Бөлісу құралы:


Настройка параметров защиты от потери данных в конечной точке

Многие аспекты поведения защиты от потери данных конечных точек (DLP) управляются централизованно настроенными параметрами, которые применяются ко всем политикам защиты от потери данных на устройствах. Используйте эти параметры для управления следующим поведением:

  • Ограничения для выхода в облако.
  • Различные типы ограничительных действий для действий пользователей для каждого приложения
  • Исключения пути к файлам для устройств с Windows и macOS
  • Ограничения браузера и домена
  • Внешний вид бизнес-оправданий для переопределения политик в подсказках политик
  • Выполняется ли автоматический аудит действий, выполняемых с файлами Office, PDF и CSV

Чтобы получить доступ к этим параметрам, в Портал соответствия требованиям Microsoft Purview перейдите в раздел Защита от потери> данныхОбзор>Параметры защиты от потери данных Параметры конечных>точек.

Совет

Начните работу с Microsoft Copilot для безопасности, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot для безопасности в Microsoft Purview.

Важно!

Сведения о требованиях Adobe к использованию функций Защита от потери данных Microsoft Purview (DLP) с PDF-файлами см. в статье Adobe: поддержка Защита информации Microsoft Purview в Acrobat.

Параметры защиты от потери данных в конечной точке для Windows 10/11 и macOS

Конечная точка защиты от потери данных также позволяет подключить устройства под управлением следующих версий Windows Server:

Примечание.

Установка поддерживаемых баз знаний Windows Server отключает функцию классификации на сервере. Это означает, что защита от потери данных в конечной точке не будет классифицировать файлы на сервере. Однако защита от потери данных конечных точек по-прежнему будет защищать те файлы на сервере, которые были классифицированы до установки этих KB на сервере. Чтобы обеспечить эту защиту, установите Microsoft Defender версии 4.18.23100 (октябрь 2023 г.) или более поздней.

По умолчанию защита от потери данных в конечной точке не включена для серверов Windows при первоначальном подключении. Прежде чем вы сможете просмотреть события защиты от потери данных конечных точек для серверов в Обозреватель действий, необходимо сначала включить DLP конечной точки для серверов Windows.

После правильной настройки одни и те же политики защиты от потери данных могут автоматически применяться как к компьютерам с Windows, так и к серверам Windows.

Setting Вложенный параметр Windows 10, 1809 и более поздних версий, Windows 11, Windows Server 2019, Windows Server 2022 (21H2 и более поздних версий) для конечных точек (X64) macOS (три последних выпущенных версии) Примечания
Сканирование и защита на основе расширенной классификации Ограничения выделенной пропускной способности Поддерживается Поддерживается Расширенная классификация обеспечивает эти функции для macOS: - Документ Отпечатки пальцевТочное соответствие данных на основе типов
- конфиденциальной информацииОбучаемые классификаторы
- Узнайте об именованных сущностях
-
Исключения пути к файлам для Windows н/д Поддерживается н/д
Исключения пути к файлам для Mac н/д н/д Поддерживается macOS содержит рекомендуемый список исключений, включенных по умолчанию
Настройка сбора доказательств для действий с файлами на устройствах Настройка кэша доказательств на устройстве Поддерживается Не поддерживается
Покрытие и исключения общих сетевых папок н/д Поддерживается Не поддерживается
Ограниченные приложения и группы приложений Группы ограниченных приложений Поддерживается Поддерживается
Ограниченные приложения и группы приложений Ограниченные приложения Поддерживается Поддерживается
Ограниченные приложения и группы приложений Параметры автоматического карантина Поддерживается Поддерживается
Неразрешенные приложения Bluetooth н/д Поддерживается Поддерживается
Ограничения браузера и домена по конфиденциальным данным Запрещенные браузеры Поддерживается Поддерживается
Ограничения браузера и домена по конфиденциальным данным Домены служб Поддерживается Поддерживается
Ограничения браузера и домена по конфиденциальным данным Группы доменов конфиденциальных служб Поддерживается Поддерживается
Дополнительные параметры для DLP в конечной точке Деловое обоснование в Подсказках политики Поддерживается Поддерживается
Всегда контролировать действия с файлами для устройств н/д Поддерживается Поддерживается
Группы принтеров н/д Поддерживается Поддерживается
Группы съемных USB-устройств н/д Поддерживается Поддерживается
Группы общих сетевых ресурсов н/д Поддерживается Поддерживается
Параметры VPN н/д Поддерживается Не поддерживается

