Criar uma política de DLP para proteger documentos com FCI ou outras propriedades

Prevenção Contra Perda de Dados do Microsoft Purview (DLP) podem usar propriedades de classificação ou propriedades de item para identificar itens confidenciais. Por exemplo, você pode usar:

  • Propriedades da FCI (Infraestrutura de Classificação de Arquivos) do Windows Server
  • Propriedades do documento do SharePoint
  • propriedades do documento do sistema de terceiros

Diagrama mostrando Office 365 sistema de classificação externo.

Por exemplo, sua organização pode usar a FCI do Windows Server para identificar itens com dados pessoais, como números de seguro social, e classificar o documento definindo a propriedade Informações de Identificação Pessoal como Alto, Moderado, Baixo, Público ou Não PII com base no tipo e no número de ocorrências de dados pessoais encontrados no documento.

No Microsoft 365, você pode criar uma política DLP que identifica documentos que têm essa propriedade definida para valores específicos, como Alto e Médio, e, em seguida, executa uma ação como bloquear o acesso a esses arquivos. A mesma política pode ter outra regra que executa uma ação diferente se a propriedade for definida como Baixa, como o envio de uma notificação por email. Dessa forma, a DLP integra-se à FCI do Windows Server e pode ajudar a proteger documentos do Office carregados ou compartilhados no Microsoft 365 de servidores de arquivos baseados no Windows Server.

Uma política de DLP simplesmente procura por um par de nome/valor de propriedade específico. Qualquer propriedade de documento pode ser usada, contanto que a propriedade tenha uma propriedade gerenciada correspondente para a pesquisa do SharePoint. Por exemplo, um conjunto de sites do SharePoint pode usar um tipo de conteúdo chamado Relatório de viagem com um campo obrigatório chamado Cliente. Sempre que uma pessoa criar um relatório de viagem, ela deve digitar o nome do cliente. Esse par nome/valor da propriedade também pode ser usado em uma política DLP, por exemplo, se você quiser uma regra que bloqueie o acesso ao documento para convidados quando o campo Cliente contiver Contoso.

Se você quiser aplicar sua política DLP ao conteúdo com rótulos específicos do Microsoft 365, não siga as etapas aqui. Em vez disso, saiba como usar um rótulo de retenção como uma condição em uma política DLP.

Ponta

Se você não for um cliente E5, poderá experimentar todos os recursos premium do Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como os recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de conformidade e segurança de dados. Comece agora no portal de conformidade do Microsoft Purview de avaliações. Saiba mais sobre como inscrever-se e os termos de avaliação.

Antes de criar a política de DLP

Antes de usar uma propriedade FCI do Windows Server ou outra propriedade em uma política DLP, você precisa criar uma propriedade gerenciada no centro de administração do SharePoint. Eis o porquê.

No SharePoint Online e OneDrive for Business, o índice de pesquisa é criado rastreando o conteúdo em seus sites. O rastreador seleciona conteúdo e metadados dos documentos na forma de propriedades rastreadas. O esquema de pesquisa ajuda o rastreador a decidir qual conteúdo e metadados devem ser selecionados. Exemplos de metadados são o autor e o título de um documento. No entanto, para obter o conteúdo e os metadados dos documentos para o índice de pesquisa, as propriedades rastreadas devem ser mapeadas para propriedades gerenciadas. Somente as propriedades gerenciadas são mantidas no índice. Por exemplo, uma propriedade rastreada relacionada ao autor é mapeada para uma propriedade gerenciada relacionada ao autor.

Observação

Certifique-se de usar um nome de propriedade gerenciada e não um nome de propriedade rastreada ao criar regras DLP usando a ContentPropertyContainsWords condição.

Isso é importante porque a DLP usa o rastreador de pesquisa para identificar e classificar informações confidenciais em seus sites e, em seguida, armazenar essas informações confidenciais em uma parte segura do índice de pesquisa. Quando você carregar um documento no Office 365, o SharePoint cria automaticamente propriedades rastreadas com base nas propriedades do documento. Mas, para usar uma FCI ou outra propriedade em uma política de DLP, essa propriedade rastreada precisa ser mapeada para uma propriedade gerenciada para que o conteúdo com essa propriedade seja mantido no índice.

Para obter mais informações sobre propriedades gerenciadas e de pesquisa, consulte Gerenciar o esquema de pesquisa no SharePoint Online.

Etapa 1: Carregar um documento com a propriedade necessária para o Office 365

Primeiro você precisa carregar um documento com a propriedade à qual você deseja fazer referência em sua política de DLP. O Microsoft 365 detectará a propriedade e criará automaticamente uma propriedade rastreada a partir dela. Na próxima etapa, você criará uma propriedade gerenciada e mapeará a propriedade gerenciada para essa propriedade rastreada.

Etapa 2: Criar uma propriedade gerenciada

  1. Entre no Centro de administração do Microsoft 365.

  2. No painel de navegação esquerdo, escolha Administração central do>SharePoint. Agora você está no centro de administração do SharePoint.

  3. No painel de navegação esquerdo, escolha pesquisar na> página de administração de pesquisa Gerenciar >Esquema de Pesquisa.

    página de administração de pesquisa no Centro de administração do SharePoint.

  4. Na página Propriedades Gerenciadas Nova >Propriedade Gerenciada.

    Página Propriedades Gerenciadas com o botão Nova Propriedade Gerenciada realçado.

