Referencia de directiva de prevención de pérdida de datos

las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) tienen muchos componentes que configurar. Para crear una directiva eficaz, debe comprender cuál es el propósito de cada componente y cómo su configuración modifica el comportamiento de la directiva. En este artículo se proporciona una anatomía detallada de una directiva DLP.

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Antes de empezar

Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales que necesitará al implementar DLP:

  1. Administrative units
  2. Más información sobre Prevención de pérdida de datos de Microsoft Purview: en el artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
  3. Planear la prevención de pérdida de datos (DLP): al trabajar en este artículo, podrá:
    1. Identificación de las partes interesadas
    2. Describir las categorías de información confidencial que se van a proteger
    3. Establecer objetivos y estrategias
  4. Referencia de directiva de prevención de pérdida de datos: en este artículo que está leyendo ahora se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
  5. Diseñar una directiva DLP : este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
  6. Crear e implementar directivas de prevención de pérdida de datos : en este artículo se presentan algunos escenarios de intención de directiva comunes que se asignan a las opciones de configuración. También le guiará a través de la configuración de esas opciones.
  7. Más información sobre la investigación de alertas de prevención de pérdida de datos : en este artículo se presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.

Además, debe tener en cuenta las siguientes restricciones de la plataforma:

  • Número máximo de directivas MIP + MIG en un inquilino: 10 000
  • Tamaño máximo de una directiva DLP (100 KB)
  • Número máximo de reglas DLP:
    • En una directiva: limitado por el tamaño de la directiva
    • En un inquilino: 600
  • Tamaño máximo de una regla DLP individual: 100 KB (102 400 caracteres)
  • Límite de evidencia de GIR: 100, con cada evidencia sit, en proporción de repetición
  • Tamaño máximo de texto que se puede extraer de un archivo para el examen: 2 MB
  • Límite de tamaño de regex para todas las coincidencias previstas: 20 KB
  • Límite de longitud del nombre de la directiva: 64 caracteres
  • Límite de longitud de la regla de directiva: 64 caracteres
  • Límite de longitud de comentario: 1024 caracteres
  • Límite de longitud de descripción: 1024 caracteres

Plantillas de directiva

Las plantillas de directiva DLP se ordenan en cuatro categorías:

  • directivas que pueden detectar y proteger tipos de información financiera .
  • directivas que pueden detectar y proteger tipos de información médica y de salud .
  • directivas que pueden detectar y proteger tipos de información de privacidad .
  • Plantilla de directiva personalizada que puede usar para crear su propia directiva si ninguna de las demás satisface las necesidades de su organización.

En la tabla siguiente se enumeran todas las plantillas de directiva y los tipos de información confidencial (SIT) que cubren.

Categoría Plantilla SIT
Financiera Datos financieros de Australia - Código
- SWIFTNúmero de archivo de impuestos de
- AustraliaNúmero de cuenta bancaria de
- AustraliaNúmero de tarjeta de crédito
Financiera Datos financieros de Canadá - Número
- de tarjeta de créditoNúmero de cuenta bancaria de Canadá
Financiera Datos financieros de Francia - Número
- de tarjeta de créditoNúmero de tarjeta de débito de la UE
Financiera Datos financieros de Alemania - Número
- de tarjeta de créditoNúmero de tarjeta de débito de la UE
Financiera Datos financieros de Israel - Número de cuenta bancaria de
- IsraelCódigo
- SWIFTNúmero de tarjeta de crédito
Financiera Datos financieros de Japón - Número
- de cuenta bancaria de JapónNúmero de tarjeta de crédito
Financiera Estándar de seguridad de datos PCI (PCI DSS) - Número de tarjeta de crédito
Financiera Ley de lucha contra el crimen cibernético de Arabia Saudita - Código
- SWIFTNúmero de cuenta bancaria internacional (IBAN)
Financiera Datos financieros de Arabia Saudí - Número
- de tarjeta de créditoCódigo
- SWIFTNúmero de cuenta bancaria internacional (IBAN)
Financiera Datos financieros del Reino Unido - Número
- de tarjeta de créditoNúmero
- de tarjeta de débito de la UECódigo SWIFT
Financiera Datos financieros de EE. UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de enrutamiento de ABA
Financiera Normas del consumidor de la Comisión Federal de Comercio de los EE.UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de enrutamiento de ABA
Financiera Ley Gramm-Leach-Bliley (GLBA) mejorada de Ee. UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN)
- de EE. UU.Número
- de pasaporte de EE. UU./Reino UnidoNúmero
- de licencia de conducir de EE. UU.Todos los nombres completos
- Direcciones físicas de EE. UU.
Financiera Ley Gramm-Leach-Bliley (GLBA) de EE.UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN) de EE. UU.
Medicina y salud Ley de registros de salud de Australia (HRIP Act) Mejorada - Número de archivo de impuestos de
- AustraliaNúmero de cuenta médica de
- AustraliaTodos los nombres completos
- Todos los términos y condiciones
- médicosDirecciones físicas de Australia
Medicina y salud Ley de registros de salud de Australia (Ley HRIP) - Número de archivo de impuestos de
- AustraliaNúmero de cuenta médica de Australia
Medicina y salud Ley de información sobre salud (HIA) de Canadá - Número de pasaporte de
- CanadáNúmero
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Medicina y salud Ley de Información de Salud Personal (PHIA) de Canadá Manitoba - Número
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Medicina y salud Ley de Salud Personal del Canadá (PHIPA) Ontario - Número de pasaporte de
- CanadáNúmero
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Medicina y salud Ley de acceso a informes médicos del Reino Unidos - Número
- del servicio nacional de salud del Reino UnidoNúmero de seguro nacional del Reino Unido (NINO)
Medicina y salud Ley de seguro de salud (HIPAA) mejorada de EE. UU.
- Clasificación internacional de enfermedades (ICD-9-CM)
- Clasificación internacional de enfermedades (ICD-10-CM)
- Todos los nombres completos
- Todos los términos y condiciones
- médicosDirecciones físicas de EE. UU.
Medicina y salud Ley de seguros de salud (HIPAA) de los EE. UU. - Clasificación internacional de enfermedades (ICD-9-CM)
- Clasificación internacional de enfermedades (ICD-10-CM)
Privacidad Ley de privacidad de Australia mejorada - Número
- de licencia de conducir de AustraliaNúmero de pasaporte de
- AustraliaTodos los nombres completos
- Todos los términos y condiciones
- médicosDirecciones físicas de Australia
Privacidad Ley de privacidad de Australia - Número
- de licencia de conducir de AustraliaNúmero de pasaporte de Australia
Privacidad Datos de identificación personal (PII) de Australia - Número de archivo de impuestos de
- AustraliaNúmero de licencia de conducir de Australia
Privacidad Datos de identificación personal de Canadá (PII) - Número
- de licencia de conducir de CanadáNúmero
- de cuenta bancaria de CanadáNúmero de pasaporte de
- CanadáNúmero
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Privacidad Ley de protección de información personal de Canadá (PIPA) - Número de pasaporte de
- CanadáNúmero
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Privacidad Ley de protección de información personal de Canadá (PIPEDA) - Número
- de licencia de conducir de CanadáNúmero
- de cuenta bancaria de CanadáNúmero de pasaporte de
- CanadáNúmero
- de seguro social de CanadáNúmero
- del servicio de mantenimiento de CanadáNúmero de identificación de salud personal de Canadá
Privacidad Ley de protección de datos de Francia - Tarjeta de identificación nacional de Francia (CNI)
- Número de seguridad social de Francia (INSEE)
Privacidad Información de identificación personal (PII) de Francia - Número de seguridad social de Francia (INSEE)
- Número
- de licencia de conducir de FranciaNúmero de pasaporte de
- FranciaTarjeta de identificación nacional de Francia (CNI)
Privacidad Reglamento general de protección de datos (RGPD) mejorado - Direcciones físicas de
- AustriaDirecciones físicas de
- BélgicaDirecciones físicas de
- BulgariaDirecciones físicas de
- CroaciaDirecciones físicas de
- ChipreDirecciones
- físicas de la República ChecaDirecciones físicas de
- DinamarcaDirecciones físicas de
- EstoniaDirecciones físicas de
- FinlandiaDirecciones físicas de
- FranciaDirecciones físicas de
- AlemaniaDirecciones físicas de
- GreciaDirecciones físicas de
- HungríaDirecciones físicas de
- IrlandaDirecciones físicas de
- ItaliaDirecciones físicas de
- LetoniaDirecciones físicas de
- LituaniaDirecciones
- físicas de LuxemburgoDirecciones físicas de
- MaltaDirecciones físicas de Países
- BajosDirecciones físicas de
- PoloniaDirecciones físicas portuguesas
- Direcciones físicas de
- RumaniaDirecciones físicas de
- EslovaquiaDirecciones físicas de
- EsloveniaDirecciones físicas de
- EspañaDirecciones físicas de
- SueciaNúmero de seguro social de
- AustriaNúmero de seguro social de Francia (INSEE)
- Número de seguro social de Grecia (AMKA)
- Número de seguro social húngaro (TAJ)
- Número de seguridad social de España (SSN)
- Tarjeta de identidad de
- AustriaTarjeta
- de identidad de ChipreNúmero de tarjeta de identidad de
- AlemaniaNúmero de tarjeta de identidad de
- MaltaTarjeta nacional de identificación de Francia (CNI)
- Tarjeta nacional de identificación de
- GreciaId. nacional de
- FinlandiaId. nacional de Polonia (PESEL)
- Id. nacional de
- SueciaNúmero
- de identificación personal (OIB) de CroaciaNúmero
- de identidad personal checoNúmero
- de identificación personal de DinamarcaCódigo
- de identificación personal de EstoniaNúmero
- de identificación personal de HungríaNúmero de identificación nacional de Luxemburgo: personas físicas
- Número de identificación nacional de Luxemburgo (personas no físicas)
- Código fiscal de
- ItaliaCódigo personal de
- LetoniaCódigo personal de
- LituaniaCódigo numérico personal (CNP)
- de RumaniaNúmero
- de servicio de ciudadanos de Países Bajos (BSN)Número de servicio público personal (PPS) de
- IrlandaNúmero
- civil uniforme de BulgariaNúmero nacional de
- BélgicaDNI
- de EspañaNúmero de ciudadano maestro único de
- EsloveniaNúmero personal de
- EslovaquiaNúmero de tarjeta de ciudadano de
- PortugalNúmero de identificación fiscal de
- MaltaNúmero de identificación fiscal de
- AustriaNúmero
-de identificación fiscal de ChipreNúmero de identificación fiscal de Francia (numéro SPI.)
- Número de identificación fiscal de
- AlemaniaNúmero
- de identificación fiscal griegaNúmero
- de identificación fiscal de HungríaNúmero
- de identificación fiscal de Países BajosNúmero de identificación fiscal de
- PoloniaNúmero
- de identificación fiscal de PortugalNúmero
- de identificación fiscal de EsloveniaNúmero de identificación fiscal de
- EspañaNúmero de identificación fiscal de
- SueciaLicencia
- de conducir de AustriaNúmero
- de licencia de conducir de BélgicaNúmero
- de licencia de conducir de BulgariaNúmero
- de licencia de conducir de CroaciaNúmero
- de licencia de conducir de ChipreNúmero
- de licencia de conducir checoNúmero
- de licencia de conducir de DinamarcaNúmero
- de licencia de conducir de EstoniaNúmero
- de licencia de conducir de FinlandiaNúmero
- de licencia de conducir de FranciaNúmero
- de licencia de conducir alemánNúmero
- de licencia de conducir de GreciaNúmero
- de licencia de conducir de HungríaNúmero
- de licencia de conducir de IrlandaNúmero
- de licencia de conducir de ItaliaNúmero
- de licencia de conducir de LetoniaNúmero
- de licencia de conducir de LituaniaNúmero
- de licencia de conducir de LuxemburgoNúmero
- de licencia de conducir de MaltaNúmero
- de licencia de conducir de Países BajosNúmero
- de licencia de conducir de PoloniaNúmero
- de licencia de conducir de PortugalNúmero
- de licencia de conducir de RumaniaNúmero
- de licencia de conducir de EslovaquiaNúmero
- de licencia de conducir de EsloveniaNúmero
- de licencia de conducir de EspañaNúmero
- de licencia de conducir de SueciaNúmero de pasaporte de
- AustriaNúmero de pasaporte de
- BélgicaNúmero de pasaporte de
- BulgariaNúmero
- de pasaporte de CroaciaNúmero
- de pasaporte de ChipreNúmero
- de pasaporte de la República ChecaNúmero
- de pasaporte de DinamarcaNúmero de pasaporte de
- EstoniaNúmero de pasaporte de
- FinlandiaNúmero de pasaporte de
- FranciaNúmero
- de pasaporte alemánNúmero de pasaporte de
- GreciaNúmero
- de pasaporte de HungríaNúmero de pasaporte de
- IrlandaNúmero de pasaporte de
- ItaliaNúmero de pasaporte de
- LetoniaNúmero de pasaporte de
- LituaniaNúmero de pasaporte de
- LuxemburgoNúmero de pasaporte de
- MaltaNúmero
- de pasaporte neerlandésPasaporte de
- PoloniaNúmero de pasaporte de
- PortugalNúmero de pasaporte de
- RumaniaNúmero de pasaporte de
- EslovaquiaNúmero de pasaporte de
- EsloveniaNúmero de pasaporte de
- EspañaNúmero de pasaporte de
- SueciaNúmero de tarjeta de débito de
- la UETodos los nombres completos
Privacidad Reglamento general de protección de datos (RGPD) - Número
- de tarjeta de débito de la UENúmero
- de licencia de conducir de la UENúmero
- de identificación nacional de la UENúmero de pasaporte de
- la UENúmero de seguridad social de la UE o identificación
- equivalenteNúmero de identificación fiscal de la UE
Privacidad Información de identificación personal (PII) de Alemania - Número
- de licencia de conducir de AlemaniaNúmero de pasaporte de Alemania
Privacidad Información de identificación personal (PII) de Israel - Número de identificación nacional de Israel
Privacidad Protección de privacidad en Israel - Número de identificación nacional de
- IsraelNúmero de cuenta bancaria de Israel
Privacidad Información de identificación personal (PII) de Japón mejorada - Número de seguro social de Japón (SIN)
- Japón Mi número - Personal
- Número
- de pasaporte de JapónNúmero
- de licencia de conducir de JapónTodos los nombres completos
- Direcciones físicas de Japón
Privacidad Datos de identificación personal (PII) de Japón - Número
- de registro de residente de JapónNúmero de seguro social de Japón (SIN)
Privacidad Protección de la información personal mejorada en Japón - Número de seguro social de Japón (SIN)
- Japón Mi número - Personal
- Número
- de pasaporte de JapónNúmero
- de licencia de conducir de JapónTodos los nombres completos
- Direcciones físicas de Japón
Privacidad Protección de información personal de Japón - Número
- de registro de residente de JapónNúmero de seguro social de Japón (SIN)
Privacidad Datos de identificación personal (PII) de Arabia Saudita - Id. nacional de Arabia Saudita
Privacidad Ley de protección de datos del Reino Unido - Número de seguro nacional del Reino Unido (NINO)
- Número
- de pasaporte de EE. UU./Reino UnidoCódigo SWIFT
Privacidad Normas de comunicaciones electrónicas y privacidad del Reino Unido - Código SWIFT
Privacidad Información de identificación personal (PII) del Reino Unido - Número de seguro nacional del Reino Unido (NINO)
- Número de pasaporte de EE. UU./Reino Unido
Privacidad Código de prácticas en línea de información personal (PIOCP) del Reino Unido - Número de seguro nacional del Reino Unido (NINO)
- Número
- del servicio nacional de salud del Reino UnidoCódigo SWIFT
Privacidad Ley Patriota de EE. UU. mejorada - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN)
- de EE. UU.Todos los nombres completos
- Direcciones físicas de EE. UU.
Privacidad Ley Patriota de los EE.UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN) de EE. UU.
Privacidad Datos de información de identificación personal (PII) de EE. UU. mejorados - Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN)
- de EE. UU.Número
- de pasaporte de EE. UU./Reino UnidoTodos los nombres completos
- Direcciones físicas de EE. UU.
Privacidad Información de identificación personal (PII) de Estados Unidos - Número de identificación individual de contribuyentes (ITIN)
- de EE. UU.Número de seguro social (SSN)
- de EE. UU.Número de pasaporte de EE. UU./Reino Unido
Privacidad Leyes de notificación de infracciones de estado de EE. UU. mejoradas - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número
- de licencia de conducir de EE. UU.Número de seguro social (SSN)
- de EE. UU.Todos los nombres completos
- Número
- de pasaporte de EE. UU./Reino UnidoTodos los términos y condiciones médicos
Privacidad Leyes de notificación de incumplimiento estatal de EE.UU. - Número
- de tarjeta de créditoNúmero
- de cuenta bancaria de EE. UU.Número
- de licencia de conducir de EE. UU.Número de seguro social (SSN) de EE. UU.
Privacidad Leyes de confidencialidad sobre el número de Seguridad Social de EE.UU. - Número de seguro social (SSN) de EE. UU.

