Comece a usar pop-ups de compartilhamento excessivo

Quando configurar a política de Prevenção de Perda de Dados (DLP) do Microsoft Purview adequada, o DLP verificará as mensagens de e-mail antes de serem enviadas para quaisquer informações etiquetadas ou confidenciais e aplicará as ações definidas na política DLP. Esta funcionalidade requer uma subscrição do Microsoft 365 E5, juntamente com uma versão do Outlook que a suporte. Para identificar a versão mínima do Outlook necessária, utilize a tabela de capacidades para o Outlook e procure na linha Descrições sobre a partilha em excesso como DLP .

Importante

Segue-se um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Deve substituir os seus próprios tipos de informações confidenciais, etiquetas de confidencialidade, grupos de distribuição e utilizadores ao implementar esta funcionalidade.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

Licenciamento SKU/assinaturas

Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições do Windows 11 para Empresas.

Permissões

A conta que utiliza para criar e implementar políticas tem de ser membro de um dos seguintes grupos de funções

• Administrador de conformidade
• Administrador de dados de conformidade
• Proteção de Informações
• Administrador de Proteção de Informações
• Administrador de segurança

Importante

Leia Unidades administrativas antes de começar para se certificar de que compreende a diferença entre um administrador sem restrições e um administrador restrito de unidade administrativa.

Funções granulares e grupos de funções

Existem várias funções e grupos de funções que pode utilizar para ajustar os seus controlos de acesso.

Eis uma lista de funções aplicáveis. Para saber mais, veja Permissões no portal de conformidade do Microsoft Purview.

• Gerenciamento de Conformidade de DLP
• Administrador de Proteção de Informações
• Analista de Proteção de Informações
• Investigador de Proteção de Informações
• Leitor de Proteção de Informações

Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, veja Permissões no portal de conformidade do Microsoft Purview.

• Proteção de Informações
• Administradores de Proteção de Informações
• Analistas de Proteção de Informações
• Investigadores de Proteção de Informações
• Leitores de Proteção de Informações

Pré-requisitos e suposições

No Outlook para Microsoft 365, um pop-up de partilha excessiva apresenta um pop-up antes de uma mensagem ser enviada. Para ativar estes pop-ups, primeiro defina o âmbito da política para a localização do Exchange e, em seguida, selecione a caixa de diálogo Mostrar sugestão de política como uma caixa de diálogo para o utilizador antes de enviar na sugestão de política quando criar uma regra DLP para essa política.

O nosso cenário de exemplo utiliza a etiqueta Confidencialidade altamente confidencial , pelo que requer que tenha criado e publicado etiquetas de confidencialidade. Para saber mais, confira:

• Saiba mais sobre rótulos de confidencialidade
• Introdução ao rótulos de confidencialidade
• Criar e configurar rótulos de confidencialidade e suas políticas

Este procedimento utiliza contoso.com. um domínio hipotético da empresa.

Intenção e mapeamento de políticas

Para este exemplo, a nossa declaração de intenção de política é:

Temos de bloquear e-mails para todos os destinatários que tenham a etiqueta de confidencialidade "altamente confidencial" aplicada, a menos que o domínio do destinatário seja contoso.com. Queremos notificar o utilizador com um diálogo de pop-up quando enviar o e-mail. Nenhum utilizador pode substituir o bloco.

Declaração	Perguntas de configuração respondidas e mapeamento de configuração
"Precisamos de bloquear e-mails para todos os destinatários..."	- Onde monitorizar: Âmbito administrativo do Exchange- : Ação de diretório - completo: Restringir o acesso ou encriptar o conteúdo nas localizações > do Microsoft 365 Bloquear a receção de e-mails ou o acesso a ficheiros > partilhados do SharePoint, OneDrive e Teams Bloquear todos os utilizadores
"... que têm a etiqueta de confidencialidade "altamente confidencial" aplicada..."	- O que monitorizar: utilize as Condições do modelo - Personalizado para uma correspondência: edite-a para adicionar a etiqueta de confidencialidade altamente confidencial
"... a menos que..."	Configuração do grupo de condições – crie um grupo de condição booleano aninhado NOT associado às primeiras condições com um valor booleano AND
"... o domínio do destinatário é contoso.com".	Condição para correspondência: o domínio do destinatário é
"... Notificar..."	Notificações do utilizador: ativada
"... o utilizador com um diálogo de pop-up quando envia..."	Sugestões de política: selecionou - Mostrar sugestão de política como uma caixa de diálogo para o utilizador final antes de enviar: selecionado
"... Nenhum utilizador pode substituir o bloco...	Permitir substituições dos Serviços do M365: não selecionado

Para configurar pop-ups de partilha excessiva com texto predefinido, a regra DLP tem de incluir estas condições:

• O conteúdo contém>Etiquetas de confidencialidade>escolha as etiquetas de confidencialidade

e uma ou mais das seguintes condições baseadas no destinatário

• O destinatário é
• O destinatário é um membro do
• O domínio do destinatário é

Quando estas condições são cumpridas, a sugestão de política apresenta destinatários não fidedignos enquanto o utilizador está a escrever o e-mail no Outlook, antes de o enviar.

