Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Introducción
El Portapapeles protegido en Microsoft Edge para negocios está diseñado para ayudar a las organizaciones a proteger la información confidencial mediante el control de las acciones de copia y pegado entre aplicaciones web administradas y no administradas. Al aprovechar las configuraciones de las directivas DLP de Purview destinadas a aplicaciones en la nube administradas, el Portapapeles protegido ayuda a garantizar que los datos permanezcan dentro de los límites de confianza definidos por el administrador, lo que reduce el riesgo de pérdida de datos accidental o intencionada, especialmente a medida que los usuarios interactúan con las herramientas modernas de SaaS y GenAI.
El Portapapeles protegido en Edge para empresas permite a las organizaciones proteger los datos confidenciales en el nivel del Portapapeles, equilibrando la seguridad y la productividad. Con el cumplimiento basado en directivas, la experiencia de usuario silenciosa y los controles de administración flexibles, es una solución moderna para los flujos de trabajo basados en exploradores actuales.
Nota
Este documento se centra principalmente en la implementación mediante directivas DLP de Microsoft Purview destinadas a aplicaciones en la nube administradas con Edge for Business (E5). Para las organizaciones que usan Microsoft 365 E3 con Intune Mobile Application Management (MAM), consulte la sección siguiente sobre cómo se aplica el Portapapeles protegido a los perfiles de trabajo.
Acerca de la protección de pantalla Captura
Para obtener una historia más sólida y unificada sobre la protección del Portapapeles, Edge para empresas también incluye la protección de pantalla Captura. Esta característica restringe las capturas de pantalla y las grabaciones durante las sesiones de exploración protegidas para proteger los datos confidenciales de la empresa. Cuando está habilitada, la captura de pantalla solo se bloquea automáticamente en páginas o sitios en los que está activa una directiva Copy:Block. Las capturas de pantalla se tratan como una extensión de la protección de copia, lo que ayuda a evitar la filtración de datos no autorizados a través de la captura de pantalla, junto con los controles del Portapapeles.
Cuando se configura el botón de alternancia Portapapeles protegido en el portal del servicio de administración perimetral, la directiva De pantalla Captura protección también se habilitará de forma predeterminada. Esto garantiza que los controles de captura de pantalla y portapapeles funcionen conjuntamente para evitar la pérdida de datos. Las capturas de pantalla se pueden usar para omitir las restricciones del Portapapeles, por lo que habilitar ambas directivas de forma predeterminada proporciona una capa de protección más completa para los datos empresariales confidenciales.
Nota
La directiva de protección de pantalla Captura solo se aplica a sitios o páginas con una directiva DLP Copy:Block Purview. No bloquea las capturas de pantalla globalmente; el cumplimiento está limitado a las ubicaciones donde está activa la protección contra copias.
Resumen del ámbito: en la ruta de acceso de Purview E5, SCP es por sitio/por aplicación, solo se activa cuando está activa una regla Copy:Block. En la ruta de acceso E3 Intune MAM, SCP es de todo el perfil, se activa como efecto secundario de la directiva del Portapapeles mam y se aplica a todas las pestañas del perfil de trabajo perimetral.
Para las organizaciones que buscan restricciones de captura de pantalla más amplias más allá de las directivas DLP de Purview destinadas a las aplicaciones en la nube administradas, Microsoft Edge también admite controles globales como DisableScreenshots Policy:
Los administradores pueden bloquear capturas de pantalla en todos los sitios de Edge para empresas mediante la documentación de la directiva del explorador Microsoft Edge DisableScreenshots | Microsoft Learn
Esta directiva deshabilita la captura de pantalla integrada de Edge y las características de Captura web para todos los sitios, pero no bloquea las herramientas de nivel de sistema operativo (como la herramienta de recorte de Windows).
Requisitos
Para usar la protección del Portapapeles protegido y la pantalla Captura, asegúrese de que el entorno cumple los siguientes requisitos previos:
| Componente | Requerido para |
|---|---|
| Microsoft Edge para negocios (más reciente) | Todos los escenarios |
| Microsoft 365 E5 (o complemento de seguridad E5/ Cumplimiento E5) | Controles de sesión DLP + MDA de Purview (E5) |
| Microsoft 365 E3 con Intune MAM | Ruta de acceso de límite del perfil de trabajo E3 |
| Microsoft Defender for Cloud Apps (MDA) | Alternancia de protección en el explorador (E5) |
| id. de Entra P1+ | Directiva de acceso condicional (E5) |
| Acceso al portal del servicio de administración perimetral | Alternancia del Portapapeles protegido |
| Acceso al portal de Microsoft Purview | Creación de directivas DLP (E5) |
Definición de límites de confianza para E5
El Portapapeles protegido en Microsoft Edge para negocios permite a las organizaciones definir cómo y dónde se pueden mover los datos confidenciales mediante copiar y pegar. Mediante la configuración de directivas DLP de Purview, los administradores pueden establecer su límite de confianza. Un límite de confianza significa que los datos dentro del límite no pueden salir y no se puede pegar fuera. Al mismo tiempo, pueden entrar datos de fuera del límite, lo que permite pegarlos dentro cuando sea necesario.