Ámbito de directiva

Consulte Unidades administrativas para asegurarse de que comprende la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa.

Las directivas DLP se limitan a dos niveles diferentes. El primer nivel aplica directivas de ámbito de administración sin restricciones a todas las siguientes directivas de su organización (en función de las ubicaciones seleccionadas) o a subgrupos de la organización, denominados directivas restringidas de unidad administrativa:

  • users
  • groups
  • grupos de distribución
  • cuentas
  • sitios
  • instancias de aplicación en la nube
  • repositorios locales
  • Áreas de trabajo de Fabric y Power BI

En este nivel, un administrador restringido de unidad administrativa solo podrá elegir entre las unidades administrativas a las que están asignadas.

El segundo nivel de ámbito de la directiva DLP se encuentra en las ubicaciones compatibles con DLP. En este nivel, los administradores restringidos de unidades administrativas y sin restricciones solo ven los usuarios, grupos de distribución, grupos y cuentas que se incluyeron en el primer nivel de ámbito de directiva y que están disponibles para esa ubicación.

Directivas sin restricciones

Los usuarios de estos grupos de roles crean y administran directivas sin restricciones:

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Protección de la información
  • Administrador de Information Protection
  • Administrador de seguridad

Consulte el artículo Permisos para obtener más información.

Los administradores sin restricciones pueden administrar todas las directivas y ver todas las alertas y eventos que fluyen desde las coincidencias de directiva en el panel Alertas y el Explorador de actividad DLP.

Directivas restringidas de unidad administrativa

Las unidades administrativas son subconjuntos del Microsoft Entra ID y se crean con el fin de administrar colecciones de usuarios, grupos, grupos de distribución y cuentas. Estas colecciones se crean normalmente a lo largo de líneas de grupo de negocios o áreas geopolíticas. Las unidades administrativas tienen un administrador delegado que está asociado a una unidad administrativa del grupo de roles. Se denominan administradores restringidos de unidad administrativa.

DLP admite la asociación de directivas con unidades administrativas. Consulte Unidades administrativas para obtener más información sobre la implementación en el portal de cumplimiento Microsoft Purview. Los administradores de unidades administrativas deben asignarse a uno de los mismos roles o grupos de roles que los administradores de directivas DLP sin restricciones para crear y administrar directivas DLP para su unidad administrativa.

Grupo de roles administrativos DLP Enlatar
Administrador sin restricciones - creación y ámbito de directivas DLP en toda la organización
: edición de todas las directivas
DLP, creación y ámbito de directivas DLP en unidades
administrativas: visualización de todas las alertas y eventos de todas las directivas DLP
Administrador
restringido de unidad administrativa: debe ser miembro o asignado a un grupo o rol de roles que pueda administrar DLP.
- crear y ámbito de directivas DLP solo a la unidad administrativa a
la que están asignadas: editar directivas DLP asociadas a su unidad
administrativa: ver alertas y eventos solo desde las directivas DLP que tienen como ámbito su unidad administrativa.

Ubicaciones

Una directiva DLP puede encontrar y proteger elementos que contienen información confidencial en varias ubicaciones.

Nota:

DLP de punto de conexión no puede detectar la etiqueta de otro inquilino de un documento.

