Informazioni di riferimento per i criteri di prevenzione della perdita dei dati

I criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) hanno molti componenti da configurare. Per creare un criterio efficace, è necessario comprendere qual è lo scopo di ogni componente e in che modo la relativa configurazione modifica il comportamento dei criteri. Questo articolo fornisce un'anatomia dettagliata di un criterio DLP.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:

1. Unità amministrative
2. Informazioni su Prevenzione della perdita dei dati Microsoft Purview: l'articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati
3. Pianificare la prevenzione della perdita dei dati ( DLP) : seguendo questo articolo:
   1. Identificare gli stakeholder
   2. Descrivere le categorie di informazioni riservate da proteggere
   3. Impostare obiettivi e strategia
4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo che si sta leggendo introduce ora tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio
5. Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
6. Create e Distribuire i criteri di prevenzione della perdita dei dati: questo articolo presenta alcuni scenari di finalità comuni dei criteri di cui verrà eseguito il mapping alle opzioni di configurazione. Viene inoltre illustrata la configurazione di tali opzioni.
7. Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati : questo articolo illustra il ciclo di vita degli avvisi dalla creazione, fino alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.

È inoltre necessario tenere presente i vincoli seguenti della piattaforma:

• Numero massimo di criteri MIP + MIG in un tenant: 10.000
• Dimensioni massime di un criterio DLP (100 KB)
• Numero massimo di regole DLP:
  • In un criterio: limitato dalle dimensioni dei criteri
  • In un tenant: 600
• Dimensioni massime di una singola regola DLP: 100 KB (102.400 caratteri)
• Limite di prove GIR: 100, con ogni evidenza SIT, in percentuale di occorrenza
• Dimensione massima del testo che può essere estratto da un file per l'analisi: 2 MB
• Limite di dimensioni regex per tutte le corrispondenze previste: 20 KB
• Limite di lunghezza dei nomi dei criteri: 64 caratteri
• Limite di lunghezza delle regole dei criteri: 64 caratteri
• Limite di lunghezza dei commenti: 1024 caratteri
• Limite di lunghezza della descrizione: 1024 caratteri

Modelli dei criteri

I modelli di criteri DLP sono ordinati in quattro categorie:

• criteri in grado di rilevare e proteggere i tipi di informazioni finanziarie .
• politiche in grado di rilevare e proteggere i tipi di informazioni mediche e sanitarie .
• criteri in grado di rilevare e proteggere i tipi di informazioni sulla privacy .
• Modello di criteri personalizzati che è possibile usare per creare criteri personalizzati se nessuno degli altri soddisfa le esigenze dell'organizzazione.

Nella tabella seguente sono elencati tutti i modelli di criteri e i tipi di informazioni riservate (SIT) trattati.

Categoria	Modello	SEDERSI
Finanza	Dati finanziari Australia	- Codice - SWIFTNumero di file fiscale australia - Numero - di conto bancario australiaNumero carta di credito
Finanza	Dati finanziari del Canada	- Numero - carta di creditoNumero di conto corrente bancario canada
Finanza	Dati finanziari francia	- Numero - carta di creditoNumero di carta di debito DELL'UE
Finanza	Dati finanziari Germania	- Numero - carta di creditoNumero di carta di debito DELL'UE
Finanza	Dati finanziari Israele	- Numero - di conto bancario israeleCodice - SWIFTNumero carta di credito
Finanza	Dati finanziari Giappone	- Numero - di conto bancario giapponeNumero carta di credito
Finanza	PCI Data Security Standard (PCI DSS)	- Numero carta di credito
Finanza	Legge sulla criminalità anti-cibernetica in Arabia Saudita	- Codice - SWIFTNumero di conto bancario internazionale (IBAN)
Finanza	Dati finanziari Arabia Saudita	- Numero - carta di creditoCodice - SWIFTNumero di conto bancario internazionale (IBAN)
Finanza	Dati finanziari del Regno Unito	- Numero - carta di creditoNumero - di carta di debito DELL'UECodice SWIFT
Finanza	Dati finanziari degli Stati Uniti	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiNumero di routing ABA
Finanza	U.S. Federal Trade Commission (FTC) Consumer Rules	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiNumero di routing ABA
Finanza	U.S. Gramm-Leach-Bliley Act (GLBA) Enhanced	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiU.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN) - Numero - di passaporto U.S./U.K.Numero - di patente di guida statunitenseTutti i nomi - completiIndirizzi fisici degli Stati Uniti
Finanza	U.S. Gramm-Leach-Bliley Act (GLBA)	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiU.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN)
Strutture sanitarie	Australia Health Records Act (HRIP Act) Migliorato	- Numero di file fiscale australia - Numero dell'account medico australia - Tutti i nomi - completiTutti i termini e le condizioni - medicheIndirizzi fisici dell'Australia
Strutture sanitarie	Australia Health Records Act (HRIP Act)	- Numero di file fiscale australia - Numero dell'account medico australia
Strutture sanitarie	Canada Health Information Act (HIA)	- Numero di - passaporto canadaNumero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Strutture sanitarie	Canada Personal Health Information Act (PHIA) Manitoba	- Numero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Strutture sanitarie	Canada Personal Health Act (PHIPA) Ontario	- Numero di - passaporto canadaNumero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Strutture sanitarie	U.K. Access to Medical Reports Act	- Numero - del servizio sanitario nazionale del Regno UnitoNumero di assicurazione nazionale del Regno Unito (NINO)
Strutture sanitarie	U.S. Health Insurance Act (HIPAA) Enhanced	- Classificazione internazionale delle malattie (ICD-9-CM) - Classificazione internazionale delle malattie (ICD-10-CM) - Tutti i nomi - completiTutti i termini e le condizioni - medicheIndirizzi fisici degli Stati Uniti
Strutture sanitarie	U.S. Health Insurance Act (HIPAA)	- Classificazione internazionale delle malattie (ICD-9-CM) - Classificazione internazionale delle malattie (ICD-10-CM)
Privacy	Australia Privacy Act migliorato	- Numero - di patente di guida australianoNumero di passaporto australia - Tutti i nomi - completiTutti i termini e le condizioni - medicheIndirizzi fisici dell'Australia
Privacy	Legge sulla privacy in Australia	- Numero di patente di guida australiano - Numero di passaporto australia
Privacy	Dati di identificazione personale (PII) in Australia	- Numero di file fiscale australia - Numero di patente di guida australiano
Privacy	Dati di identificazione personale (PII) in Canada	- Numero - di patente di guida canadaNumero - di conto corrente bancario canadaNumero di - passaporto canadaNumero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Privacy	Canada Personal Information Protection Act (PIPA)	- Numero di - passaporto canadaNumero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Privacy	Canada Personal Information Protection Act (PIPEDA)	- Numero - di patente di guida canadaNumero - di conto corrente bancario canadaNumero di - passaporto canadaNumero dell'assicurazione - sociale canadeseNumero - del servizio sanitario canadaCanada Personal Health Identification Number
Privacy	France Data Protection Act	- Carta d'identità nazionale francese (CNI) - Numero di previdenza sociale francese (INSEE)
Privacy	Dati di identificazione personale (PII) in Francia	- Numero di previdenza sociale francese (INSEE) - Numero - di patente franceseNumero di passaporto francia - Carta d'identità nazionale francese (CNI)
Privacy	Regolamento generale sulla protezione dei dati (GDPR) migliorato	- Indirizzi fisici Austria - Indirizzi - fisici del BelgioIndirizzi - fisici bulgariaIndirizzi - fisici della CroaziaIndirizzi fisici di - CiproIndirizzi - fisici della Repubblica CecaIndirizzi fisici della - DanimarcaIndirizzi - fisici dell'EstoniaIndirizzi - fisici della FinlandiaIndirizzi fisici francia - Indirizzi - fisici germaniaIndirizzi fisici della - GreciaIndirizzi - fisici dell'UngheriaIndirizzi fisici dell'Irlanda - Indirizzi fisici italia - Indirizzi - fisici della LettoniaIndirizzi - fisici lituaniIndirizzi - fisici del LussemburgoIndirizzi fisici di - MaltaIndirizzi - fisici dei Paesi BassiIndirizzi - fisici poloniaIndirizzi - fisici portoghesiIndirizzi - fisici romaniaIndirizzi - fisici della SlovacchiaIndirizzi - fisici della SloveniaIndirizzi - fisici della SpagnaIndirizzi - fisici sveziaAustria Social Security Number - Numero di previdenza sociale francese (INSEE) - Grecia - Numero di previdenza sociale (AMKA) - Numero di previdenza sociale ungherese (TAJ) - Spagna Numero di previdenza sociale (SSN) - Carta d'identità austriache - Carta - d'identità di CiproNumero di carta d'identità germania - Numero - carta di identità MaltaCarta d'identità nazionale francese (CNI) - Carta - d'identità nazionale della GreciaId - nazionale finlandiaID nazionale polonia (PESEL) - Id - nazionale sveziaNumero - di identificazione personale (OIB) della CroaziaNumero - di identità personale cecoNumero di identificazione personale della - DanimarcaCodice - di identificazione personale dell'EstoniaNumero - di identificazione personale dell'UngheriaPersone fisiche - del numero di identificazione nazionale di LussemburgoNumero di identificazione nazionale di Lussemburgo (persone non fisiche) - Codice fiscale italia - Codice - personale della LettoniaCodice - personale della LituaniaCodice numerico personale della Romania (CNP) - Numero - del servizio cittadino (BSN) dei Paesi BassiNumero - del servizio pubblico personale (PPS) dell'IrlandaBulgaria Uniform Civil Number - Belgio Numero - nazionaleSpagna DNI - Numero - di cittadino master univoco della SloveniaNumero - personale della SlovacchiaPortugal Citizen Card Number - Numero - id imposta di MaltaAustria - Numero - di identificazione fiscaleNumero -di identificazione fiscale di CiproFrance Tax Identification Number (numéro SPI.) - Numero di identificazione fiscale germania - Numero - di identificazione fiscale grecoNumero - di identificazione fiscale per l'UngheriaNumero - di identificazione fiscale dei Paesi BassiNumero di identificazione fiscale polonia - Numero di identificazione fiscale per - il PortogalloNumero - di identificazione fiscale della SloveniaNumero - di identificazione fiscale spagnaSvezia - Numero - di identificazione fiscalePatente di guida austriache - Numero - di patente di guida del BelgioNumero - di patente di guida bulgariaNumero - di patente di guida della CroaziaNumero - di patente di guida di CiproNumero - di patente di guida cecoNumero - di patente di guida della DanimarcaNumero - di patente di guida dell'EstoniaNumero - di patente di guida della FinlandiaFrance Driver's License Number - Numero - di patente di guida tedescoNumero - di patente di guida della GreciaNumero - di patente di guida dell'UngheriaNumero - di patente di guida per l'IrlandaNumero - di patente di guida italiaNumero - di patente di guida lettoneNumero - di patente di guida della LituaniaNumero - di patente di guida di LuxemburgNumero - di patente di guida di MaltaNumero - di patente olandeseNumero - di patente di guida poloniaNumero - di patente di guida del PortogalloNumero - di patente di guida della RomaniaNumero - di patente di guida della SlovacchiaNumero - di patente di guida della SloveniaNumero - di patente di guida della SpagnaNumero - di patente di guida svedeseAustria Passport Number - Numero di passaporto del - BelgioNumero di passaporto bulgaria - Numero di - passaporto CroaziaNumero di passaporto di - CiproNumero - di passaporto repubblica cecaNumero di passaporto della - DanimarcaNumero di - passaporto dell'EstoniaNumero di passaporto della - FinlandiaNumero di passaporto francia - Numero - di passaporto tedescoNumero di passaporto grecia - Numero - di passaporto ungheriaNumero di passaporto per - l'IrlandaNumero di passaporto italia - Numero - di passaporto lettoneNumero - di passaporto lituaniaNumero - di passaporto di LuxemburgMalta Passport Number - Numero - di passaporto dei Paesi BassiPassaporto polonia - Numero di passaporto portogallo - Romania Numero di - passaportoNumero - di passaporto della SlovacchiaNumero - di passaporto sloveniaNumero - di passaporto spagnaSvezia Numero di - passaportoNumero - carta di debito UETutti i nomi completi
Privacy	Regolamento generale sulla protezione dei dati (GDPR)	- Numero - di carta di debito DELL'UENumero - di patente di guida dell'UENumero - di identificazione nazionale dell'UENumero di - passaporto DELL'UENumero di previdenza sociale dell'UE o identificazione - equivalenteNumero di identificazione fiscale dell'UE
Privacy	Dati di identificazione personale (PII) in Germania	- Numero - di patente di guida germaniaNumero di passaporto germania
Privacy	Dati di identificazione personale (PII) in Israele	- Numero di identificazione nazionale di Israele
Privacy	Tutela della Privacy in Israele	- Numero - di identificazione nazionale di IsraeleNumero di conto bancario israele
Privacy	Dati personali (PII) del Giappone migliorati	- Japan Social Insurance Number (SIN) - Japan My Number - Personal - Numero di passaporto giappone - Numero - di patente di guida giapponeseTutti i nomi - completiIndirizzi fisici del Giappone
Privacy	Dati di identificazione personale (PII) in Giappone	- Numero di - registrazione dei residenti in GiapponeJapan Social Insurance Number (SIN)
Privacy	Giappone Protezione delle informazioni personali migliorata	- Japan Social Insurance Number (SIN) - Japan My Number - Personal - Numero di passaporto giappone - Numero - di patente di guida giapponeseTutti i nomi - completiIndirizzi fisici del Giappone
Privacy	Protezione dei dati personali in Giappone	- Numero di - registrazione dei residenti in GiapponeJapan Social Insurance Number (SIN)
Privacy	Dati personali dell'Arabia Saudita	- ID nazionale dell'Arabia Saudita
Privacy	U.K. Data Protection Act	- Numero di assicurazione nazionale del Regno Unito (NINO) - Numero - di passaporto U.S./U.K.Codice SWIFT
Privacy	U.K. Privacy and Electronic Communications Regulations	- Codice SWIFT
Privacy	Dati di identificazione personale (PII) Regno Unito	- Numero di assicurazione nazionale del Regno Unito (NINO) - Numero di passaporto U.S./U.K.
Privacy	U.K. Personal Information Online Code of Practice (PIOCP)	- Numero di assicurazione nazionale del Regno Unito (NINO) - Numero - del servizio sanitario nazionale del Regno UnitoCodice SWIFT
Privacy	U.S Patriot Act Migliorato	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiU.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN) - Tutti i nomi - completiIndirizzi fisici degli Stati Uniti
Privacy	U.S. Patriot Act	- Numero - carta di creditoNumero - di conto corrente bancario degli Stati UnitiU.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN)
Privacy	Dati delle informazioni personali (PII) degli Stati Uniti migliorati	- U.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN) - Numero - di passaporto U.S./U.K.Tutti i nomi - completiIndirizzi fisici degli Stati Uniti
Privacy	Dati di identificazione personale (PII) Stati Uniti	- U.S. Individual Taxpayer Identification Number (ITIN) - Numero di previdenza sociale degli Stati Uniti (SSN) - Numero di passaporto U.S./U.K.
Privacy	Leggi sulla notifica delle violazioni dello stato degli Stati Uniti migliorate	- Numero - carta di creditoNumero -di conto corrente bancario degli Stati UnitiNumero - di patente di guida statunitenseNumero di previdenza sociale degli Stati Uniti (SSN) - Tutti i nomi - completiNumero - di passaporto U.S./U.K.Tutti i termini e le condizioni mediche
Privacy	U.S. State Breach Notification Laws	- Numero - carta di creditoNumero -di conto corrente bancario degli Stati UnitiNumero - di patente di guida statunitenseNumero di previdenza sociale degli Stati Uniti (SSN)
Privacy	U.S. State Social Security Number Confidentiality Laws	- Numero di previdenza sociale degli Stati Uniti (SSN)

