Crear una directiva DLP para proteger documentos con FCI u otras propiedades

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

En Office 365, puede usar una directiva de prevención de pérdida de datos (DLP) para identificar, supervisar y proteger información confidencial. Muchas organizaciones disponen de un proceso para identificar y clasificar información confidencial mediante las propiedades de clasificación en la infraestructura de clasificación de archivos (FCI) de Windows Server, las propiedades del documento en SharePoint o las propiedades del documento aplicadas por un sistema de terceros. Si esto describe su organización, puede crear una directiva DLP en Office 365 que reconozca las propiedades que la FCI de Windows Server u otro sistema ha aplicado a documentos, de modo que se pueda aplicar la directiva DLP en documentos de Office con una FCI específica u otros valores de propiedad.

Diagrama que muestra Office 365 y el sistema de clasificación externo

Por ejemplo, su organización puede usar la FCI de Windows Server para identificar los documentos con información de identificación personal (PII), como números de seguridad social, y después clasificar el documento mediante la configuración de la propiedad Información de identificación personal en Alto, Moderado, Bajo, Público o No PII según el tipo y el número de repeticiones de PII encontradas en el documento. En Office 365, puede crear una directiva DLP que identifique los documentos que tienen esa propiedad establecida en valores específicos, como Alto y Medio y que después realice una acción como bloquear el acceso a dichos archivos. La misma directiva puede tener otra regla que realice una acción diferente si la propiedad se establece en Bajo, por ejemplo, enviar una notificación por correo electrónico. De esta forma, DLP en Office 365 se integra con la FCI de Windows Server y puede ayudar a proteger los documentos de Office cargados o compartidos en Office 365 desde servidores de archivos basados en Windows Server.

Una directiva DLP simplemente busca un par nombre-valor para una propiedad específica. Se puede usar cualquier propiedad de documento, siempre y cuando la propiedad tenga una propiedad administrada correspondiente para la búsqueda de SharePoint. Por ejemplo, una colección de sitios de SharePoint puede usar un tipo de contenido denominado Informe de viaje con un campo obligatorio denominado Cliente. Cuando una persona crea un informe de viaje, debe escribir el nombre del cliente. El par nombre-valor de esta propiedad también se puede usar en una directiva DLP. Por ejemplo, si desea que una regla bloquee el acceso al documento para los usuarios externos cuando el campo Cliente contiene Contoso.

Tenga en cuenta que si desea aplicar la directiva DLP a contenido con etiquetas específicas de Office 365, no debe seguir estos pasos. En su lugar, obtenga información sobre cómo utilizar una etiqueta como una condición de una directiva DLP.

Antes de crear la directiva DLP

Para poder usar una propiedad de FCI de Windows Server u otra propiedad en una directiva DLP, debe crear una propiedad administrada en el centro de administración de SharePoint. Estos son los motivos.

Ejemplos

Esto es importante porque DLP en Office 365 usa el rastreador de búsqueda para identificar y clasificar información confidencial en los sitios y después almacenar esa información confidencial en una parte segura del índice de búsqueda. Al cargar un documento en Office 365, SharePoint crea automáticamente propiedades rastreadas en función de las propiedades del documento. Pero para usar una FCI u otra propiedad en una directiva DLP, la propiedad rastreada debe asignarse a una propiedad administrada para que el contenido con esa propiedad se conserve en el índice.

Para obtener más información sobre las propiedades de búsqueda y las propiedades administradas, consulte Administrar el esquema de búsqueda en SharePoint Online.

Paso 1: Cargar un documento con la propiedad necesaria en Office 365

Primero debe cargar un documento con la propiedad a la que desea hacer referencia en la directiva DLP. Office 365 detectará la propiedad y creará automáticamente una propiedad rastreada a partir de esta. En el siguiente paso, creará una propiedad administrada y luego asignará la propiedad administrada a esta propiedad rastreada.

Paso 2: Crear una propiedad administrada

  1. Inicie sesión en el Centro de administración de Office 365.

  2. En el panel de navegación izquierdo, elija Centros de administración > SharePoint. Ya está en el centro de administración de SharePoint.

  3. En el panel de navegación izquierdo, elija buscar > en la página administración de búsqueda > Administrar esquema de búsqueda.

    Página de administración de búsqueda en el Centro de administración de SharePoint

  4. En la página Propiedades administradas > Nueva propiedad administrada.

    Página de Propiedades administradas con el botón Nueva propiedad administrada resaltado

  5. Escriba un nombre y una descripción para la propiedad. Este nombre es lo que aparecerá en las directivas DLP.

  6. En Tipo, elija Texto.

  7. En Características principales, seleccione Consultable y Recuperable.

  8. En Asignaciones a propiedades rastreadas > Agregar una asignación.

  9. En el cuadro de diálogo Selección de propiedades de rastreo > busque y seleccione la propiedad rastreada que corresponda a la propiedad de FCI de Windows Server u otra propiedad que se va a usar en la directiva DLP > Aceptar.

