Compartir vía


Introducción a las ventanas emergentes de uso compartido excesivo

Al configurar la directiva de Prevención de pérdida de datos de Microsoft Purview (DLP) adecuada, DLP comprobará los mensajes de correo electrónico antes de que se envíen para obtener información etiquetada o confidencial y aplicará las acciones definidas en la directiva DLP. Esta característica requiere una suscripción a Microsoft 365 E5, junto con una versión de Outlook que la admita. Para identificar la versión mínima de Outlook necesaria, use la tabla de funcionalidades para Outlook y busque en la fila De prevención del uso compartido excesivo como sugerencia de directiva DLP .

Importante

A continuación se muestra un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Debe sustituir sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios al implementar esta característica.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Antes de empezar

Licencias de SKU/suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Permissions

La cuenta que use para crear e implementar directivas debe ser miembro de uno de los siguientes grupos de roles.

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Protección de la información
  • Administrador de Information Protection
  • Administrador de seguridad

Importante

Lea Unidades administrativas antes de empezar para asegurarse de comprender la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa.

Roles y grupos de roles pormenorizadas

Hay varios roles y grupos de roles que puede usar para ajustar los controles de acceso.

Esta es una lista de los roles aplicables. Para obtener más información, consulte Permisos en el portal de cumplimiento Microsoft Purview.

  • Administración de cumplimiento de DLP
  • Administrador de Information Protection
  • Analista de Information Protection
  • Investigador de protección de información
  • Lector de protección de información

Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

  • Protección de la información
  • Administradores de Information Protection
  • Analistas de Information Protection
  • Investigadores de Information Protection
  • Lectores de Information Protection

Requisitos previos y supuestos

En Outlook para Microsoft 365, un elemento emergente de uso compartido excesivo muestra un elemento emergente antes de enviar un mensaje. Para habilitar estos elementos emergentes, primero establezca el ámbito de la directiva en la ubicación de Exchange y, a continuación, seleccione la opción Mostrar sugerencia de directiva como cuadro de diálogo para el usuario antes de enviar en la sugerencia de directiva al crear una regla DLP para esa directiva.

En nuestro escenario de ejemplo se usa la etiqueta de confidencialidad altamente confidencial , por lo que requiere que haya creado y publicado etiquetas de confidencialidad. Para más información, vea:

Este procedimiento usa contoso.com. un dominio hipotético de la empresa.

Asignación y intención de directiva

En este ejemplo, nuestra instrucción de intención de directiva es:

Debemos bloquear los correos electrónicos a todos los destinatarios que tengan aplicada la etiqueta de confidencialidad "extremadamente confidencial", a menos que el dominio del destinatario sea contoso.com. Queremos notificar al usuario con un diálogo emergente cuando envíe el correo electrónico. No se puede permitir que ningún usuario invalide el bloque.

Instrucción Pregunta de configuración respondida y asignación de configuración
"Tenemos que bloquear los correos electrónicos a todos los destinatarios..." - Dónde supervisar: Ámbito administrativo de Exchange-
: acción de directorio
- completo: restringir el acceso o cifrar el contenido en ubicaciones > de Microsoft 365 Impedir que los usuarios reciban correo electrónico o accedan a archivos > compartidos de SharePoint, OneDrive y Teams Bloquear a todos
"... que tienen aplicada la etiqueta de confidencialidad "altamente confidencial"..." - Qué supervisar: use las condiciones de plantilla
- personalizada para una coincidencia: edítela para agregar la etiqueta de confidencialidad altamente confidencial.
"... a menos que..." Configuración del grupo de condiciones : cree un grupo de condición NOT booleano anidado unido a las primeras condiciones mediante un valor booleano AND
"... el dominio de destinatario está contoso.com." Condición para la coincidencia: el dominio del destinatario es
"... Notificar..." Notificaciones de usuario: habilitadas
"... el usuario con un diálogo emergente cuando envía..." Sugerencias de directiva: se seleccionó
- Mostrar sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar: seleccionado
"... No se puede permitir que ningún usuario invalide el bloque... Permitir invalidaciones de M365 Services: no seleccionado

