Configurar as definições de prevenção de perda de dados do ponto de extremidade
Muitos aspetos do comportamento de prevenção de perda de dados (DLP) do Ponto Final são controlados por definições configuradas centralmente que são aplicadas a todas as políticas DLP para dispositivos. Utilize estas definições para controlar os seguintes comportamentos:
- Restrições de saída de nuvem
- Vários tipos de ações restritivas em atividades de utilizador por aplicação
- Exclusões de caminhos de ficheiros para dispositivos Windows e macOS
- Restrições de navegador e domínio
- Aspeto das justificações comerciais para substituir políticas em sugestões de políticas
- Se as ações executadas nos ficheiros Office, PDF e CSV são automaticamente auditadas
Para aceder a estas definições, a partir do portal de conformidade do Microsoft Purview, navegue para Prevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições> deponto final.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Importante
Para obter informações sobre os requisitos da Adobe para utilizar funcionalidades Prevenção Contra Perda de Dados do Microsoft Purview (DLP) com ficheiros PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Support in Acrobat (Suporte do Adobe: Proteção de Informações do Microsoft Purview no Acrobat).
Configurações do Windows 10/11 e do macOS para DLP do ponto de extremidade
O DLP de Ponto Final também lhe permite integrar dispositivos com as seguintes versões do Windows Server:
Windows Server 2019 (14 de novembro de 2023 — KB5032196 (Compilação 17763.5122 do SO) - Suporte da Microsoft)
Windows Server 2022 (Atualização de segurança de 14 de novembro de 2023 (KB5032198) - Suporte da Microsoft)
Observação
Instalar os KBs do Windows Server suportados desativa a funcionalidade Classificação no servidor. Isto significa que o DLP de Ponto Final não classificará ficheiros no servidor. No entanto, o DLP de Ponto Final continuará a proteger os ficheiros no servidor que foram classificados antes da instalação desses KBs no servidor. Para garantir esta proteção, instale Microsoft Defender versão 4.18.23100 (outubro de 2023) ou posterior.
Por predefinição, o DLP de Ponto Final não está ativado para servidores Windows quando são inicialmente integrados. Antes de poder ver eventos DLP de Ponto Final para os seus servidores no Activity Explorer, primeiro tem de Ativar o DLP de Ponto Final para Windows Servers.
Depois de configuradas corretamente, as mesmas políticas de proteção contra perda de dados podem ser aplicadas automaticamente a PCs Windows e servidores Windows.
Setting | Subdefinição | Windows 10, 1809 e posterior, Windows 11, Windows Server 2019, Windows Server 2022 (21H2) para Pontos Finais (X64) | macOS (três versões lançadas mais recentes) | Notas |
---|---|---|---|---|
Verificação e proteção de classificação avançada | Limites de largura de banda alocados | Com suporte | Com suporte | A classificação avançada permite estas funcionalidades para macOS: – Correspondência de dados exatas de impressões digitais - dedocumentos com base em tipos - de informações confidenciaisClassificadores treináveis - Saiba mais sobre entidades nomeadas |
Exclusões de caminhos de ficheiros para Windows | n/d | Com suporte | n/d | |
Exclusões de caminhos de ficheiros para Mac | n/d | n/d | Com suporte | macOS inclui uma lista recomendada de exclusões que está ativada por padrão |
Configurar a recolha de provas para atividades de ficheiros em dispositivos | Definir cache de provas no dispositivo | Com suporte | Sem suporte | |
Cobertura e exclusões da partilha de rede | n/d | Com suporte | Não suportado | |
Aplicativos restritos e grupos de aplicativos | Grupos de aplicativos restritos | Com suporte | Com suporte | |
Aplicativos restritos e grupos de aplicativos | Aplicativos restritos | Com suporte | Com suporte | |
Aplicativos restritos e grupos de aplicativos | Definições de quarentena automática | Com suporte | Com suporte | |
Aplicativos Bluetooth não permitidos | n/d | Com suporte | Com suporte | |
Restrições do navegador e do domínio para dados confidenciais | Navegadores não permitidos | Com suporte | Com suporte | |
Restrições do navegador e do domínio para dados confidenciais | Domínios de serviço | Com suporte | Com suporte | |
Restrições do navegador e do domínio para dados confidenciais | Grupos de domínios de serviço confidenciais | Com suporte | Com suporte | |
Configurações adicionais para DLP do ponto de extremidade | Justificativa de negócios em dicas de política | Com suporte | Com suporte | |
Sempre auditar a atividade dos arquivos para os dispositivos | n/d | Com suporte | Com suporte | |
Grupos de impressoras | n/d | Com suporte | Com suporte | |
Grupos de dispositivos USB amovíveis | n/d | Com suporte | Com suporte | |
Grupos de partilha de rede | n/d | Com suporte | Com suporte | |
Configurações da VPN | n/d | Com suporte | Sem suporte |
Outras configurações
Setting | Windows 10/11, Windows 10, 1809 e posterior, Windows 11 | Windows Server 2019, Windows Server 2022 (21H2 em diante) para Pontos Finais (X64) | macOS (três versões lançadas mais recentes) |
---|---|---|---|
Arquivar ficheiro | Com suporte | Com suporte | Com suporte |
Tipo de ficheiro e Extensão de ficheiro | Com suporte | Com suporte | Com suporte |
Ativar o DLP de Ponto Final para Windows Servers | Sem suporte | Com suporte | Sem suporte |
Ativar o DLP de Ponto Final para Windows Servers
O DLP de Ponto Final suporta as seguintes versões do Windows Server:
Windows Server 2019 (14 de novembro de 2023 — KB5032196 (Compilação 17763.5122 do SO) - Suporte da Microsoft)
Windows Server 2022 (Atualização de segurança de 14 de novembro de 2023 (KB5032198) - Suporte da Microsoft)
Depois de integrar um Windows Server , tem de ativar o suporte DLP de Ponto Final antes de ser aplicado o endpoint protection.
Para trabalhar com a gestão de alertas DLP dashboard:
- No portal do Microsoft Purview, navegue para DescriçãoGeral da Prevenção> de perda de dados.
- Selecione Definições no canto superior direito.
- Na página Definições , selecione Definições de ponto final e expanda Suporte DLP de Ponto final para servidores integrados.
- Defina o botão de alternar para Ativado.
Verificação e proteção de classificação avançada
A análise e proteção avançadas de classificação permitem que o serviço de classificação de dados baseado na cloud do Microsoft Purview analise itens, os classifique e devolva os resultados ao computador local. Por conseguinte, pode tirar partido de técnicas de classificação, como a classificação exata de correspondência de dados , classificadores treináveis, classificadores de credenciais e entidades nomeadas nas suas políticas DLP.
