Configurar as definições de prevenção de perda de dados do ponto de extremidade
Muitos aspectos do comportamento de DLP (prevenção contra perda de dados) do Ponto de Extremidade são controlados por configurações configuradas centralmente que são aplicadas a todas as políticas de DLP para dispositivos. Use estas configurações para controlar os seguintes comportamentos:
- Restrições de saída de nuvem
- Vários tipos de ações restritivas nas atividades do usuário por aplicativo.
- Exclusões de caminho de arquivo para dispositivos Windows e macOS.
- Restrições de navegador e domínio.
- Como as justificativas de negócios para políticas de substituição aparecem nas dicas de política.
- Se as ações executadas nos arquivos Office, PDF e CSV são auditadas automaticamente.
Para acessar essas configurações, do portal de conformidade do Microsoft Purview, navegue até a prevenção> contra perda de dadosVisão geral> Asconfigurações de prevenção de perdadedados configurações> de ponto de extremidade.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos da avaliação.
Importante
Para obter informações sobre os requisitos da Adobe para usar recursos de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) com arquivos PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Suporte no Acrobat.
Configurações do Windows 10/11 e do macOS para DLP do ponto de extremidade
O DLP do ponto de extremidade também permite que você integre dispositivos que executam as seguintes versões do Windows Server:
Windows Server 2019 (14 de novembro de 2023— KB5032196 (build do sistema operacional 17763.5122) – Suporte da Microsoft)
Windows Server 2022 (atualização de segurança de 14 de novembro de 2023 (KB5032198) - Suporte da Microsoft)
Observação
A instalação dos KBs do Windows Server com suporte desabilita o recurso Classificação no servidor. Isso significa que o DLP do Ponto de Extremidade não classificará os arquivos no servidor. No entanto, o DLP do Ponto de Extremidade ainda protegerá os arquivos no servidor que foram classificados antes de esses KBs serem instalados no servidor. Para garantir essa proteção, instale Microsoft Defender versão 4.18.23100 (outubro de 2023) ou posterior.
Por padrão, o DLP do Ponto de Extremidade não está habilitado para servidores Windows quando eles são inicialmente integrados. Antes de ver eventos DLP do Ponto de Extremidade para seus servidores no Explorer de Atividades, primeiro você deve habilitar o DLP do Ponto de Extremidade para Windows Servers.
Depois de configuradas corretamente, as mesmas políticas de proteção contra perda de dados podem ser aplicadas automaticamente a computadores Windows e servidores Windows.
| Setting | Subconfiguração | Windows 10, 1809 e posterior, Windows 11, Windows Server 2019, Windows Server 2022 (21H2 em diante) para pontos de extremidade (X64) | macOS (três versões mais recentes lançadas) | Observações |
|---|---|---|---|---|
| Verificação e proteção de classificação avançada | Limites de largura de banda alocados | Com suporte | Com suporte | A classificação avançada permite esses recursos para macOS: – Dados exatos de impressão digital correspondem- a tipos de informações confidenciais baseados em classificadores- - treináveisSaiba mais sobre entidades nomeadas |
| Exclusões de caminho de arquivo para Windows | n/d | Com suporte | n/d | |
| Exclusões de caminho de arquivo para Mac | n/d | n/d | Com suporte | macOS inclui uma lista recomendada de exclusões que está ativada por padrão |
| Configurar a coleção de evidências para atividades de arquivo em dispositivos | Definir cache de evidências no dispositivo | Com suporte | Sem suporte | |
| Cobertura e exclusões de compartilhamento de rede | n/d | Com suporte | Não suportado | |
| Aplicativos restritos e grupos de aplicativos | Grupos de aplicativos restritos | Com suporte | Com suporte | |
| Aplicativos restritos e grupos de aplicativos | Aplicativos restritos | Com suporte | Com suporte | |
| Aplicativos restritos e grupos de aplicativos | Configurações de quarentena automática | Com suporte | Com suporte | |
| Aplicativos Bluetooth não permitidos | n/d | Com suporte | Com suporte | |
| Restrições do navegador e do domínio para dados confidenciais | Navegadores não permitidos | Com suporte | Com suporte | |
| Restrições do navegador e do domínio para dados confidenciais | Domínios de serviço | Com suporte | Com suporte | |
| Restrições do navegador e do domínio para dados confidenciais | Grupos de domínio de serviço confidenciais | Com suporte | Sem suporte | |
| Configurações adicionais para DLP do ponto de extremidade | Justificativa de negócios em dicas de política | Com suporte | Com suporte | |
| Sempre auditar a atividade dos arquivos para os dispositivos | n/d | Com suporte | Com suporte | |
| Grupos de impressoras | n/d | Com suporte | Com suporte | |
| Grupos de dispositivos USB removíveis | n/d | Com suporte | Com suporte | |
| Grupos de compartilhamento de rede | n/d | Com suporte | Com suporte | |
| Configurações da VPN | n/d | Com suporte | Sem suporte |
Outras configurações
| Setting | Windows 10/11, Windows 10, 1809 e posterior, Windows 11 | Windows Server 2019, Windows Server 2022 (21H2 em diante) para Pontos de Extremidade (X64) | macOS (três versões mais recentes lançadas) |
|---|---|---|---|
| Arquivo de arquivo | Com suporte | Com suporte | Sem suporte |
| Tipo de arquivo e extensão de arquivo | Com suporte | Com suporte | Sem suporte |
| Habilitar o DLP do Ponto de Extremidade para Windows Servers | Sem suporte | Com suporte | Sem suporte |
Habilitar o DLP do Ponto de Extremidade para Windows Servers
O DLP do ponto de extremidade dá suporte às seguintes versões do Windows Server:
Windows Server 2019 (14 de novembro de 2023— KB5032196 (build do sistema operacional 17763.5122) – Suporte da Microsoft)
Windows Server 2022 (atualização de segurança de 14 de novembro de 2023 (KB5032198) - Suporte da Microsoft)
Depois de integrar um Windows Server , você deverá ativar o suporte ao DLP do Ponto de Extremidade antes que a proteção do ponto de extremidade seja aplicada.
Para trabalhar com o dashboard de gerenciamento de alertas DLP:
- No portal do Microsoft Purview, navegue até Visãogeral daprevenção> contra perda de dados.
- Escolha Configurações no canto superior direito.
- Na página Configurações , selecione Configurações do Ponto de Extremidade e expanda o suporte de DLP do Ponto de Extremidade para servidores integrados.
- Defina o alternância como Ativado.
