Introducción a las ventanas emergentes de uso compartido excesivo
Al configurar la directiva de prevención de pérdida de datos (DLP) de Microsoft Purview adecuada, DLP comprobará los mensajes de correo electrónico antes de que se envíen para obtener información etiquetada o confidencial y aplicará las acciones definidas en la directiva DLP. Esta característica requiere una suscripción a Microsoft 365 E5, junto con una versión de Outlook que la admita. Para identificar la versión mínima de Outlook necesaria, use la tabla de funcionalidades para Outlook y busque en la fila De prevención del uso compartido excesivo como sugerencia de directiva DLP .
Importante
A continuación se muestra un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Debe sustituir sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios al implementar esta característica.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de empezar
Licencias de SKU/suscripciones
Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.
Para obtener información sobre las licencias, vea Microsoft 365, Office 365, Enterprise Mobility + Security y Suscripciones de Windows 11 para empresas.
Permissions
La cuenta que use para crear e implementar directivas debe ser miembro de uno de los siguientes grupos de roles.
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Protección de la información
- Administrador de Information Protection
- Administrador de seguridad
Importante
Lea Unidades administrativas antes de empezar para asegurarse de comprender la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa.
Roles y grupos de roles pormenorizadas
Hay varios roles y grupos de roles que puede usar para ajustar los controles de acceso.
Esta es una lista de los roles aplicables. Para más información, consulte Permisos en el portal de cumplimiento de Microsoft Purview.
- Administración de cumplimiento de DLP
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento de Microsoft Purview.
- Protección de la información
- Administradores de Information Protection
- Analistas de Information Protection
- Investigadores de Information Protection
- Lectores de Information Protection
Requisitos previos y supuestos
En Outlook para Microsoft 365, un elemento emergente de uso compartido en exceso muestra un elemento emergente antes de enviar un mensaje. Para habilitar estos elementos emergentes, primero establezca el ámbito de la directiva en la ubicación de Exchange y, a continuación, seleccione la opción Mostrar sugerencia de directiva como cuadro de diálogo para el usuario antes de enviar en la sugerencia de directiva al crear una regla DLP para esa directiva.
En nuestro escenario de ejemplo se usa la etiqueta de confidencialidad altamente confidencial , por lo que requiere que haya creado y publicado etiquetas de confidencialidad. Para más información, vea:
- Información sobre las etiquetas de confidencialidad
- Introducción a las etiquetas de confidencialidad
- Crear y configurar etiquetas de confidencialidad y sus directivas
Este procedimiento usa contoso.com. un dominio hipotético de la empresa.
Asignación y intención de directiva
En este ejemplo, nuestra instrucción de intención de directiva es:
Debemos bloquear los correos electrónicos a todos los destinatarios que tengan aplicada la etiqueta de confidencialidad "extremadamente confidencial", a menos que el dominio del destinatario sea contoso.com. Queremos notificar al usuario con un diálogo emergente cuando envíe el correo electrónico. No se puede permitir que ningún usuario invalide el bloque.
| Instrucción | Pregunta de configuración respondida y asignación de configuración |
|---|---|
| "Tenemos que bloquear los correos electrónicos a todos los destinatarios..." | - Dónde supervisar: Ámbito administrativo de Exchange- : acción de directorio - completo: restringir el acceso o cifrar el contenido en ubicaciones > de Microsoft 365 Impedir que los usuarios reciban correo electrónico o accedan a archivos > compartidos de SharePoint, OneDrive y Teams Bloquear a todos |
| "... que tienen aplicada la etiqueta de confidencialidad "altamente confidencial"..." | - Qué supervisar: use las condiciones de plantilla - personalizada para una coincidencia: edítela para agregar la etiqueta de confidencialidad altamente confidencial. |
| "... a menos que..." | Configuración del grupo de condiciones : cree un grupo de condición NOT booleano anidado unido a las primeras condiciones mediante un valor booleano AND |
| "... el dominio de destinatario está contoso.com." | Condición para la coincidencia: el dominio del destinatario es |
| "... Notificar..." | Notificaciones de usuario: habilitadas |
| "... el usuario con un diálogo emergente cuando envía..." | Sugerencias de directiva: se seleccionó - Mostrar sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar: seleccionado |
| "... No se puede permitir que ningún usuario invalide el bloque... | Permitir invalidaciones de M365 Services: no seleccionado |
Para configurar elementos emergentes de uso compartido excesivo con texto predeterminado, la regla DLP debe incluir estas condiciones:
- El contenido contiene>Etiquetas de confidencialidad>elegir las etiquetas de confidencialidad
y una o varias de las siguientes condiciones basadas en destinatarios
- El destinatario es
- El destinatario es un miembro de
- El dominio del destinatario es
Cuando se cumplen estas condiciones, la sugerencia de directiva muestra destinatarios que no son de confianza mientras el usuario escribe el correo en Outlook, antes de enviarlo.
