Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este escenario se muestra cómo restringir el uso compartido involuntario de información confidencial a los servicios y aplicaciones en la nube no aprobados mediante DLP de Microsoft Purview. Al definir dominios de servicio confidenciales y aplicar controles a través de exploradores admitidos, las organizaciones pueden supervisar y guiar cómo se carga o se accede a datos confidenciales.
Nota:
Se admiten los siguientes exploradores web:
- Microsoft Edge (Win/macOS)
- Chrome (Win/macOS): extensión Microsoft Purview solo para Chrome Windows
- Firefox (Win/macOS): extensión Microsoft Purview solo para Windows de Firefox
- Safari (solo macOS)
Cuando se configura una directiva para la ubicación Dispositivos , se impide que los exploradores no admitidos accedan a contenido confidencial y los usuarios se redirigen a Microsoft Edge, donde los controles DLP pueden bloquear o restringir acciones en función de las condiciones de directiva. Esta aplicación compatible con el explorador ayuda a reducir el riesgo de filtración de datos, a la vez que mantiene una experiencia de usuario coherente y guiada.
Para implementar este enfoque, defina destinos restringidos (dominios, servicios o direcciones IP), especifique exploradores no admitidos y configure reglas DLP que detecten contenido confidencial y apliquen controles como Cargar en servicios en la nube y Acceso desde un explorador no permitido.
Esta configuración permite a las organizaciones auditar el comportamiento de los usuarios, refinar las directivas y aplicar progresivamente controles más estrictos según sea necesario, a la vez que minimizan la interrupción de las actividades empresariales legítimas.
Requisitos previos y supuestos
En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP). Trabaje en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.
Importante
En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.
La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.
En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que es necesario crear y publicar etiquetas de confidencialidad. Para más información, vea:
- Información sobre las etiquetas de confidencialidad
- Introducción a las etiquetas de confidencialidad
- Crear y configurar etiquetas de confidencialidad y sus directivas
Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.
Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.
Asignación y instrucción de intención de directiva
Nosotros, Contoso, queremos evitar que los usuarios compartan información confidencial de forma involuntaria con aplicaciones y servicios en la nube no aprobados desde dispositivos de punto de conexión. Al mismo tiempo, queremos garantizar que los usuarios puedan seguir accediendo y trabajando con datos confidenciales sin restricciones innecesarias. Para ello, definiremos un conjunto de dominios de servicio en la nube restringidos y aplicaremos controles cuando se detecte información confidencial en la actividad del usuario. Cuando los usuarios intenten cargar contenido confidencial en estos servicios no aprobados(o acceder a dicho contenido a través de exploradores no admitidos), auditaremos la actividad y guiaremos a los usuarios hacia flujos de trabajo compatibles y compatibles (como el uso de Microsoft Edge). Este enfoque nos permite aplicar controles gradualmente mediante la primera auditoría del comportamiento del usuario, la comprensión de los patrones de riesgo y el refinamiento de la directiva antes de pasar a una aplicación más estricta si es necesario.