Definizione dell'ambito dei criteri

Vedere Unità amministrative per assicurarsi di comprendere la differenza tra un amministratore senza restrizioni e un amministratore con restrizioni dell'unità amministrativa.

L'ambito dei criteri di prevenzione della perdita dei dati è di due livelli diversi. Il primo livello applica criteri di ambito amministratore senza restrizioni a tutti:

• Gli utenti
• Gruppi
• gruppi di distribuzione
• account
• siti
• istanze di app cloud
• repository locali
• Aree di lavoro di Power BI

nell'organizzazione (a seconda delle posizioni selezionate) o ai sottogruppi dell'organizzazione denominati criteri con restrizioni dell'unità amministrativa.

A questo livello, un amministratore con restrizioni dell'unità amministrativa sarà in grado di selezionare solo le unità amministrative a cui è assegnato.

Il secondo livello dell'ambito dei criteri DLP è costituito dalle posizioni supportate dalla prevenzione della perdita dei dati. A questo livello, sia gli amministratori con restrizioni di unità senza restrizioni che gli amministratori delle unità amministrative vedranno solo gli utenti, i gruppi di distribuzione, i gruppi e gli account inclusi nel primo livello di ambito dei criteri e che sono disponibili per tale posizione.

Criteri senza restrizioni

I criteri senza restrizioni vengono creati e gestiti dagli utenti in questi gruppi di ruoli:

• Amministratore di conformità
• Amministratore dati di conformità
• Azure Information Protection
• Amministratore di Information Protection
• Amministratore della sicurezza

Per altri dettagli, vedere Autorizzazioni .

Gli amministratori senza restrizioni possono gestire tutti i criteri e visualizzare tutti gli avvisi e gli eventi che derivano dalle corrispondenze dei criteri nel dashboard Avvisi e in Esplora attività DLP.

Criteri con restrizioni dell'unità amministrativa

Le unità amministrative sono subset dei Microsoft Entra ID e vengono create ai fini della gestione di raccolte di utenti, gruppi, gruppi di distribuzione e account. Queste raccolte vengono in genere create in base a linee di gruppo di business o aree geopolitiche. Le unità amministrative hanno un amministratore delegato associato a un'unità amministrativa nel gruppo di ruoli. Questi sono chiamati amministratori con restrizioni dell'unità amministrativa.

La prevenzione della perdita dei dati supporta l'associazione di criteri alle unità amministrative. Per informazioni dettagliate sull'implementazione nel Portale di conformità di Microsoft Purview, vedere Unità amministrative. Gli amministratori delle unità amministrative devono essere assegnati a uno degli stessi ruoli o gruppi di ruoli degli amministratori dei criteri DLP senza restrizioni per creare e gestire i criteri DLP per la propria unità amministrativa

Gruppo di ruoli amministrativi DLP	Potere
Amministratore senza restrizioni	- creare e definire l'ambito dei criteri DLP per l'intera organizzazione - modificare tutti i criteri di prevenzione della perdita dei dati - creare e definire l'ambito dei criteri di prevenzione della perdita dei dati nelle unità amministrative - visualizzare tutti gli avvisi e gli eventi di tutti i criteri DLP
Amministratore con restrizioni dell'unità amministrativa: deve essere membro o assegnato a un gruppo di ruoli o a un ruolo in grado di amministrare la prevenzione della perdita dei dati	- Creare e definire l'ambito dei criteri DLP solo per l'unità amministrativa a cui sono assegnati - modificare i criteri DLP associati all'unità amministrativa - visualizzare avvisi ed eventi solo dai criteri DLP con ambito per l'unità amministrativa

Posizioni

Un criterio DLP può trovare e proteggere gli elementi che contengono informazioni riservate in più posizioni.

Posizione	Supporta le unità amministrative	Includere/escludere l'ambito	Stato dati	Prerequisiti aggiuntivi
Exchange Online	Sì	- Gruppi di distribuzione - Gruppi di sicurezza - Gruppi di sicurezza non abilitati per la posta elettronica - Liste di distribuzione dinamiche - Gruppi di Microsoft 365 (solo membri del gruppo, non gruppo come entità)	data-in-motion	No
SharePoint Online	No	Siti	data-at-rest data-in-use	No
OneDrive	Sì	- Gruppi di distribuzione - Gruppi di sicurezza - Gruppi di sicurezza non abilitati per la posta elettronica - Gruppi di Microsoft 365 (solo membri del gruppo, non gruppo come entità)	data-at-rest data-in-use	No
Messaggi di chat e canali di Teams	Sì	- Gruppi di distribuzione - Gruppi di sicurezza - Gruppi di sicurezza abilitati alla posta elettronica - Gruppi di Microsoft 365 (solo membri del gruppo, non gruppo come entità)	data-in-motion data-in-use	Vedere Ambito della protezione DLP
Istanze	No	Istanza dell'app cloud	data-at-rest	- Usare i criteri di prevenzione della perdita dei dati per le app cloud non Microsoft
Dispositivi	Sì	- Gruppi di distribuzione - Gruppi di sicurezza - Gruppi di sicurezza non abilitati per la posta elettronica - Gruppi di Microsoft 365 (solo membri del gruppo, non gruppo come entità)	data-in-use data-in-motion	- Informazioni sulla prevenzione - della perdita di dati degli endpointIntroduzione alla prevenzione - della perdita di dati degli endpointConfigurare le impostazioni di connessione Internet e proxy del dispositivo per Information Protection
Repository locali (condivisioni file e SharePoint)	No	Archivio	data-at-rest	- Informazioni sui repository - locali per la prevenzione della perdita dei datiIntroduzione ai repository locali per la prevenzione della perdita dei dati
Power BI	No	Aree di lavoro	data-in-use	No
App di terze parti	Nessuno	No	No	No
Power BI	No	Nessuno	No	No

Ambito della posizione di Exchange

Se si sceglie di includere gruppi di distribuzione specifici in Exchange, l'ambito dei criteri DLP è limitato ai messaggi di posta elettronica inviati dai membri di tale gruppo. Analogamente, l'esclusione di un gruppo di distribuzione esclude tutti i messaggi di posta elettronica inviati dai membri del gruppo di distribuzione dalla valutazione dei criteri.