Observação
A ação Colar no browser não suporta a classificação avançada.
Quando a classificação avançada está ativada, o conteúdo é enviado do dispositivo local para os serviços de nuvem para verificação e classificação. Se a utilização da largura de banda for uma preocupação, pode definir um limite para a quantidade de largura de banda que pode ser utilizada num período sem interrupção de 24 horas. O limite é configurado nas definições de Ponto final e é aplicado por dispositivo. Se definir um limite de utilização de largura de banda e esse limite de utilização for excedido, o DLP deixa de enviar o conteúdo do utilizador para a cloud. Nessa altura, a classificação de dados continua localmente no dispositivo, mas a classificação com correspondência de dados exata, entidades nomeadas, classificadores treináveis e classificadores de credenciais não está disponível. Quando a utilização da largura de banda cumulativa for inferior ao limite de 24 horas sem interrupção, a comunicação com os serviços cloud é retomada.
Se a utilização da largura de banda não for uma preocupação, selecione Sem limite para permitir a utilização ilimitada de largura de banda.
Limites avançados de tamanho de análise de ficheiros de classificação
Mesmo sem limite ativado para classificação avançada, ainda existem limites no tamanho de ficheiros individuais que podem ser analisados.
- Existe um limite de 64 MB nos ficheiros de texto.
- Existe um limite de 50 MB nos ficheiros de imagem quando o Reconhecimento Ótico de Carateres (OCR) está ativado.
A classificação avançada não funcionará para ficheiros de texto com mais de 64 MB, mesmo que o limite de largura de banda esteja definido como Sem limite.
As seguintes versões do Windows (e posteriores) suportam a análise e proteção avançadas de classificação.
- todas as versões Windows 11
- Windows 10 versões 20H1/21H1 ou superior (KB 5006738)
- Windows 10 RS5 (KB 5006744)
Observação
O suporte para classificação avançada está disponível para tipos de arquivo do Office (Word, Excel, PowerPoint) e PDF.
A avaliação da política de DLP sempre ocorre na nuvem, mesmo que o conteúdo do usuário não seja enviado.
Dica
Para utilizar a classificação avançada para dispositivos Windows 10, tem de instalar KB5016688. Para utilizar a classificação avançada para dispositivos Windows 11, KB5016691 têm de ser instaladas nesses dispositivos Windows 11. Além disso, tem de ativar a classificação avançada antes de o Explorador de atividades apresentar texto contextual para eventos com correspondência de regras DLP. Para saber mais sobre texto contextual, veja Resumo contextual.
Exclusões de caminho de arquivo
Se quiser excluir determinados caminhos da monitorização DLP, dos alertas DLP e da imposição da política DLP nos seus dispositivos, pode desativar essas definições de configuração ao configurar exclusões de caminhos de ficheiros. Os ficheiros em localizações excluídas não são auditados e quaisquer ficheiros criados ou modificados nessas localizações não estão sujeitos à imposição da política DLP. Para configurar exclusões de caminho nas definições de DLP, navegue para portal de conformidade do Microsoft Purview>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings Exclusões> decaminho de ficheiro para Windows.
Exclusões de caminhos de ficheiros para Windows
Pode utilizar a seguinte lógica para construir os caminhos de exclusão para dispositivos Windows 10/11:
O caminho de ficheiro válido que termina com
\
, significa que apenas os ficheiros diretamente na pasta especificada são excluídos.
Exemplo:C:\Temp\
O caminho de ficheiro válido que termina com
\*
, significa que apenas os ficheiros dentro das subpastas da pasta especificada são excluídos. Os ficheiros diretamente na própria pasta especificada não são excluídos.
Exemplo:C:\Temp\*
O caminho de ficheiro válido que termina sem
\
ou\*
, significa que todos os ficheiros diretamente na pasta especificada e todas as respetivas subpastas são excluídos.
Exemplo:C:\Temp
Um caminho com o curinga entre
\
de cada lado.
Exemplo:C:\Users\*\Desktop\
Um caminho com caráter universal entre
\
cada lado e com(number)
para especificar o número exato de subpastas a serem excluídas.
Exemplo:C:\Users\*(1)\Downloads\
Um caminho com variáveis de ambiente do sistema.
Exemplo:%SystemDrive%\Test\*
Uma mistura de todos os padrões descritos aqui.
Exemplo:%SystemDrive%\Users\*\Documents\*(2)\Sub\
Caminhos de ficheiro do Windows excluídos por predefinição
%SystemDrive%\\Users\\*(1)\\AppData\\Roaming
%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
%%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache
Exclusões de caminhos de ficheiros para Mac
Também pode adicionar as suas próprias exclusões para dispositivos macOS.
As definições do caminho do ficheiro não são sensíveis a maiúsculas e minúsculas, pelo
User
que são as mesmas queuser
Há suporte para valores curinga. Assim, uma definição de caminho pode conter um asterisco (
*
) no meio do caminho ou no final do caminho.
Exemplo:/Users/*/Library/Application Support/Microsoft/Teams/*
Caminhos de ficheiro macOS excluídos por predefinição
/System
Exclusões de caminhos de ficheiro recomendadas para macOS
Por motivos de desempenho, a DLP do ponto de extremidade inclui uma lista de exclusões recomendadas de caminho de arquivo para dispositivos macOS. Se o botão de alternar Incluir exclusões de caminhos de ficheiro recomendados para Mac estiver definido como Ativado, os seguintes caminhos também serão excluídos:
/Applications
/usr
/Library
/private
/opt
/Users/*/Library/Logs
/Users/*/Library/Containers
/Users/*/Library/Application Support
/Users/*/Library/Group Containers
/Users/*/Library/Caches
/Users/*/Library/Developer
Recomendamos que deixe este botão de alternar definido como Ativado. No entanto, pode parar de excluir estes caminhos ao definir o botão de alternar para Desativado.
Configurar a recolha de provas para atividades de ficheiros em dispositivos
Quando identifica itens que correspondem a políticas em dispositivos, o DLP pode copiá-los para uma conta de armazenamento do Azure. Esta funcionalidade é útil para auditar a atividade da política e resolver problemas de correspondências específicas. Utilize esta secção para adicionar o nome e o URL da conta de armazenamento.
Observação
Antes de ativar esta funcionalidade, tem de criar uma conta de armazenamento do Azure e um contentor nessa conta de armazenamento. Também tem de configurar permissões para a conta. À medida que configura a sua conta de armazenamento do Azure, tenha em atenção que provavelmente irá querer utilizar uma conta de armazenamento que esteja na mesma região/limite geopolítico do Azure que o seu inquilino. Também deve considerar configurar as camadas de acesso da conta de armazenamento do Azure e os preços da conta de armazenamento do Azure.
