Ayudar a evitar el uso compartido de elementos confidenciales a través de SharePoint y OneDrive con usuarios externos

En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP) que ayude a evitar que los usuarios compartan elementos confidenciales a través de SharePoint y OneDrive con usuarios externos. Trabaje en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.

Para SharePoint y OneDrive, cree una directiva que ayude a evitar el uso compartido de elementos confidenciales con usuarios externos a través de SharePoint y OneDrive.

Importante

En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.

La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.

Requisitos previos y supuestos

En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que es necesario crear y publicar etiquetas de confidencialidad. Para más información, vea:

Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.

Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.

Asignación y instrucción de intención de directiva

Debemos bloquear todo el uso compartido de elementos de SharePoint y OneDrive a todos los destinatarios externos que contengan números de seguridad social, datos de tarjetas de crédito o que tengan la etiqueta de confidencialidad "Confidencial". No queremos que esto se aplique a nadie del equipo de recursos humanos. También tenemos que cumplir los requisitos de alerta. Queremos notificar a nuestro equipo de seguridad con un correo electrónico cada vez que se comparte un archivo y, a continuación, se bloquea. Además, queremos que se alerte al usuario por correo electrónico y dentro de la interfaz, si es posible. Por último, no queremos ninguna excepción a la directiva y es necesario poder ver esta actividad dentro del sistema.

Instrucción Pregunta de configuración respondida y asignación de configuración
"Tenemos que bloquear todo el uso compartido de elementos de SharePoint y OneDrive para todos los destinatarios externos..." - Ámbito administrativo: directorio
completo- Dónde supervisar: Aplicaciones empresariales & dispositivos, sitios de SharePoint, cuentas
de OneDrive- Condiciones para una coincidencia: Primera condición>Compartida fuera de mi organización
- Acción: Restringir el acceso o cifrar el contenido en ubicaciones> de Microsoft 365Impedir que los usuarios reciban correo electrónico o accedan a SharePoint compartido, OneDrive>Bloquear solo a personas fuera de su organización
"... que contienen números de seguridad social, datos de tarjetas de crédito o que tienen la etiqueta de confidencialidad "Confidencial"..." - Qué supervisar: use la plantilla
personalizada - Condición para una coincidencia: cree una segunda condición que esté unida a la primera condición con un valor booleano AND
- Condiciones para una coincidencia: Segunda condición, primer grupo > de condiciones Contenido contiene tipos> de información confidencialU.S. Social Security Number (SSN), Configuración delgrupo de condición Número
- de tarjeta de créditoCrear un segundo grupo de condición conectado al primero por or
booleano- Condición para una coincidencia: segundo grupo de condiciones, segunda condición >El contenido contiene cualquiera de estas etiquetas> de confidencialidadConfidencial.
“... No queremos que esto se aplique a nadie en el equipo de recursos humanos..." - Dónde aplicar: excluir las cuentas de OneDrive del equipo de recursos humanos
"... Queremos notificar a nuestro equipo de seguridad con un correo electrónico cada vez que se comparte un archivo y, a continuación, se bloquea..." - Informes de incidentes: envíe una alerta a los administradores cuando se produzca una coincidencia de regla: envíe alertas
por correo electrónico a estas personas (opcional): agregue el equipo
de seguridad : envíe una alerta cada vez que una actividad coincida con la regla: seleccionada
: Use informes de incidentes de correo electrónico para notificarle cuando se produzca una coincidencia de directiva: Al
enviar notificaciones a estas personas: agregue administradores individuales como desee
: también puede incluir la siguiente información en el informe: seleccionar todas las opciones
"... Además, queremos que se alerte al usuario por correo electrónico y dentro de la interfaz si es posible..." - Notificaciones de usuario:
On- Notificar a los usuarios en Office 365 con una sugerencia de directiva: seleccionada
“... Por último, no queremos excepciones a la directiva y necesitamos poder ver esta actividad dentro del sistema..." -Invalidaciones de usuario: no seleccionadas

Al configurar las condiciones, el resumen tiene el siguiente aspecto:

Condiciones de directiva para el resumen de coincidencias del escenario 2.

Pasos para crear la directiva

Importante

Para este procedimiento de creación de directivas, deje la directiva desactivada. Cambie esta configuración al implementar la directiva.

  1. Inicie sesión en el portal de Microsoft Purview.
  2. Seleccione Directivas de prevención>> de pérdida de datos+ Crear directiva.
  3. Seleccione Aplicaciones empresariales & dispositivos.
  4. Seleccione Personalizado en la lista Categorías y en la lista Reglamentos .
  5. Seleccione Siguiente.
  6. Escriba un nombre y una descripción para la directiva. Puede usar la instrucción de intención de directiva aquí.

Importante

No se puede cambiar el nombre de las directivas.