Другие параметры

Setting Windows 10/11, Windows 10, 1809 и более поздние, Windows 11 Windows Server 2019, Windows Server 2022 (начиная с версии 21H2) для конечных точек (X64) macOS (три последних выпущенных версии)
Архивный файл Поддерживается Поддерживается Поддерживается
Тип файла и расширение файла Поддерживается Поддерживается Поддерживается
Включение защиты от потери данных конечной точки для Серверов Windows Не поддерживается Поддерживается Не поддерживается

Включение защиты от потери данных конечной точки для Серверов Windows

Конечная точка защиты от потери данных поддерживает следующие версии Windows Server:

После подключения Windows Server необходимо включить поддержку защиты от потери данных в конечной точке, прежде чем будет применена защита конечных точек.

Чтобы работать с панелью мониторинга управления оповещениями защиты от потери данных, выполните следующие действия.

  1. На портале Microsoft Purview перейдите в раздел Обзор защиты> от потери данных.
  2. Выберите Параметры в правом верхнем углу.
  3. На странице Параметры выберите Параметры конечных точек и разверните узел Поддержка защиты от потери данных конечных точек для подключенных серверов.
  4. Установите переключатель в значение Вкл.

Сканирование и защита на основе расширенной классификации

Расширенное сканирование и защита классификации позволяют облачной службе классификации данных Microsoft Purview сканировать элементы, классифицировать их и возвращать результаты на локальный компьютер. Таким образом, вы можете воспользоваться такими методами классификации, как классификация точного соответствия данных , обучаемые классификаторы, классификаторы учетных данных и именованные сущности в политиках защиты от потери данных.

Примечание.

Действие Вставка в браузер не поддерживает расширенную классификацию.

Если включена расширенная классификация, содержимое отправляется с локального устройства в облачные службы для сканирования и классификации. Если использование пропускной способности является проблемой, можно задать ограничение на то, сколько пропускной способности можно использовать в последовательном 24-часовом периоде. Ограничение настраивается в параметрах конечной точки и применяется для каждого устройства. Если задано ограничение на использование пропускной способности и это ограничение использования превышено, защита от потери данных прекращает отправку пользовательского содержимого в облако. На этом этапе классификация данных продолжается локально на устройстве, но классификация с использованием точного соответствия данных, именованных сущностей, обучаемых классификаторов и классификаторов учетных данных недоступна. Когда совокупное использование пропускной способности падает ниже 24-часового ограничения, обмен данными с облачными службами возобновляется.

Если использование пропускной способности не является проблемой, выберите Нет ограничения , чтобы разрешить неограниченное использование пропускной способности.

Расширенные ограничения размера файлов классификации

Даже если нет ограничений для расширенной классификации, по-прежнему существуют ограничения на размер отдельных файлов, которые можно сканировать.

  • Текстовые файлы ограничены в 64 МБ.
  • При включенном оптическом распознавании символов (OCR) для файлов изображений существует ограничение в 50 МБ.

Расширенная классификация не будет работать для текстовых файлов размером более 64 МБ, даже если для ограничения пропускной способности задано значение Без ограничения.

Следующие версии Windows (и более поздние) поддерживают расширенное сканирование и защиту классификации.

  • все версии Windows 11
  • Windows 10 версии 20H1/21H1 или более поздней (КБ 5006738)
  • Windows 10 RS5 (KB 5006744)

Примечание.

  • Поддержка расширенных классификаций доступна для типов файлов Office (Word, Excel, PowerPoint) и PDF.

  • Оценка политики DLP всегда проводится в облаке, даже если пользовательское содержимое не отправляется.

Совет

Чтобы использовать расширенную классификацию для устройств Windows 10, необходимо установить KB5016688. Чтобы использовать расширенную классификацию для Windows 11 устройств, на этих Windows 11 устройствах необходимо установить KB5016691. Кроме того, необходимо включить расширенную классификацию, прежде чем обозреватель действий будет отображать контекстный текст для событий, соответствующих правилам защиты от потери данных. Дополнительные сведения о контекстном тексте см. в разделе Контекстная сводка.