  5. Insira um nome e uma descrição para a propriedade. Esse nome é o que aparecerá em suas políticas de DLP.

  6. Para Tipo, escolha Texto.

  7. Em Características principais, selecione Consultável e Recuperável.

  8. Em Mapeamentos para propriedades rastreadas,>adicione um mapeamento.

  9. Na caixa de diálogo seleção> de propriedade rastreada, localize e selecione a propriedade rastreada que corresponde à propriedade FCI do Windows Server ou outra propriedade que você usará em sua política DLP >OK.

    caixa de diálogo seleção de propriedade rastreada.

  10. Na parte inferior da página >OK.

Criar uma política de DLP que usa uma propriedade FCI ou outra propriedade

Neste exemplo, uma organização está usando a FCI em seus servidores de arquivos baseados no Windows Server; especificamente, eles estão usando a propriedade de classificação de FCI chamada Informações de Identificação Pessoal com possíveis valores de Alto, Moderado, Baixo, Público e Não PII. Agora, eles querem usar sua classificação de FCI existente em suas políticas DLP em Office 365.

Primeiro, ela segue as etapas acima para criar uma propriedade gerenciada no SharePoint Online, a qual mapeia para a propriedade rastreada criada automaticamente da propriedade FCI.

Em seguida, eles criam uma política DLP com duas regras que usam a condição Propriedades do documento contêm qualquer um destes valores:

  • Conteúdo do PII da FCI – Alto, Moderado A primeira regra restringirá o acesso ao documento se a propriedade de classificação de FCI Informações de Identificação Pessoal for alta ou moderada e o documento for compartilhado com pessoas de fora da organização.

  • Conteúdo de PII de FCI – Baixa A segunda regra envia uma notificação ao proprietário do documento se a propriedade de classificação de FCI Informações de Identificação Pessoal for baixa e o documento for compartilhado com pessoas de fora da organização.

Criar a política DLP usando o PowerShell de & Conformidade de Segurança

As propriedades do documento de condição que contêm qualquer um desses valores não estão temporariamente disponíveis no portal de conformidade do Microsoft Purview, & mas você ainda pode usar essa condição no PowerShell de Conformidade de Segurança. Você pode usar New\Set\Get-DlpCompliancePolicy os cmdlets para trabalhar com uma política DLP New\Set\Get-DlpComplianceRule e usar os cmdlets ContentPropertyContainsWords com o parâmetro para adicionar a condição Propriedades do documento contêm qualquer um desses valores.

  1. Conectar-se ao PowerShell de & Conformidade de Segurança

  2. Crie a política usando New-DlpCompliancePolicy.

    Esse PowerShell cria uma política DLP que se aplica a todos os locais.

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
    
  3. Crie as duas regras descritas acima New-DlpComplianceRuleusando , em que uma regra é para o valor Baixo e outra regra é para os valores Altoe Moderado.

    Aqui está um exemplo do PowerShell que cria essas duas regras. Os pares nome/valor da propriedade são colocados entre aspas e um nome de propriedade pode especificar vários valores separados por vírgulas sem espaços, como "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $falseNew-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner
    

    A FCI do Windows Server inclui muitas propriedades internas, incluindo Informações de Identificação Pessoal usadas neste exemplo. Os valores possíveis para cada propriedade podem ser diferentes para cada organização. Os valores Alto, Moderadoe Baixo usados aqui são apenas um exemplo. Para sua organização, você pode exibir as propriedades de classificação de FCI do Windows Server com seus valores possíveis no servidor de arquivos Resource Manager no servidor de arquivos baseado no Windows Server. Para obter mais informações, consulte Criar uma propriedade de classificação.

Quando você terminar, sua política deverá ter duas novas regras que usam as propriedades do documento que contêm qualquer uma dessas condições de valores. Essa condição não aparecerá na interface do usuário, embora as outras condições, ações e configurações sejam exibidas.

Uma regra bloqueia o acesso ao conteúdo em que a propriedade Informações de identificação pessoal é igual a Alta ou Moderada. Uma segunda regra envia uma notificação sobre o conteúdo em que a propriedade Informações de identificação pessoal é igual a Baixa.

Nova caixa de diálogo de política DLP mostrando duas regras recém-criadas.

Depois de criar a política de DLP

Executar as etapas nas seções anteriores criará uma política DLP que detectará rapidamente o conteúdo com essa propriedade, mas somente se esse conteúdo for carregado recentemente (para que o conteúdo seja indexado) ou se esse conteúdo for antigo, mas apenas editado (para que o conteúdo seja indexado novamente).

Para detectar o conteúdo com essa propriedade em todos os lugares, convém solicitar manualmente que sua biblioteca, site ou conjunto de sites seja reindexado, para que a política de DLP esteja ciente de todo o conteúdo com essa propriedade. No SharePoint Online, o conteúdo é rastreado automaticamente com base em um agendamento de rastreamento definido. O rastreador seleciona o conteúdo que foi alterado desde o último rastreamento e atualiza o índice. Se você precisar de sua política de DLP para proteger o conteúdo antes do próximo rastreamento agendado, você pode executar estas etapas.

Cuidado

A reindexação de um site pode gerar uma grande carga no sistema de pesquisa. Não re indexe seu site, a menos que seu cenário exija isso.

Para saber mais, confira Solicitar manualmente o rastreamento e a reindexação de um site, uma biblioteca ou uma lista.

Reindexar um site (opcional)

  1. No site, escolha Configurações (ícone de engrenagem no canto superior direito) >Configurações do Site.

  2. Em Pesquisar, escolha Pesquisar e o site reindexar>disponibilidade offline.

Mais informações