- Para obter mais informações sobre esta funcionalidade, consulte Saiba mais sobre a recolha de ficheiros que correspondem a políticas de prevenção de perda de dados a partir de dispositivos.
- Para obter mais informações sobre como configurar esta funcionalidade, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados a partir de dispositivos.
Cobertura e exclusões da partilha de rede
A cobertura e exclusões de partilhas de rede expandem as políticas e ações DLP de ponto final a ficheiros novos e editados em partilhas de rede e unidades de rede mapeadas. Se a proteção just-in-time também estiver ativada, a cobertura e as exclusões da proteção just-in-time são expandidas para partilhas de rede e unidades mapeadas. Se quiser excluir um caminho de rede específico para todos os dispositivos monitorizados, adicione o valor de caminho em Excluir estes caminhos de partilha de rede.
Importante
Para utilizar a cobertura e exclusões da Partilha de rede, os dispositivos têm de ter as seguintes atualizações aplicadas:
- Windows 10 - 21 de março de 2023 — KB5023773 (Compilações 19042.2788, 19044.2788 e 19045.2788) Pré-visualização, 28 de março de 2023 — pré-visualização KB5023774 (Compilação 22000.1761 do SO)
- Windows 11 - 28 de março de 2023 — Pré-visualização do KB5023778 (Compilação 22621.1485 do SO)
- Microsoft Defender abril-2023 (Plataforma: 4.18.2304.8 | Motor: 1.1.20300.3)
Esta tabela mostra as predefinições para cobertura e exclusões de partilhas de rede.
Cobertura e exclusões da partilha de rede | Proteção just-in-time | Comportamento resultante |
---|---|---|
Habilitado | Desabilitado | - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos |
Desabilitado | Habilitado | - A proteção just-in-time é aplicada apenas aos ficheiros em dispositivos de armazenamento que são locais para o ponto final. |
Habilitado | Habilitado | - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado.
Ações suportadas: Dispositivos - A proteção just-in-time é aplicada a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. |
A cobertura e as exclusões da partilha de rede complementam as ações do repositório no local do DLP. Esta tabela mostra as definições de exclusão e o comportamento resultante consoante o DLP esteja ativado ou desativado para repositórios no local.
Cobertura e exclusões da partilha de rede | Repositórios no local DLP | Comportamento resultante |
---|---|---|
Habilitado | Desabilitado | - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos |
Desabilitado | Habilitado | - As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP |
Habilitado | Habilitado | - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado.
Ações suportadas: Dispositivos - As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP |
Aplicativos restritos e grupos de aplicativos
Aplicativos restritos
A lista Aplicações restritas (anteriormente denominadas aplicações não permitidas) é uma lista personalizada de aplicações que cria. Pode configurar as ações que o DLP executa quando alguém utiliza uma aplicação na lista para aceder a um ficheiro protegido por DLP num dispositivo. A lista Aplicações restritas está disponível para dispositivos Windows 10/11 e macOS com qualquer uma das três versões mais recentes do macOS.
Importante
Não inclua o caminho para o executável. Inclua apenas o nome executável (como browser.exe).
A ação (
audit
,block with override
oublock
) definida para aplicações que estão na lista de aplicações restritas só se aplica quando um utilizador tenta aceder a um item protegido.
Quando o Acesso por aplicações restritas é selecionado numa política e um utilizador utiliza uma aplicação que está na lista de aplicações restritas para aceder a um ficheiro protegido, a atividade é audited
, blocked
ou blocked with override
, consoante a forma como configurou a lista aplicações restritas . EXCEÇÃO: se uma aplicação na lista Aplicações restritas também for membro de um grupo de aplicações Restritas, as ações configuradas para atividades no grupo de aplicações Restritas substituem as ações configuradas para a lista Aplicações restritas . Toda a atividade é auditada e está disponível para revisão no explorador de atividades.
Grupos de aplicações restritos (pré-visualização)
Grupos de aplicativos restritos são coleções de aplicativos que você cria nas configurações de DLP e adiciona a uma regra em uma política. Quando adiciona um grupo de aplicações restrito a uma política, pode efetuar as ações definidas na tabela seguinte.
Opção de grupo de aplicativos restrito | O que ele permite que você faça |
---|---|
Não restringir a atividade do arquivo | Indica ao DLP para permitir que os utilizadores acedam a itens protegidos por DLP através de aplicações no grupo de aplicações sem efetuar qualquer ação quando o utilizador tentar Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede ou Imprimir a partir da aplicação. |
Aplique uma restrição a todas as atividades | Indica ao DLP para Audit only , Block with override ou Block quando um utilizador tenta aceder a um item protegido por DLP com uma aplicação que está no grupo de aplicações relevante |
Aplicar restrições a uma atividade específica | Esta definição permite que um utilizador aceda a um item protegido por DLP através de uma aplicação que esteja no grupo de aplicações. Também lhe permite selecionar uma ação predefinida (Audit only , Block ou Block with override ) para o DLP efetuar quando um utilizador tenta Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede e Imprimir. |
Importante
As definições num grupo de aplicações restrito substituem quaisquer restrições definidas na lista de aplicações restritas quando estão na mesma regra. Assim, se uma aplicação estiver na lista de aplicações restritas e também for membro de um grupo de aplicações restritas, as definições do grupo de aplicações restritas são aplicadas.
Como a DLP aplica restrições às atividades
As interações entre atividades de Ficheiros para aplicações em grupos de aplicações restritos, Atividades de ficheiros para todas as aplicações e a lista Atividades de aplicações restritas estão confinadas à mesma regra.
Substituições de grupos de aplicativos restritos
As configurações definidas em Atividades de arquivo para aplicativos em grupos de aplicativos restritos substituem as configurações na lista Atividades restritas do aplicativo e as Atividades de arquivo para todos os aplicativos na mesma regra.
Atividades de aplicativos restritas e atividades de arquivos para todos os aplicativos
As configurações de Atividades de aplicativos restritas e Atividades de arquivos para todos os aplicativos funcionarão em conjunto se a ação definida para Atividades de aplicativos restritas for Audit only
ou Block with override
na mesma regra. Por quê? As ações definidas para atividades de aplicações restritas só se aplicam quando um utilizador acede a um ficheiro através de uma aplicação que está na lista. Depois que o usuário tiver acesso, as ações definidas para atividades em Atividades de arquivo para todos os aplicativos se aplicam.
