Creare e distribuire criteri di prevenzione della perdita dei dati

Esistono molte opzioni di configurazione in un criterio Prevenzione della perdita dei dati Microsoft Purview (DLP). Ogni opzione modifica il comportamento dei criteri. Questo articolo presenta alcuni scenari di finalità comuni per i criteri mappati alle opzioni di configurazione. Viene quindi illustrata la configurazione di tali opzioni. Dopo aver familiarità con questi scenari, si ha familiarità con l'esperienza utente di creazione dei criteri di prevenzione della perdita dei dati per creare criteri personalizzati.

La modalità di distribuzione di un criterio è altrettanto importante per la progettazione dei criteri. Sono disponibili più opzioni per controllare la distribuzione dei criteri. Questo articolo illustra come usare queste opzioni in modo che i criteri raggiungano la finalità, evitando costose interruzioni aziendali.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di iniziare

Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali di cui si dovrebbe avere familiarità durante l'implementazione della prevenzione della perdita dei dati:

1. Unità amministrative
2. Informazioni su Prevenzione della perdita dei dati Microsoft Purview: l'articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft per la prevenzione della perdita dei dati.
3. Pianificare la prevenzione della perdita dei dati ( DLP) - Seguendo questo articolo:
   1. Identificare gli stakeholder
   2. Descrivere le categorie di informazioni riservate da proteggere
   3. Impostare obiettivi e strategia
4. Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio.
5. Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
6. Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo, che si sta leggendo ora, presenta alcuni scenari di finalità dei criteri comuni mappati alle opzioni di configurazione. Viene quindi illustrata la configurazione di tali opzioni e vengono fornite indicazioni sulla distribuzione di un criterio.
7. Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati : questo articolo illustra il ciclo di vita degli avvisi dalla creazione, fino alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.

Licenze per SKU/abbonamenti

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

Autorizzazioni

L'account usato per creare e distribuire i criteri deve essere membro di uno di questi gruppi di ruoli

• Amministratore di conformità
• Amministratore dati di conformità
• Azure Information Protection
• Amministratore di Information Protection
• Amministratore della sicurezza

Importante

Assicurarsi di comprendere la differenza tra un amministratore senza restrizioni e un amministratore con restrizioni di unità amministrative leggendo Le unità amministrative prima di iniziare.

Ruoli granulari e gruppi di ruoli

Esistono ruoli e gruppi di ruoli che è possibile usare per ottimizzare i controlli di accesso.

Ecco un elenco di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nella Portale di conformità di Microsoft Purview.

• Gestione della conformità DLP
• Amministratore di Information Protection
• Analista di Information Protection
• Investigatore di Information Protection
• Lettore di Information Protection

Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.

• Azure Information Protection
• Amministratori di Information Protection
• Analisti di Information Protection
• Investigatori di Information Protection
• Lettori di Information Protection

Scenari di creazione di criteri

L'articolo precedente Progettare un criterio DLP ha introdotto la metodologia di creazione di un'istruzione di finalità dei criteri e quindi il mapping di tale istruzione intent alle opzioni di configurazione dei criteri. In questa sezione vengono illustrati questi esempi, oltre ad altri esempi e viene illustrato il processo effettivo di creazione dei criteri. È consigliabile usare questi scenari nell'ambiente di test per acquisire familiarità con l'interfaccia utente di creazione dei criteri.

Nel flusso di creazione dei criteri sono disponibili così tante opzioni di configurazione che non è possibile coprire tutte o anche la maggior parte delle configurazioni. Questo articolo illustra quindi diversi scenari di criteri DLP più comuni. L'analisi di questi elementi offre un'esperienza pratica in un'ampia gamma di configurazioni.

Scenario 1 Bloccare i messaggi di posta elettronica con numeri di carta di credito

Importante

Si tratta di uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. È consigliabile sostituire i propri tipi di informazioni sensibili, le etichette di riservatezza, i gruppi di distribuzione e gli utenti.

Prerequisiti e presupposti dello scenario 1

Questo scenario usa l'etichetta Di riservatezza altamente riservata , pertanto è necessario che siano state create e pubblicate etichette di riservatezza. Per altre informazioni, vedere:

• Informazioni sulle etichette di riservatezza
• Iniziare a usare le etichette di riservatezza
• Creare e configurare etichette di riservatezza e i relativi criteri

Questa procedura usa un ipotetico gruppo di distribuzione Finance team in Contoso.com e un ipotetico destinatario adele.vance@fabrikam.comSMTP.

Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati

Scenario 1 - Istruzione e mapping delle finalità dei criteri

È necessario bloccare i messaggi di posta elettronica a tutti i destinatari che contengono numeri di carta di credito o che hanno l'etichetta di riservatezza "altamente riservata" applicata, tranne se il messaggio di posta elettronica viene inviato da un utente del team finanziario a adele.vance@fabrikam.com. Si vuole notificare all'amministratore della conformità ogni volta che un messaggio di posta elettronica viene bloccato e notificare all'utente che ha inviato l'elemento e a nessuno può essere consentito di ignorare il blocco. Tenere traccia di tutte le occorrenze di questo evento ad alto rischio nel log e si vogliono i dettagli degli eventi acquisiti e resi disponibili per l'analisi

Istruzione	Risposta alla domanda di configurazione e mapping della configurazione
"Dobbiamo bloccare i messaggi di posta elettronica a tutti i destinatari..."	- Dove monitorare: Ambito amministrativo di Exchange - : Azione directory - completa: Limitare l'accesso o crittografare il contenuto nelle posizioni > di Microsoft 365 Impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file > condivisi di SharePoint, OneDrive e Teams Bloccare tutti
"... che contengono numeri di carta di credito o che hanno l'etichetta di riservatezza "altamente riservata" applicata..."	- Cosa monitorare usare il modello - personalizzato Condizioni per una corrispondenza modificarlo per aggiungere l'etichetta di riservatezza altamente riservata
"... tranne se..."	- Configurazione del gruppo di condizioni: creare un gruppo di condizioni NOT booleano annidato unito alle prime condizioni usando un and booleano
"... il messaggio di posta elettronica viene inviato da un utente del team finanziario..."	- Condizione per la corrispondenza: il mittente è un membro di
"... e..."	- Condizione per la corrispondenza: aggiungere una seconda condizione al gruppo NOT
"... a adele.vance@fabrikam.com..."	- Condizione per la corrispondenza: il mittente è
"... Notifica..."	- Notifiche utente: suggerimenti per i criteri abilitati - : abilitati
"... l'amministratore della conformità ogni volta che viene bloccato un messaggio di posta elettronica e invia una notifica all'utente che ha inviato l'elemento..."	- Suggerimenti per i criteri: abilitata - Notifica a queste persone: selezionata La persona che ha inviato, condiviso o modificato il contenuto: selezionata - Invia il messaggio di posta elettronica a queste persone aggiuntive: aggiungere l'indirizzo di posta elettronica dell'amministratore della conformità-
"... e nessuno può essere autorizzato a sostituire il blocco...	- Consenti sostituzioni da M365 Services: non selezionato
"... Tenere traccia di tutte le occorrenze di questo evento ad alto rischio nel log e si vogliono ottenere i dettagli degli eventi acquisiti e resi disponibili per l'analisi."	- Usare questo livello di gravità negli avvisi e nei report dell'amministratore: alto - Invia un avviso agli amministratori quando si verifica una corrispondenza di regola: selezionata - Invia avviso ogni volta che un'attività corrisponde alla regola: selezionata

Passaggi per creare criteri per lo scenario 1

Importante

Ai fini di questa procedura di creazione dei criteri, si accetteranno i valori predefiniti di inclusione/esclusione e si lascerà disattivato il criterio. Queste modifiche verranno apportate quando si distribuiscono i criteri.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview

2. Aprire la soluzione Prevenzione della perdita dei dati e passare a Criteri>+ Crea criteri.

3. Selezionare Personalizzato dall'elenco Categorie .

4. Selezionare Personalizzato dall'elenco Regolamenti .

5. Scegliere Avanti.

6. Assegnare al criterio un nome nome e una descrizione. È possibile usare l'istruzione finalità dei criteri qui.

   Importante

   I criteri non possono essere rinominati

7. Seleziona Avanti.

8. Assegnare unità amministrative. Per applicare i criteri a tutti gli utenti, accettare l'impostazione predefinita.

9. Scegliere Avanti.

10. Scegliere dove applicare i criteri. Selezionare solo il percorso di posta elettronica di Exchange . Deselezionare tutte le altre posizioni.