Ubicación Admite unidades administrativas Incluir o excluir ámbito Estado de los datos Requisitos previos adicionales
Exchange Online Yes - Grupos
de distribución - Grupos
de seguridad - Grupos
de seguridad no habilitados para correo electrónico - Listas
de distribución dinámicas - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad)
datos en movimiento No
SharePoint Online No Sitios datos en reposo
en uso
No
OneDrive - Grupos
de distribución - Grupos
de seguridad - Grupos
de seguridad no habilitados para correo electrónico - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad)
datos en reposo
en uso
No
Mensajes de canales y chats de Teams Yes - Grupos
de distribución - Grupos
de seguridad - Grupos
de seguridad habilitados para correo - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad)
datos en movimiento
en uso
Consulte Ámbito de la protección DLP.
Instancias No Instancia de aplicación en la nube datos en reposo - Uso de directivas de prevención de pérdida de datos para aplicaciones en la nube que no son de Microsoft
Dispositivos Yes - Grupos
de distribución - Grupos
de seguridad - Grupos
de seguridad no habilitados para correo electrónico - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad)
datos en uso
en movimiento
- Más información sobre la prevención
- de pérdida de datos de punto de conexiónIntroducción a la prevención
- de pérdida de datos de punto de conexiónConfiguración del proxy de dispositivo y la conexión a Internet para Information Protection
Repositorios locales (recursos compartidos de archivos y SharePoint) No Repositorio datos en reposo - Más información sobre los repositorios
- locales de prevención de pérdida de datosIntroducción a los repositorios locales de prevención de pérdida de datos
Tejido y Power BI No Áreas de trabajo datos en uso No
Aplicaciones de terceros Ninguno No No No

Ámbito de la ubicación de Exchange

Si decide incluir grupos de distribución específicos en Exchange, la directiva DLP solo se limita a los correos electrónicos enviados por los miembros de ese grupo. Del mismo modo, la exclusión de un grupo de distribución excluye todos los correos electrónicos enviados por los miembros de ese grupo de distribución de la evaluación de directivas.

El remitente es El destinatario es Comportamiento resultante
En el ámbito N/D Se aplica la directiva
Fuera de ámbito En el ámbito No se aplica la directiva
Cálculo del ámbito de ubicación de Exchange

Este es un ejemplo de cómo se calcula el ámbito de ubicación de Exchange:

Supongamos que tiene cuatro usuarios en su organización y dos grupos de distribución que usará para definir ámbitos de inclusión y exclusión de ubicación de Exchange. La pertenencia a grupos está configurada de la siguiente manera:

Grupo de distribución Pertenencia
Grupo 1 User1, User2
Grupo 2 User2, User3
Ningún grupo User4
Incluir configuración Excluir configuración La directiva se aplica a La directiva no se aplica a Explicación del comportamiento
todas Ninguno Todos los remitentes de la organización de Exchange (User1, User2, User3, User4) N/D Cuando no se define ninguno, se incluyen todos los remitentes.
Grupo 1 Ninguno Remitentes de miembros de Group1 (User1, User2) Todos los remitentes que no son miembros de Group1 (User3, User4) Cuando se define una configuración y la otra no, se usa la configuración definida.
todas Grupo 2 Todos los remitentes de la organización de Exchange que no son miembros de Group2 (User1, User4) Todos los remitentes que son miembros de Group2 (User2, User3) Cuando se define una configuración y la otra no, se usa la configuración definida.
Grupo 1 Grupo 2 User1 User2, User3, User4 Inclusión de invalidaciones de exclusión

Puede escoger entre definir una directiva para los miembros de las listas de distribución, los grupos de distribución dinámicos y los grupos de seguridad. Una directiva DLP no puede contener más de 50 de estas inclusiones y exclusiones.

Ámbito de la ubicación de OneDrive

Al determinar el ámbito de una directiva para las ubicaciones de OneDrive, además de aplicar las directivas DLP a todos los usuarios y grupos de la organización, puede limitar el ámbito de una directiva a usuarios y grupos específicos. DLP admite directivas de ámbito hasta 100 usuarios individuales.

Por ejemplo, si desea incluir más de 100 usuarios, primero debe colocarlos en grupos de distribución o grupos de seguridad, según corresponda. A continuación, puede limitar la directiva a hasta 50 grupos.

En algunos casos, es posible que quiera aplicar una directiva a uno o dos grupos, además de dos o tres usuarios individuales que no pertenezcan a ninguno de esos grupos. Aquí, el procedimiento recomendado es colocar a esas dos o tres personas en un grupo propio. Esta es la única manera de asegurarse de que el ámbito de la directiva se dirige a todos los usuarios previstos.

El motivo es que, cuando se enumeran solo los usuarios, DLP agrega todos los usuarios especificados al ámbito de la directiva. Del mismo modo, al agregar solo grupos, DLP agrega todos los miembros de todos los grupos al ámbito de la directiva.

Supongamos que tiene los siguientes grupos y usuarios:

Grupo de distribución Pertenencia
Grupo 1 User1, User2
Grupo 2 User2, User3

Si limita el ámbito de una directiva solo a usuarios o grupos , DLP aplica la directiva a los usuarios como se muestra en la tabla siguiente:

Ámbito especificado Comportamiento de evaluación del ámbito DLP Usuarios en el ámbito
(solo usuarios)
User1
User2
DLP toma la unión de los usuarios especificados User1, User2
(solo Grupos)
Grupo 1
Grupo 2
DLP toma la unión de los grupos especificados User1, User2, User3

Sin embargo, cuando los usuarios y grupos se mezclan en la configuración de ámbito, las cosas se complican. Este es el motivo: DLP solo limita las directivas a los usuarios a la intersección de los grupos y usuarios enumerados.

DLP usa el siguiente orden de operaciones al determinar qué usuarios y grupos incluir en el ámbito:

  1. Evaluación de la unión de pertenencia a grupos
  2. Evaluación de la unión de usuarios
  3. Evaluar la intersección de miembros y usuarios del grupo, es decir, donde se superponen los resultados

A continuación, aplica el ámbito de la directiva a la intersección de miembros y usuarios del grupo.

Vamos a ampliar nuestro ejemplo, trabajando con el mismo conjunto de grupos y vamos a agregar User4, que no está en un grupo:

Grupo de distribución Pertenencia
Grupo 1 User1, User2
Grupo 2 User2, User3
Ningún grupo Usuario 4

En la tabla siguiente se explica cómo funciona el ámbito de la directiva en los casos en los que los usuarios y los grupos se incluyen en las instrucciones de ámbito.

Ámbito especificado Comportamiento de evaluación del ámbito DLP Usuarios en el ámbito
Grupo 1
Grupo 2
User3
User4
Primera evaluación: Unión de grupos:
(Group1 + Group2) = User1, User2, User3

Segunda evaluación: Unión de usuarios:
(User3 + User4) = User3, User4

Tercera evaluación: Intersección de grupos y usuarios (superposición):

(Group1 + Group2) = User1, User2, User3

(User3 + User4) = User3, User4
User3
(User3 es el único usuario que aparece en los resultados de las evaluaciones primera y segunda).
Grupo 1
Grupo 2
User1
User3
User4
Primera evaluación: Unión de grupos:
(Group1 + Group2) = User1, User2, User3

Segunda evaluación: Unión de usuarios:
(User1 + User3 + User4) = User1, User3, User4

Tercera evaluación: Intersección de grupos y usuarios (superposición):

(Group1 + Group2) = User1, User3

(User1 + User3, User4) = User1, User3, User4
User1, User3
(Estos son los únicos usuarios que aparecen en los resultados de la primera y la segunda evaluación).

Compatibilidad con la ubicación de cómo se puede definir el contenido

Las directivas DLP detectan elementos confidenciales si coinciden con un tipo de información confidencial (SIT), o con una etiqueta de confidencialidad o una etiqueta de retención. Cada ubicación admite diferentes métodos para definir contenido confidencial. Cómo se puede definir el contenido al combinar ubicaciones en una directiva, puede cambiar de cómo se puede definir cuando se limita a una sola ubicación.

Importante

Al seleccionar varias ubicaciones para una directiva, un valor "no" para una categoría de definición de contenido tiene prioridad sobre el valor "sí". Por ejemplo, al seleccionar solo sitios de SharePoint, la directiva admitirá la detección de elementos confidenciales por uno o varios de SIT, por etiqueta de confidencialidad o por etiqueta de retención. Sin embargo, al seleccionar sitios de SharePoint y ubicaciones de mensajes de chat y canal de Teams, la directiva solo admitirá la detección de elementos confidenciales por parte de SIT.

Ubicación El contenido se puede definir mediante SIT El contenido se puede definir como etiqueta de confidencialidad El contenido se puede definir mediante la etiqueta de retención.
Correo electrónico de Exchange en línea No
SharePoint en sitios de Microsoft 365
OneDrive para cuentas profesionales o educativas
Mensajes de chat y canal de Teams Yes No No
Dispositivos No
Instancias
Repositorios locales No
Tejido y Power BI No

DLP admite el uso de clasificadores entrenables como condición para detectar documentos confidenciales. El contenido se puede definir mediante clasificadores entrenables en Exchange, sitios de SharePoint, cuentas de OneDrive, chat y canales de Teams y dispositivos. Para obtener más información, vea Clasificadores entrenables.

Nota:

DLP admite la detección de etiquetas de confidencialidad en correos electrónicos y datos adjuntos. Para obtener más información, vea Usar etiquetas de confidencialidad como condiciones en las directivas DLP.

Rules

Las reglas son la lógica de negocios de las directivas DLP. Constan de:

  • Condiciones que, cuando coinciden, desencadenan las acciones de directiva
  • Notificaciones de usuario para informar a los usuarios cuando están haciendo algo que desencadena una directiva y ayudarles a educarlos sobre cómo su organización quiere tratar la información confidencial.
  • Las invalidaciones de usuario cuando las configura un administrador, permiten a los usuarios invalidar de forma selectiva una acción de bloqueo.
  • Informes de incidentes que notifican a los administradores y a otras partes interesadas clave cuando se produce una coincidencia de regla
  • Opciones adicionales que definen la prioridad para la evaluación de reglas y pueden detener el procesamiento de reglas y directivas adicionales.

Una directiva contiene una o varias reglas. Las reglas se ejecutan secuencialmente, comenzando por la regla de mayor prioridad de cada directiva.

Prioridad por la que se evalúan y aplican las reglas

Ubicaciones de servicio hospedadas

Para las ubicaciones de servicio hospedadas, como Exchange, SharePoint y OneDrive, a cada regla se le asigna una prioridad en el orden en que se crea. Esto significa que la regla creada primero tiene la primera prioridad, la regla creada en segundo lugar tiene segunda prioridad, etc.

Reglas en orden de prioridad

Cuando se evalúa el contenido frente a reglas, estas se procesan en orden de prioridad. Si el contenido coincide con varias reglas, se aplica la primera regla evaluada que tiene la acción más restrictiva. Por ejemplo, si el contenido coincide con todas las reglas siguientes, se aplica la regla 3 porque es la regla más restrictiva y de mayor prioridad:

  • Regla 1: solo notifica a los usuarios
  • Regla 2: notifica a los usuarios, restringe el acceso y permite invalidaciones de usuario
  • Regla 3: notifica a los usuarios, restringe el acceso y no permite invalidaciones de usuario.
  • Regla 4: restringe el acceso

Las reglas 1, 2 y 4 se evaluarán, pero no se aplicarán. En este ejemplo, las coincidencias de todas las reglas se registran en los registros de auditoría y se muestran en los informes DLP, aunque solo se aplique la regla más restrictiva.

