Comece a usar pop-ups de compartilhamento excessivo

Quando você configurar a política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) apropriada, o DLP marcar mensagens de email antes de serem enviadas para qualquer informação rotulada ou confidencial e aplicará as ações definidas na política DLP.

O pop-up de compartilhamento excessivo é um recurso E5.

Importante

Este é um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Você deve substituir seus próprios tipos de informações confidenciais, rótulos de confidencialidade, grupos de distribuição e usuários.

Importante

Para identificar a versão mínima do Outlook que dá suporte a esse recurso, use a tabela de recursos do Outlook e a linha Impedindo o compartilhamento excessivo como dica de política DLP.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Licenciamento SKU/assinaturas

Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.

Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.

Há suporte para a licença AIP P2

Permissões

A conta que você usa para criar e implantar políticas deve ser membro de um desses grupos de funções

• Administrador de conformidade
• Administrador de dados de conformidade
• Proteção de Informações
• Administrador de Proteção de Informações
• Administrador de segurança

Importante

Certifique-se de entender a diferença entre um administrador irrestrito e um administrador restrito de unidade administrativa lendo unidades administrativas antes de começar.

Funções granulares e grupos de funções

Há funções e grupos de função que você pode usar para ajustar seus controles de acesso.

Aqui está uma lista de funções aplicáveis. Para saber mais, confira Permissões no portal de conformidade do Microsoft Purview.

• Gerenciamento de Conformidade de DLP
• Administrador de Proteção de Informações
• Analista de Proteção de Informações
• Investigador de Proteção de Informações
• Leitor de Proteção de Informações

Aqui está uma lista de grupos de funções aplicáveis. Para saber mais, confira Para saber mais sobre eles, confira Permissões no portal de conformidade do Microsoft Purview.

• Proteção de Informações
• Administradores de Proteção de Informações
• Analistas de Proteção de Informações
• Investigadores de Proteção de Informações
• Leitores de Proteção de Informações

Pré-requisitos e suposições

Em Outlook para Microsoft 365 um pop-up de compartilhamento excessivo exibe um pop-up antes de uma mensagem ser enviada. Selecione Mostrar dica de política como uma caixa de diálogo para o usuário antes de enviar uma dica de política ao criar uma regra DLP para o local do Exchange. Esse cenário usa o rótulo de confidencialidade altamente confidencial , portanto, requer que você tenha criado e publicado rótulos de confidencialidade. Para saber mais, confira:

• Saiba mais sobre rótulos de confidencialidade
• Introdução ao rótulos de confidencialidade
• Criar e configurar rótulos de confidencialidade e suas políticas

Esse procedimento usa um domínio hipotético da empresa em Contoso.com.

Intenção e mapeamento da política

Precisamos bloquear emails para todos os destinatários que tenham o rótulo de confidencialidade "altamente confidencial" aplicado, exceto se o domínio do destinatário estiver contoso.com. Queremos notificar o usuário no envio com um diálogo pop-up e ninguém pode substituir o bloco.

Declaração	Perguntas de configuração respondidas e mapeamento de configuração
"Precisamos bloquear emails para todos os destinatários..."	- Onde monitorar: Escopo administrativo do Exchange- : Ação de diretório - completo: restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365 Impedir que os usuários recebam email ou acessem arquivos > compartilhados > do SharePoint, OneDrive e Teams Bloquear todos
"... que têm o rótulo de confidencialidade 'altamente confidencial' aplicado..."	- O que monitorar: use as condições de modelo - personalizado para uma correspondência: edite-a para adicionar o rótulo de confidencialidade altamente confidencial
"... exceto se..."	Configuração do grupo de condições - Criar um grupo de condições booliano aninhado NOT unido às primeiras condições usando um AND booliano
"... o domínio do destinatário é contoso.com".	Condição para correspondência: o domínio do destinatário é
"... Notificar..."	Notificações de usuário: habilitadas
"... o usuário em enviar com um diálogo pop-up..."	Dicas de política: selecionado - Mostrar dica de política como uma caixa de diálogo para o usuário final antes de enviar: selecionado
"... e ninguém pode substituir o bloco...	Permitir substituições dos Serviços M365: não selecionados

Para configurar pop-ups de compartilhamento excessivo com texto padrão, a regra DLP deve incluir essas condições:

• O conteúdo contém > rótulos > de confidencialidade, escolha seus rótulos de confidencialidade

e uma condição baseada em destinatário

• O destinatário é
• O destinatário é um membro do
• O domínio do destinatário é

Quando essas condições são atendidas, a dica de política exibe destinatários não confiáveis enquanto o usuário está escrevendo o email no Outlook, antes de ser enviado.