Se describe un límite de confianza como un conjunto de aplicaciones web administradas y sitios donde los datos del Portapapeles pueden fluir de forma segura. Los intentos de mover datos fuera de este límite (por ejemplo, en aplicaciones no administradas, pestañas de explorador personal o herramientas de GenAI) se bloquean silenciosamente, lo que reduce el riesgo de fugas de datos sin interrumpir la productividad del usuario.
Los límites de confianza se establecen mediante configuraciones realizadas en directivas DLP de Purview destinadas a aplicaciones en la nube administradas. Los administradores pueden:
- Especificar aplicaciones en la nube administradas que se incluirán en el límite de la directiva
- Directivas de destino para usuarios o grupos específicos
- Ajustar los límites a medida que evolucionan las necesidades de la organización
Cuando una directiva DLP de Purview destinada a nubes administradas con una regla aplicada a la acción Copiar está activa, Edge aplica automáticamente los controles del Portapapeles en función de estos límites, lo que ayuda a evitar que los datos confidenciales se peguen fuera del límite de confianza.
Límite de confianza para E3
El Portapapeles protegido también está disponible para las organizaciones que usan Microsoft 365 E3 con Intune Mobile Application Management (MAM). En este escenario, el límite de confianza es el perfil de trabajo perimetral. Todas las acciones de copiar y pegar están restringidas dentro del perfil de trabajo administrado. Es decir, los datos no se pueden pegar fuera del perfil, lo que garantiza que la información confidencial permanece protegida incluso en dispositivos BYOD o no administrados. Para obtener más información sobre cómo configurar este escenario, vea Portapapeles protegido en perfiles MAM.
- Límite de confianza: Perfil de trabajo perimetral (identidad de identificador de Entra)
- Cumplimiento de directivas: Los administradores configuran Intune directivas MAM para restringir la copia y pegado en el perfil de trabajo.
- Experiencia del usuario: Copiar y pegar solo se permite entre sitios y aplicaciones dentro del perfil administrado. Los intentos de pegar fuera del perfil se bloquean con el mensaje: "Los datos de la organización no se pueden pegar aquí".
Por qué importan los modos
Las distintas organizaciones y escenarios requieren distintos niveles de control del Portapapeles gobernado. El Portapapeles protegido ofrece varios modos de cumplimiento, cada uno de los cuales forma el límite de confianza de una manera única. Estos modos le permiten equilibrar la seguridad y la productividad, lo que ayuda a proteger el uso compartido de datos, mientras que los usuarios pueden trabajar de forma eficaz en entornos aprobados. Los administradores pueden ajustar estos límites a medida que evolucionan las necesidades de la organización.
Modos de portapapeles protegidos explicados
| Modo | ¿Qué ocurre con los datos? (Resultado de límite de confianza) | Directiva DLP de Purview para aplicaciones en la nube administradas |
|---|---|---|
| No configurado | Los datos se pueden mover libremente. No se aplica ningún límite de confianza. Los usuarios pueden copiar y pegar entre aplicaciones administradas. | Se aplican las reglas de directiva de Purview, que pueden incluir el bloqueo de la copia. |
| Tab-Only | Los datos permanecen dentro del límite de confianza de la misma pestaña del explorador. Copiar y pegar está bloqueado fuera de esa pestaña. |
Se activa mediante las configuraciones Copy:Audit o Copy:Block . Permite que una aplicación administrada con Auditoría o Bloque copie o pegue dentro de la misma pestaña. |
| Límite compartido | Estas aplicaciones administradas forman un límite de confianza compartido. Los datos del Portapapeles no pueden abandonar este grupo de aplicaciones administradas. |
Activado por las configuraciones Copy:Block . Solo las aplicaciones administradas con bloquear el Portapapeles de recursos compartidos. Las aplicaciones administradas en directivas de solo auditoría se excluyen y no forman parte del límite. |
| Híbrida | Estos sitios comparten un límite de confianza más amplio. |
Activado por las configuraciones Copy:Audit o Copy:Block . Las aplicaciones con auditoría pueden pegarse en aplicaciones con Bloquear. Las aplicaciones administradas con Block no se pueden pegar en aplicaciones con Auditoría. Las aplicaciones administradas con Block se limitan al comportamiento de la misma pestaña. |
Todos los modos requieren una regla mediante la directiva DLP de Purview de configuración de copia configurada a través de Microsoft Purview.