Verificação e proteção de classificação avançada
A verificação e a proteção de classificação avançadas permitem que o serviço de classificação de dados baseado em nuvem do Microsoft Purview examine os itens, classifique-os e retorne os resultados para o computador local. Portanto, você pode aproveitar técnicas de classificação, como classificação exata de correspondência de dados , classificadores treináveis, classificadores de credencial e entidades nomeadas em suas políticas DLP.
Quando a classificação avançada está ativada, o conteúdo é enviado do dispositivo local para os serviços de nuvem para verificação e classificação. Se o uso de largura de banda for uma preocupação, você poderá definir um limite de quanta largura de banda pode ser usada em um período de 24 horas. O limite é configurado nas configurações do Ponto de Extremidade e é aplicado por dispositivo. Se você definir um limite de uso de largura de banda e ele for excedido, o DLP interromperá o envio do conteúdo do usuário para a nuvem. Nesse ponto, a classificação de dados continua localmente no dispositivo, mas a classificação usando correspondência exata de dados, entidades nomeadas, classificadores treináveis e classificadores de credencial não estão disponíveis. Quando o uso cumulativo de largura de banda cai abaixo do limite de 24 horas, a comunicação com os serviços de nuvem é retomada.
Se o uso de largura de banda não for uma preocupação, selecione Nenhum limite para permitir o uso ilimitado de largura de banda.
As versões do Windows a seguir e acima dão suporte à verificação e proteção de classificação avançada.
- todas as versões Windows 11
- Windows 10 versões 20H1/21H1 ou superior (KB 5006738)
- Windows 10 RS5 (KB 5006744)
Observação
O suporte para classificação avançada está disponível para tipos de arquivo do Office (Word, Excel, PowerPoint) e PDF.
A avaliação da política de DLP sempre ocorre na nuvem, mesmo que o conteúdo do usuário não seja enviado.
Dica
Para usar a classificação avançada para dispositivos Windows 10, você deve instalar KB5016688. Para usar a classificação avançada para dispositivos Windows 11, KB5016691 deve ser instalado nesses dispositivos Windows 11. Além disso, você deve habilitar a classificação avançada antes que o Gerenciador de Atividades exiba texto contextual para eventos compatíveis com regras DLP. Para saber mais sobre o texto contextual, confira Resumo contextual.
Exclusões de caminho de arquivo
Se você quiser excluir determinados caminhos do monitoramento DLP, alertas DLP e imposição de política DLP em seus dispositivos, poderá desativar essas configurações configurando exclusões de caminho de arquivo. Os arquivos em locais excluídos não são auditados e os arquivos criados ou modificados nesses locais não estão sujeitos à aplicação da política DLP. Para configurar exclusões de caminho em configurações DLP, navegue até portal de conformidade do Microsoft Purview>Data loss prevention>Visão geral>Configurações de prevenção contra perdade dadosConfigurações>> de ponto de extremidadeExclusões de caminho de arquivo para Windows.
dispositivos Windows 10/11
Você pode usar a seguinte lógica para construir seus caminhos de exclusão para dispositivos Windows 10/11:
O caminho de arquivo válido que termina com
\, significa que somente os arquivos diretamente na pasta especificada são excluídos.
Exemplo:C:\Temp\O caminho de arquivo válido que termina com
\*, significa que somente arquivos dentro de subpastas da pasta especificada são excluídos. Os arquivos diretamente na própria pasta especificada não são excluídos.
Exemplo:C:\Temp\*O caminho de arquivo válido que termina sem
\ou\*, significa que todos os arquivos diretamente na pasta especificada e todas as subpastas são excluídas.
Exemplo:C:\TempUm caminho com o curinga entre
\de cada lado.
Exemplo:C:\Users\*\Desktop\Um caminho com curinga entre
\cada lado e com(number)para especificar o número exato de subpastas a serem excluídas.
Exemplo:C:\Users\*(1)\Downloads\Um caminho com variáveis de ambiente do sistema.
Exemplo:%SystemDrive%\Test\*Uma mistura de todos os padrões descritos acima.
Exemplo:%SystemDrive%\Users\*\Documents\*(2)\Sub\
Caminhos de arquivo do Windows excluídos por padrão
%SystemDrive%\\Users\\*(1)\\AppData\\Roaming%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp%%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache
Dispositivos macOS
Você também pode adicionar suas próprias exclusões para dispositivos macOS.
As definições de caminho do arquivo não diferenciam maiúsculas, portanto
Useré o mesmo queuser.Há suporte para valores curinga. Portanto, uma definição de caminho pode conter um asterisco (
*) no meio do caminho ou no final do caminho.
Exemplo:/Users/*/Library/Application Support/Microsoft/Teams/*
Caminhos de arquivo macOS excluídos por padrão
/System
Exclusões recomendadas do caminho do arquivo para macOS
Por motivos de desempenho, a DLP do ponto de extremidade inclui uma lista de exclusões recomendadas de caminho de arquivo para dispositivos macOS. Se as exclusões de caminho de arquivo recomendadas para Mac forem definidas como Ativadas, os seguintes caminhos também serão excluídos:
/Applications/usr/Library/private/opt
Recomendamos deixar esse alternância definido como Ativado. No entanto, você pode parar de excluir esses caminhos definindo o alternância como Desativar.
Configurar a coleção de evidências para atividades de arquivo em dispositivos
Quando identifica itens que correspondem a políticas em dispositivos, o DLP pode copiá-los para uma conta de armazenamento do Azure. Isso é útil para auditar a atividade de política e solucionar problemas de correspondências específicas. Use esta seção para adicionar o nome e a URL da conta de armazenamento.
Observação
Antes de habilitar esse recurso, você deve criar uma conta de armazenamento do Azure e um contêiner nessa conta de armazenamento. Você também deve configurar permissões para a conta. Ao configurar sua conta de armazenamento do Azure, tenha em mente que você provavelmente vai querer usar uma conta de armazenamento que está na mesma região do Azure/limite geopolítico que seu locatário. Você também deve considerar configurar as camadas de acesso da conta de armazenamento do Azure e os preços da conta de armazenamento do Azure.
- Para obter mais informações sobre esse recurso, consulte Saiba mais sobre como coletar arquivos que correspondam às políticas de prevenção contra perda de dados de dispositivos.
- Para obter mais informações sobre como configurar esse recurso, consulte Introdução à coleta de arquivos que correspondam às políticas de prevenção de perda de dados de dispositivos.
Cobertura e exclusões de compartilhamento de rede
A cobertura e exclusões de compartilhamento de rede estende as políticas e ações de DLP do ponto de extremidade para arquivos novos e editados em compartilhamentos de rede e unidades de rede mapeadas. Se a proteção just in time também estiver habilitada, a cobertura e exclusões de proteção por tempo serão estendidas para compartilhamentos de rede e unidades mapeadas. Se você quiser excluir um caminho de rede específico para todos os dispositivos monitorados, adicione o valor de caminho em Excluir esses caminhos de compartilhamento de rede.