Il mittente è	Il destinatario è	Comportamento risultante
Nell'ambito	N/D	I criteri vengono applicati
Esclusioni	Nell'ambito	I criteri non vengono applicati

Calcolo dell'ambito della posizione di Exchange

Ecco un esempio di come viene calcolato l'ambito della posizione di Exchange

Si supponi di avere quattro utenti nell'organizzazione, U1, U2, U3, U4 e due gruppi di distribuzione DG1 e DG2 che userai per definire ambiti di inclusione ed esclusione della posizione di Exchange. L'appartenenza ai gruppi è configurata come segue:

Gruppo di distribuzione	Appartenenza
DG1	U1, U2
DG2	U2, U3

U4 non è un membro di alcun gruppo.

Includi impostazione	Escludi impostazione	I criteri si applicano a	I criteri non si applicano a	Spiegazione del comportamento
Tutti	Nessuno	Tutti i mittenti nell'organizzazione di Exchange (U1, U2, U3, U4)	N/D	Quando nessuno dei due viene definito, tutti i mittenti sono inclusi
DG1	Nessuno	Mittenti membri di DG1 (U1, U2)	Tutti i mittenti che non sono membri di DG1 (U3, U4)	Quando viene definita un'impostazione e l'altra non viene usata l'impostazione definita
Tutti	DG2	Tutti i mittenti dell'organizzazione exchange che non sono membri di DG2 (U1, U4)	Tutti i mittenti che sono membri di DG2 (U2, U3)	Quando viene definita un'impostazione e l'altra non viene usata l'impostazione definita
DG1	DG2	U1	U2, U3, U4	Escludere le sostituzioni includono

È possibile scegliere di applicare un criterio ai membri delle liste di distribuzione, dei gruppi di distribuzione dinamici e dei gruppi di sicurezza. Una politica DLP non può contenere più di 50 inclusioni ed esclusioni.

Ambito della posizione di SharePoint e OneDrive

Se si sceglie di includere o escludere specifici siti di SharePoint o account di OneDrive, i criteri di prevenzione della perdita dei dati possono contenere non più di 100 inclusioni ed esclusioni di questo tipo. Anche se questi limiti esistono, è importante sapere che possono essere superati applicando criteri a livello di organizzazione o validi per intere posizioni.

Se si sceglie di includere o escludere account o gruppi specifici di OneDrive, un criterio di prevenzione della perdita di dati potrà contenere non oltre 100 account utente o 50 gruppi di inclusione o esclusione.

Supporto della posizione per la definizione del contenuto

I criteri DLP rilevano gli elementi sensibili associandoli a un tipo di informazioni sensibili (SIT) o a un'etichetta di riservatezza o a un'etichetta di conservazione. Ogni posizione supporta diversi metodi di definizione del contenuto sensibile. Quando si combinano le posizioni in un criterio, il modo in cui il contenuto può essere definito può cambiare rispetto a come può essere definito da una singola posizione.

Importante

Quando si selezionano più posizioni per un criterio, un valore "no" per una categoria di definizione del contenuto ha la precedenza sul valore "sì". Ad esempio, quando si selezionano solo siti di SharePoint, i criteri supporteranno il rilevamento degli elementi sensibili da uno o più sit, dall'etichetta di riservatezza o dall'etichetta di conservazione. Tuttavia, quando si selezionano i siti di SharePoint e le posizioni dei messaggi di chat e canale di Teams, i criteri supporteranno solo il rilevamento degli elementi sensibili tramite SIT.

Posizione	Il contenuto può essere definito da SIT	Il contenuto può essere definito etichetta di riservatezza	Il contenuto può essere definito dall'etichetta di conservazione
Posta elettronica di Exchange online	Sì	Sì	No
SharePoint nei siti di Microsoft 365	Sì	Sì	Sì
OneDrive per gli account aziendali o dell'istituto di istruzione	Sì	Sì	Sì
Messaggi di chat e canale di Teams	Sì	No	No
Dispositivi	Sì	Sì	No
Istanze	Sì	Sì	Sì
Repository locali	Sì	Sì	No
Power BI	Sì	Sì	No

La prevenzione della perdita dei dati supporta l'uso di classificatori sottoponibili a training come condizione per rilevare i documenti sensibili. Il contenuto può essere definito da classificatori sottoponibili a training in Exchange, siti di SharePoint, account onedrive, chat e canali di Teams e dispositivi. Per altre informazioni, vedere Classificatori sottoponibili a training.

Nota

La prevenzione della perdita dei dati supporta il rilevamento delle etichette di riservatezza nei messaggi di posta elettronica e allegati. Per altre informazioni, vedere Usare le etichette di riservatezza come condizioni nei criteri DLP.

Regole

Le regole sono la logica di business dei criteri DLP. Sono costituite da:

• Condizioni che, se confrontate, attivano le azioni dei criteri
• Notifiche degli utenti per informare gli utenti quando eseguono operazioni che attivano un criterio e per informare gli utenti sul modo in cui l'organizzazione vuole che vengano trattate le informazioni sensibili
• Gli override utente quando configurati da un amministratore consentono agli utenti di eseguire l'override selettivo di un'azione di blocco
• Report degli eventi imprevisti che notificano agli amministratori e ad altri stakeholder chiave quando si verifica una corrispondenza con una regola
• Opzioni aggiuntive che definiscono la priorità per la valutazione delle regole e possono arrestare l'ulteriore elaborazione di regole e criteri.

Un criterio contiene una o più regole. Le regole vengono eseguite in modo sequenziale, iniziando con quella più prioritaria in ogni criterio.

Priorità in base alla quale vengono valutate e applicate le regole

Percorsi del servizio ospitato

Per le posizioni del servizio ospitato, ad esempio Exchange, SharePoint e OneDrive, a ogni regola viene assegnata una priorità nell'ordine in cui è stata creata. Ciò significa che la regola creata per prima ha la prima priorità, la regola creata secondo ha la seconda priorità e così via.

Quando il contenuto viene valutato a fronte delle regole, queste vengono elaborate in ordine di priorità. Se il contenuto corrisponde a più regole, viene applicata la prima regola valutata con l'azione più restrittiva. Ad esempio, se il contenuto corrisponde a tutte le regole seguenti, la regola 3 viene applicata perché è la regola con la priorità più alta e più restrittiva:

• Regola 1: solo notifica agli utenti
• Regola 2: notifica agli utenti, limita l'accesso e consente che gli utenti ignorino i criteri
• Regola 3: notifica agli utenti, limita l'accesso e non consente le sostituzioni degli utenti
• Regola 4: limita l'accesso

Le regole 1, 2 e 4 verranno valutate, ma non applicate. In questo esempio, le corrispondenze per tutte le regole vengono registrate nei log di controllo e visualizzate nei report DLP, anche se viene applicata solo la regola più restrittiva.

È possibile usare una regola per rispettare uno specifico requisito di protezione e quindi usare i criteri di prevenzione della perdita dei dati per raggruppare i requisiti comuni, ad esempio tutte le regole necessarie per la conformità a una specifica normativa.

È possibile che si disponga di un criterio DLP che consente di rilevare la presenza di informazioni soggette ai moduli di conformità Health Insurance Portability and Accountability Act (HIPAA). Questo criterio DLP può aiutare a proteggere i dati HIPAA (cosa) in tutti i siti di SharePoint e in tutti i siti di OneDrive (dove) trovando qualsiasi documento contenente queste informazioni sensibili condivise con persone esterne all'organizzazione (condizioni) e quindi bloccando l'accesso al documento e inviando una notifica (le azioni). Questi requisiti vengono archiviati come singole regole e raggruppati come criteri di prevenzione della perdita dei dati per semplificare la gestione e la creazione di report.

Per gli endpoint

Quando un elemento corrisponde a più regole DLP, la prevenzione della perdita dei dati usa un algoritmo complesso per decidere quali azioni applicare. La prevenzione della perdita dei dati degli endpoint applica l'aggregazione o la somma delle azioni più restrittive. La prevenzione della perdita dei dati usa questi fattori durante il calcolo.

Ordine di priorità dei criteri Quando un elemento corrisponde a più criteri e tali criteri hanno azioni identiche, vengono applicate le azioni dei criteri con priorità più alta.

Ordine di priorità della regola Quando un elemento corrisponde a più regole in un criterio e tali regole hanno azioni identiche, vengono applicate le azioni della regola con priorità più alta.

Modalità dei criteri Quando un elemento corrisponde a più criteri e tali criteri hanno azioni identiche, le azioni di tutti i criteri attivati (modalità di applicazione) vengono applicate in modo preferenziale rispetto ai criteri in Esegui i criteri in modalità di simulazione con suggerimenti per i criteri e Esegui i criteri in modalità di simulazione .

Azione Quando un elemento corrisponde a più criteri e questi criteri differiscono in azioni, viene applicata l'aggregazione o la somma delle azioni più restrittive.

Configurazione dei gruppi di autorizzazione Quando un elemento corrisponde a più criteri e tali criteri differiscono in azione, viene applicata l'aggregazione o la somma delle azioni più restrittive.

opzioni di override Quando un elemento corrisponde a più criteri e questi criteri differiscono nell'opzione di sostituzione, le azioni vengono applicate in questo ordine:

Nessuna sostituzione>Consenti sostituzione

Ecco gli scenari che illustrano il comportamento di runtime. Per i primi tre scenari, sono stati configurati tre criteri di prevenzione della perdita dei dati come segue:

Nome criterio	Condizione da associare	Azione	Priorità dei criteri
ABC	Il contenuto contiene il numero di carta di credito	Blocca stampa, controlla tutte le altre attività di uscita degli utenti	0
MNO	Il contenuto contiene il numero di carta di credito	Blocca la copia su USB, controlla tutte le altre attività in uscita degli utenti	1
XYZ	Il contenuto contiene il numero di previdenza sociale degli Stati Uniti	Blocca la copia negli Appunti, controlla tutte le altre attività in uscita degli utenti	2

L'elemento contiene numeri di carta di credito

Un elemento in un dispositivo monitorato contiene numeri di carta di credito, in modo che corrisponda ai criteri ABC e policy MNO. Sia ABC che MNO sono in modalità Attiva .