11. Scegliere Avanti.

12. Nella pagina Definisci impostazioni criteri è già selezionata l'opzione Crea o personalizza regole DLP avanzate .

13. Seleziona Avanti.

14. Selezionare Crea regola. Assegnare alla regola il nome e specificare una descrizione.

15. In Condizioni selezionare Aggiungi condizione>Contenuto contiene

16. (Facoltativo) Immettere un nome di gruppo.

17. (Facoltativo) Selezionare un operatore group

18. Selezionare Aggiungi>tipi di> informazioni sensibiliNumero carta di credito.

19. Scegliere Aggiungi.

20. Sempre all'interno della sezione Contenuto contiene selezionare Aggiungi>etichette> diriservatezza Altamente riservato e quindi scegliere Aggiungi.

21. Quindi, sotto la sezione Contenuto contiene scegliere Aggiungi gruppo.

22. Lasciare l'operatore Boolean impostato su AND, quindi impostare l'interruttore su NOT.

23. Selezionare Aggiungi condizione.

24. Selezionare Mittente di cui è membro.

25. Selezionare Aggiungi o Rimuovi gruppi.

26. Selezionare Finance Team e quindi scegliere Aggiungi.

27. Scegliere Aggiungi condizione>Destinatario.

28. Nel campo e-mail immettere adele.vance@fabrikam.com e selezionare Aggiungi .

29. In Azioni selezionare Aggiungi un'azione>Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365

30. Selezionare Blocca agli utenti la ricezione di posta elettronica o l'accesso ai file condivisi di SharePoint, OneDrive e Teams e quindi selezionare Blocca tutti.

31. Impostare l'interruttore Notifiche utente su Attivato.

32. Selezionare Email notifiche>Notificare alla persona che ha inviato, condiviso o modificato il contenuto per l'ultima volta.

33. Scegliere se allegare o meno un messaggio di posta elettronica corrispondente alla notifica.

34. Scegliere se aggiungere o meno suggerimenti per i criteri.

35. In ovverides utente assicurarsi che l'opzioneConsenti sostituzioni da app e servizi di Microsoft 365non sia selezionata.

36. In Report eventi imprevisti impostare Usa questo livello di gravità negli avvisi e nei report dell'amministratore su Alto.

37. Impostare Invia avviso ogni volta che un'attività corrisponde all'interruttore della regola su Attivato.

38. Scegliere Salva.

39. Scegliere Avanti e quindi Esegui i criteri in modalità di simulazione.

40. Scegliere Avanti e quindi Invia.

41. Scegliere Fine.

Portale di conformità

1. Accedere al criterio Portale di conformità di Microsoft Purview>Solutions>Data loss preventionPolicies+ Create (Criteri> di prevenzione > della perdita dei dati delle soluzioni+ Crea).

2. Selezionare Personalizzato dall'elenco Categorie .

3. Selezionare Personalizzato dall'elenco Regolamenti e quindi scegliere Avanti.

4. Assegnare un nome al criterio.

   Importante

   I criteri non possono essere rinominati.

5. Compilare una descrizione. È possibile usare l'istruzione finalità dei criteri qui.

6. Scegliere Avanti.

7. Accettare l'impostazione predefinita Directory completa in unità di Amministrazione.

8. Impostare lo stato del percorso di posta elettronica di Exchangesu Sì. Deselezionare tutte le altre posizioni.

9. Scegliere Avanti.

10. L'opzione Crea o personalizza regole DLP avanzate deve essere già selezionata. Scegliere Avanti.

11. Selezionare + Crea regola. Assegnare alla regola il nome e specificare una descrizione.

12. In Condizioni selezionare Aggiungi condizione>Contenuto contiene>Aggiungi>tipi di> informazioni sensibiliNumero carta di credito. Scegliere Aggiungi.

13. Selezionare Aggiungi>etichette> diriservatezza Altamente riservato. Scegliere Aggiungi.

14. Selezionare Aggiungi gruppo>E>NON>Aggiungi condizione.

15. Selezionare Mittente è un membro di Add or Remove Distribution GroupsFinance Team .Select Sender is a member of>Add or Remove Distribution Groups> Finance Team.

