Usar prevenção contra perda de dados de ponto de extremidade

  • Artigo

Para ajudar você a se familiarizar com os recursos d Endpoint DLP e como eles são emergem nas políticas de DLP, juntamos alguns cenários que você pode seguir.

Importante

Esses cenários do Endpoint DLP não são os procedimentos oficiais para criar e ajustar as políticas DLP. Confira os tópicos a seguir quando você precisar trabalhar com políticas de DLP em situações gerais:

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

Licenciamento SKU/assinaturas

Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.

Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.

Esses cenários exigem que você já tenha dispositivos integrados e relatados no Explorador de atividades. Se ainda não tiver integrado os dispositivos, confira Introdução à prevenção contra perda de dados do Ponto de extremidade.

Importante

Certifique-se de entender a diferença entre um administrador irrestrito e uma unidade administrativa de administração restrita unidades administrativas antes de começar.

Cenário 1: Criar uma política a partir de um modelo, somente auditoria

Esse cenário é para um administrador irrestrito criando e uma política de diretório completa.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview. >Prevenção contra perda de> dadosPolíticas.

  2. Escolha + Criar política.

  3. Para esse cenário, em Categorias, escolha Privacidade.

  4. Em Regulamentos , escolha Informações pessoais identificáveis dos EUA (PII) Dados aprimorados e, em seguida, escolha Avançar.

  5. Dê a sua nova política um nome e uma descrição e escolha Avançar.

  6. Aceite o diretório completo padrão em Administração unidades. Selecione Avançar.

  7. Selecione o local dispositivos e desmarque todos os outros locais e escolha Avançar.

  8. Na página Definir configurações de política , escolha Avançar.

  9. Na página Informações para proteger, escolha Avançar.

  10. Na página Ações de proteção , escolha Avançar novamente.

  11. Na página Personalizar as configurações de acesso e substituição , escolha Auditar ou restringir atividades em Dispositivos e escolha Avançar.

  12. Na página Modo política , aceite o padrão Executar a política no modo de simulação e selecione Mostrar dicas de política enquanto estiver no modo de simulação.

  13. Escolha Avançar.

  14. Choose Submit.

  15. Depois que a nova política for criada, escolha Concluído.

Agora é hora de testar sua política:

  1. Na página inicial prevenção contra perda de dados , abra o Gerenciador de Atividades.

  2. Tente compartilhar um item de teste do dispositivo DLP do ponto de extremidade que contém conteúdo que disparará a condição de dados PII (Informações Pessoais Identificáveis) dos EUA . Isso deve desencadear a política.

  3. De volta ao Gerenciador de Atividades, marcar a lista de atividades para este evento.

Cenário 2: Modificar a política existente, definir um alerta

Esse cenário é para um administrador irrestrito modificando uma política de escopo de diretório completo.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewPolíticas deprevenção> contra perda de dados.

  2. Escolha a política PII (Informações pessoais identificáveis) de dados avançados que você criou no Cenário 1.

  3. Escolha Editar política.

  4. Acesse a página Personalizar regras de DLP avançadas e edite os cenários de baixo volume de conteúdo detectados nos EUA PII Data Enhanced.

  5. Role para baixo até a seção Relatórios de incidentes e alterne Enviar um alerta para os administradores quando ocorrer uma correspondência de regra para Ativar. Email alertas são enviados automaticamente ao administrador e a qualquer outra pessoa que você adicionar à lista de destinatários.

    Esta captura de tela mostra a opção de ativar relatórios de incidentes.

  6. Para fins deste cenário, escolha Enviar alerta sempre que uma atividade corresponder à regra.

  7. Escolha Salvar.

  8. Mantenha todas as configurações anteriores escolhendo Avançar no restante do assistente e envie as alterações de política.

  9. Tente compartilhar um item de teste que contém conteúdo que disparará a condição de dados PII (Informações Pessoais Identificáveis) dos EUA. Isso deve desencadear a política.

  10. Verifique o gerenciador de atividades do evento.

Cenário 3: Modificar a política existente, bloquear a ação com permitir substituição

Esse cenário é para um administrador irrestrito modificando uma política de diretório completa.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewPolíticas deprevenção> contra perda de dados.