Criteri	Azione di uscita cloud	Azione Copia negli Appunti	Copia nell'azione USB	Azione Copia nella condivisione di rete	Azione App non consentite	Azione di stampa	Copia tramite azione Bluetooth	Azione Copia su desktop remoto
ABC	Audit	Audit	Audit	Audit	Audit	Blocca	Audit	Audit
MNO	Audit	Audit	Blocca	Audit	Audit	Audit	Audit	Audit
Azioni applicate in fase di esecuzione	Audit	Audit	Blocca	Audit	Audit	Blocca	Audit	Audit

L'elemento contiene numeri di carta di credito e numeri di previdenza sociale degli Stati Uniti

Un elemento in un dispositivo monitorato contiene numeri di carta di credito e numeri di previdenza sociale degli Stati Uniti, quindi questo elemento corrisponde ai criteri ABC, policy MNO e policy XYZ. Tutti e tre i criteri sono in modalità Attiva .

Criteri	Azione di uscita cloud	Azione Copia negli Appunti	Copia nell'azione USB	Azione Copia nella condivisione di rete	Azione App non consentite	Azione di stampa	Copia tramite azione Bluetooth	Azione Copia su desktop remoto
ABC	Audit	Audit	Audit	Audit	Audit	Blocca	Audit	Audit
MNO	Audit	Audit	Blocca	Audit	Audit	Audit	Audit	Audit
XYZ	Audit	Blocca	Audit	Audit	Audit	Blocca	Audit	Audit
Azioni applicate in fase di esecuzione	Audit	Blocca	Blocca	Audit	Audit	Blocca	Audit	Audit

L'elemento contiene numeri di carta di credito, stato dei criteri diverso

Un elemento in un dispositivo monitorato contiene il numero di carta di credito, quindi corrisponde ai criteri ABC e policy MNO. Il criterio ABC è in Attiva modalità e il criterio MNO è in Esegui i criteri in modalità di simulazione .

Criteri	Azione di uscita cloud	Azione Copia negli Appunti	Copia nell'azione USB	Azione Copia nella condivisione di rete	Azione App non consentite	Azione di stampa	Copia tramite azione Bluetooth	Azione Copia su desktop remoto
ABC	Audit	Audit	Audit	Audit	Audit	Blocca	Audit	Audit
MNO	Audit	Audit	Blocca	Audit	Audit	Audit	Audit	Audit
Azioni applicate in fase di esecuzione	Audit	Audit	Audit	Audit	Audit	Blocca	Audit	Audit

L'elemento contiene numeri di carta di credito, configurazione di sostituzione diversa

Un elemento in un dispositivo monitorato contiene il numero di carta di credito, quindi corrisponde ai criteri ABC e policy MNO. Criterio ABC è in Attiva stato e criterio MNO è in Attiva stato. Hanno diverse azioni di override configurate

Criteri	Azione di uscita cloud	Azione Copia negli Appunti	Copia nell'azione USB	Azione Copia nella condivisione di rete	Azione App non consentite	Azione di stampa	Copia tramite azione Bluetooth	Azione Copia su desktop remoto
ABC	Audit	Audit	Blocca con override	Audit	Audit	Blocca	Audit	Audit
MNO	Audit	Audit	Blocca senza override	Audit	Audit	Audit	Audit	Audit
Azioni applicate in fase di esecuzione	Audit	Audit	Blocca senza override	Audit	Audit	Blocca	Audit	Audit

L'elemento contiene numeri di carta di credito, configurazione di gruppi di autorizzazione diversi

Un elemento in un dispositivo monitorato contiene il numero di carta di credito, quindi corrisponde ai criteri ABC e policy MNO. Criterio ABC è in Attiva stato e criterio MNO è in Attiva stato. Hanno diverse azioni del gruppo di autorizzazione configurate

Criteri	Azione di uscita cloud	Azione Copia negli Appunti	Copia nell'azione USB	Azione Copia nella condivisione di rete	Azione App non consentite	Azione di stampa	Copia tramite azione Bluetooth	Azione Copia su desktop remoto
ABC	Audit	Audit	Gruppo di autenticazione A - Blocco	Audit	Audit	Gruppo di autenticazione A - Blocco	Audit	Audit
MNO	Audit	Audit	Gruppo di autenticazione A - Blocca con override	Audit	Audit	Gruppo di autenticazione B - blocco	Audit	Audit
Azioni applicate in fase di esecuzione	Audit	Audit	Gruppo di autenticazione A - Blocco	Audit	Audit	Gruppo di autenticazione A - Blocco, Gruppo di autenticazione B - Blocco	Audit	Audit

Condizioni

Le condizioni sono quelle in cui si definiscono gli elementi da cercare nella regola e il contesto in cui vengono usati tali elementi. Indicano la regola: quando si trova un elemento simile al seguente e viene usato in questomodo, si tratta di una corrispondenza e le altre azioni nel criterio devono essere eseguite su di esso. È possibile usare le condizioni per assegnare azioni diverse a livelli di rischio diversi. Ad esempio, i contenuti riservati condivisi all'interno dell'organizzazione potrebbero essere caratterizzati da un livello di rischio inferiore rispetto ai contenuti riservati condivisi con utenti esterni all'organizzazione.

Nota

Gli utenti che hanno account non guest in Active Directory o Microsoft Entra tenant di un'organizzazione host vengono considerati come persone all'interno dell'organizzazione.

Il contenuto contiene

Tutte le posizioni supportano la condizione Contenuto. È possibile selezionare più istanze di ogni tipo di contenuto e perfezionare ulteriormente le condizioni usando gli operatori Uno di questi (OR logici) o Tutti questi operatori (AND logico):

• tipi di informazioni sensibili
• etichette di riservatezza
• etichette di conservazione
• Classificatori sottoponibili a training

a seconda delle località a cui si sceglie di applicare i criteri.

La regola cercherà solo la presenza di etichette di riservatezza e etichette di conservazione selezionate.

I SIT hanno un livello di attendibilità predefinito che è possibile modificare se necessario. Per altre informazioni, vedere Altre informazioni sui livelli di attendibilità.

Importante

I SIT hanno due modi diversi per definire i parametri di conteggio delle istanze univoci massimi. Per ulteriori informazioni, vedere Conteggio istanze valori supportati per SIT.

Protezione adattiva in Microsoft Purview (anteprima)

La protezione adattiva integra i profili di rischio Gestione dei rischi Insider Microsoft Purview nei criteri di prevenzione della perdita dei dati in modo che la prevenzione della perdita dei dati possa contribuire a proteggersi da comportamenti rischiosi identificati in modo dinamico. Se configurato nella gestione dei rischi Insider, il livello di rischio Insider per la protezione adattiva verrà visualizzato come condizione per le posizioni di Exchange Online, Dispositivi e Teams. Per altre informazioni, vedere Informazioni sulla protezione adattiva in Prevenzione della perdita dei dati (anteprima).

Condizioni supportate dalla protezione adattiva

• Il livello di rischio Insider per la protezione adattiva è

con questi valori:

• Livello di rischio elevato
• Livello di rischio moderato
• Livello di rischio minore

Contesto della condizione

Le opzioni di contesto disponibili cambiano a seconda della posizione scelta. Se si selezionano più posizioni, sono disponibili solo le condizioni comuni delle posizioni.

Condizioni supportate da Exchange

• Il contenuto contiene
• Il livello di rischio Insider per la protezione adattiva è
• Il contenuto non è etichettato
• Il contenuto viene condiviso da Microsoft 365
• Il contenuto viene ricevuto da
• L'indirizzo IP del mittente è
• L'intestazione contiene parole o frasi
• L'attributo Sender AD contiene parole o frasi
• Il set di caratteri di contenuto contiene parole
• L'intestazione corrisponde ai criteri
• L'attributo mittente di Active Directory corrisponde ai modelli
• L'attributo AD del destinatario contiene parole o frasi
• L'attributo AD del destinatario corrisponde ai modelli
• Il destinatario è membro di
• La proprietà del documento è
• Non è stato possibile analizzare il contenuto degli allegati di posta elettronica
• Il documento o l'allegato è protetto da password
• Il mittente ha sostituito il suggerimento per i criteri
• Il mittente è un membro di
• L'analisi del contenuto degli allegati di posta elettronica non è stata completata
• L'indirizzo del destinatario contiene parole
• L'estensione del file è
• Il dominio del destinatario è
• Il destinatario è
• Il mittente è
• Il dominio del mittente è
• L'indirizzo del destinatario corrisponde ai criteri
• Il nome del documento contiene parole o frasi
• Il nome del documento corrisponde ai modelli
• L'oggetto contiene parole o frasi
• Il soggetto corrisponde ai criteri
• Il soggetto o il corpo contiene parole o frasi
• Soggetto o corpo corrisponde ai modelli
• L'indirizzo del mittente contiene parole
• L'indirizzo del mittente corrisponde ai criteri
• Le dimensioni del documento sono uguali o maggiori di
• Il contenuto del documento contiene parole o frasi
• Il contenuto del documento corrisponde ai modelli
• La dimensione del messaggio è uguale o maggiore di
• Il tipo di messaggio è
• L'importanza del messaggio è

Consiglio

Per altre informazioni sulle condizioni supportate da Exchange, inclusi i valori di PowerShell, vedere: Informazioni di riferimento sulle condizioni di Exchange e sulle azioni per la prevenzione della perdita dei dati.

Condizioni supportate da SharePoint

• Il contenuto contiene
• Il contenuto viene condiviso da Microsoft 365
• La proprietà del documento è
• L'estensione del file è
• Il nome del documento contiene parole o frasi
• Le dimensioni del documento sono uguali o maggiori di
• Documento creato da
• Documento creato dal membro di

Condizioni supportate dall'account OneDrive

• Il contenuto contiene
• Il contenuto viene condiviso da Microsoft 365
• La proprietà del documento è
• L'estensione del file è
• Il nome del documento contiene parole o frasi
• Le dimensioni del documento sono uguali o maggiori di
• Documento creato da
• Documento creato dal membro di
• Il documento è condiviso

Condizioni supportate dai messaggi di chat e canale di Teams

• Il contenuto contiene
• Il livello di rischio Insider per la protezione adattiva è
• Il contenuto viene condiviso da Microsoft 365
• Il dominio del destinatario è -Recipient is
• Il mittente è
• Il dominio del mittente è

Condizioni supportate per gli endpoint

• Il contenuto contiene
• Il contenuto non è etichettato (i file PDF e Office sono completamente supportati).
  Questa condizione rileva il contenuto che non ha un'etichetta di riservatezza applicata. Per garantire che vengano rilevati solo i tipi di file supportati, è consigliabile usare questa condizione con l'estensione File o Il tipo di file è condizioni.
• Impossibile analizzare il documento
  Questa condizione si applica ai file che non possono essere analizzati per uno dei motivi seguenti:
  - Il file contiene uno o più errori temporanei di estrazione del testo
  - Il file è protetto da password
  - Le dimensioni del file superano il limite supportato (dimensioni massime dei file: 64 MB per i file non compressi; 256 MB per i file compressi)
• Il nome del documento contiene parole o frasi.
  Rileva i documenti con nomi di file che contengono le parole o le frasi specificate, ad esempio, file, credit card, patente così via.
• Il nome del documento corrisponde ai modelli
  Rileva i documenti in cui il nome del file corrisponde a modelli specifici. Per definire i modelli, usare i caratteri jolly. Per informazioni sui modelli regex, vedere la documentazione relativa alle espressioni regolari qui.
• Il documento o l'allegato è protetto da password
  Questa condizione rileva solo i file protetti aperti. Pdf, file di Office, .ZIP, .7z e file crittografati PGP Symantec sono completamente supportati.
• La proprietà Document è Rileva i documenti con proprietà personalizzate corrispondenti ai valori specificati. Ad esempio: Department = 'Marketing', Project = 'Secret'.
• Le dimensioni del documento sono uguali o maggiori di
  Rileva i documenti con dimensioni di file uguali o superiori al valore specificato.