Passos para configurar "aguardar no envio"

Opcionalmente, pode definir a dlpwaitonsendtimeout Regkey (Valor em dword) em todos os dispositivos em que pretende implementar "aguardar no envio" para a partilha excessiva de pop-ups. Esta chave de registo (RegKey) define o período máximo de tempo para guardar o e-mail quando um utilizador seleciona Enviar. Isto permite que o sistema conclua a avaliação da política DLP para conteúdo etiquetado ou confidencial. Pode encontrar esta RegKey em:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Pode definir esta RegKey através da política de grupo (especifique o tempo de espera para avaliar conteúdo confidencial), script ou outro mecanismo para configurar chaves de registo.

Se estiver a utilizar a Política de Grupo, certifique-se de que transferiu a versão mais recente dos ficheiros de Modelo Administrativo da Política de Grupo para o Microsoft 365 Apps para Grandes Empresas e, em seguida, navegue para esta definição a partir das Definições de Segurança do Microsoft Office 2016 >> para Modelos Administrativos >> de Configuração >> do Utilizador. Se estiver a utilizar o serviço Cloud Policy para o Microsoft 365, procure a definição por nome para a configurar.

Quando este valor é definido e a política DLP é configurada, as mensagens de e-mail são verificadas quanto a informações confidenciais antes de serem enviadas. Se uma mensagem contiver uma correspondência com as condições definidas na política, é apresentada uma notificação de sugestão de política antes de o utilizador clicar em Enviar..

Esta RegKey permite-lhe especificar o comportamento de espera no envio para os seus clientes do Outlook.

Eis o que cada uma das definições significa:

Não configurado ou Desativado: esta é a predefinição. Quando dlpwaitonsendtimeout não estiver configurado, a mensagem não é verificada antes de o utilizador a enviar. A mensagem de e-mail será enviada imediatamente após o clique em Enviar . O serviço de classificação de dados DLP avaliará a mensagem e aplicará as ações definidas na política DLP.

Ativado: a mensagem de e-mail é verificada quando o botão Enviar é clicado, mas antes de a mensagem ser realmente enviada. Pode definir um limite de tempo para aguardar a conclusão da avaliação da política DLP (valor T , em segundos). Se a avaliação da política não for concluída na hora especificada, é apresentado um botão Enviar mesmo assim , permitindo que o utilizador ignore a verificação de pré-envio. O intervalo de valores T é de 0 a 9999 segundos.

Importante

Se o valor T for superior a 9999, será substituído por 10 000 e o botão Enviar Mesmo Assim não aparecerá. Esta ação mantém a mensagem até que a avaliação da política seja concluída e não forneça ao utilizador uma opção de substituição . A duração para concluir a avaliação pode variar consoante fatores como a velocidade da Internet, o comprimento do conteúdo e o número de políticas definidas. Alguns utilizadores podem encontrar mensagens de avaliação de políticas com mais frequência do que outros, consoante as políticas implementadas na respetiva caixa de correio.

Para saber mais sobre como configurar e utilizar o GPO, veja Administrar a Política de Grupo num domínio gerido do Microsoft Entra Domain Services.

Passos para criar uma política DLP para um pop-up de partilha excessiva

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Iniciar sessão no portal > do Microsoft PurviewPolíticas deprevenção> de perda de dados

2. Selecione + Criar política.

3. Selecione Personalizado na lista Categorias .

4. Selecione Personalizado na lista Regulamentos .

5. Dê um nome de para a política.

   Importante

   Não é possível mudar o nome das políticas.

6. Preencha uma descrição. Pode utilizar a instrução de intenção de política aqui.

7. Selecione Avançar.

8. Selecione Diretório completo em Unidades de administração.

9. Selecione apenas a localização do e-mail do Exchange .

10. Selecione Avançar.

11. Na página Definir definições de política , selecione Criar ou personalizar regras DLP avançadas.

12. A opção Criar ou personalizar regras DLP avançadas já deve estar selecionada.

13. Selecione Avançar.

14. Selecione Criar regra. Atribua um nome à regra e forneça uma descrição.

15. Selecione Adicionar condição>Conteúdo contém>Adicionar> etiquetas >de ConfidencialidadeAltamente confidencial. Escolha Adicionar.

16. Selecione Adicionar grupo>E>NÃO>Adicionar condição.

17. Selecione O domínio do destinatário está>contoso.com. Escolha Adicionar.

    Dica

    Também pode utilizar Destinatário ouDestinatário é membro de em vez de Domínio do destinatário é acionar um pop-up de partilha excessiva.

18. Selecione Adicionar uma ação>Restringir o acesso ou encriptar o conteúdo nas localizações do Microsoft 365.

19. Selecione Bloquear utilizadores de receberem e-mails ou acederem a ficheiros partilhados do SharePoint, OneDrive e Teams e itens do Power BI.

