Prevención de pérdida de datos Referencia de condiciones y acciones de intercambio
Las condiciones de las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) identifican los elementos confidenciales a los que se aplica la directiva. Las acciones definen lo que sucede como consecuencia de una condición de excepción que se cumple.
- Las condiciones definen lo que se debe incluir
- Las acciones definen lo que sucede como consecuencia del cumplimiento de la condición
La mayoría de las condiciones tienen una propiedad que admite uno o varios valores. Por ejemplo, si la directiva DLP se aplica a los correos electrónicos de Exchange, la condición El remitente es requiere el remitente del mensaje. Algunas condiciones tienen dos propiedades. Por ejemplo, la condición Un encabezado de mensaje incluye cualquiera de estas palabras requiere una propiedad que especifique el campo de encabezado del mensaje y una segunda propiedad que especifique el texto que hay que buscar en el campo de encabezado. Algunas condiciones o excepciones no tienen ninguna propiedad. Por ejemplo, la condición Attachment is password protected simplemente busca datos adjuntos en los mensajes protegidos con contraseña.
Las acciones suelen necesitar propiedades adicionales. Por ejemplo, cuando la regla de directiva DLP redirige un mensaje, debe especificar a dónde se redirige el mensaje.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Condiciones de Exchange para directivas DLP
En las tablas de las secciones siguientes se describen las condiciones y excepciones que están disponibles en DLP.
- Remitentes
- Destinatarios
- Asunto o cuerpo del mensaje
- Adjuntos
- Encabezados de mensaje
- Propiedades de mensajes
Remitentes
Si usa la dirección del remitente como condición, el campo real donde se busca el valor varía en función de la ubicación de la dirección del remitente configurada. De forma predeterminada, las reglas DLP usan la dirección de encabezado como dirección del remitente.
En el nivel de inquilino, puede configurar una ubicación de dirección del remitente para que se use en todas las reglas, a menos que se invalide por una sola regla. Para establecer la configuración de directiva DLP de inquilino para evaluar la dirección del remitente desde envelope en todas las reglas, puede ejecutar el siguiente comando:
Set-PolicyConfig -SenderAddressLocation Envelope
Para configurar la ubicación de la dirección del remitente en un nivel de regla DLP, el parámetro es SenderAddressLocation. Los valores disponibles son los siguientes:
Encabezado: examine solo los remitentes en los encabezados del mensaje (por ejemplo, los campos From, Sender o Reply-To ). Este es el valor predeterminado.
Sobre: examine solo los remitentes del sobre del mensaje (el valor MAIL FROM que se usó en la transmisión SMTP, que normalmente se almacena en el campo Return-Path ).
Encabezado o sobre (
HeaderOrEnvelope) Examine los remitentes en el encabezado del mensaje y el sobre del mensaje.
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| El remitente es | Condición: Desde Excepción: ExceptIfFrom |
Addresses | Mensajes enviados por los buzones de correo, usuarios de correo, contactos de correo o grupos de Microsoft 365 especificados en la organización. |
| El remitente es un miembro de | Condición: FromMemberOf Excepción: ExceptIfFromMemberOf |
Addresses | Mensajes enviados por un miembro del grupo de distribución especificado, un grupo de seguridad habilitado para correo o un grupo de Microsoft 365. |
| La dirección IP del remitente es | Condición: SenderIPRanges Excepción: ExceptIfSenderIPRanges |
IPAddressRanges | Mensajes en los que la dirección IP del remitente coincide con la dirección IP especificada o se encuentra en el intervalo de direcciones IP especificado. |
| La dirección del remitente contiene palabras | Condición: FromAddressContainsWords Excepción: ExceptIfFromAddressContainsWords |
Words | Mensajes que contienen las palabras especificadas en la dirección de correo electrónico del remitente. |
| La dirección del remitente coincide con patrones | Condición: FromAddressMatchesPatterns Excepción: ExceptIfFromAddressMatchesPatterns |
Patrones | Mensajes en los que la dirección de correo electrónico contiene patrones de texto que coinciden con las expresiones regulares especificadas. |
| El dominio del remitente es | Condición: SenderDomainIs Excepción: ExceptIfSenderDomainIs |
DomainName | Mensajes en los que el dominio de la dirección de correo electrónico del remitente coincide con el valor especificado. Si necesita buscar dominios de remitente que contengan el dominio especificado (por ejemplo, cualquier subdominio de un dominio), use la condición The sender address matches (FromAddressMatchesPatterns) y especifique el dominio mediante la sintaxis : '\.domain\.com$'. |
| Ámbito del remitente | Condición: FromScope Excepción: ExceptIfFromScope |
UserScopeFrom | Mensajes enviados por remitentes internos o externos. |
| Las propiedades especificadas del remitente incluyen cualquiera de estas palabras | Condición: SenderADAttributeContainsWords Excepción: ExceptIfSenderADAttributeContainsWords |
Primera propiedad: ADAttribute Segunda propiedad: Words |
Los mensajes en los que el atributo Microsoft Entra ID especificado del remitente contiene cualquiera de las palabras especificadas. |
| Las propiedades especificadas del remitente coinciden con estos patrones de texto | Condición: SenderADAttributeMatchesPatterns Excepción: ExceptIfSenderADAttributeMatchesPatterns |
Primera propiedad: ADAttribute Segunda propiedad: Patterns |
Los mensajes en los que el atributo de Microsoft Entra ID especificado del remitente contiene patrones de texto que coinciden con las expresiones regulares especificadas. |
Recipientes
Cuando se envía un correo electrónico a varios destinatarios y las reglas de directiva DLP permiten que solo se entreguen algunos de esos correos electrónicos, el correo electrónico podría bifurcarse. Por ejemplo, supongamos que las reglas de directiva DLP permiten enviar correos electrónicos a las direcciones de correo electrónico de su organización y impide que los correos electrónicos se envíen a direcciones de correo electrónico externas.