  Importante

  È consigliabile impostare questa condizione per rilevare elementi di dimensioni superiori a 100 KB.

• L'estensione del file è
• Il tipo di file è
• L'analisi non è stata completata
  Questa condizione si applica all'avvio dell'analisi di un file, ma viene arrestata prima dell'analisi dell'intero file. Il motivo principale di un'analisi incompleta è che il testo estratto all'interno del file supera le dimensioni massime consentite. (Dimensioni massime per il testo estratto: File non compressi: 4 MB; File compressi: N=1000 / Tempo di estrazione = 5 minuti.
• L'utente ha eseguito l'accesso a un sito Web sensibile da Microsoft Edge Per altre informazioni, vedere Scenario 6 Monitorare o limitare le attività degli utenti nei domini del servizio sensibili (anteprima).
• Il livello di rischio Insider per la protezione adattiva è

Vedere anche: Attività endpoint su cui è possibile monitorare e intervenire.

Nota

Requisiti del sistema operativo per le condizioni in anteprima.

Per usare una di queste condizioni, i dispositivi endpoint devono eseguire uno dei sistemi operativi seguenti:

• Windows 11 23H2:4 dicembre 2023— KB5032288 (build del sistema operativo 22621.2792 e 22631.2792) Anteprima

• Windows 11 22H2:4 dicembre 2023— KB5032288 (build del sistema operativo 22621.2792 e 22631.2792) Anteprima - supporto tecnico Microsoft

• Windows 11 21H2:12 dicembre 2023— KB5033369 (OS Build 22000.2652) - supporto tecnico Microsoft

• Windows 10 22H2:30 novembre 2023— KB5032278 (OS Build 19045.3758) Preview - supporto tecnico Microsoft

• Windows 10 21H2:30 novembre 2023— KB5032278 (OS Build 19045.3758) Preview - supporto tecnico Microsoft

• Windows Server 2022/2019:14 novembre 2023— KB5032198 (build del sistema operativo 20348.2113) - supporto tecnico Microsoft (o versioni successive)

Importante

Per informazioni sui requisiti di Adobe per l'uso delle funzionalità di Prevenzione della perdita dei dati Microsoft Purview (DLP) con file PDF, vedere questo articolo di Adobe: Microsoft Purview Information Protection Support in Acrobat.

Istanze delle condizioni supportate

• Il contenuto contiene
• Il contenuto viene condiviso da Microsoft 365

Condizioni supportate nei repository locali

• Il contenuto contiene
• L'estensione del file è
• La proprietà del documento è

Condizioni supportate da Power BI

• Il contenuto contiene

Gruppi di condizioni

A volte è necessaria una regola per identificare solo una cosa, ad esempio tutto il contenuto che contiene un numero di previdenza sociale degli Stati Uniti, definito da un singolo SIT. Tuttavia, in molti scenari in cui i tipi di elementi che si sta tentando di identificare sono più complessi e quindi più difficili da definire, è necessaria una maggiore flessibilità nella definizione delle condizioni.

Ad esempio, per identificare il contenuto soggetto all'Health Insurance Act (HIPAA), è necessario cercare:

• Contenuto che include tipi specifici di informazioni riservate, ad esempio un numero di previdenza sociale statunitense o un numero DEA (Drug Enforcement Agency).

  E

• Contenuto più difficile da identificare, ad esempio comunicazioni sul trattamento di un paziente o descrizioni dei servizi medicali forniti. L'identificazione di questo contenuto richiede la corrispondenza delle parole chiave rispetto a elenchi di parole chiave di grandi dimensioni, ad esempio l'elenco International Classification of Diseases (ICD-9-CM o ICD-10-CM).

È possibile identificare questo tipo di dati raggruppando le condizioni e usando operatori logici (AND, OR) tra i gruppi.

Per il U.S. Health Insurance Act (HIPPA) le condizioni sono raggruppate come segue:

Il primo gruppo contiene i SIT che identificano un individuo e il secondo gruppo contiene i SIT che identificano la diagnosi medica.

Le condizioni possono essere raggruppate e unite da operatori booleani (AND, OR, NOT) in modo da definire una regola specificando ciò che deve essere incluso e definendo quindi le esclusioni in un gruppo diverso unito al primo da NOT. Per altre informazioni su come Purview DLP implementa i valori booleani e i gruppi annidati, vedere Progettazione di regole complesse.

Limitazioni della piattaforma DLP per le condizioni

Predicato	Carico di lavoro	Limite	Costo della valutazione
Contenuto contiene	EXO/SPO/ODB	125 SIT per regola	Alto
Il contenuto viene condiviso da Microsoft 365	EXO/SPO/ODB	-	Alto
L'indirizzo IP del mittente è	EXO	Lunghezza intervallo <individuale = 128; Count <= 600	Bassa
Il mittente ha sostituito il suggerimento per i criteri	EXO	-	Bassa
Il mittente è	EXO	Lunghezza <del messaggio di posta elettronica individuale = 256; Count <= 600	Medio
Il mittente è un membro di	EXO	Count <= 600	Alto
Il dominio del mittente è	EXO	Lunghezza <del nome di dominio = 67; Count <= 600	Bassa
L'indirizzo del mittente contiene parole	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Bassa
L'indirizzo del mittente corrisponde ai criteri	EXO	Lunghezza <regex = 128 char; Count <= 600	Bassa
L'attributo Sender AD contiene parole	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Medio
L'attributo mittente AD corrisponde ai modelli	EXO	Lunghezza <regex = 128 char; Count <= 600	Medio
Non è possibile analizzare il contenuto degli allegati di posta elettronica	EXO	Tipi di file supportati	Bassa
Analisi incompleta del contenuto degli allegati di posta elettronica	EXO	Dimensioni > 1 MB	Bassa
L'allegato è protetto da password	EXO	Tipi di file: file di Office, .PDF, .ZIP e 7z	Bassa
L'estensione del file allegato è	EXO/SPO/ODB	Count <= 600 per regola	Alto
Il destinatario è un membro di	EXO	Count <= 600	Alto
Il dominio del destinatario è	EXO	Lunghezza <del nome di dominio = 67; Count <= 5000	Bassa
Il destinatario è	EXO	Lunghezza <del messaggio di posta elettronica individuale = 256; Count <= 600	Bassa
L'indirizzo del destinatario contiene parole	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Bassa
L'indirizzo del destinatario corrisponde ai criteri	EXO	Count <= 300	Bassa
Il nome del documento contiene parole o frasi	EXO	Lunghezza singola delle parole <= 128; Conteggio <=600	Bassa
Il nome del documento corrisponde ai modelli	EXO	Lunghezza <regex = 128 char; Count <= 300	Bassa
La proprietà del documento è	EXO/SPO/ODB	-	Bassa
Le dimensioni del documento sono uguali o maggiori di	EXO	-	Bassa
L'oggetto contiene parole o frasi	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Bassa
L'intestazione contiene parole o frasi	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Bassa
Il soggetto o il corpo contiene parole o frasi	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Bassa
Il set di caratteri di contenuto contiene parole	EXO	Count <= 600	Bassa
L'intestazione corrisponde ai criteri	EXO	Lunghezza <regex = 128 char; Count <= 300	Bassa
Il soggetto corrisponde ai criteri	EXO	Lunghezza <regex = 128 char; Count <= 300	Bassa
Soggetto o corpo corrisponde ai modelli	EXO	Lunghezza <regex = 128 char; Count <= 300	Bassa
Il tipo di messaggio è	EXO	-	Bassa
Dimensioni del messaggio su	EXO	-	Bassa
Con importanza	EXO	-	Bassa
L'attributo Sender AD contiene parole	EXO	Ogni coppia di valori chiave attributo: ha lunghezza <Regex = 128 char; Count <= 600	Medio
L'attributo mittente AD corrisponde ai modelli	EXO	Ogni coppia di valori chiave attributo: ha lunghezza <Regex = 128 char; Count <= 300	Medio
Il documento contiene parole	EXO	Lunghezza singola delle parole <= 128; Count <= 600	Medio
Il documento corrisponde ai modelli	EXO	Lunghezza <regex = 128 char; Count <= 300	Medio

Azioni

A qualsiasi elemento che esegue il filtro delle condizioni verranno applicate tutte le azioni definite nella regola. Sarà necessario configurare le opzioni necessarie per supportare l'azione. Ad esempio, se si seleziona Exchange con l'azione Limita l'accesso o crittografa il contenuto nelle posizioni di Microsoft 365 , è necessario scegliere tra queste opzioni:

• Impedire agli utenti di accedere ai contenuti condivisi di SharePoint, OneDrive e Teams
  • Blocca tutti. Solo il proprietario del contenuto, l'ultimo modificatore e l'amministratore del sito continueranno ad avere accesso
  • Bloccare solo le persone esterne all'organizzazione. Gli utenti all'interno dell'organizzazione continueranno ad avere accesso.
• Crittografare i messaggi di posta elettronica (si applica solo al contenuto di Exchange)

Le azioni disponibili in una regola dipendono dalle posizioni selezionate. Di seguito sono elencate le azioni disponibili per ogni singola posizione.

Importante

Per le posizioni di SharePoint e OneDrive, i documenti verranno bloccati in modo proattivo subito dopo il rilevamento delle informazioni sensibili (indipendentemente dal fatto che il documento sia condiviso o meno) per tutti gli utenti esterni; gli utenti interni continueranno ad avere accesso al documento.

Azioni supportate: Exchange

Quando le regole dei criteri DLP vengono applicate in Exchange, possono essere interrotte, non arrestate o nessuna delle due. La maggior parte delle regole supportate da Exchange non è arrestata. Le azioni senza interruzione vengono valutate e applicate immediatamente prima di elaborare le regole e i criteri successivi, come descritto nelle posizioni del servizio ospitato più indietro in questo articolo.

