Introduzione alla condivisione eccessiva dei popup
Quando si configurano criteri di Prevenzione della perdita dei dati Microsoft Purview (DLP) appropriati, la prevenzione della perdita dei dati controlla i messaggi di posta elettronica prima che vengano inviati per eventuali informazioni etichettate o sensibili e applica le azioni definite nei criteri DLP.
L'oversharing popup è una funzionalità E5.
Importante
Si tratta di uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. È consigliabile sostituire i propri tipi di informazioni sensibili, le etichette di riservatezza, i gruppi di distribuzione e gli utenti.
Importante
Per identificare la versione minima di Outlook che supporta questa funzionalità, usare la tabella delle funzionalità per Outlook e la riga Prevenzione dell'oversharing come suggerimento per i criteri DLP.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Informazioni preliminari
Licenze per SKU/abbonamenti
Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.
Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.
È supportata la licenza AIP P2
Autorizzazioni
L'account usato per creare e distribuire i criteri deve essere membro di uno di questi gruppi di ruoli
- Amministratore di conformità
- Amministratore dati di conformità
- Azure Information Protection
- Amministratore di Information Protection
- Amministratore della sicurezza
Importante
Assicurarsi di comprendere la differenza tra un amministratore senza restrizioni e un amministratore con restrizioni di unità amministrative leggendo Le unità amministrative prima di iniziare.
Ruoli granulari e gruppi di ruoli
Esistono ruoli e gruppi di ruoli che è possibile usare per ottimizzare i controlli di accesso.
Ecco un elenco di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nella Portale di conformità di Microsoft Purview.
- Gestione della conformità DLP
- Amministratore di Information Protection
- Analista di Information Protection
- Investigatore di Information Protection
- Lettore di Information Protection
Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.
- Azure Information Protection
- Amministratori di Information Protection
- Analisti di Information Protection
- Investigatori di Information Protection
- Lettori di Information Protection
Prerequisiti e presupposti
In Outlook per Microsoft 365 un popup di condivisione eccessiva visualizza un popup prima dell'invio di un messaggio. Selezionare Mostra suggerimento per i criteri come finestra di dialogo per l'utente prima di inviare un suggerimento per i criteri durante la creazione di una regola DLP per il percorso di Exchange. Questo scenario usa l'etichetta Di riservatezza altamente riservata , pertanto è necessario che siano state create e pubblicate etichette di riservatezza. Per altre informazioni, vedere:
- Informazioni sulle etichette di riservatezza
- Iniziare a usare le etichette di riservatezza
- Creare e configurare etichette di riservatezza e i relativi criteri
Questa procedura usa un dominio aziendale ipotetico in Contoso.com.
Finalità e mapping dei criteri
È necessario bloccare i messaggi di posta elettronica a tutti i destinatari a cui è applicata l'etichetta di riservatezza "altamente riservato", tranne se il dominio del destinatario è contoso.com. Si vuole inviare una notifica all'utente con una finestra di dialogo popup e a nessuno può essere consentito di eseguire l'override del blocco.
| Istruzione | Risposta alla domanda di configurazione e mapping della configurazione |
|---|---|
| "Dobbiamo bloccare i messaggi di posta elettronica a tutti i destinatari..." | - Dove monitorare: Ambito amministrativo di Exchange- : Azione directory - completa: Limitare l'accesso o crittografare il contenuto nelle posizioni > di Microsoft 365 Impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file > condivisi di SharePoint, OneDrive e Teams Bloccare tutti |
| "... che hanno l'etichetta di riservatezza "altamente riservata" applicata..." | - Cosa monitorare: usare il modello - personalizzato Condizioni per una corrispondenza: modificarlo per aggiungere l'etichetta di riservatezza altamente riservata |
| "... tranne se..." | Configurazione del gruppo di condizioni: creare un gruppo di condizioni NOT booleano annidato unito alle prime condizioni usando un and booleano |
| "... il dominio del destinatario è contoso.com." | Condizione per la corrispondenza: il dominio del destinatario è |
| "... Notifica..." | Notifiche utente: abilitate |
| "... l'utente all'invio con un dialogo popup..." | Suggerimenti per i criteri: selezionata - Mostra suggerimento per i criteri come finestra di dialogo per l'utente finale prima dell'invio: selezionata |
| "... e nessuno può essere autorizzato a sostituire il blocco... | Consenti sostituzioni da M365 Services: non selezionato |
Per configurare l'oversharing dei popup con testo predefinito, la regola DLP deve includere queste condizioni:
- Il contenuto contiene > le etichette > di riservatezza scegliere le etichette di riservatezza
e una condizione basata sul destinatario
- Il destinatario è
- Il destinatario è un membro di
- Il dominio del destinatario è
Quando queste condizioni vengono soddisfatte, il suggerimento per i criteri visualizza i destinatari non attendibili mentre l'utente scrive il messaggio in Outlook, prima che venga inviato.