Por exemplo, veja o exemplo seguinte. Digamos que Notepad.exe é adicionada a Aplicações restritas e as Atividades de ficheiros para todas as aplicações estão configuradas para Aplicar restrições a atividades específicas e ambas estão configuradas conforme indicado nesta tabela:
Configuração na política | Nome do aplicativo | Atividade do usuário | Ação DLP a ser tomada |
---|---|---|---|
Atividades de aplicativo restrito | Bloco de Notas | Acessar um item protegido por DLP | Somente Auditoria |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para a área de transferência | Somente Auditoria |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para um dispositivo removível USB | Bloquear |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar para um compartilhamento de rede | Somente Auditoria |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Imprimir | Bloquear |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Copiar ou mover usando o aplicativo Bluetooth não permitido | Blocked |
Atividades de arquivo para todos os aplicativos | Todos os aplicativos | Serviços de área de Trabalho Remota | Bloquear com substituição |
Quando o Utilizador A abre um ficheiro protegido por DLP com o Bloco de Notas, o DLP permite o acesso e audita a atividade. Ainda no Bloco de Notas, o Utilizador A tenta copiar conteúdos do item protegido para a área de transferência. Esta ação foi bem-sucedida e o DLP audita a atividade. O usuário A tenta imprimir o item protegido do Bloco de Notas e a atividade é bloqueada.
Observação
Quando a ação de DLP a ser tomada em Atividades restritas do aplicativo é definida comoblock
, todo o acesso é bloqueado e o usuário não pode realizar nenhuma atividade no arquivo.
Atividades de arquivo apenas para todos os aplicativos
Se uma aplicação não estiver nas Atividades de ficheiros para aplicações em grupos de aplicações restritos ou na lista Atividades de aplicações restritas ou estiver na lista Atividades de aplicações restritas , com uma ação de Audit only
, ou Block with override
, quaisquer restrições definidas nas Atividades de ficheiro para todas as aplicações são aplicadas na mesma regra.
Dispositivos macOS
Também pode impedir que as aplicações macOS acedam a dados confidenciais ao defini-los na lista Atividades de aplicações restritas .
Observação
As aplicações entre plataformas têm de ser introduzidas com os respetivos caminhos exclusivos, respetivamente, para o SO em execução.
Para encontrar o caminho completo dos aplicativos Mac:
No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.
Selecione o separador Abrir Ficheiros e Portas .
Anote o nome completo do caminho, incluindo o nome da aplicação.
Quarentena automática
Para impedir que itens confidenciais sejam sincronizados com a cloud por aplicações de sincronização de cloud, como onedrive.exe, adicione a aplicação de sincronização da cloud à lista aplicações restritas com Quarentena automática
Quando ativada, a quarentena automática é acionada quando uma aplicação restrita tenta aceder a um item confidencial protegido por DLP. A quarentena automática move o item confidencial para uma pasta configurada pelo administrador. Se configurado para tal, a quarrantina automática pode deixar um ficheiro de marcador de posição (.txt
) em vez do original. Pode configurar o texto no ficheiro de marcador de posição para indicar aos utilizadores a nova localização do item e outras informações pertinentes.
Utilize a funcionalidade de quarrantine automática quando uma aplicação de sincronização de cloud não permitida tentar aceder a um item protegido por uma política DLP de bloqueio. O DLP pode gerar notificações repetidas. Pode evitar estas notificações repetidas ao ativar a Quarentena automática.
Também pode utilizar a quarentena automática para impedir uma cadeia interminável de notificações DLP para o utilizador e administradores. Para obter mais informações, veja Cenário 4: Evitar o ciclo de notificações DLP a partir de aplicações de sincronização da cloud com a quarentena automática.
Exclusões de extensões de ficheiros não suportadas
Não foi possível analisar a definição Ficheiro nas políticas DLP para restringir as atividades que envolvem ficheiros com extensões que não são suportadas pelo DLP do ponto final. Uma vez que isto pode incluir muitas extensões de ficheiro não suportadas, pode refinar a deteção ao adicionar extensões não suportadas a excluir. Para obter mais informações, veja Cenário 10: A nuvem de ficheiros não é analisada.
Observação
Não adicione '.' enquanto adiciona a extensão e utiliza a versão mais recente do cliente Antimalware.
Aplicações Bluetooth Não Permitidas (Restritas)
Para impedir que as pessoas transfiram ficheiros protegidos pelas suas políticas através de aplicações Bluetooth específicas, adicione essas aplicações à lista de aplicações Bluetooth não permitidas nas definições DLP do Ponto Final.
Restrições do navegador e do domínio para dados confidenciais
Restrinja arquivos confidenciais que correspondem às suas políticas de serem compartilhados com domínios de serviço de nuvem irrestritos.
Navegadores não permitidos
Para dispositivos Windows, pode restringir a utilização de browsers especificados, identificados pelos respetivos nomes executáveis. Os browsers especificados são impedidos de aceder a ficheiros que correspondam às condições de uma política DLP imposta em que a restrição de carregamento para serviços cloud está definida como block
ou block override
. Quando estes browsers são impedidos de aceder a um ficheiro, os utilizadores finais veem uma notificação de alerta a pedir-lhes para abrirem o ficheiro através do Microsoft Edge.
Para dispositivos macOS, você deve adicionar o caminho completo do arquivo. Para encontrar o caminho completo dos aplicativos Mac:
No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.
Escolha a guia Abrir Arquivos e Portas.
Certifique-se de que anota o nome completo do caminho, incluindo o nome da aplicação.
Domínios de serviço
Os domínios do Serviço aqui funcionam em conjunto com a definição Auditar ou restringir atividades em dispositivos encontradas no fluxo de trabalho para criar uma regra dentro de uma política DLP.
Quando cria uma regra, utiliza ações para proteger o seu conteúdo quando determinadas condições são cumpridas. Ao criar regras para dispositivos de ponto final, tem de escolher a opção Auditar ou restringir atividades nos dispositivos e selecionar uma destas opções:
- Somente Auditoria
- Bloquear com substituição
- Bloquear
Para controlar se os ficheiros confidenciais protegidos pelas suas políticas podem ser carregados para domínios de serviço específicos, terá de navegar para As Definições> de Ponto Final DLPBrowser e restrições de domínio para dados confidenciais e escolher se pretende bloquear ou permitirDomínios de serviço por predefinição.
Observação
A definição Domínios de serviço aplica-se apenas a ficheiros carregados com o Microsoft Edge ou a utilizar instâncias do Google Chrome ou do Mozilla Firefox que tenham a Extensão do Chrome do Microsoft Purview instalada.
