Partilhar via


Configurar as definições de prevenção de perda de dados do ponto de extremidade

Muitos aspetos do comportamento de prevenção de perda de dados (DLP) de pontos finais são controlados por definições configuradas centralmente que são aplicadas a todas as políticas DLP para dispositivos. Utilize estas definições para controlar os seguintes comportamentos:

  • Restrições de saída de nuvem
  • Vários tipos de ações restritivas em atividades de utilizador por aplicação
  • Exclusões de caminhos de ficheiros para dispositivos Windows e macOS
  • Restrições de navegador e domínio
  • Aspeto das justificações comerciais para substituir políticas em sugestões de políticas
  • Se as ações executadas nos ficheiros Office, PDF e CSV são automaticamente auditadas

Para aceder a estas definições, a partir do portal de conformidade do Microsoft Purview, navegue para Prevenção de perda de dados Descrição>geral>Definições de prevenção de perda de dados Definições> deponto final.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Importante

Para obter informações sobre os requisitos da Adobe para utilizar funcionalidades Prevenção Contra Perda de Dados do Microsoft Purview (DLP) com ficheiros PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Support in Acrobat (Suporte do Adobe: Proteção de Informações do Microsoft Purview no Acrobat).

Verificação e proteção de classificação avançada

A análise e proteção avançadas de classificação permitem que o serviço de classificação de dados baseado na cloud do Microsoft Purview analise itens, os classifique e devolva os resultados ao computador local. Por conseguinte, pode tirar partido de técnicas de classificação, como a classificação exata de correspondência de dados , classificadores treináveis, classificadores de credenciais e entidades nomeadas nas suas políticas DLP.

Observação

A ação Colar no browser não suporta a classificação avançada.

Quando a classificação avançada está ativada, o conteúdo é enviado do dispositivo local para os serviços de nuvem para verificação e classificação. Se a utilização da largura de banda for uma preocupação, pode definir um limite para a quantidade de largura de banda que pode ser utilizada num período sem interrupção de 24 horas. O limite é configurado nas definições DLP do Ponto Final e é aplicado por dispositivo. Se definir um limite de utilização de largura de banda e esse limite de utilização for excedido, o DLP deixa de enviar o conteúdo do utilizador para a cloud. Nessa altura, a classificação de dados continua localmente no dispositivo, mas a classificação com correspondência de dados exata, entidades nomeadas, classificadores treináveis e classificadores de credenciais não está disponível. Quando a utilização da largura de banda cumulativa for inferior ao limite de 24 horas sem interrupção, a comunicação com os serviços cloud é retomada.

Se a utilização da largura de banda não for uma preocupação, selecione Não limitar a largura de banda. Ilimitado para permitir a utilização ilimitada de largura de banda.

Limites avançados de tamanho de análise de ficheiros de classificação

Mesmo com Não limitar a largura de banda. Ilimitado ativado para classificação avançada, ainda existem limites no tamanho de ficheiros individuais que podem ser analisados.

  • Existe um limite de 64 MB nos ficheiros de texto.
  • Existe um limite de 50 MB nos ficheiros de imagem quando o Reconhecimento Ótico de Carateres (OCR) está ativado.

A classificação avançada não funcionará para ficheiros de texto com mais de 64 MB, mesmo que o limite de largura de banda esteja definido como Não limitar a largura de banda. Ilimitado.

As seguintes versões do Windows (e posteriores) suportam a análise e proteção avançadas de classificação.

  • todas as versões Windows 11
  • Windows 10 versões 20H1/21H1 ou superior (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

Observação

  • O suporte para classificação avançada está disponível para tipos de arquivo do Office (Word, Excel, PowerPoint) e PDF.

  • A avaliação da política de DLP sempre ocorre na nuvem, mesmo que o conteúdo do usuário não seja enviado.

Dica

Para utilizar a classificação avançada para dispositivos Windows 10, tem de instalar KB5016688. Para utilizar a classificação avançada para dispositivos Windows 11, KB5016691 têm de ser instaladas nesses dispositivos Windows 11. Além disso, tem de ativar a classificação avançada antes de o Explorador de atividades apresentar texto contextual para eventos com correspondência de regras DLP. Para saber mais sobre texto contextual, veja Resumo contextual.

Exclusões de caminho de arquivo

Se quiser excluir determinados caminhos da monitorização DLP, dos alertas DLP e da imposição da política DLP nos seus dispositivos, pode desativar essas definições de configuração ao configurar exclusões de caminhos de ficheiros. Os ficheiros em localizações excluídas não são auditados e quaisquer ficheiros criados ou modificados nessas localizações não estão sujeitos à imposição da política DLP. Para configurar exclusões de caminho nas definições de DLP, navegue para portal de conformidade do Microsoft Purview>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings Exclusões> decaminho de ficheiro para Windows.

Exclusões de caminhos de ficheiros para Windows

Pode utilizar a seguinte lógica para construir os caminhos de exclusão para dispositivos Windows 10/11:

  • O caminho de ficheiro válido que termina com \, significa que apenas os ficheiros diretamente na pasta especificada são excluídos.
    Exemplo: C:\Temp\

  • O caminho de ficheiro válido que termina com \*, significa que apenas os ficheiros dentro das subpastas da pasta especificada são excluídos. Os ficheiros diretamente na própria pasta especificada não são excluídos.
    Exemplo: C:\Temp\*

  • O caminho de ficheiro válido que termina sem \ ou \*, significa que todos os ficheiros diretamente na pasta especificada e todas as respetivas subpastas são excluídos.
    Exemplo: C:\Temp

  • Um caminho com o curinga entre \ de cada lado.
    Exemplo: C:\Users\*\Desktop\

  • Um caminho com caráter universal entre \ cada lado e com (number) para especificar o número exato de subpastas a serem excluídas.
    Exemplo: C:\Users\*(1)\Downloads\

  • Um caminho com variáveis de ambiente do sistema.
    Exemplo: %SystemDrive%\Test\*

  • Uma mistura de todos os padrões descritos aqui.
    Exemplo: %SystemDrive%\Users\*\Documents\*(2)\Sub\

Caminhos de ficheiro do Windows excluídos por predefinição

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Exclusões de caminhos de ficheiros para Mac

Também pode adicionar as suas próprias exclusões para dispositivos macOS.