16. Scegliere Aggiungi.

17. Scegliere Aggiungi condizione>Destinatario. Aggiungere adele.vance@fabrikam.com e quindi scegliere Aggiungi.

18. In Azione selezionare Aggiungi e azione Limitare l'accesso>o crittografare il contenuto nelle posizioni di Microsoft 365.

19. Selezionare Blocca agli utenti la ricezione di posta elettronica o l'accesso a file e elementi di Power BI condivisi di SharePoint, OneDrive e Teams.

20. Selezionare Blocca tutti.

21. Impostare Notifiche utentesu Attivato.

22. Selezionare Email notifica>Notifica a queste persone:>la persona che ha inviato, condiviso o modificato il contenuto.

23. In Inviare il messaggio di posta elettronica a queste persone aggiuntive e aggiungere l'indirizzo di posta elettronica dell'amministratore della conformità.

24. In Sostituzioni utente assicurarsi che l'opzione Consenti override dai servizi M365non sia selezionata.

25. In Report eventi imprevisti impostare Usa questo livello di gravità negli avvisi e nei report dell'amministratore su Elevato.

26. Impostare Invia un avviso agli amministratori quando si verifica una corrispondenza di regola su Sì.

27. Selezionare Invia avviso ogni volta che un'attività corrisponde alla regola.

28. Scegliere Salva.

29. Scegliere Avanti

30. Nella pagina Modalità criteri selezionare Esegui i criteri in modalità di simulazione e quindi scegliere Avanti.

31. Scegliere Invia e quindi Fatto.

Scenario 2 Bloccare la condivisione di elementi sensibili tramite SharePoint e OneDrive in Microsoft 365 con utenti esterni

Per SharePoint e OneDrive in Microsoft 365, è possibile creare un criterio per bloccare la condivisione di elementi sensibili con utenti esterni tramite SharePoint e OneDrive.

Prerequisiti e presupposti dello scenario 2

Questo scenario usa l'etichetta di riservatezza Riservato , pertanto è necessario che siano state create e pubblicate etichette di riservatezza. Per altre informazioni, vedere:

• Informazioni sulle etichette di riservatezza
• Iniziare a usare le etichette di riservatezza
• Creare e configurare etichette di riservatezza e i relativi criteri

Questa procedura usa un ipotetico gruppo di distribuzione Risorse umane e un gruppo di distribuzione per il team di sicurezza in Contoso.com.

Questa procedura usa gli avvisi, vedere: Introduzione agli avvisi di prevenzione della perdita dei dati

Scenario 2 - Istruzione e mapping delle finalità dei criteri

È necessario bloccare la condivisione di tutti gli elementi di SharePoint e OneDrive a tutti i destinatari esterni che contengono numeri di previdenza sociale, dati della carta di credito o l'etichetta di riservatezza "Riservato". Non vogliamo che questo si applichi a nessuno nel team delle risorse umane. È anche necessario soddisfare i requisiti di avviso. Si vuole inviare un messaggio di posta elettronica al team di sicurezza ogni volta che un file viene condiviso e quindi bloccato. Inoltre, si vuole che l'utente venga avvisato tramite posta elettronica e all'interno dell'interfaccia, se possibile. Infine, non vogliamo eccezioni ai criteri e dobbiamo essere in grado di visualizzare questa attività all'interno del sistema.