Cómo elegir un modo
- Comience con los objetivos de protección de datos: ¿Desea mantener los datos dentro de una sola aplicación, grupos de aplicaciones o permitir un uso compartido más amplio dentro de aplicaciones de confianza?
- Considere los flujos de trabajo de usuario: si los usuarios necesitan copiar entre varias aplicaciones administradas, shared boundary o hybrid pueden ser los mejores. Para el aislamiento estricto, Tab-Only es ideal.
- Supervisión y ajuste: use los informes para ver cómo funcionan las directivas y refinar los límites de confianza según sea necesario.
Introducción
El Portapapeles protegido está diseñado para una integración sencilla y sin problemas en los flujos de trabajo de seguridad existentes. Consulte Ayuda para evitar que los usuarios compartan información confidencial con aplicaciones en la nube en Edge para empresas | Microsoft Learn para empezar.
La configuración del Portapapeles protegido con DLP de Purview requiere la configuración en cuatro portales en este orden:
Paso 1: Entra: Crear una directiva de acceso condicional
- Vaya a
entra.microsoft.com>Acceso> condicionalNueva directiva. - En Usuarios de asignaciones>, seleccione el grupo de usuarios piloto.
- En Recursos de destino> Aplicaciones en lanube, seleccione Office 365. Esta es una configuración de ejemplo. Puede seleccionar las aplicaciones conectadas a los inquilinos con Entra. Más información.
- En Condiciones>Aplicaciones cliente, seleccione Solo explorador.
- En Sesión, seleccione Usar control de aplicaciones> de acceso condicionalUsar directiva personalizada.
- Habilite y guarde la directiva.
Paso 2: Autenticación una vez para registrar aplicaciones con ca App Control
Una vez activa la directiva de CA, al menos un usuario de destino debe iniciar sesión en una de las aplicaciones en la nube de ámbito (Outlook en la Web, OneDrive, SharePoint, etc.) antes de continuar. Las aplicaciones solo aparecen en la lista de aplicaciones de Control de aplicaciones de CA de Defender después de que un usuario se autentique por primera vez a través de la directiva de CA. Si la lista está vacía, Edge para empresas no detectará la directiva de CA y la directiva DLP de Purview no se aplicará.
Para comprobar que el paso 2 ha funcionado: enConfiguración del>sistema>Aplicaciones> en security.microsoft.com> la nube Aplicaciones decontrol de aplicaciones de acceso condicional, confirme que aparece al menos una aplicación con Estado: Habilitado, IDP: Entra aplicación de identificador.
Paso 3: Defender for Cloud Apps: Activar la protección del explorador Edge for Business
- Vaya a
security.microsoft.com>Configuración del>sistema> Aplicaciones > enla nubeControl> de aplicaciones de acceso condicionalEdge for Business Protection. - Establezcala protección = del explorador De Edge para empresasactivada.
- Establezca Aplicar uso = Permitir el acceso solo desde Edge (obligatorio).
- Establezca Aplicar para qué dispositivos = solo todos los dispositivos o dispositivos no administrados.
- Establezca Notify users in non-Edge browsers ON (Notificar a los usuarios en exploradores que no son = deEdge EN ACTIVADO).
- Guardar.
Paso 4: Purview: Creación de la directiva DLP con la regla de copia
- Vaya a
purview.microsoft.com→directivas>DLP>Crear directiva. - En Ubicación, seleccione Aplicaciones en la nube administradas (ubicadas en la parte inferior de la lista de ubicaciones).
- Edite la ubicación y agregue aplicaciones de destino a las mismas aplicaciones que la directiva de CA (por ejemplo: Exchange Online, SharePoint Online, etc.).
- Establecer Condición = de reglaEl dispositivo está administrado o El dispositivo no está administrado (cree dos reglas si tiene como destino ambos estados de dispositivo).
- Establezca elbloquede cumplimientode copia> de = actividad = .