Hay varias condiciones de directiva que provocan bifurcación; que permite enviar un correo electrónico a algunos usuarios, pero no a otros. Para obtener más información sobre la bifurcación y los detalles sobre cómo funciona la bifurcación, consulte el artículo sobre bifurcación.
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción | ¿Bifurcar? |
|---|---|---|---|---|
| El destinatario es | Condición: SentTo Excepción: ExceptIfSentTo |
Addresses | Mensajes en los que uno de los destinatarios es el buzón de correo, el usuario de correo o el contacto de correo especificados en la organización. Los destinatarios pueden estar en los campos To, Cc o Bcc del mensaje. | Yes |
| El dominio del destinatario es | Condición: RecipientDomainIs Excepción: ExceptIfRecipientDomainIs |
DomainName | Mensajes en los que el dominio de la dirección de correo electrónico del destinatario coincide con el valor especificado. | Yes |
| La dirección del destinatario contiene palabras | Condición: AnyOfRecipientAddressContainsWords Excepción: ExceptIfAnyOfRecipientAddressContainsWords |
Words | Mensajes que contienen las palabras especificadas en la dirección de correo electrónico del destinatario. Nota: Esta condición no considera los mensajes que se envían a direcciones de proxy del destinatario. Solo coincide con los mensajes que se envían a la dirección de correo electrónico principal del destinatario. |
No |
| La dirección del destinatario coincide con patrones | Condición: AnyOfRecipientAddressMatchesPatterns Excepción: ExceptIfAnyOfRecipientAddressMatchesPatterns |
Patrones | Mensajes en los que la dirección de correo electrónico de un destinatario contiene patrones de texto que coinciden con las expresiones regulares especificadas. Nota: Esta condición no considera los mensajes que se envían a direcciones de proxy del destinatario. Solo coincide con los mensajes que se envían a la dirección de correo electrónico principal del destinatario. |
No |
| Enviado al miembro de | Condición: SentToMemberOf Excepción: ExceptIfSentToMemberOf |
Addresses | Mensajes que contienen destinatarios que son miembros del grupo de distribución especificado, un grupo de seguridad habilitado para correo o un grupo de Microsoft 365. El grupo puede incluirse en los campos To, Cc o Bcc del mensaje. | Yes |
| Las propiedades especificadas del destinatario incluyen cualquiera de estas palabras | Condición: RecipientADAttributeContainsWords Excepción: ExceptIfRecipientADAttributeContainsWords |
Primera propiedad: ADAttribute Segunda propiedad: Words |
Los mensajes en los que el atributo Microsoft Entra ID especificado de un destinatario contiene cualquiera de las palabras especificadas. Tenga en cuenta que el atributo Country requiere el valor de código de país de dos letras (por ejemplo, DE para Alemania). |
Yes |
| Las propiedades especificadas del destinatario coinciden con estos patrones de texto | Condición: RecipientADAttributeMatchesPatterns ExceptIfRecipientADAttributeMatchesPatterns |
Primera propiedad: ADAttribute Segunda propiedad: Patterns |
Los mensajes en los que el atributo Entra ID especificado de un destinatario contiene patrones de texto que coinciden con las expresiones regulares especificadas. | Yes |
| El ámbito o el contenido del destinatario se comparte con | Condición: AccessScope Excepción: ExceptIfAccessScope |
UserScopeFrom | Mensajes recibidos por destinatarios internos o externos. | Yes |
Asunto o cuerpo del mensaje
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| El asunto contiene palabras o frases | Condición: SubjectContainsWords Excepción: ExceptIf SubjectContainsWords |
Words | Mensajes que contengan las palabras especificadas en el campo Subject. Esta condición tiene compatibilidad limitada con caracteres multibyte que no sean de inglés. |
| El asunto coincide con patrones | Condición: SubjectMatchesPatterns Excepción: ExceptIf SubjectMatchesPatterns |
Patrones | Mensajes dónde el campo Subject contiene patrones de texto que coinciden con las expresiones regulares especificadas. |
| El contenido contiene | Condición: ContentContainsSensitiveInformation Excepción: ExceptIfContentContainsSensitiveInformation |
SensitiveInformationTypes | Mensajes o documentos que contienen información confidencial según lo definido por las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP). |
