Compartilhar via

Configurar as definições de prevenção de perda de dados do ponto de extremidade

Muitos aspetos do comportamento de prevenção de perda de dados (DLP) de pontos finais são controlados por definições configuradas centralmente que são aplicadas a todas as políticas DLP para dispositivos. Utilize estas definições para controlar os seguintes comportamentos:

  • Restrições de saída de nuvem
  • Vários tipos de ações restritivas em atividades de utilizador por aplicação
  • Exclusões de caminhos de ficheiros para dispositivos Windows e macOS
  • Restrições de navegador e domínio
  • Aspeto das justificações comerciais para substituir políticas em sugestões de políticas
  • Se as ações executadas nos ficheiros Office, PDF e CSV são automaticamente auditadas

Para aceder a estas definições, no portal do Microsoft Purview, navegue para Prevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições> deponto final.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Importante

Para obter informações sobre os requisitos da Adobe para utilizar funcionalidades Prevenção Contra Perda de Dados do Microsoft Purview (DLP) com ficheiros PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Support in Acrobat (Suporte do Adobe: Proteção de Informações do Microsoft Purview no Acrobat).

Verificação e proteção de classificação avançada

A análise e proteção avançadas de classificação permitem que o serviço de classificação de dados baseado na cloud do Microsoft Purview analise itens, os classifique e devolva os resultados ao computador local. Por conseguinte, pode tirar partido de técnicas de classificação, como a classificação exata de correspondência de dados , classificadores treináveis, classificadores de credenciais e entidades nomeadas nas suas políticas DLP.

Observação

A ação Colar no browser não suporta a classificação avançada.

Quando a classificação avançada está ativada, o conteúdo é enviado do dispositivo local para os serviços de nuvem para verificação e classificação. Se a utilização da largura de banda for uma preocupação, pode definir um limite para a quantidade de largura de banda que pode ser utilizada num período sem interrupção de 24 horas. O limite é configurado nas definições DLP do Ponto Final e é aplicado por dispositivo. Se definir um limite de utilização de largura de banda e esse limite de utilização for excedido, o DLP deixa de enviar o conteúdo do utilizador para a cloud. Nessa altura, a classificação de dados continua localmente no dispositivo, mas a classificação com correspondência de dados exata, entidades nomeadas, classificadores treináveis e classificadores de credenciais não está disponível. Quando a utilização da largura de banda cumulativa for inferior ao limite de 24 horas sem interrupção, a comunicação com os serviços cloud é retomada.

Se a utilização da largura de banda não for uma preocupação, selecione Não limitar a largura de banda. Ilimitado para permitir a utilização ilimitada de largura de banda.

Limites avançados de tamanho de análise de ficheiros de classificação

Mesmo com Não limitar a largura de banda. Ilimitado ativado para classificação avançada, ainda existem limites no tamanho de ficheiros individuais que podem ser analisados.

  • Existe um limite de 64 MB nos ficheiros de texto.
  • Existe um limite de 50 MB nos ficheiros de imagem quando o Reconhecimento Ótico de Carateres (OCR) está ativado.

A classificação avançada não funcionará para ficheiros de texto com mais de 64 MB, mesmo que o limite de largura de banda esteja definido como Não limitar a largura de banda. Ilimitado.

As seguintes versões do Windows (e posteriores) suportam a análise e proteção avançadas de classificação.

  • todas as versões Windows 11
  • Windows 10 versões 20H1/21H1 ou superior (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

Observação

  • O suporte para classificação avançada está disponível para tipos de arquivo do Office (Word, Excel, PowerPoint) e PDF.

  • A avaliação da política de DLP sempre ocorre na nuvem, mesmo que o conteúdo do usuário não seja enviado.

Dica

Para utilizar a classificação avançada para dispositivos Windows 10, tem de instalar KB5016688. Para utilizar a classificação avançada para dispositivos Windows 11, KB5016691 têm de ser instaladas nesses dispositivos Windows 11. Além disso, tem de ativar a classificação avançada antes de o Explorador de atividades apresentar texto contextual para eventos com correspondência de regras DLP. Para saber mais sobre texto contextual, veja Resumo contextual.

Proteção avançada baseada em etiquetas para todos os ficheiros em dispositivos (pré-visualização)

Ativar esta funcionalidade permite que os utilizadores trabalhem em ficheiros, incluindo ficheiros que não o Office e ficheiros PDF, que tenham etiquetas de confidencialidade que apliquem definições de controlo de acesso num estado não encriptado, nos respetivos dispositivos. O DLP de ponto final continuará a monitorizar e a impor proteções baseadas em etiquetas e controlo de acesso nestes ficheiros, mesmo no estado não encriptado e encripta-os automaticamente antes de serem transferidos para fora do dispositivo de um utilizador. Esta funcionalidade só é suportada em dispositivos Windows integrados. Para obter mais informações sobre esta funcionalidade, veja Saiba mais sobre a Advanced Label Based Protection (pré-visualização).

Pré-requisitos

  • O cliente Proteção de Informações do Microsoft Purview, versão mínima 3.1.218.0
  • Microsoft Defender para Ponto de Extremidade versão mínima 4.18.25030

Exclusões de caminho de arquivo

Se quiser excluir determinados caminhos da monitorização DLP, dos alertas DLP e da imposição da política DLP nos seus dispositivos, pode desativar essas definições de configuração ao configurar exclusões de caminhos de ficheiros. Os ficheiros em localizações excluídas não são auditados e quaisquer ficheiros criados ou modificados nessas localizações não estão sujeitos à imposição da política DLP. Para configurar exclusões de caminho nas definições de DLP, navegue para o portal > do Microsoft PurviewPrevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições>> deponto finalExclusões de caminhos de ficheiros para Windows.

