Referência da política de prevenção contra perda de dados
as políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) têm muitos componentes a serem configurados. Para criar uma política eficaz, você precisa entender qual é a finalidade de cada componente e como sua configuração altera o comportamento da política. Este artigo fornece uma anatomia detalhada de uma política DLP.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Antes de começar
Se você for novo no DLP do Microsoft Purview, aqui está uma lista dos artigos principais que você precisará ao implementar o DLP:
- Unidades administrativas (visualização)
- Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview - o artigo apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft
- Limites confidenciais de tipo de informação – esses limites se aplicam a todas as políticas do Microsoft Purview que usam tipos de informações confidenciais.
- Planeje a DLP (prevenção contra perda de dados) – trabalhando neste artigo, você fará:
- Referência de política de prevenção contra perda de dados – este artigo que você está lendo agora apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política
- Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
- Criar e Implantar políticas de prevenção contra perda de dados – este artigo apresenta alguns cenários comuns de intenção de política que você mapeará para opções de configuração. Ele também orienta você na configuração dessas opções.
Além disso, você precisa estar ciente das seguintes restrições da plataforma:
- Número máximo de políticas MIP + MIG em um locatário: 10.000
- Tamanho máximo de uma política DLP (100 KB)
- Número máximo de regras DLP:
- Em uma política: limitado pelo tamanho da política
- Em um locatário: 600
- Tamanho máximo de uma regra DLP individual: 100 KB (102.400 caracteres)
- Limite de evidência gir: 100, com cada evidência SIT, em proporção de ocorrência
- Limite de extração de texto: 1 MB
- Limite de tamanho regex para todas as correspondências previstas: 20 KB
- Limite de comprimento do nome da política: 64 caracteres
- Limite de comprimento da regra da política: 64 caracteres
- Limite de comprimento do comentário: 1024 caracteres
- Limite de comprimento de descrição: 1024 caracteres
Modelos de política
Os modelos de política DLP são presos em quatro categorias:
- Os que podem detectar e proteger tipos de informações financeiras .
- Os que podem detectar e proteger tipos de informações médicas e de integridade .
- Os que podem detectar e proteger tipos de informações de privacidade .
- Um modelo personalizado que você pode usar para criar sua própria política se uma das outras não atender às suas necessidades de organizações.
Esta tabela lista todos os modelos de política e os tipos de informações confidenciais (SIT) que eles abordam.
Escopo da política
Confira Unidades administrativas (versão prévia) para garantir que você entenda a diferença entre um administrador irrestrito e um administrador restrito de unidade administrativa.
As políticas DLP são escopo em dois níveis diferentes. O primeiro nível aplica políticas de escopo de administrador irrestrito a todos:
- usuários
- grupos
- grupos de distribuição
- contas
- sites
- instâncias de aplicativo de nuvem
- repositórios locais
- Workspaces do Power BI
em sua organização (dependendo dos locais selecionados) ou para subgrupos da sua organização chamados políticas restritas da Unidade Administrativa (versão prévia).
Nesse nível, um administrador restrito de unidade administrativa só poderá escolher nas unidades administrativas às quais são atribuídas.
O segundo nível de escopo de política DLP é pelos locais compatíveis com DLP. Nesse nível, os administradores restritos de unidade administrativa e irrestrita verão apenas os usuários, grupos de distribuição, grupos e contas que foram incluídos no primeiro nível de escopo de política e estão disponíveis para esse local.
Políticas irrestritas
As políticas irrestritas são criadas e gerenciadas pelos usuários nesses grupos de funções:
- Administrador de conformidade
- Administrador de dados de conformidade
- Proteção de Informações
- Administrador de Proteção de Informações
- Administrador de segurança
Confira Permissões para obter mais detalhes.
Os administradores irrestritos podem gerenciar todas as políticas e ver todos os alertas e eventos que fluem da política correspondem ao Explorer de Atividade de Alertas dashboard e DLP.
Políticas restritas da Unidade Administrativa (versão prévia)
As unidades administrativas são subconjuntos do Azure Active Directory e são criadas para fins de gerenciamento de coleções de usuários, grupos, grupos de distribuição e contas. Essas coleções normalmente são criadas ao longo de linhas de grupo de negócios ou áreas geopolíticas. As unidades administrativas têm um administrador delegado associado a uma unidade administrativa no grupo de funções. Eles são chamados de administradores restritos de unidade administrativa.
O DLP dá suporte à associação de políticas com unidades administrativas. Consulte Unidades administrativas para obter detalhes da implementação no portal de conformidade do Microsoft Purview. Os administradores de unidade administrativa precisam ser atribuídos a uma das mesmas funções ou grupos de funções que administradores de políticas DLP irrestritas para criar e gerenciar políticas DLP para sua unidade administrativa
| Grupo de Funções Administrativas DLP | Cna |
|---|---|
| Administrador irrestrito | - criar e escopo políticas DLP para toda a organização - editar todas as políticas DLP - criar e escopo políticas DLP para unidades administrativas - exibir todos os alertas e eventos de todas as políticas DLP |
| Administrador restrito da Unidade Administrativa – deve ser um membro de/atribuído a um grupo/função de função que possa administrar o DLP |
- criar e escopo de políticas DLP apenas para a unidade administrativa à qual elas são atribuídas – editar políticas DLP associadas à sua unidade administrativa – exibir alertas e eventos somente das políticas DLP que estão no escopo de sua unidade administrativa |
Localizações
Uma política DLP pode localizar e proteger itens que contêm informações confidenciais em vários locais.
| Local | Dá suporte a unidades administrativas | Escopo Incluir/Excluir | Estado de dados | Pré-requisitos adicionais |
|---|---|---|---|---|
| Exchange | Sim | - Grupos de distribuição – grupos de segurança – grupos de segurança não habilitados por email – listas de distribuição dinâmica – grupos do Microsoft 365 (somente membros do grupo, não o grupo como uma entidade) |
dados em movimento | Não |
| Microsoft Office SharePoint Online | Não | Sites | data-at-rest data-in-use |
Não |
| OneDrive | Sim | - Grupos de distribuição – grupos de segurança – grupos de segurança não habilitados por email – grupos do Microsoft 365 (somente membros do grupo, não o grupo como uma entidade) |
data-at-rest data-in-use |
Não |
| Bater papo e canal de mensagens do Teams | Sim | - Grupos de distribuição – grupos de segurança – grupos de segurança não habilitados por email – grupos do Microsoft 365 (somente membros do grupo, não o grupo como uma entidade) |
data-in-motion data-in-use |
Não |
| Microsoft Defender for Cloud Apps | Não | Instância do aplicativo de nuvem | dados em repouso | - Usar políticas de prevenção contra perda de dados para aplicativos de nuvem que não são da Microsoft |
| Dispositivos | Sim | - Grupos de distribuição – grupos de segurança – grupos de segurança não habilitados por email – grupos do Microsoft 365 (somente membros do grupo, não o grupo como uma entidade) |
dados em repouso data-in-use data-in-motion |
- Saiba mais sobre a prevenção de perda de dados do Ponto de Extremidade - Introdução à prevenção - de perda de dados do Ponto de Extremidade Configurar configurações de proxy de dispositivo e conexão com a Internet para Proteção de Informações |
| Repositórios locais (compartilhamentos de arquivos e SharePoint) | Não | Repositório | dados em repouso | - Saiba mais sobre os repositórios - locais de prevenção de perda de dados Introdução aos repositórios locais de prevenção de perda de dados |
| Power BI | Não | Espaços de trabalho | dados em uso | Não |
| Aplicativos de terceiros | Nenhum | Não | Não | Não |
| Power BI | Não | Nenhum | Não | Não |
Escopo de localização do exchange
Se você optar por incluir grupos de distribuição específicos no Exchange, a política DLP será escopo apenas para os emails enviados por membros desse grupo. Da mesma forma, excluir um grupo de distribuição exclui todos os emails enviados pelos membros desse grupo de distribuição da avaliação da política.