  • As definições do caminho do ficheiro não são sensíveis a maiúsculas e minúsculas, pelo User que são as mesmas que user

  • Há suporte para valores curinga. Assim, uma definição de caminho pode conter um asterisco (*) no meio do caminho ou no final do caminho.
    Exemplo: /Users/*/Library/Application Support/Microsoft/Teams/*

Caminhos de ficheiro macOS excluídos por predefinição

/System

Por motivos de desempenho, a DLP do ponto de extremidade inclui uma lista de exclusões recomendadas de caminho de arquivo para dispositivos macOS. Se o botão de alternar Incluir exclusões de caminhos de ficheiro recomendados para Mac estiver definido como Ativado, os seguintes caminhos também serão excluídos:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

Recomendamos que deixe este botão de alternar definido como Ativado. No entanto, pode parar de excluir estes caminhos ao definir o botão de alternar para Desativado.

Configurar a recolha de provas para atividades de ficheiros em dispositivos

Quando identifica itens que correspondem a políticas em dispositivos, o DLP pode copiá-los para uma conta de armazenamento do Azure. Esta funcionalidade é útil para auditar a atividade da política e resolver problemas de correspondências específicas. Utilize esta secção para adicionar o nome e o URL da conta de armazenamento.

Observação

Antes de ativar esta funcionalidade, tem de criar uma conta de armazenamento do Azure e um contentor nessa conta de armazenamento. Também tem de configurar permissões para a conta. À medida que configura a sua conta de armazenamento do Azure, tenha em atenção que provavelmente irá querer utilizar uma conta de armazenamento que esteja na mesma região/limite geopolítico do Azure que o seu inquilino. Também deve considerar configurar as camadas de acesso da conta de armazenamento do Azure e os preços da conta de armazenamento do Azure.

Cobertura e exclusões da partilha de rede

A cobertura e exclusões de partilhas de rede expandem as políticas e ações DLP de ponto final a ficheiros novos e editados em partilhas de rede e unidades de rede mapeadas. Se a proteção just-in-time também estiver ativada, a cobertura e as exclusões da proteção just-in-time são expandidas para partilhas de rede e unidades mapeadas. Se quiser excluir um caminho de rede específico para todos os dispositivos monitorizados, adicione o valor de caminho em Excluir estes caminhos de partilha de rede.

Esta tabela mostra as predefinições para cobertura e exclusões de partilhas de rede.

Cobertura e exclusões da partilha de rede Proteção just-in-time Comportamento resultante
Habilitado Desabilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
Desabilitado Habilitado - A proteção just-in-time é aplicada apenas aos ficheiros em dispositivos de armazenamento que são locais para o ponto final.
Habilitado Habilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
- A proteção just-in-time é aplicada a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado.

A cobertura e as exclusões da partilha de rede complementam as ações do repositório no local do DLP. Esta tabela mostra as definições de exclusão e o comportamento resultante consoante o DLP esteja ativado ou desativado para repositórios no local.

Cobertura e exclusões da partilha de rede Repositórios no local DLP Comportamento resultante
Habilitado Desabilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
Desabilitado Habilitado - As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP
Habilitado Habilitado - As políticas DLP confinadas a Dispositivos são aplicadas a todas as partilhas de rede e unidades mapeadas às quais o dispositivo está ligado. Ações suportadas: Dispositivos
- As políticas no âmbito dos repositórios no local podem impor ações de proteção em dados inativos no local em partilhas de ficheiros e bibliotecas e pastas de documentos do SharePoint. Ações de repositório no local DLP

Aplicativos restritos e grupos de aplicativos

Aplicativos restritos

A lista Aplicações restritas é uma lista personalizada de aplicações que cria. Pode configurar as ações que o DLP executa quando alguém utiliza uma aplicação na lista para aceder a um ficheiro protegido por DLP num dispositivo. A lista Aplicações restritas está disponível para dispositivos Windows 10/11 e macOS com qualquer uma das três versões mais recentes do macOS.

Importante

  • Não inclua o caminho para o executável. Inclua apenas o nome executável (como browser.exe).

  • A ação (audit, block with overrideou block) definida para aplicações que estão na lista de aplicações restritas só se aplica quando um utilizador tenta aceder a um item protegido.

Quando o Acesso por aplicações restritas é selecionado numa política e um utilizador utiliza uma aplicação que está na lista de aplicações restritas para aceder a um ficheiro protegido, a atividade é audited, blockedou blocked with override, consoante a forma como configurou a lista aplicações restritas . EXCEÇÃO: se uma aplicação na lista Aplicações restritas também for membro de um grupo de aplicações Restritas, as ações configuradas para atividades no grupo de aplicações Restritas substituem as ações configuradas para a lista Aplicações restritas . Toda a atividade é auditada e está disponível para revisão no explorador de atividades.

Grupos de aplicativos restritos

Grupos de aplicativos restritos são coleções de aplicativos que você cria nas configurações de DLP e adiciona a uma regra em uma política. Quando adiciona um grupo de aplicações restrito a uma política, pode efetuar as ações definidas na tabela seguinte.

Opção de grupo de aplicativos restrito O que ele permite que você faça
Não restringir a atividade do arquivo Indica ao DLP para permitir que os utilizadores acedam a itens protegidos por DLP através de aplicações no grupo de aplicações sem efetuar qualquer ação quando o utilizador tentar Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede ou Imprimir a partir da aplicação.
Aplique uma restrição a todas as atividades Indica ao DLP para Audit only, Block with overrideou Block quando um utilizador tenta aceder a um item protegido por DLP com uma aplicação que está no grupo de aplicações relevante
Aplicar restrições a uma atividade específica Esta definição permite que um utilizador aceda a um item protegido por DLP através de uma aplicação que esteja no grupo de aplicações. Também lhe permite selecionar uma ação predefinida (Audit only, Blockou Block with override) para o DLP efetuar quando um utilizador tenta Copiar para a área de transferência, Copiar para uma unidade amovível USB, Copiar para uma unidade de rede e Imprimir.