Importante
Para usar a cobertura e exclusões de compartilhamento de rede, os dispositivos devem ter as seguintes atualizações aplicadas:
- Windows 10 – 21 de março de 2023 — KB5023773 (builds do sistema operacional 19042.2788, 19044.2788 e 19045.2788) Versão prévia, 28 de março de 2023 —KB5023774 (compilação do sistema operacional 22000.1761) Versão prévia
- Windows 11 – 28 de março de 2023 —KB5023778 (compilação do sistema operacional 22621.1485) Versão prévia
- Microsoft Defender abril de 2023 (Plataforma: 4.18.2304.8 | Mecanismo: 1.1.20300.3)
Esta tabela mostra as configurações padrão para cobertura e exclusões de compartilhamento de rede.
| Cobertura e exclusões de compartilhamento de rede | Proteção just-in-time | Comportamento resultante |
|---|---|---|
| Habilitado | Desabilitado | - As políticas DLP no escopo de dispositivos são aplicadas a todos os compartilhamentos de rede e unidades mapeadas às quais o dispositivo está conectado. Ações com suporte: dispositivos |
| Desabilitado | Habilitado | - A proteção just-in-time é aplicada somente aos arquivos em dispositivos de armazenamento que são locais ao ponto de extremidade. |
| Habilitado | Habilitado | - As políticas DLP que têm escopo para dispositivos são aplicadas a todos os compartilhamentos de rede e unidades mapeadas às quais o dispositivo está conectado. Ações com suporte: dispositivos- A proteção just-in-time é aplicada a todos os compartilhamentos de rede e unidades mapeadas às quais o dispositivo está conectado. |
A cobertura e as exclusões de compartilhamento de rede complementam as ações de repositório local do DLP. Esta tabela mostra as configurações de exclusão e o comportamento resultante, dependendo se o DLP está habilitado ou desabilitado para repositórios locais.
| Cobertura e exclusões de compartilhamento de rede | Repositórios locais do DLP | Comportamento resultante |
|---|---|---|
| Habilitado | Desabilitado | - As políticas DLP que têm escopo para dispositivos são aplicadas a todos os compartilhamentos de rede e unidades mapeadas às quais o dispositivo está conectado. Ações com suporte: dispositivos |
| Desabilitado | Habilitado | - As políticas que têm escopo para repositórios locais podem impor ações de proteção em dados locais em repouso em compartilhamentos de arquivos e bibliotecas e pastas de documentos do SharePoint. Ações de repositório local do DLP |
| Habilitado | Habilitado | - As políticas DLP que têm escopo para dispositivos são aplicadas a todos os compartilhamentos de rede e unidades mapeadas às quais o dispositivo está conectado. Ações com suporte: dispositivos- As políticas que têm escopo para repositórios locais podem impor ações de proteção em dados locais em repouso em compartilhamentos de arquivos e bibliotecas e pastas de documentos do SharePoint. Ações de repositório local do DLP |
Aplicativos restritos e grupos de aplicativos
Aplicativos restritos
A lista de aplicativos restritos (anteriormente chamada de aplicativos não permitidos), é uma lista personalizada de aplicativos que você cria. Você configura quais ações o DLP executa quando alguém usa um aplicativo na lista para acessar um arquivo protegido por DLP em um dispositivo. A lista de aplicativos restritos está disponível para dispositivos Windows 10/11 e macOS que executam qualquer uma das três versões mais recentes do macOS.
Importante
Não inclua o caminho para o executável. Inclua apenas o nome executável (como browser.exe).
A ação (
audit,block with overrideoublock) definida para aplicativos que estão na lista de aplicativos restritos só se aplica quando um usuário tenta acessar um item protegido.
Quando o Access por aplicativos restritos é selecionado em uma política e um usuário usa um aplicativo que está na lista de aplicativos restritos para acessar um arquivo protegido, a atividade é audited, blockedou blocked with override, dependendo de como você configurou a lista de aplicativos restritos . EXCEÇÃO: se um aplicativo na lista de aplicativos restritos também for membro de um grupo de aplicativos restritos, as ações configuradas para atividades no grupo de aplicativos restritos substituirão as ações configuradas para a lista de aplicativos restritos . Todas as atividades são auditadas e disponíveis para revisão no gerenciador de atividades.
Grupos de aplicativos restritos (versão prévia)
Grupos de aplicativos restritos são coleções de aplicativos que você cria nas configurações de DLP e adiciona a uma regra em uma política. Ao adicionar um grupo de aplicativos restrito a uma política, você pode executar as ações definidas na tabela a seguir.
| Opção de grupo de aplicativos restrito | O que ele permite que você faça |
|---|---|
| Não restringir a atividade do arquivo | Informa ao DLP para permitir que os usuários acessem itens protegidos por DLP usando aplicativos no grupo de aplicativos sem tomar nenhuma ação quando o usuário tentar copiar para a área de transferência, Copiar para uma unidade removível USB, Copiar para uma unidade de rede ou Imprimir do aplicativo. |
| Aplique uma restrição a todas as atividades | Informa ao DLP para Audit only, Block with overrideou Block quando um usuário tenta acessar um item protegido por DLP usando um aplicativo que está no grupo de aplicativos relevante |
| Aplicar restrições a uma atividade específica | Essa configuração permite que um usuário acesse um item protegido por DLP usando um aplicativo que está no grupo de aplicativos. Ele também permite que você selecione uma ação padrão (Audit only, Blockou Block with override) para DLP a ser executada quando um usuário tenta copiar para a área de transferência, Copiar para uma unidade removível USB, Copiar para uma unidade de rede e Imprimir. |
Importante
As configurações em um grupo de aplicativos restrito substituem quaisquer restrições definidas na lista de aplicativos restritos quando estão na mesma regra. Portanto, se um aplicativo estiver na lista de aplicativos restritos e também for membro de um grupo de aplicativos restritos, as configurações do grupo de aplicativos restritos serão aplicadas.
Como a DLP aplica restrições às atividades
As interações entre atividades de arquivo para aplicativos em grupos de aplicativos restritos, atividades de arquivo para todos os aplicativos e a lista de atividades de aplicativo restrito têm o escopo da mesma regra.
Substituições de grupos de aplicativos restritos
As configurações definidas em Atividades de arquivo para aplicativos em grupos de aplicativos restritos substituem as configurações na lista Atividades restritas do aplicativo e as Atividades de arquivo para todos os aplicativos na mesma regra.
