Leggere in inglese

Condividi tramite


Introduzione alla condivisione eccessiva dei popup

Quando si configurano criteri di Prevenzione della perdita dei dati Microsoft Purview (DLP) appropriati, la prevenzione della perdita dei dati controlla i messaggi di posta elettronica prima che vengano inviati per eventuali informazioni etichettate o sensibili e applica le azioni definite nei criteri DLP. Questa funzionalità richiede un abbonamento a Microsoft 365 E5, insieme a una versione di Outlook che la supporta. Per identificare la versione minima di Outlook necessaria, usare la tabella delle funzionalità per Outlook e cercare nella riga Prevenzione dell'oversharing come suggerimento per i criteri DLP .

Importante

Di seguito è riportato uno scenario ipotetico con valori ipotetici. È solo a scopo illustrativo. Quando si implementa questa funzionalità, è necessario sostituire i propri tipi di informazioni riservate, etichette di riservatezza, gruppi di distribuzione e utenti.

Suggerimento

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Informazioni preliminari

Licenze per SKU/abbonamenti

Prima di iniziare a usare i criteri DLP, confermare l'abbonamento a Microsoft 365 e tutti i componenti aggiuntivi.

Per informazioni sulle licenze, vedere Sottoscrizioni di Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 per le aziende.

Autorizzazioni

L'account usato per creare e distribuire i criteri deve essere membro di uno dei gruppi di ruoli seguenti

  • Amministratore di conformità
  • Amministratore dati di conformità
  • Azure Information Protection
  • Amministratore di Information Protection
  • Amministratore della sicurezza

Importante

Leggere Unità amministrative prima di iniziare per assicurarsi di comprendere la differenza tra un amministratore senza restrizioni e un amministratore con restrizioni dell'unità amministrativa.

Ruoli granulari e gruppi di ruoli

Esistono diversi ruoli e gruppi di ruoli che è possibile usare per ottimizzare i controlli di accesso.

Ecco un elenco di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nella Portale di conformità di Microsoft Purview.

  • Gestione della conformità DLP
  • Amministratore di Information Protection
  • Analista di Information Protection
  • Investigatore di Information Protection
  • Lettore di Information Protection

Ecco un elenco di gruppi di ruoli applicabili. Per altre informazioni, vedere Autorizzazioni nel Portale di conformità di Microsoft Purview.

  • Azure Information Protection
  • Amministratori di Information Protection
  • Analisti di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection

Prerequisiti e presupposti

In Outlook per Microsoft 365, un popup di condivisione eccessiva visualizza un popup prima dell'invio di un messaggio. Per abilitare questi popup, definire innanzitutto l'ambito dei criteri nel percorso di Exchange e quindi selezionare l'opzione Mostra suggerimento per i criteri come finestra di dialogo per l'utente prima dell'invio nel suggerimento per i criteri quando si crea una regola DLP per tale criterio.

Lo scenario di esempio usa l'etichetta Di riservatezza altamente riservata , pertanto è necessario che siano state create e pubblicate etichette di riservatezza. Per altre informazioni, vedere:

Questa procedura usa contoso.com. un ipotetico dominio aziendale.

Finalità e mapping dei criteri

Per questo esempio, l'istruzione della finalità dei criteri è:

È necessario bloccare i messaggi di posta elettronica a tutti i destinatari a cui è applicata l'etichetta di riservatezza "altamente riservato", a meno che il dominio del destinatario non sia contoso.com. Si vuole inviare una notifica all'utente con un dialogo popup quando invia il messaggio di posta elettronica. Nessun utente può eseguire l'override del blocco.

Istruzione Risposta alla domanda di configurazione e mapping della configurazione
"Dobbiamo bloccare i messaggi di posta elettronica a tutti i destinatari..." - Dove monitorare: Ambito amministrativo di Exchange
- : Azione directory
- completa: Limitare l'accesso o crittografare il contenuto nelle posizioni > di Microsoft 365 Impedire agli utenti di ricevere messaggi di posta elettronica o accedere ai file > condivisi di SharePoint, OneDrive e Teams Bloccare tutti
"... che hanno l'etichetta di riservatezza "altamente riservata" applicata..." - Cosa monitorare: usare il modello
- personalizzato Condizioni per una corrispondenza: modificarlo per aggiungere l'etichetta di riservatezza altamente riservata
"... a meno che..." Configurazione del gruppo di condizioni: creare un gruppo di condizioni NOT booleano annidato unito alle prime condizioni usando un and booleano
"... il dominio del destinatario è contoso.com." Condizione per la corrispondenza: il dominio del destinatario è
"... Notifica..." Notifiche utente: abilitate
"... l'utente con un dialogo popup quando invia..." Suggerimenti per i criteri: selezionata
- Mostra suggerimento per i criteri come finestra di dialogo per l'utente finale prima dell'invio: selezionata
"... Nessun utente può eseguire l'override del blocco... Consenti sostituzioni da M365 Services: non selezionato