| Instrucción | Pregunta de configuración respondida y asignación de configuración |
|---|---|
| "Queremos evitar que los usuarios compartan información confidencial con servicios y aplicaciones en la nube no aprobados..." | - Ámbito administrativo: directorio completo - Dónde supervisar: solo dispositivos - Ámbito de directiva: todos los usuarios o dispositivos (o usuarios de destino para pruebas) |
| "Queremos definir qué servicios en la nube se consideran no permitidos para el uso compartido de datos confidenciales..." | - Configuración del punto de conexión: Crear un grupo de dominio de servicio confidencial - Dominios definidos mediante el intervalo URL/IP/IP (con compatibilidad con caracteres comodín) - Grupo reutilizado en reglas de directiva |
| "Queremos detectar el contenido confidencial que se comparte con estos servicios..." | - Condiciones: el contenido contiene los tipos de información confidencial seleccionados - Lógica de detección: tipos de información confidencial integrados o personalizados |
| "Queremos supervisar los intentos de cargar contenido confidencial o acceder a él a través de exploradores no admitidos..." | - Acciones: carga en un dominio de servicio en la nube restringido o acceso desde un explorador no permitido - Control del explorador integrado con DLP de punto de conexión |
| "Queremos observar inicialmente el comportamiento del usuario sin bloquear los procesos empresariales..." | - Modo de acción: auditar solo para las actividades de dominio de servicio y explorador - No se aplica ningún bloqueo o invalidación en esta fase |
| "Queremos redirigir a los usuarios hacia exploradores compatibles con directivas..." | - Comportamiento del punto de conexión: se impide que los exploradores no autorizados accedan a contenido confidencial. - Experiencia del usuario: redirección a Microsoft Edge donde se aplican los controles DLP |
| "Queremos mantener la flexibilidad para ampliar las protecciones a lo largo del tiempo..." | - Funcionalidad de diseño: agregar más grupos de dominios, aplicaciones y directivas según sea necesario - Extensibilidad de directivas: admite la transición futura para bloquear o bloquear con invalidación |
| "Queremos supervisar y controlar opcionalmente otras actividades de archivos entre aplicaciones..." | - Acciones adicionales: configurar actividades de archivo para todas las aplicaciones según sea necesario - Supervisión detallada o restricción de los comportamientos de los puntos de conexión |
| "Queremos que esta directiva esté activa inmediatamente para su evaluación..." | - Modo de directiva: activarlo de inmediato - Implementación: aplicación inmediata en modo de auditoría |
Pasos para crear la directiva
Inicie sesión en el portal > de Microsoft PurviewConfiguración deprevención> de pérdida de datos (icono de engranaje en la esquina superior izquierda) >Configuración dlp del> punto de conexión de prevención> de pérdida de datosExplorador y restricciones de dominio para datos confidenciales>Sensible grupos de dominio de servicio.
Seleccione Crear grupo de dominios de servicio confidencial.
Asigne un nombre al grupo.
Escriba el dominio de servicio confidencial para el grupo. Puede agregar varios sitios web a un grupo y usar caracteres comodín para cubrir subdominios. Por ejemplo,
www.contoso.comsolo para el sitio web de nivel superior o: *.contoso.com para corp.contoso.com, hr.contoso.com, fin.contoso.com.Seleccione el Tipo de coincidencia que quiera. Puede seleccionar entre URL, Dirección IP, Intervalo de direcciones IP.
Haga clic en Guardar.
En el panel de navegación izquierdo, seleccione Directivas de prevención> de pérdida de datos.
Datos almacenados en orígenes conectados.
Cree y establezca el ámbito de una directiva que se aplique solo a la ubicación dispositivos . Para obtener más información sobre cómo crear una directiva, vea Crear e implementar directivas de prevención de pérdida de datos. Asegúrese de limitar las unidades de Administración al directorio Completo.
En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas y elija Siguiente.
Cree una regla, como se indica a continuación:
- En Condiciones, seleccione + Agregar condición y seleccione Contenido que contiene en el menú desplegable.
- Asigne un nombre al grupo.
- Elija Agregar y, a continuación, seleccione Tipos de información confidencial.
- Seleccione un tipo de información confidencial en el panel flotante y, a continuación, elija Agregar.
- Agregue la acción Auditar o restringir las actividades en los dispositivos.
- En Dominio de servicio y actividades del explorador, elija Cargar en un dominio de servicio en la nube restringido o acceso desde un explorador no permitido y establezca la acción en Solo auditoría.
- Seleccione + Elija restricciones diferentes para dominios de servicio confidenciales y, a continuación, elija Agregar grupo.
- En el control flotante Elegir grupos de dominio de servicio confidencial , seleccione los grupos de dominios de servicio confidencial que desee, elija Agregar y, a continuación, elija Guardar.
- En Actividades de archivo para todas las aplicaciones, seleccione las actividades de usuario que desea supervisar o restringir y las acciones que DLP debe realizar en respuesta a esas actividades.
- Termine de crear la regla y elija Guardar y , a continuación, Siguiente.
- En la página de confirmación, elija Listo.
- En la página Modo de directiva , elija Activar de inmediato. Elija Siguiente y, a continuación, Enviar.