| O remetente é | O destinatário é | Comportamento resultante |
|---|---|---|
| No escopo | N/D | A política é aplicada |
| Fora do escopo | No escopo | A política não é aplicada |
Cálculo do escopo de localização do Exchange
Aqui está um exemplo de como o escopo de localização do Exchange é calculado
Digamos que você tenha quatro usuários em sua organização, U1, U2, U3, U4 e, dois grupos de distribuição DG1 e DG2 que você usará para definir escopos de inclusão e exclusão de localização do Exchange. A associação de grupo é configurada assim:
| Grupo de Distribuição | Associação |
|---|---|
| DG1 | U1, U2 |
| DG2 | U2, U3 |
O U4 não é membro de nenhum grupo.
| Incluir configuração | Excluir configuração | A política se aplica a | A política não se aplica a | Explicação do comportamento |
|---|---|---|---|---|
| Todos | Nenhum | Todos os remetentes na organização do Exchange (U1, U2, U3, U4) | N/D | Quando nenhum dos dois é definido, todos os remetentes são incluídos |
| DG1 | Nenhum | Remetentes de membro do DG1 (U1, U2) | Todos os remetentes que não são membros do DG1 (U3, U4) | Quando uma configuração é definida e a outra não é a configuração definida é usada |
| Todos | DG2 | Todos os remetentes na organização do Exchange que não são membros do DG2 (U1, U4) | Todos os remetentes que são membros do DG2 (U2, U3) | Quando uma configuração é definida e a outra não é a configuração definida é usada |
| DG1 | DG2 | U1 | U2, U3, U4 | Excluir substituições incluem |
Você pode optar por criar uma política para os membros das listas de distribuição, grupos de distribuição dinâmicas e grupos de segurança. Uma política DLP pode conter, no máximo, 50 inclusões e exclusões.
Escopo de localização do SharePoint e do OneDrive
Se optar por incluir ou excluir sites específicos do SharePoint ou contas do OneDrive, uma política de DLP pode conter até 100 inclusões e exclusões. Embora esses limites existam, você pode excede-los ao ignorar uma política no âmbito da organização ou uma política que se aplica a locais inteiros.
Se optar por incluir ou excluir contas ou grupos específicos do OneDrive, uma política DLP não poderá conter mais de 100 contas de usuários ou 50 grupos como inclusão ou exclusão.
Suporte de local para como o conteúdo pode ser definido
As políticas DLP detectam itens confidenciais combinando-os com um tipo de informação confidencial (SIT) ou com um rótulo de confidencialidade ou um rótulo de retenção. Cada local dá suporte a diferentes métodos de definição de conteúdo confidencial. Quando você combina locais em uma política, como o conteúdo pode ser definido pode ser alterado de como ele pode ser definido por um único local.
Importante
Quando você seleciona vários locais para uma política, um valor "não" para uma categoria de definição de conteúdo tem precedência sobre o valor "sim". Por exemplo, quando você selecionar somente sites do SharePoint, a política dará suporte à detecção de itens confidenciais por um ou mais de SIT, por rótulo de confidencialidade ou por rótulo de retenção. Mas, quando você selecionar sites do SharePoint e locais de mensagens de chat e canal do Teams, a política só dará suporte à detecção de itens confidenciais pelo SIT.
| Local | O conteúdo pode ser definido pelo SIT | O conteúdo pode ser definido como rótulo de confidencialidade | O conteúdo pode ser definido pelo rótulo de retenção |
|---|---|---|---|
| Trocar email online | Sim | Sim | Não |
| Sites online do SharePoint | Sim | Sim | Sim |
| Contas do OneDrive for Business | Sim | Sim | Sim |
| Mensagens de Chat e Canal do Teams | Sim | Não | Não |
| Dispositivos | Sim | Sim | Não |
| Microsoft Defender for Cloud Apps | Sim | Sim | Sim |
| Repositórios locais | Sim | Sim | Não |
| Power BI | Sim | Sim | Não |
O DLP dá suporte ao uso de classificadores treináveis como condição para detectar documentos confidenciais. O conteúdo pode ser definido por classificadores treináveis em Exchange Online, sites do SharePoint Online, contas OneDrive for Business, Chat do Teams e Canais e Dispositivos. Para obter mais informações, consulte Classificadores treináveis.
Observação
O DLP dá suporte à detecção de rótulos de confidencialidade em emails e anexos. Para obter mais informações, consulte Usar rótulos de confidencialidade como condições em políticas DLP.
Rules
As regras são a lógica de negócios das políticas DLP. Eles consistem em:
- Condições que, quando correspondidas, disparam a política
- Ações a serem executadas quando a política é disparada
- Notificações de usuário para informar seus usuários quando eles estão fazendo algo que dispara uma política e ajudam a educá-los sobre como sua organização quer informações confidenciais tratadas
- Substituições de usuário quando configuradas por um administrador, permitem que os usuários substituam seletivamente uma ação de bloqueio
- Relatórios de incidentes que notificam administradores e outros principais stakeholders quando ocorre uma correspondência de regra
- Opções adicionais que definem a prioridade para avaliação de regras e podem parar o processamento de regras e políticas adicionais.
Uma política contém uma ou mais regras. As regras são executadas sequencialmente, começando pela prioridade mais alta em cada política.
A prioridade pela qual as regras são avaliadas e aplicadas
Cargas de trabalho de serviço hospedadas
Para as cargas de trabalho de serviço hospedadas, como Exchange Online, SharePoint Online e OneDrive for Business, cada regra recebe uma prioridade na ordem em que ela é criada. Isso significa que a regra criada primeiro tem prioridade, a regra criada em segundo tem segunda prioridade e assim por diante.