Atividades de aplicativos restritas e atividades de arquivos para todos os aplicativos
As configurações de Atividades de aplicativos restritas e Atividades de arquivos para todos os aplicativos funcionarão em conjunto se a ação definida para Atividades de aplicativos restritas for Audit only ou Block with override na mesma regra. Por quê? As ações definidas para atividades de aplicativo restrito só se aplicam quando um usuário acessa um arquivo usando um aplicativo que está na lista. Depois que o usuário tiver acesso, as ações definidas para atividades em Atividades de arquivo para todos os aplicativos se aplicam.
Por exemplo, veja o exemplo a seguir. Diga que Notepad.exe é adicionado a aplicativos restritos e As atividades de arquivo para todos os aplicativos estão configuradas para Aplicar restrições a atividades específicas e ambas estão configuradas conforme indicado nesta tabela:
| Configuração na política | Nome do aplicativo | Atividade do usuário | Ação DLP a ser tomada |
|---|---|---|---|
| Atividades de aplicativo restrito | Bloco de Notas | Acessar um item protegido por DLP | Somente Auditoria |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para a área de transferência | Somente Auditoria |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para um dispositivo removível USB | Bloquear |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para um compartilhamento de rede | Somente Auditoria |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Imprimir | Bloquear |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar ou mover usando o aplicativo Bluetooth não permitido | Blocked |
| Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Serviços de área de Trabalho Remota | Bloquear com substituição |
Quando o Usuário A abre um arquivo protegido por DLP usando o Bloco de Notas, o DLP permite o acesso e audita a atividade. Enquanto ainda está no Bloco de Notas, o Usuário A tenta copiar o conteúdo do item protegido para a área de transferência. Essa ação é bem-sucedida e o DLP audita a atividade. O usuário A tenta imprimir o item protegido do Bloco de Notas e a atividade é bloqueada.
Observação
Quando a ação de DLP a ser tomada em Atividades restritas do aplicativo é definida comoblock, todo o acesso é bloqueado e o usuário não pode realizar nenhuma atividade no arquivo.
Atividades de arquivo apenas para todos os aplicativos
Se um aplicativo não estiver na lista Atividades de arquivo para aplicativos em grupos de aplicativos restritos ou na lista de atividades de aplicativo restrito ou estiver na lista de atividades restritas do aplicativo , com uma ação de Audit only, ou Block with override, quaisquer restrições definidas nas atividades de arquivo para todos os aplicativos serão aplicadas na mesma regra.
Dispositivos macOS
Você também pode impedir que aplicativos macOS acessem dados confidenciais definindo-os na lista de atividades de aplicativo restrito .
Observação
Os aplicativos entre plataformas devem ser inseridos com seus caminhos exclusivos, respectivamente, para o sistema operacional em execução.
Para encontrar o caminho completo dos aplicativos Mac:
No dispositivo macOS, abra Monitor de Atividades. Localize e clique duas vezes no processo que você deseja restringir.
Selecione a guia Abrir Arquivos e Portas .
Anote o nome completo do caminho, incluindo o nome do aplicativo.
Quarentena automática
Para evitar que itens confidenciais sejam sincronizados com a nuvem por aplicativos de sincronização de nuvem, como onedrive.exe, adicione o aplicativo de sincronização de nuvem à lista de aplicativos restritos com quarentena automática
Quando habilitado, a quarentena automática é disparada quando um aplicativo restrito tenta acessar um item confidencial protegido por DLP. A quarentena automática move o item confidencial para uma pasta configurada pelo administrador. Se configurado para fazer isso, o autoquarrantine poderá deixar um arquivo espaço reservado (.txt) no lugar do original. Você pode configurar o texto no arquivo de espaço reservado para informar aos usuários o novo local do item e outras informações pertinentes.
Use isso quando um aplicativo de sincronização de nuvem não permitido tentar acessar um item protegido por uma política DLP de bloqueio, o DLP pode gerar notificações repetidas. Você pode evitar essas notificações repetidas habilitando a quarentena automática.
Você também pode usar a quarentena automática para evitar uma cadeia interminável de notificações DLP para o usuário e os administradores. Para obter mais informações, consulte Cenário 4: evitar notificações DLP em loop de aplicativos de sincronização de nuvem com quarentena automática
Aplicativos Bluetooth não permitidos (restritos)
Para impedir que as pessoas transfiram arquivos protegidos por suas políticas por meio de aplicativos Bluetooth específicos, adicione esses aplicativos à lista de aplicativos restritos .
Restrições do navegador e do domínio para dados confidenciais
Restrinja arquivos confidenciais que correspondem às suas políticas de serem compartilhados com domínios de serviço de nuvem irrestritos.
Navegadores não permitidos
Para dispositivos Windows, você pode restringir o uso de navegadores da Web especificados, identificados por seus nomes executáveis. Os navegadores especificados são impedidos de acessar arquivos que correspondam às condições de uma política DLP imposta em que a restrição de serviços de upload para nuvem é definida como block ou block override. Quando esses navegadores são impedidos de acessar um arquivo, os usuários finais veem uma notificação de brinde solicitando que eles abram o arquivo por meio do Microsoft Edge.
Para dispositivos macOS, você deve adicionar o caminho completo do arquivo. Para encontrar o caminho completo dos aplicativos Mac:
No dispositivo macOS, abra Monitor de Atividades. Encontre e clique duas vezes no processo que você deseja restringir
Escolha a guia Abrir Arquivos e Portas.
Anote o nome completo do caminho, incluindo o nome do aplicativo.
Domínios de serviço
Você precisa selecionar a configuração Permitir ou Bloquear para Domínios de Serviço para controlar se arquivos confidenciais protegidos por suas políticas podem ser carregados em domínios de serviço específicos.
Observação
A configuração de domínios de serviço só se aplica a arquivos carregados usando o Microsoft Edge ou usando instâncias do Google Chrome ou do Mozilla Firefox que têm a Extensão chrome do Microsoft Purview instalada.
Permitir
Quando a lista de domínios de serviço é definida como Permitir, as políticas DLP não são aplicadas quando um usuário tenta carregar um arquivo confidencial em qualquer um dos domínios da lista.
Se o modo de lista estiver definido como Permitir, qualquer atividade do usuário envolvendo um item confidencial e um domínio que está na lista será auditada. A atividade é permitida. Quando um usuário tenta uma atividade envolvendo um item confidencial e um domínio que não está na lista, as políticas DLP e as ações definidas nessas políticas são aplicadas.
Por exemplo, com essa configuração:
- O modo de lista de domínios de serviço está definido como Permitir.
- Contoso.com está na lista.
- Uma política DLP é definida como Bloquear o carregamento de itens confidenciais que contêm números de cartão de crédito.