Puede usar una regla para satisfacer un requisito de protección específico y después usar una directiva DLP para agrupar los requisitos de protección comunes, como todas las reglas necesarias para cumplir una normativa específica.

Por ejemplo, podría tener una directiva DLP que ayude a detectar la presencia de información sujeta a la Ley de transferencia y responsabilidad de seguros de salud (HIPAA). Esta directiva DLP podría ayudar a proteger los datos hipaa (el "qué") en todos los sitios de SharePoint y todos los sitios de OneDrive (el "dónde") mediante la búsqueda de cualquier documento que contenga esta información confidencial compartida con personas ajenas a la organización (las condiciones) y, a continuación, bloquear el acceso al documento y enviar una notificación (las acciones). Estos requisitos se almacenan como reglas individuales y se agrupan de forma conjunta como directiva DLP para simplificar la administración y la creación de informes.

El diagrama muestra que la directiva DLP contiene ubicaciones y reglas

Para puntos de conexión

Cuando un elemento coincide con varias reglas DLP, DLP usa un algoritmo complejo para decidir qué acciones aplicar. DLP de punto de conexión aplica el agregado o la suma de la mayoría de las acciones restrictivas. DLP usa estos factores al realizar el cálculo.

Orden de prioridad de directiva Cuando un elemento coincide con varias directivas y esas directivas tienen acciones idénticas, se aplican las acciones de la directiva de mayor prioridad.

Orden de prioridad de regla Cuando un elemento coincide con varias reglas de una directiva y esas reglas tienen acciones idénticas, se aplican las acciones de la regla de mayor prioridad.

Modo de la directiva Cuando un elemento coincide con varias directivas y esas directivas tienen acciones idénticas, las acciones de todas las directivas que están en Estado Activar ( aplicar modo) se aplican preferentemente a las directivas en Ejecutar la directiva en modo de simulación con sugerencias de directiva y Ejecutar la directiva en estado de modo de simulación .

acción Cuando un elemento coincide con varias directivas y esas directivas difieren en las acciones, se aplica el agregado o la suma de las acciones más restrictivas.

Configuración de grupos de autorización Cuando un elemento coincide con varias directivas y esas directivas difieren en acción, se aplica el agregado o la suma de las acciones más restrictivas.

opciones de invalidación Cuando un elemento coincide con varias directivas y esas directivas difieren en la opción de invalidación, las acciones se aplican en este orden:

Sin invalidación>Permitir invalidación

Estos son escenarios que ilustran el comportamiento en tiempo de ejecución. Para los tres primeros escenarios, tiene tres directivas DLP configuradas de esta manera:

Nombre de la directiva Condición para coincidir Acción Prioridad de directiva
ABECEDARIO El contenido contiene el número de tarjeta de crédito Bloquear impresión, auditar todas las demás actividades de salida del usuario 0
MNO El contenido contiene el número de tarjeta de crédito Bloquear copia en USB, auditar todas las demás actividades de salida del usuario 1
XYZ El contenido contiene el número de seguro social de EE. UU. Bloquear copia en el Portapapeles, auditar todas las demás actividades de salida del usuario 2
El elemento contiene números de tarjeta de crédito

Un elemento de un dispositivo supervisado contiene números de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. Tanto ABC como MNO están en modo Activar .

Policy Acción de salida de la nube Copia en la acción del Portapapeles Copia en la acción USB Copia en la acción de recurso compartido de red Acción de aplicaciones no permitidas Acción imprimir Copiar a través de la acción bluetooth Copia en la acción de Escritorio remoto
ABECEDARIO Auditoría Auditoría Auditoría Auditoría Auditoría Bloquear Auditoría Auditoría
MNO Auditoría Auditoría Bloquear Auditoría Auditoría Auditoría Auditoría Auditoría
Acciones aplicadas en tiempo de ejecución Auditoría Auditoría Bloquear Auditoría Auditoría Bloquear Auditoría Auditoría
El elemento contiene números de tarjeta de crédito y números de seguro social de EE. UU.

Un elemento de un dispositivo supervisado contiene números de tarjeta de crédito y números de seguro social de EE. UU., por lo que este elemento coincide con la directiva ABC, el MNO de directiva y la directiva XYZ. Las tres directivas están en modo Activar.

Policy Acción de salida de la nube Copia en la acción del Portapapeles Copia en la acción USB Copia en la acción de recurso compartido de red Acción de aplicaciones no permitidas Acción imprimir Copiar a través de la acción bluetooth Copia en la acción de Escritorio remoto
ABECEDARIO Auditoría Auditoría Auditoría Auditoría Auditoría Bloquear Auditoría Auditoría
MNO Auditoría Auditoría Bloquear Auditoría Auditoría Auditoría Auditoría Auditoría
XYZ Auditoría Bloquear Auditoría Auditoría Auditoría Bloquear Auditoría Auditoría
Acciones aplicadas en tiempo de ejecución Auditoría Bloquear Bloquear Auditoría Auditoría Bloquear Auditoría Auditoría
El elemento contiene números de tarjeta de crédito, estado de directiva diferente

Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Modo de activación y la directiva MNO está en Estado ejecutar la directiva en modo de simulación .

Policy Acción de salida de la nube Copia en la acción del Portapapeles Copia en la acción USB Copia en la acción de recurso compartido de red Acción de aplicaciones no permitidas Acción imprimir Copiar a través de la acción bluetooth Copia en la acción de Escritorio remoto
ABECEDARIO Auditoría Auditoría Auditoría Auditoría Auditoría Bloquear Auditoría Auditoría
MNO Auditoría Auditoría Bloquear Auditoría Auditoría Auditoría Auditoría Auditoría
Acciones aplicadas en tiempo de ejecución Auditoría Auditoría Auditoría Auditoría Auditoría Bloquear Auditoría Auditoría
El elemento contiene números de tarjeta de crédito, configuración de invalidación diferente

Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Activar el estado y la directiva MNO está en Activar estado. Tienen diferentes acciones de invalidación configuradas.

Policy Acción de salida de la nube Copia en la acción del Portapapeles Copia en la acción USB Copia en la acción de recurso compartido de red Acción de aplicaciones no permitidas Acción imprimir Copiar a través de la acción bluetooth Copia en la acción de Escritorio remoto
ABECEDARIO Auditoría Auditoría Bloqueo con invalidación Auditoría Auditoría Bloquear Auditoría Auditoría
MNO Auditoría Auditoría Bloquear sin invalidación Auditoría Auditoría Auditoría Auditoría Auditoría
Acciones aplicadas en tiempo de ejecución Auditoría Auditoría Bloquear sin invalidación Auditoría Auditoría Bloquear Auditoría Auditoría
El elemento contiene números de tarjeta de crédito, configuración de grupos de autorización diferentes

Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Activar el estado y la directiva MNO está en Activar estado. Tienen diferentes acciones de grupo de autorización configuradas.

Policy Acción de salida de la nube Copia en la acción del Portapapeles Copia en la acción USB Copia en la acción de recurso compartido de red Acción de aplicaciones no permitidas Acción imprimir Copiar a través de la acción bluetooth Copia en la acción de Escritorio remoto
ABECEDARIO Auditoría Auditoría Grupo de autenticación A: bloque Auditoría Auditoría Grupo de autenticación A: bloque Auditoría Auditoría
MNO Auditoría Auditoría Autenticación del grupo A: bloquear con invalidación Auditoría Auditoría Grupo de autenticación B: bloque Auditoría Auditoría
Acciones aplicadas en tiempo de ejecución Auditoría Auditoría Grupo de autenticación A: bloque Auditoría Auditoría Grupo de autenticación A: bloque, grupo de autenticación B: bloque Auditoría Auditoría

Condiciones

Las condiciones son donde se define lo que quiere que busque la regla y el contexto en el que se usan esos elementos. Indican la regla: cuando se encuentra un elemento que tiene este aspecto y se usa así, es una coincidencia y el resto de las acciones de la directiva se deben realizar en ella. Puede usar condiciones para asignar acciones diferentes a distintos niveles de riesgo. Por ejemplo, el contenido confidencial compartido internamente podría ser de menor riesgo y necesitar menos acciones que el contenido confidencial compartido con personas de fuera de la organización.

Nota:

Los usuarios que tienen cuentas no invitadas en el inquilino de Active Directory o Microsoft Entra de una organización host se consideran personas dentro de la organización.

El contenido contiene

Todas las ubicaciones admiten la condición Contenido contiene . Puede seleccionar varias instancias de cada tipo de contenido y refinar aún más las condiciones mediante cualquiera de estos operadores (OR lógico) o Todos estos (AND lógico):

La regla solo buscará la presencia de las etiquetas de confidencialidad y las etiquetas de retención que elija.

Los SIT tienen un nivel de confianza predefinido que puede modificar si es necesario. Para obtener más información, consulte Más información sobre los niveles de confianza.

Importante

Los SIT tienen dos formas diferentes de definir los parámetros de recuento de instancias únicos máximos. Para obtener más información, consulte Valores admitidos de recuento de instancias para SIT.

Protección adaptable en Microsoft Purview

La protección adaptable integra Administración de riesgos internos de Microsoft Purview perfiles de riesgo en las directivas DLP para que DLP pueda ayudar a protegerse frente a comportamientos de riesgo identificados dinámicamente. Cuando se configura en la administración de riesgos internos, el nivel de riesgo insider para La protección adaptable se mostrará como condición para las ubicaciones de Exchange Online, Dispositivos y Teams. Consulte Más información sobre la protección adaptable en prevención de pérdida de datos para obtener más información.

Condiciones que admite La protección adaptable
  • El nivel de riesgo interno para la protección adaptable es...

con estos valores:

  • Nivel de riesgo elevado
  • Nivel de riesgo moderado
  • Nivel de riesgo menor

Contexto de condición

Las opciones de contexto disponibles cambian en función de la ubicación que elija. Si selecciona varias ubicaciones, solo estarán disponibles las condiciones que las ubicaciones tienen en común.