Istruzione	Risposta alla domanda di configurazione e mapping della configurazione
"È necessario bloccare la condivisione di tutti gli elementi di SharePoint e OneDrive con tutti i destinatari esterni..."	- Ambito amministrativo: directory - completa Dove monitorare: siti di SharePoint, account - OneDrive Condizioni per una corrispondenza: Prima condizione > condivisa all'esterno dell'organizzazione Azione: Limitare l'accesso - o crittografare il contenuto nelle posizioni > di Microsoft 365 Impedire agli utenti di ricevere posta elettronica o accedere a SharePoint condiviso, OneDrive > Blocca solo le persone esterne all'organizzazione
"... che contengono numeri di previdenza sociale, dati della carta di credito o che hanno l'etichetta di riservatezza "Riservato" ..."	- Cosa monitorare: usare il modello - personalizzato Condizione per una corrispondenza: creare una seconda condizione unita alla prima condizione con una combinazione booleana e - condizioni per una corrispondenza: seconda condizione, primo gruppo > di condizioni Contenuto contiene tipi di informazioni sensibili SSN (U.S. Social Security Number), configurazione del gruppo di condizioni del numero - di carta di credito Creare un secondo gruppo condizione connesso al primo tramite or - booleanoCondizione per una corrispondenza: secondo gruppo di condizioni, seconda condizione > Contenuto contiene una qualsiasi di queste etichette di riservatezza Riservato.
"... Non vogliamo che questo si applichi a nessuno nel team delle risorse umane..."	- Dove applicare escludere gli account OneDrive del team risorse umane
"... Si vuole inviare una notifica al team di sicurezza con un messaggio di posta elettronica ogni volta che un file viene condiviso e quindi bloccato..."	- Report degli eventi imprevisti: inviare un avviso agli amministratori quando si verifica - una corrispondenza di regole Inviare avvisi tramite posta elettronica a queste persone (facoltativo): aggiungere il team - di sicurezza Inviare un avviso ogni volta che un'attività corrisponde alla regola: selezionata - Usare i report degli eventi imprevisti di posta elettronica per notificare quando si verifica una corrispondenza dei criteri: Su - Invia notifiche a queste persone: aggiungere singoli amministratori come desiderato - È anche possibile includere le informazioni seguenti nel report: Selezionare tutte le opzioni
"... Inoltre, si vuole che l'utente venga avvisato tramite posta elettronica e all'interno dell'interfaccia, se possibile..."	- Notifiche utente: In caso di - notifica usa in Office 365 con un suggerimento per i criteri: selezionato
"... Infine, non vogliamo eccezioni ai criteri e dobbiamo essere in grado di vedere questa attività all'interno del sistema..."	-Sostituzioni utente: non selezionato

Quando le condizioni sono configurate, il riepilogo è simile al seguente:

Procedura per creare criteri per lo scenario 2

Importante

Ai fini di questa procedura di creazione dei criteri, i criteri verranno disattivati. È possibile modificarli quando si distribuiscono i criteri.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale di Microsoft Purview

2. SelezionareCriteri> di prevenzione >della perdita dei dati+ Crea criterio.

3. Selezionare Personalizzato sia nell'elenco Categorie che nell'elenco Regolamenti .

4. Scegliere Avanti.

5. Assegnare al criterio un nome nome e una descrizione. È possibile usare l'istruzione finalità dei criteri qui.

   Importante

   I criteri non possono essere rinominati.

6. Seleziona Avanti.

7. Accettare la directory completa predefinita nella pagina Assegna unità di amministrazione .

8. Scegliere Avanti.

9. Scegliere dove applicare i criteri.

   1. Assicurarsi che i siti di SharePoint e le posizioni degli account di OneDrive siano selezionati.
   2. Deselezionare tutte le altre posizioni.
   3. Selezionare Modifica nella colonna Ambito accanto agli account di OneDrive.
   4. Selezionare Tutti gli utenti e i gruppi e quindi Selezionare Escludi utenti e gruppi.
   5. Scegliere +Escludi e quindi Escludi gruppi.
   6. Selezionare Risorse umane.

10. Scegliere Fine e quindi Avanti.

11. Nella pagina Definisci impostazioni criteri è già selezionata l'opzione Crea o personalizza regole DLP avanzate . Scegliere Avanti.

12. Nella pagina Personalizza regole DLP avanzate selezionare + Crea regola.

13. Assegnare alla regola un nome e una descrizione.

14. Selezionare Aggiungi condizione e usare questi valori:

    1. Scegliere Contenuto condiviso da Microsoft 365.
    2. Selezionare con persone esterne all'organizzazione.

15. Selezionare Aggiungi condizione per creare una seconda condizione e usare questi valori.

    1. Selezionare Contenuto contiene.

16. Selezionare Aggiungi> etichette >di riservatezza e quindi Riservato.

17. Scegliere Aggiungi.

18. In Azioni aggiungere un'azione con questi valori:

    1. Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365.
    2. Bloccare solo le persone esterne all'organizzazione.

19. Impostare l'interruttore Notifiche utente su Attivato.

20. Selezionare Notifica agli utenti in Office 365 servizi con un suggerimento per i criteri e quindi selezionare Notifica all'utente che ha inviato, condiviso o modificato il contenuto per l'ultima volta.

