Introducción a las ventanas emergentes de uso compartido excesivo

Al configurar la directiva de Prevención de pérdida de datos de Microsoft Purview (DLP) adecuada, DLP comprobará los mensajes de correo electrónico antes de que se envíen para obtener información etiquetada o confidencial y aplicará las acciones definidas en la directiva DLP.

El elemento emergente Sobresharing es una característica E5.

Importante

Se trata de un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Debe sustituir sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.

Importante

Para identificar la versión mínima de Outlook que admite esta característica, use la tabla de funcionalidades para Outlook y la fila Impedir el uso compartido excesivo como sugerencia de directiva DLP.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Antes de empezar

Licencias de SKU/suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Se admite la licencia AIP P2

Permissions

La cuenta que use para crear e implementar directivas debe ser miembro de uno de estos grupos de roles.

• Administrador de cumplimiento
• Administrador de datos de cumplimiento
• Protección de la información
• Administrador de Information Protection
• Administrador de seguridad

Importante

Asegúrese de comprender la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa ; para ello, lea Unidades administrativas antes de empezar.

Roles y grupos de roles granulares

Hay roles y grupos de roles que puede usar para ajustar los controles de acceso.

Esta es una lista de los roles aplicables. Para obtener más información, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Administración de cumplimiento de DLP
• Administrador de Information Protection
• Analista de Information Protection
• Investigador de protección de información
• Lector de protección de información

Esta es una lista de los grupos de roles aplicables. Para más información, consulte Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Protección de la información
• Administradores de Information Protection
• Analistas de Information Protection
• Investigadores de Information Protection
• Lectores de Information Protection

Requisitos previos y supuestos

En Outlook para Microsoft 365 un elemento emergente de uso compartido excesivo muestra un elemento emergente antes de enviar un mensaje. Seleccione Mostrar sugerencia de directiva como cuadro de diálogo para el usuario antes de enviar la sugerencia de directiva al crear una regla DLP para la ubicación de Exchange. En este escenario se usa la etiqueta de confidencialidad altamente confidencial , por lo que requiere que haya creado y publicado etiquetas de confidencialidad. Para más información, vea:

• Información sobre las etiquetas de confidencialidad
• Introducción a las etiquetas de confidencialidad
• Crear y configurar etiquetas de confidencialidad y sus directivas

Este procedimiento usa un hipotético dominio de empresa en Contoso.com.

Asignación y intención de directiva

Es necesario bloquear los correos electrónicos a todos los destinatarios que tengan aplicada la etiqueta de confidencialidad "extremadamente confidencial", excepto si el dominio del destinatario está contoso.com. Queremos notificar al usuario en el envío con un diálogo emergente y no se puede permitir que nadie invalide el bloque.

Instrucción	Pregunta de configuración respondida y asignación de configuración
"Tenemos que bloquear los correos electrónicos a todos los destinatarios..."	- Dónde supervisar: Ámbito administrativo de Exchange- : acción de directorio - completo: restringir el acceso o cifrar el contenido en ubicaciones > de Microsoft 365 Impedir que los usuarios reciban correo electrónico o accedan a archivos > compartidos de SharePoint, OneDrive y Teams Bloquear a todos
"... que tienen aplicada la etiqueta de confidencialidad "altamente confidencial"..."	- Qué supervisar: use las condiciones de plantilla - personalizada para una coincidencia: edítela para agregar la etiqueta de confidencialidad altamente confidencial.
"... excepto si..."	Configuración del grupo de condiciones : cree un grupo de condición NOT booleano anidado unido a las primeras condiciones mediante un valor booleano AND
"... el dominio de destinatario está contoso.com."	Condición para la coincidencia: el dominio del destinatario es
"... Notificar..."	Notificaciones de usuario: habilitadas
"... el usuario al enviar con un cuadro de diálogo emergente..."	Sugerencias de directiva: se seleccionó - Mostrar sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar: seleccionado
"... y no se puede permitir que nadie invalide el bloque...	Permitir invalidaciones de M365 Services: no seleccionado

Para configurar elementos emergentes de uso compartido excesivo con texto predeterminado, la regla DLP debe incluir estas condiciones:

• El contenido contiene > etiquetas > de confidencialidad que eligen las etiquetas de confidencialidad.

y una condición basada en destinatarios

• El destinatario es
• El destinatario es un miembro de
• El dominio del destinatario es

Cuando se cumplen estas condiciones, la sugerencia de directiva muestra destinatarios que no son de confianza mientras el usuario escribe el correo en Outlook, antes de enviarlo.