Condiciones que admite Exchange
  • El contenido contiene
  • El nivel de riesgo interno para la protección adaptable es
  • El contenido no está etiquetado
  • El contenido se comparte desde Microsoft 365
  • El contenido se recibe de
  • La dirección IP del remitente es
  • El encabezado contiene palabras o frases
  • El atributo DE AD del remitente contiene palabras o frases
  • El juego de caracteres de contenido contiene palabras
  • El encabezado coincide con patrones
  • El atributo de AD del remitente coincide con los patrones
  • El atributo ad de destinatario contiene palabras o frases
  • El atributo de AD del destinatario coincide con los patrones
  • El destinatario es miembro de
  • La propiedad del documento es
  • No se pudo digitalizar algún contenido de los datos adjuntos del correo
  • El documento o los datos adjuntos están protegidos con contraseña
  • ¿Ha invalidado el remitente la sugerencia de directiva?
  • El remitente es miembro de
  • No se pudo completar el análisis de algún contenido de los datos adjuntos del correo
  • La dirección del destinatario contiene palabras
  • La extensión de archivo es
  • El dominio del destinatario es
  • El destinatario es
  • El remitente es
  • El dominio del remitente es
  • La dirección del destinatario coincide con patrones
  • El nombre del documento contiene palabras o frases
  • El nombre del documento coincide con los patrones
  • El asunto contiene palabras o frases
  • El asunto coincide con patrones
  • El asunto o el cuerpo contiene palabras o frases
  • El asunto o el cuerpo coinciden con los patrones
  • La dirección del remitente contiene palabras
  • La dirección del remitente coincide con patrones
  • El tamaño del documento es igual o mayor que
  • El contenido del documento contiene palabras o frases
  • El contenido del documento coincide con patrones
  • El tamaño del mensaje es igual o mayor que
  • El tipo de mensaje es
  • La importancia del mensaje es

Sugerencia

Para obtener más información sobre las condiciones que admite Exchange, incluidos los valores de PowerShell, vea: Referencia de las condiciones y acciones de Exchange de prevención de pérdida de datos.

Condiciones que admite SharePoint
  • El contenido contiene
  • El contenido se comparte desde Microsoft 365
  • La propiedad del documento es
  • La extensión de archivo es
  • El nombre del documento contiene palabras o frases
  • El tamaño del documento es igual o mayor que
  • Documento creado por
Condiciones compatibles con las cuentas de OneDrive
  • El contenido contiene
  • El contenido se comparte desde Microsoft 365
  • La propiedad del documento es
  • La extensión de archivo es
  • El nombre del documento contiene palabras o frases
  • El tamaño del documento es igual o mayor que
  • Documento creado por
  • El documento se comparte
Condiciones Compatibilidad con mensajes de canal y chat de Teams
  • El contenido contiene
  • El nivel de riesgo interno para la protección adaptable es
  • El contenido se comparte desde Microsoft 365
  • El dominio del destinatario es -Recipient is
  • El remitente es
  • El dominio del remitente es
Condiciones admitidas para puntos de conexión
  • El contenido contiene: Especifica el contenido que se va a detectar. Para obtener más información sobre los tipos de archivo admitidos, consulte Archivos examinados para obtener contenido.

  • El contenido no está etiquetado: Detecta el contenido que no tiene una etiqueta de confidencialidad aplicada. Para ayudar a garantizar que solo se detecten tipos de archivo admitidos, debe usar esta condición con la extensión Archivo es o El tipo de archivo es condiciones. (Los archivos PDF y Office son totalmente compatibles).

  • No se pudo examinar el documento: Se aplica a los archivos que no se pueden examinar por una de las siguientes razones:

    • El archivo contiene uno o varios errores transitorios de extracción de texto
    • El archivo está protegido con contraseña
    • El tamaño de archivo supera el límite admitido (tamaños máximos de archivo: 64 MB para archivos sin comprimir; 256 MB para archivos comprimidos)
  • El nombre del documento contiene palabras o frases: Detecta documentos con nombres de archivo que contienen cualquiera de las palabras o frases que especifique, por ejemplo: file, credit card, patent, etc.

  • El nombre del documento coincide con los patrones: Detecta documentos en los que el nombre de archivo coincide con patrones específicos. Para definir los patrones, use comodín. Para obtener información sobre los patrones de expresión regular, consulte la documentación de expresiones regulares aquí.

  • El documento o los datos adjuntos están protegidos con contraseña: Detecta solo los archivos protegidos que están abiertos. Los siguientes archivos son totalmente compatibles:

    • Archivos de archivo (ZIP, .7z, RAR)
    • Archivos de Office
    • PDF
    • Archivos cifrados de Symantec PGP
  • El tamaño del documento es igual o mayor que: Detecta documentos con tamaños de archivo iguales o mayores que el valor especificado.

    Importante

    Se recomienda establecer esta condición para detectar elementos que tienen más de 10 KB.

  • El tipo de archivo es: Detecta los siguientes tipos de archivo:

    Tipo de archivo Aplicaciones Extensiones de archivo supervisadas
    Procesamiento de texto Word, PDF doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
    Hoja de cálculo Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
    Presentación PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
    Correo electrónico Outlook .Msg

    Importante

    Las opciones de extensiones de archivo y tipos de archivono se pueden usar como condiciones en la misma regla. Si desea usarlas como condiciones en la misma directiva, deben estar en reglas independientes.

Para usar la condición Tipo de archivo es , debe tener una de las siguientes versiones de Windows:

  • Puntos de conexión de Windows (X64):

  • Puntos de conexión de Windows (ARM64):

  • La extensión de archivo es: Además de detectar información confidencial en archivos con las mismas extensiones que las cubiertas por el tipo de archivo es condición, puede usar la condición Extensión de archivo es para detectar información confidencial en archivos con cualquier extensión de archivo que necesite supervisar. Para ello, agregue las extensiones de archivo necesarias, separadas por comas a una regla de la directiva. La condición Extensión de archivo solo se admite para las versiones de Windows que admiten el tipo de archivo es condición.

    Advertencia

    Incluir cualquiera de las siguientes extensiones de archivo en las reglas de directiva podría aumentar significativamente la carga de CPU: .dll, .exe, .mui, .ost, .pf, .pst.

  • No se completó el examen: Se aplica cuando se inicia el examen de un archivo, pero se detiene antes de examinar todo el archivo. La razón principal de un examen incompleto es que el texto extraído dentro del archivo supera el tamaño máximo permitido. (Tamaños máximos de texto extraído: archivos sin comprimir: 4 MB; Archivos comprimidos: N=1000 / Tiempo de extracción = 5 minutos).

  • La propiedad document es: Detecta documentos con propiedades personalizadas que coinciden con los valores especificados. Por ejemplo: Department = 'Marketing', Project = 'Secret'. Para especificar varios valores para una propiedad personalizada, use comillas dobles. Por ejemplo, "Departamento: Marketing, Ventas".

  • El usuario accedió a un sitio web confidencial desde Microsoft Edge: Para obtener más información, vea Escenario 6 Supervisar o restringir las actividades de usuario en dominios de servicio confidenciales (versión preliminar).

  • El nivel de riesgo interno de Adaptive Protection es: Detecta el nivel de riesgo interno.

Consulte también: Actividades de punto de conexión en las que puede supervisar y tomar medidas.

Requisitos del sistema operativo para cinco condiciones
  • No se pudo examinar el documento
  • El nombre del documento contiene palabras o frases
  • El nombre del documento coincide con los patrones
  • El tamaño del documento es igual o mayor que
  • No se completó el examen

Para usar cualquiera de estas condiciones, los dispositivos de punto de conexión deben ejecutar uno de los siguientes sistemas operativos:

Requisitos del sistema operativo para la condición 'Document Property is'

Importante

Para obtener información sobre los requisitos de Adobe para usar características de Prevención de pérdida de datos de Microsoft Purview (DLP) con archivos PDF, consulte este artículo de Adobe: Microsoft Purview Information Protection Support in Acrobat.

Las instancias de condiciones admiten
  • El contenido contiene
  • El contenido se comparte desde Microsoft 365
Condiciones compatibles con repositorios locales
  • El contenido contiene
  • La extensión de archivo es
  • La propiedad del documento es
Compatibilidad con Conditions Fabric y Power BI
  • El contenido contiene

Grupos de condiciones

A veces, necesita una regla para identificar solo una cosa, como todo el contenido que contiene un número de seguro social de EE. UU., que se define mediante una sola SIT. Sin embargo, en muchos escenarios en los que los tipos de elementos que intenta identificar son más complejos y, por lo tanto, más difíciles de definir, se requiere más flexibilidad para definir las condiciones.

Por ejemplo, para identificar el contenido sujeto a la Ley de seguros de salud (HIPAA) de Estados Unidos, debe buscar:

  • Contenido que incluye tipos concretos de información confidencial, como un Número de la Seguridad social o un Número de la Agencia antidroga (DEA) de Estados Unidos.

    Y

  • Contenido que es más difícil identificar, como las comunicaciones sobre la atención a un paciente o las descripciones de los servicios médicos proporcionados. La identificación de este tipo de contenido requiere que coincida con las palabras clave de una lista grande, como la Clasificación internacional de enfermedades (ICD-9-CM o ICD-10-CM).

Puede identificar este tipo de datos mediante la agrupación de condiciones y el uso de operadores lógicos (AND, OR) entre los grupos.

En el caso de la Ley de Seguro De Salud (HIPAA) de EE. UU., las condiciones se agrupan de la siguiente manera:

Condiciones de directiva HIPAA

El primer grupo contiene los SIT que identifican a un individuo y el segundo grupo contiene los SIT que identifican el diagnóstico médico.

Las condiciones se pueden agrupar y combinar con operadores booleanos (AND, OR, NOT) para que defina una regla indicando lo que se debe incluir y, a continuación, definiendo exclusiones en un grupo diferente unido al primero por un NOT. Para obtener más información sobre cómo DLP de Purview implementa booleanos y grupos anidados, consulte Diseño de reglas complejas.