Exclusões de caminhos de ficheiros para Windows

Pode utilizar a seguinte lógica para construir os caminhos de exclusão para dispositivos Windows 10/11:

  • O caminho de ficheiro válido que termina com \, significa que apenas os ficheiros diretamente na pasta especificada são excluídos.
    Exemplo: C:\Temp\

  • O caminho de ficheiro válido que termina com \*, significa que apenas os ficheiros dentro das subpastas da pasta especificada são excluídos. Os ficheiros diretamente na própria pasta especificada não são excluídos.
    Exemplo: C:\Temp\*

  • O caminho de ficheiro válido que termina sem \ ou \*, significa que todos os ficheiros diretamente na pasta especificada e todas as respetivas subpastas são excluídos.
    Exemplo: C:\Temp

  • Um caminho com o curinga entre \ de cada lado.
    Exemplo: C:\Users\*\Desktop\

  • Um caminho com caráter universal entre \ cada lado e com (number) para especificar o número exato de subpastas a serem excluídas.
    Exemplo: C:\Users\*(1)\Downloads\

  • Um caminho com variáveis de ambiente do sistema.
    Exemplo: %SystemDrive%\Test\*

  • Uma mistura de todos os padrões descritos aqui.
    Exemplo: %SystemDrive%\Users\*\Documents\*(2)\Sub\

Caminhos de ficheiro do Windows excluídos por predefinição

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Exclusões de caminhos de ficheiros para Mac

Também pode adicionar as suas próprias exclusões para dispositivos macOS.

  • As definições do caminho do ficheiro não são sensíveis a maiúsculas e minúsculas, pelo User que são as mesmas que user

  • Há suporte para valores curinga. Assim, uma definição de caminho pode conter um asterisco (*) no meio do caminho ou no final do caminho.
    Exemplo: /Users/*/Library/Application Support/Microsoft/Teams/*

Caminhos de ficheiro macOS excluídos por predefinição

/System

Por motivos de desempenho, a DLP do ponto de extremidade inclui uma lista de exclusões recomendadas de caminho de arquivo para dispositivos macOS. Se o botão de alternar Incluir exclusões de caminhos de ficheiro recomendados para Mac estiver definido como Ativado, os seguintes caminhos também serão excluídos:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

Recomendamos que deixe este botão de alternar definido como Ativado. No entanto, pode parar de excluir estes caminhos ao definir o botão de alternar para Desativado.

Configurar a recolha de provas para atividades de ficheiros em dispositivos

Quando identifica itens que correspondem a políticas em dispositivos, o DLP pode copiá-los para uma conta de armazenamento do Azure. Esta funcionalidade é útil para auditar a atividade da política e resolver problemas de correspondências específicas. Utilize esta secção para adicionar o nome e o URL da conta de armazenamento.

Observação

Antes de ativar esta funcionalidade, tem de criar uma conta de armazenamento do Azure e um contentor nessa conta de armazenamento. Também tem de configurar permissões para a conta. À medida que configura a sua conta de armazenamento do Azure, tenha em atenção que provavelmente irá querer utilizar uma conta de armazenamento que esteja na mesma região/limite geopolítico do Azure que o seu inquilino. Também deve considerar configurar as camadas de acesso da conta de armazenamento do Azure e os preços da conta de armazenamento do Azure.

Cobertura e exclusões da partilha de rede

A cobertura e exclusões de partilhas de rede expandem as políticas e ações DLP de ponto final a ficheiros novos e editados em partilhas de rede e unidades de rede mapeadas. Se a proteção just-in-time também estiver ativada, a cobertura e as exclusões da proteção just-in-time são expandidas para partilhas de rede e unidades mapeadas. Se quiser excluir um caminho de rede específico para todos os dispositivos monitorizados, adicione o valor de caminho em Excluir estes caminhos de partilha de rede.

Importante

Para utilizar a cobertura e exclusões da Partilha de rede, os dispositivos têm de ter as seguintes atualizações aplicadas:

Esta tabela mostra as predefinições para cobertura e exclusões de partilhas de rede.

Cobertura e exclusões da partilha de rede Proteção just-in-time Comportamento resultante
Habilitado Desabilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
Desabilitado Habilitado - A proteção just-in-time é aplicada apenas aos ficheiros em dispositivos de armazenamento que são locais para o ponto final.
Habilitado Habilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
- A proteção just-in-time é aplicada a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado.

A cobertura e as exclusões da partilha de rede complementam as ações do repositório no local do DLP. Esta tabela mostra as definições de exclusão e o comportamento resultante consoante o DLP esteja ativado ou desativado para repositórios no local.

Cobertura e exclusões da partilha de rede Repositórios no local DLP Comportamento resultante
Habilitado Desabilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
Desabilitado Habilitado - As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP
Habilitado Habilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
- As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP

Aplicativos restritos e grupos de aplicativos

Aplicativos restritos

A lista Aplicações restritas é uma lista personalizada de aplicações que cria. Pode configurar as ações que o DLP executa quando alguém utiliza uma aplicação na lista para aceder a um ficheiro protegido por DLP num dispositivo. A lista Aplicações restritas está disponível para dispositivos Windows 10/11 e macOS com qualquer uma das três versões mais recentes do macOS.

Algumas aplicações têm uma interface baseada na Web, além de uma versão instalada localmente da aplicação. Em pré-visualização, quando adiciona uma aplicação que pode ser acedida localmente e através de uma interface baseada na Web, a um grupo de aplicações Restritas ou como uma aplicação Restrita, todas as políticas DLP aplicáveis ao acesso a um ficheiro protegido serão impostas através do Edge para a interface de aplicação do browser e no dispositivo para a interface baseada na aplicação.

Importante

  • Não inclua o caminho para o executável para dispositivos Windows. Inclua apenas o nome executável (como browser.exe).

  • A ação (audit, block with overrideou block) definida para aplicações que estão na lista de aplicações restritas só se aplica quando um utilizador tenta aceder a um item protegido.

Quando o Acesso por aplicações restritas é selecionado numa política e um utilizador utiliza uma aplicação que está na lista de aplicações restritas para aceder a um ficheiro protegido, a atividade é audited, blockedou blocked with override, consoante a forma como configurou a lista aplicações restritas . EXCEÇÃO: se uma aplicação na lista Aplicações restritas também for membro de um grupo de aplicações Restritas, as ações configuradas para atividades no grupo de aplicações Restritas substituem as ações configuradas para a lista Aplicações restritas . Toda a atividade é auditada e está disponível para revisão no explorador de atividades.

Grupos de aplicativos restritos

Grupos de aplicativos restritos são coleções de aplicativos que você cria nas configurações de DLP e adiciona a uma regra em uma política. Quando adiciona um grupo de aplicações restrito a uma política, pode efetuar as ações definidas na tabela seguinte.