Quando o conteúdo é avaliado em relação às regras, estas são processadas na ordem de prioridade. Se o conteúdo corresponder a várias regras, a primeira regra avaliada que tem a ação mais restritiva será imposta. Por exemplo, se o conteúdo corresponder a todas as seguintes regras, a Regra 3 será imposta porque é a regra mais prioritária e restritiva:
- Regra 1: apenas notifica os usuários
- Regra 2: notifica os usuários, restringe o acesso e permite o usuário substituir
- Regra 3: notifica usuários, restringe o acesso e não permite substituições de usuário
- Regra 4: restringe o acesso
As regras 1, 2 e 4 seriam avaliadas, mas não aplicadas. Neste exemplo, as correspondências para todas as regras são registradas nos logs de auditoria e mostradas nos relatórios DLP, embora apenas a regra mais restritiva seja aplicada.
Você pode usar uma regra para atender a um requisito específico de proteção e depois usar uma política DLP para agrupar requisitos de proteção comuns, como todas as regras necessárias para manter a conformidade com uma regulamentação específica.
Por exemplo, você pode ter uma política DLP que ajuda a detectar a presença de informações sujeitas à lei americana HIPAA (Health Insurance Portability Accountability Act). Essa política DLP pode ajudar a proteger dados HIPAA (objeto) em todos os sites do SharePoint Online e OneDrive for Business (local) ao encontrar qualquer documento com essas informações confidenciais que são compartilhadas com pessoas de fora da sua organização (condições) e, em seguida, bloquear o acesso ao documento e enviar uma notificação (ações). Esses requisitos são armazenados como regras individuais e agrupadas como uma política DLP para simplificar o gerenciamento e a geração de relatório.
Para pontos de extremidade
Quando um item corresponde a várias regras DLP, o DLP usa um algoritmo complexo para decidir quais ações aplicar. O DLP do ponto de extremidade aplicará a agregação ou a soma da maioria das ações restritivas. O DLP usa esses fatores ao fazer o cálculo.
Ordem de prioridade da política Quando um item corresponde a várias políticas e essas políticas têm ações idênticas, as ações da política de maior prioridade são aplicadas.
Ordem de prioridade de regra Quando um item corresponde a várias regras em uma política e essas regras têm ações idênticas, as ações da regra de maior prioridade são aplicadas.
Modo da política Quando um item corresponde a várias políticas e essas políticas têm ações idênticas, as ações de todas as políticas que estão em Ativar estado (modo de impor) são aplicadas preferencialmente sobre as políticas em Teste com dicas de política e estado de teste .
O tipo de ação atribuída a uma atividade do usuário Quando um item corresponde a várias políticas e essas políticas diferem em ações, a agregação ou soma das ações mais restritivas são aplicadas.
Configuração de grupos de autorização Quando um item corresponde a várias políticas e essas políticas diferem em ação, a agregação ou soma das ações mais restritivas são aplicadas.
opções de substituição Quando um item corresponde a várias políticas e essas políticas diferem na opção de substituição, as ações são aplicadas nesta ordem:
Nenhuma substituição>Permitir substituição
Aqui estão cenários que ilustram o comportamento do runtime. Para os três primeiros cenários, você tem três políticas DLP configuradas assim:
| Nome da política | Condição para corresponder | Ação | Prioridade de política |
|---|---|---|---|
| ABC | O conteúdo contém o número de cartão de crédito | Bloquear impressão, auditar todas as outras atividades de saída de usuário | 0 |
| MNO | O conteúdo contém o número de cartão de crédito | Bloquear cópia para USB, auditar todas as outras atividades de saída do usuário | 1 |
| XYZ | O conteúdo contém o número de segurança social dos EUA | Bloquear cópia para área de transferência, auditar todas as outras atividades de saída de usuário | 2 |
Item contém números de cartão de crédito
Um item em um dispositivo monitorado contém números de cartão de crédito, portanto, corresponde à política ABC e ao MNO da política. O ABC e o MNO estão no modo Ativar .
| Política | Ação de saída de nuvem | Copiar para a ação de área de transferência | Copiar para a ação USB | Copiar para a ação de compartilhamento de rede | Ação de aplicativos não permitidos | Imprimir ação | Copiar via ação Bluetooth | Copiar para a ação da área de trabalho remota |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de cartão de crédito e números de segurança social dos EUA
Um item em um dispositivo monitorado contém números de cartão de crédito e números de segurança social dos EUA, portanto, este item corresponde à política ABC, política MNO e XYZ da política. Todas as três políticas estão no modo Ativar .
| Política | Ação de saída de nuvem | Copiar para a ação de área de transferência | Copiar para a ação USB | Copiar para a ação de compartilhamento de rede | Ação de aplicativos não permitidos | Imprimir ação | Copiar via ação Bluetooth | Copiar para a ação da área de trabalho remota |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| XYZ | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Bloquear | Bloquear | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de cartão de crédito, estado de política diferente
Um item em um dispositivo monitorado contém o número de cartão de crédito, portanto, corresponde à política ABC e ao MNO da política. A política ABC está em Ativar o modo e a política MNO está no estado de teste .
| Política | Ação de saída de nuvem | Copiar para a ação de área de transferência | Copiar para a ação USB | Copiar para a ação de compartilhamento de rede | Ação de aplicativos não permitidos | Imprimir ação | Copiar via ação Bluetooth | Copiar para a ação da área de trabalho remota |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
O item contém números de cartão de crédito, configuração de substituição diferente
Um item em um dispositivo monitorado contém o número de cartão de crédito, portanto, corresponde à política ABC e ao MNO da política. A política ABC está em Ativar o estado e a política MNO está em Ativar o estado. Eles têm ações de substituição diferentes configuradas
| Política | Ação de saída de nuvem | Copiar para a ação de área de transferência | Copiar para a ação USB | Copiar para a ação de compartilhamento de rede | Ação de aplicativos não permitidos | Imprimir ação | Copiar via ação Bluetooth | Copiar para a ação da área de trabalho remota |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Bloquear com substituição | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear sem substituição | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Bloquear sem substituição | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de cartão de crédito, configuração de grupos de autorização diferentes
Um item em um dispositivo monitorado contém o número de cartão de crédito, portanto, corresponde à política ABC e ao MNO da política. A política ABC está em Ativar o estado e a política MNO está em Ativar o estado. Eles têm diferentes ações de grupo de autorização configuradas
| Política | Ação de saída de nuvem | Copiar para a ação de área de transferência | Copiar para a ação USB | Copiar para a ação de compartilhamento de rede | Ação de aplicativos não permitidos | Imprimir ação | Copiar via ação Bluetooth | Copiar para a ação da área de trabalho remota |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Grupo de auth A – Bloquear | Auditoria | Auditoria | Grupo de auth A – Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Grupo de auth A – Bloquear com substituição | Auditoria | Auditoria | Grupo Auth B – bloco | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Grupo de auth A – Bloquear | Auditoria | Auditoria | Grupo de auth A – Bloco, Grupo Auth B – Bloquear | Auditoria | Auditoria |
Condições
As condições são em que você define o que deseja que a regra procure e contextualize em que esses itens estão sendo usados. Eles dizem à regra : quando você encontra um item que se parece com isso e está sendo usado como *isso, é uma correspondência e o resto das ações na política devem ser tomadas sobre ela. Você pode usar condições para atribuir ações diferentes a diferentes níveis de risco. Por exemplo, o conteúdo confidencial compartilhado internamente pode diminuir o risco e exigir menos ações do que o conteúdo confidencial compartilhado com pessoas de fora da organização.