  2. Escolha a política de dados PII (Informações Pessoais Identificáveis) dos EUA que você criou no Cenário 1.

  3. Escolha Editar política.

  4. Acesse a página Personalizar regras de DLP avançadas e edite os cenários de baixo volume de conteúdo detectados nos EUA PII Data Enhanced.

  5. Role para baixo até a seção Auditoria de Ações>ou restrinja atividades no dispositivo Windows e defina as duas opções no domínio do serviço e nas atividades do navegador para Bloquear com substituição.

    A captura de tela mostra o bloco definido com opções de ação de substituição.

  6. Escolha Salvar.

  7. Repita as etapas 4-6 para os cenários de alto volume de conteúdo detectados dados pii dos EUA aprimorados.

  8. Mantenha todas as configurações anteriores escolhendo Avançar por meio do restante do assistente e envie as alterações de política.

  9. Tente compartilhar um item de teste que contenha conteúdo que disparará a condição de dados PII (Informações Pessoais Identificáveis) dos EUA com alguém fora da sua organização. Isso deve desencadear a política.

    Você vê um pop-up como este no dispositivo cliente:

    Esta captura de tela mostra a notificação de substituição bloqueada do cliente DLP do ponto de extremidade.

  10. Verifique o gerenciador de atividades do evento.

Cenário 4: evitar notificações DLP em loop de aplicativos de sincronização de nuvem com autoquarantine

Esse cenário é para um administrador irrestrito criando uma política de diretório completa.

Antes de começar o Cenário 4

Nesse cenário, a sincronização de arquivos com o rótulo de confidencialidade Altamente confidencial para o OneDrive é bloqueada. Esse é um cenário complexo com vários componentes e procedimentos. Você precisa:

Existem três procedimentos.

  1. Configure as configurações de Autoquarantine do Ponto de Extremidade DLP.
  2. Criar uma política que bloqueia itens confidenciais que têm o rótulo de confidencialidade Altamente confidencial.
  3. Crie um documento Word no dispositivo Windows 10/11 ao qual a política é direcionada, aplique o rótulo e copie-o para as contas de usuário da pasta local do OneDrive que está sendo sincronizada.

Configurar configurações de aplicativo DLP não permitidos do Ponto de Extremidade e Autoquarantina

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewConfigurações deprevenção> contra perda de dados (engrenagem no canto superior esquerdo) >Configurações de ponto de extremidadede prevenção> contra perda de dados.

  2. Expanda aplicativos restritos e grupos de aplicativos.

  3. Em Grupos de aplicativos restritos, escolha Adicionar grupo de aplicativos restritos. Insira aplicativos de Sincronização de Nuvem como o nome do grupo.

  4. Selecione a caixa de quarentena automática .

  5. Para o nome do aplicativo, insira OneDrive. Para o nome executável, insiraonedrive.exee escolha o + botão. Isso não permite que onedrive.exe acesse itens com o rótulo Altamente Confidencial .

  6. Escolha Salvar.

  7. Em Configurações de quarentena automática escolha Editar configurações de quarentena automática.

  8. Habilite Quarentena automática para aplicativos não permitidos.

  9. Insira o caminho para a pasta em computadores locais para os quais você deseja que os arquivos confidenciais originais sejam movidos. Por exemplo:

%homedrive%%homepath%\Microsoft DLP\Quarantine para o nome de usuário Isaiah Langer colocará os itens movidos em uma pasta chamada:

C:\Users\Is gatewayr\Microsoft DLP\Quarantine\OneDrive

  1. Anexe um carimbo de data e hora ao nome do arquivo original.

    Observação

    A quarentena automática DLP criará subpastas para os arquivos de cada aplicativo não permitido. Portanto, se você tiver Bloco de notas e OneDrive na lista de aplicativos não permitidos, uma subpasta será criada para \OneDrive e outra subpasta para \Bloco de notas.