Se um usuário tentar carregar um arquivo confidencial com números de cartão de crédito para contoso.com, a atividade do usuário será permitida, auditada e um evento será gerado. No entanto, o nome da política não está listado, nem o nome da regra de gatilho exibido nos detalhes do Evento. Nenhum alerta é gerado.
Por outro lado, se um usuário tentar carregar um arquivo confidencial com números de cartão de crédito para wingtiptoys.com (que não está na lista de aplicativos restritos), a política será aplicada e a atividade do usuário será bloqueada. Além disso, um evento é gerado, assim como um alerta.
Bloquear
Quando a lista de domínios de serviço é definida como Bloquear, as políticas DLP são aplicadas quando um usuário tenta carregar um arquivo confidencial para qualquer um dos domínios na lista de aplicativos restritos .
Se o modo de lista estiver definido como Bloquear, quando um usuário tentar uma atividade envolvendo um item confidencial e um domínio que está na lista, as políticas DLP e as ações definidas nela serão aplicadas. Qualquer atividade que envolva um item confidencial e um domínio que não esteja na lista é auditada e a atividade do usuário é permitida.
Vamos dar uma olhada em outro exemplo. Digamos que estamos olhando para a seguinte configuração:
- O modo de lista de domínios de serviço está definido como Bloquear.
- Contoso.com está na lista.
- Uma política DLP é definida como Bloquear com substituição para o carregamento de itens confidenciais que contêm números de cartão de crédito.
Se um usuário tentar carregar um arquivo confidencial com números de cartão de crédito para contoso.com, a atividade será bloqueada, mas o usuário poderá substituir o bloco. Se o usuário optar por substituir o bloco, um evento será gerado e um alerta será disparado.
No entanto, se um usuário tentar carregar um arquivo confidencial com números de cartão de crédito para wingtiptoys.com (que não está na lista restrita), a política não será aplicada e a atividade do usuário será simplesmente auditada. Um evento é gerado, mas não lista o nome da política ou o da regra de gatilho nos detalhes do evento. Nenhum alerta é gerado.
Importante
Quando o modo de restrição de serviço é definido como Permitir, você deve ter pelo menos um domínio de serviço configurado antes que as restrições sejam impostas.
Tabela resumo A tabela a seguir mostra como o sistema se comporta dependendo das configurações listadas.
| Configuração da lista de domínios de serviço | Carregar item confidencial para o site na lista | Carregar item confidencial para o site que não está na lista |
|---|---|---|
| Permitir | - Nenhuma política DLP é aplicada – a atividade do usuário é auditada – Evento gerado | - As políticas DLP são aplicadas - Ações configuradas são tomadas - Evento é gerado - Alerta é gerado |
| Bloquear | - As políticas DLP são aplicadas - Ações configuradas são tomadas - Evento é gerado - Alerta é gerado | - Nenhuma política DLP é aplicada – a atividade do usuário é auditada – o evento é gerado |
Ao adicionar um domínio à lista, use o formato FQDN do domínio de serviço sem o período final (.).
Por exemplo:
| Input | Comportamento de correspondência de URL |
|---|---|
| CONTOSO.COM | Corresponde ao nome de domínio especificado e a qualquer subsite: ://contoso.com://contoso.com/ ://contoso.com/anysubsite1://contoso.com/anysubsite1/anysubsite2 (etc.) Não corresponde a subdomínios ou domínios não especificados: ://anysubdomain.contoso.com://anysubdomain.contoso.com.AU |
| *.CONTOSO.COM | Corresponde ao nome de domínio especificado, qualquer subdomínio e qualquer site: ://contoso.com://contoso.com/anysubsite ://contoso.com/anysubsite1/anysubsite2://anysubdomain.contoso.com/ ://anysubdomain.contoso.com/anysubsite/://anysubdomain1.anysubdomain2.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.) Não corresponde a domínios não especificados |
www.contoso.com |
Corresponde ao nome de domínio especificado:
Não corresponde a domínios ou subdomínios não especificados *://anysubdomain.contoso.com/, neste caso, você deve colocar o próprio nome de domínio FQDN |
Você pode configurar até 50 domínios em domínios do Serviço Confidencial.
Grupos de domínio de serviço confidenciais
Quando você lista um site em domínios de serviço confidenciais, você pode audit, block with overrideou atividade totalmente block do usuário quando os usuários tentam executar qualquer uma das seguintes ações:
- imprimir de um site
- copiar dados de um site
- salvar um site como arquivo local
- carregar ou arrastar/soltar um arquivo confidencial para um site excluído
- colar dados confidenciais em um site excluído
A tabela a seguir mostra quais navegadores dão suporte a esses recursos:
| Navegador | Recurso com suporte |
|---|---|
| Microsoft Edge | - Imprimir o site - Copiar dados do site - Salvar o site como arquivos locais (save-as) - Colar em navegadores com suporte- Carregar em um domínio de serviço de nuvem restrito |
| Google Chrome (com a extensão do Microsoft Purview) | - Colar em navegadores com suporte – Carregar em um domínio de serviço de nuvem restrito |
| Mozilla Firefox (com a extensão do Microsoft Purview) | – Carregar em um serviço de nuvem restrito – colar em navegadores com suporte |
Para a ação Colar para navegadores com suporte , pode haver um breve atraso de tempo entre quando o usuário tenta colar texto em uma página da Web e quando o sistema termina de classificá-lo e responder. Se essa latência de classificação acontecer, você poderá ver notificações de avaliação de política e marcar completas no Edge ou na avaliação de política no Chrome e no Firefox. Aqui estão algumas dicas para minimizar o número de notificações:
- As notificações são disparadas quando uma política para o site de destino é configurada como Bloquear ou Bloquear com a substituição da Pasta para navegadores com suporte para esse usuário. Você pode configurar a ação geral para Auditar e, em seguida, usando as exceções, Bloquear os sites de destino. Como alternativa, você pode definir a ação geral como Bloquear e, em seguida, usando as exceções, Audite os sites seguros.
- Use a versão mais recente do cliente antimalware.
- Verifique se sua versão do Microsoft Edge é 120 ou superior.
- Instale estes KBs do Windows:
Observação
A configuração de domínios de serviço só se aplica a arquivos carregados usando o Microsoft Edge ou uma instância do Google Chrome ou do Mozilla Firefox que tem a Extensão do Microsoft Purview Chrome instalada.
Para dispositivos, você deve configurar a lista domínios de serviço confidenciais para usar o Upload em uma ação de domínio de serviço de nuvem restrita em uma política DLP. Você também pode definir grupos de sites aos quais deseja atribuir ações de política diferentes das ações de grupo de sites globais. Você pode adicionar no máximo 100 sites em um único grupo e pode criar no máximo 150 grupos. Para obter mais informações, consulte Cenário 6: Monitorar ou restringir atividades do usuário em domínios de serviço confidenciais.