  1. Seleccione Siguiente.
  2. Acepte el directorio completo predeterminado en la página Asignar unidades de administrador .
  3. Seleccione Siguiente.
  4. Elija dónde aplicar la directiva.
    1. Asegúrese de que los sitios de SharePoint y las ubicaciones de cuentas de OneDrive están seleccionados.
    2. Anule la selección de todas las demás ubicaciones.
    3. Seleccione Editar en la columna Acciones junto a cuentas de OneDrive.
    4. Seleccione Todos los usuarios y grupos y, a continuación, seleccione Excluir usuarios y grupos.
    5. Seleccione +Excluir y, a continuación, Excluir grupos.
    6. Seleccione Recursos humanos.
  5. Seleccione Listo y, a continuación, seleccione Siguiente.
  6. En la página Definir configuración de directiva , ya debe seleccionarse la opción Crear o personalizar reglas DLP avanzadas . Seleccione Siguiente.
  7. En la página Personalizar reglas DLP avanzadas , seleccione + Crear regla.
  8. Asigne a la regla un nombre y una descripción.
  9. Seleccione Agregar condición y use estos valores:
    1. Seleccione Contenido compartido de Microsoft 365.
    2. Seleccione con personas ajenas a mi organización.
  10. Seleccione Agregar condición para crear una segunda condición y usar estos valores.
    1. Seleccione Contenido que contiene.
  11. Seleccione Agregar>etiquetas de confidencialidad> y, a continuación, Confidencial.
  12. Seleccione Agregar.
  13. En Acciones, agregue una acción con estos valores:
    1. Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.
    2. Bloquee solo a personas ajenas a su organización.
  14. Establezca el botón de alternancia Notificaciones de usuarioen Activado.
  15. Seleccione Notificar a los usuarios en Office 365 servicios con una sugerencia de directiva y, a continuación, seleccione Notificar al usuario que envió, compartió o modificó por última vez el contenido.
  16. En Invalidaciones de usuario, asegúrese de que no esté seleccionada la opción Permitir invalidación de servicios M365.
  17. En Informes de incidentes:
    1. Establezca Use this severity level in admin alerts and reports (Usar este nivel de gravedad en alertas e informes de administración) enBajo.
    2. Establezca el botón de alternancia para Enviar una alerta a los administradores cuando se produzca una coincidencia de reglaen Activado.
  18. En Enviar alertas de correo electrónico a estas personas (opcional), elija + Agregar o quitar usuarios y agregue la dirección de correo electrónico del equipo de seguridad.
  19. Seleccione Guardar y, a continuación, seleccione Siguiente.
  20. En la página Modo de directiva, elija Ejecutar la directiva en modo de simulación y Mostrar sugerencias de directiva mientras está en modo de simulación.
  21. Seleccione Siguiente y luego Enviar.
  22. Seleccione Listo.

Variant: Bloquear dominios o usuarios externos específicos (versión preliminar pública)

Esta variante usa el mismo escenario que anteriormente, pero intercambia la acción para mostrar la subopción Bloquear acceso para dominios externos o usuarios específicos , disponible en versión preliminar pública solo para SharePoint y OneDrive. Use esta variante cuando necesite bloquear el acceso a una lista específica de dominios externos o SMTP de usuario en lugar de bloquear todos los destinatarios externos.

Instrucción de intención de directiva (variant)

Tenemos que bloquear el uso compartido de elementos de SharePoint y OneDrive que contengan números de seguridad social, datos de tarjetas de crédito o la etiqueta de confidencialidad "Confidencial" para las personas de nuestra lista de dominios externos restringidos (por ejemplo, adatum.com) y para SMTP invitados específicos (por ejemplo, [email protected]). Se permiten todos los demás destinatarios externos. No queremos que esto se aplique a nadie del equipo de recursos humanos. Las alertas se admiten para esta acción. La notificación de usuario y la funcionalidad de invalidación no se admiten para esta acción.

Asignación de configuración (variante)

Instrucción Pregunta de configuración respondida y asignación de configuración
"... bloquear el uso compartido... a las personas de nuestra lista de dominios externos restringidos... y a SMTPs invitados específicos..." - Acción: restringir el acceso o cifrar el contenido en ubicaciones> de Microsoft 365Impedir que los usuarios reciban correo electrónico o accedan a SharePoint compartido,acceso de bloque de OneDrive >para dominios externos o usuarios específicos
: especifique cada dominio restringido con Dominio IS (por ejemplo, adatum.com).
: especifique cada usuario restringido con User IS (por ejemplo, [email protected]).
- (Opcional) Use Domain IS NOT o User IS NOT para permitir explícitamente dominios o usuarios específicos que, de lo contrario, coincidirían con una lista de bloques.

Todas las demás filas de asignación del escenario principal anterior (ámbito administrativo, condiciones, exclusiones, informes de incidentes, notificaciones de usuario e invalidaciones de usuario) no cambian.

Pasos para crear la directiva de variantes

Siga el mismo procedimiento que los pasos para crear la directiva anterior, con un cambio en el paso Acciones :

  • En Acciones, agregue una acción con estos valores:
    1. Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.
    2. Bloquear el acceso a determinados dominios externos o usuarios.
    3. Agregue cada dominio restringido mediante domain IS (por ejemplo, adatum.com).
    4. Agregue cada usuario restringido mediante User IS (por ejemplo, [email protected]).
    5. (Opcional) Use Domain IS NOT o User IS NOT para agregar entradas permitidas que invaliden una entrada de bloque.

Nota:

Cuando se usa bloquear el acceso para dominios externos o usuarios específicos: si aparece un usuario o dominio en listas de permitidos y de bloques, el bloque surte efecto (gana la mayoría de los casos restrictivos). Si un archivo coincide con una regla de permiso y una regla de bloque, la evaluación es por regla: se permiten los usuarios y dominios permitidos, se deniegan los usuarios y dominios bloqueados y los usuarios de ninguna de las listas se bloquean de forma predeterminada. Los usuarios y dominios internos no se pueden bloquear con esta subopción; use Bloquear a todos los usuarios internos.

Importante

Limitaciones de la versión preliminar pública: los archivos de imagen no están protegidos por esta subopción y se pueden generar varios registros de auditoría para determinadas acciones en un archivo bloqueado por un usuario bloqueado.

  • Last updated on