Tuttavia, quando un'azione di arresto viene attivata da una regola dei criteri DLP, Purview interrompe l'elaborazione di eventuali regole successive. Ad esempio, quando viene attivata l'azione Limita l'accesso o crittografa il contenuto nelle posizioni di Microsoft 365 , non vengono elaborate altre regole o criteri.

Nel caso in cui un'azione non venga arrestata né arrestata, Purview attende che il risultato dell'azione si verifichi prima di continuare. Pertanto, quando un messaggio di posta elettronica in uscita attiva l'azione Inoltra il messaggio per l'approvazione al responsabile del mittente , Purview attende di ottenere la decisione del responsabile sull'invio o meno del messaggio di posta elettronica. Se il responsabile approva, l'azione si comporta come un'azione non arrestata e le regole successive vengono elaborate. Al contrario, se il manager rifiuta l'invio del messaggio di posta elettronica, inoltrare il messaggio per l'approvazione al responsabile del mittente si comporta come un'azione di arresto e blocca l'invio del messaggio di posta elettronica; non vengono elaborate regole o criteri successivi.

Nella tabella seguente sono elencate le azioni supportate da Exchange e viene indicato se si stanno arrestando o meno.

Azione	Arresto/non arresto
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365	Arrestare
Impostare le intestazioni	Non-stoping
Rimuovi intestazione	Non-stoping
Reindirizzare il messaggio a utenti specifici	Non-stoping
Inoltrare il messaggio per l'approvazione al responsabile del mittente	Né
Inoltrare il messaggio per l'approvazione a responsabili approvazione specifici	Né
Aggiungere il destinatario alla casella A	Non-stoping
Aggiungere il destinatario alla casella Cc	Non-stoping
Aggiungere il destinatario alla casella Ccn	Non-stoping
Aggiungere il responsabile del mittente come destinatario	Non-stoping
Rimuovere la crittografia dei messaggi e la protezione dei diritti	Non-stoping
Anteporre Email oggetto	Non-stoping
Aggiungere la dichiarazione di non responsabilità HTML	Non-stoping
Modificare Email oggetto	Non-stoping
Recapitare il messaggio alla quarantena ospitata	Arrestare
Applicare la personalizzazione ai messaggi crittografati	Non-stoping

Consiglio

Per l'azione Applica personalizzazione ai messaggi crittografati, se è già stato implementato Microsoft Purview Message Encryption, i modelli vengono visualizzati automaticamente nell'elenco a discesa. Per implementare Microsoft Purview Message Encryption, vedere Aggiungere il marchio dell'organizzazione ai messaggi crittografati Microsoft Purview Message Encryption per informazioni in background sulla crittografia dei messaggi e su come creare e configurare i modelli di personalizzazione.

Per altre informazioni sulle azioni supportate da Exchange, inclusi i valori di PowerShell, vedere: Informazioni di riferimento sulle condizioni e sulle azioni di Exchange per la prevenzione della perdita dei dati.

Azioni supportate: SharePoint

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365

Azioni supportate: OneDrive

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365

Azioni supportate: Messaggi di chat e canali di Teams

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365

Azioni supportate: Dispositivi

È possibile indicare la prevenzione della perdita dei dati a Audit only, Block with overrideo Block (le azioni) a queste attività utente per i dispositivi di cui è stato caricato l'onboarding.

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365
• Controllare o limitare le attività quando gli utenti accedono a siti sensibili nei browser Microsoft Edge nei dispositivi Windows
• Controllare o limitare le attività nei dispositivi
• Attività del browser e del dominio del servizio
• Attività sui file per tutte le app
• Attività app con restrizioni
• Attività sui file per le app in gruppi di app con restrizioni (anteprima)

Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365

Usare questa opzione per impedire agli utenti di ricevere messaggi di posta elettronica o accedere a SharePoint, OneDrive, file di Teams ed elementi di PowerBI condivisi. Questa azione può bloccare tutti o bloccare solo gli utenti esterni all'organizzazione.

Controllare o limitare le attività quando gli utenti accedono a siti sensibili nei browser Microsoft Edge nei dispositivi Windows

Usare questa azione per controllare quando gli utenti tentano di:

Attività	Descrizione/opzioni
Stampare il sito	Rileva quando gli utenti provano a stampare un sito protetto da un dispositivo di cui è stato eseguito l'onboarding.
Copiare dati dal sito	Rileva quando gli utenti provano a copiare dati da un sito protetto da dispositivi di cui è stato eseguito l'onboarding.
Salvare il sito come file locali (Salva con nome)	Rileva quando gli utenti tentano di salvare un sito protetto come file locali da un dispositivo di cui è stato eseguito l'onboarding.

Controllare o limitare le attività nei dispositivi

Usare questa opzione per limitare le attività utente in base alle attività del browser e del dominio del servizio, alle attività dei file per tutte le app, alle attività con restrizioni delle app. Per usare Controlla o limitare le attività nei dispositivi, è necessario configurare le opzioni nelle impostazioni DLP e nei criteri in cui si desidera usarle. Per altre informazioni, vedere App con restrizioni e gruppi di app .

Attività del browser e del dominio del servizio

Quando si configurano i domini del servizio cloud Consenti/Blocca e l'elenco Browser non consentiti (vedere Restrizioni del browser e del dominio per i dati sensibili) e un utente tenta di caricare un file protetto in un dominio del servizio cloud o di accedervi da un browser non consentito, è possibile configurare l'azione dei criteri su Audit only, Block with overrideo Block sull'attività .

Attività	Descrizione/opzioni
Caricare in un dominio di servizi cloud con restrizioni o accedere da un'app non consentita	Rileva quando i file protetti sono bloccati o possono essere caricati nei domini del servizio cloud. Vedere Restrizioni del browser e del dominio per i dati sensibili e Scenario 6 Monitorare o limitare le attività degli utenti nei domini di servizio sensibili).
Incolla nei browser supportati	Rileva quando gli utenti incollano informazioni sensibili in un campo di testo o in un modulo Web usando Microsoft Edge, Google Chrome (con estensione Microsoft Purview) o Mozilla Firefox (con estensione Microsoft Purview). La valutazione è indipendente dalla classificazione del file di origine. Per altre informazioni, vedere: Attività endpoint su cui è possibile monitorare e intervenire.

Attività sui file per tutte le app

Con l'opzione Attività file per tutte le app , è possibile selezionare Non limitare le attività dei file o Applica restrizioni ad attività specifiche. Quando si seleziona Applica restrizioni ad attività specifiche, le azioni selezionate qui vengono applicate quando un utente ha eseguito l'accesso a un elemento protetto da prevenzione della perdita dei dati.

Attività	Descrizione/opzioni
Copia negli Appunti	Rileva quando i file protetti vengono copiati negli Appunti in un dispositivo di cui è stato eseguito l'onboarding. Per altre informazioni, vedere Attività endpoint su cui è possibile monitorare e intervenire e Copiare negli Appunti.
Copiare in un dispositivo rimovibile	Rileva quando i file protetti vengono copiati o spostati da un dispositivo di onboarding a un dispositivo USB rimovibile. Per altre informazioni, vedere Gruppi di dispositivi USB rimovibili.
Copia in una condivisione di rete	Rileva quando i file protetti vengono copiati o spostati da un dispositivo di cui è stato eseguito l'onboarding a qualsiasi condivisione di rete. Per altre informazioni, vedere Copertura di condivisione di rete ed esclusioni.
Stampa	Rileva quando un file protetto viene stampato da un dispositivo di cui è stato eseguito l'onboarding. Per altre informazioni, vedere Gruppi di stampanti.
Copia o sposta usando un'app Bluetooth non consentita	Rileva quando un file protetto viene copiato o spostato da un dispositivo Windows di cui è stato eseguito l'onboarding usando un'app Bluetooth non consentita. Per altre informazioni, vedere App Bluetooth non consentite (con restrizioni). Questo non è supportato per macOS.
Copiare o spostare con RDP	Rileva quando gli utenti copiano o spostano file protetti da un dispositivo Windows di cui è stato eseguito l'onboarding in un'altra posizione usando RDP. Questo non è supportato per macOS.

Attività app con restrizioni

Chiamate in precedenza app non consentite, le attività con restrizioni delle app sono app su cui si vogliono applicare restrizioni. Queste app vengono definite in un elenco nelle impostazioni di prevenzione della perdita dei dati degli endpoint. Quando un utente tenta di accedere a un file protetto da prevenzione della perdita dei dati usando un'app presente nell'elenco, è possibile , Audit onlyBlock with overrideo Block l'attività . Le azioni DLP definite nelle attività dell'app con restrizioni vengono sottoposte a override se l'app è membro di un gruppo di app con restrizioni. Vengono quindi applicate le azioni definite nel gruppo di app con restrizioni.

Attività	Descrizione/opzioni
Accesso tramite app con restrizioni	Rileva quando le app non consentite provano ad accedere ai file protetti in un dispositivo Windows di cui è stato eseguito l'onboarding. Per altre informazioni, vedere App con restrizioni e gruppi di app.

Attività sui file per le app in gruppi di app con restrizioni (anteprima)

È possibile definire i gruppi di app con restrizioni nelle impostazioni di prevenzione della perdita dei dati degli endpoint e aggiungere gruppi di app con restrizioni ai criteri. Quando si aggiunge un gruppo di app con restrizioni a un criterio, è necessario selezionare una di queste opzioni:

• Non limitare l'attività dei file
• Applicare restrizioni a tutte le attività
• Applicare restrizioni a un'attività specifica

Quando si seleziona una delle opzioni Applica restrizioni e un utente tenta di accedere a un file protetto da prevenzione della perdita dei dati usando un'app nel gruppo di app con restrizioni, è possibile , Audit onlyBlock with overrideo Block per attività. Le azioni DLP definite qui sostituiscono le azioni definite in Attività di app con restrizioni e Attività file per tutte le app per l'app.

Per altre informazioni, vedere App con restrizioni e gruppi di app per altre informazioni

Nota

La posizione dei dispositivi fornisce molte sottoattività (condizioni) e azioni. Per altre informazioni, vedere Attività endpoint su cui è possibile monitorare e intervenire.

Importante

La condizione Copia negli Appunti rileva quando un utente copia le informazioni da un file protetto negli Appunti. Usare Copia negli Appunti per bloccare, bloccare con override o controllare quando gli utenti copiano le informazioni da un file protetto.

La condizione Incolla in browser supportati rileva quando un utente tenta di incollare testo sensibile in un campo di testo o in un modulo Web usando Microsoft Edge, Google Chrome con estensione Microsoft Purview o Mozilla Firefox con estensione Microsoft Purview indipendentemente dalla provenienza di tali informazioni. Usare Incolla per i browser supportati per bloccare, bloccare con override o controllare quando gli utenti incollano informazioni riservate in un campo di testo o in un Modulo Web.