Importante

As definições num grupo de aplicações restrito substituem quaisquer restrições definidas na lista de aplicações restritas quando estão na mesma regra. Assim, se uma aplicação estiver na lista de aplicações restritas e também for membro de um grupo de aplicações restritas, as definições do grupo de aplicações restritas são aplicadas.

Como a DLP aplica restrições às atividades

As interações entre atividades de Ficheiros para aplicações em grupos de aplicações restritos, Atividades de ficheiros para todas as aplicações e a lista Atividades de aplicações restritas estão confinadas à mesma regra.

Substituições de grupos de aplicativos restritos

As configurações definidas em Atividades de arquivo para aplicativos em grupos de aplicativos restritos substituem as configurações na lista Atividades restritas do aplicativo e as Atividades de arquivo para todos os aplicativos na mesma regra.

Atividades de aplicativos restritas e atividades de arquivos para todos os aplicativos

As configurações de Atividades de aplicativos restritas e Atividades de arquivos para todos os aplicativos funcionarão em conjunto se a ação definida para Atividades de aplicativos restritas for Audit only ou Block with override na mesma regra. Por quê? As ações definidas para atividades de aplicações restritas só se aplicam quando um utilizador acede a um ficheiro através de uma aplicação que está na lista. Depois que o usuário tiver acesso, as ações definidas para atividades em Atividades de arquivo para todos os aplicativos se aplicam.

Por exemplo, veja o exemplo seguinte. Digamos que Notepad.exe é adicionada a Aplicações restritas e as Atividades de ficheiros para todas as aplicações estão configuradas para Aplicar restrições a atividades específicas e ambas estão configuradas conforme indicado nesta tabela:

Configuração na política Nome do aplicativo Atividade do usuário Ação DLP a ser tomada
Atividades de aplicativo restrito Bloco de Notas Acessar um item protegido por DLP Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para a área de transferência Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para um dispositivo removível USB Bloquear
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar para um compartilhamento de rede Somente Auditoria
Atividades de arquivo para todos os aplicativos Todos os aplicativos Imprimir Bloquear
Atividades de arquivo para todos os aplicativos Todos os aplicativos Copiar ou mover usando o aplicativo Bluetooth não permitido Blocked
Atividades de arquivo para todos os aplicativos Todos os aplicativos Serviços de área de Trabalho Remota Bloquear com substituição

Quando o Utilizador A abre um ficheiro protegido por DLP com o Bloco de Notas, o DLP permite o acesso e audita a atividade. Ainda no Bloco de Notas, o Utilizador A tenta copiar conteúdos do item protegido para a área de transferência. Esta ação foi bem-sucedida e o DLP audita a atividade. O usuário A tenta imprimir o item protegido do Bloco de Notas e a atividade é bloqueada.

Observação

Quando a ação de DLP a ser tomada em Atividades restritas do aplicativo é definida comoblock, todo o acesso é bloqueado e o usuário não pode realizar nenhuma atividade no arquivo.

Atividades de arquivo apenas para todos os aplicativos

Se uma aplicação não estiver nas Atividades de ficheiros para aplicações em grupos de aplicações restritos ou na lista Atividades de aplicações restritas ou estiver na lista Atividades de aplicações restritas , com uma ação de Audit only, ou Block with override, quaisquer restrições definidas nas Atividades de ficheiro para todas as aplicações são aplicadas na mesma regra.

Dispositivos macOS

Também pode impedir que as aplicações macOS acedam a dados confidenciais ao defini-los na lista Atividades de aplicações restritas .

Observação

As aplicações entre plataformas têm de ser introduzidas com os respetivos caminhos exclusivos, respetivamente, para o SO em execução.

Para encontrar o caminho completo dos aplicativos Mac:

  1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

  2. Selecione o separador Abrir Ficheiros e Portas .

  3. Anote o nome completo do caminho, incluindo o nome da aplicação.

Quarentena automática

Para impedir que itens confidenciais sejam sincronizados com a cloud por aplicações de sincronização de cloud, como onedrive.exe, adicione a aplicação de sincronização da cloud à lista aplicações restritas com Quarentena automática

Quando ativada, a quarentena automática é acionada quando uma aplicação restrita tenta aceder a um item confidencial protegido por DLP. A quarentena automática move o item confidencial para uma pasta configurada pelo administrador. Se configurado para tal, a quarrantina automática pode deixar um ficheiro de marcador de posição (.txt) em vez do original. Pode configurar o texto no ficheiro de marcador de posição para indicar aos utilizadores a nova localização do item e outras informações pertinentes.

Utilize a funcionalidade de quarrantine automática quando uma aplicação de sincronização de cloud não permitida tentar aceder a um item protegido por uma política DLP de bloqueio. O DLP pode gerar notificações repetidas. Pode evitar estas notificações repetidas ao ativar a Quarentena automática.

Também pode utilizar a quarentena automática para impedir uma cadeia interminável de notificações DLP para o utilizador e administradores. Para obter mais informações, veja Cenário 4: Evitar o ciclo de notificações DLP a partir de aplicações de sincronização da cloud com a quarentena automática.

Exclusões de extensões de ficheiros não suportadas

Não foi possível analisar a definição Ficheiro nas políticas DLP para restringir as atividades que envolvem ficheiros com extensões que não são suportadas pelo DLP do ponto final. Uma vez que isto pode incluir muitas extensões de ficheiro não suportadas, pode refinar a deteção ao adicionar extensões não suportadas a excluir. Para obter mais informações, veja Cenário 3 Aplicar controlos a ficheiros suportados que falham na análise.