Etapas para configurar "aguardar no envio"

Opcionalmente, você pode definir o dlpwaitonsendtimeout Regkey (Valor em dword) em todos os dispositivos que deseja implementar "aguarde no envio" para pop-ups de compartilhamento excessivo. Essa chave do registro define o tempo máximo para manter o email quando o usuário seleciona Enviar. Isso permite que a avaliação de política DLP seja concluída para conteúdo rotulado ou confidencial. Ele está em:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Você pode definir esse RegKey por meio da política de grupo (especifique o tempo de espera para avaliar conteúdo confidencial), script ou outro mecanismo para configurar chaves de registro.

Se você estiver usando Política de Grupo, certifique-se de ter baixado a versão mais recente de Política de Grupo arquivos de Modelo Administrativo para Microsoft 365 Apps para Grandes Empresas e navegue até essa configuração de Modelos Administrativos >> de Configuração >> de Usuário Microsoft Office 2016 >> Configurações de segurança. Se você estiver usando o serviço Cloud Policy para Microsoft 365, pesquise a configuração por nome para configurá-la.

Quando esse valor é definido e a política DLP é configurada, as mensagens de email são verificadas para obter informações confidenciais antes de serem enviadas. Se a mensagem contiver uma correspondência com as condições definidas na política, uma notificação de dica de política será exibida antes que o usuário clique em Enviar..

Este RegKey permite que você especifique o comportamento de "aguardar no envio" em seus clientes do Outlook. Aqui está o que cada uma das configurações significa.

Não configurado ou desabilitado: esse é o padrão. Quando dlpwaitonsendtimeout não está configurado, a mensagem não é verificada antes que o usuário a envie. A mensagem de email será enviada sem pausa quando Enviar for clicada. O serviço de classificação de dados DLP avaliará a mensagem e aplicará as ações definidas na política DLP.

Habilitado: a mensagem de email é verificada quando o Envio é clicado, mas antes que a mensagem seja realmente enviada. Você pode definir um limite de tempo para aguardar a conclusão da avaliação da política DLP (valor T em segundos). Se a avaliação da política não for concluída no tempo especificado, um botão Enviar de qualquer maneira aparecerá permitindo que o usuário ignore o marcar de pré-término. O intervalo de valor T é de 0 a 9999 segundos.

Importante

Se o valor T for maior que 9999, ele será substituído por 10000 e o botão Enviar De Qualquer Maneira não aparecerá. Isso mantém a mensagem até que a avaliação da política seja concluída sem nenhuma opção para substituição do usuário. A duração para concluir a avaliação pode variar dependendo de fatores como velocidade da Internet, comprimento do conteúdo e número de políticas definidas. Alguns usuários podem encontrar mensagens de avaliação de política com mais frequência do que outros, dependendo de quais políticas são implantadas em sua caixa de correio.

Para saber mais sobre como configurar e usar o GPO, consulte Administrar Política de Grupo em um domínio gerenciado Microsoft Entra Domain Services.

Etapas para criar uma política DLP para um pop-up de compartilhamento excessivo

Importante

Para fins desse procedimento de criação de política, você aceitará os valores padrão de inclusão/exclusão e deixará a política desativada. Você vai alterá-los quando implantar a política.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entrar no portal > do Microsoft PurviewPolíticas deprevenção> contra perda de dados

2. Escolha + Criar política.

3. Selecione Personalizado na lista Categorias .

4. Selecione Personalizado na lista Modelos .

5. Dê um nome de para a política.

   Importante

   As políticas não podem ser renomeada.

6. Preencha uma descrição. Você pode usar a instrução de intenção de política aqui.

7. Selecione Avançar.

8. Selecione Diretório completo em Administração unidades.

9. Defina o local de email do Exchange status como Ativado. Defina todas as outras status de localização como Desativadas.

10. Selecione Avançar.

11. Aceite os valores padrão para Incluir = Todos e Excluir = Nenhum.

12. A opção Criar ou personalizar regras de DLP avançadas já deve ser selecionada.

13. Selecione Avançar.

14. Selecione Criar regra. Nomeie a regra e forneça uma descrição.

15. Selecione Adicionar condição>O conteúdo contém>rótulos>adicionar>confidencialidade altamente confidencial. Escolha Adicionar.

16. Selecione Adicionar grupo>E>NÃO>Adicionar condição.

17. Selecione Domínio do destinatário é>contoso.com. Escolha Adicionar.

    Dica

    Você também pode usar Destinatário é ou Destinatário é um membro do em vez de Domínio destinatário é disparar um pop-up de compartilhamento excessivo.