Limitaciones de la plataforma DLP para condiciones

Predicado Carga de trabajo Límite Costo de la evaluación
Contenido contiene EXO/SPO/ODB 125 SIT por regla Alto
El contenido se comparte desde Microsoft 365 EXO/SPO/ODB - Alto
La dirección IP del remitente es EXO Longitud <del intervalo individual = 128; Count <= 600 Bajo
¿Ha invalidado el remitente la sugerencia de directiva? EXO - Bajo
El remitente es EXO Longitud <del correo electrónico individual = 256; Count <= 600 Mediano
El remitente es miembro de EXO Count <= 600 Alto
El dominio del remitente es EXO Longitud <del nombre de dominio = 67; Count <= 600 Bajo
La dirección del remitente contiene palabras EXO Longitud de la palabra <individual = 128; Count <= 600 Bajo
La dirección del remitente coincide con patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 600 Bajo
El atributo de AD del remitente contiene palabras EXO Longitud de la palabra <individual = 128; Count <= 600 Mediano
El atributo de AD del remitente coincide con los patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 600 Mediano
No se puede examinar el contenido de los datos adjuntos de correo electrónico EXO Tipos de archivo admitidos Bajo
Examen incompleto del contenido de datos adjuntos de correo electrónico EXO Tamaño > de 1 MB Bajo
Los datos adjuntos están protegidos con contraseña EXO Tipos de archivo: archivos de Office, .PDF, .ZIP y 7z Bajo
La extensión del archivo adjunto es EXO/SPO/ODB Count <= 600 por regla Alto
El destinatario es un miembro de EXO Count <= 600 Alto
El dominio del destinatario es EXO Longitud <del nombre de dominio = 67; Count <= 5000 Bajo
El destinatario es EXO Longitud <del correo electrónico individual = 256; Count <= 600 Bajo
La dirección del destinatario contiene palabras EXO Longitud de la palabra <individual = 128; Count <= 600 Bajo
La dirección del destinatario coincide con patrones EXO Count <= 300 Bajo
El nombre del documento contiene palabras o frases EXO Longitud de la palabra <individual = 128; Count <=600 Bajo
El nombre del documento coincide con los patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 300 Bajo
La propiedad del documento es EXO/SPO/ODB - Bajo
El tamaño del documento es igual o mayor que EXO - Bajo
El asunto contiene palabras o frases EXO Longitud de la palabra <individual = 128; Count <= 600 Bajo
El encabezado contiene palabras o frases EXO Longitud de la palabra <individual = 128; Count <= 600 Bajo
El asunto o el cuerpo contiene palabras o frases EXO Longitud de la palabra <individual = 128; Count <= 600 Bajo
El juego de caracteres de contenido contiene palabras EXO Count <= 600 Bajo
El encabezado coincide con patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 300 Bajo
El asunto coincide con patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 300 Bajo
El asunto o el cuerpo coinciden con los patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 300 Bajo
El tipo de mensaje es EXO - Bajo
Tamaño del mensaje sobre EXO - Bajo
Con importancia EXO - Bajo
El atributo de AD del remitente contiene palabras EXO Cada par de valores de clave de atributo: tiene longitud <Regex = 128 char; Count <= 600 Mediano
El atributo de AD del remitente coincide con los patrones EXO Cada par de valores de clave de atributo: tiene longitud <Regex = 128 char; Count <= 300 Mediano
El documento contiene palabras EXO Longitud de la palabra <individual = 128; Count <= 600 Mediano
El documento coincide con los patrones EXO Longitud de la expresión <regular = 128 caracteres; Count <= 300 Mediano

Acciones

Cualquier elemento que lo realice a través del filtro de condiciones tendrá las acciones definidas en la regla que se le aplica. Tendrá que configurar las opciones necesarias para admitir la acción. Por ejemplo, si selecciona Exchange con la acción Restringir acceso o cifrar el contenido en ubicaciones de Microsoft 365 , debe elegir entre estas opciones:

  • Impedir que los usuarios accedan al contenido compartido de SharePoint, OneDrive y Teams
    • Bloquear a todos. Solo el propietario del contenido, el último modificador y el administrador del sitio seguirán teniendo acceso
    • Bloquee solo a personas de fuera de la organización. Los usuarios de la organización seguirán teniendo acceso.
  • Cifrar mensajes de correo electrónico (solo se aplica al contenido de Exchange)

Las acciones que están disponibles en una regla dependen de las ubicaciones que se han seleccionado. Las acciones disponibles para cada ubicación individual se enumeran a continuación.

Importante

En el caso de las ubicaciones de SharePoint y OneDrive, los documentos se bloquearán proactivamente justo después de la detección de información confidencial (independientemente de si el documento se comparte o no) para todos los usuarios externos; los usuarios internos seguirán teniendo acceso al documento.

Acciones admitidas: Exchange

Cuando se aplican reglas de directiva DLP en Exchange, es posible que se detengan, no se detengan o ninguna de ellas. La mayoría de las reglas que admite Exchange no se detienen. Las acciones que no se detienen se evalúan y aplican inmediatamente antes de procesar las reglas y directivas posteriores, como se describe en las ubicaciones del servicio hospedado anteriormente en este artículo.

Sin embargo, cuando una regla de directiva DLP desencadena una acción de detención , Purview deja de procesar las reglas posteriores. Por ejemplo, cuando se desencadena la acción Restringir acceso o cifrar el contenido en ubicaciones de Microsoft 365 , no se procesan reglas ni directivas adicionales.

En caso de que una acción no se detenga ni no se detenga, Purview espera a que se produzca el resultado de la acción antes de continuar. Por lo tanto, cuando un correo electrónico saliente desencadena la acción Reenviar el mensaje para su aprobación al administrador del remitente , Purview espera a obtener la decisión del administrador sobre si se puede enviar o no el correo electrónico. Si el administrador lo aprueba, la acción se comporta como una acción que no se detiene y se procesan las reglas posteriores. Por el contrario, si el administrador rechaza enviar el correo electrónico, reenviar el mensaje para su aprobación al administrador del remitente se comporta como una acción de detención y bloquea el envío del correo electrónico; no se procesan reglas o directivas posteriores.

En la tabla siguiente se enumeran las acciones que admite Exchange e indica si se detienen o no.

Acción Detención o no detención
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 Vacilante
Establecer encabezados Sin detención
Quitar encabezado Sin detención
Redirigir el mensaje a usuarios específicos Sin detención
Reenviar el mensaje para su aprobación al administrador del remitente Ninguna
Reenviar el mensaje para su aprobación a aprobadores específicos Ninguna
Agregar destinatario al cuadro Para Sin detención
Agregar destinatario al cuadro Cc Sin detención
Agregar destinatario al cuadro CCO Sin detención
Agregar el administrador del remitente como destinatario Sin detención
Eliminación del cifrado de mensajes y la protección de derechos Sin detención
Anteponer Email asunto Sin detención
Agregar declinación de responsabilidades html Sin detención
Modificar Email asunto Sin detención
Entrega del mensaje a la cuarentena hospedada Vacilante
Aplicación de personalización de marca a mensajes cifrados Sin detención

Sugerencia

Para la acción Aplicar personalización de marca a mensajes cifrados, si ya ha implementado Cifrado de mensajes de Microsoft Purview, las plantillas se muestran automáticamente en la lista desplegable. Si desea implementar Cifrado de mensajes de Microsoft Purview, consulte Incorporación de la marca de su organización a la Cifrado de mensajes de Microsoft Purview mensajes cifrados para obtener información general sobre el cifrado de mensajes y cómo crear y configurar las plantillas de personalización de marca.

Para obtener más información sobre las acciones que admite Exchange, incluidos los valores de PowerShell, vea: Referencia de las condiciones y acciones de Exchange de prevención de pérdida de datos.

Acciones admitidas: SharePoint

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365

Acciones admitidas: OneDrive

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365

Acciones admitidas: Mensajes de chat y canal de Teams

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365

Acciones admitidas: Dispositivos

Puede indicar a DLP que audite solo, Bloquear con invalidación o Bloquear (las acciones) estas actividades de usuario para dispositivos incorporados.

Restricción del acceso o cifrado de contenido en ubicaciones de Microsoft 365

Use esta opción para impedir que los usuarios reciban correo electrónico o accedan a sharePoint, OneDrive, archivos de Teams y elementos de Power BI compartidos. Esta acción puede bloquear a todos o bloquear solo a las personas que están fuera de su organización.

Auditoría o restricción de actividades cuando los usuarios acceden a sitios confidenciales en exploradores Microsoft Edge en dispositivos Windows

Use esta acción para controlar cuándo los usuarios intentan:

Actividad Descripción/opciones
Imprimir el sitio Detecta cuándo los usuarios intentan imprimir un sitio protegido desde un dispositivo incorporado.
Copia de datos del sitio Detecta cuándo los usuarios intentan copiar datos de un sitio protegido desde un dispositivo incorporado.
Guardar el sitio como archivos locales (Guardar como) Detecta cuándo los usuarios intentan guardar un sitio protegido como archivos locales desde un dispositivo incorporado.
Auditoría o restricción de actividades en dispositivos

Úselo para restringir las actividades de usuario por dominio de servicio y actividades del explorador, actividades de archivo para todas las aplicaciones, actividades de aplicaciones restringidas. Para usar auditar o restringir actividades en dispositivos, debe configurar opciones en la configuración dlp y en la directiva en la que desea usarlas. Consulte Aplicaciones restringidas y grupos de aplicaciones para obtener más información.

Las reglas DLP con la acción Auditar o restringir actividades en dispositivos pueden tener bloquear con invalidación configurado. Cuando esta regla se aplica a un archivo, se bloquea cualquier intento de realizar una acción restringida en el archivo. Se muestra una notificación con la opción de invalidar la restricción. Si el usuario decide invalidar, la acción se permite durante un período de 1 minuto, durante el cual el usuario puede volver a intentar la acción sin restricciones. La excepción a este comportamiento es cuando se arrastra y coloca un archivo confidencial en Edge, que adjuntará inmediatamente el archivo si se invalida la regla.

Actividades de dominio y explorador de servicio

Al configurar los dominios de servicio en la nube Allow/Block y la lista Exploradores no permitidos (consulte Restricciones de explorador y dominio para datos confidenciales) y un usuario intenta cargar un archivo protegido en un dominio de servicio en la nube o acceder a él desde un explorador no permitido, puede configurar la acción de directiva en Audit only, Block with overrideo Block en la actividad.

Actividad Descripción/opciones
Carga en un dominio de servicios en la nube restringido o acceso desde una aplicación no permitida Detecta cuándo se bloquean los archivos protegidos o se permite cargarlos en dominios de servicio en la nube. Consulte Restricciones de explorador y dominio para datos confidenciales y Escenario 6 Supervisar o restringir las actividades del usuario en dominios de servicio confidenciales).
Pegar en exploradores admitidos Detecta cuándo los usuarios pegan información confidencial en un campo de texto o formulario web mediante Microsoft Edge, Google Chrome (con la extensión Microsoft Purview) o Mozilla Firefox (con la extensión Microsoft Purview). La evaluación es independiente de la clasificación del archivo de origen. Para obtener más información, consulte: Actividades de punto de conexión sobre las que puede supervisar y realizar acciones.
Actividades de archivo para todas las aplicaciones

Con la opción Actividades de archivo para todas las aplicaciones , seleccione No restringir las actividades de archivo o Aplicar restricciones a actividades específicas. Al seleccionar Aplicar restricciones a actividades específicas, las acciones que seleccione aquí se aplicarán cuando un usuario tenga acceso a un elemento protegido dlp.