Azioni delle istanze

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365
• Limitare le app di terze parti

Azioni dei repository locali

• Limitare l'accesso o rimuovere i file locali.
  • Impedire agli utenti di accedere ai file archiviati nei repository locali
  • Impostare le autorizzazioni per il file (autorizzazioni ereditate dalla cartella padre)
  • Spostare il file da dove è archiviato in una cartella di quarantena

Per informazioni dettagliate, vedere Azioni del repository locale DLP .

Azioni di Power BI

• Inviare una notifica agli utenti tramite messaggio di posta elettronica e suggerimenti per i criteri
• Inviare avvisi all'amministratore

Azioni disponibili quando si combinano le posizioni

Se si seleziona Exchange e un'altra posizione singola per il criterio a cui applicare il criterio,

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 e sono disponibili tutte le azioni per le azioni di percorso non Di Exchange.

Se si selezionano due o più posizioni non Di Exchange per i criteri a cui applicare il criterio,

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 e tutte le azioni per le azioni di percorsi non Di Exchange saranno disponibili.

Ad esempio, se si selezionano le posizioni di Exchange e Dispositivi, queste azioni saranno disponibili:

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365
• Controllare o limitare le attività nei dispositivi Windows

Se si seleziona Dispositivi e istanze, queste azioni saranno disponibili:

• Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365
• Controllare o limitare le attività nei dispositivi Windows
• Limitare le app di terze parti

L'effetto o meno di un'azione dipende dalla modalità di configurazione dei criteri. È possibile scegliere di eseguire i criteri in modalità di simulazione con o senza visualizzare la descrizione dei criteri selezionando l'opzione Esegui il criterio in modalità di simulazione . È possibile scegliere di eseguire il criterio non appena un'ora dopo che è stato creato selezionando l'opzione Attiva immediatamente oppure è possibile scegliere di salvarlo e tornare in un secondo momento selezionando l'opzione Mantienilo disattivato .

Limitazioni della piattaforma DLP per le azioni

Nome azione	Carico di lavoro	Limiti
Limitare l'accesso o crittografare il contenuto in Microsoft 365	EXO/SPO/ODB
Impostare le intestazioni	EXO
Rimuovi intestazione	EXO
Reindirizzare il messaggio a utenti specifici	EXO	Totale di 100 in tutte le regole DLP. Non può essere DL/SG
Inoltrare il messaggio per l'approvazione al responsabile del mittente	EXO	Manager deve essere definito in ACTIVE Directory
Inoltrare il messaggio per l'approvazione a responsabili approvazione specifici	EXO	I gruppi non sono supportati
Aggiungere il destinatario alla casella A	EXO	Numero <di destinatari = 10; Non può essere DL/SG
Aggiungere il destinatario alla casella Cc	EXO	Numero <di destinatari = 10; Non può essere DL/SG
Aggiungere il destinatario alla casella Ccn	EXO	Numero <di destinatari = 10; Non può essere DL/SG
Aggiungere il responsabile del mittente come destinatario	EXO	L'attributo manager deve essere definito in ACTIVE Directory
Applica dichiarazione di non responsabilità HTML	EXO
Oggetto anteposto	EXO
Applicare la crittografia dei messaggi	EXO
Rimuovere la crittografia dei messaggi	EXO

Notifiche utente e suggerimenti per i criteri

Quando un utente tenta un'attività su un elemento sensibile in un contesto che soddisfa le condizioni di una regola, ad esempio contenuto come una cartella di lavoro di Excel in un sito di OneDrive che contiene informazioni personali (PII) e viene condiviso con un guest, è possibile comunicarlo tramite messaggi di posta elettronica di notifica utente e popup di suggerimento per i criteri nel contesto. Queste notifiche sono utili perché aumentano la consapevolezza e aiutano a informare gli utenti sui criteri di prevenzione della perdita dei dati dell'organizzazione.

Importante

• I messaggi di posta elettronica di notifica vengono inviati senza protezione.
• Email le notifiche sono supportate solo per i servizi di Microsoft 365.

Email supporto delle notifiche in base alla posizione selezionata

Posizione selezionata	notifiche Email supportate
Dispositivi	- Non supportato
Exchange + Dispositivi	- Supportato per Exchange - Non supportato per i dispositivi
Exchange	-Supportati
SharePoint + Dispositivi	- Supportato per SharePoint - Non supportato per i dispositivi
SharePoint	-Supportati
Exchange + SharePoint	- Supportato per Exchange - Supportato per SharePoint
Dispositivi + SharePoint + Exchange	- Non supportato per i dispositivi - Supportato per SharePoint supportato per Exchange
Teams	- Non supportato
OneDrive	- Supportato per OneDrive per l'azienda o l'istituto di istruzione - Non supportato per i dispositivi
Power-BI	- Non supportato
Istanze	- Non supportato
Repository locali	- Non supportato
Exchange + SharePoint + OneDrive	- Supportato per Exchange - Supportato per SharePoint - Supportato per OneDrive

È anche possibile offrire agli utenti la possibilità di ignorare i criteri, in modo che non vengano bloccati se hanno un'esigenza aziendale valida o se i criteri rilevano un falso positivo.

Le opzioni di configurazione delle notifiche utente e dei suggerimenti per i criteri variano a seconda dei percorsi di monitoraggio selezionati. Se è stato selezionato:

• Exchange
• SharePoint
• OneDrive
• Chat e canale di Teams
• Istanze

È possibile abilitare/disabilitare le notifiche utente per varie app Microsoft, vedere Informazioni di riferimento per i suggerimenti per i criteri di prevenzione della perdita dei dati

• È possibile abilitare o disabilitare le notifiche con un suggerimento per i criteri.
  • notifiche tramite posta elettronica all'utente che ha inviato, condiviso o modificato il contenuto oppure
  • notificare persone specifiche

e personalizzare il testo, l'oggetto e il testo della descrizione dei criteri.

Per informazioni dettagliate sulla personalizzazione dei messaggi di posta elettronica di notifica dell'utente finale, vedere Notifiche di posta elettronica personalizzate.

Se si seleziona Solo dispositivi, si otterranno tutte le stesse opzioni disponibili per Exchange, SharePoint, OneDrive, Teams Chat e Canale e Istanze, oltre all'opzione per personalizzare il titolo e il contenuto della notifica visualizzati nel dispositivo Windows 10/11.

È possibile personalizzare il titolo e il corpo del testo usando i parametri seguenti.

Nome comune	Parametro	Esempio
nome del file	%%FileName%%	Contoso doc 1
nome processo	%%ProcessName%%	Word
nome criterio	%%PolicyName%%	Contoso altamente riservato
action	%%AppliedActions%%	incolla del contenuto del documento dagli Appunti a un'altra app

Popup di limiti dei caratteri dei messaggi personalizzati

Le notifiche utente sono soggette ai limiti di caratteri seguenti:

Variabile	Limite di caratteri
DLP_MAX-SIZE-TITLE	120
DLP_MAX-SIZE-CONTENT	250
DLP_MAX-SIZE-JUSTIFICATION	250

%%AppliedActions%% sostituisce questi valori nel corpo del messaggio:

action common name	valore sostituito in per il parametro %%AppliedActions%%
copiare nell'archiviazione rimovibile	scrittura in un archivio rimovibile
copia nella condivisione di rete	scrittura in una condivisione di rete
Stampare	Stampa
incolla dagli Appunti	incolla dagli Appunti
copia tramite bluetooth	trasferimento tramite Bluetooth
aprire con un'app non consentita	apertura con questa app
copiare in un desktop remoto (RDP)	trasferimento su desktop remoto
caricamento in un sito Web non consentito	caricamento in questo sito
accesso all'elemento tramite un browser non consentito	apertura con questo browser

Uso di questo testo personalizzato

%%AppliedActions%% Il nome del file %%FileName%% tramite %%ProcessName%% non è consentito dall'organizzazione. Selezionare 'Consenti' se si vuole ignorare il criterio %%PolicyName%%

genera questo testo nella notifica personalizzata:

incolla dal nome file degli Appunti: Contoso doc 1 tramite WINWORD.EXE non è consentito dall'organizzazione. Selezionare il pulsante 'Consenti' se si vuole ignorare il criterio Contoso altamente riservato

È possibile localizzare i suggerimenti per i criteri personalizzati usando il cmdlet Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.

Nota

Le notifiche utente e i suggerimenti per i criteri non sono disponibili per la posizione locale

Viene visualizzato solo il suggerimento per i criteri della regola più restrittiva con la priorità più alta. Ad esempio, verrà visualizzato un suggerimento per i criteri di una regola che blocca l'accesso al contenuto rispetto a un suggerimento per i criteri di una regola che invia semplicemente una notifica. In questo modo, gli utenti evitano di dover leggere troppi suggerimenti per i criteri.

Per altre informazioni sulla configurazione e sull'uso delle notifiche degli utenti e dei suggerimenti per i criteri, incluso come personalizzare la notifica e il testo della mancia, vedere

• Inviare notifiche tramite posta elettronica e visualizzare i suggerimenti per i criteri di prevenzione della perdita dei dati.

Riferimenti ai suggerimenti per i criteri

I dettagli sul supporto per suggerimenti sui criteri e notifiche per app diverse sono disponibili qui:

• Informazioni di riferimento per i criteri di prevenzione della perdita dei dati per Outlook per Microsoft 365
• Informazioni di riferimento sui suggerimenti per i criteri di prevenzione della perdita dei dati per Outlook sul Web
• Informazioni di riferimento su SharePoint per i criteri di prevenzione della perdita dei dati in Microsoft 365 e OneDrive. client Web

Blocco e notifiche in SharePoint in Microsoft 365 e OneDrive

La tabella seguente illustra il comportamento di blocco e notifica DLP per i criteri con ambito SharePoint in Microsoft 365 e OneDrive.