Observação
Os usuários que têm contas não convidadas no Active Directory ou no locatário do Azure Active Directory de uma organização são considerados como pessoas dentro da organização.
O conteúdo contém
Todos os locais dão suporte à condição Conteúdo . Você pode selecionar várias instâncias de cada tipo de conteúdo e refinar ainda mais as condições usando os operadores Any destes (OR lógico) ou Todos estes (and lógicos):
- tipos de informações confidenciais
- rótulos de confidencialidade
- rótulos de retenção
- Classificadores treináveis
dependendo dos locais aos quais você escolhe aplicar a política.
A regra só procurará a presença de rótulos de confidencialidade e rótulos de retenção que você escolher.
Os SITs têm um nível de confiança predefinido que você pode alterar se necessário. Para obter mais informações, confira Mais sobre níveis de confiança.
Importante
Os SITs têm duas maneiras diferentes de definir os parâmetros máximos de contagem de instâncias exclusivas. Para saber mais, confira Valores com suporte de contagem de instâncias para SIT.
Proteção Adaptável no Microsoft Purview (versão prévia)
A proteção adaptável integra Gerenciamento de Risco Interno do Microsoft Purview perfis de risco às políticas DLP para que o DLP possa ajudar a proteger contra comportamentos de risco identificados dinamicamente. Quando configurado no gerenciamento de risco interno, o nível de risco do Usuário para proteção adaptável será exibido como condição para locais Exchange Online, Dispositivos e Teams. Consulte Saiba mais sobre Proteção Adaptável na Prevenção contra Perda de Dados (versão prévia) para obter mais detalhes.
Condições que a proteção adaptável dá suporte
- O nível de risco do usuário para proteção adaptável é
com esses valores:
- Nível de risco elevado
- Nível de risco moderado
- Nível de risco menor
Contexto de condição
As opções de contexto disponíveis mudam dependendo de qual local você escolher. Se você selecionar vários locais, somente as condições que os locais têm em comum estarão disponíveis.
Suporte ao Exchange de Condições
- O conteúdo contém
- O nível de risco do usuário para Proteção Adaptável é
- O conteúdo não é rotulado
- O conteúdo é compartilhado do Microsoft 365
- O conteúdo é recebido de
- O endereço IP do remetente é
- Cabeçalho contém palavras ou frases
- O Atributo do AD do Remetente contém palavras ou frases
- O conjunto de caracteres de conteúdo contém palavras
- O cabeçalho corresponde aos padrões
- O Atributo do AD do Remetente corresponde aos padrões
- O Atributo do AD do Destinatário contém palavras ou frases
- O Atributo do AD do Destinatário corresponde aos padrões
- O destinatário é membro do
- A propriedade do documento é
- Nenhum conteúdo do anexo de email pôde ser verificado
- Documento ou anexo é protegido por senha
- O remetente substituiu a dica de política
- O remetente é um membro do
- Nenhum conteúdo do anexo de email concluiu a verificação
- O endereço do destinatário contém palavras
- A extensão de arquivo é
- O domínio do destinatário é
- O destinatário é
- O remetente é
- O domínio do remetente é
- O endereço do destinatário corresponde aos padrões
- O nome do documento contém palavras ou frases
- O nome do documento corresponde aos padrões
- O assunto contém palavras ou frases
- O assunto corresponde aos padrões
- Assunto ou corpo contém palavras ou frases
- Sujeito ou corpo corresponde a padrões
- O endereço do remetente contém palavras
- O endereço do remetente corresponde aos padrões
- O tamanho do documento é igual ou maior que
- O conteúdo do documento contém palavras ou frases
- O conteúdo do documento corresponde aos padrões
- O tamanho da mensagem é igual ou maior que
- Tipo de mensagem é
- A importância da mensagem é
Condições que o SharePoint dá suporte
- O conteúdo contém
- O conteúdo é compartilhado do Microsoft 365
- A propriedade do documento é
- A extensão de arquivo é
- O nome do documento contém palavras ou frases
- O tamanho do documento é igual ou maior que
- Documento criado por
- Documento criado por membro do
Condições que as contas do OneDrive dão suporte
- O conteúdo contém
- O conteúdo é compartilhado do Microsoft 365
- A propriedade do documento é
- A extensão de arquivo é
- O nome do documento contém palavras ou frases
- O tamanho do documento é igual ou maior que
- Documento criado por
- Documento criado por membro do
- Documento é compartilhado
Suporte a mensagens de chat e canal do Teams de condições
- O conteúdo contém
- O nível de risco dos usuários para Proteção Adaptável é
- O conteúdo é compartilhado do Microsoft 365
- Domínio do destinatário é -Destinatário é
- O remetente é
- O domínio do remetente é
Suporte a dispositivos de condições
- O conteúdo contém
- O nível de risco do usuário para Proteção Adaptável é
- O conteúdo não é rotulado (arquivos PDF e Office têm suporte total). Esse predicado detecta conteúdo que não tem um rótulo de confidencialidade aplicado. Para ajudar a garantir que apenas tipos de arquivo com suporte sejam detectados, você deve usar essa condição com a extensão Arquivo ouTipo de arquivo são condições.
- Documento ou anexo é protegido por senha (arquivos PDF, Office, .ZIP e arquivos criptografados do Symantec PGP têm suporte total). Essa condição detecta apenas arquivos protegidos abertos.
- Tipo de arquivo é
- A extensão de arquivo é
- O usuário acessou um site confidencial do Microsoft Edge. Para obter mais informações, consulte Cenário 6 Monitorar ou restringir atividades do usuário em domínios de serviço confidenciais (versão prévia).
- Veja as atividades do Ponto de Extremidade em que você pode monitorar e agir
Importante
Para obter informações sobre os requisitos da Adobe para usar recursos de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) com arquivos PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Suporte no Acrobat.
Condições Microsoft Defender para Aplicativos de Nuvem dá suporte
- O conteúdo contém
- O conteúdo é compartilhado do Microsoft 365
Suporte a repositórios locais de condições
- O conteúdo contém
- A extensão de arquivo é
- A propriedade do documento é
Condições que o Power BI dá suporte
- O conteúdo contém
Grupos de condições
Às vezes, você precisa de uma regra para identificar apenas uma coisa, como todo o conteúdo que contém um Número de Segurança Social dos EUA, que é definido por um único SIT. Mas em muitos cenários, em que os tipos de itens que você está tentando identificar são mais complexos e, portanto, mais difíceis de definir, mais flexibilidade na definição de condições é necessária.
Por exemplo, para identificar conteúdo sujeito à HIPAA (Lei de Seguro de Saúde) dos EUA, você precisa procurar:
Conteúdo que apresente tipos específicos de informações confidenciais, como um Número de Seguro Social dos EUA ou Número da DEA (Agência de Combate às Drogas dos EUA).