  2. Escolha Substituir os arquivos por um arquivo .txt que contém o seguinte texto e insira o texto desejado no arquivo de espaço reservado. Por exemplo, para um arquivo chamado 1.docxde quar automático , você pode inserir:

    %%FileName%% contém informações confidenciais que sua organização está protegendo com a política de prevenção contra perda de dados (DLP) %%PolicyName%%. Ele foi movido para a pasta de quarentena: %%QuarantinePath%%

    deixará um arquivo de texto que contém esta mensagem:

    o quar automático 1.docx contém informações confidenciais que sua organização está protegendo com a política de DLP (prevenção contra perda de dados). Ela foi movida para a pasta de quarentena: C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1.docx.

  3. Escolha Salvar.

Configurar uma política para bloquear a sincronização do OneDrive de arquivos com o rótulo de confidencialidade "Altamente Confidencial"

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewPolíticas deprevenção> contra perda de dados.

  2. Selecione Criar política.

  3. Para esse cenário, escolha Personalizado e, em seguida, Política personalizada. Escolha Avançar.

  4. Preencha os campos Nome e Descrição, escolha Próximo.

  5. Selecione Diretório completo em Administração unidades.

  6. Alterne o campo Status para desativado em todos os locais, exceto os Dispositivos. Se você tiver uma conta de usuário final específica da qual deseja testá-la, certifique-se de selecioná-la no escopo. Escolha Avançar.

  7. Aceite o padrão Criar ou personalizar regras DLP avançadas seleção e escolha Avançar.

  8. Crie uma regra com esses valores:

    1. Nome>Cenário 4 Autoquarantine.
    2. Em Condições , escolha Adicionar condição e, em seguida, Conteúdo Contém.
    3. Insira um nome de grupo, por exemplo, Rótulos de Confidencialidade Altamente Confidenciais e escolha Adicionar.
    4. Selecione Rótulos de confidencialidade e , em seguida, Altamente Confidencial e escolha Adicionar.
    5. Em Ações , escolha Adicionar uma ação.
    6. Selecione Auditar ou restringir atividades em dispositivos Atividades>de arquivo para aplicativos em grupos de aplicativos restritos.
    7. Escolha Adicionar grupo de aplicativos restritos e escolha o grupo de Aplicativos de Sincronização na Nuvem que você criou anteriormente.
    8. Escolha Aplicar uma restrição a todos os blocos de atividades>. Para fins desse cenário, limpe todas as outras atividades.
    9. Em Notificações de usuário, alterne as notificações do usuário para DispositivosOn e em Ponto de Extremidade escolha Mostrar aos usuários uma notificação de dica de política quando uma atividade ainda não está habilitada.

  9. Escolha Salvar e Avançar.

  10. Escolha Ative-a imediatamente. Escolha Próximo.

  11. Examine as configurações e escolha Enviar.

    Observação

    Aguarde pelo menos uma hora para que a nova política seja replicada e aplicada ao computador Windows 10 de destino.

  12. A nova política DLP aparece na lista de políticas.

Testar o Autoquarantine no dispositivo Windows 10/11

  1. Entre no computador Windows 10/11 com a conta de usuário especificada em Configurar uma política para bloquear a sincronização do OneDrive de arquivos com o rótulo de confidencialidade Altamente Confidencial, etapa 5.

  2. Crie uma pasta cujo conteúdo não será sincronizado com o OneDrive. Por exemplo:

    Pasta de origem C:\auto-quarantine

  3. Abra o Microsoft Word e crie um arquivo na pasta de origem autoquarantine. Aplique o rótulo de confidencialidade Altamente confidencial. Consulte Aplicar rótulos de confidencialidade aos seus arquivos e emails no Office.

  4. Copie o arquivo que você criou para sua pasta de sincronização do OneDrive. Um brinde de notificação do usuário deve aparecer informando que a ação não é permitida e que o arquivo será colocado em quarentena. Por exemplo, para o nome de usuário Isaiah Langer, e um documento intitulado doc autoquarantine 1.docx você veria esta mensagem:

    Esta captura de tela mostra a mensagem de notificação do usuário de prevenção contra perda de dados de que a ação de sincronização do OneDrive não é permitida para o arquivo especificado e que o arquivo será colocado em quarentena.