21. In Sostituzioni utente verificare che l'opzioneConsenti override dai servizi M365 non sia selezionata.

22. In Report eventi imprevisti:

    1. Impostare Usa questo livello di gravità negli avvisi e nei report dell'amministratore su Basso.
    2. Impostare l'interruttore per Invia un avviso agli amministratori quando si verifica una corrispondenza di regola su Attivato.

23. In Invia avvisi di posta elettronica a queste persone (facoltativo) scegliere + Aggiungi o rimuovi utenti e quindi aggiungere l'indirizzo di posta elettronica del team di sicurezza.

24. Scegliere Salva e quindi avanti.

25. Nella pagina Modalità criteri scegliere Esegui i criteri in modalità di simulazione e Mostra suggerimenti per i criteri in modalità di simulazione.

26. Scegliere Avanti e quindi Invia.

27. Scegliere Fine.

Portale di conformità

1. Nel Portale di conformità di Microsoft Purview passare a Soluzioni Criteri> diprevenzione>> della perdita dei dati+ Crea criterio.

2. Selezionare Personalizzato dall'elenco Categorie e selezionare Criteri personalizzati dall'elenco Regolamenti .

3. Scegliere Avanti.

4. Assegnare un nome al criterio.

   Importante

   I criteri non possono essere rinominati.

5. Compilare una descrizione. È possibile usare l'istruzione finalità dei criteri qui.

6. Scegliere Avanti.

7. Accettare l'impostazione predefinita Directory completa in unità di Amministrazione.

8. Scegliere Avanti.

9. Impostare i siti di SharePoint e le posizioni degli account di OneDrive , deselezionare tutte le altre posizioni.

10. Modificare l'ambito degli account di OneDrive . Selezionare Tutti gli utenti e il gruppo>Escludi utenti e gruppi>+ Escludi escludi>gruppi e aggiungere il gruppo Risorse umane .

11. Scegliere Fine.

12. Scegliere Fine.

13. Seleziona Avanti.

14. Nella pagina Definisci impostazioni criteri è già selezionata l'opzione Crea o personalizza regole DLP avanzate . Scegliere Avanti.

15. Selezionare Crea regola. Assegnare alla regola il nome e specificare una descrizione.

16. In Condizioni selezionare + Aggiungi condizione>Il contenuto viene condiviso da Microsoft 365>con persone esterne all'organizzazione.

17. Scegliere Aggiungi condizione.

18. Selezionare Contenuto contenente>l'aggiunta>di tipi di> informazioni sensibiliSSN (U.S. Social Security Number) e il numero di carta di credito. Scegliere Aggiungi.

19. Selezionare Crea gruppo. Impostare l'operatore booleano su OR

20. Selezionare >Aggiungi> etichette >di riservatezza e Riservato.

21. Selezionare Aggiungi.

22. In Azioni selezionare Aggiungi un'azione>Limita l'accesso o crittografa il contenuto nelle posizioni di> Microsoft 365Blocca solo le persone esterne all'organizzazione.

23. Impostare Notifiche utentesu Attivato.

24. Selezionare Notifica agli utenti nei servizi Office 365 con un suggerimento> peri criteri Notificare all'utente che ha inviato, condiviso o modificato il contenuto per l'ultima volta.

25. In Sostituzioni utente assicurarsi che l'opzione Consenti override dai servizi M365non sia selezionata.

26. In Report eventi imprevisti Impostare Usare questo livello di gravità negli avvisi e nei report dell'amministratore a basso livello.

27. Impostare Invia un avviso agli amministratori quando si verifica una corrispondenza di regola su Sì.

28. In Invia avvisi di posta elettronica a queste persone (facoltativo) scegliere + Aggiungi o rimuovi utenti.

29. Aggiungere l'indirizzo di posta elettronica del team di sicurezza.

30. Selezionare Invia avviso ogni volta che un'attività corrisponde alla regola.

31. Scegliere Salva.

32. Scegliere Avanti.

33. Nella pagina Modalità criteri scegliere Esegui i criteri in modalità di simulazione.

34. Scegliere Avanti e quindi Invia.

35. Scegliere Fine.

Distribuzione

Una distribuzione corretta dei criteri non riguarda solo l'inserimento dei criteri nell'ambiente per applicare i controlli alle azioni degli utenti. Una distribuzione casuale e frettolosa può influire negativamente sul processo aziendale e infastidire gli utenti. Queste conseguenze rallentano l'accettazione della tecnologia DLP nell'organizzazione e i comportamenti più sicuri che promuove. In definitiva, rendere gli elementi sensibili meno sicuri a lungo termine.

