Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом сценарии показано, как использовать условия на основе сети в Microsoft Purview DLP для применения различных мер защиты в зависимости от того, где пользователи получают доступ к конфиденциальные данные. Определяя VPN-подключения и настраивая исключения сети, политика корректирует действия, такие как аудит или блокировка действий буфера обмена, на основе контекста сети, обеспечивая более точное управление гибридными рабочими средами без единообразного ограничения активности пользователей.
Этот сценарий предназначен для неограниченного администратора, создающего политику полного каталога.
Необходимые условия
Для этого сценария требуется, чтобы устройства уже были подключены и отчеты в обозревателе действий. Если вы еще не настроили устройства, прочитайте статью Начало работы с функцией защиты от потери данных.
В этом сценарии мы определим список VPN, которые гибридные сотрудники используют для доступа к ресурсам организации.
В этой статье описывается процесс, который вы узнали в статье Разработка политики защиты от потери данных, чтобы показано, как создать политику Защита от потери данных Microsoft Purview (DLP). Изучите эти сценарии в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.
Важно!
В этой статье представлен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Замените собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.
Развертывание политики также важно. В этой статье показано, как использовать варианты развертывания, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.
В этом сценарии используется метка конфиденциальности , поэтому требуется создать и опубликовать метки конфиденциальности. Дополнительные сведения см. в статьях
- Сведения о метках конфиденциальности
- Начало работы с метками конфиденциальности
- Создание и настройка меток конфиденциальности и соответствующих политик
В этой процедуре используется гипотетическая группа распределения Human Resources и группа рассылки для группы безопасности на Contoso.com.
В этой процедуре используются оповещения, см. статью Начало работы с оповещениями защиты от потери данных.
Оператор намерения политики и сопоставление
Мы, Contoso, хотим контролировать обработку конфиденциального юридического содержимого в зависимости от сетевого контекста, в котором работают пользователи. В частности, мы хотим применить различные уровни ограничений в зависимости от того, подключены ли пользователи через доверенные корпоративные сети или VPN-подключения, используемые гибридными рабочими ролей.
Для этого мы определим известные VPN-подключения и будем использовать их в правилах сетевых исключений в политике защиты от потери данных. Это позволяет применять более строгие элементы управления, такие как блокировка действия буфера обмена с переопределением, когда пользователи подключены через определенные VPN, сохраняя при этом менее строгое (только аудит) поведение в других контекстах. Такой подход обеспечивает контекстную защиту данных, которая адаптируется к тому, как и где пользователи получают доступ к конфиденциальные данные.
| Statement | Ответы на вопрос о конфигурации и сопоставление конфигурации |
|---|---|
| "Мы хотим применить различные элементы управления защитой данных в зависимости от того, из которых подключены пользователи сети..." | — Административный область: полный каталог — Где отслеживать: только устройства — политика область: все пользователи или устройства или целевые пользователи |
| "Мы хотим определить VPN-подключения, используемые гибридными рабочими ролей..." | — Параметры конечной точки. Настройка параметров VPN с помощью адреса сервера или сетевого адреса — данные, собираемые с помощью команд PowerShell (Get-VpnConnection, Get-NetConnectionProfile). |
| "Мы хотим обнаружить конфиденциальное юридическое содержимое, обрабатываемое на конечных точках..." | — Условие: содержимое содержит = обучаемые классификаторы, юридические вопросы |
| "Мы хотим контролировать определенные действия пользователей, связанные с конфиденциальным содержимым..." | — Действие: аудит или ограничение действий на устройствах — Тип действия: действия файлов во всех приложениях — Определенное действие: копирование в буфер обмена (можно расширить для других пользователей, таких как печать или копирование по USB-порту). |
| "Мы хотим менее строгий мониторинг в нормальных условиях..." | — Действие действия по умолчанию: аудит только для копирования в буфер обмена |
| "Нам нужен более строгий контроль, когда пользователи подключены через определенные VPN-сети..." | — Сетевое исключение: выберите VPN и задайте для действия значение Блокировать с переопределением. — Приоритет: VPN-подключение должно быть задано в качестве основного приоритета в конфигурации исключения сети. |