Observação

Não adicione '.' enquanto adiciona a extensão e utiliza a versão mais recente do cliente Antimalware.

Aplicativos Bluetooth não permitidos

Para impedir que as pessoas transfiram ficheiros protegidos pelas suas políticas através de aplicações Bluetooth específicas, adicione essas aplicações à lista de aplicações Bluetooth não permitidas nas definições DLP do Ponto Final.

Restrições do navegador e do domínio para dados confidenciais

Restrinja arquivos confidenciais que correspondem às suas políticas de serem compartilhados com domínios de serviço de nuvem irrestritos.

Navegadores não permitidos

Para dispositivos Windows, pode restringir a utilização de browsers especificados, identificados pelos respetivos nomes executáveis. Os browsers especificados são impedidos de aceder a ficheiros que correspondam às condições de uma política DLP imposta em que a restrição de carregamento para serviços cloud está definida como block ou block override. Quando estes browsers são impedidos de aceder a um ficheiro, os utilizadores finais veem uma notificação de alerta a pedir-lhes para abrirem o ficheiro através do Microsoft Edge.

Para dispositivos macOS, você deve adicionar o caminho completo do arquivo. Para encontrar o caminho completo dos aplicativos Mac:

  1. No dispositivo macOS, abra Monitor de Atividades. Localize e faça duplo clique no processo que pretende restringir.

  2. Escolha a guia Abrir Arquivos e Portas.

  3. Certifique-se de que anota o nome completo do caminho, incluindo o nome da aplicação.

Domínios de serviço

Os domínios do Serviço aqui funcionam em conjunto com a definição Auditar ou restringir atividades em dispositivos encontradas no fluxo de trabalho para criar uma regra dentro de uma política DLP.

Quando cria uma regra, utiliza ações para proteger o seu conteúdo quando determinadas condições são cumpridas. Ao criar regras para dispositivos de ponto final, tem de escolher a opção Auditar ou restringir atividades nos dispositivos e selecionar uma destas opções:

  • Somente Auditoria
  • Bloquear com substituição
  • Bloquear

Para controlar se os ficheiros confidenciais protegidos pelas suas políticas podem ser carregados para domínios de serviço específicos, terá de navegar para As Definições> de Ponto Final DLPBrowser e restrições de domínio para dados confidenciais e escolher se pretende bloquear ou permitirDomínios de serviço por predefinição.

Observação

A definição Domínios de serviço aplica-se apenas a ficheiros carregados com o Microsoft Edge ou a utilizar instâncias do Google Chrome ou do Mozilla Firefox que tenham a Extensão do Chrome do Microsoft Purview instalada.

Bloquear

Quando a lista Domínios de serviço estiver definida como Bloquear, utilize o domínio Adicionar serviço cloud para especificar domínios que devem ser bloqueados. Todos os outros domínios de serviço são permitidos. Neste caso, as políticas DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios que não estejam na lista.

Por exemplo, considere as seguintes configurações:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
  • A definição Domínios de serviço está definida como Bloquear.
  • contoso.com NÃO ESTÁ NA lista.
  • wingtiptoys.com está na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tem permissão para concluir e é gerado um evento de auditoria e um alerta.

Outro exemplo, considere a seguinte configuração:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear.
  • A definição Domínios de serviço está definida como Bloquear.
  • contoso.com NÃO ESTÁ NA lista.
  • wingtiptoys.com está na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento é autorizado a concluir e é acionado um evento de auditoria, é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – está bloqueado e é gerado um evento de auditoria e um alerta.

Permitir

Quando a lista Domínios de serviço estiver definida como Permitir, utilize o domínio Adicionar serviço cloud para especificar domínios permitidos. Todos os outros domínios de serviço estão bloqueados. Neste caso, as políticas DLP só são aplicadas quando um utilizador tenta carregar um ficheiro confidencial para qualquer um dos domínios listados.

Por exemplo, eis duas configurações iniciais:

  • Uma política DLP está configurada para detetar itens confidenciais que contêm números de card de crédito e a opção Auditar ou restringir atividades nos dispositivos está definida como Bloquear com substituição.
  • A definição Domínios de serviço está definida como Permitir.
  • contoso.com NÃO ESTÁ NA lista Permitir .
  • wingtiptoys.com está na lista Permitir .

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para contoso.com, o carregamento é bloqueado, é apresentado um aviso, dando ao utilizador a opção de substituir o bloco. Se o utilizador optar por substituir o bloco, é gerado um evento de auditoria e é acionado um alerta.

No entanto, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a política não é aplicada. O carregamento tem permissão para ser concluído e é gerado um evento de auditoria, mas não é acionado nenhum alerta.

  • Uma política DLP está configurada para detetar itens confidenciais que contêm endereços físicos e a opção Auditar ou restringir atividades nos dispositivos está definida como Apenas auditoria.
  • A definição Domínios de serviço está definida como Permitir.
  • contoso.com NÃO está na lista.
  • wingtiptoys.com ESTÁ na lista.

Neste caso, se um utilizador tentar carregar um ficheiro confidencial com endereços físicos para contoso.com, o carregamento tem permissão para concluir e é gerado um evento de auditoria e um alerta.

Por outro lado, se um utilizador tentar carregar um ficheiro confidencial com números de card de crédito para wingtiptoys.com, a atividade do utilizador – o carregamento – também tiver permissão para concluir, é gerado um evento de auditoria, mas não é acionado nenhum alerta.

Importante

Quando o modo de restrição de serviço está definido como Permitir, tem de ter, pelo menos, um domínio de serviço configurado antes de serem impostas restrições.

Tabela de resumo: Comportamento de permissão/bloqueio

A tabela seguinte mostra como o sistema se comporta consoante as definições listadas.

