Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом сценарии показано, как использовать группы авторизации в Microsoft Purview DLP для принудительного применения блока по умолчанию для действий конфиденциальные данные при разрешении контролируемых исключений. В этом примере печать документов, классифицированных как законное содержимое, ограничена на всех устройствах, за исключением определенного набора утвержденных принтеров юридического отдела.
Благодаря сочетанию ограничений на печать на уровне устройства с списком разрешенных принтеров этот подход позволяет организациям защищать конфиденциальную информацию, сохраняя при этом законные бизнес-рабочие процессы. В нем также показано, как можно повторно использовать группы авторизации в других сценариях, таких как съемные устройства хранения или сетевые ресурсы.
Этот сценарий предназначен для неограниченного администратора, создающего политику полного каталога.
Для использования этого сценария необходимо, чтобы ваши устройства были подключены и доступны в обозревателе действий. Если вы еще не настроили устройства, прочитайте статью Начало работы с функцией защиты от потери данных.
Группы авторизации в основном используются в качестве списков разрешений. Вы назначили группе действия политики, отличные от действий глобальной политики. В этом сценарии мы определяем группу принтеров, а затем настраиваем политику с действиями блока для всех действий печати, кроме принтеров в группе. Эти процедуры по существу одинаковы для групп устройств хранения с возможностью удаления и групп общих сетевых ресурсов.
В этом сценарии мы определяем группу принтеров, которые юридический отдел использует для печати контрактов. Печать контрактов на любых других принтерах блокируется.
Необходимые условия
В этой статье описывается процесс, который вы узнали в статье Разработка политики защиты от потери данных, чтобы показано, как создать политику Защита от потери данных Microsoft Purview (DLP). Изучите эти сценарии в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.
Важно!
В этой статье представлен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Замените собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.
Развертывание политики также важно. В этой статье показано, как использовать варианты развертывания, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.
В этом сценарии используется метка конфиденциальности , поэтому требуется создать и опубликовать метки конфиденциальности. Дополнительные сведения см. в статьях
- Сведения о метках конфиденциальности
- Начало работы с метками конфиденциальности
- Создание и настройка меток конфиденциальности и соответствующих политик
В этой процедуре используется гипотетическая группа распределения Human Resources и группа рассылки для группы безопасности на Contoso.com.
В этой процедуре используются оповещения, см. статью Начало работы с оповещениями защиты от потери данных.
Оператор намерения политики и сопоставление
Мы, Contoso, хотим запретить пользователям печатать конфиденциальное юридическое содержимое на несанкционированных принтерах, но по-прежнему разрешать утвержденные бизнес-рабочие процессы для юридического отдела. В этом сценарии документы, которые соответствуют обучаемому классификатору по юридическим вопросам , должны быть защищены от печати широко в организации, но пользователи в legal должны иметь возможность печатать эти документы на определенном наборе утвержденных принтеров.
Для этого мы создадим политику, которая применяет ограничения печати на устройствах для содержимого, классифицированного как законное. Печать будет заблокирована по умолчанию, но группа авторизации утвержденных принтеров будет настроена как исключение и разрешена. Это обеспечивает надежную защиту по умолчанию при поддержке законных бизнес-потребностей с помощью управляемой модели списка разрешений.
| Statement | Ответы на вопрос о конфигурации и сопоставление конфигурации |
|---|---|
| "Мы хотим защитить конфиденциальные юридические документы от печати на несанкционированных принтерах..." | — Административный область: полный каталог — Где отслеживать: только устройства — политика область: все пользователи и устройства, на которые распространяется политика. |
| "Мы хотим идентифицировать документы, содержащие содержимое с учетом законодательства..." | — Условие: содержимое содержит = обучаемые классификаторы, юридические вопросы |
| "Мы хотим ограничить печать этого конфиденциального содержимого на устройствах конечных точек..." | — Действие: аудит или ограничение действий на устройствах — Тип действия: действия файлов во всех приложениях — Модель ограничений: применение ограничений к определенному действию |
| "Мы хотим, чтобы печать была заблокирована по умолчанию, если только не разрешено явным образом..." | — Ограничение действия: Print = Block |
| "Мы хотим, чтобы утвержденные принтеры юридических отделов были исключены из блока по умолчанию..." | — Параметры конечной точки. Создайте группу принтеров с именем "Легальные принтеры" - Члены группы могут быть определены с помощью понятного имени принтера, идентификатора usb-продукта или поставщика, диапазона IP-адресов, печати в файл, универсальной печати, корпоративного принтера или печати на локальный |
| "Нам требуется другое поведение политики для утвержденных принтеров, чем глобальное действие политики..." | — Поведение группы авторизации: выберите различные ограничения печати. — Ограничение группы принтеров: добавление принтеров с юридическими разрешениями — Действие, зависяющее от группы: Разрешить |
| "Мы хотим, чтобы утвержденные действия печати оставались видимыми для целей аудита без создания ненужных оповещений..." | — Разрешить поведение действий: разрешенное действие печати записывается в журнал аудита. — Для действия разрешенного принтера не создается оповещение или уведомление пользователя. |
| "Мы хотим протестировать политику безопасно до принудительного применения..." | — Режим политики: запуск политики в режиме имитации — Взаимодействие с пользователем: отображение подсказок политики в режиме имитации |
| "Мы хотим использовать этот же шаблон проектирования для других авторизованных назначений в будущем..." | — Модель групп авторизации с возможностью повторного использования. Тот же подход применяется к группам съемных устройств хранения и группам общих сетевых ресурсов. |
Действия по созданию политики
Создание и использование групп принтеров
Войдите на портал >Microsoft PurviewПараметры защиты> от потери данных (шестеренка в левом верхнем углу) >Параметры конечных точекзащиты> от потери данных Группыпринтеров>.
Выберите Создать группу принтеров и введите имя группы. В этом сценарии используется
Legal printers.Выберите Добавить принтер и укажите имя. Принтеры можно определить следующими способами:
- Понятное имя принтера
- Идентификатор продукта USB
- Идентификатор поставщика USB
- Диапазон IP-адресов
- Печать в файл
- Универсальная печать, развернутая на принтере
- Корпоративный принтер
- Печать на локальный
Нажмите Закрыть.
Настройка действий печати политики
Войдите на портал Microsoft Purview.
Перейдите в раздел Политики защиты от> потери данных.
Нажмите Создать политику.
Данные, хранящиеся в подключенных источниках.
Выберите Настраиваемый в разделе Категории , а затем шаблон Настраиваемая политика в разделе Правила.
Присвойте новой политике имя и описание.
Оставьте полный каталог по умолчанию в разделе Администратор единиц.
Окажите расположение только в расположении Устройства .
Создайте правило со следующими значениями:
- Добавление условия: содержимое содержит = обучаемые классификаторы, юридические вопросы
- Действия = Аудит или ограничение действий на устройствах
- Затем выберите Действия с файлом во всех приложениях.
- Выбор применения ограничений к определенному действию
- Выбор блока печати =
Выберите Выбрать другие ограничения печати.
В разделе Ограничения группы принтеров выберите Добавить группу и выберите Юридические принтеры.
Задайте разрешение действия = .
Совет
Параметр Разрешить действие wil записывает событие аудита и события аудита в журнал аудита, но не создает оповещение или уведомление.
Нажмите кнопку Сохранить , а затем — Далее.
Примите значение по умолчанию Запуск политики в режиме имитации и выберите Показать советы политики в режиме симуляции. Нажмите кнопку Далее.
Проверьте параметры и выберите Отправить.
Новая политика защиты от потери данных появится в списке политик.