    A mensagem lê:

    Não é permitido abrir o documento de quarentena automática 1.docx com este aplicativo. O arquivo será colocado em quarentena para C:\Users\IsaiahLanger\Microsoft DLP\OneDrive

  5. Escolha Ignorar.

  6. Abra o arquivo de texto de espaço reservado. Ele é chamado de doc de quarentena automática 1.docx_date_time.txt.

  7. Abra a pasta de quarentena e confirme se o arquivo original está lá.

  8. Verificar o Explorador de atividade para obter pontos de extremidade monitorados. Defina o filtro de localização para dispositivos e adicione a política e, em seguida, filtre pelo nome da política para ver o efeito dessa política. Para obter informações sobre como usar o gerenciador de atividades, consulte Introdução ao gerenciador de atividades.

  9. Verifique o Explorador de atividades para obter o evento.

Cenário 5: Restringir o compartilhamento não intencional a aplicativos e serviços de nuvem não permitidos

Esse cenário é para um administrador irrestrito criando uma política de diretório completa.

Com o DLP do Ponto de Extremidade e um navegador da Web com suporte, você pode restringir o compartilhamento não intencional de itens confidenciais a aplicativos e serviços de nuvem não permitidos. O Microsoft Edge entende quando um item é restrito por uma política de DLP do Ponto de Extremidade e impõe restrições de acesso.

Observação

Há suporte para os seguintes navegadores da Web:

  • Microsoft Edge
  • Chrome (com a extensão do Microsoft Purview para Chrome instalada)
  • Firefox (com a extensão do Microsoft Purview para Firefox instalada)

Quando você seleciona Dispositivos como um local em uma política DLP configurada corretamente e usa um navegador da Web com suporte, os navegadores não permitidos que você definiu nessas configurações serão impedidos de acessar os itens confidenciais que correspondem aos controles de política DLP. Em vez disso, os usuários são redirecionados para usar o Microsoft Edge, que, com seu entendimento das restrições impostas pelo DLP, pode bloquear ou restringir as atividades quando as condições na política DLP são atendidas.

Para usar essa restrição, você precisa configurar três peças importantes:

  1. Especifique os locais (serviços, domínios e endereços IP) que deseja impedir que os itens confidenciais sejam compartilhados.

  2. Adicione os navegadores que não têm permissão para acessar determinados itens confidenciais quando ocorre uma correspondência de política DLP.

  3. Configure as políticas DLP para definir os tipos de itens confidenciais para os quais o carregamento deve ser restrito a esses lugares, ativando Carregar nos serviços de nuvem e Acesso a partir do navegador não permitido.

Você pode continuar a adicionar novos serviços, aplicativos e políticas para estender e aprimorar suas restrições para atender às suas necessidades de negócios e proteger dados confidenciais.

Essa configuração ajuda a garantir que seus dados permaneçam seguros, evitando restrições desnecessárias que impedem ou restringem o acesso dos usuários e o compartilhamento de itens sem sentido.

Você também pode auditar, bloquear com substituição ou bloquear esses itens confidenciais de carregamento de usuário para aplicativos e serviços de nuvem por meio de domínios de serviço confidenciais.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewConfigurações deprevenção> contra perda de dados (ícone de engrenagem no canto superior esquerdo) > O Ponto de Extremidade de Prevenção> contra Perda de DadosDLP configura restriçõesde navegador e domínio a grupos>>de domínio de serviço confidenciais.

  2. Selecione Criar grupo de domínio de serviço confidencial.

  3. Nomeie o grupo.

  4. Insira o domínio de serviço confidencial para o grupo. Você pode adicionar vários sites a um grupo e usar caracteres curingas para abranger subdomínios. Por exemplo, www.contoso.com apenas para o site de nível superior ou: *.contoso.com para corp.contoso.com, hr.contoso.com, fin.contoso.com.

  5. Selecione o Tipo de correspondência desejado. Você pode selecionar entre URL, endereço IP, intervalo de endereços IP.

  6. Selecione Salvar.

  7. No painel de navegação esquerdo, selecionePolíticas deprevenção> contra perda de dados.

  8. Crie e escopo de uma política que é aplicada apenas ao local dispositivos . Para obter mais informações sobre como criar uma política, consulte Criar e Implantar políticas de prevenção contra perda de dados. Certifique-se de escopo das unidades Administração para diretório completo.