Importante
Em relação à ação colar ao navegador com suporte . Se 'Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade' estiver habilitada na regra para esse recurso, os caracteres de lixo poderão aparecer no texto de origem se o dispositivo Windows do usuário não tiver o Cliente Antimalware Versão 4.18.23110 ou mais recente instalado. Selecione Ações>Baixar para exibir o conteúdo real.
Para obter mais informações, consulte Cenário 7: restringir a colação de conteúdo confidencial em um navegador.
Sintaxe com suporte para designar sites em um grupo de sites
Se você usar URLs para identificar sites, não inclua o protocolo de rede como parte da URL (por exemplo, https:// ou file://). Em vez disso, use uma sintaxe flexível para incluir e excluir domínios, subdomínios, sites e subsites em seus grupos de sites. Por exemplo,
- Usar
*como curinga para especificar todos os domínios ou todos os subdomínios - Use
/como terminador no final de uma URL para escopo somente para esse site específico.
Quando você adiciona uma URL sem uma marca de barra terminante ( /), essa URL é escopo para esse site e todos os sub-sites.
Essa sintaxe se aplica a todos os sites http/https. Aqui estão alguns exemplos:
| URL adicionada ao grupo de sites | A URL corresponderá | A URL não corresponderá |
|---|---|---|
| contoso.com | //contoso.com/allsubsites1/allsubsites2 contoso.com/allsubsites1 contoso.com/ contoso.com // // // | // //allsubdomains.contoso.com allsubdomains.contoso.com.au |
| contoso.com/ | // //contoso.com contoso.com/ | //contoso.com/allsubsites1 allsubdomains.contoso.com/au de // allsubdomains.contoso.com contoso.com/allsubsites1/allsubsites2 // // |
| *.contoso.com | // //contoso.com contoso.com/allsubsites // contoso.com/allsubsites1/allsubsites2 // allsubdomains.contoso.com // allsubdomains.contoso.com/allsubsites //allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2 | //allsubdomains.contoso.com.au |
| *.contoso.com/xyz | // //contoso.com contoso.com/xyz // contoso.com/xyz/allsubsites/ allsubdomains.contoso.com/xyz // //allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 de allsubdomains.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites // // | // //contoso.com/xyz/ allsubdomains.contoso.com/xyz/ |
| *.contoso.com/xyz/ | // //contoso.com/xyz allsubdomains.contoso.com/xyz | // //contoso.com contoso.com/xyz/allsubsites/ //allsubdomains.contoso.com/xyz/allsubsites/ // allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 // |
Importante
As URLs dão suporte a essas ações:
- Imprimir o site
- Copiar dados do site
- Salvar o site como arquivos locais (salvar como)
- Colar em navegadores com suporte
- Carregar em um domínio de serviço de nuvem restrito
O endereço IP e o intervalo de endereços IP dão suporte a essas ações:
- Imprimir o site
- Copiar dados do site
- Salvar o site como arquivos locais (salvar como)
Configurações adicionais para DLP do ponto de extremidade
Justificativa de negócios em dicas de política
Você pode controlar como os usuários interagem com a opção de justificativa comercial em Opções para configurar dicas de política. Esta opção aparece quando os usuários realizam uma atividade protegida pela configuração Bloquear com substituição em uma política DLP. Esta é uma configuração global. Você pode escolher uma das seguintes opções:
- Mostrar as opções padrão e a área de entrada de texto personalizada: Por padrão, os usuários podem selecionar uma justificação interna ou inserir seu próprio texto.
- Apenas mostrar opções padrão: os usuários estão limitados a selecionar em uma lista de justificativas internas.
- Mostrar somente uma caixa de texto personalizada: os usuários estão limitados a inserir uma justificativa personalizada. A caixa de texto é exibida na notificação de dica de política do usuário final, sem uma lista de opções.
Personalizando as opções no menu suspenso
Você pode criar até cinco opções personalizadas que aparecem quando os usuários interagem com a dica de notificação de política selecionando o menu suspenso Personalizar as opções.
| Opção | Texto padrão |
|---|---|
| opção 1 | Isso faz parte de um fluxo de trabalho comercial estabelecido ou você pode inserir um texto personalizado |
| opção 2 | Meu gerente aprovou esta ação ou você pode inserir um texto personalizado |
| opção 3 | Acesso necessário urgente; Notificarei meu gerente separadamente ou você pode inserir um texto personalizado |
| Mostrar a opção de falso positivo | As informações contidas nestes arquivos não são confidenciais ou você pode inserir um texto personalizado |
| opção 5 | Outro ou você pode inserir um texto personalizado |
Sempre auditar a atividade dos arquivos para os dispositivos
Por padrão, quando os dispositivos são integrados, a atividade dos arquivos Office, PDF e CSV é auditada automaticamente e fica disponível para análise no explorador de atividades. Desative esse recurso se desejar que essa atividade seja auditada somente quando dispositivos integrados forem incluídos em uma política ativa.
A atividade de arquivo sempre é auditada para dispositivos integrados, independentemente de serem incluídos em uma política ativa.
Grupos de impressoras
Use essa configuração para definir grupos de impressoras aos quais você deseja atribuir ações de política diferentes das ações de impressão globais.
O caso de uso mais comum para criar grupos de impressoras é usá-los para limitar a impressão de contratos a apenas essas impressoras no departamento jurídico de uma organização. Depois de definir um grupo de impressoras aqui, você pode usá-lo em todas as suas políticas que têm escopo para Dispositivos. Para obter mais informações sobre como configurar ações de política para usar grupos de autorização, consulte Cenário 8 Grupos de autorização .
Você pode criar um máximo de 20 grupos de impressoras. Cada grupo pode conter no máximo 50 impressoras.
Observação
Esse recurso está disponível para dispositivos que executam qualquer uma das seguintes versões do Windows:
Vejamos um exemplo. Digamos que você queira que sua política DLP bloqueie a impressão de contratos para todas as impressoras, exceto para aquelas que estão no departamento jurídico.
Use os parâmetros a seguir para atribuir impressoras em cada grupo.
- Nome da impressora amigável – Obtenha o valor do nome da impressora amigável dos detalhes da propriedade do dispositivo da impressora no gerenciador de dispositivos.
- Impressora USB – uma impressora conectada por meio da porta USB de um computador. Selecione essa opção se quiser impor qualquer impressora USB, deixando a ID do produto USB e a ID do fornecedor USB não selecionadas. Você também pode atribuir uma impressora USB específica especificando sua ID do produto USB e a ID do fornecedor USB.