Opção de grupo de aplicativos restrito O que ele permite que você faça
Não restringir a atividade do arquivo Indica ao DLP para permitir que os utilizadores acedam a itens protegidos por DLP através de aplicações no grupo de aplicações sem efetuar qualquer ação quando o utilizador tentar Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede ou Imprimir a partir da aplicação.
Aplique uma restrição a todas as atividades Indica ao DLP para Audit only, Block with overrideou Block quando um utilizador tenta aceder a um item protegido por DLP com uma aplicação que está no grupo de aplicações relevante
Aplicar restrições a uma atividade específica Esta definição permite que um utilizador aceda a um item protegido por DLP através de uma aplicação que esteja no grupo de aplicações. Também lhe permite selecionar uma ação predefinida (Audit only, Blockou Block with override) para o DLP efetuar quando um utilizador tenta Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede e Imprimir.

Importante

As definições num grupo de aplicações restrito substituem quaisquer restrições definidas na lista de aplicações restritas quando estão na mesma regra. Assim, se uma aplicação estiver na lista de aplicações restritas e também for membro de um grupo de aplicações restritas, as definições do grupo de aplicações restritas são aplicadas.

Bloquear todas as aplicações, exceto uma lista de aplicações permitidas

Pode criar uma lista de aplicações permitidas e bloquear todas as outras. Desta forma, não precisa de criar e gerir uma lista abrangente de aplicações não fidedignos. Esta funcionalidade ajuda a simplificar a gestão de políticas e melhora o seu controlo sobre as atividades de ficheiros com base na aplicação.

Observação

As aplicações em segundo plano comuns, como teamsupdate.exe ou svchost.exe , estão pré-configuradas para ignorar a imposição para evitar interferências não intencionais com operações essenciais.

Neste procedimento, aplicamos o nível de restrição de Permitir para permitir explicitamente a atividade de um grupo de aplicações definido e, em seguida, bloqueamos quaisquer aplicações que não estejam nesta lista. Por conseguinte, as aplicações que não têm um nível de restrição definido são efetivamente bloqueadas e as aplicações com um nível de restrição definido como Permitir são explicitamente permitidas. Basicamente, definimos um grupo de aplicações restrito para permitir esse grupo de aplicações, mas fazemos isto para bloquear quaisquer aplicações que não tenham restrições definidas.

  1. Navegue para as definições DLP do ponto final.
  2. Defina aplicações permitidas ou aprovadas na lista Aplicações Restritas e grupos de aplicações .
  3. Na sua política DLP de ponto final existente ou novo, localize a definição Atividades de ficheiros para aplicações em grupos de aplicações restritos .
  4. Adicione o grupo de aplicações restrito pretendido.
  5. Selecione Aplicar restrição a toda/atividade específica e selecione Permitir.
  6. Para todas as outras aplicações, defina o Access por aplicações que não estão na definição da lista "aplicações não permitidas" como Bloquear.

Como a DLP aplica restrições às atividades

As interações entre atividades de Ficheiros para aplicações em grupos de aplicações restritos, Atividades de ficheiros para todas as aplicações e a lista Atividades de aplicações restritas estão confinadas à mesma regra.

Substituições de grupos de aplicativos restritos

As configurações definidas em Atividades de arquivo para aplicativos em grupos de aplicativos restritos substituem as configurações na lista Atividades restritas do aplicativo e as Atividades de arquivo para todos os aplicativos na mesma regra.

Atividades de aplicativos restritas e atividades de arquivos para todos os aplicativos

As configurações de Atividades de aplicativos restritas e Atividades de arquivos para todos os aplicativos funcionarão em conjunto se a ação definida para Atividades de aplicativos restritas for Audit only ou Block with override na mesma regra. Por quê? As ações definidas para atividades de aplicações restritas só se aplicam quando um utilizador acede a um ficheiro através de uma aplicação que está na lista. Depois que o usuário tiver acesso, as ações definidas para atividades em Atividades de arquivo para todos os aplicativos se aplicam.

Por exemplo, veja o exemplo seguinte. Digamos que Notepad.exe é adicionada a Aplicações restritas e as Atividades de ficheiros para todas as aplicações estão configuradas para Aplicar restrições a atividades específicas e ambas estão configuradas conforme indicado nesta tabela:

Configuração na política Nome do aplicativo Atividade do usuário Ação DLP a ser tomada
Atividades de aplicativo restrito Bloco de Notas Acessar um item protegido por DLP Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para a área de transferência Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para um dispositivo removível USB Bloquear
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para um compartilhamento de rede Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Imprimir Bloquear
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar ou mover usando o aplicativo Bluetooth não permitido Blocked
Atividades de arquivo para todos os aplicativos Todos os aplicativos Serviços de área de Trabalho Remota Bloquear com substituição

Quando o Utilizador A abre um ficheiro protegido por DLP com o Bloco de Notas, o DLP permite o acesso e audita a atividade. Ainda no Bloco de Notas, o Utilizador A tenta copiar conteúdos do item protegido para a área de transferência. Esta ação foi bem-sucedida e o DLP audita a atividade. O usuário A tenta imprimir o item protegido do Bloco de Notas e a atividade é bloqueada.

Observação

Quando a ação de DLP a ser tomada em Atividades restritas do aplicativo é definida comoblock, todo o acesso é bloqueado e o usuário não pode realizar nenhuma atividade no arquivo.

Atividades de arquivo apenas para todos os aplicativos

Se uma aplicação não estiver nas Atividades de ficheiros para aplicações em grupos de aplicações restritos ou na lista Atividades de aplicações restritas ou estiver na lista Atividades de aplicações restritas , com uma ação de Audit only, ou Block with override, quaisquer restrições definidas nas Atividades de ficheiro para todas as aplicações são aplicadas na mesma regra.

Dispositivos macOS

Também pode impedir que as aplicações macOS acedam a dados confidenciais ao defini-los na lista Atividades de aplicações restritas .

Observação

As aplicações entre plataformas têm de ser introduzidas com os respetivos caminhos exclusivos, respetivamente, para o SO em execução.

Para encontrar o caminho completo dos aplicativos Mac:

  1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

  2. Selecione o separador Abrir Ficheiros e Portas .

  3. Anote o nome completo do caminho, incluindo o nome da aplicação. Por exemplo,

  • /System/Applications/TextEdit.app/Contents/MacOS/TextEdit

Suporte do Edge para aplicações e grupos de aplicações (pré-visualização)

Em pré-visualização, o suporte de grupos de aplicações ou aplicações no browser Edge para restringir conteúdos confidenciais detetados através de políticas DLP. Os browsers não Edge sugerem abrir a ligação num browser Edge.