E
Conteúdo que é mais difícil de identificar, como comunicações sobre cuidados de um paciente ou descrições de serviços médicos fornecidos. Identificar esse conteúdo requer a combinação de palavras-chave de listas de palavras-chave muito extensas, como a Classificação Internacional de Doenças (ICD-9-CM ou ICD-10-CM).
Você pode identificar esse tipo de dados agrupando condições e usando operadores lógicos (AND, OR) entre os grupos.
Para a Lei de Seguro de Saúde dos EUA (HIPPA), as condições são agrupadas assim:
O primeiro grupo contém os SITs que identificam um indivíduo e o segundo grupo contém os SITs que identificam o diagnóstico médico.
As condições podem ser agrupadas e unidas por operadores boolianos (AND, OR, NOT) para que você defina uma regra informando o que deve ser incluído e, em seguida, defina exclusões em um grupo diferente unido ao primeiro por um NOT. Para saber mais sobre como o DLP do Purview implementa boolianos e grupos aninhados, consulte Design de regras complexas.
Limitações da plataforma DLP para condições
| Predicado | Workload | Limite | Custo da Avaliação |
|---|---|---|---|
| Conteúdo contém | EXO/SPO/ODB | 125 SITs por regra | Alto |
| O conteúdo é compartilhado do Microsoft 365 | EXO/SPO/ODB | - | Alto |
| O endereço IP do remetente é | EXO | Comprimento <de intervalo individual = 128; Contagem <= 600 | Baixo |
| O remetente substituiu a dica de política | EXO | - | Baixo |
| O remetente é | EXO | Comprimento de <email individual = 256; Contagem <= 600 | Médio |
| O remetente é um membro do | EXO | Contagem <= 600 | Alto |
| O domínio do remetente é | EXO | Tamanho do nome do domínio <= 67; Contagem <= 600 | Baixo |
| O endereço do remetente contém palavras | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Baixo |
| O endereço do remetente corresponde aos padrões | EXO | Comprimento <regex = 128 char; Contagem <= 600 | Baixo |
| O atributo AD do Remetente contém palavras | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Médio |
| O atributo do AD do remetente corresponde aos padrões | EXO | Comprimento <regex = 128 char; Contagem <= 600 | Médio |
| O conteúdo dos anexos de email não pode ser verificado | EXO | Tipos de arquivos compatíveis | Baixo |
| Verificação incompleta do conteúdo do anexo de email | EXO | Tamanho > 1 MB | Baixo |
| O anexo é protegido por senha | EXO | Tipos de arquivo: arquivos do Office, ZIP e 7z | Baixo |
| A extensão de arquivo do anexo é | EXO/SPO/ODB | Contagem <= 50 | Alto |
| O destinatário é um membro do | EXO | Contagem <= 600 | Alto |
| O domínio do destinatário é | EXO | Tamanho do nome do domínio <= 67; Contagem <= 5000 | Baixo |
| O destinatário é | EXO | Comprimento de <email individual = 256; Contagem <= 600 | Baixo |
| O endereço do destinatário contém palavras | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Baixo |
| O endereço do destinatário corresponde aos padrões | EXO | Contagem <= 300 | Baixo |
| O nome do documento contém palavras ou frases | EXO | Comprimento <de palavra individual = 128; Contagem <=600 | Baixo |
| Nome do documento corresponde a padrões | EXO | Comprimento <regex = 128 char; Contagem <= 300 | Baixo |
| A propriedade do documento é | EXO/SPO/ODB | - | Baixo |
| O tamanho do documento é igual ou maior que | EXO | - | Baixo |
| O assunto contém palavras ou frases | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Baixo |
| Cabeçalho contém palavras ou frases | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Baixo |
| Assunto ou corpo contém palavras ou frases | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Baixo |
| O conjunto de caracteres de conteúdo contém palavras | EXO | Contagem <= 600 | Baixo |
| O cabeçalho corresponde aos padrões | EXO | Comprimento <regex = 128 char; Contagem <= 300 | Baixo |
| O assunto corresponde aos padrões | EXO | Comprimento <regex = 128 char; Contagem <= 300 | Baixo |
| Sujeito ou corpo corresponde a padrões | EXO | Comprimento <regex = 128 char; Contagem <= 300 | Baixo |
| Tipo de mensagem é | EXO | - | Baixo |
| Tamanho da mensagem | EXO | - | Baixo |
| Com importância | EXO | - | Baixo |
| O atributo AD do Remetente contém palavras | EXO | Cada par de valor da chave de atributo: tem comprimento <Regex = 128 char; Contagem <= 600 | Médio |
| O atributo do AD do remetente corresponde aos padrões | EXO | Cada par de valor da chave de atributo: tem comprimento <Regex = 128 char; Contagem <= 300 | Médio |
| Documento contém palavras | EXO | Comprimento <de palavra individual = 128; Contagem <= 600 | Médio |
| Padrões de correspondência de documento | EXO | Comprimento <regex = 128 char; Contagem <= 300 | Médio |
Ações
Qualquer item que passe pelo filtro de condições terá todas as ações definidas na regra aplicada a ele. Você precisará configurar as opções necessárias para dar suporte à ação. Por exemplo, se você selecionar o Exchange com a ação Restringir acesso ou criptografar o conteúdo em locais do Microsoft 365 , você precisará escolher entre essas opções:
- Impedir que os usuários acessem o conteúdo compartilhado do SharePoint, do OneDrive e do Teams
- Bloqueie todo mundo. Somente o proprietário do conteúdo, o último modificador e o administrador do site continuarão a ter acesso
- Bloqueie apenas pessoas de fora de sua organização. Os usuários dentro de sua organização continuarão a ter acesso.
- Criptografar mensagens de email (aplica-se somente ao conteúdo do Exchange)
As ações disponíveis em uma regra dependem dos locais selecionados. Se você selecionar apenas um local para a política a ser aplicada, as ações disponíveis serão listadas abaixo.
Importante
Para documentos de locais do SharePoint Online e OneDrive for Business serão bloqueados proativamente logo após a detecção de informações confidenciais, independentemente de o documento ser compartilhado ou não, para todos os usuários externos, enquanto os usuários internos continuarão a ter acesso ao documento.
Ações de localização do Exchange
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
- Definir cabeçalhos
- Remover cabeçalho
- Redirecionar a mensagem para usuários específicos
- Encaminhar a mensagem para aprovação para o gerente do remetente
- Encaminhar a mensagem para aprovação para aprovadores específicos
- Adicionar destinatário à caixa To
- Adicionar destinatário à caixa Cc
- Adicionar destinatário à caixa Bcc
- Adicionar o gerenciador do remetente como destinatário
- Proteção de direitos e criptografia de mensagens O365 removida
- Assunto de Email de pré-end
- Adicionar Isenção de Responsabilidade HTML
- Modificar Email assunto
- Entregar a mensagem à quarentena hospedada
Ações de localização de sites do SharePoint
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
Ações de localização da conta do OneDrive
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
Ações de Chat e Mensagens de Canal do Teams
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
Ações de dispositivos
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
- Auditar ou restringir atividades quando os usuários acessam sites confidenciais no navegador Microsoft Edge em dispositivos Windows (Consulte , Cenário 6 Monitorar ou restringir atividades do usuário em domínios de serviço confidenciais) para obter mais informações.)