Prima di avviare la distribuzione, assicurarsi di aver letto la distribuzione dei criteri. Offre un'ampia panoramica del processo di distribuzione dei criteri e indicazioni generali.

Questa sezione approfondisce i tre tipi di controlli usati in concerto per gestire i criteri in produzione. Tenere presente che è possibile modificare uno di questi elementi in qualsiasi momento, non solo durante la creazione dei criteri.

Tre assi della gestione della distribuzione

Sono disponibili tre assi che è possibile usare per controllare il processo di distribuzione dei criteri, l'ambito, lo stato dei criteri e le azioni. È sempre consigliabile adottare un approccio incrementale per la distribuzione di un criterio, a partire dalla modalità di simulazione /impatto minore fino all'imposizione completa.

Configurazioni consigliate per il controllo di distribuzione

Quando lo stato dei criteri è	L'ambito dei criteri può essere	Impatto delle azioni dei criteri
Eseguire i criteri in modalità di simulazione	L'ambito dei criteri delle posizioni può essere limitato o ampio	- È possibile configurare qualsiasi azione - Nessun impatto utente dalle azioni configurate - Amministrazione visualizza avvisi e può tenere traccia delle attività
Eseguire i criteri in modalità di simulazione con i suggerimenti per i criteri	L'ambito dei criteri deve essere destinato a un gruppo pilota e quindi espandere l'ambito man mano che si ottimizzano i criteri	- È possibile configurare qualsiasi azione - Nessun impatto utente dalle azioni configurate - Gli utenti possono ricevere suggerimenti e avvisi per i criteri - Amministrazione visualizza gli avvisi e può tenere traccia delle attività
Attivarlo	Tutte le istanze della posizione di destinazione	- Tutte le azioni configurate vengono applicate alle attività degli utenti: Amministrazione visualizza avvisi e può tenere traccia delle attività
Tenerlo spento	n/d	n/d

Stato

Lo stato è il controllo primario usato per implementare un criterio. Al termine della creazione dei criteri, impostare lo stato del criterio su Mantieni. È consigliabile lasciarlo in questo stato mentre si sta lavorando alla configurazione dei criteri e fino a ottenere una revisione finale e la firma. Lo stato può essere impostato su:

• Eseguire i criteri in modalità di simulazione: non vengono applicate azioni di criteri, gli eventi vengono controllati. In questo stato, è possibile monitorare l'impatto dei criteri nella panoramica della modalità di simulazione DLP e nella console di Esplora attività DLP.
• Eseguire i criteri in modalità di simulazione e visualizzare i suggerimenti per i criteri in modalità di simulazione: non vengono applicate azioni, ma gli utenti ricevono suggerimenti per i criteri e messaggi di posta elettronica di notifica per aumentare la consapevolezza e educarli.
• Attivarlo immediatamente: questa è la modalità di imposizione completa.
• Mantienilo: i criteri sono inattivi. Usare questo stato durante lo sviluppo e la revisione dei criteri prima della distribuzione.

È possibile modificare lo stato di un criterio in qualsiasi momento.

Azioni

Le azioni sono le operazioni eseguite da un criterio in risposta alle attività degli utenti sugli elementi sensibili. Poiché è possibile modificarli in qualsiasi momento, è possibile iniziare con i dati meno interessati, Consenti (per i dispositivi) e Controlla solo (per tutte le altre posizioni), raccogliere ed esaminare i dati di controllo e usarli per ottimizzare i criteri prima di passare ad azioni più restrittive.

• Consenti: l'attività utente può verificarsi, quindi non vengono interessati processi aziendali. I dati di controllo vengono visualizzati e non sono presenti notifiche o avvisi degli utenti.

  Nota

  L'azione Consenti è disponibile solo per i criteri con ambito nel percorso Dispositivi .