Passaggi per configurare "wait on send"
Facoltativamente, è possibile impostare la chiave Regkey dlpwaitonsendtimeout (Valore in dword) in tutti i dispositivi che si desidera implementare "wait on send" per la condivisione eccessiva dei popup. Questa chiave del Registro di sistema definisce la quantità massima di tempo per contenere il messaggio di posta elettronica quando l'utente seleziona Invia. In questo modo è possibile completare la valutazione dei criteri DLP per il contenuto etichettato o sensibile. Si trova in:
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
È possibile impostare questo RegKey tramite criteri di gruppo (specificare il tempo di attesa per valutare il contenuto sensibile), script o altro meccanismo per la configurazione delle chiavi del Registro di sistema.
Se si usa Criteri di gruppo, assicurarsi di aver scaricato la versione più recente di Criteri di gruppo file di modelli amministrativi per Microsoft 365 Apps for enterprise e passare a questa impostazione da Modelli >> amministrativi di configurazione >> utente Sicurezza di Microsoft Office 2016 >> Impostazioni. Se si usa il servizio Criteri cloud per Microsoft 365, cercare l'impostazione per nome per configurarla.
Quando questo valore è impostato e i criteri DLP sono configurati, i messaggi di posta elettronica vengono controllati per le informazioni riservate prima che vengano inviati. Se il messaggio contiene una corrispondenza con le condizioni definite nei criteri, viene visualizzata una notifica di suggerimento per i criteri prima che l'utente fa clic su Invia.If the message contains a match to the conditions defined in the policy, a policy tip notification appears before the user clicks Send..
Questo RegKey consente di specificare il comportamento "wait on send" nei client Di Outlook. Ecco il significato di ognuna delle impostazioni.
Non configurato o disabilitato: impostazione predefinita. Quando dlpwaitonsendtimeout non è configurato, il messaggio non viene controllato prima che l'utente lo invii. Il messaggio di posta elettronica verrà inviato senza pause quando si fa clic su Invia . Il servizio di classificazione dei dati DLP valuterà il messaggio e applicherà le azioni definite nei criteri DLP.
Abilitato: il messaggio di posta elettronica viene selezionato quando si fa clic su Invia , ma prima che il messaggio venga effettivamente inviato. È possibile impostare un limite di tempo per l'attesa del completamento della valutazione dei criteri DLP (valore T in secondi). Se la valutazione dei criteri non viene completata nell'ora specificata, viene visualizzato un pulsante Invia comunque che consente all'utente di ignorare il controllo presend. L'intervallo di valori T è compreso tra 0 e 9999 secondi.
Importante
Se il valore T è maggiore di 9999, verrà sostituito con 10000 e il pulsante Invia comunque non verrà visualizzato. Il messaggio viene omesso finché l'evaluzione dei criteri non viene completata senza alcuna opzione per l'override dell'utente. La durata del completamento della valutazione può variare a seconda di fattori quali la velocità internet, la lunghezza del contenuto e il numero di criteri definiti. Alcuni utenti possono riscontrare messaggi di valutazione dei criteri più frequentemente rispetto ad altri a seconda dei criteri distribuiti nella cassetta postale.
Per altre informazioni sulla configurazione e sull'uso dell'oggetto Criteri di gruppo, vedere Amministrare Criteri di gruppo in un dominio gestito Microsoft Entra Domain Services.
Passaggi per creare criteri di prevenzione della perdita dei dati per una condivisione eccessiva
Importante
Ai fini di questa procedura di creazione dei criteri, si accetteranno i valori predefiniti di inclusione/esclusione e si lascerà disattivato il criterio. Queste modifiche verranno apportate quando si distribuiscono i criteri.