- Auditar ou restringir atividades em dispositivos
Para usar Audit or restrict activities on Windows devices, você precisa configurar opções em configurações DLP e na política na qual deseja usá-las. Consulte Aplicativos restritos e grupos de aplicativos para obter mais informações.
O local dos dispositivos fornece muitas subatividades (condições) e ações. Para saber mais, confira Atividades do Ponto de Extremidade em que você pode monitorar e agir.
Ao selecionar Auditar ou restringir atividades em dispositivos Windows, você pode restringir as atividades do usuário por domínio de serviço ou navegador e escopo das ações que o DLP executa:
- Todos os aplicativos
- Por uma lista de aplicativos restritos que você define
- Um grupo de aplicativos restrito (versão prévia) que você define.
Atividades de domínio de serviço e navegador
Quando você configura os domínios do serviço de nuvem Permitir/Bloquear e a lista de navegadores não permitidos (consulte Navegador e restrições de domínio para dados confidenciais) e um usuário tenta carregar um arquivo protegido em um domínio de serviço de nuvem ou acessá-lo de um navegador não permitido, você pode configurar a ação de política para Audit only, Block with overrideou Block a atividade.
Atividades de arquivo para todos os aplicativos
Com a opção Atividades de arquivo para todos os aplicativos , você seleciona Não restringir atividades de arquivo ou Aplicar restrições a atividades específicas. Quando você seleciona para aplicar restrições a atividades específicas, as ações selecionadas aqui são aplicadas quando um usuário acessa um item protegido por DLP. Você pode dizer ao DLP para Audit only, Block with override, Block (as ações) nestas atividades de usuário:
- Copiar para a área de transferência
- Copiar para uma unidade removível USB
- Copiar para um compartilhamento de rede
- Copiar ou mover usando um aplicativo Bluetooth não permitido
- Serviços de área de Trabalho Remota
Atividades de aplicativo restrito
Anteriormente chamado de aplicativos não permitidos, você define uma lista de aplicativos nas configurações de DLP do Ponto de Extremidade nas quais deseja colocar restrições. Quando um usuário tenta acessar um arquivo protegido por DLP usando um aplicativo que está na lista, você pode Audit only, Block with overrideou Block a atividade. As ações DLP definidas em atividades de aplicativo restrito serão substituídas se o aplicativo for membro do grupo de aplicativos restritos. Em seguida, as ações definidas no grupo de aplicativos restritos são aplicadas.
Atividades de arquivos para aplicativos em grupos de aplicativos restritos (visualização)
Você define seus grupos de aplicativos restritos em configurações de DLP do Ponto de Extremidade e adiciona grupos de aplicativos restritos às suas políticas. Ao adicionar um grupo de aplicativos restrito a uma política, você deve selecionar uma destas opções:
- Não restringir a atividade do arquivo
- Aplicar restrições a todas as atividades
- Aplicar restrições a atividades específicas
Quando você seleciona uma das opções Aplicar restrições e um usuário tenta acessar um arquivo protegido por DLP usando um aplicativo que está no grupo de aplicativos restrito, você pode Audit only, Block with overrideou Block por atividade. As ações DLP que você define aqui substituem ações definidas em atividades de aplicativo restrito e atividades de arquivo para todos os aplicativos para o aplicativo.
Consulte Aplicativos restritos e grupos de aplicativos para obter mais informações.
Microsoft Defender para Aplicativos de Nuvem ações
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
- Restringir aplicativos de terceiros
Ações de repositórios locais
- Restrinja o acesso ou remova arquivos locais.
- Impedir que as pessoas acessem arquivos armazenados em repositórios locais
- Definir permissões no arquivo (permissões herdadas da pasta pai)
- Mover o arquivo de onde ele é armazenado para uma pasta de quarentena
Consulte ações de repositório local do DLP para obter detalhes completos.
Ações do Power BI
- Notificar usuários com dicas de política e email
- Enviar alertas ao Administrador
Ações disponíveis ao combinar locais
Se você selecionar Exchange e qualquer outro local único para a política a ser aplicada, o
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
e
- todas as ações para o local que não é exchange
ações estão disponíveis.
Se você selecionar dois ou mais locais que não sejam exchange para a política a ser aplicada, o
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
E
- todas as ações para locais que não são do Exchange
as ações estarão disponíveis.
Por exemplo, se você selecionar Exchange e Dispositivos como locais, essas ações estarão disponíveis:
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
- Auditar ou restringir atividades em dispositivos Windows
Se você selecionar Dispositivos e Microsoft Defender para Aplicativos de Nuvem, essas ações estarão disponíveis:
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365
- Auditar ou restringir atividades em dispositivos Windows
- Restringir aplicativos de terceiros
Se uma ação entra em vigor ou não depende de como você configura o modo da política. Você pode optar por executar a política no modo de teste com ou sem mostrar a dica de política selecionando a primeira opção Testar a política . Você opta por executar a política assim que ela for criada selecionando a opção Ativar imediatamente ou pode optar por salvá-la e voltar para ela mais tarde selecionando a opção Manter desativada .
Limitações da plataforma DLP para ações
| Nome da ação | Workload | Limites |
|---|---|---|
| Restringir o acesso ou criptografar conteúdo no Microsoft 365 | EXO/SPO/ODB | |
| Definir cabeçalhos | EXO | |
| Remover cabeçalho | EXO | |
| Redirecionar a mensagem para usuários específicos | EXO | Total de 100 em todas as regras DLP. Não pode ser DL/SG |
| Encaminhar a mensagem para aprovação para o gerente do remetente | EXO | O gerenciador deve ser definido no AD |
| Encaminhar a mensagem para aprovação para aprovadores específicos | EXO | Não há suporte para grupos |
| Adicionar destinatário à caixa To | EXO | Contagem <de destinatários = 10; Não pode ser DL/SG |
| Adicionar destinatário à caixa Cc | EXO | Contagem <de destinatários = 10; Não pode ser DL/SG |
| Adicionar destinatário à caixa Bcc | EXO | Contagem <de destinatários = 10; Não pode ser DL/SG |
| Adicionar o gerenciador do remetente como destinatário | EXO | O atributo manager deve ser definido no AD |
| Aplicar isenção de responsabilidade HTML | EXO | |
| Assunto prepend | EXO | |
| Aplicar OME | EXO | |
| Remover OME | EXO |
Notificações de usuário e dicas de política
Quando um usuário tenta uma atividade em um item confidencial em um contexto que atende às condições de uma regra, você pode informá-los sobre isso por meio de emails de notificação do usuário e pop-ups de dica de política no contexto. Essas notificações são úteis porque aumentam a conscientização e ajudam a educar as pessoas sobre as políticas de DLP da sua organização.