Pasos para configurar "esperar al envío"
Opcionalmente, puede establecer la clave regkey dlpwaitonsendtimeout (Value in dword) en todos los dispositivos donde quiera implementar "wait on send" para elementos emergentes de uso compartido excesivo. Esta clave del Registro (RegKey) define la cantidad máxima de tiempo para contener el correo electrónico cuando un usuario selecciona Enviar. Esto permite al sistema completar la evaluación de la directiva DLP para contenido etiquetado o confidencial. Puede encontrar esta regkey en:
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
Puede establecer esta regKey a través de la directiva de grupo (especificar el tiempo de espera para evaluar el contenido confidencial), el script u otro mecanismo para configurar las claves del Registro.
Si usa la directiva de grupo, asegúrese de haber descargado la versión más reciente de los archivos de plantilla administrativa de directiva de grupo para aplicaciones de Microsoft 365 para empresas y, a continuación, vaya a esta configuración desde Plantillas >> administrativas de configuración >> de usuario Configuración de seguridad de Microsoft Office 2016>>. Si usa el servicio de directivas en la nube para Microsoft 365, busque la configuración por nombre para configurarla.
Cuando se establece este valor y se configura la directiva DLP, los mensajes de correo electrónico se comprueban para obtener información confidencial antes de enviarlos. Si un mensaje contiene una coincidencia con las condiciones definidas en la directiva, aparece una notificación de sugerencia de directiva antes de que el usuario haga clic en Enviar.
Esta regkey le permite especificar el comportamiento de espera en el envío de los clientes de Outlook.
Esto es lo que significa cada una de las configuraciones:
No configurado o deshabilitado: este es el valor predeterminado. Cuando dlpwaitonsendtimeout no está configurado, el mensaje no se comprueba antes de que el usuario lo envíe. El mensaje de correo electrónico se enviará inmediatamente una vez que se haga clic en Enviar . El servicio de clasificación de datos DLP evaluará el mensaje y aplicará las acciones definidas en la directiva DLP.
Habilitado: el mensaje de correo electrónico se comprueba cuando se hace clic en Enviar , pero antes de que el mensaje se envíe realmente. Puede establecer un límite de tiempo para esperar a que se complete la evaluación de directiva DLP (valor T , en segundos). Si la evaluación de directivas no se completa en el tiempo especificado, aparece un botón Enviar de todos modos que permite al usuario omitir la comprobación de envío previo. El intervalo de valores T es de 0 a 9999 segundos.
Importante
Si el valor T es mayor que 9999, se reemplaza por 10000 y no aparece el botón Enviar de todos modos . Esto contiene el mensaje hasta que se complete la evaluación de directivas y no proporcione al usuario una opción de invalidación . La duración para completar la evaluación puede variar en función de factores como la velocidad de Internet, la longitud del contenido y el número de directivas definidas. Algunos usuarios pueden encontrar mensajes de evaluación de directivas con más frecuencia que otros, en función de las directivas que se implementan en su buzón de correo.
