Compartir a través de


Impedir el acceso de invitado a los archivos mientras se aplican las reglas DLP

Cuando se agregan nuevos archivos a SharePoint o OneDrive en Microsoft 365, la directiva de prevención de pérdida de datos (DLP) de Microsoft Purview examina el contenido y aplica reglas para ayudar a proteger el contenido confidencial. Si el uso compartido externo está activado, los invitados podrían compartir y acceder a contenido confidencial antes de que la regla DLP termine de procesarse.

En lugar de desactivar completamente el uso compartido externo, puede marcar los archivos de su organización como confidenciales de forma predeterminada. Esto bloquea el acceso de invitado al nuevo contenido hasta que se examina el contenido confidencial y se aplican directivas DLP que incluyen condiciones basadas en contenido. Se notifica a los invitados que el archivo se está analizando si intentan acceder a él durante este tiempo.

Una vez que se rastrea un archivo y no se detecta ningún contenido que bloquee el uso compartido por reglas DLP, los invitados pueden acceder al archivo. Si la directiva identifica contenido confidencial en el documento que coincide con las reglas DLP, se aplica el comportamiento normal definido por esas reglas DLP.

Esta característica no bloquea el acceso a un archivo si:

  • el contenido ya se ha rastreado y no se encontró ningún contenido confidencial que coincida con las condiciones de las reglas DLP,
  • o si el archivo tiene propiedades que coinciden con las exenciones de las reglas DLP que permiten compartirlo.

Esta característica se aplica a los archivos recién agregados en SharePoint y OneDrive. No bloquea el uso compartido si se cambia un archivo existente.

Las reglas DLP son necesarias para que el contenido se comparta con invitados

Cuando esta característica está habilitada, se impide el acceso externo a cualquier contenido que no esté protegido explícitamente en una directiva DLP. En otras palabras, para que el contenido se pueda compartir externamente, debe estar en una ubicación cubierta por una directiva DLP y las directivas de esa ubicación deben determinar, una vez rastreado e identificado el contenido, que el archivo no coincide con ninguna regla que impida que se comparta. Esto ayuda a evitar que los usuarios filtren archivos confidenciales colocándolos en una ubicación no cubierta por las directivas DLP.

Si quiere trabajar con el principio de que solo las ubicaciones marcadas explícitamente por DLP se pueden compartir externamente, no es necesario realizar ninguna otra acción.

Si desea habilitar el uso compartido externo en ubicaciones no cubiertas actualmente por directivas DLP, puede crear una regla DLP que incluya todas las ubicaciones de SharePoint y OneDrive que contengan al menos una regla con la condición "content contains" (para cualquier contenido) y que no realice ninguna acción (como limitar o bloquear el contenido), desencadenar alertas, o genera notificaciones o informes. Esta directiva debe moverse a la parte superior de la lista y no tener establecida la opción detener el procesamiento de más reglas , por lo que solo es eficaz para el contenido que no coincide con ninguna otra regla DLP. Como resultado de esta regla, se permitirá el uso compartido externo de cualquier archivo en cualquier ubicación que no coincida con otras reglas DLP.

Para obtener información sobre cómo crear una regla DLP, vea Aprenda a crear y activar una directiva DLP.

Marcar archivos como confidenciales de forma predeterminada

Esta característica se configura mediante PowerShell.

  1. Descargue el Shell de administración de SharePoint Online más reciente.

    Nota:

    Si instaló una versión anterior del Shell de administración de SharePoint Online, vaya a Agregar o quitar programas y desinstale "Shell de administración de SharePoint Online".

  2. Conéctese a SharePoint como administrador de SharePoint o superior en Microsoft 365. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.

  3. Ejecute el siguiente comando:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing 
    

    Para deshabilitar esta característica, ejecute el siguiente comando:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
    

Nota:

Esta nueva configuración puede tardar hasta 60 minutos en surtir efecto.