20. Selecione Bloquear todas as pessoas.

21. Defina o botão de alternar Notificações do utilizador como Ativado.

22. Selecione Sugestões> depolítica Mostrar a sugestão de política como uma caixa de diálogo para o utilizador final antes de enviar (disponível apenas para carga de trabalho do Exchange).

23. Se já estiver selecionado, desmarque a opção Permitir substituição dos serviços do M365 .

24. Escolha Salvar.

25. Altere o botão de alternar Estado para Ativado e, em seguida, selecione Seguinte.

26. Na página Modo de política, selecione Executar a política no modo de teste e selecione a caixa mostrar sugestões de política enquanto estiver no modo de simulação .

27. Selecione Seguinte e, em seguida, selecione Submeter.

28. Escolha Concluído.

Portal de Conformidade

1. Inicie sessão no portal > de conformidade do Microsoft PurviewSoluções Políticas>> deprevenção> de perda de dados+ Criar política.

2. Selecione Personalizado na lista Categorias .

3. Selecione Personalizado na lista Modelos .

4. Dê um nome de para a política.

   Importante

   Não é possível mudar o nome das políticas.

5. Introduza uma descrição. Pode utilizar a instrução de intenção de política aqui.

6. Selecione Avançar.

7. Selecione Diretório completo em Unidades de administração.

8. Selecione apenas a localização do e-mail do Exchange ..

9. Selecione Avançar.

10. Aceite os valores predefinidos para Incluir = Tudo e Excluir = Nenhum.

11. A opção Criar ou personalizar regras DLP avançadas já deve estar selecionada.

12. Selecione Avançar.

13. Selecione Criar regra. Atribua um nome à regra e forneça uma descrição.

14. Selecione Adicionar condição>Conteúdo contém>Adicionar> etiquetas >de ConfidencialidadeAltamente confidencial. Escolha Adicionar.

15. Selecione Adicionar grupo>E>NÃO>Adicionar condição.

16. Selecione O domínio do destinatário está>contoso.com. Escolha Adicionar.

    Dica

    O destinatário é e o Destinatário também pode ser utilizado no passo anterior e irá acionar um pop-up de partilha excessiva.

17. Selecione Adicionar uma ação>Restringir o acesso ou encriptar os conteúdos nas localizações> do Microsoft 365Restringir o acesso ou encriptar os conteúdos nas localizações> do Microsoft 365Bloquear a receção de e-mails ou o acesso ao ficheiro partilhado do SharePoint, OneDrive e Teams.>Bloquear todas as pessoas.

18. Defina Notificações do utilizador como Ativado.

19. Selecione Sugestões> depolítica Mostrar a sugestão de política como uma caixa de diálogo para o utilizador final antes de enviar.

20. Certifique-se de que a opção Permitir substituição dos serviços do M365não está selecionada.

21. Escolha Salvar.

22. Selecione Seguinte>Mantenha-o desativado>Na Próxima>Submissão.

Passos do PowerShell para criar política

As políticas e regras DLP também podem ser configuradas no PowerShell. Para configurar pop-ups de partilha excessiva com o PowerShell, primeiro crie uma política DLP (com o PowerShell) e adicione regras DLP para cada tipo de pop-up de aviso, justificação ou bloqueio.

Irá configurar e definir o âmbito da política DLP com New-DlpCompliancePolicy. Em seguida, irá configurar cada regra de partilha excedida com New-DlpComplianceRule

Para configurar uma nova política DLP para o cenário de pop-up de partilha excessiva, utilize este fragmento de código:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Esta política DLP de exemplo está confinada a todos os utilizadores na sua organização. Defina o âmbito das políticas DLP com -ExchangeSenderMemberOf e -ExchangeSenderMemberOfException.

Parâmetro	Configuração
-ContentContainsSensitiveInformation	Configura uma ou mais condições de etiqueta de confidencialidade. Este exemplo inclui um. Pelo menos uma etiqueta é obrigatória.
-ExceptIfRecipientDomainIs	Lista de domínios fidedignos.
-NotifyAllowOverride	"WithJustification" ativa botões de opção de justificação, "WithoutJustification" desativa-os.
-NotifyOverrideRequirements	"WithAcknowledgement" ativa a nova opção de confirmação. Isso é opcional.

Para configurar uma nova regra DLP para gerar um pop-up de aviso com domínios fidedignos, execute o seguinte código do PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Para configurar uma nova regra DLP para gerar um pop-up justificado com domínios fidedignos, execute este código do PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Para configurar uma nova regra DLP para gerar um pop-up de bloco com domínios fidedignos, execute este código do PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Utilize estes procedimentos para aceder ao X-Header da justificação comercial.

Confira também

• Introdução ao dashboard alertas de prevenção de perda de dados
• Criar e Implementar políticas de prevenção de perda de dados