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Accedere al portale >di Microsoft PurviewCriteri di prevenzione> della perdita dei dati
Scegliere + Crea criterio.
Selezionare Personalizzato dall'elenco Categorie .
Selezionare Personalizzato dall'elenco Modelli .
Assegnare un nome al criterio.
Importante
I criteri non possono essere rinominati.
Compilare una descrizione. È possibile usare l'istruzione finalità dei criteri qui.
Seleziona Avanti.
Selezionare Directory completa in unità di Amministrazione.
Impostare lo stato del percorso di posta elettronica di Exchangesu Sì. Impostare tutti gli altri stati della posizione su Disattivato.
Seleziona Avanti.
Accettare i valori predefiniti per Includi = tutto ed Escludi = nessuno.
L'opzione Crea o personalizza regole DLP avanzate deve essere già selezionata.
Seleziona Avanti.
Selezionare Crea regola. Assegnare alla regola il nome e specificare una descrizione.
Selezionare Add conditionContent containsAdd Sensitivity labels Highly confidential (Aggiungi contenuto condizione> contenente >l'aggiunta>di etichette> diriservatezza altamente riservate). Scegliere Aggiungi.
Selezionare Aggiungi gruppo>E>NON>Aggiungi condizione.
Selezionare Dominio destinatario contoso.com>. Scegliere Aggiungi.
Consiglio
È anche possibile usare Destinatario è o Destinatario è un membro di invece di Dominio destinatario è per attivare un popup oversharing.
Selezionare Aggiungi un'azione>Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365.
Selezionare Blocca agli utenti la ricezione di posta elettronica o l'accesso ai file condivisi di SharePoint, OneDrive e Teams e agli elementi di Power BI.
Selezionare Blocca tutti.
Impostare l'interruttore Notifiche utente su Attivato.
Selezionare Suggerimentiper i criteri >Mostra il suggerimento per i criteri come finestra di dialogo per l'utente finale prima dell'invio (disponibile solo per il carico di lavoro di Exchange).
Se selezionata, deselezionare l'opzione Consenti override dai servizi M365 .
Scegliere *Salva.
Modificare l'interruttore Stato su Sì e quindi scegliere Avanti.
Nella pagina Modalità criteri selezionare Esegui i criteri in modalità test e selezionare la casella per l'opzione Mostra suggerimenti per i criteri in modalità di simulazione .
Scegliere Avanti e quindi Invia.
Passaggi di PowerShell per creare criteri
I criteri e le regole DLP possono essere configurati anche in PowerShell. Per configurare i popup di oversharing tramite PowerShell, creare innanzitutto un criterio DLP (usando PowerShell) e aggiungere regole DLP per ogni tipo popup di avviso, giustificazione o blocco.
È possibile configurare e definire l'ambito dei criteri DLP usando New-DlpCompliancePolicy. Si configurerà quindi ogni regola di oversharing usando New-DlpComplianceRule
Per configurare un nuovo criterio DLP per lo scenario popup di oversharing, usare questo frammento di codice:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
Questo criterio di prevenzione della perdita dei dati di esempio è limitato a tutti gli utenti dell'organizzazione. Definire l'ambito dei criteri di prevenzione della perdita dei dati usando -ExchangeSenderMemberOf e -ExchangeSenderMemberOfException.
| Parametro | Configurazione |
|---|---|
| -ContentContainsSensitiveInformation | Configura una o più condizioni dell'etichetta di riservatezza. Questo esempio ne include uno. Almeno un'etichetta è obbligatoria. |
| -ExceptIfRecipientDomainIs | Elenco di domini attendibili. |
| -NotifyAllowOverride | "WithJustification" abilita i pulsanti di opzione di giustificazione, "WithoutJustification" li disabilita. |
| -NotifyOverrideRequirements | "WithAcknowledgement" abilita la nuova opzione di riconoscimento. Passaggio facoltativo. |
Per configurare una nuova regola DLP per generare un popup di avviso usando domini attendibili, eseguire questo codice di PowerShell.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Per configurare una nuova regola DLP per generare un popup giustificando l'uso di domini attendibili, eseguire questo codice di PowerShell.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
Per configurare una nuova regola DLP per generare un popup di blocco usando domini attendibili, eseguire questo codice di PowerShell.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Usare queste procedure per accedere all'intestazione X-Header della giustificazione aziendale.
Vedere anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per