| El contenido no está etiquetado | Condición: ContentIsNotLabeled Exception:ExceptIfContentIsNotLabeled |
Etiquetas de confidencialidad | Mensajes en los que ni el correo electrónico ni los documentos adjuntos contienen etiquetas de confidencialidad definidas por Prevención de pérdida de datos de Microsoft Purview directivas (DLP). |
| El asunto o el cuerpo coinciden con el patrón | Condición: SubjectOrBodyMatchesPatterns Excepción: ExceptIfSubjectOrBodyMatchesPatterns |
Patrones | Los mensajes en los que el campo de asunto o el cuerpo del mensaje contienen patrones de texto que coinciden con las expresiones regulares especificadas. |
| Subject o Body contiene palabras | Condición: SubjectOrBodyContainsWords Excepción: ExceptIfSubjectOrBodyContainsWords |
Words | Mensajes que tienen las palabras especificadas en el campo de asunto o el cuerpo del mensaje. Esta condición tiene compatibilidad limitada con caracteres multibyte que no sean de inglés. |
Datos adjuntos
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| Los datos adjuntos están protegidos con contraseña | Condición: DocumentIsPasswordProtected Excepción: ExceptIfDocumentIsPasswordProtected |
Ninguno | Mensajes en los que un archivo adjunto está protegido por contraseña (y, por lo tanto, no se puede examinar). La detección de contraseñas funciona para documentos de Office, archivos comprimidos (.zip, .7z) y archivos .pdf. |
| La extensión del archivo adjunto es | Condición: ContentExtensionMatchesWords Excepción: ExceptIfContentExtensionMatchesWords |
Words | Mensajes en los que la extensión de archivo de los datos adjuntos coincide con cualquiera de las palabras especificadas. |
| No se pudo digitalizar algún contenido de los datos adjuntos del correo | Condición: DocumentIsUnsupported Excepción: ExceptIf DocumentIsUnsupported |
N/D | Mensajes en los que los datos adjuntos no se reconocen de forma nativa por Exchange Online. |
| No se pudo completar el análisis de algún contenido de los datos adjuntos del correo | Condición: ProcessingLimitExceeded Excepción: ExceptIfProcessingLimitExceeded |
N/D | Mensajes en los que el motor de reglas no pudo completar el examen de los datos adjuntos. Puede usar esta condición para crear reglas que trabajen conjuntamente para identificar y procesar mensajes en los que el contenido no pudo examinarse por completo. |
| El nombre del documento contiene palabras | Condición: DocumentNameMatchesWords Excepción: ExceptIfDocumentNameMatchesWords |
Words | Mensajes en los que el nombre de archivo de un archivo adjunto coincide con cualquiera de las palabras especificadas delimitadas entre el inicio del nombre, cualquier carácter no alfanumérico o el final del nombre. |
| El nombre del documento coincide con los patrones | Condición: DocumentNameMatchesPatterns Excepción: ExceptIfDocumentNameMatchesPatterns |
Patrones | Mensajes en los que el nombre de archivo de los datos adjuntos contiene patrones de texto que coinciden con las expresiones regulares especificadas. Esto se ha descontinuado para cargas de trabajo de SharePoint y OneDrive. Las reglas existentes no se pueden modificar y no se pueden crear nuevas reglas. Los clientes existentes pueden seguir usando esta condición. |
| La propiedad del documento es | Condición: ContentPropertyContainsWords Excepción: ExceptIfContentPropertyContainsWords |
Words | Mensajes con documentos en los que la propiedad personalizada de un archivo adjunto coincide con el valor especificado. |
| El tamaño del documento es igual o mayor que | Condición: DocumentSizeOver Excepción: ExceptIfDocumentSizeOver |
Size | Mensajes en los que algún documento adjunto es mayor o igual que el valor especificado. |
| El contenido de cualquier archivo adjunto incluye alguna de estas palabras | Condición: DocumentContainsWords Excepción: ExceptIfDocumentContainsWords |
Words | Mensajes en los que un archivo adjunto contiene las palabras especificadas. |
| Cualquier contenido adjunto coincide con estos patrones de texto | Condición: DocumentMatchesPatterns Excepción: ExceptIfDocumentMatchesPatterns |
Patrones | Mensajes en los que un archivo adjunto contiene patrones de texto que coinciden con las expresiones regulares especificadas. |