  9. Na página Definir configurações de política , selecione Criar ou personalizar regras DLP avançadas e escolha Avançar.

  10. Crie uma regra da seguinte maneira:

    1. Em Condições, selecione + Adicionar condição e selecione Conteúdo contém no menu suspenso.
    2. Dê um nome ao grupo.
    3. Escolha Adicionar e selecione Tipos de informações confidenciais.
    4. Selecione um tipo de informações confidenciais no painel de sobrevoo e escolha Adicionar.
    5. Adicione a ação Audit ou restrinja atividades em dispositivos.
    6. Em Atividades de domínio de serviço e navegador, escolha Carregar em um domínio de serviço de nuvem restrito ou acesso de um navegador não permitido e defina a ação apenas como Auditoria.
    7. Selecione + Escolha restrições diferentes para domínios de serviço confidenciais e escolha Adicionar grupo.
    8. No flyout Escolher grupos de domínio de serviço confidenciais , selecione os grupos de domínio de serviço confidenciais desejados, escolha Adicionar e escolha Salvar.
    9. Em Atividades de arquivo para todos os aplicativos, selecione as atividades do usuário que você deseja monitorar ou restringir e as ações para que o DLP tome em resposta a essas atividades.
    10. Conclua a criação da regra e escolha Salvar e , em seguida, Avançar.
    11. Na página de confirmação, escolha Concluído.
    12. Na página Modo política , escolha Ativar imediatamente. Escolha Avançar e, em seguida, Enviar.

Cenário 6: Monitorar ou restringir as atividades do usuário em domínios de serviço confidenciais

Esse cenário é para um administrador irrestrito criando uma política de diretório completa.

Use esse cenário quando quiser auditar ou bloquear as atividades do usuário a seguir em um site.

  • imprimir de um site
  • copiar dados de um site
  • salvar um site como arquivo local

Observação

Há suporte para os seguintes navegadores da Web:

  • Microsoft Edge
  • Chrome (com a extensão do Microsoft Purview para Chrome instalada)
  • Firefox (com a extensão do Microsoft Purview para Firefox instalada)

Configurar Domínios de serviços confidenciais

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewConfigurações deprevenção> contra perda de dados (ícone de engrenagem no canto superior esquerdo) >Configurações> do Ponto de Extremidade de Prevenção> contra Perda de DadosNavegador e restrições de domínio para domínios confidenciaisdo Serviço de dados>.

  2. Defina domínios de serviço como Bloquear.

  3. Para controlar se arquivos confidenciais podem ser carregados em domínios específicos, selecione Adicionar domínio de serviço de nuvem.

  4. Insira o domínio que você deseja auditar ou bloquear e escolha o + botão. Repita para quaisquer domínios adicionais. Escolha Salvar.

  5. Em Grupos de domínio de serviço confidenciais, escolha Criar grupo de domínio de serviço confidencial.

  6. Dê um nome ao grupo, selecione o tipo de correspondência desejado (você pode selecionar na URL, endereço IP, intervalo de endereços IP) e insira a URL, o endereço IP ou o intervalo de endereços IP a ser auditado ou bloqueado. Ao corresponder uma URL, você pode adicionar vários sites a um grupo e usar curingas para cobrir subdomínios. Por exemplo, www.contoso.com para apenas o site de nível superior ou *.contoso.com para corp.contoso.com, hr.contoso.com, fin.contoso.com.

  7. Selecione Salvar.

  8. No painel de navegação esquerdo, selecionePolíticas deprevenção> contra perda de dados.

  9. Crie e escopo de uma política que é aplicada apenas ao local dispositivos . Confira Criar e Implantar políticas de prevenção contra perda de dados para obter mais informações sobre como criar uma política. Certifique-se de escopo das unidades Administração para diretório completo.

  10. Crie uma regra que use a condição de que o usuário tenha acessado um site confidencial do Edge e a ação Audite ou restrinja atividades quando os usuários acessam sites confidenciais no navegador Microsoft Edge em dispositivos Windows.

  11. Na ação, em Restrições confidenciais do site, selecione Adicionar ou remover grupos de sites confidenciais.

  12. Crie e/ou selecione os grupos de sites confidenciais desejados . Qualquer site nos grupos selecionados aqui será redirecionado para o Microsoft Edge quando aberto no Chrome ou no Firefox (desde que a extensão do Microsoft Purview seja instalada).