Quarentena automática

Para impedir que itens confidenciais sejam sincronizados com a cloud por aplicações de sincronização de cloud, como onedrive.exe, adicione a aplicação de sincronização da cloud à lista aplicações restritas com Quarentena automática

Quando ativada, a quarentena automática é acionada quando uma aplicação restrita tenta aceder a um item confidencial protegido por DLP. A quarentena automática move o item confidencial para uma pasta configurada pelo administrador. Se configurado para tal, a quarrantina automática pode deixar um ficheiro de marcador de posição (.txt) em vez do original. Pode configurar o texto no ficheiro de marcador de posição para indicar aos utilizadores a nova localização do item e outras informações pertinentes.

Utilize a funcionalidade de quarrantine automática quando uma aplicação de sincronização de cloud não permitida tentar aceder a um item protegido por uma política DLP de bloqueio. O DLP pode gerar notificações repetidas. Pode evitar estas notificações repetidas ao ativar a Quarentena automática.

Também pode utilizar a quarentena automática para impedir uma cadeia interminável de notificações DLP para o utilizador e administradores. Para obter mais informações, veja Cenário 4: Evitar o ciclo de notificações DLP a partir de aplicações de sincronização da cloud com a quarentena automática.

Exclusões de extensões de ficheiros não suportadas

Não foi possível analisar a definição Ficheiro nas políticas DLP para restringir as atividades que envolvem ficheiros com extensões que não são suportadas pelo DLP do ponto final. Uma vez que isto pode incluir muitas extensões de ficheiro não suportadas, pode refinar a deteção ao adicionar extensões não suportadas a excluir. Para obter mais informações, veja Cenário 3 Aplicar controlos a ficheiros suportados que falham na análise.

Observação

Não adicione '.' enquanto adiciona a extensão e utiliza a versão mais recente do cliente Antimalware.

Aplicativos Bluetooth não permitidos

Para impedir que as pessoas transfiram ficheiros protegidos pelas suas políticas através de aplicações Bluetooth específicas, adicione essas aplicações à lista de aplicações Bluetooth não permitidas nas definições DLP do Ponto Final.

Restrições do navegador e do domínio para dados confidenciais

Restrinja arquivos confidenciais que correspondem às suas políticas de serem compartilhados com domínios de serviço de nuvem irrestritos.

Navegadores não permitidos

Para dispositivos Windows, pode restringir a utilização de browsers especificados, identificados pelos respetivos nomes executáveis. Os browsers especificados são impedidos de aceder a ficheiros que correspondam às condições de uma política DLP imposta em que a restrição de carregamento para serviços cloud está definida como block ou block override. Quando estes browsers são impedidos de aceder a um ficheiro, os utilizadores finais veem uma notificação de alerta a pedir-lhes para abrirem o ficheiro através do Microsoft Edge.

Para dispositivos macOS, você deve adicionar o caminho completo do arquivo. Para encontrar o caminho completo dos aplicativos Mac:

  1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

  2. Escolha a guia Abrir Arquivos e Portas.

  3. Certifique-se de que anota o nome completo do caminho, incluindo o nome da aplicação.

Domínios de serviço

Os domínios do Serviço aqui funcionam em conjunto com a definição Auditar ou restringir atividades em dispositivos encontradas no fluxo de trabalho para criar uma regra dentro de uma política DLP.

Quando cria uma regra, utiliza ações para proteger o seu conteúdo quando determinadas condições são cumpridas. Ao criar regras para dispositivos de ponto final, tem de escolher a opção Auditar ou restringir atividades nos dispositivos e selecionar uma destas opções:

  • Somente Auditoria
  • Bloquear com substituição
  • Bloquear

Para controlar se os ficheiros confidenciais protegidos pelas suas políticas podem ser carregados para domínios de serviço específicos, terá de navegar para As Definições> de Ponto Final DLPBrowser e restrições de domínio para dados confidenciais e escolher se pretende bloquear ou permitirDomínios de serviço por predefinição.

Observação

A definição Domínios de serviço aplica-se apenas a ficheiros carregados com o Microsoft Edge ou a utilizar instâncias do Google Chrome ou do Mozilla Firefox que tenham a Extensão do Chrome do Microsoft Purview instalada.

Bloquear

Quando a lista Domínios de serviço estiver definida como Bloquear, utilize o domínio Adicionar serviço cloud para especificar domínios que devem ser bloqueados. Todos os outros domínios de serviço são permitidos. Neste caso, as restrições de política DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios na lista.

Por exemplo, considere as seguintes configurações:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
  • A definição Domínios de serviço está definida como Bloquear.
  • contoso.com NÃO ESTÁ NA lista.
  • wingtiptoys.com está na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tem permissão para concluir e é gerado um evento de auditoria e um alerta.

Outro exemplo, considere a seguinte configuração:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear.
  • A definição Domínios de serviço está definida como Bloquear.
  • contoso.com NÃO ESTÁ NA lista.
  • wingtiptoys.com está na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento é autorizado a concluir e é acionado um evento de auditoria, é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – está bloqueado e é gerado um evento de auditoria e um alerta.

Permitir

Quando a lista Domínios de serviço estiver definida como Permitir, utilize o domínio Adicionar serviço cloud para especificar domínios permitidos. Todos os outros domínios de serviço terão restrições de Política DLP impostas. Neste caso, as políticas DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios listados.

Por exemplo, eis duas configurações iniciais:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm números de card de crédito e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear com substituição.
  • A definição Domínios de serviço está definida como Permitir.
  • contoso.com NÃO ESTÁ NA lista Permitir .
  • wingtiptoys.com está na lista Permitir .

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para contoso.com, o carregamento é bloqueado, é apresentado um aviso, dando ao utilizador a opção de substituir o bloco. Se o utilizador optar por substituir o bloco, é gerado um evento de auditoria e é acionado um alerta.

No entanto, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a restrição de política não é aplicada. O carregamento tem permissão para ser concluído e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
  • A definição Domínios de serviço está definida como Permitir.
  • contoso.com NÃO está na lista.
  • wingtiptoys.com ESTÁ na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria e um alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tiver permissão para concluir, é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Importante

Quando o modo de restrição de serviço está definido como Permitir, tem de ter, pelo menos, um domínio de serviço configurado antes de serem impostas restrições.

Tabela de resumo: Comportamento de permissão/bloqueio

A tabela seguinte mostra como o sistema se comporta consoante as definições listadas.