- ID do produto USB – Obtenha o valor do caminho da Instância do Dispositivo dos detalhes da propriedade do dispositivo de impressora no gerenciador de dispositivos. Converta esse valor no formato ID do produto e ID do fornecedor. Para obter mais informações, consulte Identificadores USB padrão.
- ID do fornecedor USB – Obtenha o valor do caminho da Instância do Dispositivo dos detalhes da propriedade do dispositivo de impressora no gerenciador de dispositivos. Converta esse valor no formato ID do produto e ID do fornecedor. Para obter mais informações, consulte Identificadores USB padrão.
- Intervalo IP
- Imprimir no arquivo – Microsoft Print para PDF ou Microsoft XPS Document Writer. Se você quiser apenas impor o Microsoft Print ao PDF, use o nome da impressora Amigável com 'Microsoft Print to PDF'.
- Impressão universal implantada em uma impressora – Para obter mais informações sobre impressoras universais, consulte Configurar Impressão Universal.
- Impressora corporativa – é uma fila de impressão compartilhada por meio do servidor de impressão do Windows local em seu domínio. Seu caminho pode ser semelhante a este: \print-server\contoso.com\legal_printer_001
- Imprimir no local – qualquer impressora que se conecte por meio da porta de impressão da Microsoft, mas não qualquer um dos tipos acima. Por exemplo: imprimir por meio da área de trabalho remota ou da impressora de redirecionamento.
Observação
Você não deve usar vários parâmetros de impressora USB, intervalo DE IP, Imprimir no arquivo, Impressão universal implantada em uma impressora, impressora corporativa e Imprimir no local.
Atribua a cada impressora no grupo um nome de exibição. Esses nomes aparecem apenas no console do Microsoft Purview.
Crie um grupo de impressoras chamado Impressoras legais e adicione impressoras individuais (com um alias) pelo nome amigável; por exemplo, :
legal_printer_001elegal_printer_002legal_color_printer. (Você pode selecionar vários parâmetros ao mesmo tempo para ajudá-lo a identificar de forma inequívoca uma impressora específica.)Atribua as ações de política ao grupo em uma política DLP:
Allow(auditar sem notificações ou alertas do usuário)Audit only(você pode adicionar notificações e alertas)Block with override(bloqueia a ação, mas o usuário pode substituir)Block(blocos não importa o quê)
Criar um grupo de impressoras
- Abra portal de conformidade do Microsoft Purview e navegue até Prevenção> contra perda de dadosVisão geral>Configurações de prevenção contra perda de dados Configurações> de ponto de extremidadeGrupos>de impressoras.
- Selecione Criar grupo de impressoras.
- Dê um nome ao grupo.
- Selecione Adicionar impressora.
- Dê à impressora um nome amigável. O nome selecionado só aparece aqui.
- Selecione os parâmetros e forneça os valores para identificar de forma inequívoca a impressora específica.
- Selecione Adicionar.
- Adicione outras impressoras conforme necessário.
- Selecione Salvar e , em seguida, Fechar.
Grupos de dispositivos USB removíveis
Use essa configuração para definir grupos de dispositivos de armazenamento removíveis, como pen drives USB, que você deseja atribuir ações de política a que são diferentes das ações de impressão globais. Por exemplo, digamos que você queira que sua política DLP bloqueie itens com especificações de engenharia de serem copiados para dispositivos de armazenamento removíveis, exceto para discos rígidos conectados a USB designados que são usados para fazer backup de dados para armazenamento fora do local.
Você pode criar um máximo de 20 grupos, com um máximo de 50 dispositivos de armazenamento removíveis em cada grupo.
Observação
Esse recurso está disponível para dispositivos que executam qualquer uma das seguintes versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 de KB
- Win 11 21H2, 22H2 with KB 5018483
- Windows 10 RS5 (5006744 KB) e Windows Server 2022
Use os parâmetros a seguir para definir seus dispositivos de armazenamento removíveis.
- Nome amigável do dispositivo de armazenamento – Obtenha o valor do nome amigável dos detalhes da propriedade do dispositivo de armazenamento no gerenciador de dispositivos. Há suporte para valores curinga.
- ID do produto USB – Obtenha o valor do caminho da Instância do Dispositivo dos detalhes da propriedade do dispositivo USB no gerenciador de dispositivos. Converta-o no formato ID do produto e ID do fornecedor, consulte Identificadores USB padrão.
- ID do fornecedor USB – Obtenha o valor do caminho da Instância do Dispositivo dos detalhes da propriedade do dispositivo USB no gerenciador de dispositivos. Converta-o no formato ID do produto e ID do fornecedor, consulte Identificadores USB padrão.
- ID do número de série – Obtenha o valor da ID do número de série dos detalhes da propriedade do dispositivo de armazenamento no gerenciador de dispositivos. Há suporte para valores curinga.
- ID do dispositivo – Obtenha o valor da ID do dispositivo dos detalhes da propriedade do dispositivo de armazenamento no gerenciador de dispositivos. Há suporte para valores curinga.
- ID do caminho da instância – Obtenha o valor da ID do dispositivo dos detalhes da propriedade do dispositivo de armazenamento no gerenciador de dispositivos. Há suporte para valores curinga.
- ID de hardware – Obtenha o valor da ID de hardware dos detalhes da propriedade do dispositivo de armazenamento no gerenciador de dispositivos. Há suporte para valores curinga.
Você atribui a cada dispositivo de armazenamento removível no grupo um Alias. O alias é um nome amigável que aparece apenas no console do Microsoft Purview. Portanto, continuando com o exemplo, você criaria um grupo de dispositivos de armazenamento removível chamado Backup e adicionaria dispositivos individuais (com um alias) pelo nome amigável, como backup_drive_001, e backup_drive_002.
Você pode selecionar vários parâmetros e, em seguida, o grupo de impressoras inclui todos os dispositivos que atendem a esses parâmetros.
Você pode atribuir essas ações de política ao grupo em uma política DLP:
Allow(auditar sem notificações ou alertas do usuário)Audit only(você pode adicionar notificações e alertas)Block withsubstituição (bloqueia a ação, mas o usuário pode substituir)Block(blocos não importa o quê)
Criar um grupo de dispositivos USB removível
- Abra portal de conformidade do Microsoft Purview>Data loss prevention>Visão geral>Configurações de prevenção contra perda de dados Configurações>de ponto de extremidade Grupos de dispositivos>de armazenamento removíveis.
- Selecione Criar grupo de dispositivos de armazenamento removíveis.
- Forneça um nome de grupo.
- Selecione Adicionar dispositivo de armazenamento removível.
- Forneça um Alias.
- Selecione os parâmetros e forneça os valores para identificar de forma inequívoca o dispositivo específico.
- Selecione Adicionar.