| "Мы хотим поддерживать производительность пользователей при сохранении подотчетности..." | — Возможность переопределения: пользователи могут приступить к оправданию при блокировке в условиях VPN. |
| "Мы хотим обеспечить правильный приоритет правил на основе сети..." | — Поведение конфигурации: правила VPN имеют приоритет над параметрами корпоративной сети при правильном упорядочении - Внимание! "Применить ко всем действиям" может перезаписать другие конфигурации, относящиеся к действиям. |
| "Мы хотим безопасно протестировать поведение политики до полного принудительного применения..." | — Режим политики: запуск в режиме имитации — Взаимодействие с пользователем: отображение подсказок политики в режиме имитации |
| "Мы хотим проверить поведение политики с помощью мониторинга и тестирования..." | — Мониторинг: просмотр соответствия политик с помощью обозревателя действий — Тестирование. Выполнение действия копирования буфера обмена в разных условиях сети (VPN и не VPN). |
Действия по созданию политики
Создание и использование сетевого исключения
Сетевые исключения позволяют настроить действия "Разрешить", "Только аудит", "Блокировать с переопределением" и "Блокировать" для действий с файлами на основе сети, из которых пользователи получают доступ к файлу. Вы можете выбрать из списка параметров VPN , который вы определили, и использовать параметр Корпоративная сеть . Действия могут применяться по отдельности или совместно к следующим действиям пользователей:
- Копирование в буфер обмена
- Копирование на съемные USB-устройства
- Копирование в общую сетевую папку
- Печать
- Копирование или перемещение с использованием запрещенного приложения Bluetooth
- Копирование или перемещение с помощью RDP
Получение адреса сервера или сетевого адреса
На отслеживаемом устройстве Windows с отслеживанием защиты от потери данных откройте окно Windows PowerShell с правами администратора.
Выполните следующий командлет:
Get-VpnConnectionВыполнение этого командлета возвращает несколько полей и значений.
Найдите поле ServerAddress и запишите это значение. Этот параметр используется при создании записи VPN в списке VPN.
Найдите поле Имя и запишите это значение. Поле Имя сопоставляется с полем Сетевой адрес при создании записи VPN в списке VPN.
Определите, подключено ли устройство через корпоративную сеть.
На отслеживаемом устройстве Windows с отслеживанием защиты от потери данных откройте окно Windows PowerShell с правами администратора.
Выполните следующий командлет:
Get-NetConnectionProfileЕсли поле NetworkCategory имеет значение DomainAuthenticated, устройство подключается к корпоративной сети. В противном случае подключение устройства осуществляется не через корпоративную сеть.
Добавление VPN
Войдите на портал Microsoft Purview.
Откройте Параметры Параметры> Защиты отпотери> данныхПараметры параметров VPN конечной> точки.
Выберите Добавить или изменить VPN-адреса.
Укажите адрес сервера или сетевой адрес из запуска Get-VpnConnection.
Выберите Сохранить.
Закройте элемент.
Настройка действий политики
Войдите на портал Microsoft Purview.
Откройтеполитикизащиты от> потери данных.
Выберите Создать политику.
Данные, хранящиеся в подключенных источниках.
Выберите Настраиваемый в разделе Категории , а затем шаблон Настраиваемая политика в разделе Правила.
Назовите новую политику и укажите описание.
Выберите Полный каталогв разделе Администратор единиц.
Окажите расположение только устройствами .
Создайте правило, в котором:
- Содержимое содержит = Обучаемые классификаторы, юридические вопросы
- Действия = Аудит или ограничение действий на устройствах
- Затем выберите Действия с файлом во всех приложениях.
- Выбор применения ограничений к определенному действию
- Выберите действия, для которого требуется настроить исключения сети .
Выберите Копировать в буфер обмена и действие Аудит только
Выберите Выбрать другое копирование в буфер обмена.
Выберите VPN и задайте для действия значение Блокировать с переопределением.
Важно!
Если вы хотите контролировать действия пользователя при подключении через VPN , необходимо выбрать VPN и сделать VPN главным приоритетом в конфигурации сетевых исключений . В противном случае, если выбран параметр Корпоративная сеть , будет применено действие, определенное для записи Корпоративной сети .
Предостережение
Параметр Применить ко всем действиям скопирует сетевые исключения, определенные здесь, и применяет их ко всем другим настроенным конкретным действиям, таким как Печать и Копирование в сетевую папку. Это перезапишет сетевые исключения для других действий Последняя сохраненная конфигурация побеждает.
Сохранить.
Примите значение по умолчанию Запуск политики в режиме имитации и выберите Показать советы политики в режиме имитации. Нажмите кнопку Далее.
Просмотрите параметры и нажмите кнопку Отправить , а затем — Готово.
Новая политика защиты от потери данных появится в списке политик.