Verwenden Microsoft Purview Data Loss Prevention Just-in-Time-Schutzes

Sie können den JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust) verwenden, um alle ausgehenden Aktivitäten für überwachte Dateien zu blockieren, während auf den erfolgreichen Abschluss der Richtlinienauswertung gewartet wird.

Wenn JIT-Schutz aktiviert ist und während die Richtlinienauswertung verarbeitet wird, blockiert Endpunkt-DLP alle ausgehenden Aktivitäten für jeden Benutzer, dessen Konto sich im ausgewählten Bereich befindet. Endpunkt-DLP überwacht die Ausgehenden Aktivitäten für alle Benutzerkonten, die ausgeschlossen wurden (über die Einstellung Ausschließen ) oder anderweitig nicht im Gültigkeitsbereich liegen.

Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes

Schritt 1: Vorbereiten der Umgebung

Bevor Sie Just-in-Time-Schutz bereitstellen können, müssen Sie zuerst die Antischadsoftware-Clientversion 4.18.23080 oder höher bereitstellen:

Hinweis

Für Computer mit einer veralteten Version des Antischadsoftware-Clients wird empfohlen, den Just-In-Time-Schutz zu deaktivieren, indem Sie eine der folgenden KBs installieren:

• Windows 10 – KB5032278
• Windows 11 – KB5032288

Schritt 2: Bereitstellen des JIT-Schutzes

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Melden Sie sich beim Microsoft Purview-Portal an.

2. Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.

3. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.

4. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Dadurch kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.

Achtung

Wählen Sie nicht die Option Benutzer vom Abschließen von Aktionen blockieren aus, bis Sie die Auswirkungen dieses Features vollständig verstanden haben.

Compliance-Portal

1. Öffnen Sie Microsoft Purview-Complianceportal>Einstellungen (im linken Navigationsbereich).

2. JIT-Schutz aktivieren: Wählen Sie im linken Navigationsbereich des Microsoft Purview-Complianceportal Einstellungen>Just-in-Time-Schutz aus.

3. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.

4. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Dadurch kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.

Achtung

Wählen Sie nicht die Option Benutzer vom Abschließen von Aktionen blockieren aus, bis Sie die Auswirkungen dieses Features vollständig verstanden haben.

5. Passen Sie die Benachrichtigung wie gewünscht an.

6. Wählen Sie Speichern aus.

Sie sollten Ihre Einstellungen in jeder Phase überprüfen, bis die Anzahl der Ereignisse stabil ist und Sie über ein gutes Verständnis der möglichen Größe der Benutzergruppe verfügen, auf die Sie den Erzwingungsmodus anwenden möchten, basierend auf den folgenden Telemetrieberechnungen.

Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung

Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes, indem Sie die folgende Berechnung basierend auf den Ereignissen im Aktivitäts-Explorer durchführen:

• N = Die Anzahl der eindeutigen Computer, die JIT-Schutzereignisse auslösen.
• S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.

N/S gibt einen Prozentsatz der Computer an, auf denen möglicherweise ein JIT-Schutz"-Blockereignis auftreten kann.

Anhand dieser Informationen sollten Sie wissen, wie viele Computer von der Implementierung des JIT-Blockmodus betroffen sein werden, wenn Sie den Bereich erweitern, und wie viele mögliche Supporttickets angezeigt werden. Anschließend können Sie entscheiden, ob der Bereich erweitert werden soll.

Schritt 4: Optimieren des JIT-Schutzes durch andere zusätzliche Einstellungen

Zusätzlich zum Fall eines Fehlers, wie in Schritt 1 beschrieben, können Sie auch die folgenden Einstellungen verwenden, um den JIT-Schutz zu optimieren:

• Steuern des Kopierens in die Zwischenablage: Aktivieren Sie diese Option, wenn Sie verhindern möchten, dass Benutzer Inhalte in die Zwischenablage kopieren, während der JIT-Schutz die Datei auswertet.

Hinweis

Das Aktivieren von Steuern des Kopierens in die Zwischenablage kann sich auf die Produktivität des Benutzers auswirken. Testen Sie unbedingt die Auswirkungen auf die Produktivität, bevor Sie diese Einstellung aktivieren.

• App-Ausschlüsse für Windows: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf Windows-Geräten ausgewertet.

• Dateipfadausschlüsse für Windows: Dateien an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.

Hinweis

Der Unterschied zwischen der Einstellung "Dateipfadausschlüsse" hier und den Einstellungen für die Verhinderung von Datenverlust>Einstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows besteht darin, dass:

• Die Einstellung Dateipfadausschlüsse schließt hier nur bestimmte Dateipfade vom JIT-Schutz aus. In allen anderen Fällen wendet Microsoft Purview weiterhin die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien in diesen Ordnern an.
• Die Einstellung Dateipfadausschlüsse für Windows unter Verhinderung> von DatenverlustEinstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows verhindert, dass Purview die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien unter den angegebenen Ordnern anwendet.
• Dateierweiterungsausschlüsse: Dateien mit diesen Erweiterungen werden nicht vom JIT-Schutz ausgewertet.

• Schritt 5: Bereitstellen des JIT-Schutzes in "Benutzer am Abschließen von Aktionen blockieren" für die Einstellung "Fallbackaktion im Falle eines Fehlers"

Diese Konfiguration steuert nur den Erzwingungsmodus, den DLP anwenden sollte, wenn die Klassifizierung fehlschlägt. Unabhängig davon, welchen Wert Sie hier auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.