    Cuadro de diálogo de selección de propiedades rastreadas

  10. En la parte inferior de la página > Aceptar.

Crear una directiva DLP que use una propiedad de FCI u otra propiedad

En este ejemplo, una organización usa FCI en sus servidores de archivos basado en Windows Server. más concretamente, usa la propiedad de clasificación FCI denominada Información de identificación personal con valores posibles de alto, moderado, bajo, públicoy No PII. Ahora que quieren aprovechar su clasificación FCI existente en sus directivas DLP en Office 365.

En primer lugar, siguen los pasos anteriores para crear una propiedad administrada en SharePoint Online, que se asigna a la propiedad rastreada creada automáticamente a partir de la propiedad FCI.

A continuación, crea una directiva DLP con dos reglas que utilizan la condición Propiedades del documento contienen alguno de estos valores:

  • Contenido de PII FCI - alto, moderado La primera regla restringe el acceso al documento si la propiedad de clasificación FCI Información de identificación personal es igual a alta o moderado y el documento se comparte con personas fuera de la organización.

  • Contenido de FCI PII: baja La segunda regla envía una notificación al propietario del documento si la propiedad de clasificación FCI Información de identificación personal es igual a baja y el documento se comparte con personas fuera de la organización.

Crear la directiva DLP con PowerShell

Observe que la condición de Propiedades del documento contienen alguno de estos valores temporalmente no está disponible en la interfaz de usuario de la Centro de cumplimiento y seguridad, pero aún puede usar esta condición con PowerShell. Puede usar los cmdlets New\Set\Get-DlpCompliancePolicy para trabajar con una directiva DLP y usar los cmdlets de New\Set\Get-DlpComplianceRule con el parámetro ContentPropertyContainsWords para agregar la condición de Propiedades del documento contienen alguno de estos valores.

Para obtener más información sobre estos cmdlets, vea seguridad de Office 365 y cmdlets de centro de cumplimiento.

  1. Conectarse al Centro de cumplimiento y seguridad de Office 365 con el PowerShell remoto

  2. Crear la directiva mediante New-DlpCompliancePolicy.

    Este es un ejemplo de PowerShell que crea una directiva DLP se aplica a todas las ubicaciones.

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  3. Crear las dos reglas descritas anteriormente utilizando New-DlpComplianceRule, donde una regla es para el valor de baja y otra regla es para los valores alto y moderado.

    Este es un ejemplo de PowerShell que crea estas dos reglas. Observe que los pares de nombre y valor de propiedad están entre comillas y un nombre de propiedad puede especificar varios valores separados por comas sin espacios, como "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $false

    New-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    Tenga en cuenta que Windows Server FCI incluye muchas propiedades integradas, incluida la Información de identificación personal usados en este ejemplo. Los valores posibles para cada propiedad pueden ser distintos para cada organización. Alto, moderado y valores mínimos utilizados aquí son sólo un ejemplo. Para su organización, puede ver las propiedades de la clasificación de Windows Server FCI con sus valores posibles en el Administrador de recursos de servidor de archivo en el servidor de archivos basado en Windows Server. Para obtener más información, vea crear una propiedad de clasificación.

Cuando haya terminado, la directiva debe tener dos nuevas reglas que utilizan la condición de Propiedades del documento contienen alguno de estos valores. Tenga en cuenta que esta condición no aparecerá en la interfaz de usuario, aunque las demás condiciones, acciones, y aparecerá la configuración.

Obtener acceso los bloques de una regla donde la propiedad de Información de identificación personal es igual a alta o moderado de contenido. Una segunda regla envía una notificación acerca del contenido donde la propiedad de Información de identificación personal es igual a baja.

Cuadro de diálogo de nueva directiva DLP que muestra dos reglas recién creadas

Después de crear la directiva DLP

Al seguir los pasos descritos en las secciones anteriores se creará una directiva DLP que detectará rápidamente contenido con esa propiedad, pero solo si dicho contenido está recién cargado (de modo que el contenido esté indexado), o si dicho contenido es antiguo pero solo está editado (de modo que el contenido se vuelva a indexar).

Para detectar contenido con esa propiedad en cualquier lugar, puede que desee solicitar de forma manual que su biblioteca, sitio o colección de sitios pueden volver a indizar, para que la directiva DLP está al tanto de todo el contenido con esa propiedad. En SharePoint Online, el contenido se automáticamente rastrea basándose en una programación de rastreo definido. El rastreador recoge contenido que ha cambiado desde el último rastreo y actualice el índice. Si necesita la directiva DLP a proteger el contenido antes de la siguiente rastreo programado, puede seguir estos pasos.

Advertencia: Volver a indexar un sitio puede provocar una carga masiva en el sistema de búsqueda. No vuelva a indexar su sitio, a menos que su situación lo requiera realmente.

Para obtener más información, consulte Solicitar manualmente el rastreo y una nueva indexación de un sitio, una biblioteca o una lista.

Volver a indexar un sitio (opcional)

  1. En el sitio, elija Configuración (icono de engranaje en la esquina superior derecha) > Configuración del sitio.

  2. En Buscar, elija Disponibilidad de búsqueda y sin conexión > Volver a indizar sitio.

Más información

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×