Definição de domínio do Serviço DLP de Ponto Final Definição da regra de política DLP Auditar ou restringir atividades nos dispositivos O utilizador acede a um site listado O utilizador acede a um site NÃO listado
Permitir Somente Auditoria - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP		 - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de auditoria
Permitir Bloquear com substituição - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP		 - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas em Bloquear com o modo de substituição
Permitir Bloquear - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP		 - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de bloqueio
Bloquear Somente Auditoria - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de auditoria		 - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
Bloquear Bloquear com substituição - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas em Bloquear com o modo de substituição		 – A atividade do utilizador é auditada – Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
Bloquear Bloquear - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de bloqueio		 - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP

Ao adicionar um domínio à lista, utilize o formato FQDN do domínio de serviço sem o período final (.). Utilize *. como caráter universal para especificar todos os domínios ou subdomínios. Exclua o protocolo (qualquer coisa antes //) do domínio. Inclua apenas o nome do anfitrião, sem subsites.

Por exemplo:

Input Comportamento de correspondência de URL
contoso.com Corresponde ao nome de domínio especificado e a qualquer subsite:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (etc.)

Não corresponde a subdomínios ou domínios não especificados:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU
* .contoso.com Corresponde ao nome de domínio especificado, qualquer subdomínio e qualquer site:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.)

Não corresponde a domínios não especificados

://anysubdomain.contoso.com.AU/
www.contoso.com Corresponde ao nome de domínio especificado:

www.contoso.com

Não corresponde a domínios ou subdomínios não especificados

://anysubdomain.contoso.com/, neste caso, tem de colocar o próprio nome de domínio do FQDN www.contoso.com

Pode configurar até 50 domínios em domínios do Serviço Confidencial.

Observação

A definição da lista Domínios de serviço aplica-se apenas a carregamentos de ficheiros para sites. Ações como colar num browser não seguem a lista Domínio de Serviço.

Grupos de domínios de serviço confidenciais

Quando lista um site em domínios de serviço confidenciais, pode audit, block with overrideou atividade de utilizador completo block quando os utilizadores tentam efetuar qualquer uma das seguintes ações:

  • imprimir de um site
  • copiar dados de um site
  • salvar um site como arquivo local
  • carregar ou arrastar/largar um ficheiro confidencial para um site excluído
  • colar dados confidenciais num site excluído

A tabela seguinte mostra os browsers que suportam estas funcionalidades:

Navegador Funcionalidade Suportada
Microsoft Edge - Imprimir o site
- Copiar dados do site
- Guardar o site como ficheiros locais (guardar como)
- Colar em browsers suportados
– Carregar para um domínio de serviço cloud restrito
Google Chrome (com a extensão do Microsoft Purview) - Colar em browsers suportados
- Carregar para um domínio de serviço cloud restrito
Mozilla Firefox (com a extensão do Microsoft Purview) - Carregar para um serviço
cloud restrito – Colar em browsers suportados

Para a ação Colar para browsers suportados , pode haver um breve desfasamento de tempo entre quando o utilizador tenta colar texto numa página Web e quando o sistema termina a classificação e responde. Se esta latência de classificação acontecer, poderá ver notificações de avaliação de políticas e marcar concluídas no Edge ou alertas de avaliação de políticas no Chrome e no Firefox. Seguem-se algumas sugestões para minimizar o número de notificações:

  1. As notificações são acionadas quando uma política para o site de destino é configurada para Bloquear ou Bloquear com a substituição de Colar para browsers suportados para esse utilizador. Pode configurar a ação geral para Auditar e, em seguida, através das exceções, Bloquear os sites de destino. Em alternativa, pode definir a ação geral como Bloquear e, em seguida, através das exceções, Auditar os sites seguros.
  2. Utilize a versão mais recente do cliente Antimalware.
  3. Certifique-se de que a sua versão do Microsoft Edge é 120 ou superior.
  4. Instale estes KBs do Windows:
    1. Windows 10: KB5032278, KB5023773
    2. Windows 11 21H2: KB5023774
    3. Win 11 22H2: KB5032288, KB5023778
  5. No macOS, certifique-se de que a versão do Cliente antimalware é a 101.25022.0003 ou posterior

A ação Colar nos browsers suportados não segue o comportamento definido na lista Domínio de Serviço. No entanto, se os Grupos de Domínio de Serviço Confidencial estiverem configurados na regra para Colar no Browser, estes são respeitados.

Observação

A definição Domínios de serviço aplica-se apenas a ficheiros carregados através do Microsoft Edge ou de uma instância do Google Chrome ou do Mozilla Firefox que tenha a Extensão do Chrome do Microsoft Purview instalada. O grupo Sites de IA Geradores contém estes sites suportados. O grupo é utilizado para políticas predefinidas no Gerenciamento da Postura de Segurança de Dados para IA e não pode ser editado ou eliminado.

Para dispositivos, tem de configurar a lista domínios de serviço confidenciais para utilizar a ação Carregar para um domínio de serviço cloud restrito numa política DLP. Também pode definir grupos de sites aos quais pretende atribuir ações de política diferentes das ações globais do grupo de sites. Pode adicionar um máximo de 100 sites a um único grupo e pode criar um máximo de 150 grupos. Isto fornece um máximo de 15.000 sites aos quais as ações de política podem ser atribuídas. Para obter mais informações, veja Cenário 6: Monitorizar ou restringir atividades de utilizador em domínios de serviço confidenciais.

Importante

Relativamente à ação Colar ao browser suportado . Se a opção "Recolher o ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final" estiver ativada na regra para esta funcionalidade, os carateres de lixo poderão aparecer no texto de origem se o dispositivo Windows do utilizador não tiver a Versão 4.18.23110 do Cliente Antimalware ou posterior instalada. Selecione Ações>Transferir para ver o conteúdo real.

Para obter mais informações, veja Cenário 7: Restringir a colagem de conteúdos confidenciais num browser.

Sintaxe com suporte para designar sites em um grupo de sites

Se utilizar URLs para identificar sites, não inclua o protocolo de rede como parte do URL (por exemplo, https:// ou file://). Em vez disso, utilize uma sintaxe flexível para incluir e excluir domínios, subdomínios, sites e subsites nos seus grupos de sites. Por exemplo,

  • Utilize *. como caráter universal para especificar todos os domínios ou todos os subdomínios.
  • Utilize / como terminador no final de um URL para definir o âmbito apenas para esse site específico.