Condizioni	Configurazione delle azioni	Configurazione della notifica utente	Configurazione dei report sugli eventi imprevisti	Comportamento di blocco e notifica
- Il contenuto viene condiviso da Microsoft 365 - con persone esterne all'organizzazione	Nessuna azione configurata	- Le notifiche utente impostate su On - Notify users in Office 365 service with a policy tip is selected Notify the user who sent, shared, or last modified the content is selected -	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di una regola impostata su On - Send alert ogni volta che un'attività corrisponde alla regola impostata su On - Use email incident reports to notify you when a policy match occurs impostato su On	Le notifiche verranno inviate solo quando un file viene condiviso con un utente esterno e un utente esterno accede al file.
- Il contenuto viene condiviso da Microsoft 365 - solo con persone all'interno dell'organizzazione	Nessuna azione configurata	- Le notifiche utente impostate su On - Notify users in Office 365 service with a policy tip is selected Notify the user who sent, shared, or last modified the content is selected -	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di una regola impostata su On Send alert every time an activity matches the rule is selected - Use email incident reports to notify you when a policy match occurs set to On-	Le notifiche vengono inviate quando viene caricato un file
- Il contenuto viene condiviso da Microsoft 365 - solo con persone all'interno dell'organizzazione	- È selezionato Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file condivisi di SharePoint, OneDrive e Teams è selezionato -Blocca tutti gli utenti è selezionato	- Le notifiche utente impostate su On - Notify users in Office 365 service with a policy tip is selected Notify the user who sent, shared, or last modified the content is selected -	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di regola impostato su On - Send alert every time an activity matches the rule is set to On - Use email incident reports to notify you when a policy match occurs impostato su On	- L'accesso ai file sensibili viene bloccato non appena vengono caricati - Le notifiche vengono inviate quando viene caricato un file
- Il contenuto viene condiviso da Microsoft 365 - con persone esterne all'organizzazione	- L'opzione Limita l'accesso o crittografa il contenuto nelle posizioni di Microsoft 365 è selezionata - Per impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file condivisi di SharePoint, OneDrive e Teams, è selezionata l'opzione - Blocca solo le persone esterne all'organizzazione	- Le notifiche utente impostate su On - Notify users in Office 365 service with a policy tip is selected Notify the user who sent, shared, or last modified the content is selected -	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di una regola impostata su On Send alert every time an activity matches the rule is selected - Use email incident reports to notify you when a policy match occurs set to On-	- L'accesso a un file sensibile viene bloccato non appena viene caricato, indipendentemente dal fatto che il documento sia condiviso o meno per tutti gli utenti esterni. - Se le informazioni sensibili vengono aggiunte a un file dopo essere state condivise e accessibili da un utente esterno all'organizzazione, verranno inviati avvisi e report sugli eventi imprevisti. Se il documento contiene informazioni riservate prima del caricamento, la condivisione esterna verrà bloccata in modo proattivo. Poiché la condivisione esterna in questo scenario viene bloccata quando il file viene caricato, non vengono inviati avvisi o report sugli eventi imprevisti. L'eliminazione degli avvisi e dei report degli eventi imprevisti è progettata per impedire un'inondazione di avvisi all'utente per ogni file bloccato. - Il blocco proattivo verrà visualizzato come evento nel log di controllo e in Esplora attività.
- Il contenuto viene condiviso da Microsoft 365 - con persone esterne all'organizzazione	- L'opzione Limita l'accesso o crittografa il contenuto nelle posizioni di Microsoft 365 è selezionata - Per impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file condivisi di SharePoint, OneDrive e Teams, è selezionata l'opzione - Blocca tutti gli utenti selezionata	- Le notifiche utente impostate su On - Notify users in Office 365 service with a policy tip is selected Notify the user who sent, shared, or last modified the content is selected -	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di una regola impostata su On Send alert every time an activity matches the rule is selected - Use email incident reports to notify you when a policy match occurs set to On-	Le notifiche vengono inviate quando un file viene condiviso con un utente esterno e un utente esterno accede a tale file.
- Il contenuto viene condiviso da Microsoft 365	- Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 è selezionato - Blocca solo le persone a cui è stato concesso l'accesso al contenuto tramite l'opzione "Chiunque con il collegamento" è selezionata.	- Le notifiche utente impostate suOn Notify users in Office 365 service with a policy tip (Notifiche utente impostate su On - Notify users in Office 365 service with a policy tip) sono selezionate. - Notificare all'utente che ha inviato, condiviso o modificato l'ultima volta che il contenuto è selezionato	- Inviare un avviso agli amministratori quando si verifica una corrispondenza di una regola impostata su On Send alert every time an activity matches the rule is selected - Use email incident reports to notify you when a policy match occurs set to On-	Le notifiche vengono inviate non appena viene caricato un file.

Altre informazioni sull'URL

Gli utenti potrebbero voler scoprire perché l'attività viene bloccata. È possibile configurare un sito o una pagina che spiega di più sui criteri. Quando si seleziona Specificare un URL di conformità per l'utente finale per altre informazioni sui criteri dell'organizzazione (disponibili solo per Exchange) e l'utente riceve una notifica di suggerimento per i criteri in Outlook Win 32, il collegamento Altre informazioni punterà all'URL del sito specificato. Questo URL ha la priorità rispetto all'URL di conformità globale configurato con Set-PolicyConfig -ComplainceURL.

Importante

È necessario configurare il sito o la pagina a cui sono disponibili altre informazioni . Microsoft Purview non offre questa funzionalità predefinita.

Override dell’utente

Lo scopo delle sostituzioni utente è quello di offrire agli utenti un modo per ignorare, con giustificazione, le azioni di blocco dei criteri DLP sugli elementi sensibili in Exchange, SharePoint, OneDrive o Teams, in modo che possano continuare il loro lavoro. Le sostituzioni degli utenti vengono abilitate solo quando è abilitata la notifica agli utenti in Office 365 servizi con un suggerimento per i criteri, in modo che le sostituzioni degli utenti vengano affiancate alle notifiche e ai suggerimenti per i criteri.

Nota

Le sostituzioni utente non sono disponibili per il percorso dei repository locali.

In genere, le sostituzioni utente sono utili quando l'organizzazione sta implementando per la prima volta un criterio. Il feedback ricevuto da qualsiasi giustificazione di override e l'identificazione di falsi positivi consentono di ottimizzare i criteri.

• Se i suggerimenti per i criteri nella regola più restrittiva permettono agli utenti di eseguire l'override della regola, l'override di questa regola comporta anche l'override di qualsiasi altra regola corrispondente al contenuto.

X-Header per la giustificazione aziendale

Quando un utente esegue l'override di un blocco con un'azione di override su un messaggio di posta elettronica, l'opzione di sostituzione e il testo fornito vengono archiviati nel log di controllo e nell'intestazione X della posta elettronica. Per visualizzare le sostituzioni della giustificazione aziendale , cercare il valore nel log di controllo per ExceptionInfo i dettagli. Ecco un esempio dei valori del log di controllo:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

Se si dispone di un processo automatizzato che usa i valori di giustificazione aziendale, il processo può accedere a tali informazioni a livello di codice nei dati X-header di posta elettronica.

Nota

I msip_justification valori vengono archiviati nell'ordine seguente:

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

Si noti che i valori sono separati da punti e virgola. Il testo libero massimo consentito è di 500 caratteri.

Report degli incidenti

Quando viene trovata una corrispondenza con una regola, è possibile inviare un messaggio di posta elettronica di avviso al responsabile della conformità (o a qualsiasi persona scelta) con i dettagli dell'evento ed è possibile visualizzarli nel dashboard Avvisi di prevenzione della perdita dei dati di Microsoft Purview e nel portale di Microsoft 365 Defender. Un avviso include informazioni sull'elemento corrispondente, sul contenuto effettivo corrispondente alla regola e sul nome dell'ultima persona che ha modificato il contenuto.

Nei messaggi di posta elettronica di avviso dell'amministratore di anteprima sono inclusi dettagli come:

• Gravità dell'avviso
• Ora in cui si è verificato l'avviso
• Attività.
• Dati sensibili rilevati.
• Alias dell'utente la cui attività ha attivato l'avviso.
• Criteri corrispondenti.
• ID avviso
• Operazione dell'endpoint che è stata tentata se la posizione Dispositivi si trova nell'ambito dei criteri.
• App in uso.
• Nome del dispositivo se la corrispondenza si è verificata in un dispositivo endpoint.

DLP fornisce informazioni sugli eventi imprevisti ad altri servizi di Microsoft Purview Information Protection, ad esempio la gestione dei rischi Insider. Per ottenere informazioni sugli eventi imprevisti per la gestione dei rischi Insider, è necessario impostare il livello di gravità dei report sugli eventi imprevisti su Alto.

Tipi di avviso

Gli avvisi possono essere inviati ogni volta che un'attività corrisponde a una regola, che può essere rumorosa o aggregabile in base al numero di corrispondenze o al volume di elementi in un determinato periodo di tempo. Esistono due tipi di avvisi che possono essere configurati nei criteri DLP.

Gli avvisi a singolo evento vengono in genere usati nei criteri che monitorano gli eventi altamente sensibili che si verificano in un volume ridotto, ad esempio un singolo messaggio di posta elettronica con 10 o più numeri di carta di credito dei clienti inviati all'esterno dell'organizzazione.

Gli avvisi degli eventi aggregati vengono in genere usati nei criteri che monitorano gli eventi che si verificano in un volume superiore in un periodo di tempo. Ad esempio, un avviso aggregato può essere attivato quando 10 singoli messaggi di posta elettronica con un numero di carta di credito del cliente vengono inviati all'esterno dell'organizzazione per 48 ore.

Altre opzioni di avviso

Quando si seleziona Use email incident reports to notify you when a policy match you can choose to include:

• Nome dell'ultima persona che ha modificato il contenuto.
• Tipi di contenuto sensibile corrispondenti alla regola.
• Livello di gravità della regola.
• Contenuto corrispondente alla regola, incluso il testo circostante.
• Elemento contenente il contenuto corrispondente alla regola.

Per altri dettagli sugli avvisi, vedere:

• Avvisi nei criteri DLP: descrive gli avvisi nel contesto di un criterio DLP.
• Introduzione agli avvisi di prevenzione della perdita dei dati: illustra i dettagli necessari per la prevenzione della perdita dei dati, le autorizzazioni e i prerequisiti necessari per gli avvisi DLP e i dettagli di riferimento degli avvisi.
• Create e distribuire i criteri di prevenzione della perdita dei dati: include indicazioni sulla configurazione degli avvisi nel contesto della creazione di criteri DLP.
• Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati: illustra i vari metodi per l'analisi degli avvisi DLP.
• Analizzare gli eventi imprevisti di perdita dei dati con Microsoft Defender XDR: come analizzare gli avvisi DLP nel portale di Microsoft Defender.

Raccolta di prove per le attività dei file nei dispositivi

Se è stata abilitata la raccolta di prove di installazione per le attività file nei dispositivi e sono stati aggiunti account di archiviazione di Azure, è possibile selezionare Raccogli file originale come prova per tutte le attività di file selezionate nell'endpoint e nell'account di archiviazione di Azure in cui si vogliono copiare gli elementi. È anche necessario scegliere le attività per cui si desidera copiare gli elementi. Ad esempio, se si seleziona Stampa ma non Copia in una condivisione di rete, solo gli elementi stampati dai dispositivi monitorati verranno copiati nell'account di archiviazione di Azure.

Opzioni aggiuntive

Se sono presenti più regole in un criterio, è possibile usare le opzioni aggiuntive per controllare l'ulteriore elaborazione delle regole se è presente una corrispondenza con la regola che si sta modificando, nonché impostare la priorità per la valutazione della regola.

Vedere anche

• Informazioni sulla prevenzione della perdita di dati
• Pianificare la prevenzione della perdita dei dati (DLP)
• Create e Distribuire i criteri di prevenzione della perdita dei dati