houver uma correspondência com a regra que você está editando, bem como definir a prioridade para avaliação da regra.

Confira também