Definição de domínio do Serviço DLP de Ponto Final Definição da regra de política DLP Auditar ou restringir atividades nos dispositivos O utilizador acede a um site listado O utilizador acede a um site NÃO listado
Permitir Somente Auditoria - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
- A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de auditoria
Permitir Bloquear com substituição - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
- A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas em Bloquear com o modo de substituição
Permitir Bloquear - A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
- A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de bloqueio
Bloquear Somente Auditoria - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de auditoria
- A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
Bloquear Bloquear com substituição - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas em Bloquear com o modo de substituição
– A atividade do utilizador é auditada – Não é gerado nenhum alerta
- Não são aplicadas políticas DLP
Bloquear Bloquear - A atividade do utilizador é auditada
- É gerado um alerta
- As políticas DLP são aplicadas no Modo de bloqueio
- A atividade do utilizador é auditada
- Não é gerado nenhum alerta
- Não são aplicadas políticas DLP

Ao adicionar um domínio à lista, utilize o formato FQDN do domínio de serviço sem o período final (.).

Por exemplo:

Input Comportamento de correspondência de URL
CONTOSO.COM Corresponde ao nome de domínio especificado e a qualquer subsite:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (etc.)

Não corresponde a subdomínios ou domínios não especificados:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU

* .CONTOSO.COM Corresponde ao nome de domínio especificado, qualquer subdomínio e qualquer site:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.)

Não corresponde a domínios não especificados

://anysubdomain.contoso.com.AU/

www.contoso.com Corresponde ao nome de domínio especificado:

www.contoso.com

Não corresponde a domínios ou subdomínios não especificados

*://anysubdomain.contoso.com/, neste caso, você deve colocar o próprio nome de domínio FQDN www.contoso.com

Pode configurar até 50 domínios em domínios do Serviço Confidencial.

Grupos de domínios de serviço confidenciais

Quando lista um site em domínios de serviço confidenciais, pode audit, block with overrideou atividade de utilizador completo block quando os utilizadores tentam efetuar qualquer uma das seguintes ações:

  • imprimir de um site
  • copiar dados de um site
  • salvar um site como arquivo local
  • carregar ou arrastar/largar um ficheiro confidencial para um site excluído
  • colar dados confidenciais num site excluído

A tabela seguinte mostra os browsers que suportam estas funcionalidades:

Navegador Funcionalidade Suportada
Microsoft Edge - Imprimir o site
- Copiar dados do site
- Guardar o site como ficheiros locais (guardar como)
- Colar em browsers suportados
– Carregar para um domínio de serviço cloud restrito
Google Chrome (com a extensão do Microsoft Purview) - Colar em browsers suportados
- Carregar para um domínio de serviço cloud restrito
Mozilla Firefox (com a extensão do Microsoft Purview) - Carregar para um serviço
cloud restrito – Colar em browsers suportados

Para a ação Colar para browsers suportados , pode haver um breve desfasamento de tempo entre quando o utilizador tenta colar texto numa página Web e quando o sistema termina a classificação e responde. Se esta latência de classificação acontecer, poderá ver notificações de avaliação de políticas e marcar concluídas no Edge ou alertas de avaliação de políticas no Chrome e no Firefox. Seguem-se algumas sugestões para minimizar o número de notificações:

  1. As notificações são acionadas quando uma política para o site de destino é configurada para Bloquear ou Bloquear com a substituição de Colar para browsers suportados para esse utilizador. Pode configurar a ação geral para Auditar e, em seguida, através das exceções, Bloquear os sites de destino. Em alternativa, pode definir a ação geral como Bloquear e, em seguida, através das exceções, Auditar os sites seguros.
  2. Utilize a versão mais recente do cliente Antimalware.
  3. Certifique-se de que a sua versão do Microsoft Edge é 120 ou superior.
  4. Instale estes KBs do Windows:
    1. Windows 10: KB5032278, KB5023773
    2. Windows 11 21H2: KB5023774
    3. Win 11 22H2: KB5032288, KB5023778

Observação

A definição Domínios de serviço aplica-se apenas a ficheiros carregados através do Microsoft Edge ou de uma instância do Google Chrome ou do Mozilla Firefox que tenha a Extensão do Chrome do Microsoft Purview instalada.

Para dispositivos, tem de configurar a lista domínios de serviço confidenciais para utilizar a ação Carregar para um domínio de serviço cloud restrito numa política DLP. Também pode definir grupos de sites aos quais pretende atribuir ações de política diferentes das ações globais do grupo de sites. Pode adicionar um máximo de 100 sites a um único grupo e pode criar um máximo de 150 grupos. Isto fornece um máximo de 15.000 sites aos quais as ações de política podem ser atribuídas. Para obter mais informações, veja Cenário 6: Monitorizar ou restringir atividades de utilizador em domínios de serviço confidenciais.

Importante

Relativamente à ação Colar ao browser suportado . Se a opção "Recolher o ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final" estiver ativada na regra para esta funcionalidade, os carateres de lixo poderão aparecer no texto de origem se o dispositivo Windows do utilizador não tiver a Versão 4.18.23110 do Cliente Antimalware ou posterior instalada. Selecione Ações>Transferir para ver o conteúdo real.

Para obter mais informações, veja Cenário 7: Restringir a colagem de conteúdos confidenciais num browser.

Sintaxe com suporte para designar sites em um grupo de sites

Se utilizar URLs para identificar sites, não inclua o protocolo de rede como parte do URL (por exemplo, https:// ou file://). Em vez disso, utilize uma sintaxe flexível para incluir e excluir domínios, subdomínios, sites e subsites nos seus grupos de sites. Por exemplo,

  • Utilize * como caráter universal para especificar todos os domínios ou todos os subdomínios.
  • Utilize / como terminador no final de um URL para definir o âmbito apenas para esse site específico.

Quando adiciona um URL sem uma marca de barra de terminação ( /), esse URL está no âmbito desse site e de todos os subsites.