Исключения путей к файлам

Если вы хотите исключить определенные пути из мониторинга защиты от потери данных, оповещений защиты от потери данных и принудительного применения политики защиты от потери данных на устройствах, можно отключить эти параметры конфигурации, настроив исключения пути к файлам. Файлы в исключенных расположениях не проверяются, и все файлы, созданные или измененные в этих расположениях, не подлежат принудительному применению политики защиты от потери данных. Чтобы настроить исключения пути в параметрах защиты от потери данных, перейдите к Портал соответствия требованиям Microsoft Purview>Сбой защиты> от потери данныхОбзор>Параметры защиты от потери данных Параметры конечных>>точек Исключенияпути к файлам для Windows.

Windows 10/11 устройств

Для создания путей исключения для устройств Windows 10/11 можно использовать следующую логику:

  • Допустимый путь к файлу, заканчивающийся \на , означает, что исключаются только файлы непосредственно в указанной папке.
    Пример: C:\Temp\

  • Допустимый путь к файлу, заканчивающийся \*на , означает, что исключаются только файлы во вложенных папках указанной папки. Файлы непосредственно в указанной папке не исключаются.
    Пример: C:\Temp\*

  • Допустимый путь к файлу, заканчивающийся без \ или \*, означает, что все файлы непосредственно в указанной папке и все ее вложенные папки исключаются.
    Пример: C:\Temp

  • Путь с подстановочными знаками между \.
    Пример: C:\Users\*\Desktop\

  • Путь с подстановочными знаками между \ каждой стороной и с (number) , чтобы указать точное количество вложенных папок, которые необходимо исключить.
    Пример: C:\Users\*(1)\Downloads\

  • Путь с переменными СИСТЕМНОЙ среды.
    Пример: %SystemDrive%\Test\*

  • Сочетание всех шаблонов, описанных здесь.
    Пример: %SystemDrive%\Users\*\Documents\*(2)\Sub\

Пути к файлам Windows, исключенные по умолчанию

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Устройства с macOS

Вы также можете добавить собственные исключения для устройств macOS.

  • Определения пути к файлам не учитывают регистр, поэтому User то же самое, что и user

  • Поддерживаются подстановочные знаки. Таким образом, определение пути может содержать звездочку (*) в середине пути или в конце пути.
    Пример: /Users/*/Library/Application Support/Microsoft/Teams/*

Пути к файлам macOS исключены по умолчанию

/System

Из соображений производительности защита от потери данных в конечной точке включает список рекомендуемых исключений путей к файлам на устройствах с macOS. Если переключатель Включить рекомендуемые исключения пути к файлам для Mac имеет значение Вкл., то также будут исключены следующие пути:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

Рекомендуется оставить для этого переключателя значение Вкл. Тем не менее, вы можете остановить исключение этих путей, установив для переключателя значение Выкл.

Настройка сбора доказательств для действий с файлами на устройствах

При определении элементов, соответствующих политикам на устройствах, защита от потери данных может скопировать их в учетную запись хранения Azure. Эта функция полезна для аудита действий политики и устранения неполадок с определенными совпадениями. Используйте этот раздел, чтобы добавить имя и URL-адрес учетной записи хранения.

Примечание.

Прежде чем включить эту функцию, необходимо создать учетную запись хранения Azure и контейнер в этой учетной записи хранения. Необходимо также настроить разрешения для учетной записи. При настройке учетной записи хранения Azure имейте в виду, что вы, вероятно, захотите использовать учетную запись хранения, которая находится в том же регионе Или геополитической границе Azure, что и ваш клиент. Также следует рассмотреть возможность настройки уровней доступа к учетной записи хранения Azure и цен на учетные записи хранения Azure.

Покрытие и исключения общих сетевых папок

Покрытие и исключения общей папки расширяют политики и действия защиты от потери данных конечных точек на новые и измененные файлы в общих сетевых ресурсах и сопоставленных сетевых дисках. Если также включена защита jit-in time , JIT-покрытие и исключения будут расширены на сетевые ресурсы и сопоставленные диски. Если вы хотите исключить определенный сетевой путь для всех отслеживаемых устройств, добавьте значение пути в поле Исключить эти пути общих сетевых ресурсов.