- Habilite y guarde la directiva.
Si ve un banner de la directiva de acceso condicional no encontrada , confirme que la configuración se corrigió para la directiva de CA y la protección perimetral para empresas en los pasos 2 y 3.
Paso 5: Servicio de administración perimetral: Habilitación del Portapapeles protegido
- Vaya al Centro de administración de Microsoft 365 e inicie sesión.
- En la barra de navegación principal izquierda, vaya a Configuración > Microsoft Edge.
- Cree una directiva de configuración (los valores predeterminados son correctos).
- Edite la configuración de personalización dedirectiva > Configuración >de seguridad.
- Establecer el Portapapeles = protegidoEN El> modo de aplicación select (normalmente Límite compartido).
- Guarde y asigne.
Paso 6: esperar a la propagación y, a continuación, probar
- Las directivas del explorador se aplican normalmente dentro de aproximadamente 1 hora; la propagación completa puede tardar hasta un día
- Compruebe en un dispositivo no administrado (nuestro escenario principal) o dispositivo que coincida con la condición establecida en la directiva iniciando sesión en una cuenta de usuario de destino, copiando desde una aplicación administrada y confirmando que el pegado está bloqueado fuera del límite
- Ejecutar
edge://policy/en el perfil de trabajo para confirmar que las directivas del Portapapeles protegido aparecen como aplicadas
Nota
Cuando se configura el botón de alternancia Portapapeles protegido en el portal del servicio de administración perimetral, la directiva De pantalla Captura protección también se habilitará de forma predeterminada. Consulte la sección anterior para obtener más información.
Errores de instalación comunes y cómo corregirlos
| Síntoma | Causa principal | Resolución |
|---|---|---|
| Banner "Directiva de acceso condicional no encontrada" en Purview O bien "No se encontró la configuración de Edge for Business" en Purview. |
Falta la configuración de la directiva de CA o la configuración de Edge para empresas o no es correcta. | Compruebe las configuraciones de la directiva de CA y las configuraciones de Edge para empresas (paso 2 y 3) |
| La ubicación de "Aplicaciones en la nube administradas" está atenuada en Purview | Igual que arriba | Misma corrección |
| Directiva creada pero sin aplicar | Propagación incompleta | Las directivas del explorador se aplican normalmente dentro de aproximadamente 1 hora; la propagación completa puede tardar hasta un día |
| Comportamiento imprevisible después de crear manualmente una directiva de sesión de Defender | La directiva manual en las directivas de Defender → → el acceso condicional entra en conflicto con la directiva desencadenada automáticamente | Elimine la directiva manual. La directiva de Purview desencadena automáticamente MDA: no se requiere la creación manual. |
Pestañas perimetrales que redirigen a *.mcas.ms direcciones URL |
Reserva híbrida comprometida porque la directiva incluye acciones que Edge no puede aplicar en el explorador | Se esperaba para acciones no admitidas; revisar la directiva si no se desea |
| Captura de pantalla que sigue funcionando en una página de aplicación administrada | Copy:Block rule (Copiar:Bloquear regla) no está activa en esa dirección URL o aplicación específica | SCP es por sitio/por aplicación en la ruta de acceso E5. Comprobación de la cobertura de aplicación o condición de la regla de Purview |
Personalización adicional (próximamente)
El Portapapeles protegido y los controles de directiva relacionados se encuentran actualmente en versión preliminar. Se planean opciones de personalización adicionales para futuras versiones, desarrolladas en estrecha colaboración con el equipo de Microsoft Purview. Estas mejoras permitirán una aplicación y flexibilidad más granulares, y proporcionarán a los administradores un mayor control sobre los escenarios de protección de datos para adaptarse a necesidades empresariales únicas, grupos de usuarios y requisitos de cumplimiento, lo que proporciona una posición de seguridad más sólida y adaptable.
Consulte el plan de desarrollo de Microsoft 365 para Edge para empresas para obtener la información más actualizada sobre la disponibilidad de características.
Nota
Como estas características están en versión preliminar, la funcionalidad y la disponibilidad pueden cambiar. Para obtener las actualizaciones más recientes, consulte la documentación oficial de Microsoft y las comunicaciones de hoja de ruta.
Comentarios y soporte técnico
Esta experiencia es compatible con Soporte técnico de Microsoft. Puede ponerse en contacto con Soporte técnico de Microsoft para informar de problemas o enviar comentarios. También puede dejar comentarios en nuestro Foro deTechCommunity.