  13. Selecione Adicionar.

  14. Selecione as atividades do usuário que você deseja monitorar ou restringir e as ações que deseja que o Microsoft Purview tome em resposta a essas atividades.

  15. Termine de configurar a regra e a política e escolha Enviar e, em seguida , Concluído.

Cenário 7: restringir a colação de conteúdo confidencial em um navegador

Esse cenário é para restringir os usuários de colar conteúdo confidencial em um formulário ou campo do navegador em navegadores, incluindo Microsoft Edge, Google Chrome (com a extensão do Microsoft Purview) e Mozilla Firefox (com a extensão do Microsoft Purview).

Importante

Se você tiver configurado a coleção de evidências para atividades de arquivo em dispositivos e sua Versão do Cliente Antimalware no dispositivo for superior a 4.18.23110, quando você implementar esse cenário, Restringir a cola de conteúdo confidencial em um navegador, você verá caracteres aleatórios ao tentar exibir o arquivo de origem nos detalhes do Alerta. Para ver o texto real do arquivo de origem, você deve baixar o arquivo.

Criar sua política DLP

Você pode configurar diferentes níveis de aplicação quando se trata de bloquear que os dados sejam colados em um navegador. Para fazer isso, crie diferentes grupos de URL. Por exemplo, você pode criar uma política que adverte os usuários contra a postagem de SSN (Números de Segurança Social) dos EUA em qualquer site e que dispara uma ação de auditoria para sites no Grupo A. Você pode criar outra política que bloqueia completamente a ação de colagem - sem dar um aviso - para todos os sites do Grupo B.

Criar um grupo de URL

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewConfigurações deprevenção> contra perda de dados (ícone de engrenagem no canto superior esquerdo) >Configurações do Ponto de Extremidadede Prevenção> contra Perda de Dados e role para baixo até Restrições de navegador e domínio para dados confidenciais. Expanda a seção.

  2. Role para baixo até Grupos de domínio de serviço confidenciais.

  3. Escolha Criar grupo de domínio de serviço confidencial.

    1. Insira um nome de grupo.
    2. No campo Domínio de serviço confidencial , insira a URL do primeiro site que você deseja monitorar e escolha Adicionar site.
    3. Continue adicionando URLs para o restante dos sites que você deseja monitorar neste grupo.
    4. Quando terminar de adicionar todas as URLs ao seu grupo, escolha Salvar.

  4. Crie quantos grupos separados de URLs você precisar.

Restringir a colação de conteúdo em um navegador

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewPolíticas deprevenção> contra perda de dados.

  2. Crie uma política DLP com escopo para Dispositivos. Para obter informações sobre como criar uma política DLP, consulte Criar e Implantar políticas de prevenção contra perda de dados.

  3. Na página Definir configurações de política no fluxo de criação de política DLP, selecione Criar ou personalizar regras DLP avançadas e escolha Avançar.

  4. Na página Personalizar regras DLP avançadas , escolha Criar regra.

  5. Insira um nome e uma descrição para a regra.

  6. Expanda Condições, escolha Adicionar condição e selecione os tipos de informações confidenciais.

  7. Em Conteúdo Contém, role para baixo e selecione o novo tipo de informações confidenciais que você escolheu ou criou anteriormente.

  8. Role para baixo até a seção Ações e escolha Adicionar uma ação.

  9. Escolha Auditar ou restringir atividades em dispositivos

  10. Na seção Ações , em Atividades de domínio de serviço e navegador, selecione Colar para navegadores com suporte.

  11. Defina a restrição como Audit, Bloquear com substituição ou Bloquear e, em seguida, escolha Adicionar.

  12. Escolha Salvar.

  13. Selecione Avançar

  14. Escolha se deseja testar sua política, ativá-la imediatamente ou mantê-la desativada e escolha Avançar.

  15. Choose Submit.

Importante

Pode haver um breve atraso de tempo entre quando o usuário tenta colar texto em uma página da Web e quando o sistema termina de classificá-lo e responde. Se essa latência de classificação acontecer, você poderá ver notificações de avaliação de política e marcar completas no Edge ou na avaliação de política no Chrome e no Firefox. Aqui estão algumas dicas para minimizar o número de notificações:

  1. As notificações são disparadas quando a política do site de destino é configurada como Bloquear ou Bloquear com colar de substituição no navegador desse usuário. Você pode configurar a configuração da ação geral como Auditoria e, em seguida, listar os sites de destino usando as exceções como Bloquear. Como alternativa, você pode definir a ação geral como Bloquear e, em seguida, listar sites seguros usando as exceções como Auditoria.
  2. Use a versão mais recente do cliente antimalware.
  3. Use a versão mais recente do navegador do Edge, especialmente o Edge 120.
  4. Instalar esses KBs do Windows

Cenário 8: Grupos de autorização

Esse cenário é para um administrador irrestrito criando uma política de diretório completa.

Esses cenários exigem que você já tenha dispositivos integrados e relatados no Explorador de atividades. Se ainda não tiver integrado os dispositivos, confira Introdução à prevenção contra perda de dados do Ponto de extremidade.

Os grupos de autorização são usados principalmente como listas de permissões. Você atribuiu ações de política ao grupo que são diferentes das ações de política global. Nesse cenário, passamos pela definição de um grupo de impressoras e configuramos uma política com ações de bloco para todas as atividades de impressão, exceto para as impressoras do grupo. Esses procedimentos são essencialmente os mesmos para grupos de dispositivos de armazenamento removíveis e grupos de compartilhamento de rede.

Nesse cenário, definimos um grupo de impressoras que o departamento jurídico usa para imprimir contratos. A impressão de contratos com outras impressoras está bloqueada.

Criar e usar grupos de impressoras

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal > do Microsoft PurviewConfigurações deprevenção> contra perda de dados (engrenagem no canto superior esquerdo) >Configurações de ponto de extremidadede prevenção> contra perda dedados Grupos> de impressora.

  2. Selecione Criar grupo de impressoras e insira um nome de Grupo. Nesse cenário, usamos Legal printers.

  3. Selecione Adicionar impressora e forneça um nome. Você pode definir impressoras por:

    1. Nome da impressora amigável
    2. ID do produto USB
    3. ID do fornecedor USB
    4. Intervalo de IP
    5. Imprimir no arquivo
    6. Impressão universal implantada em uma impressora
    7. Impressora corporativa
    8. Imprimir em local

  4. Selecione Fechar.

Configurar ações de impressão de política

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview.

  2. Navegue atéPolíticas deprevenção> contra perda de dados.

  3. Selecione Criar política e selecione o Personalizado nas Categorias e, em seguida, modelo de política personalizado de Regulamentos.

  4. Dê a sua nova política um nome e uma descrição.

  5. Aceite o diretório completo padrão em Administração unidades.

  6. Escopo do local apenas para o local dispositivos .

  7. Crie uma regra com os seguintes valores:

    1. Adicionar uma condição: o conteúdo contém = classificadores treináveis, Assuntos Jurídicos
    2. Ações = Auditar ou restringir atividades em dispositivos
    3. Em seguida, escolha Atividades de arquivo em todos os aplicativos
    4. A seleção Aplicar restrições a atividades específicas
    5. Selecionar Bloco de Impressão =

  8. Selecione Escolher restrições de impressão diferentes

  9. Em Restrições de grupo de impressoras, selecione Adicionar grupo e selecione Impressoras legais.

  10. Definir a ação = Permitir.

    Dica

    A ação Permitir registrará e auditará o evento no log de auditoria, mas não gerará um alerta ou uma notificação.

  11. Selecione Salvar e , em seguida, Avançar.

  12. Aceite o padrão Executar a política no valor do modo de simulação e escolha Mostrar dicas de política enquanto estiver no modo simulaiton. Escolha Próximo.

  13. Examine as configurações e escolha Enviar.

  14. A nova política DLP aparece na lista de políticas.

Cenário 9: exceções de rede

Esse cenário é para um administrador irrestrito criando uma política de diretório completa.