Encabezados de mensaje
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| El encabezado contiene palabras o frases | Condición: HeaderContainsWords Excepción: ExceptIfHeaderContainsWords |
Tabla hash | Los mensajes que contienen el campo de encabezado especificado y el valor de ese campo de encabezado contiene las palabras especificadas. |
| El encabezado coincide con patrones | Condición: HeaderMatchesPatterns Excepción: ExceptIfHeaderMatchesPatterns |
Tabla hash | Los mensajes que contienen el campo de encabezado especificado y el valor de ese campo de encabezado contiene las expresiones regulares especificadas. |
Propiedades de los mensajes
| Condición o excepción en DLP | Parámetros de condición o excepción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| Con importancia | Condición: WithImportance Excepción: ExceptIfWithImportance |
Importance | Mensajes marcados con el nivel de importancia especificado. |
| El juego de caracteres de contenido contiene palabras | Condición: ContentCharacterSetContainsWords Excepción: ExceptIfContentCharacterSetContainsWords |
Conjuntos de caracteres | Mensajes que contienen alguno de los nombres de juego de caracteres especificados. |
| Tiene invalidación del remitente | Condición: HasSenderOverride Excepción: ExceptIfHasSenderOverride |
N/D | Mensajes en los que el remitente ha elegido invalidar una directiva de prevención de pérdida de datos (DLP). Para obtener más información, consulte Más información sobre la prevención de pérdida de datos. |
| Coincidencias de tipo de mensaje | Condición: MessageTypeMatches Excepción: ExceptIfMessageTypeMatches |
MessageType | Mensajes del tipo especificado. Nota: Los tipos de mensaje disponibles son Respuesta automática, Reenvío automático, Cifrado (S/MIME), Calendario, Control de permisos (administración de derechos), Correo de voz, Firmado, Recibo de lectura y Solicitud de aprobación. |
| El tamaño del mensaje es mayor o igual que | Condición: MessageSizeOver Excepción: ExceptIfMessageSizeOver |
Size | Mensajes en los que el tamaño total (mensaje más archivos adjuntos) es mayor o igual al valor especificado. Nota: Los límites de tamaño de los mensajes en los buzones se evalúan antes de las reglas de flujo de correo. Un mensaje que es demasiado grande para un buzón se rechazará antes de que una regla con esta condición sea capaz de actuar en el mensaje. |
Acciones para directivas DLP
En esta tabla se describen las acciones que están disponibles en DLP.
| Acción en DLP | Parámetros de acción en PowerShell de cumplimiento de & de seguridad | Tipo de propiedad | Descripción |
|---|---|---|---|
| Restricción del acceso o cifrado de contenido en ubicaciones de Microsoft 365 | BlockAccess | Primera propiedad: Boolean Segunda propiedad: BlockAccessScope |
Esto le permite bloquear el acceso o cifrar el contenido a los usuarios especificados mediante plantillas de RMS. |
| Establecer encabezado | SetHeader | Primera propiedad: Nombre del encabezado Segunda propiedad: Valor de encabezado |
El SetHeader parámetro especifica una acción para la regla DLP que agrega o modifica un campo de encabezado y un valor en el encabezado del mensaje. Este parámetro usa la sintaxis "HeaderName:HeaderValue". Puede especificar varios pares de nombre de encabezado y valor separados por comas |
| Quitar encabezado | RemoveHeader | Primera propiedad: MessageHeaderField Segunda propiedad: String |
El RemoveHeader parámetro especifica una acción para la regla DLP que quita un campo de encabezado del encabezado del mensaje. Este parámetro usa la sintaxis HeaderName o "HeaderName:HeaderValue. Puede especificar varios nombres de encabezado o pares de nombre de encabezado y valor separados por comas |
| Redirigir el mensaje a usuarios específicos | RedirectMessageTo | Addresses | Redirige el mensaje a los destinatarios especificados. El mensaje no se entrega a los destinatarios originales y no se envía ninguna notificación al remitente ni a los destinatarios originales. |
| Reenviar el mensaje para su aprobación al administrador del remitente | Moderado | Primera propiedad: ModerateMessageByManager Segunda propiedad: Boolean $true |