Важно!

Чтобы использовать покрытие и исключения общих сетевых ресурсов, на устройствах должны быть применены следующие обновления:

В этой таблице показаны параметры по умолчанию для покрытия и исключений общих сетевых папок.

Покрытие и исключения общих сетевых папок JIT-защита Результирующий поведение
Включено Отключено — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключено устройство. Поддерживаемые действия: Устройства
Отключена Включена — JIT-защита применяется только к файлам на запоминающих устройствах, которые являются локальными для конечной точки.
Включена Включена — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключено устройство. Поддерживаемые действия: Устройства
— JIT-защита применяется ко всем сетевым ресурсам и сопоставленным дискам, к которым подключено устройство.

Охват и исключения сетевого ресурса дополняют действия локального репозитория защиты от потери данных. В этой таблице показаны параметры исключения и результирующее поведение в зависимости от того, включена или отключена защита от потери данных для локальных репозиториев.

Покрытие и исключения общих сетевых папок Локальные репозитории защиты от потери данных Результирующий поведение
Включено Отключено — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключено устройство. Поддерживаемые действия: Устройства
Отключена Включена — Политики, ограниченные локальными репозиториями, могут применять защитные действия для локальных неактивных данных в общих папках и библиотеках документов SharePoint. Действия локального репозитория защиты от потери данных
Включена Включена — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключено устройство. Поддерживаемые действия: Устройства
— Политики, ограниченные локальными репозиториями, могут применять защитные действия для локальных неактивных данных в общих папках и библиотеках документов SharePoint. Действия локального репозитория защиты от потери данных

Ограниченные приложения и группы приложений

Ограниченные приложения

Список ограниченных приложений (ранее — Не разрешенные приложения) — это настраиваемый список создаваемых приложений. Вы настраиваете действия защиты от потери данных, когда кто-то использует приложение в списке для доступа к защищенному DLP файлу на устройстве. Список ограниченных приложений доступен для устройств Windows 10/11 и macOS под управлением любого из трех последних выпусков macOS.

Важно!

  • Не включайте путь к исполняемому файлу. Включите только имя исполняемого файла (например, browser.exe).

  • Действие (audit, или block), определенное для приложений, которые находятся в списке ограниченных приложений, block with overrideприменяется только при попытке пользователя получить доступ к защищенному элементу.

Если в политике выбран параметр Доступ к ограниченным приложениям и пользователь использует приложение, которое находится в списке ограниченных приложений для доступа к защищенному файлу, действие будет auditedиметь значение , blockedили blocked with override, в зависимости от того, как вы настроили список ограниченных приложений . ИСКЛЮЧЕНИЕ. Если приложение в списке ограниченных приложений также входит в группу ограниченных приложений, действия, настроенные для действий в группе ограниченных приложений , переопределяют действия, настроенные для списка Ограниченные приложения . Все действия проверяются и доступны для просмотра в обозревателе действий.

Группы ограниченных приложений (предварительная версия)

Группы ограниченных приложений — это коллекции приложений, которые вы создаете в параметрах DLP, а затем добавляете к правилу в политике. При добавлении ограниченной группы приложений в политику можно выполнить действия, определенные в следующей таблице.

Параметр группы ограниченных приложений Что это позволяет сделать
Не ограничивать действия с файлами Указывает, что защита от потери данных позволяет пользователям получать доступ к защищенным элементам защиты от потери данных с помощью приложений в группе приложений без каких-либо действий при попытке копировать в буфер обмена, копировать на съемный USB-накопитель, копировать на сетевой диск или печатать из приложения.
Применить ограничение ко всем действиям Сообщает О защите от потери данных Audit only, Block with overrideили Block , когда пользователь пытается получить доступ к элементу, защищенному защитой от потери данных, с помощью приложения, которое находится в соответствующей группе приложений.
Применить ограничения к определенному действию Этот параметр позволяет пользователю получить доступ к защищенному DLP элементу с помощью приложения, которое находится в группе приложений. Он также позволяет выбрать действие по умолчанию (Audit only, Blockили Block with override) для защиты от потери данных, выполняемое при попытке пользователя скопировать в буфер обмена, Копировать на съемный USB-диск, Копировать на сетевой диск и Печать.