Quando adiciona um URL sem uma marca de barra de terminação ( /), esse URL está no âmbito desse site e de todos os subsites. Só pode adicionar *. ao início de um domínio. O / terminador só é suportado no final de um domínio.

Essa sintaxe se aplica a todos os sites http/https. Aqui estão alguns exemplos:

URL adicionado ao grupo de sites A URL corresponderá O URL não corresponde
contoso.com http:// contoso.com
https:// contoso.com
https:// contoso.com/
https:// contoso.com/allsubsites1
https:// contoso.com/allsubsites1/allsubsites2		 https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com.au
https:// www.contoso.com
contoso.com/ http:// contoso.com
https:// contoso.com
https:// contoso.com/		 https:// contoso.com/allsubsites1
https:// contoso.com/allsubsites1/allsubsites2
https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com/au
https:// www.contoso.com
*.contoso.com http:// contoso.com
https:// contoso.com
https:// www.contoso.com
https:// www.contoso.com/allsubsites
https:// contoso.com/allsubsites1/allsubsites2
https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/allsubsites1/allsubsites2		 https:// allsubdomains.contoso.com.au
*.contoso.com/xyz http:// contoso.com/xyz/
https:// contoso.com/xyz/
https:// contoso.com/xyz/allsubsites/
https:// allsubdomains.contoso.com/xyz/
https:// allsubdomains.contoso.com/xyz/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2		 https:// contoso.com/xyz
https:// allsubdomains.contoso.com/xyz
*.contoso.com/xyz/ http:// contoso.com/xyz
https:// contoso.com/xyz
https:// contoso.com/xyz/
https:// allsubdomains.contoso.com/xyz
https:// allsubdomains.contoso.com/xyz/		 https:// contoso.com
https:// contoso.com/xyz/allsubsites/
https:// allsubdomains.contoso.com/xyz/allsubsites/
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2

Sintaxe suportada para designar intervalos IP ou endereços IP (pré-visualização)

Na pré-visualização, o DLP suporta a utilização de endereços IP e intervalos de endereços para identificar sites. Defina o Tipo de correspondência como endereço IP ou intervalo de endereços IP e, em seguida, introduza um endereço IP específico ou um intervalo de IP no campo Domínio de serviço confidencial e clique em Adicionar site para adicionar a seleção ao grupo de domínios do serviço Confidencial.

Exemplos de sintaxe suportada:

  • 1.1.1.1
  • 1.1.1.1-2.2.2.2
  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334
  • 2001:0db8:85a3:0000:0000:8a2e:0370:7320-2001:0db8:85a3:0000:0000:8a2e:0370:7334

Importante

Os URLs suportam estas ações:

  • Imprimir o site
  • Copiar dados do site
  • Guardar o site como ficheiros locais (guardar como)
  • Colar em browsers suportados
  • Carregar para um domínio de serviço cloud restrito

O endereço IP e o intervalo de endereços IP suportam estas ações:

  • Imprimir o site
  • Copiar dados do site
  • Guardar o site como ficheiros locais (guardar como)
  • Carregar para um domínio de serviço cloud restrito (apenas Windows)

Os grupos de domínios de serviço confidenciais contêm um grupo pré-configurado para sites de IA Generative. Para obter uma lista de todos os sites deste grupo, consulte Lista de sites de IA suportados por Gerenciamento da Postura de Segurança de Dados do Microsoft Purview para IA

Configurações adicionais para DLP do ponto de extremidade

Justificativa de negócios em dicas de política

Pode controlar a forma como os utilizadores interagem com a opção de justificação comercial em Opções para configurar sugestões de política. Esta opção aparece quando os usuários realizam uma atividade protegida pela configuração Bloquear com substituição em uma política DLP. Esta é uma configuração global. Você pode escolher uma das seguintes opções:

  • Mostrar as opções padrão e a área de entrada de texto personalizada: Por padrão, os usuários podem selecionar uma justificação interna ou inserir seu próprio texto.
  • Mostrar apenas as opções predefinidas: os utilizadores estão limitados a selecionar a partir de uma lista de justificações incorporadas.
  • Mostrar apenas uma caixa de texto personalizada: os utilizadores estão limitados a introduzir uma justificação personalizada. A caixa de texto é apresentada na notificação de sugestão de política do utilizador final, sem uma lista de opções.

Personalizando as opções no menu suspenso

Pode criar até cinco opções personalizadas que aparecem quando os utilizadores interagem com a sugestão de notificação de política ao selecionar o menu pendente Personalizar as opções.

Opção Texto padrão
opção 1 Isto faz parte de um fluxo de trabalho empresarial estabelecido ou pode introduzir texto personalizado
opção 2 Meu gerente aprovou esta ação ou você pode inserir um texto personalizado
opção 3 Acesso necessário urgente; Notificarei meu gerente separadamente ou você pode inserir um texto personalizado
Mostrar a opção de falso positivo As informações contidas nestes arquivos não são confidenciais ou você pode inserir um texto personalizado
opção 5 Outro ou você pode inserir um texto personalizado

Ativar o registo de diagnósticos automático para o DLP de ponto final

A funcionalidade Always-on do Microsoft Purview diagnóstico regista automaticamente registos de rastreio abrangentes, poupando-lhe tempo e permitindo uma resolução de problemas mais rápida. Para obter mais informações, veja Always-on diagnóstico for endpoint DLP (Diagnóstico always-on para DLP de ponto final).

Ativar o DLP de Ponto Final para Windows Servers

O DLP de ponto final suporta as seguintes versões do Windows Server:

Depois de integrar uma Windows Server tem de ativar o suporte DLP do Ponto Final antes de ser aplicado o endpoint protection.

Para trabalhar com a gestão de alertas DLP dashboard:

  1. No portal do Microsoft Purview, navegue para DescriçãoGeral da Prevenção> de perda de dados.
  2. Selecione Definições no canto superior direito.
  3. Na página Definições , selecione Definições de ponto final e expanda Suporte DLP de Ponto final para servidores integrados.
  4. Defina o botão de alternar para Ativado.