Por exemplo, conteúdo como uma pasta de trabalho do Excel em um site de OneDrive for Business que contém PII (informações identificáveis pessoalmente) e é compartilhado com um convidado.
Importante
- Os emails de notificação são enviados desprotegidos.
- Email notificações só têm suporte para os serviços do Microsoft 365.
Email suporte a notificações por local selecionado
| Local selecionado | Email notificações com suporte |
|---|---|
| Dispositivos | – Sem suporte |
| Exchange + Dispositivos | – Com suporte para o Exchange – não há suporte para dispositivos |
| Exchange | -Suportado |
| SharePoint + Dispositivos | – Com suporte para o SharePoint – não há suporte para dispositivos |
| SharePoint | -Suportado |
| Exchange + SharePoint | – Com suporte para Exchange – com suporte para o SharePoint |
| Dispositivos + SharePoint + Exchange | - Não há suporte para dispositivos – com suporte para o SharePoint com suporte para Exchange |
| Teams | – Sem suporte |
| OneDrive for Business | -Suportado |
| OneDrive for Business + Dispositivos | – Com suporte para OneDrive for Business – Não há suporte para dispositivos |
| Power-BI | – Sem suporte |
| Microsoft Defender for Cloud Apps | – Sem suporte |
| Repositórios locais | – Sem suporte |
Você também pode dar às pessoas a opção de substituir a política, para que elas não sejam bloqueadas se tiverem uma necessidade comercial válida ou se a política estiver detectando um falso positivo.
As notificações do usuário e as opções de configuração de dicas de política variam dependendo dos locais de monitoramento selecionados. Se você tiver selecionado:
- Exchange
- SharePoint
- OneDrive
- Chat e Canal do Teams
- Aplicativos do Defender para Nuvem
Você pode habilitar/desabilitar notificações de usuário para vários aplicativos da Microsoft, consulte Referência de dicas de política de prevenção contra perda de dados
- Você pode habilitar/desabilitar notificações com uma dica de política.
- notificações por email para o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo OR
- notificar pessoas específicas
e personalize o texto de email, o assunto e o texto da dica de política.
Se você selecionou dispositivos somente, você terá todas as mesmas opções disponíveis para Exchange, SharePoint, OneDrive, Teams Chat e Channel e Defender para Aplicativos de Nuvem, além da opção de personalizar o título de notificação e o conteúdo que aparece no dispositivo Windows 10.
Você pode personalizar o título e o corpo do texto com o uso desses parâmetros. O texto do corpo dá suporte a estes:
| Nome comum | Parâmetro | Exemplo |
|---|---|---|
| nome do arquivo | %%FileName%% | Contoso doc 1 |
| nome do processo | %%ProcessName%% | Word |
| nome da política | %%PolicyName%% | Contoso altamente confidencial |
| ação | %%AppliedActions%% | colar o conteúdo do documento da área de transferência para outro aplicativo |
%%AppliedActions%% substitui esses valores no corpo da mensagem:
| nome comum da ação | valor substituído pelo parâmetro %%AppliedActions%% |
|---|---|
| copiar para o armazenamento removível | gravação no armazenamento removível |
| copiar para compartilhamento de rede | gravando em um compartilhamento de rede |
| Imprimir | Impressão |
| colar da área de transferência | colar da área de transferência |
| copiar via bluetooth | transfering via Bluetooth |
| abrir com um aplicativo não permitido | abrir com este aplicativo |
| copiar para uma área de trabalho remota (RDP) | transferindo para a área de trabalho remota |
| carregar em um site não permitido | carregando para este site |
| acessando o item por meio de um navegador não permitido | abrir com este navegador |
Usando este texto personalizado
%%AppliedActions%% Nome do arquivo %%FileName%% via %%ProcessName%% não é permitido pela sua organização. Selecione 'Permitir' se você quiser ignorar a política %%PolicyName%%
produz este texto na notificação personalizada:
colar da área de transferência Nome do Arquivo: Contoso doc 1 por meio de WINWORD.EXE não é permitido pela sua organização. Selecione o botão 'Permitir' se você quiser ignorar a política Contoso altamente confidencial
Você pode localizar suas dicas de política personalizada usando o cmdlet Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.
Observação
Notificações de usuário e dicas de política não estão disponíveis para o local local
Apenas a dica de política da prioridade mais alta e restritiva será exibida. Por exemplo, uma dica de política de uma regra que bloqueia o acesso ao conteúdo será mostrada em detrimento de uma dica de política de uma regra que simplesmente envia uma notificação. Isso impede que as pessoas vejam uma cascata de dicas de política.
Para saber mais sobre a configuração e o uso da dica de política e notificação do usuário, incluindo como personalizar o texto de notificação e dica, consulte
Referências de dica de política
Detalhes sobre o suporte a dicas de política e notficações para aplicativos diferentes podem ser encontrados aqui:
Bloqueio e notificações no SharePoint Online e OneDrive for Business
Esta tabela mostra o comportamento de bloqueio e notificação de DLP para políticas que estão no escopo do SharePoint Online e OneDrive for Business.