Важно!

Параметры в группе ограниченных приложений переопределяют все ограничения, установленные в списке ограниченных приложений, если они находятся в том же правиле. Таким образом, если приложение входит в список ограниченных приложений и также входит в группу ограниченных приложений, применяются параметры группы ограниченных приложений.

Как DLP применяет ограничения к действиям

Взаимодействие между действиями файлов для приложений в ограниченных группах приложений, действиями файлов для всех приложений и списком ограниченных действий приложений относится к одному и тому же правилу.

Переопределения группы ограниченных приложений

Конфигурации, определенные в действиях с файлами для приложений в группах ограниченных приложений, переопределяют конфигурации из списка действий ограниченных приложений и действий с файлами для всех приложений в одном правиле.

Действия ограниченных приложений и действия с файлами для всех приложений

Конфигурации действий ограниченных приложений и действий с файлами для всех приложений применяются согласованно, если действием, определенным для действий ограниченных приложений, является Audit only или Block with override в том же правиле. Почему? Действия, определенные для ограниченных действий приложений , применяются только тогда, когда пользователь обращается к файлу с помощью приложения, которое находится в списке. После того, как пользователь получил доступ, применяются действия, определенные в действиях с файлами для всех приложений.

Например, рассмотрим следующий пример. Предположим, что Notepad.exe добавляется в приложения с ограниченным доступом, а действия с файлами для всех приложенийнастроены для применения ограничений к определенному действию и настроены, как указано в следующей таблице:

Настройка политики Название приложения Действия пользователей Выполняемое действие DLP
Действия ограниченных приложений Блокнот Доступ к элементу под защитой DLP Только аудит
Действия с файлами для всех приложений Все приложения Копирование в буфер обмена Только аудит
Действия с файлами для всех приложений Все приложения Копирование на съемное USB-устройство Блокировка
Действия с файлами для всех приложений Все приложения Копирование в общую сетевую папку Только аудит
Действия с файлами для всех приложений Все приложения Печать Блокировка
Действия с файлами для всех приложений Все приложения Копирование или перемещение с использованием запрещенного приложения Bluetooth Заблокировано
Действия с файлами для всех приложений Все приложения Службы удаленных рабочих столов Блокировать с переопределением

Когда пользователь A открывает защищенный DLP-файл с помощью Блокнота, защита от потери данных разрешает доступ и выполняет аудит действия. Находясь в Блокноте, пользователь А пытается скопировать содержимое из защищенного элемента в буфер обмена. Это действие выполнено успешно, и DLP выполняет аудит действия. Пользователь A затем пытается распечатать защищенный элемент из Блокнота: действие блокируется.

Примечание.

Если в качестве действия DLP в действиях запрещенных приложений установлено block, блокируется весь доступ, а пользователь не может выполнять какие-либо действия с файлом.

Только действия с файлами для всех приложений

Если приложение отсутствует в списке Действия с файлами для приложений в группах приложений с ограниченным доступомили в списке Ограниченные действия приложений, с действием Audit only, или Block with override, все ограничения, определенные в действиях файлов для всех приложений, применяются в том же правиле.

Устройства с macOS

Вы также можете запретить приложениям macOS доступ к конфиденциальным данным, определив их в списке Ограниченные действия приложений .

Примечание.

Кроссплатформенные приложения должны вводиться с их уникальными путями, соответствующими запущенной ОПЕРАЦИОННОй системе.

Чтобы найти полный путь к приложениям Mac, выполните указанные ниже действия.

  1. На устройстве с macOS откройте Монитор действий. Найдите и дважды щелкните процесс, который требуется ограничить.

  2. Перейдите на вкладку Открыть файлы и порты .

  3. Запишите полное имя пути, включая имя приложения.

Автоматический карантин

Чтобы предотвратить синхронизацию конфиденциальных элементов с облаком приложениями облачной синхронизации, такими как onedrive.exe, добавьте приложение облачной синхронизации в список ограниченных приложений с помощью автоматического карантина.