Esses cenários exigem que você já tenha dispositivos integrados e relatórios no Gerenciador de Atividades. Se ainda não tiver integrado os dispositivos, confira Introdução à prevenção contra perda de dados do Ponto de extremidade.

Nesse cenário, definimos uma lista de VPNs que os trabalhadores híbridos usam para acessar recursos da organização.

Criar e usar uma exceção de rede

As exceções de rede permitem configurar Permitir, Auditar somente, Bloquear com substituição e Bloquear ações para as atividades de arquivo com base na rede da qual os usuários estão acessando o arquivo. Você pode selecionar na lista de configurações de VPN que definiu e usar a opção Rede corporativa . As ações podem ser aplicadas individual ou coletivamente a essas atividades de usuário:

  • Copiar para a área de transferência
  • Copiar para um dispositivo removível USB
  • Copiar para um compartilhamento de rede
  • Imprimir
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar ou mover usando RDP

Obter o endereço do servidor ou o endereço de rede

  1. Em um dispositivo Windows monitorado por DLP, abra uma janela Windows PowerShell como administrador.

  2. Execute este cmdlet:

    Get-VpnConnection

  3. A execução desse cmdlet retorna vários campos e valores.

  4. Localize o campo ServerAddress e registre esse valor. Você usa isso quando cria uma entrada VPN na lista de VPN.

  5. Localize o campo Nome e registre esse valor. O campo Nome é mapeado para o campo Endereço de rede quando você cria uma entrada VPN na lista de VPN.

Determinar se o dispositivo está conectado por meio de uma rede corporativa

  1. Em um dispositivo Windows monitorado por DLP, abra uma janela Windows PowerShell como administrador.

  2. Execute este cmdlet:

    Get-NetConnectionProfile

  3. Se o campo NetworkCategory for DomainAuthenticated, o dispositivo será conectado a uma rede corporativa. Se for outra coisa, a conexão do dispositivo não é por meio de uma rede corporativa.

Adicionar uma VPN

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview.

  2. Abra configurações configurações>de> ponto de extremidadede prevenção contra> perda de dadosconfigurações vpn.

  3. Selecione Adicionar ou editar endereços VPN.

  4. Forneça o endereço do servidor ou o endereço de rede da execução do Get-VpnConnection.

  5. Selecione Salvar.

  6. Feche o item.

Configurar ações de política

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview.

  2. Abrapolíticas deprevenção> contra perda de dados.

  3. Selecione Criar política e selecione o Personalizado nas Categorias e, em seguida, modelo de política personalizado de Regulamentos.

  4. Nomeie sua nova política e forneça uma descrição.

  5. Selecione Diretório completo em Administração unidades.

  6. Escopo do local somente para dispositivos .

  7. Crie uma regra em que:

    1. O conteúdo contém = Classificadores treináveis, Assuntos Jurídicos
    2. Ações = Auditar ou restringir atividades em dispositivos
    3. Em seguida, escolha Atividades de arquivo em todos os aplicativos
    4. A seleção Aplicar restrições a atividades específicas
    5. Selecione as ações para as quais você deseja configurar exceções de rede .

  8. Selecione Copiar para área de transferência e a ação Somente Auditoria

  9. Selecione Escolher cópia diferente para restrições de área de transferência.

  10. Selecione VPN e defina a ação como Bloquear com substituição.

    Importante

    Quando você deseja controlar as atividades de um usuário quando ele está conectado por meio de uma VPN , você deve selecionar a VPN e tornar a VPN a prioridade máxima na configuração de exceções de rede. Caso contrário, se a opção rede corporativa for selecionada, essa ação definida para a entrada da rede corporativa será imposta.

    Cuidado

    A opção Aplicar a todas as atividades copiará as exceções de rede definidas aqui e as aplicará a todas as outras atividades específicas configuradas, como Imprimir e Copiar para um compartilhamento de rede. Isso substituirá as exceções de rede nas outras atividades que a última configuração salva vence.

  11. Salve.

  12. Aceite o padrão Executar a política no valor do modo de simulação e escolha Mostrar dicas de política enquanto estiver no modo de simulação. Escolha Avançar.

  13. Examine suas configurações e escolha Enviar e, em seguida , Concluído.

  14. A nova política DLP aparece na lista de políticas.

Confira também