Para obtener más información sobre cómo configurar y usar GPO, consulte Administración de directivas de grupo en un dominio administrado de Microsoft Entra Domain Services.
Pasos para crear una directiva DLP para un elemento emergente de uso compartido excesivo
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte El portal de cumplimiento de Microsoft Purview.
Iniciar sesión en lasdirectivas de prevención> de pérdida de datos del portal > de Microsoft Purview
Elija + Crear directiva.
Seleccione Personalizado en la lista Categorías .
Seleccione Personalizado en la lista Reglamentos .
Asignar a la directiva un nombre.
Importante
No se puede cambiar el nombre de las directivas.
Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.
Seleccione Siguiente.
Seleccione Directorio completo en Unidades de administración.
Seleccione solo la ubicación del correo electrónico de Exchange .
Seleccione Siguiente.
En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas.
La opción Crear o personalizar reglas DLP avanzadas ya debe estar seleccionada.
Seleccione Siguiente.
Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.
Seleccione Agregar contenido de condición>que contenga>Agregar>etiquetas de confidencialidad>Extremadamente confidencial. Seleccione Agregar.
Seleccione Agregar grupo>Y>NO>Agregar condición.
Seleccione Dominio de destinatario contoso.com>. Seleccione Agregar.
Sugerencia
También puede usar Recipient is o Recipient is a member of instead of Recipient domain is to trigger an oversharing pop-up.
Seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.
Seleccione Bloquear que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams y elementos de Power BI.
Seleccione Bloquear a todos.
Establezca el botón de alternancia Notificaciones de usuarioen Activado.
Seleccione Sugerencias> dedirectiva Mostrar la sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar (disponible solo para la carga de trabajo de Exchange).
Si ya está seleccionado, desactive la opción Permitir invalidación desde servicios M365 .
Seleccione Guardar.
Cambie el botón de alternancia Estado a Activado y, a continuación, elija Siguiente.
En la página Modo de directiva, seleccione Ejecutar la directiva en modo de prueba y active la casilla Mostrar sugerencias de directiva mientras está en modo de simulación .
Elija Siguiente y, a continuación, elija Enviar.
Seleccione Listo.
Pasos de PowerShell para crear una directiva
Las directivas y reglas DLP también se pueden configurar en PowerShell. Para configurar el uso compartido excesivo de elementos emergentes mediante PowerShell, primero debe crear una directiva DLP (mediante PowerShell) y agregar reglas DLP para cada tipo emergente de advertencia, justificación o bloqueo.
Configurará y limitará la directiva DLP mediante New-DlpCompliancePolicy. A continuación, configurará cada regla de uso compartido excesivo mediante New-DlpComplianceRule.
Para configurar una nueva directiva DLP para el escenario emergente de uso compartido excesivo, use este fragmento de código:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
Esta directiva DLP de ejemplo se limita a todos los usuarios de la organización. Establezca el ámbito de las directivas DLP mediante -ExchangeSenderMemberOf y -ExchangeSenderMemberOfException.
| Parámetro | Configuración |
|---|---|
| -ContentContainsSensitiveInformation | Configura una o varias condiciones de etiqueta de confidencialidad. Este ejemplo incluye uno. Al menos una etiqueta es obligatoria. |
| -ExceptIfRecipientDomainIs | Lista de dominios de confianza. |
| -NotifyAllowOverride | "WithJustification" habilita los botones de radio de justificación, "WithoutJustification" los deshabilita. |
| -NotifyOverrideRequirements | "WithAcknowledgement" habilita la nueva opción de confirmación. Es opcional. |
Para configurar una nueva regla DLP para generar un elemento emergente de advertencia mediante dominios de confianza, ejecute el siguiente código de PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Para configurar una nueva regla DLP para generar una ventana emergente justificada mediante dominios de confianza, ejecute este código de PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
Para configurar una nueva regla DLP para generar un elemento emergente de bloque mediante dominios de confianza, ejecute este código de PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Use estos procedimientos para acceder al encabezado X de justificación empresarial.
Vea también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de