Actividad Descripción/opciones
Copiar en el portapapeles Detecta cuándo se copian los archivos protegidos en el Portapapeles en un dispositivo incorporado. Para obtener más información, consulte Actividades de punto de conexión en las que puede supervisar y realizar acciones y Copiar en el comportamiento del Portapapeles.
Copia en un dispositivo extraíble Detecta cuándo se copian o mueven archivos protegidos de un dispositivo incorporado a un dispositivo USB extraíble. Para obtener más información, consulte Grupos de dispositivos USB extraíbles.
Copia en un recurso compartido de red Detecta cuándo se copian o mueven archivos protegidos de un dispositivo incorporado a cualquier recurso compartido de red. Para obtener más información, consulte Cobertura y exclusiones de recursos compartidos de red.
Print Detecta cuándo se imprime un archivo protegido desde un dispositivo incorporado. Para obtener más información, consulte Grupos de impresoras.
Copiar o mover mediante una aplicación Bluetooth no permitida Detecta cuándo se copia o mueve un archivo protegido desde un dispositivo Windows incorporado mediante una aplicación Bluetooth no permitida. Para obtener más información, consulte Aplicaciones Bluetooth no permitidas (restringidas). Esto no es compatible con macOS.
Copia o movimiento mediante RDP Detecta cuándo los usuarios copian o mueven archivos protegidos de un dispositivo Windows incorporado a otra ubicación mediante RDP. Esto no es compatible con macOS.
Actividades de aplicación restringidas

Anteriormente denominadas aplicaciones no permitidas, las actividades de aplicaciones restringidas son aplicaciones en las que quiere aplicar restricciones. Estas aplicaciones se definen en una lista de la configuración dlp de punto de conexión. Cuando un usuario intenta acceder a un archivo protegido dlp mediante una aplicación que se encuentra en la lista, puede , Audit onlyBlock with overrideo Block la actividad . Las acciones DLP definidas en las actividades de aplicaciones restringidas se invalidan si la aplicación es miembro del grupo de aplicaciones restringido. A continuación, se aplican las acciones definidas en el grupo de aplicaciones restringidas.

Actividad Descripción/opciones
Acceso por aplicaciones restringidas Detecta cuándo las aplicaciones no permitidas intentan acceder a archivos protegidos en un dispositivo Windows incorporado. Para obtener más información, consulte Aplicaciones restringidas y grupos de aplicaciones.
Actividades de archivo para aplicaciones en grupos de aplicaciones restringidos (versión preliminar)

Defina los grupos de aplicaciones restringidos en la configuración dlp de punto de conexión y agregue grupos de aplicaciones restringidos a las directivas. Al agregar un grupo de aplicaciones restringido a una directiva, debe seleccionar una de estas opciones:

  • No restringir la actividad de archivos
  • Aplicar restricciones a toda la actividad
  • Aplicación de restricciones a una actividad específica

Al seleccionar cualquiera de las opciones Aplicar restricciones y un usuario intenta acceder a un archivo protegido dlp mediante una aplicación que se encuentra en el grupo de aplicaciones restringidas, puede , Audit onlyBlock with overrideo Block por actividad. Las acciones DLP que defina aquí invalidan las acciones definidas en actividades de aplicación restringidas y actividades de archivo para todas las aplicaciones de la aplicación.

Para obtener más información, consulte Aplicaciones restringidas y grupos de aplicaciones.

Nota:

La ubicación de los dispositivos proporciona muchas actividades secundarias (condiciones) y acciones. Para más información, consulte Actividades de punto de conexión sobre las que puede supervisar y realizar acciones.

Importante

La condición Copiar en el Portapapeles detecta cuándo un usuario copia la información de un archivo protegido en el Portapapeles. Use Copiar en el Portapapeles para bloquear, bloquear con invalidación o auditar cuando los usuarios copien información de un archivo protegido.

La condición Pegar en exploradores admitidos detecta cuándo un usuario intenta pegar texto confidencial en un campo de texto o formulario web mediante Microsoft Edge, Google Chrome con la extensión Microsoft Purview o Mozilla Firefox con la extensión Microsoft Purview , independientemente de dónde procede esa información. Use Pegar en exploradores admitidos para bloquear, bloquear con invalidación o auditoría cuando los usuarios peguen información confidencial en un campo de texto o formulario web.

Acciones de instancias

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
  • Restricción de aplicaciones de terceros

Acciones de repositorios locales

  • Restringir el acceso o quitar archivos locales.
    • Impedir que las personas accedan a los archivos almacenados en repositorios locales
    • Establecer permisos en el archivo (permisos heredados de la carpeta primaria)
    • Mover el archivo desde donde se almacena a una carpeta de cuarentena

Consulte Acciones del repositorio local DLP para obtener más información.

Acciones de Fabric y Power BI

  • Notificar a los usuarios con sugerencias de directiva y correo electrónico
  • Envío de alertas al administrador

Acciones disponibles al combinar ubicaciones

Si selecciona Exchange y cualquier otra ubicación única a la que se va a aplicar la directiva, el

  • Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 y todas las acciones para las acciones de ubicación que no son de Exchange están disponibles.

Si selecciona dos o más ubicaciones que no son de Exchange a las que se va a aplicar la directiva, el

  • Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 y todas las acciones para las acciones que no sean de Exchange estarán disponibles.

Por ejemplo, si selecciona las ubicaciones Exchange y Dispositivos, estas acciones estarán disponibles:

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
  • Auditoría o restricción de actividades en dispositivos Windows

Si selecciona Dispositivos e instancias, estas acciones estarán disponibles:

  • Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
  • Auditoría o restricción de actividades en dispositivos Windows
  • Restricción de aplicaciones de terceros

Si una acción surte efecto o no depende de cómo configure el modo de la directiva. Puede optar por ejecutar la directiva en modo de simulación con o sin mostrar la sugerencia de directiva seleccionando la opción Ejecutar la directiva en modo de simulación . Elija ejecutar la directiva tan pronto como una hora después de su creación seleccionando la opción Activar inmediatamente , o bien puede optar por guardarla y volver a ella más tarde seleccionando la opción Mantenerla desactivada .

Limitaciones de la plataforma DLP para acciones

Nombre de la acción Carga de trabajo Límites
Restricción del acceso o cifrado de contenido en Microsoft 365 EXO/SPO/ODB
Establecer encabezados EXO
Quitar encabezado EXO
Redirigir el mensaje a usuarios específicos EXO Total de 100 en todas las reglas DLP. No puede ser DL/SG
Reenviar el mensaje para su aprobación al administrador del remitente EXO El administrador debe definirse en AD
Reenviar el mensaje para su aprobación a aprobadores específicos EXO no se admiten Grupos
Agregar destinatario al cuadro Para EXO Recuento de <destinatarios = 10; No puede ser DL/SG
Agregar destinatario al cuadro Cc EXO Recuento de <destinatarios = 10; No puede ser DL/SG
Agregar destinatario al cuadro CCO EXO Recuento de <destinatarios = 10; No puede ser DL/SG
Agregar el administrador del remitente como destinatario EXO El atributo manager debe definirse en AD
Aplicación de declinación de responsabilidades de HTML EXO
Anteponer asunto EXO
Aplicación del cifrado de mensajes EXO
Eliminación del cifrado de mensajes EXO

Sugerencias de directivas y notificaciones de usuario

Cuando un usuario intenta una actividad en un elemento confidencial en un contexto que cumple las condiciones de una regla (por ejemplo, contenido como un libro de Excel en un sitio de OneDrive que contiene información de identificación personal (PII) y se comparte con un invitado), puede informarle sobre ello a través de correos electrónicos de notificación de usuario y elementos emergentes de sugerencias de directiva en contexto. Estas notificaciones son útiles porque aumentan el conocimiento y ayudan a educar a las personas sobre las directivas DLP de su organización.

La barra de mensajes muestra sugerencia de directiva en Excel 2016

Importante

  • Los correos electrónicos de notificación se envían desprotegidos.
  • Email notificaciones solo se admiten para los servicios de Microsoft 365.

Email compatibilidad con notificaciones por ubicación seleccionada

Ubicación seleccionada Email notificaciones admitidas
Dispositivos - No compatible
Exchange y dispositivos - Compatible con Exchange
: no compatible con dispositivos
Exchange -Soportado
SharePoint + Dispositivos - Compatible con SharePoint
: no compatible con dispositivos
SharePoint -Soportado
Exchange y SharePoint - Compatible con Exchange
: compatible con SharePoint
Dispositivos + SharePoint + Exchange - No compatible con dispositivos
: compatible con SharePoint
compatible con Exchange
Teams - No compatible
OneDrive - Compatible con OneDrive para el trabajo o la escuela
: no compatible con dispositivos
Tejido y Power BI - No compatible
Instancias - No compatible
Repositorios locales - No compatible
Exchange + SharePoint + OneDrive - Compatible con Exchange
: compatible con SharePoint
: compatible con OneDrive

También puede proporcionar a los usuarios la opción de invalidar la directiva, de modo que no se bloqueen si tienen una necesidad empresarial válida o si la directiva detecta un falso positivo.

Las opciones de configuración de notificaciones de usuario y sugerencias de directiva varían en función de las ubicaciones de supervisión que haya seleccionado. Si seleccionó:

  • Exchange
  • SharePoint
  • OneDrive
  • Chat y canal de Teams
  • Instancias

Puede habilitar o deshabilitar las notificaciones de usuario para varias aplicaciones de Microsoft; consulte Referencia de sugerencias de directivas de prevención de pérdida de datos.

También puede habilitar o deshabilitar notificaciones con una sugerencia de directiva.

  • notificaciones por correo electrónico al usuario que envió, compartió o modificó por última vez el contenido O
  • notificar a personas específicas

Además, puede personalizar el texto del correo electrónico, el asunto y el texto de la sugerencia de directiva.

Opciones de configuración de sugerencias de directiva y notificación de usuario que están disponibles para Exchange, SharePoint, OneDrive, Chat y canal de Teams e instancias

Para obtener información detallada sobre cómo personalizar los correos electrónicos de notificación del usuario final, consulte Notificaciones de correo electrónico personalizadas.

Si seleccionó Solo dispositivos, obtendrá todas las mismas opciones que están disponibles para Exchange, SharePoint, OneDrive, Chat y canal de Teams e Instancias, además de la opción de personalizar el título de notificación y el contenido que aparece en el dispositivo Windows 10/11.

Opciones de configuración de sugerencias de directiva y notificación de usuario que están disponibles para dispositivos

Puede personalizar el título y el cuerpo del texto mediante los parámetros siguientes.