Para configurar elementos emergentes de uso compartido excesivo con texto predeterminado, la regla DLP debe incluir estas condiciones:

  • El contenido contiene>Etiquetas de confidencialidad>elegir las etiquetas de confidencialidad

y una o varias de las siguientes condiciones basadas en destinatarios

  • El destinatario es
  • El destinatario es un miembro de
  • El dominio del destinatario es

Cuando se cumplen estas condiciones, la sugerencia de directiva muestra destinatarios que no son de confianza mientras el usuario escribe el correo en Outlook, antes de enviarlo.

Pasos para configurar "esperar al envío"

Opcionalmente, puede establecer la clave regkey dlpwaitonsendtimeout (Value in dword) en todos los dispositivos donde quiera implementar "wait on send" para elementos emergentes de uso compartido excesivo. Esta clave del Registro (RegKey) define la cantidad máxima de tiempo para contener el correo electrónico cuando un usuario selecciona Enviar. Esto permite al sistema completar la evaluación de la directiva DLP para contenido etiquetado o confidencial. Puede encontrar esta regkey en:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Puede establecer esta regKey a través de la directiva de grupo (especificar el tiempo de espera para evaluar el contenido confidencial), el script u otro mecanismo para configurar las claves del Registro.

Si usa directiva de grupo, asegúrese de haber descargado la versión más reciente de los archivos de plantilla administrativa de directiva de grupo para Aplicaciones Microsoft 365 para empresas y, a continuación, vaya a esta configuración desde Plantillas >> administrativas de configuración >> de usuario de Microsoft. Configuración de seguridad de Office 2016>>. Si usa el servicio de directivas en la nube para Microsoft 365, busque la configuración por nombre para configurarla.

Cuando se establece este valor y se configura la directiva DLP, los mensajes de correo electrónico se comprueban para obtener información confidencial antes de enviarlos. Si un mensaje contiene una coincidencia con las condiciones definidas en la directiva, aparece una notificación de sugerencia de directiva antes de que el usuario haga clic en Enviar.

Esta regkey le permite especificar el comportamiento de espera en el envío de los clientes de Outlook.

Esto es lo que significa cada una de las configuraciones:

No configurado o deshabilitado: este es el valor predeterminado. Cuando dlpwaitonsendtimeout no está configurado, el mensaje no se comprueba antes de que el usuario lo envíe. El mensaje de correo electrónico se enviará inmediatamente una vez que se haga clic en Enviar . El servicio de clasificación de datos DLP evaluará el mensaje y aplicará las acciones definidas en la directiva DLP.

Habilitado: el mensaje de correo electrónico se comprueba cuando se hace clic en Enviar , pero antes de que el mensaje se envíe realmente. Puede establecer un límite de tiempo para esperar a que se complete la evaluación de directiva DLP (valor T , en segundos). Si la evaluación de directivas no se completa en el tiempo especificado, aparece un botón Enviar de todos modos que permite al usuario omitir la comprobación de envío previo. El intervalo de valores T es de 0 a 9999 segundos.

Importante

Si el valor T es mayor que 9999, se reemplaza por 10000 y no aparece el botón Enviar de todos modos . Esto contiene el mensaje hasta que se complete la evaluación de directivas y no proporcione al usuario una opción de invalidación . La duración para completar la evaluación puede variar en función de factores como la velocidad de Internet, la longitud del contenido y el número de directivas definidas. Algunos usuarios pueden encontrar mensajes de evaluación de directivas con más frecuencia que otros, en función de las directivas que se implementan en su buzón de correo.

Para obtener más información sobre cómo configurar y usar GPO, consulte Administración de directiva de grupo en un dominio administrado de Servicios de dominio de Microsoft Entra.