Essa sintaxe se aplica a todos os sites http/https. Aqui estão alguns exemplos:

URL adicionado ao grupo de sites A URL corresponderá O URL não corresponde
contoso.com //
// contoso.com contoso.com/ //
contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2
//
//
// allsubdomains.contoso.com allsubdomains.contoso.com.au
contoso.com/ //
// contoso.com contoso.com/
// allsubdomains.contoso.com/au contoso.com/allsubsites1/allsubsites2 contoso.com/allsubsites1 allsubdomains.contoso.com
//
//
//
*.contoso.com //
//contoso.com contoso.com/allsubsites //
contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com
// allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com.au
*.contoso.com/xyz //
//contoso.com contoso.com/xyz //
contoso.com/xyz/allsubsites/ //
allsubdomains.contoso.com/xyz
//allsubdomains.contoso.com/xyz/allsubsites //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //
// contoso.com/xyz allsubdomains.contoso.com/xyz
//
// contoso.com contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/ //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//

Importante

Os URLs suportam estas ações:

  • Imprimir o site
  • Copiar dados do site
  • Guardar o site como ficheiros locais (guardar como)
  • Colar em browsers suportados
  • Carregar para um domínio de serviço cloud restrito

O endereço IP e o intervalo de endereços IP suportam estas ações:

  • Imprimir o site
  • Copiar dados do site
  • Guardar o site como ficheiros locais (guardar como)

Configurações adicionais para DLP do ponto de extremidade

Justificativa de negócios em dicas de política

Pode controlar a forma como os utilizadores interagem com a opção de justificação comercial em Opções para configurar sugestões de política. Esta opção aparece quando os usuários realizam uma atividade protegida pela configuração Bloquear com substituição em uma política DLP. Esta é uma configuração global. Você pode escolher uma das seguintes opções:

  • Mostrar as opções padrão e a área de entrada de texto personalizada: Por padrão, os usuários podem selecionar uma justificação interna ou inserir seu próprio texto.
  • Mostrar apenas as opções predefinidas: os utilizadores estão limitados a selecionar a partir de uma lista de justificações incorporadas.
  • Mostrar apenas uma caixa de texto personalizada: os utilizadores estão limitados a introduzir uma justificação personalizada. A caixa de texto é apresentada na notificação de sugestão de política do utilizador final, sem uma lista de opções.

Personalizando as opções no menu suspenso

Pode criar até cinco opções personalizadas que aparecem quando os utilizadores interagem com a sugestão de notificação de política ao selecionar o menu pendente Personalizar as opções.

Opção Texto padrão
opção 1 Isto faz parte de um fluxo de trabalho empresarial estabelecido ou pode introduzir texto personalizado
opção 2 Meu gerente aprovou esta ação ou você pode inserir um texto personalizado
opção 3 Acesso necessário urgente; Notificarei meu gerente separadamente ou você pode inserir um texto personalizado
Mostrar a opção de falso positivo As informações contidas nestes arquivos não são confidenciais ou você pode inserir um texto personalizado
opção 5 Outro ou você pode inserir um texto personalizado

Ativar o DLP de Ponto Final para Windows Servers

O DLP de ponto final suporta as seguintes versões do Windows Server:

Depois de integrar uma Windows Server tem de ativar o suporte DLP do Ponto Final antes de ser aplicado o endpoint protection.

Para trabalhar com a gestão de alertas DLP dashboard:

  1. No portal do Microsoft Purview, navegue para DescriçãoGeral da Prevenção> de perda de dados.
  2. Selecione Definições no canto superior direito.
  3. Na página Definições , selecione Definições de ponto final e expanda Suporte DLP de Ponto final para servidores integrados.
  4. Defina o botão de alternar para Ativado.

Sempre auditar a atividade dos arquivos para os dispositivos

Por padrão, quando os dispositivos são integrados, a atividade dos arquivos Office, PDF e CSV é auditada automaticamente e fica disponível para análise no explorador de atividades. Desative esta funcionalidade se pretender que esta atividade seja auditada apenas quando os dispositivos integrados estiverem incluídos numa política ativa.

A atividade de ficheiros é sempre auditada para dispositivos integrados, independentemente de estarem incluídos numa política ativa.

Grupos de impressoras

Utilize esta definição para definir grupos de impressoras aos quais pretende atribuir ações de política diferentes das ações de impressão globais.

O caso de utilização mais comum para a criação de grupos de impressoras é utilizá-los para limitar a impressão de contratos apenas a essas impressoras no departamento jurídico de uma organização. Depois de definir um grupo de impressoras aqui, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8 .

Pode criar um máximo de 20 grupos de impressoras. Cada grupo pode conter um máximo de 50 impressoras.

Importante

Os utilizadores do macOS 15/Sequoia poderão ver esta caixa de diálogo "com.microsoft.dlp.daemon" que pretende localizar dispositivos nas suas redes locais. Os administradores podem indicar ao utilizador para selecionar Permitir para permitir que o DLP do ponto final execute corretamente a proteção da impressora.

Imagem do utilizador

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

Vejamos um exemplo. Digamos que pretende que a política DLP bloqueie a impressão de contratos para todas as impressoras, exceto para as que estão no departamento jurídico.

  1. Utilize os seguintes parâmetros para atribuir impressoras em cada grupo.

    • Nome amigável da impressora – obtenha o valor Nome amigável da impressora a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos.
    • Impressora USB – uma impressora ligada através da porta USB de um computador. Selecione esta opção se pretender impor qualquer impressora USB enquanto deixa o ID de produto USB e o ID do fornecedor USB desmarcados. Também pode atribuir uma impressora USB específica ao especificar o respetivo ID de produto USB e o ID do fornecedor USB.
    • ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor no formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
    • ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo da impressora no gestor de dispositivos. Converta esse valor para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
    • Intervalo IP
    • Imprimir para ficheiro - Microsoft Print para PDF ou Microsoft XPS Document Writer. Se apenas quiser impor o Microsoft Print para PDF, deve utilizar o Nome amigável da impressora com "Microsoft Print para PDF".
    • Impressão universal implementada numa impressora – para obter mais informações sobre impressoras universais, consulte Configurar a Impressão Universal.
    • Impressora empresarial – é uma fila de impressão partilhada através do servidor de impressão do Windows no local no seu domínio. O caminho poderá ter o seguinte aspeto: \print-server\contoso.com\legal_printer_001.
    • Imprimir para local – qualquer impressora que se ligue através da porta de impressão da Microsoft, mas não qualquer um dos tipos acima. Por exemplo: imprimir através do ambiente de trabalho remoto ou redirecionar impressora.

