Verwenden des Just-In-Time-Schutzes für Endpunkte (Vorschau)

  • Artikel

Konfigurieren des Just-in-Time-Schutzes

Wie unter Just-in-Time-Schutz (Vorschau) beschrieben, können Sie den JIT-Schutz (Just-In-Time) von Endpunkt-DLP verwenden, um alle ausgehenden Aktivitäten für überwachte Dateien zu blockieren, während Sie auf den erfolgreichen Abschluss der Richtlinienauswertung warten.

Führen Sie zum Konfigurieren des Just-In-Time-Schutzes die folgenden Schritte aus.

  1. Wählen Sie im linken Navigationsbereich des Microsoft Purview Compliance Centers Einstellungen > Just-in-Time-Schutz aus.
  2. Wählen Sie unter Zu überwachende Speicherorte auswählen die Option Geräte aus.
  3. Wählen Sie im Flyoutbereich aus, ob Just-in-Time-Schutz auf alle Konten oder Verteilergruppen oder nur auf bestimmte Konten oder Verteilergruppen angewendet werden soll.
  4. Wählen Sie unter JIT-Erzwingungsmodus aus, ob Just-In-Time-Schutz simuliert oder erzwungen werden soll.

Weitere Informationen zu diesem Feature finden Sie unter Just-In-Time-Schutz (Vorschau).

Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes

Schritt 1: Vorbereiten der Umgebung

Bevor Sie Just-In-Time-Schutz bereitstellen können, müssen Sie zuerst Microsoft Defender für Endpunkte bereitstellen, Version 4.18.23060 oder höher.

Schritt 2: Bereitstellen des JIT-Schutzes im Simulationsmodus

  1. JIT-Schutz aktivieren: Wählen Sie im linken Navigationsbereich des Microsoft Purview Compliance Centers Einstellungen > Just-in-Time-Schutz aus.
  2. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.
  3. Wählen Sie im Flyoutbereich aus, dass Just-in-Time-Schutz nur auf bestimmte Konten oder Verteilergruppen angewendet werden soll. Beschränken Sie den Bereich auf 5 Konten.
  4. Wählen Sie unter JIT-Erzwingungsmodus die Option JIT für Dateien simulieren aus, die erneut ausgewertet werden müssen.
  5. Testen Sie Ihre Bereitstellung.
  6. Erhöhen Sie den Umfang der Konten langsam in Phasen (~20 -> ~100 -> ~3.000 usw.), die in jeder Phase getestet werden, bevor Sie auf die gesamte Gruppe von In-Scope-Konten erweitert werden.

Hinweis

Führen Sie Ihre Tests in jeder Phase durch, bis die Anzahl der Ereignisse stabil ist und Sie ein gutes Verständnis der möglichen Größe der Benutzergruppe haben, auf die Sie den Blockmodus anwenden möchten, basierend auf den folgenden Telemetrieberechnungen.

Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung

Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes im Blockmodus, indem Sie die folgende Berechnung ausführen:

'N/S = Prozentsatz der Computer, auf denen möglicherweise ein JIT-Schutz "Block"-Ereignis auftreten kann.''

Dabei gilt:

  • N = Die Anzahl der eindeutigen Computer, die JIT-Schutzereignisse auslösen.

  • S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.

Je länger Sie im Simulationsmodus bleiben, desto niedriger sollte die Anzahl der JIT-Ereignisse sein. Irgendwann wird die Zahl stabil.

Schritt 4: Bereitstellen des JIT-Schutzes im Blockmodus

Wichtig

Stellen Sie JIT-Schutz im Simulationsmodus vor der Bereitstellung im Blockmodus bereit.

Bevor Sie beginnen

Bevor Sie vom Simulationsmodus in den Blockmodus wechseln, sollten Sie das Risiko von Datenlecks in Bezug auf die potenziellen Auswirkungen auf die Produktivität berücksichtigen. Benutzer, deren Konten sich im Bereich des JIT-Schutzes im Blockierungsmodus befinden, werden blockiert, wenn sie bestimmte Aktionen für Zieldateien ausführen. Um diese Entscheidung zu treffen, verfolgen Sie die Anzahl der protokollierten Supporttickets und den Prozentsatz der blockierten Geräte genau nach, wie in Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung berechnet.

Wechseln vom JIT-Simulationsmodus in den Blockmodus

  1. Zurück zu Einstellungen > Just-in-Time-Schutz.
  2. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.
  3. Wählen Sie im Flyoutbereich aus, dass Just-in-Time-Schutz nur auf bestimmte Konten oder Verteilergruppen angewendet werden soll. Ändern Sie den Bereich wieder in nur 5 Konten.
  4. Wählen Sie unter JIT-Erzwingungsmodus die Option Aktionen für Dateien blockieren aus, für die die DLP-Auswertung nicht abgeschlossen wurde.
  5. Testen Sie Ihre Bereitstellung.
  6. Erhöhen Sie den Umfang der Konten langsam in Phasen (~20 -> ~100 -> ~3.000 usw.), die in jeder Phase getestet werden, bevor Sie auf die gesamte Gruppe von In-Scope-Konten erweitert werden.