Bloquear
Quando a lista Domínios de serviço estiver definida como Bloquear, utilize o domínio Adicionar serviço cloud para especificar domínios que devem ser bloqueados. Todos os outros domínios de serviço são permitidos. Neste caso, as políticas DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios que não estejam na lista.
Por exemplo, considere as seguintes configurações:
- Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
- A definição Domínios de serviço está definida como Bloquear.
- contoso.com NÃO ESTÁ NA lista.
- wingtiptoys.com está na lista.
Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria, mas não é acionado nenhum alerta.
Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tem permissão para concluir e é gerado um evento de auditoria e um alerta.
Outro exemplo, considere a seguinte configuração:
- Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear.
- A definição Domínios de serviço está definida como Bloquear.
- contoso.com NÃO ESTÁ NA lista.
- wingtiptoys.com está na lista.
Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento é autorizado a concluir e é acionado um evento de auditoria, é gerado um evento de auditoria, mas não é acionado nenhum alerta.
Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – está bloqueado e é gerado um evento de auditoria e um alerta.
Permitir
Quando a lista Domínios de serviço estiver definida como Permitir, utilize o domínio Adicionar serviço cloud para especificar domínios permitidos. Todos os outros domínios de serviço estão bloqueados. Neste caso, as políticas DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios listados.
Por exemplo, eis duas configurações iniciais:
- Uma política DLP está configurada para detetar itens confidenciais que contêm números de card de crédito e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear com substituição.
- A definição Domínios de serviço está definida como Permitir.
- contoso.com NÃO ESTÁ NA lista Permitir .
- wingtiptoys.com está na lista Permitir .
Neste caso, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para contoso.com, o carregamento é bloqueado, é apresentado um aviso, dando ao utilizador a opção de substituir o bloco. Se o utilizador optar por substituir o bloco, é gerado um evento de auditoria e é acionado um alerta.
No entanto, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a política não é aplicada. O carregamento tem permissão para ser concluído e é gerado um evento de auditoria, mas não é acionado nenhum alerta.
- Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
- A definição Domínios de serviço está definida como Permitir.
- contoso.com NÃO está na lista.
- wingtiptoys.com ESTÁ na lista.
Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria e um alerta.
Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tiver permissão para concluir, é gerado um evento de auditoria, mas não é acionado nenhum alerta.
Importante
Quando o modo de restrição de serviço está definido como Permitir, tem de ter, pelo menos, um domínio de serviço configurado antes de serem impostas restrições.
Tabela de resumo: Comportamento de permissão/bloqueio
A tabela seguinte mostra como o sistema se comporta consoante as definições listadas.
Definição de domínio do Serviço DLP de Ponto Final | Definição da regra de política DLP Auditar ou restringir atividades nos dispositivos | O utilizador acede a um site listado | O utilizador acede a um site NÃO listado |
---|---|---|---|
Permitir | Somente Auditoria | - A atividade do utilizador é auditada - Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
- A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas no Modo de auditoria |
Permitir | Bloquear com substituição | - A atividade do utilizador é auditada - Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
- A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas em Bloquear com o modo de substituição |
Permitir | Bloquear | - A atividade do utilizador é auditada - Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
- A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas no Modo de bloqueio |
Bloquear | Somente Auditoria | - A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas no Modo de auditoria |
- A atividade do utilizador é auditada - Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
Bloquear | Bloquear com substituição | - A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas em Bloquear com o modo de substituição |
– A atividade do utilizador é auditada – Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
Bloquear | Bloquear | - A atividade do utilizador é auditada - É gerado um alerta - As políticas DLP são aplicadas no Modo de bloqueio |
- A atividade do utilizador é auditada - Não é gerado nenhum alerta - Não são aplicadas políticas DLP |
Ao adicionar um domínio à lista, utilize o formato FQDN do domínio de serviço sem o período final (.
).
Por exemplo:
Input | Comportamento de correspondência de URL |
---|---|
CONTOSO.COM |
Corresponde ao nome de domínio especificado e a qualquer subsite: ://contoso.com ://contoso.com/ ://contoso.com/anysubsite1 ://contoso.com/anysubsite1/anysubsite2 (etc.) Não corresponde a subdomínios ou domínios não especificados: ://anysubdomain.contoso.com ://anysubdomain.contoso.com.AU |
* .CONTOSO.COM |
Corresponde ao nome de domínio especificado, qualquer subdomínio e qualquer site: ://contoso.com ://contoso.com/anysubsite ://contoso.com/anysubsite1/anysubsite2 ://anysubdomain.contoso.com/ ://anysubdomain.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.) Não corresponde a domínios não especificados ://anysubdomain.contoso.com.AU/ |
www.contoso.com |
Corresponde ao nome de domínio especificado:
Não corresponde a domínios ou subdomínios não especificados *://anysubdomain.contoso.com/, neste caso, você deve colocar o próprio nome de domínio FQDN |
Pode configurar até 50 domínios em domínios do Serviço Confidencial.
Grupos de domínios de serviço confidenciais
Quando lista um site em domínios de serviço confidenciais, pode audit
, block with override
ou atividade de utilizador completo block
quando os utilizadores tentam efetuar qualquer uma das seguintes ações:
- imprimir de um site
- copiar dados de um site
- salvar um site como arquivo local
- carregar ou arrastar/largar um ficheiro confidencial para um site excluído
- colar dados confidenciais num site excluído
A tabela seguinte mostra os browsers que suportam estas funcionalidades:
Navegador | Funcionalidade Suportada |
---|---|
Microsoft Edge | - Imprimir o site - Copiar dados do site - Guardar o site como ficheiros locais (guardar como) - Colar em browsers suportados – Carregar para um domínio de serviço cloud restrito |
Google Chrome (com a extensão do Microsoft Purview) | - Colar em browsers suportados - Carregar para um domínio de serviço cloud restrito |
Mozilla Firefox (com a extensão do Microsoft Purview) | - Carregar para um serviço cloud restrito – Colar em browsers suportados |
Para a ação Colar para browsers suportados , pode haver um breve desfasamento de tempo entre quando o utilizador tenta colar texto numa página Web e quando o sistema termina a classificação e responde. Se esta latência de classificação acontecer, poderá ver notificações de avaliação de políticas e marcar concluídas no Edge ou alertas de avaliação de políticas no Chrome e no Firefox. Seguem-se algumas sugestões para minimizar o número de notificações:
- As notificações são acionadas quando uma política para o site de destino é configurada para Bloquear ou Bloquear com a substituição de Colar para browsers suportados para esse utilizador. Pode configurar a ação geral para Auditar e, em seguida, através das exceções, Bloquear os sites de destino. Em alternativa, pode definir a ação geral como Bloquear e, em seguida, através das exceções, Auditar os sites seguros.