Observação

Não deve utilizar vários parâmetros de impressora USB, intervalo de IP, Imprimir para ficheiro, Impressão universal implementada numa impressora, Impressora empresarial e Imprimir no local.

  1. Atribua um Nome a apresentar a cada impressora no grupo. Estes nomes só aparecem na consola do Microsoft Purview.

  2. Crie um grupo de impressoras com o nome Impressoras legais e adicione impressoras individuais (com um alias) pelo nome amigável; por exemplo: legal_printer_001, legal_printer_002e legal_color_printer. (Pode selecionar vários parâmetros de uma só vez para o ajudar a identificar de forma inequívoca uma impressora específica.)

  3. Atribua as ações de política ao grupo numa política DLP:

    • Allow (auditar sem notificações ou alertas de utilizador)
    • Audit only (pode adicionar notificações e alertas)
    • Block with override (bloqueia a ação, mas o utilizador pode substituir)
    • Block (blocos, aconteça o que acontecer)

Criar um grupo Impressora

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições do Ponto Finalde Prevenção> de Perda de Dados DLP Grupos deimpressoras>.
  2. Selecione + Criar grupo de impressoras.
  3. Dê um nome ao grupo.
  4. Selecione Adicionar impressora.
  5. Atribua um Nome amigável à impressora. O nome que selecionar só é apresentado aqui.
  6. Selecione os parâmetros e forneça os valores para identificar inequívocamente a impressora específica.
  7. Selecione Adicionar.
  8. Adicione outras impressoras conforme necessário.
  9. Selecione Guardar e , em seguida, Fechar.

Grupos de extensões de ficheiros

Utilize esta definição para definir grupos de extensões de ficheiro aos quais pretende atribuir ações de política. Por exemplo, não foi possível analisar apenas uma política Ficheiro para extensões de ficheiros nos grupos criados.

Observação

Não adicione '.' enquanto adiciona a extensão.

Desativar classificação

Utilize esta definição para excluir extensões de ficheiro específicas da classificação DLP do Ponto Final.

Para ficheiros que estão na lista Ficheiros monitorizados , pode desativar a classificação através desta definição. Depois de colocar uma extensão de ficheiro nesta definição, o DLP de Ponto Final não analisará o conteúdo em ficheiros com esta extensão. Como resultado, o DLP de Ponto Final não fará uma avaliação de política com base no conteúdo desses ficheiros. Não poderá ver informações de conteúdo para efeitos de realização de investigações.

Observação

Não adicione '.' enquanto adiciona a extensão.

Grupos de dispositivos USB amovíveis

Utilize esta definição para definir grupos de dispositivos de armazenamento amovíveis, como pen USB, aos quais pretende atribuir ações de política diferentes das ações de impressão globais. Por exemplo, digamos que pretende que a política DLP bloqueie a cópia de itens com especificações de engenharia para dispositivos de armazenamento amovíveis, exceto os discos rígidos ligados por USB designados que são utilizados para criar cópias de segurança de dados para armazenamento fora do local.

Pode criar um máximo de 20 grupos, com um máximo de 50 dispositivos de armazenamento amovíveis em cada grupo.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Win 11 21H2, 22H2 com KB 5018483
  • Windows 10 RS5 (5006744 KB) e Windows Server 2022

Utilize os seguintes parâmetros para definir os seus dispositivos de armazenamento amovíveis.

  • Nome amigável do dispositivo de armazenamento – obtenha o valor Nome amigável a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
  • ID do produto USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
  • ID do fornecedor USB – obtenha o valor do caminho da Instância do Dispositivo a partir dos detalhes da propriedade do dispositivo USB no gestor de dispositivos. Converta-o para o formato ID do Produto e ID do Fornecedor. Para obter mais informações, veja Standard identificadores USB.
  • ID do número de série – obtenha o valor do ID do número de série a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
  • ID do Dispositivo – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
  • ID do caminho da instância – obtenha o valor do ID do dispositivo a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.
  • ID de Hardware – obtenha o valor do ID de hardware a partir dos detalhes da propriedade do dispositivo de armazenamento no gestor de dispositivos. Há suporte para valores curinga.

Atribui um Alias a cada dispositivo de armazenamento amovível no grupo. O alias é um nome amigável que só aparece na consola do Microsoft Purview. Assim, continuando com o exemplo, criaria um grupo de dispositivos de armazenamento amovível com o nome Cópia de Segurança e adicionaria dispositivos individuais (com um alias) pelo nome amigável, como backup_drive_001, e backup_drive_002.

Pode selecionar vários parâmetros e, em seguida, o grupo de impressoras inclui todos os dispositivos que satisfazem esses parâmetros.

Pode atribuir estas ações de política ao grupo numa política DLP:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with substituir (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Criar um grupo de dispositivos USB amovível

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLP de Ponto Finalde Prevenção> de Perda de DadosGrupos de dispositivos USB amovíveis.>
  2. Selecione + Criar grupo de dispositivos de armazenamento amovível.
  3. Indique um Nome do grupo.
  4. Selecione Adicionar dispositivo de armazenamento amovível.
  5. Forneça um Alias.
  6. Selecione os parâmetros e forneça os valores para identificar de forma inequívoca o dispositivo específico.
  7. Selecione Adicionar.
  8. Adicione outros dispositivos ao grupo conforme necessário.
  9. Selecione Guardar e , em seguida, Fechar.