• Solo controllo: l'attività dell'utente può verificarsi, quindi non vengono interessati processi aziendali. Si ottengono dati di controllo ed è possibile aggiungere notifiche e avvisi per aumentare la consapevolezza e formare gli utenti affinché sappiano che quello che stanno facendo è un comportamento rischioso. Se l'organizzazione intende applicare azioni più restrittive in un secondo momento, è possibile informare anche gli utenti.

• Blocca con override: l'attività utente è bloccata per impostazione predefinita. È possibile controllare l'evento, generare avvisi e notifiche. Ciò influisce sul processo aziendale, ma agli utenti viene data la possibilità di eseguire l'override del blocco e fornire un motivo per l'override. Poiché si riceve un feedback diretto dagli utenti, questa azione consente di identificare le corrispondenze di falsi positivi, che è possibile usare per ottimizzare ulteriormente i criteri.

  Nota

  Per Exchange Online e SharePoint in Microsoft 365, le sostituzioni vengono configurate nella sezione di notifica utente.

• Blocca: l'attività dell'utente è bloccata indipendentemente da cosa. È possibile controllare l'evento, generare avvisi e notifiche.

Ambito dei criteri

Ogni criterio è limitato a una o più posizioni, ad esempio Exchange, SharePoint in Microsoft 365, Teams e Dispositivi. Per impostazione predefinita, quando si seleziona una posizione, tutte le istanze di tale posizione rientrano nell'ambito e nessuna viene esclusa. È possibile perfezionare ulteriormente le istanze del percorso (ad esempio siti, gruppi, account, gruppi di distribuzione, cassette postali e dispositivi) a cui vengono applicati i criteri configurando le opzioni di inclusione/esclusione per la posizione. Per altre informazioni sulle opzioni di inclusione/esclusione dell'ambito, vedere Località.

In generale, si ha maggiore flessibilità con l'ambito mentre il criterio è in Esecuzione dei criteri in modalità di simulazione perché non vengono eseguite azioni. È possibile iniziare con solo l'ambito per il quale sono stati progettati i criteri o procedere in modo generale per vedere in che modo il criterio influirà sugli elementi sensibili in altre posizioni.

Quindi, quando si modifica lo stato in Esegui i criteri in modalità di simulazione e si visualizzano suggerimenti per i criteri, è consigliabile limitare l'ambito a un gruppo pilota in grado di fornire commenti e suggerimenti ed essere early adopter che possono essere una risorsa per altri utenti quando vengono a bordo.

Quando si sposta il criterio per attivarlo immediatamente, l'ambito viene ampliato in modo da includere tutte le istanze di posizioni desiderate quando il criterio è stato progettato.

Passaggi per le distribuzioni dei criteri

1. Dopo aver creato il criterio e averlo impostato su Mantienilo, eseguire una revisione finale con gli stakeholder.
2. Modificare lo stato in Esegui i criteri in modalità di simulazione. L'ambito della posizione può essere ampio a questo punto, quindi è possibile raccogliere dati sul comportamento dei criteri in più posizioni o semplicemente iniziare con una singola posizione.
3. Ottimizzare i criteri in base ai dati sul comportamento in modo che soddisfino meglio le finalità aziendali.
4. Modificare lo stato in Esegui i criteri in modalità di simulazione e visualizzare i suggerimenti per i criteri. Perfezionare l'ambito delle posizioni per supportare un gruppo pilota, se necessario, e usare le inclusione/esclusioni in modo che il criterio venga implementato per la prima volta in tale gruppo pilota.
5. Raccogliere il feedback degli utenti e i dati degli avvisi e degli eventi, se necessario ottimizzare i criteri e i piani. Assicurarsi di risolvere tutti i problemi visualizzati dagli utenti. Molto probabilmente gli utenti riscontrano problemi e sollevano domande su elementi a cui non si è pensato durante la fase di progettazione. Sviluppare un gruppo di utenti con privilegi avanzati a questo punto. Possono essere una risorsa che consente di eseguire il training di altri utenti man mano che l'ambito dei criteri viene aumentato e viene eseguito l'onboarding di un numero maggiore di utenti. Prima di passare alla fase successiva della distribuzione, assicurarsi che il criterio sia raggiunto gli obiettivi di controllo.
6. Modificare lo stato in Attiva immediatamente. Il criterio è completamente distribuito. Monitorare gli avvisi DLP ed Esplora attività DLP. Avvisi degli indirizzi.