Sempre auditar a atividade dos arquivos para os dispositivos

Por padrão, quando os dispositivos são integrados, a atividade dos arquivos Office, PDF e CSV é auditada automaticamente e fica disponível para análise no explorador de atividades. Desative esta funcionalidade se pretender que esta atividade seja auditada apenas quando os dispositivos integrados estiverem incluídos numa política ativa. A definição Atividade de ficheiro de auditoria sempre para dispositivos permite a auditoria de atividades de ficheiros para documentos em que uma Regra DLP não corresponda: Ficheiro Criado, Ficheiro Modificado, Nome do Ficheiro Mudado, Ficheiro criado num suporte de dados amovível e Ficheiro criado na partilha de rede.

A atividade de ficheiros é sempre auditada para dispositivos integrados, independentemente de estarem incluídos numa política ativa.

Grupos de impressoras

Utilize esta definição para definir grupos de impressoras aos quais pretende atribuir ações de política diferentes das ações de impressão globais.

O caso de utilização mais comum para a criação de grupos de impressoras é utilizá-los para limitar a impressão de contratos apenas a essas impressoras no departamento jurídico de uma organização. Depois de definir um grupo de impressoras aqui, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8 .

Pode criar um máximo de 20 grupos de impressoras. Cada grupo pode conter um máximo de 50 impressoras.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

Vejamos um exemplo. Digamos que pretende que a política DLP bloqueie a impressão de contratos para todas as impressoras, exceto para as que estão no departamento jurídico.

  1. Utilize os seguintes parâmetros para atribuir impressoras em cada grupo.

    • Nome amigável da impressora – o nome amigável da impressora é o valor apresentado na experiência de utilizador quando seleciona a Impressora.

    • Impressora USB – uma impressora ligada através da porta USB de um computador. Selecione esta opção se pretender impor qualquer impressora USB enquanto deixa o ID de produto USB e o ID do fornecedor USB desmarcados. Também pode atribuir uma impressora USB específica ao especificar o respetivo ID de produto USB e o ID do fornecedor USB.

    • ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor no formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

    • ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

    • Intervalo IP

    • Imprimir para ficheiro - Microsoft Print para PDF ou Microsoft XPS Document Writer. Se apenas quiser impor o Microsoft Print para PDF, deve utilizar o Nome amigável da impressora com "Microsoft Print para PDF".

    • Impressão universal implementada numa impressora – para obter mais informações sobre impressoras universais, consulte Configurar a Impressão Universal.

    • Impressora empresarial – é uma fila de impressão partilhada através do servidor de impressão do Windows no local no seu domínio. O caminho poderá ter o seguinte aspeto: \print-server\contoso.com\legal_printer_001.

    • Imprimir para local – qualquer impressora que se ligue através da porta de impressão da Microsoft, mas não qualquer um dos tipos acima. Por exemplo: imprimir através do ambiente de trabalho remoto ou redirecionar impressora.

Observação

Não deve utilizar vários parâmetros de impressora USB, intervalo de IP, Imprimir para ficheiro, Impressão universal implementada numa impressora, Impressora empresarial e Imprimir no local.

  1. Atribua um Nome a apresentar a cada impressora no grupo. Estes nomes só aparecem na consola do Microsoft Purview.

  2. Crie um grupo de impressoras com o nome Impressoras legais e adicione impressoras individuais (com um alias) pelo nome amigável; por exemplo: legal_printer_001, legal_printer_002e legal_color_printer. (Pode selecionar vários parâmetros de uma só vez para o ajudar a identificar de forma inequívoca uma impressora específica.)

  3. Atribua as ações de política ao grupo numa política DLP:

    • Allow (auditar sem notificações ou alertas de utilizador)

    • Audit only (pode adicionar notificações e alertas)

    • Block with override (bloqueia a ação, mas o utilizador pode substituir)

    • Pré-visualização, uma correção para resolver a resubmissão desnecessária para colocar a tarefa de impressão em fila após a substituição inicial, foi implementada.

    • Block (blocos, aconteça o que acontecer)

Criar um grupo Impressora

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições do Ponto Finalde Prevenção> de Perda de Dados DLP Grupos deimpressoras>.
  2. Selecione + Criar grupo de impressoras.
  3. Dê um nome ao grupo.
  4. Selecione Adicionar impressora.
  5. Atribua um Nome amigável à impressora. Certifique-se de que o nome corresponde ao valor dos detalhes da propriedade do dispositivo da impressora no Gerenciador de Dispositivos.
  6. Selecione os parâmetros e forneça os valores para identificar inequívocamente a impressora específica.
  7. Selecione Adicionar.
  8. Adicione outras impressoras conforme necessário.
  9. Selecione Guardar e , em seguida, Fechar.

Grupos de extensões de ficheiros

Utilize esta definição para definir grupos de extensões de ficheiro aos quais pretende atribuir ações de política. Por exemplo, não foi possível analisar apenas uma política Ficheiro para extensões de ficheiros nos grupos criados.

Observação

Não adicione '.' enquanto adiciona a extensão.

Desativar classificação

Utilize esta definição para excluir extensões de ficheiro específicas da classificação DLP do Ponto Final.

Para ficheiros que estão na lista Ficheiros monitorizados , pode desativar a classificação através desta definição. Depois de colocar uma extensão de ficheiro nesta definição, o DLP de Ponto Final não analisará o conteúdo em ficheiros com esta extensão. Como resultado, o DLP de Ponto Final não fará uma avaliação de política com base no conteúdo desses ficheiros. Não poderá ver informações de conteúdo para efeitos de realização de investigações.

Observação

Não adicione '.' enquanto adiciona a extensão.

Grupos de dispositivos USB amovíveis

Utilize esta definição para definir grupos de dispositivos de armazenamento amovíveis, como pen USB, aos quais pretende atribuir ações de política diferentes das ações de impressão globais. Por exemplo, digamos que pretende que a política DLP bloqueie a cópia de itens com especificações de engenharia para dispositivos de armazenamento amovíveis, exceto os discos rígidos ligados por USB designados que são utilizados para criar cópias de segurança de dados para armazenamento fora do local.

Pode criar um máximo de 20 grupos, com um máximo de 50 dispositivos de armazenamento amovíveis em cada grupo.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Win 11 21H2, 22H2 com KB 5018483
  • Windows 10 RS5 (5006744 KB) e Windows Server 2022

Utilize os seguintes parâmetros para definir os seus dispositivos de armazenamento amovíveis.

  • Nome amigável do dispositivo de armazenamento – obtenha o valor Nome amigável a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

  • ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

  • ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.

  • ID do número de série – obtenha o valor do ID do número de série a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

  • ID do Dispositivo – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

  • ID do caminho da instância – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

  • ID de Hardware – obtenha o valor do ID de hardware a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Os valores de carateres universais (*) são suportados.