- Utilize a versão mais recente do cliente Antimalware.
- Certifique-se de que a sua versão do Microsoft Edge é 120 ou superior.
- Instale estes KBs do Windows:
Observação
A definição Domínios de serviço aplica-se apenas a ficheiros carregados através do Microsoft Edge ou de uma instância do Google Chrome ou do Mozilla Firefox que tenha a Extensão do Chrome do Microsoft Purview instalada.
Para dispositivos, tem de configurar a lista domínios de serviço confidenciais para utilizar a ação Carregar para um domínio de serviço cloud restrito numa política DLP. Também pode definir grupos de sites aos quais pretende atribuir ações de política diferentes das ações globais do grupo de sites. Pode adicionar um máximo de 100 sites a um único grupo e pode criar um máximo de 150 grupos. Isto fornece um máximo de 15.000 sites aos quais as ações de política podem ser atribuídas. Para obter mais informações, veja Cenário 6: Monitorizar ou restringir atividades de utilizador em domínios de serviço confidenciais.
Importante
Relativamente à ação Colar ao browser suportado . Se a opção "Recolher o ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final" estiver ativada na regra para esta funcionalidade, os carateres de lixo poderão aparecer no texto de origem se o dispositivo Windows do utilizador não tiver a Versão 4.18.23110 do Cliente Antimalware ou posterior instalada. Selecione Ações>Transferir para ver o conteúdo real.
Para obter mais informações, veja Cenário 7: Restringir a colagem de conteúdos confidenciais num browser.
Sintaxe com suporte para designar sites em um grupo de sites
Se utilizar URLs para identificar sites, não inclua o protocolo de rede como parte do URL (por exemplo, https:// ou file://). Em vez disso, utilize uma sintaxe flexível para incluir e excluir domínios, subdomínios, sites e subsites nos seus grupos de sites. Por exemplo,
- Utilize
*
como caráter universal para especificar todos os domínios ou todos os subdomínios. - Utilize
/
como terminador no final de um URL para definir o âmbito apenas para esse site específico.
Quando adiciona um URL sem uma marca de barra de terminação ( /
), esse URL está no âmbito desse site e de todos os subsites.
Essa sintaxe se aplica a todos os sites http/https. Aqui estão alguns exemplos:
URL adicionado ao grupo de sites | A URL corresponderá | O URL não corresponde |
---|---|---|
contoso.com |
//
// contoso.com contoso.com/ // contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 // |
//
// allsubdomains.contoso.com allsubdomains.contoso.com.au |
contoso.com/ |
//
// contoso.com contoso.com/ |
//
allsubdomains.contoso.com/au contoso.com/allsubsites1/allsubsites2 contoso.com/allsubsites1 allsubdomains.contoso.com // // // |
*.contoso.com |
//
//contoso.com contoso.com/allsubsites // contoso.com/allsubsites1/allsubsites2 // allsubdomains.contoso.com // allsubdomains.contoso.com/allsubsites //allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2 |
// allsubdomains.contoso.com.au |
*.contoso.com/xyz |
//
//contoso.com contoso.com/xyz // contoso.com/xyz/allsubsites/ // allsubdomains.contoso.com/xyz //allsubdomains.contoso.com/xyz/allsubsites // allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 // |
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/ |
*.contoso.com/xyz/ |
//
// contoso.com/xyz allsubdomains.contoso.com/xyz |
//
// contoso.com contoso.com/xyz/allsubsites/ //allsubdomains.contoso.com/xyz/allsubsites/ // allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 // |
Importante
Os URLs suportam estas ações:
- Imprimir o site
- Copiar dados do site
- Guardar o site como ficheiros locais (guardar como)
- Colar em browsers suportados
- Carregar para um domínio de serviço cloud restrito
O endereço IP e o intervalo de endereços IP suportam estas ações:
- Imprimir o site
- Copiar dados do site
- Guardar o site como ficheiros locais (guardar como)
Configurações adicionais para DLP do ponto de extremidade
Justificativa de negócios em dicas de política
Pode controlar a forma como os utilizadores interagem com a opção de justificação comercial em Opções para configurar sugestões de política. Esta opção aparece quando os usuários realizam uma atividade protegida pela configuração Bloquear com substituição em uma política DLP. Esta é uma configuração global. Você pode escolher uma das seguintes opções:
- Mostrar as opções padrão e a área de entrada de texto personalizada: Por padrão, os usuários podem selecionar uma justificação interna ou inserir seu próprio texto.
- Mostrar apenas as opções predefinidas: os utilizadores estão limitados a selecionar a partir de uma lista de justificações incorporadas.
- Mostrar apenas uma caixa de texto personalizada: os utilizadores estão limitados a introduzir uma justificação personalizada. A caixa de texto é apresentada na notificação de sugestão de política do utilizador final, sem uma lista de opções.
Personalizando as opções no menu suspenso
Pode criar até cinco opções personalizadas que aparecem quando os utilizadores interagem com a sugestão de notificação de política ao selecionar o menu pendente Personalizar as opções.
Opção | Texto padrão |
---|---|
opção 1 | Isto faz parte de um fluxo de trabalho empresarial estabelecido ou pode introduzir texto personalizado |
opção 2 | Meu gerente aprovou esta ação ou você pode inserir um texto personalizado |
opção 3 | Acesso necessário urgente; Notificarei meu gerente separadamente ou você pode inserir um texto personalizado |
Mostrar a opção de falso positivo | As informações contidas nestes arquivos não são confidenciais ou você pode inserir um texto personalizado |
opção 5 | Outro ou você pode inserir um texto personalizado |
Sempre auditar a atividade dos arquivos para os dispositivos
Por padrão, quando os dispositivos são integrados, a atividade dos arquivos Office, PDF e CSV é auditada automaticamente e fica disponível para análise no explorador de atividades. Desative esta funcionalidade se pretender que esta atividade seja auditada apenas quando os dispositivos integrados estiverem incluídos numa política ativa.
A atividade de ficheiros é sempre auditada para dispositivos integrados, independentemente de estarem incluídos numa política ativa.
Grupos de impressoras
Utilize esta definição para definir grupos de impressoras aos quais pretende atribuir ações de política diferentes das ações de impressão globais.
O caso de utilização mais comum para a criação de grupos de impressoras é utilizá-los para limitar a impressão de contratos apenas a essas impressoras no departamento jurídico de uma organização. Depois de definir um grupo de impressoras aqui, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8 .
Pode criar um máximo de 20 grupos de impressoras. Cada grupo pode conter um máximo de 50 impressoras.