Nombre común Parámetro Ejemplo
nombre de archivo %%FileName%% Documento 1 de Contoso
nombre del proceso %%ProcessName%% Word
nombre de directiva %%PolicyName%% Contoso extremadamente confidencial
acción %%AppliedActions%% pegar contenido del documento desde el Portapapeles a otra aplicación

Elementos emergentes de límites de caracteres de mensaje personalizados

Las notificaciones de usuario están sujetas a los siguientes límites de caracteres:

Variable Límite de caracteres
DLP_MAX-SIZE-TITLE 120
DLP_MAX-SIZE-CONTENT 250
DLP_MAX-SIZE-JUSTIFICATION 250

%%AppliedActions%% sustituye estos valores en el cuerpo del mensaje:

nombre común de acción valor sustituido por el parámetro %%AppliedActions%%
copiar en el almacenamiento extraíble escribir en el almacenamiento extraíble
copia en el recurso compartido de red escribir en un recurso compartido de red
Impresión imprenta
pegar desde el Portapapeles pegar desde el Portapapeles
copiar a través de bluetooth transferencia a través de Bluetooth
abrir con una aplicación no permitida abrir con esta aplicación
copia en un escritorio remoto (RDP) transferencia a escritorio remoto
cargar en un sitio web no permitido cargar en este sitio
acceso al elemento a través de un explorador no permitido abrir con este explorador

Uso de este texto personalizado

%%AppliedActions%% Nombre de archivo %%FileName%% a través de %%ProcessName%% no está permitido por su organización. Seleccione "Permitir" si desea omitir la directiva %%PolicyName%%

genera este texto en la notificación personalizada:

Pegar desde el nombre de archivo del Portapapeles: la organización no permite contoso doc 1 a través de WINWORD.EXE. Seleccione el botón "Permitir" si desea omitir la directiva Contoso extremadamente confidencial.

Puede localizar las sugerencias de directiva personalizadas mediante el cmdlet Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.

Nota:

Las notificaciones de usuario y las sugerencias de directiva no están disponibles para la ubicación local.

Solo se mostrará la sugerencia de directiva de la regla más restrictiva y con mayor prioridad. Por ejemplo, una sugerencia de directiva de una regla que bloquea el acceso al contenido se mostrará por encima de una sugerencia de directiva de una regla que simplemente envía una notificación. Esto impide que las personas vean una cascada de sugerencias de directiva.

Para obtener más información sobre la configuración y el uso de notificaciones de usuario y sugerencias de directiva, incluido cómo personalizar la notificación y el texto de sugerencias, consulte Envío de notificaciones por correo electrónico y mostrar sugerencias de directiva para directivas DLP.

Referencias de sugerencias de directiva

Puede encontrar detalles sobre la compatibilidad con sugerencias de directivas y notificaciones para diferentes aplicaciones aquí:

Bloqueo y notificaciones en SharePoint en Microsoft 365 y OneDrive

En la tabla siguiente se muestra el comportamiento de bloqueo y notificación dlp para las directivas que tienen como ámbito SharePoint en Microsoft 365 y OneDrive. Tenga en cuenta que esto no está pensado para ser una lista exhaustiva y hay configuraciones adicionales que no están en el ámbito de este artículo.

Nota:

El comportamiento de notificación descrito en esta tabla puede requerir la habilitación de la siguiente configuración:

Notificaciones de usuario:

  • Activada
  • Notificar a los usuarios en Office 365 servicio con una sugerencia de directiva
  • Notificar al usuario que envió, compartió o modificó por última vez el contenido

Informes de incidentes:

  • Envío de una alerta a los administradores cuando se produce una coincidencia de regla
  • Enviar alerta cada vez que una actividad coincide con la regla seleccionada
  • Uso de informes de incidentes de correo electrónico para notificarle cuando se produce una coincidencia de directiva
Condiciones Restricción de la configuración de acceso Comportamiento de bloqueo y notificación
- El contenido se comparte desde Microsoft 365**: con personas ajenas a mi organización No configurado Las notificaciones de usuario, las alertas y los informes de incidentes solo se enviarán cuando un archivo se comparta con un usuario externo y un usuario externo acceda al archivo.
- El contenido se comparte desde Microsoft 365**: solo con personas de mi organización No configurado Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo
- El contenido se comparte desde Microsoft 365**: solo con personas de mi organización - Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams
- Bloquear a todos
- El acceso a archivos confidenciales se bloquea en cuanto se cargan.
- Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo.
- El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización - Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams
- Bloquear solo a personas ajenas a la organización
- El acceso a un archivo confidencial se bloquea en cuanto se carga, independientemente de si el documento se comparte o no para todos los usuarios externos.
- Si la información confidencial se agrega a un archivo después de que un usuario fuera de la organización la comparta y acceda a ella, se enviarán alertas e informes de incidentes.
- Si el documento contiene información confidencial antes de cargarlo, el uso compartido externo se bloqueará de forma proactiva. Dado que el uso compartido externo en este escenario se bloquea cuando se carga el archivo, no se envían alertas ni informes de incidentes. La supresión de las alertas y los informes de incidentes está diseñada para evitar una avalancha de alertas para el usuario para cada archivo bloqueado.
- El bloqueo proactivo se mostrará como evento en el Registro de auditoría y el Explorador de actividad.
- El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización - Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams
- Bloquear a todos
- Cuando el primer usuario fuera de la organización accede al documento, el evento hará que se bloquee el documento.
- Se espera que, durante un breve período de tiempo, los usuarios externos que tengan el vínculo al archivo puedan acceder al documento.
- Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando un archivo se comparte con un usuario externo y un usuario externo accede a ese archivo.
- El contenido se comparte desde Microsoft 365 - Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Bloquear solo a las personas a las que se les dio acceso al contenido mediante la opción "Cualquiera con el vínculo".
Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo

Más información sobre la dirección URL

Es posible que los usuarios quieran saber por qué se bloquea su actividad. Puede configurar un sitio o una página que explique más sobre las directivas. Al seleccionar Proporcionar una dirección URL de cumplimiento para que el usuario final obtenga más información sobre las directivas de su organización (solo disponible para Exchange) y el usuario recibe una notificación de sugerencia de directiva en Outlook Win32, el vínculo Más información apuntará a la dirección URL del sitio que proporcione. Esta dirección URL tiene prioridad sobre la dirección URL de cumplimiento global configurada con Set-PolicyConfig -ComplainceURL.

Importante

Debe configurar el sitio o la página a la que más información apunta desde cero. Microsoft Purview no proporciona esta funcionalidad de forma inmediata.

Invalidaciones de usuario

La intención de las invalidaciones de usuario es proporcionar a los usuarios una manera de omitir, con justificación, las acciones de bloqueo de directiva DLP en elementos confidenciales en Exchange, SharePoint, OneDrive o Teams, para que puedan continuar con su trabajo. Las invalidaciones de usuario solo se habilitan cuando notificar a los usuarios de Office 365 servicios con una sugerencia de directiva está habilitado, por lo que las invalidaciones de usuario van de la mano con notificaciones y sugerencias de directiva.

Opciones de invalidación de usuario para una directiva DLP

Nota:

Las invalidaciones de usuario no están disponibles para la ubicación de repositorios locales.

Normalmente, las invalidaciones de usuario son útiles cuando la organización implementa por primera vez una directiva. Los comentarios que se obtienen de cualquier justificación de invalidación e identificación de falsos positivos ayudan a ajustar la directiva.

  • Si las sugerencias de directiva en la regla más restrictiva permite que los usuarios invaliden la regla, la invalidación de esta regla invalida también otras reglas que coinciden con el contenido.

Encabezado X de justificación empresarial

Cuando un usuario invalida un bloque con acción de invalidación en un correo electrónico, la opción de invalidación y el texto que proporcionan se almacenan en el registro de auditoría y en el encabezado X del correo electrónico. Para ver las invalidaciones de justificación empresarial, busque el valor en el registroExceptionInfo de auditoría para obtener los detalles. Este es un ejemplo de los valores de registro de auditoría:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

Si tiene un proceso automatizado que hace uso de los valores de justificación empresarial, el proceso puede acceder a esa información mediante programación en los datos del encabezado X del correo electrónico.

Nota:

Los msip_justification valores se almacenan en el orden siguiente:

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

Observe que los valores están separados por punto y coma. El texto libre máximo permitido es de 500 caracteres.

Informes de incidentes

Cuando se coincide con una regla, puede enviar un correo electrónico de alerta al responsable de cumplimiento (o a cualquier persona que elija) con detalles del evento y puede verlos en el panel de alertas de Prevención de pérdida de datos de Microsoft Purview y en el portal de Microsoft 365 Defender. Una alerta incluye información sobre el elemento que coincidió, el contenido real que coincidió con la regla y el nombre de la persona que modificó por última vez el contenido.

En la versión preliminar, los correos electrónicos de alerta de administrador incluyen detalles como:

  • Gravedad de la alerta
  • El momento en que se produjo la alerta
  • Actividad.
  • Datos confidenciales detectados.
  • Alias del usuario cuya actividad desencadenó la alerta.
  • Directiva que coincidió.
  • Identificador de alerta
  • La operación de punto de conexión que se intentó si la ubicación dispositivos está en el ámbito de la directiva.
  • La aplicación que se estaba usando.
  • Nombre del dispositivo, si la coincidencia se produjo en un dispositivo de punto de conexión.

DLP proporciona información sobre incidentes a otros servicios de Microsoft Purview Information Protection, como la administración de riesgos internos. Para obtener información sobre incidentes en la administración de riesgos internos, debe establecer el nivel de gravedad informes de incidentes en Alto.

enviar una alerta cada vez que una regla coincida o se agregue con el tiempo en menos informes

Tipo de alerta

Las alertas se pueden enviar cada vez que una actividad coincide con una regla, lo que puede ser ruidoso o puede agregarse en función del número de coincidencias o el volumen de elementos durante un período de tiempo establecido. Hay dos tipos de alertas que se pueden configurar en las directivas DLP.

Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización.

Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.

Otras opciones de alerta

Al seleccionar Usar informes de incidentes de correo electrónico para notificarle cuando se produce una coincidencia de directiva, puede elegir incluir:

  • Nombre de la persona que modificó por última vez el contenido.
  • Tipos de contenido confidencial que coincidieron con la regla.
  • Nivel de gravedad de la regla.
  • Contenido que coincidía con la regla, incluido el texto circundante.
  • Elemento que contiene el contenido que coincidió con la regla.

Para obtener más información sobre las alertas, consulte:

Recopilación de evidencias para actividades de archivos en dispositivos

Si ha habilitado la recopilación de pruebas de instalación para las actividades de archivos en dispositivos y ha agregado cuentas de almacenamiento de Azure, puede seleccionar Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en Punto de conexión y la cuenta de Almacenamiento de Azure a la que desea copiar los elementos. También debe elegir las actividades para las que desea copiar elementos. Por ejemplo, si selecciona Imprimir pero no Copiar en un recurso compartido de red, solo los elementos que se imprimen desde dispositivos supervisados se copiarán en la cuenta de almacenamiento de Azure.

Opciones adicionales

Si tiene varias reglas en una directiva, puede usar las opciones Adicionales para controlar el procesamiento de reglas adicionales si hay una coincidencia con la regla que está editando, así como establecer la prioridad para la evaluación de la regla. Esto solo se admite en ubicaciones de Exchange y Teams.

Vea también