El parámetro Moderate especifica una acción para la regla DLP que envía el mensaje de correo electrónico a un moderador (el administrador del usuario o los aprobadores especificados). Para reenviar el mensaje al administrador del usuario para su aprobación, use esta sintaxis: @{ModerateMessageByManager = $true} |
| Reenviar el mensaje para su aprobación a aprobadores específicos | Moderado | Primera propiedad: ModerateMessageByManager Segunda propiedad: Boolean $false Tercera propiedad: ModerateMessageByUser Cuarta propiedad: Addresses |
El parámetro Moderate especifica una acción para la regla DLP que envía el mensaje de correo electrónico a un moderador (el administrador del usuario o los aprobadores especificados). Para reenviar el mensaje a destinatarios especificados para su aprobación, use esta sintaxis: @{ModerateMessageByManager = $false; ModerateMessageByUser = @("emailaddress1","emailaddress2",..."emailaddressN")} |
| Agregar destinatario | AddRecipients | Primera propiedad: Field Segunda propiedad: Addresses |
Agrega uno o varios destinatarios al campo To/Cc/Bcc del mensaje. Este parámetro usa la sintaxis : @{<AddToRecipients \<CopyTo \| BlindCopyTo\> = "emailaddress"} |
| Agregar el administrador del remitente como destinatario | AddRecipients | Primera propiedad: AddedManagerAction Segunda propiedad: Field |
Agrega el administrador del remitente al mensaje como el tipo de destinatario especificado (To, Cc o Bcc) o redirige el mensaje al administrador del remitente sin notificar al remitente ni al destinatario. Esta acción solo funciona si el atributo del Manager remitente se define en el Microsoft Entra ID. Este parámetro usa la sintaxis : @{AddManagerAsRecipientType = "\<To \| Cc \| Bcc\>"} |
| Anteponer asunto | PrependSubject | Cadena | Agrega el texto especificado al principio del campo Subject del mensaje. Considere la posibilidad de usar un espacio o un signo de dos puntos (:) como último carácter del texto especificado para diferenciarlo del texto del asunto original. Para evitar que se agregue la misma cadena a los mensajes que ya contienen el texto del asunto (por ejemplo, respuestas), agregue la excepción The subject contains words ( ExceptIfSubjectContainsWords) a la regla. |
| Aplicación de declinación de responsabilidades de HTML | ApplyHtmlDisclaimer | Primera propiedad: Text Segunda propiedad: Location Tercera propiedad: Acción de reserva |
Aplica la declinación de responsabilidades HTML especificada a la ubicación necesaria del mensaje. Este parámetro usa la sintaxis : @{Text = " " ; Location = \<Append \| Prepend\>; FallbackAction = \<Wrap \| Ignore \| Reject\>} |
| Eliminación del cifrado de mensajes y la protección de derechos | RemoveRMSTemplate | N/D | Quita el cifrado de mensajes aplicado en un correo electrónico |
| Aplicación de personalización de marca a mensajes cifrados | ApplyBrandingTemplate | String | El ApplyBrandingTemplate parámetro especifica una acción para la regla DLP que aplica una plantilla de personalización de marca personalizada para los mensajes cifrados por Cifrado de mensajes de Microsoft Purview. Identifique la plantilla de personalización de marca personalizada por nombre. Si el nombre incluye espacios, escríbalo entre comillas ("). |
| Hacer que los destinatarios externos abran el correo en el portal de mensajes cifrados | EnforcePortalAccess | Boolean | El EnforcePortalAccess parámetro controla si los usuarios externos deben usar el portal de mensajes cifrados para ver los mensajes cifrados. |
| Entrega del mensaje a la cuarentena hospedada | Cuarentena | No aplicable | Entrega el mensaje a la cuarentena en Exchange Online Protection (EOP). Para obtener más información, vea Mensajes de correo electrónico en cuarentena en EOP. |
| Modificar asunto | ModifySubject | PswsHashTable | Quite el texto de la línea de asunto que coincida con un patrón específico y reemplácelo por otro texto. Consulte el ejemplo siguiente. Puede: - Reemplazar todas las coincidencias del asunto por el texto de reemplazo - Anexar para quitar todas las coincidencias en el asunto e inserta el texto de reemplazo al final del asunto. - Anteponga para quitar todas las coincidencias e inserte el texto de reemplazo al principio del asunto. Para obtener más información, vea la descripción del parámetro ModifySubject en el artículo de referencia New-DlpComplianceRule . |