Importante
Os utilizadores do macOS 15/Sequoia poderão ver esta caixa de diálogo "com.microsoft.dlp.daemon" que pretende localizar dispositivos nas suas redes locais. Os administradores podem indicar ao utilizador para selecionar Permitir para permitir que o DLP do ponto final execute corretamente a proteção da impressora.
Observação
Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:
Vejamos um exemplo. Digamos que pretende que a política DLP bloqueie a impressão de contratos para todas as impressoras, exceto para as que estão no departamento jurídico.
Utilize os seguintes parâmetros para atribuir impressoras em cada grupo.
- Nome amigável da impressora – obtenha o valor Nome amigável da impressora a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos.
- Impressora USB – uma impressora ligada através da porta USB de um computador. Selecione esta opção se pretender impor qualquer impressora USB enquanto deixa o ID de produto USB e o ID do fornecedor USB desmarcados. Também pode atribuir uma impressora USB específica ao especificar o respetivo ID de produto USB e o ID do fornecedor USB.
- ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor no formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
- ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
- Intervalo IP
- Imprimir para ficheiro - Microsoft Print para PDF ou Microsoft XPS Document Writer. Se apenas quiser impor o Microsoft Print para PDF, deve utilizar o Nome amigável da impressora com "Microsoft Print para PDF".
- Impressão universal implementada numa impressora – para obter mais informações sobre impressoras universais, consulte Configurar a Impressão Universal.
- Impressora empresarial – é uma fila de impressão partilhada através do servidor de impressão do Windows no local no seu domínio. O caminho poderá ter o seguinte aspeto: \print-server\contoso.com\legal_printer_001.
- Imprimir para local – qualquer impressora que se ligue através da porta de impressão da Microsoft, mas não qualquer um dos tipos acima. Por exemplo: imprimir através do ambiente de trabalho remoto ou redirecionar impressora.
Observação
Não deve utilizar vários parâmetros de impressora USB, intervalo de IP, Imprimir para ficheiro, Impressão universal implementada numa impressora, Impressora empresarial e Imprimir no local.
Atribua um Nome a apresentar a cada impressora no grupo. Estes nomes só aparecem na consola do Microsoft Purview.
Crie um grupo de impressoras com o nome Impressoras legais e adicione impressoras individuais (com um alias) pelo nome amigável; por exemplo:
legal_printer_001
,legal_printer_002
elegal_color_printer
. (Pode selecionar vários parâmetros de uma só vez para o ajudar a identificar de forma inequívoca uma impressora específica.)Atribua as ações de política ao grupo numa política DLP:
-
Allow
(auditar sem notificações ou alertas de utilizador) -
Audit only
(pode adicionar notificações e alertas) -
Block with override
(bloqueia a ação, mas o utilizador pode substituir) -
Block
(blocos, aconteça o que acontecer)
-
Criar um grupo Impressora
- Abra portal de conformidade do Microsoft Purview e navegue para Prevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições> deponto finalGrupos deimpressoras>.
- Selecione Criar grupo de impressoras.
- Dê um nome ao grupo.
- Selecione Adicionar impressora.
- Atribua um Nome amigável à impressora. O nome que selecionar só é apresentado aqui.
- Selecione os parâmetros e forneça os valores para identificar inequívocamente a impressora específica.
- Selecione Adicionar.
- Adicione outras impressoras conforme necessário.
- Selecione Guardar e , em seguida, Fechar.
Grupos de extensões de ficheiros
Utilize esta definição para definir grupos de extensões de ficheiro aos quais pretende atribuir ações de política. Por exemplo, não foi possível analisar apenas uma política Ficheiro para extensões de ficheiros nos grupos criados.
Observação
Não adicione '.' enquanto adiciona a extensão.
Desativar classificação
Utilize esta definição para excluir extensões de ficheiro específicas da classificação DLP do Ponto Final.
Para ficheiros que estão na lista Ficheiros monitorizados , pode desativar a classificação através desta definição. Depois de colocar uma extensão de ficheiro nesta definição, o DLP de Ponto Final não analisará o conteúdo em ficheiros com esta extensão. Como resultado, o DLP de Ponto Final não fará uma avaliação de política com base no conteúdo desses ficheiros. Não poderá ver informações de conteúdo para efeitos de realização de investigações.
Observação
Não adicione '.' enquanto adiciona a extensão.
Grupos de dispositivos USB amovíveis
Utilize esta definição para definir grupos de dispositivos de armazenamento amovíveis, como pen USB, aos quais pretende atribuir ações de política diferentes das ações de impressão globais. Por exemplo, digamos que pretende que a política DLP bloqueie a cópia de itens com especificações de engenharia para dispositivos de armazenamento amovíveis, exceto os discos rígidos ligados por USB designados que são utilizados para criar cópias de segurança de dados para armazenamento fora do local.
Pode criar um máximo de 20 grupos, com um máximo de 50 dispositivos de armazenamento amovíveis em cada grupo.
Observação
Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 KB
- Win 11 21H2, 22H2 com KB 5018483
- Windows 10 RS5 (KB 5006744) e Windows Server 2022
Utilize os seguintes parâmetros para definir os seus dispositivos de armazenamento amovíveis.
- Nome amigável do dispositivo de armazenamento – obtenha o valor Nome amigável a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
- ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
- ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
- ID do número de série – obtenha o valor do ID do número de série a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
- ID do Dispositivo – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
- ID do caminho da instância – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
- ID de Hardware – obtenha o valor do ID de hardware a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
Atribui um Alias a cada dispositivo de armazenamento amovível no grupo. O alias é um nome amigável que só aparece na consola do Microsoft Purview. Assim, continuando com o exemplo, criaria um grupo de dispositivos de armazenamento amovível com o nome Cópia de Segurança e adicionaria dispositivos individuais (com um alias) pelo nome amigável, como backup_drive_001
, e backup_drive_002
.
Pode selecionar vários parâmetros e, em seguida, o grupo de impressoras inclui todos os dispositivos que satisfazem esses parâmetros.
Pode atribuir estas ações de política ao grupo numa política DLP:
-
Allow
(auditar sem notificações ou alertas de utilizador) -
Audit only
(pode adicionar notificações e alertas) -
Block with
substituir (bloqueia a ação, mas o utilizador pode substituir) -
Block
(blocos, aconteça o que acontecer)
Criar um grupo de dispositivos USB amovível
- Open portal de conformidade do Microsoft Purview>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings>Amovível storage device groups.
- Selecione Criar grupo de dispositivos de armazenamento amovível.
- Indique um Nome do grupo.