Atribui um Alias a cada dispositivo de armazenamento amovível no grupo. O alias é um nome amigável que só aparece na consola do Microsoft Purview. Assim, continuando com o exemplo, criaria um grupo de dispositivos de armazenamento amovível com o nome Cópia de Segurança e adicionaria dispositivos individuais (com um alias) pelo nome amigável, como backup_drive_001, e backup_drive_002.

Pode selecionar vários parâmetros e, em seguida, o grupo de impressoras inclui todos os dispositivos que satisfazem esses parâmetros.

Pode atribuir estas ações de política ao grupo numa política DLP:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with substituir (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Criar um grupo de dispositivos USB amovível

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLP de Ponto Finalde Prevenção> de Perda de DadosGrupos de dispositivos USB amovíveis.>
  2. Selecione + Criar grupo de dispositivos de armazenamento amovível.
  3. Indique um Nome do grupo.
  4. Selecione Adicionar dispositivo de armazenamento amovível.
  5. Forneça um Alias.
  6. Selecione os parâmetros e forneça os valores para identificar de forma inequívoca o dispositivo específico.
  7. Selecione Adicionar.
  8. Adicione outros dispositivos ao grupo conforme necessário.
  9. Selecione Guardar e , em seguida, Fechar.

O caso de utilização mais comum para criar grupos de armazenamento amovíveis é utilizá-los para especificar para que dispositivos de armazenamento amovíveis os utilizadores podem copiar ficheiros. Geralmente, a cópia só é permitida para dispositivos num grupo de Cópia de Segurança designado.

Depois de definir um grupo de dispositivos de armazenamento amovível, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Veja Cenário 8: Grupos de autorização para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização.

Grupos de partilha de rede

Utilize esta definição para definir grupos de caminhos de partilha de rede aos quais pretende atribuir ações de política diferentes das ações de caminho de partilha de rede global. Por exemplo, digamos que pretende que a política DLP impeça os utilizadores de guardar ou copiar ficheiros protegidos para partilhas de rede, exceto as partilhas de rede num grupo específico.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Win 11 21H2, 22H2 com KB 5018483
  • Windows 10 RS5 (5006744 KB) e Windows Server 2022

Para incluir caminhos de partilha de rede num grupo, defina o prefixo com o qual todas as partilhas começam. Por exemplo:

  • '\Library' corresponderá a:

    • \Pasta biblioteca e todas as respetivas subpastas.

  • Pode utilizar Carateres Universais, por exemplo , "\Utilizadores*\Ambiente de Trabalho" corresponderá:

    • '\Utilizadores\utilizador1\Ambiente de Trabalho'
    • '\Utilizadores\utilizador1\utilizador2\Ambiente de Trabalho'
    • '\Utilizadores*\Ambiente de Trabalho'

  • Também pode utilizar variáveis ambientais, por exemplo:

    • %AppData%\app123

Pode atribuir as seguintes ações de política ao grupo numa política DLP:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with override (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Depois de definir um grupo de partilha de rede, pode utilizá-lo em todas as políticas DLP que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8.

Criar um grupo de Partilha de Rede

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemdefinições deDescrição Geral da Prevenção>> de Perda de Dados no canto > superior direito Definições do Ponto Final de Prevenção> de Perda de DadosDLPGrupos de partilha de >rede.
  2. Selecione + Criar grupo de partilha de rede.
  3. Indique um Nome do grupo.
  4. Adicione o caminho do ficheiro à partilha.
  5. Selecione Adicionar.
  6. Adicione outros caminhos de partilha ao grupo conforme necessário.
  7. Selecione Guardar e , em seguida, Fechar.

Configurações da VPN

Utilize a lista de VPN para controlar apenas as ações que estão a ser realizadas nessa VPN.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma destas versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Windows 11 21H2, 22H2 com 5018483 KB
  • Windows 10 RS5 (KB 5006744)

Quando lista uma VPN nas Definições de VPN, pode atribuir-lhes as seguintes ações de política:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with override (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Estas ações podem ser aplicadas individual ou coletivamente às seguintes atividades de utilizador:

  • Copiar para a área de transferência
  • Copiar para um dispositivo amovível USB
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover com a aplicação Bluetooth não permitida (restrita)
  • Copiar ou mover com RDP

Ao configurar uma política DLP para restringir a atividade nos dispositivos, pode controlar o que acontece a cada atividade realizada quando os utilizadores estão ligados à sua organização dentro de qualquer uma das VPNs listadas.

Utilize os parâmetros Endereço do servidor ou Endereço de rede para definir a VPN permitida.

Obter o Endereço do servidor ou o Endereço de rede

  1. Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
  2. Execute o seguinte cmdlet, que devolve vários campos e valores.
Get-VpnConnection
  1. Entre os resultados do cmdlet, localize o campo ServerAddress e registe esse valor. Utilize o ServerAddress quando cria uma entrada VPN na lista de VPN.
  2. Localize o campo Nome e registe esse valor. O campo Nome mapeia para o campo Endereço de rede quando cria uma entrada VPN na lista de VPN.

Adicionar uma VPN

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLPde Ponto Final de Prevenção> de Perda de Dadosdefinições> de VPN.
  2. Selecione Adicionar ou editar endereços VPN.
  3. Indique o Endereço do servidor ou o Endereço de rede que registou depois de executar .Get-VpnConnection
  4. Selecione Salvar.
  5. Feche o item.

Importante

Na definição Restrições de rede, também verá Rede empresarial como uma opção. As ligações de rede empresarial são todas ligações aos recursos da sua organização. Pode ver se o dispositivo está a utilizar uma rede empresarial ao executar o Get-NetConnectionProfile cmdlet como administrador. Se o NetworkCategoryId na saída for DomainAuthenticated, significa que o computador está ligado à rede empresarial. Se o resultado for qualquer outra coisa, o computador não é . Em alguns casos, um computador pode estar ligado à VPN e à Rede empresarial ligada. Se ambos estiverem selecionados nas Restrições de rede, o DLP de Ponto Final aplicará a ação com base na ordem. Se quiser que a ação da VPN seja a aplicada, mova a entrada VPN acima da Rede empresarial para ter uma prioridade superior à ação da Rede empresarial.

Veja Cenário 9: Exceções de rede para obter mais informações sobre como configurar ações de política para utilizar exceções de rede.

Confira também