Pasos para crear una directiva DLP para un elemento emergente de uso compartido excesivo

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Iniciar sesión en lasdirectivas de prevención> de pérdida de datos del portal > de Microsoft Purview

  2. Elija + Crear directiva.

  3. Seleccione Personalizado en la lista Categorías .

  4. Seleccione Personalizado en la lista Reglamentos .

  5. Asignar a la directiva un nombre.

    Importante

    No se puede cambiar el nombre de las directivas.

  6. Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.

  7. Seleccione Siguiente.

  8. Seleccione Directorio completo en unidades Administración.

  9. Seleccione solo la ubicación del correo electrónico de Exchange .

  10. Seleccione Siguiente.

  11. En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas.

  12. La opción Crear o personalizar reglas DLP avanzadas ya debe estar seleccionada.

  13. Seleccione Siguiente.

  14. Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.

  15. Seleccione Agregar contenido de condición>que contenga>Agregar>etiquetas de confidencialidad>Extremadamente confidencial. Seleccione Agregar.

  16. Seleccione Agregar grupo>Y>NO>Agregar condición.

  17. Seleccione Dominio de destinatario contoso.com>. Seleccione Agregar.

    Sugerencia

    También puede usar Recipient is o Recipient is a member of instead of Recipient domain is to trigger an oversharing pop-up.

  18. Seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.

  19. Seleccione Bloquear que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams y elementos de Power BI.

  20. Seleccione Bloquear a todos.

  21. Establezca el botón de alternancia Notificaciones de usuarioen Activado.

  22. Seleccione Sugerencias> dedirectiva Mostrar la sugerencia de directiva como un cuadro de diálogo para el usuario final antes de enviar (disponible solo para la carga de trabajo de Exchange).

  23. Si ya está seleccionado, desactive la opción Permitir invalidación desde servicios M365 .

  24. Seleccione Guardar.

  25. Cambie el botón de alternancia Estado a Activado y, a continuación, elija Siguiente.

  26. En la página Modo de directiva, seleccione Ejecutar la directiva en modo de prueba y active la casilla Mostrar sugerencias de directiva mientras está en modo de simulación .

  27. Elija Siguiente y, a continuación, elija Enviar.

  28. Seleccione Listo.

Pasos de PowerShell para crear una directiva

Las directivas y reglas DLP también se pueden configurar en PowerShell. Para configurar el uso compartido excesivo de elementos emergentes mediante PowerShell, primero debe crear una directiva DLP (mediante PowerShell) y agregar reglas DLP para cada tipo emergente de advertencia, justificación o bloqueo.

Configurará y limitará la directiva DLP mediante New-DlpCompliancePolicy. A continuación, configurará cada regla de uso compartido excesivo mediante New-DlpComplianceRule.

Para configurar una nueva directiva DLP para el escenario emergente de uso compartido excesivo, use este fragmento de código:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Esta directiva DLP de ejemplo se limita a todos los usuarios de la organización. Establezca el ámbito de las directivas DLP mediante -ExchangeSenderMemberOf y -ExchangeSenderMemberOfException.

Parámetro Configuración
-ContentContainsSensitiveInformation Configura una o varias condiciones de etiqueta de confidencialidad. Este ejemplo incluye uno. Al menos una etiqueta es obligatoria.
-ExceptIfRecipientDomainIs Lista de dominios de confianza.
-NotifyAllowOverride "WithJustification" habilita los botones de radio de justificación, "WithoutJustification" los deshabilita.
-NotifyOverrideRequirements "WithAcknowledgement" habilita la nueva opción de confirmación. Es opcional.

Para configurar una nueva regla DLP para generar un elemento emergente de advertencia mediante dominios de confianza, ejecute el siguiente código de PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Para configurar una nueva regla DLP para generar una ventana emergente justificada mediante dominios de confianza, ejecute este código de PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Para configurar una nueva regla DLP para generar un elemento emergente de bloque mediante dominios de confianza, ejecute este código de PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Use estos procedimientos para acceder al encabezado X de justificación empresarial.

Recursos adicionales