- Selecione Adicionar dispositivo de armazenamento amovível.
- Forneça um Alias.
- Selecione os parâmetros e forneça os valores para identificar de forma inequívoca o dispositivo específico.
- Selecione Adicionar.
- Adicione outros dispositivos ao grupo conforme necessário.
- Selecione Guardar e , em seguida, Fechar.
O caso de utilização mais comum para criar grupos de armazenamento amovíveis é utilizá-los para especificar para que dispositivos de armazenamento amovíveis os utilizadores podem copiar ficheiros. Geralmente, a cópia só é permitida para dispositivos num grupo de Cópia de Segurança designado.
Depois de definir um grupo de dispositivos de armazenamento amovível, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Veja Cenário 8: Grupos de autorização para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização.
Grupos de partilha de rede
Utilize esta definição para definir grupos de caminhos de partilha de rede aos quais pretende atribuir ações de política diferentes das ações de caminho de partilha de rede global. Por exemplo, digamos que pretende que a política DLP impeça os utilizadores de guardar ou copiar ficheiros protegidos para partilhas de rede, exceto as partilhas de rede num grupo específico.
Observação
Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 KB
- Win 11 21H2, 22H2 com KB 5018483
- Windows 10 RS5 (KB 5006744) e Windows Server 2022
Para incluir caminhos de partilha de rede num grupo, defina o prefixo com o qual todas as partilhas começam. Por exemplo:
'\Library' corresponderá a:
- \Pasta biblioteca e todas as respetivas subpastas.
Pode utilizar Carateres Universais, por exemplo , "\Utilizadores*\Ambiente de Trabalho" corresponderá:
- '\Utilizadores\utilizador1\Ambiente de Trabalho'
- '\Utilizadores\utilizador1\utilizador2\Ambiente de Trabalho'
- '\Utilizadores*\Ambiente de Trabalho'
Também pode utilizar variáveis ambientais, por exemplo:
- %AppData%\app123
Pode atribuir as seguintes ações de política ao grupo numa política DLP:
-
Allow
(auditar sem notificações ou alertas de utilizador) -
Audit only
(pode adicionar notificações e alertas) -
Block with override
(bloqueia a ação, mas o utilizador pode substituir) -
Block
(blocos, aconteça o que acontecer)
Depois de definir um grupo de partilha de rede, pode utilizá-lo em todas as políticas DLP que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8.
Criar um grupo de Partilha de Rede
- Open portal de conformidade do Microsoft Purview>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings>Network share groups. 1. Selecione Criar grupo de partilha de rede.
- Indique um Nome do grupo.
- Adicione o caminho do ficheiro à partilha.
- Selecione Adicionar.
- Adicione outros caminhos de partilha ao grupo conforme necessário.
- Selecione Guardar e , em seguida, Fechar.
Configurações da VPN
Utilize a lista de VPN para controlar apenas as ações que estão a ser realizadas nessa VPN.
Observação
Esta funcionalidade está disponível para dispositivos com qualquer uma destas versões do Windows:
- Windows 10 e posterior (21H1, 21H2) com 5018482 KB
- Windows 11 21H2, 22H2 com 5018483 KB
- Windows 10 RS5 (KB 5006744)
Quando lista uma VPN nas Definições de VPN, pode atribuir-lhes as seguintes ações de política:
-
Allow
(auditar sem notificações ou alertas de utilizador) -
Audit only
(pode adicionar notificações e alertas) -
Block with override
(bloqueia a ação, mas o utilizador pode substituir) -
Block
(blocos, aconteça o que acontecer)
Estas ações podem ser aplicadas individual ou coletivamente às seguintes atividades de utilizador:
- Copiar para a área de transferência
- Copiar para um dispositivo amovível USB
- Copiar para um compartilhamento de rede
- Copiar ou mover com a aplicação Bluetooth não permitida (restrita)
- Copiar ou mover com RDP
Ao configurar uma política DLP para restringir a atividade nos dispositivos, pode controlar o que acontece a cada atividade realizada quando os utilizadores estão ligados à sua organização dentro de qualquer uma das VPNs listadas.
Utilize os parâmetros Endereço do servidor ou Endereço de rede para definir a VPN permitida.
Obter o Endereço do servidor ou o Endereço de rede
- Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
- Execute o seguinte cmdlet, que devolve vários campos e valores.
Get-VpnConnection
- Entre os resultados do cmdlet, localize o campo ServerAddress e registe esse valor. Utilize o ServerAddress quando cria uma entrada VPN na lista de VPN.
- Localize o campo Nome e registe esse valor. O campo Nome mapeia para o campo Endereço de rede quando cria uma entrada VPN na lista de VPN.
Adicionar uma VPN
- Abra portal de conformidade do Microsoft Purview>Definição de perda de dadosDescrição> geral >Definições> de prevenção de perda de dadosDefinições de ponto final definições>de VPN.
- Selecione Adicionar ou editar endereços VPN.
- Indique o Endereço do servidor ou o Endereço de rede que registou depois de executar .
Get-VpnConnection
- Selecione Salvar.
- Feche o item.
Importante
Na definição Restrições de rede, também verá Rede empresarial como uma opção. As ligações de rede empresarial são todas ligações aos recursos da sua organização. Pode ver se o dispositivo está a utilizar uma rede empresarial ao executar o Get-NetConnectionProfile
cmdlet como administrador. Se o NetworkCategoryId
na saída for DomainAuthenticated
, significa que o computador está ligado à rede empresarial. Se o resultado for qualquer outra coisa, o computador não é .
Em alguns casos, um computador pode estar ligado à VPN e à Rede empresarial ligada. Se ambos estiverem selecionados nas Restrições de rede, o DLP de Ponto Final aplicará a ação com base na ordem. Se quiser que a ação da VPN seja a aplicada, mova a entrada VPN acima da Rede empresarial para ter uma prioridade superior à ação da Rede empresarial.
Veja Cenário 9: Exceções de rede para obter mais informações sobre como configurar ações de política para utilizar exceções de rede.
Confira também
- Saiba mais sobre a Prevenção contra perda de dados do ponto de extremidade
- Introdução à Prevenção contra perda de dados do ponto de extremidade
- Saiba mais sobre prevenção contra perda de dados
- Começar a usar o Explorador de atividades
- Microsoft Defender para Ponto de Extremidade
- Integrar dispositivos Windows 10 e Windows 11 na visão geral do Microsoft Purview
- Assinatura do Microsoft 365
- Microsoft Entra aderido
- Baixar o novo Microsoft Edge baseado em Chromium
- Introdução à política DLP padrão
- Criar e Implementar políticas de prevenção de perda de dados