- Adicione outros dispositivos ao grupo conforme necessário.
- Selecione Salvar e , em seguida, Fechar.
O caso de uso mais comum para criar grupos de armazenamento removíveis é usá-los para especificar para quais dispositivos de armazenamento removíveis os usuários podem copiar arquivos. Geralmente, a cópia só é permitida para dispositivos em um grupo de Backup designado.
Depois de definir um grupo de dispositivos de armazenamento removível, você pode usá-lo em todas as suas políticas que estão no escopo de Dispositivos. Consulte Cenário 8: Grupos de autorização para obter mais informações sobre como configurar ações de política para usar grupos de autorização.
Grupos de compartilhamento de rede
Use essa configuração para definir grupos de caminhos de compartilhamento de rede aos quais você deseja atribuir ações de política diferentes das ações de caminho de compartilhamento de rede global. Por exemplo, digamos que você deseja que sua política DLP impeça os usuários de salvar ou copiar arquivos protegidos para compartilhamentos de rede, exceto os compartilhamentos de rede em um determinado grupo.
Observação
Esse recurso está disponível para dispositivos que executam qualquer uma das seguintes versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 de KB
- Win 11 21H2, 22H2 with KB 5018483
- Windows 10 RS5 (5006744 KB) e Windows Server 2022
Para incluir caminhos de compartilhamento de rede em um grupo, defina o prefixo com o qual todos os compartilhamentos começam. Por exemplo:
'\Biblioteca' corresponderá:
- \Pasta biblioteca e todas as subpastas.
Você pode usar Curingas, por exemplo, '\Usuários*\Área de Trabalho' corresponderá:
- '\Users\user1\Desktop'
- '\Users\user1\user2\Desktop'
- '\Users*\Desktop'
Você também pode usar variáveis ambientais, por exemplo:
- %AppData%\app123
Você pode atribuir as seguintes ações de política ao grupo em uma política DLP:
Allow(auditar sem notificações ou alertas do usuário)Audit only(você pode adicionar notificações e alertas)Block with override(bloqueia a ação, mas o usuário pode substituir)Block(blocos não importa o quê)
Depois de definir um grupo de compartilhamento de rede, você pode usá-lo em todas as políticas DLP que têm escopo para Dispositivos. Para obter mais informações sobre como configurar ações de política para usar grupos de autorização, consulte Cenário 8 Grupos de autorização.
Criar um grupo de compartilhamento de rede
- Abra portal de conformidade do Microsoft Purview>Data loss prevention>Visão geral>Configurações de prevenção contra perdade dados Configurações >de ponto de extremidade Grupos>de compartilhamento de rede. 1.Selecione Criar grupo de compartilhamento de rede.
- Forneça um nome de grupo.
- Adicione o caminho do arquivo ao compartilhamento.
- Selecione Adicionar.
- Adicione outros caminhos de compartilhamento ao grupo conforme necessário.
- Selecione Salvar e , em seguida, Fechar.
Configurações da VPN
Use a lista de VPN para controlar apenas as ações que estão sendo executadas por essa VPN.
Observação
Esse recurso está disponível para dispositivos que executam qualquer uma dessas versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 de KB
- Windows 11 21H2, 22H2 com 5018483 de KB
- Windows 10 RS5 (KB 5006744)
Ao listar uma VPN em Configurações de VPN, você pode atribuir as seguintes ações de política a elas:
Allow(auditar sem notificações ou alertas do usuário)Audit only(você pode adicionar notificações e alertas)Block with override(bloqueia a ação, mas o usuário pode substituir)Block(blocos não importa o quê)
Essas ações podem ser aplicadas individual ou coletivamente às seguintes atividades de usuário:
- Copiar para a área de transferência
- Copiar para um dispositivo removível USB
- Copiar para um compartilhamento de rede
- Copiar ou mover usando o aplicativo Bluetooth não permitido (restrito)
- Copiar ou mover usando RDP
Ao configurar uma política DLP para restringir a atividade em dispositivos, você pode controlar o que acontece com cada atividade executada quando os usuários estão conectados à sua organização em qualquer uma das VPNs listadas.
Use o endereço do servidor ou os parâmetros de endereço de rede para definir a VPN permitida.
Obter o endereço do servidor ou o endereço de rede
- Em um dispositivo Windows monitorado por DLP, abra uma janela Windows PowerShell como administrador.
- Execute o cmdlet a seguir, que retorna vários campos e valores.
Get-VpnConnection
- Entre os resultados do cmdlet, localize o campo ServerAddress e registre esse valor. Você usa o ServerAddress ao criar uma entrada VPN na lista de VPN.
- Localize o campo Nome e registre esse valor. O campo Nome é mapeado para o campo Endereço de rede quando você cria uma entrada VPN na lista de VPN.
Adicionar uma VPN
- Abra portal de conformidade do Microsoft Purview>Data loss prevention>Visão geral>Configurações de prevenção contra perda de dados Configurações>> de VPNde pontode extremidade.
- Selecione Adicionar ou editar endereços VPN.
- Forneça o endereço do servidor ou o endereço de rede que você gravou depois de executar
Get-VpnConnection. - Selecione Salvar.
- Feche o item.
Importante
Na configuração restrições de rede, você também verá a rede corporativa como uma opção. As conexões de rede corporativa são todas conexões com os recursos de suas organizações. Você pode ver se o dispositivo está usando uma rede corporativa executando o Get-NetConnectionProfile cmdlet como administrador. Se o NetworkCategoryId na saída for DomainAuthenticated, significa que o computador está conectado à rede corporativa. Se a saída for outra coisa, o computador não será .
Em alguns casos, um computador pode estar conectado à VPN e à rede corporativa conectado. Se ambos forem selecionados sob as restrições de rede, o DLP do Ponto de Extremidade aplicará a ação com base na ordem. Se você quiser que a ação para VPN seja a aplicada, mova a entrada de VPN acima da rede corporativa para ter prioridade maior do que a ação para a rede corporativa.
Consulte Cenário 9: exceções de rede para obter mais informações sobre como configurar ações de política para usar exceções de rede.
Confira também
- Saiba mais sobre a Prevenção contra perda de dados do ponto de extremidade
- Introdução à Prevenção contra perda de dados do ponto de extremidade
- Saiba mais sobre prevenção contra perda de dados
- Começar a usar o Explorador de atividades
- Microsoft Defender para Ponto de Extremidade
- Integrar dispositivos Windows 10 e Windows 11 na visão geral do Microsoft Purview
- Assinatura do Microsoft 365
- Microsoft Entra ingressado
- Baixar o novo Microsoft Edge baseado em Chromium
- Introdução à política DLP padrão
- Criar e implantar políticas de prevenção contra perda de dados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de