18. Selecione Adicionar uma ação>Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365.

19. Selecione Bloquear usuários de receber email ou acessar arquivos compartilhados do SharePoint, OneDrive e Teams e itens do Power BI.

20. Selecione Bloquear todos.

21. Defina as notificações do usuário como Ativadas.

22. Selecione Dicas> depolítica Mostrar a dica de política como uma caixa de diálogo para o usuário final antes de enviar (disponível apenas para carga de trabalho do Exchange).

23. Se selecionado, desmarque a opção Permitir substituição dos serviços M365 .

24. Escolha *Salvar.

25. Altere o alternância status para Ativado e escolha Avançar.

26. Na página Modo política, selecione Executar a política no modo de teste e marcar a caixa para as dicas mostrar política enquanto estiver na opção modo de simulação.

27. Escolha Avançar e escolha Enviar.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview>Solutions Políticas>> deprevenção> contra perda de dados+ Criar política.

2. Selecione Personalizado na lista Categorias .

3. Selecione Personalizado na lista Modelos .

4. Dê um nome de para a política.

   Importante

   As políticas não podem ser renomeada.

5. Preencha uma descrição. Você pode usar a instrução de intenção de política aqui.

6. Selecione Avançar.

7. Selecione Diretório completo em Administração unidades.

8. Defina o local de email do Exchange status como Ativado. Defina todas as outras status de localização como Desativadas.

9. Selecione Avançar.

10. Aceite os valores padrão para Incluir = Todos e Excluir = Nenhum.

11. A opção Criar ou personalizar regras de DLP avançadas já deve ser selecionada.

12. Selecione Avançar.

13. Selecione Criar regra. Nomeie a regra e forneça uma descrição.

14. Selecione Adicionar condição>O conteúdo contém>rótulos>adicionar>confidencialidade altamente confidencial. Escolha Adicionar.

15. Selecione Adicionar grupo>E>NÃO>Adicionar condição.

16. Selecione Domínio do destinatário é>contoso.com. Escolha Adicionar.

    Dica

    O destinatário é e o Destinatário também pode ser usado na etapa anterior e disparará um pop-up de compartilhamento excessivo.

17. Selecione Adicionar uma ação>Restringir o acesso ou criptografar o conteúdo em locais> do Microsoft 365Restringir o acesso ou criptografar o conteúdo em locais do Microsoft 365Impedir que os usuários recebam email ou acessem arquivos compartilhados do SharePoint, OneDrive e Teams.>>Bloqueie todo mundo.

18. Defina notificações de usuário como Ativado.

19. Selecione Dicas> depolítica Mostrar a dica de política como uma caixa de diálogo para o usuário final antes de enviar.

20. Certifique-se de que Permitir substituição dos serviços M365não está selecionado.

21. Escolha Salvar.

22. Escolha Avançar>Mantenha-o desativado>Próximo>Envio.

Etapas do PowerShell para criar política

Políticas e regras DLP também podem ser configuradas no PowerShell. Para configurar pop-ups de compartilhamento excessivo usando o PowerShell, primeiro você cria uma política DLP (usando o PowerShell) e adiciona regras DLP para cada tipo de pop-up de aviso, justificação ou bloqueio.

Você configurará e escopo sua Política DLP usando New-DlpCompliancePolicy. Em seguida, você configurará cada regra de compartilhamento excessivo usando New-DlpComplianceRule

Para configurar uma nova política DLP para o cenário pop-up de compartilhamento excessivo, use este snippet de código:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Essa política DLP de exemplo é escopo para todos os usuários da sua organização. Escopo de suas políticas DLP usando -ExchangeSenderMemberOf e -ExchangeSenderMemberOfException.

Parâmetro	Configuração
-ContentContainsSensitiveInformation	Configura uma ou mais condições de rótulo de confidencialidade. Este exemplo inclui um. Pelo menos um rótulo é obrigatório.
-ExceptIfRecipientDomainIs	Lista de domínios confiáveis.
-NotifyAllowOverride	"WithJustification" permite botões de rádio de justificativa, "WithoutJustification" os desabilita.
-NotifyOverrideRequirements	"WithAcknowledgement" habilita a nova opção de reconhecimento. Isso é opcional.

Para configurar uma nova regra DLP para gerar um pop-up de aviso usando domínios confiáveis, execute este código do PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Para configurar uma nova regra DLP para gerar um pop-up justificável usando domínios confiáveis, execute este código do PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Para configurar uma nova regra DLP para gerar um pop-up de bloco usando domínios confiáveis, execute este código do PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Use esses procedimentos para acessar a justificativa comercial X-Header.

Confira também

• Introdução aos alertas de prevenção contra perda de dados dashboard
• Criar e implantar políticas de prevenção contra perda de dados