Если этот параметр включен, автоматический карантин активируется, когда приложение с ограниченным доступом пытается получить доступ к защищенному DLP конфиденциальному элементу. Автоматический карантин перемещает конфиденциальный элемент в папку, настроенную администратором. Если это настроено, автоматический карантин может оставить файл заполнителя (.txt) вместо исходного. Вы можете настроить текст в файле заполнителя, чтобы сообщить пользователям о новом расположении элемента и других соответствующих сведениях.

Используйте функцию автоматического карантина, когда не разрешенное приложение облачной синхронизации пытается получить доступ к элементу, защищенному блокирующей политикой защиты от потери данных. Защита от потери данных может создавать повторяющиеся уведомления. Вы можете избежать этих повторяющихся уведомлений, включив автоматический карантин.

Вы также можете использовать автоматический карантин, чтобы предотвратить бесконечную цепочку уведомлений о защите от потери данных для пользователей и администраторов. Дополнительные сведения см. в разделе Сценарий 4. Избегайте циклов уведомлений защиты от потери данных из приложений облачной синхронизации с автоматическим карантином.

Не разрешенные (ограниченные) приложения Bluetooth

Чтобы запретить пользователям передавать файлы, защищенные вашими политиками, через определенные приложения Bluetooth, добавьте эти приложения в список Не разрешенных приложений Bluetooth в параметрах защиты от потери данных конечной точки.

Ограничения браузера и домена по конфиденциальным данным

Запретите отправку конфиденциальных файлов, соответствующих вашим политикам, в домены служб, для которых отсутствуют ограничения.

Запрещенные браузеры

Для устройств Windows можно ограничить использование указанных веб-браузеров, определяемых по их именам исполняемых файлов. Указанные браузеры блокируют доступ к файлам, которые соответствуют условиям принудительной политики защиты от потери данных, где для ограничения отправки в облачные службы задано block значение или block override. Если эти браузеры заблокированы для доступа к файлу, пользователи видят всплывающее уведомление с просьбой открыть файл через Microsoft Edge.

Для устройств с macOS необходимо добавить полный путь к файлу. Чтобы найти полный путь к приложениям Mac, выполните указанные ниже действия.

  1. На устройстве с macOS откройте Монитор действий. Найдите и дважды щелкните процесс, который требуется ограничить.

  2. Выберите вкладку Открытые файлы и порты.

  3. Обязательно запишите полное имя пути, включая имя приложения.

Домены служб

Домены служб работают вместе с параметром Аудит или ограничение действий на устройствах в рабочем процессе для создания правила в политике защиты от потери данных.

При создании правила используются действия для защиты содержимого при выполнении определенных условий. При создании правил для конечных точек необходимо выбрать параметр Аудит или ограничение действий на устройствах и выбрать один из следующих параметров:

  • Только аудит
  • Блокировать с переопределением
  • Блокировка

Чтобы контролировать, можно ли отправлять конфиденциальные файлы, защищенные политиками, в определенные домены служб, затем необходимо перейти в раздел Параметры защиты от потери данныхв конечной точке>, браузер и ограничения домена для конфиденциальных данных и выбрать, следует ли блокировать или разрешатьдомены служб по умолчанию.

Примечание.

Параметр Домены служб применяется только к файлам, отправленным с помощью Microsoft Edge или экземпляров Google Chrome или Mozilla Firefox, на которых установлено расширение Microsoft Purview Chrome .

Блокировка

Если для списка Домены служб задано значение Блокировать, используйте параметр Добавить домен облачной службы , чтобы указать домены, которые должны быть заблокированы. Все остальные домены служб разрешены. В этом случае политики защиты от потери данных применяются только в том случае, если пользователь пытается передать конфиденциальный файл в любой из доменов, отсутствуют в списке.

Например, рассмотрим следующие конфигурации:

  • Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Только аудит.
  • Для параметра Домены служб задано значение Блокировать.
  • contoso.com нет в списке.
  • wingtiptoys.com в списке.

В этом случае, если пользователь пытается отправить конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться и создается событие аудита, но оповещение не активируется.

В отличие от этого, если пользователь пытается передать конфиденциальный файл с кредитом карта номера в wingtiptoys.com, действие пользователя — отправка — также может завершиться, и создаются как событие аудита, так и оповещение.

В другом примере рассмотрим следующую конфигурацию:

  • Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Блокировать.
  • Для параметра Домены служб задано значение Блокировать.
  • contoso.com нет в списке.
  • wingtiptoys.com в списке.