Pasos para configurar "esperar al envío"

Opcionalmente, puede establecer la clave regkey dlpwaitonsendtimeout (valor en dword) en todos los dispositivos que quiera implementar "esperar al envío" para los elementos emergentes de uso compartido excesivo. Esta clave del Registro define la cantidad máxima de tiempo que debe contener el correo electrónico cuando el usuario selecciona Enviar. Esto permite que la evaluación de directivas DLP se complete para el contenido etiquetado o confidencial. Está en:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Puede establecer esta regkey a través de la directiva de grupo (especificar el tiempo de espera para evaluar el contenido confidencial), el script u otro mecanismo para configurar las claves del Registro.

Si usa directiva de grupo, asegúrese de haber descargado la versión más reciente de directiva de grupo archivos de plantilla administrativa para Aplicaciones Microsoft 365 para empresas y vaya a esta configuración desde Plantillas >> administrativas de configuración >> de usuario de Microsoft Office. Configuración de seguridad de 2016>>. Si usa el servicio de directivas en la nube para Microsoft 365, busque la configuración por nombre para configurarla.

Cuando se establece este valor y se configura la directiva DLP, los mensajes de correo electrónico se comprueban para obtener información confidencial antes de enviarlos. Si el mensaje contiene una coincidencia con las condiciones definidas en la directiva, aparece una notificación de sugerencia de directiva antes de que el usuario haga clic en Enviar.

Esta regkey le permite especificar el comportamiento de "esperar al envío" en los clientes de Outlook. Esto es lo que significa cada una de las configuraciones.

No configurado o deshabilitado: este es el valor predeterminado. Cuando dlpwaitonsendtimeout no está configurado, el mensaje no se comprueba antes de que el usuario lo envíe. El mensaje de correo electrónico se enviará sin pausa cuando se haga clic en Enviar . El servicio de clasificación de datos DLP evaluará el mensaje y aplicará las acciones definidas en la directiva DLP.

Habilitado: el mensaje de correo electrónico se comprueba cuando se hace clic en Enviar , pero antes de que el mensaje se envíe realmente. Puede establecer un límite de tiempo para esperar a que finalice la evaluación de directiva DLP (valor T en segundos). Si la evaluación de directivas no se completa en el tiempo especificado, aparece un botón Enviar de todos modos que permite al usuario omitir la comprobación de envío previo. El intervalo de valores T es de 0 a 9999 segundos.

Importante

Si el valor T es mayor que 9999, se reemplazará por 10000 y no aparecerá el botón Enviar de todos modos . Esto contiene el mensaje hasta que la evaluación de la directiva se complete sin ninguna opción para la invalidación del usuario. La duración para completar la evaluación puede variar en función de factores como la velocidad de Internet, la longitud del contenido y el número de directivas definidas. Algunos usuarios pueden encontrar mensajes de evaluación de directivas con más frecuencia que otros en función de las directivas que se implementen en su buzón.

Para obtener más información sobre cómo configurar y usar GPO, consulte Administración de directiva de grupo en un dominio administrado de Servicios de dominio de Microsoft Entra.

Pasos para crear una directiva DLP para un elemento emergente de uso compartido excesivo

Importante

Para los fines de este procedimiento de creación de directivas, aceptará los valores predeterminados de inclusión o exclusión y dejará la directiva desactivada. Los cambiará al implementar la directiva.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Iniciar sesión en lasdirectivas de prevención> de pérdida de datos del portal > de Microsoft Purview

2. Elija + Crear directiva.

3. Seleccione Personalizado en la lista Categorías .

4. Seleccione Personalizado en la lista Plantillas .

5. Asignar a la directiva un nombre.

   Importante

   No se puede cambiar el nombre de las directivas.

6. Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.

7. Seleccione Siguiente.

8. Seleccione Directorio completo en unidades Administración.

9. Establezca el estado de la ubicación del correo electrónico de Exchangeen Activado. Establezca el resto del estado de ubicación en Desactivado.

10. Seleccione Siguiente.

11. Acepte los valores predeterminados para Incluir = todo y Excluir = ninguno.

12. La opción Crear o personalizar reglas DLP avanzadas ya debe estar seleccionada.

13. Seleccione Siguiente.

14. Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.

15. Seleccione Agregar contenido de condición>que contenga>Agregar>etiquetas de confidencialidad>Extremadamente confidencial. Seleccione Agregar.

16. Seleccione Agregar grupo>Y>NO>Agregar condición.

17. Seleccione Dominio de destinatario contoso.com>. Seleccione Agregar.

    Sugerencia

    También puede usar Recipient is o Recipient is a member of instead of Recipient domain is to trigger an oversharing popup.

18. Seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.

19. Seleccione Bloquear que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams y elementos de Power BI.

20. Seleccione Bloquear a todos.

21. Establezca el botón de alternancia Notificaciones de usuarioen Activado.

22. Seleccione Sugerencias> dedirectiva Mostrar la sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar (disponible solo para la carga de trabajo de Exchange).

23. Si está seleccionada, desactive la opción Permitir invalidación desde servicios M365 .

24. Elija *Guardar.

25. Cambie el botón de alternancia Estado a Activado y, a continuación, elija Siguiente.

26. En la página Modo de directiva, seleccione Ejecutar la directiva en modo de prueba y active la casilla Mostrar sugerencias de directiva mientras está en modo de simulación .

27. Elija Siguiente y, a continuación, elija Enviar.

Portal de cumplimiento

1. Inicie sesión en la directiva de prevención de pérdida de datos portal de cumplimiento Microsoft Purview >Solutions>>>+ Crear.

2. Seleccione Personalizado en la lista Categorías .

3. Seleccione Personalizado en la lista Plantillas .

4. Asignar a la directiva un nombre.

   Importante

   No se puede cambiar el nombre de las directivas.

5. Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.

6. Seleccione Siguiente.

7. Seleccione Directorio completo en unidades Administración.

8. Establezca el estado de la ubicación del correo electrónico de Exchangeen Activado. Establezca el resto del estado de ubicación en Desactivado.

9. Seleccione Siguiente.

10. Acepte los valores predeterminados para Incluir = todo y Excluir = ninguno.

11. La opción Crear o personalizar reglas DLP avanzadas ya debe estar seleccionada.

12. Seleccione Siguiente.

13. Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.

14. Seleccione Agregar contenido de condición>que contenga>Agregar>etiquetas de confidencialidad>Extremadamente confidencial. Seleccione Agregar.

15. Seleccione Agregar grupo>Y>NO>Agregar condición.

16. Seleccione Dominio de destinatario contoso.com>. Seleccione Agregar.

    Sugerencia

    El destinatario es y recipient es miembro de también se puede usar en el paso anterior y desencadenará un elemento emergente de uso compartido excesivo.

17. Seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones> de Microsoft 365Restringir el acceso o cifrar el contenido en ubicaciones> de Microsoft 365Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams.>Bloquear a todos.

18. Establezca Notificaciones de usuarioen Activado.

19. Seleccione Sugerencias> dedirectiva Mostrar la sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar.

20. Asegúrese de que no esté seleccionada la opción Permitir invalidación de servicios M365.

21. Seleccione Guardar.

22. Elija Siguiente>Mantener fuera>siguiente>enviar.

Pasos de PowerShell para crear una directiva

Las directivas y reglas DLP también se pueden configurar en PowerShell. Para configurar elementos emergentes de uso compartido excesivo mediante PowerShell, primero cree una directiva DLP (mediante PowerShell) y agregue reglas DLP para cada tipo de elemento emergente de advertencia, justificación o bloque.

Configurará y limitará la directiva DLP mediante New-DlpCompliancePolicy. A continuación, configurará cada regla de uso compartido excesivo mediante New-DlpComplianceRule.

Para configurar una nueva directiva DLP para el escenario emergente de uso compartido excesivo, use este fragmento de código:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Esta directiva DLP de ejemplo se limita a todos los usuarios de la organización. Establezca el ámbito de las directivas DLP mediante -ExchangeSenderMemberOf y -ExchangeSenderMemberOfException.

Parámetro	Configuración
-ContentContainsSensitiveInformation	Configura una o varias condiciones de etiqueta de confidencialidad. Este ejemplo incluye uno. Al menos una etiqueta es obligatoria.
-ExceptIfRecipientDomainIs	Lista de dominios de confianza.
-NotifyAllowOverride	"WithJustification" habilita los botones de radio de justificación, "WithoutJustification" los deshabilita.
-NotifyOverrideRequirements	"WithAcknowledgement" habilita la nueva opción de confirmación. Es opcional.

Para configurar una nueva regla DLP para generar un elemento emergente de advertencia mediante dominios de confianza, ejecute este código de PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Para configurar una nueva regla DLP para generar un elemento emergente justificación mediante dominios de confianza, ejecute este código de PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Para configurar una nueva regla DLP para generar un elemento emergente de bloque mediante dominios de confianza, ejecute este código de PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Use estos procedimientos para acceder al encabezado X de justificación empresarial.

Vea también

• Introducción al panel alertas de prevención de pérdida de datos
• Creación e implementación de directivas de prevención de pérdida de datos