Per configurare l'oversharing dei popup con testo predefinito, la regola DLP deve includere queste condizioni:

  • Il contenuto contiene>Etichette> di riservatezzascegliere le etichette di riservatezza

e una o più delle seguenti condizioni basate sul destinatario

  • Il destinatario è
  • Il destinatario è un membro di
  • Il dominio del destinatario è

Quando queste condizioni vengono soddisfatte, il suggerimento per i criteri visualizza i destinatari non attendibili mentre l'utente scrive il messaggio in Outlook, prima di inviarlo.

Passaggi per configurare "wait on send"

Facoltativamente, è possibile impostare la chiave Regkey dlpwaitonsendtimeout (Valore in dword) in tutti i dispositivi in cui si vuole implementare "wait on send" per la condivisione eccessiva dei popup. Questa chiave del Registro di sistema (RegKey) definisce la quantità massima di tempo per contenere il messaggio di posta elettronica quando un utente seleziona Invia. Ciò consente al sistema di completare la valutazione dei criteri DLP per il contenuto etichettato o sensibile. È possibile trovare questo RegKey in:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

È possibile impostare questo RegKey tramite criteri di gruppo (specificare il tempo di attesa per valutare il contenuto sensibile), lo script o un altro meccanismo per la configurazione delle chiavi del Registro di sistema.

Se si usa Criteri di gruppo, assicurarsi di aver scaricato la versione più recente dei file del modello amministrativo Criteri di gruppo per Microsoft 365 Apps for enterprise e quindi passare a questa impostazione da Modelli >> amministrativi di configurazione >> utente Microsoft Office 2016 >> Impostazioni di sicurezza. Se si usa il servizio Criteri cloud per Microsoft 365, cercare l'impostazione per nome per configurarla.

Quando questo valore è impostato e i criteri DLP sono configurati, i messaggi di posta elettronica vengono controllati per le informazioni riservate prima che vengano inviati. Se un messaggio contiene una corrispondenza con le condizioni definite nei criteri, viene visualizzata una notifica di suggerimento per i criteri prima che l'utente fa clic su Invia.If a message contains a match to the conditions defined in the policy, a policy tip notification appears before the user clicks Send..

Questo RegKey consente di specificare il comportamento di attesa all'invio per i client di Outlook.

Ecco il significato di ognuna delle impostazioni:

Non configurato o disabilitato: impostazione predefinita. Quando dlpwaitonsendtimeout non è configurato, il messaggio non viene controllato prima che l'utente lo invii. Il messaggio di posta elettronica verrà inviato immediatamente dopo aver fatto clic su Invia . Il servizio di classificazione dei dati DLP valuterà il messaggio e applicherà le azioni definite nei criteri DLP.

Abilitato: il messaggio di posta elettronica viene selezionato quando si fa clic su Invia , ma prima che il messaggio venga effettivamente inviato. È possibile impostare un limite di tempo per l'attesa del completamento della valutazione dei criteri DLP (valore T , in secondi). Se la valutazione dei criteri non viene completata nell'ora specificata, viene visualizzato un pulsante Invia comunque che consente all'utente di ignorare il controllo di pre-invio. L'intervallo di valori T è compreso tra 0 e 9999 secondi.

Importante

Se il valore T è maggiore di 9999, viene sostituito con 10000 e il pulsante Invia comunque non viene visualizzato. Il messaggio viene incluso fino al completamento della valutazione dei criteri e non fornisce all'utente un'opzione di sostituzione . La durata del completamento della valutazione può variare a seconda di fattori quali la velocità internet, la lunghezza del contenuto e il numero di criteri definiti. Alcuni utenti possono riscontrare messaggi di valutazione dei criteri più frequentemente rispetto ad altri, a seconda dei criteri distribuiti nella cassetta postale.

Per altre informazioni sulla configurazione e sull'uso dell'oggetto Criteri di gruppo, vedere Amministrare Criteri di gruppo in un dominio gestito Microsoft Entra Domain Services.