O caso de utilização mais comum para criar grupos de armazenamento amovíveis é utilizá-los para especificar para que dispositivos de armazenamento amovíveis os utilizadores podem copiar ficheiros. Geralmente, a cópia só é permitida para dispositivos num grupo de Cópia de Segurança designado.

Depois de definir um grupo de dispositivos de armazenamento amovível, pode utilizá-lo em todas as políticas que estão confinadas a Dispositivos. Veja Cenário 8: Grupos de autorização para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização.

Grupos de partilha de rede

Utilize esta definição para definir grupos de caminhos de partilha de rede aos quais pretende atribuir ações de política diferentes das ações de caminho de partilha de rede global. Por exemplo, digamos que pretende que a política DLP impeça os utilizadores de guardar ou copiar ficheiros protegidos para partilhas de rede, exceto as partilhas de rede num grupo específico.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma das seguintes versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Win 11 21H2, 22H2 com KB 5018483
  • Windows 10 RS5 (5006744 KB) e Windows Server 2022

Para incluir caminhos de partilha de rede num grupo, defina o prefixo com o qual todas as partilhas começam. Por exemplo:

  • '\Library' corresponderá a:

    • \Pasta biblioteca e todas as respetivas subpastas.
  • Pode utilizar Carateres Universais, por exemplo , "\Utilizadores*\Ambiente de Trabalho" corresponderá:

    • '\Utilizadores\utilizador1\Ambiente de Trabalho'
    • '\Utilizadores\utilizador1\utilizador2\Ambiente de Trabalho'
    • '\Utilizadores*\Ambiente de Trabalho'
  • Também pode utilizar variáveis ambientais, por exemplo:

    • %AppData%\app123

Pode atribuir as seguintes ações de política ao grupo numa política DLP:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with override (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Depois de definir um grupo de partilha de rede, pode utilizá-lo em todas as políticas DLP que estão confinadas a Dispositivos. Para obter mais informações sobre como configurar ações de política para utilizar grupos de autorização, veja Grupos de autorização do Cenário 8.

Criar um grupo de Partilha de Rede

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemdefinições deDescrição Geral da Prevenção>> de Perda de Dados no canto > superior direito Definições do Ponto Final de Prevenção> de Perda de DadosDLPGrupos de partilha de >rede.
  2. Selecione + Criar grupo de partilha de rede.
  3. Indique um Nome do grupo.
  4. Adicione o caminho do ficheiro à partilha.
  5. Selecione Adicionar.
  6. Adicione outros caminhos de partilha ao grupo conforme necessário.
  7. Selecione Guardar e , em seguida, Fechar.

Configurações da VPN

Utilize a lista de VPN para controlar apenas as ações que estão a ser realizadas nessa VPN.

Observação

Esta funcionalidade está disponível para dispositivos com qualquer uma destas versões do Windows:

  • Windows 10 e posterior (21H1, 21H2) com 5018482 KB
  • Windows 11 21H2, 22H2 com 5018483 KB
  • Windows 10 RS5 (KB 5006744)

Quando lista uma VPN nas Definições de VPN, pode atribuir-lhes as seguintes ações de política:

  • Allow (auditar sem notificações ou alertas de utilizador)
  • Audit only (pode adicionar notificações e alertas)
  • Block with override (bloqueia a ação, mas o utilizador pode substituir)
  • Block (blocos, aconteça o que acontecer)

Estas ações podem ser aplicadas individual ou coletivamente às seguintes atividades de utilizador:

  • Copiar para a área de transferência
  • Copiar para um dispositivo amovível USB
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover com a aplicação Bluetooth não permitida (restrita)
  • Copiar ou mover com RDP

Ao configurar uma política DLP para restringir a atividade nos dispositivos, pode controlar o que acontece a cada atividade realizada quando os utilizadores estão ligados à sua organização dentro de qualquer uma das VPNs listadas.

Utilize os parâmetros Endereço do servidor ou Endereço de rede para definir a VPN permitida.

Obter o Endereço do servidor ou o Endereço de rede

  1. Num dispositivo Windows monitorizado por DLP, abra uma janela de Windows PowerShell como administrador.
  2. Execute o seguinte cmdlet, que devolve vários campos e valores.
Get-VpnConnection
  1. Entre os resultados do cmdlet, localize o campo ServerAddress e registe esse valor. Utilize o ServerAddress quando cria uma entrada VPN na lista de VPN.
  2. Localize o campo Nome e registe esse valor. O campo Nome mapeia para o campo Endereço de rede quando cria uma entrada VPN na lista de VPN.

Adicionar uma VPN

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Abra o portal do Microsoft Purview e navegue para o ícone de engrenagemde definições de Descrição Geral da Prevenção>> de Perda de Dados no canto > superior direitoDefinições de DLPde Ponto Final de Prevenção> de Perda de Dadosdefinições> de VPN.
  2. Selecione Adicionar ou editar endereços VPN.
  3. Indique o Endereço do servidor ou o Endereço de rede que registou depois de executar .Get-VpnConnection
  4. Selecione Salvar.
  5. Feche o item.

Importante

Na definição Restrições de rede, também verá Rede empresarial como uma opção. As ligações de rede empresarial são todas ligações aos recursos da sua organização. Pode ver se o dispositivo está a utilizar uma rede empresarial ao executar o Get-NetConnectionProfile cmdlet como administrador. Se o NetworkCategoryId na saída for DomainAuthenticated, significa que o computador está ligado à rede empresarial. Se o resultado for qualquer outra coisa, o computador não é . Em alguns casos, um computador pode estar ligado à VPN e à Rede empresarial ligada. Se ambos estiverem selecionados nas Restrições de rede, o DLP de Ponto Final aplicará a ação com base na ordem. Se quiser que a ação da VPN seja a aplicada, mova a entrada VPN acima da Rede empresarial para ter uma prioridade superior à ação da Rede empresarial.

Veja Cenário 9: Exceções de rede para obter mais informações sobre como configurar ações de política para utilizar exceções de rede.

Confira também