| Condições | Configuração de ações | Configuração de notificação do usuário | Configuração de Relatórios de Incidentes | Comportamento de bloqueio e notificação |
|---|---|---|---|---|
| - O conteúdo é compartilhado do Microsoft 365 - com pessoas fora da minha organização |
Nenhuma ação está configurada | - Notificações de usuário definidascomo Usuários de Notificação no serviço Office 365 com uma dica de política são selecionadas - Notificar o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo selecionado- |
- Enviar um alerta aos administradores quando ocorre uma correspondência de regra definida como Em - Enviar alerta sempre que uma atividade corresponde à regra definida comoRelatórios de incidentes de email em - uso para notificá-lo quando uma correspondência de política ocorre definida como Ativado |
- As notificações serão enviadas somente quando um arquivo for compartilhado com um usuário externo e um usuário externo acessar o arquivo. |
| - O conteúdo é compartilhado do Microsoft 365 - somente com pessoas dentro da minha organização |
Nenhuma ação está configurada | - Notificações de usuário definidascomo Usuários de Notificação no serviço Office 365 com uma dica de política são selecionadas - Notificar o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo selecionado- |
- Enviar um alerta aos administradores quando ocorrer uma correspondência de regra definida como Em - Enviar alerta sempre que uma atividade corresponder à regra é selecionada - Use relatórios de incidentes de email para notificá-lo quando ocorrer uma correspondência de política definida como Ativado |
- Notificações são enviadas quando um arquivo é carregado |
| - O conteúdo é compartilhado do Microsoft 365 - com pessoas fora da minha organização |
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365 é selecionado - Bloquear usuários de receber email ou acessar arquivos compartilhados do SharePoint, OneDrive e Teams é selecionado - Bloquear somente pessoas fora de sua organização está selecionado |
- Notificações de usuário definidascomo Usuários de Notificação no serviço Office 365 com uma dica de política são selecionadas - Notificar o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo selecionado- |
- Enviar um alerta aos administradores quando ocorrer uma correspondência de regra definida como Em - Enviar alerta sempre que uma atividade corresponder à regra é selecionada - Use relatórios de incidentes de email para notificá-lo quando ocorrer uma correspondência de política definida como Ativado |
- O acesso a um arquivo confidencial é bloqueado assim que ele é carregado – Notificações enviadas quando o conteúdo é compartilhado do Microsoft 365 com pessoas fora da minha organização |
| - O conteúdo é compartilhado do Microsoft 365 - com pessoas fora da minha organização |
- Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365 está selecionado - Bloquear usuários de receber email ou acessar arquivos compartilhados do SharePoint, OneDrive e Teams é selecionado - Bloquear que todos estejam selecionados |
- Notificações de usuário definidascomo Usuários de Notificação no serviço Office 365 com uma dica de política são selecionadas - Notificar o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo selecionado- |
- Enviar um alerta aos administradores quando ocorrer uma correspondência de regra definida como Em - Enviar alerta sempre que uma atividade corresponder à regra é selecionada - Use relatórios de incidentes de email para notificá-lo quando ocorrer uma correspondência de política definida como Ativado |
As notificações são enviadas quando um arquivo é compartilhado com um usuário externo e um usuário externo acessa esse arquivo. |
| - O conteúdo é compartilhado do Microsoft 365 | - Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365 é selecionado - Bloquear somente pessoas que tiveram acesso ao conteúdo por meio da opção "Qualquer pessoa com o link" está selecionada. |
- As notificações de usuário definidas como Usuários - de Notificação em Office 365 serviço com uma dica de política são selecionadas. - Notificar o usuário que enviou, compartilhou ou modificou pela última vez o conteúdo é selecionado |
- Enviar um alerta aos administradores quando ocorrer uma correspondência de regra definida como Em - Enviar alerta sempre que uma atividade corresponder à regra é selecionada - Use relatórios de incidentes de email para notificá-lo quando ocorrer uma correspondência de política definida como Ativado |
As notificações são enviadas assim que um arquivo é carregado |
Saiba mais URL
Os usuários podem querer saber por que suas atividades estão sendo bloqueadas. Você pode configurar um site ou uma página que explique mais sobre suas políticas. Quando você seleciona Fornecer uma URL de conformidade para que o usuário final saiba mais sobre as políticas da sua organização (disponível apenas para carga de trabalho do Exchange) e o usuário recebe uma notificação de dica de política no Outlook Win 32, o link Saiba mais apontará para a URL do site que você fornece. Essa URL tem prioridade sobre a URL de conformidade global configurada com Set-PolicyConfig -ComplainceURL.
Importante
Você deve configurar o site ou a página para a qual saiba mais pontos do zero. O Microsoft Purview não fornece essa funcationalidade fora da caixa.
Substituições do usuário
A intenção das substituições de usuário é dar aos usuários uma maneira de ignorar, com justificativa, ações de bloqueio de política DLP em itens confidenciais no Exchange, SharePoint, OneDrive ou Teams para que eles possam continuar seu trabalho. As substituições de usuário só são habilitadas quando notificar usuários em serviços de Office 365 com uma dica de política está habilitada, portanto, as substituições de usuário andam lado a lado com dicas de Notificações e Política.
Observação
As substituições de usuário não estão disponíveis para o local dos repositórios locais.
Normalmente, as substituições de usuário são úteis quando sua organização está lançando uma política pela primeira vez. Os comentários que você obtém de quaisquer justificativas de substituição e identificação de falsos positivos ajudam a ajustar a política.
- Se as dicas de política na regra mais restritiva permitir que as pessoas substituam a regra, substituir essa regra também substitui quaisquer outras regras que o conteúdo correspondeu.
Para saber mais sobre substituições de usuário, confira:
Justificativa comercial X-Header
Quando um usuário substitui um bloco com ação de substituição em um email, a opção de substituição e o texto fornecido são armazenados no log de auditoria e no cabeçalho X de email. Para exibir as substituições de justificativa comercial, abra o relatório de falsos positivos e substituições DLP ou pesquise o log de auditoria no portal de conformidade em busca ExceptionInfo de valor para obter os detalhes. Aqui está um exemplo dos valores de log de auditoria:
{
"FalsePositive"; false,
"Justification"; My manager approved sharing of this content",
"Reason"; "Override",
"Rules": [
"<message guid>"
]
}
Se você tiver um processo automatizado que faça uso dos valores de justificativa comercial, o processo poderá acessar essas informações programaticamente nos dados de cabeçalho X de email.
Relatórios de incidentes
Quando uma regra é correspondida, você pode enviar um relatório de incidentes ao responsável pela conformidade (ou qualquer pessoa que você escolher) com detalhes sobre o evento. O relatório inclui informações sobre o item que foi correspondido, o conteúdo real que correspondia à regra e o nome da pessoa que modificou o conteúdo pela última vez. Para mensagens de email, o relatório também inclui a mensagem original como um anexo que corresponde a uma política DLP.
O DLP alimenta informações de incidentes para outros serviços de Proteção de Informações do Microsoft Purview, como gerenciamento de risco interno. Para obter informações de incidentes para o gerenciamento de risco interno, você deve definir o nível de gravidade dos relatórios de incidentes como Alto.
Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser barulhenta ou pode ser agregada em menos alertas com base no número de correspondências ou volume de itens em um determinado período de tempo.
O DLP verifica o email de forma diferente do que faz com o SharePoint Online ou OneDrive for Business itens. No SharePoint Online e no OneDrive for Business, o DLP verifica os itens existentes, bem como os novos, e gera um relatório de incidente sempre que uma correspondência é encontrada. Em Exchange Online, o DLP apenas examina novas mensagens de email e gera um relatório se houver uma correspondência de política. O DLP não verifica nem corresponde a itens de email existentes anteriormente armazenados em uma caixa de correio ou arquivo.
Coleta de evidências para atividades de arquivo em dispositivos (versão prévia)
Se você habilitou a coleta de evidências de instalação para atividades de arquivo em dispositivos (versão prévia) e adicionou contas de armazenamento do Azure, selecione Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade e a conta de armazenamento do Azure para a qual você deseja copiar os itens. Você também deve escolher as atividades para as quais deseja copiar itens. Por exemplo, se você selecionar Imprimir , mas não Copiar para um compartilhamento de rede, somente itens impressos de dispositivos monitorados serão copiados para a conta de armazenamento do Azure.
Opções adicionais
Se você tiver várias regras em uma política, poderá usar as opções adicionais para controlar o processamento de regras adicionais se houver uma correspondência com a regra que você está editando, bem como definir a prioridade para avaliação da regra.
Confira também
- Saiba mais sobre prevenção contra perda de dados
- Planejar a prevenção contra perda de dados (DLP)
- [Criar e implantar políticas de prevenção contra perda de dados] (dlp-create-deploy-policy.md