Passaggi per creare criteri di prevenzione della perdita dei dati per una condivisione eccessiva

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

  1. Accedere al portale >di Microsoft PurviewCriteri di prevenzione> della perdita dei dati

  2. Scegliere + Crea criterio.

  3. Selezionare Personalizzato dall'elenco Categorie .

  4. Selezionare Personalizzato dall'elenco Regolamenti .

  5. Assegnare un nome al criterio.

    Importante

    I criteri non possono essere rinominati.

  6. Compilare una descrizione. È possibile usare l'istruzione finalità dei criteri qui.

  7. Seleziona Avanti.

  8. Selezionare Directory completa in unità di Amministrazione.

  9. Selezionare solo il percorso di posta elettronica di Exchange .

  10. Seleziona Avanti.

  11. Nella pagina Definisci impostazioni criteri selezionare Crea o personalizza regole DLP avanzate.

  12. L'opzione Crea o personalizza regole DLP avanzate deve essere già selezionata.

  13. Seleziona Avanti.

  14. Selezionare Crea regola. Assegnare alla regola il nome e specificare una descrizione.

  15. Selezionare Add conditionContent containsAdd Sensitivity labels Highly confidential (Aggiungi contenuto condizione> contenente >l'aggiunta>di etichette> diriservatezza altamente riservate). Scegliere Aggiungi.

  16. Selezionare Aggiungi gruppo>E>NON>Aggiungi condizione.

  17. Selezionare Dominio destinatario contoso.com>. Scegliere Aggiungi.

    Suggerimento

    È anche possibile usare Destinatario oIl destinatario è membro di anziché il dominio destinatario per attivare un popup di oversharing.

  18. Selezionare Aggiungi un'azione>Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365.

  19. Selezionare Blocca agli utenti la ricezione di posta elettronica o l'accesso ai file condivisi di SharePoint, OneDrive e Teams e agli elementi di Power BI.

  20. Selezionare Blocca tutti.

  21. Impostare l'interruttore Notifiche utente su Attivato.

  22. Selezionare Suggerimentiper i criteri >Mostra il suggerimento per i criteri come finestra di dialogo per l'utente finale prima dell'invio (disponibile solo per il carico di lavoro di Exchange).

  23. Se è già selezionata, deselezionare l'opzione Consenti override dai servizi M365 .

  24. Scegliere Salva.

  25. Modificare l'interruttore Stato su e quindi scegliere Avanti.

  26. Nella pagina Modalità criteri selezionare Esegui i criteri in modalità test e selezionare la casella per l'opzione Mostra suggerimenti per i criteri in modalità di simulazione .

  27. Scegliere Avanti e quindi Invia.

  28. Scegliere Fine.

Passaggi di PowerShell per creare criteri

I criteri e le regole DLP possono essere configurati anche in PowerShell. Per configurare l'oversharing dei popup con PowerShell, creare innanzitutto un criterio DLP (usando PowerShell) e aggiungere regole DLP per ogni tipo popup di avviso, giustificazione o blocco.

È possibile configurare e definire l'ambito dei criteri DLP usando New-DlpCompliancePolicy. Si configurerà quindi ogni regola di oversharing usando New-DlpComplianceRule

Per configurare un nuovo criterio DLP per lo scenario popup di oversharing, usare questo frammento di codice:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Questo criterio di prevenzione della perdita dei dati di esempio è limitato a tutti gli utenti dell'organizzazione. Definire l'ambito dei criteri di prevenzione della perdita dei dati usando -ExchangeSenderMemberOf e -ExchangeSenderMemberOfException.

Parametro Configurazione
-ContentContainsSensitiveInformation Configura una o più condizioni dell'etichetta di riservatezza. Questo esempio ne include uno. Almeno un'etichetta è obbligatoria.
-ExceptIfRecipientDomainIs Elenco di domini attendibili.
-NotifyAllowOverride "WithJustification" abilita i pulsanti di opzione di giustificazione, "WithoutJustification" li disabilita.
-NotifyOverrideRequirements "WithAcknowledgement" abilita la nuova opzione di riconoscimento. Passaggio facoltativo.

Per configurare una nuova regola DLP per generare un avviso popup usando domini attendibili, eseguire il codice di PowerShell seguente:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Per configurare una nuova regola DLP per generare un popup giustificando l'uso di domini attendibili, eseguire questo codice di PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Per configurare una nuova regola DLP per generare un blocco popup usando domini attendibili, eseguire questo codice di PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Usare queste procedure per accedere all'intestazione X-Header della giustificazione aziendale.

Vedere anche