В этом случае, если пользователь пытается передать конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться и активируется событие аудита, создается событие аудита, но предупреждение не активируется.

В отличие от этого, если пользователь пытается отправить конфиденциальный файл с кредитом карта номера в wingtiptoys.com, действие пользователя — отправка — блокируется, и создается событие аудита и оповещение.

Разрешить

Если для списка Домены служб задано значение Разрешить, используйте параметр Добавить домен облачной службы , чтобы указать разрешенные домены. Все остальные домены служб блокируются. В этом случае политики защиты от потери данных применяются только в том случае, если пользователь пытается передать конфиденциальный файл в любой из перечисленных доменов.

Например, ниже приведены две начальные конфигурации:

  • Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих номера карта кредитов, а параметр Аудит или ограничение действий на устройствах имеет значение Блокировать с переопределением.
  • Для параметра Домены служб задано значение Разрешить.
  • contoso.com нет в списке разрешенных .
  • wingtiptoys.com в списке разрешенных .

В этом случае, если пользователь пытается передать конфиденциальный файл с номерами кредита карта в contoso.com, отправка блокируется, отображается предупреждение, предоставляющее пользователю возможность переопределить блок. Если пользователь переопределяет блок, создается событие аудита и активируется оповещение.

Однако если пользователь пытается передать конфиденциальный файл с номерами карта кредитов в wingtiptoys.com, политика не применяется. Отправка разрешена, и создается событие аудита, но оповещение не активируется.

  • Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Только аудит.
  • Для параметра Домены служб задано значение Разрешить.
  • contoso.com нет в списке.
  • wingtiptoys.com is в списке.

В этом случае, если пользователь пытается передать конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться, и создается событие аудита и оповещение.

В отличие от этого, если пользователь пытается отправить конфиденциальный файл с кредитом карта номера в wingtiptoys.com, действие пользователя — отправка — также разрешено, создается событие аудита, но оповещение не активируется.

Важно!

Если для режима ограничения службы задано значение Разрешить, перед применением ограничений необходимо настроить по крайней мере один домен службы.

Сводная таблица: разрешенное и блокировочное поведение

В следующей таблице показано поведение системы в зависимости от перечисленных параметров.

Параметр домена службы защиты от потери данных конечной точки Параметр правила политики защиты от потери данных Аудит или ограничение действий на устройствах Пользователь переходит на указанный в списке сайт Пользователь переходит на сайт, не указанный в списке
Разрешить Только аудит — выполняется аудит активности пользователя.
— оповещение не создается.
— политики защиты от потери данных не применяются.
— выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме аудита.
Разрешить Блокировать с переопределением — выполняется аудит активности пользователя.
— оповещение не создается.
— политики защиты от потери данных не применяются.
— выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме блокировки с переопределением.
Разрешить Блокировка — выполняется аудит активности пользователя.
— оповещение не создается.
— политики защиты от потери данных не применяются.
— выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме блокировки.
Блокировка Только аудит — выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме аудита.
— выполняется аудит активности пользователя.
— оповещение не создается.
— политики защиты от потери данных не применяются.
Блокировка Блокировать с переопределением — выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме блокировки с переопределением.
— аудит активности пользователей — оповещение не создается
— политики защиты от потери данных не применяются.
Блокировка Блокировка — выполняется аудит активности пользователя.
— Создается оповещение.
— политики защиты от потери данных применяются в режиме блокировки.
— выполняется аудит активности пользователя.
— оповещение не создается.
— политики защиты от потери данных не применяются.

При добавлении домена в список используйте формат полного доменного имени домена службы без конечного периода (.).

Например:

Input Поведение при совпадении URL-адресов
CONTOSO.COM Соответствует указанному домену и любому дочернему сайту:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (и т. д.)

Не соответствует поддоменам или неуказанным доменам:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU

* .CONTOSO.COM Соответствует указанному домену, любому поддомену и любому сайту:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (и т. д.)

Не соответствует неуказанным доменам

://anysubdomain.contoso.com.AU/

www.contoso.com Совпадает с указанным доменным именем:

www.contoso.com

Не соответствует неуказанным доменам или поддоменам

*://anysubdomain.contoso.com/, в этом случае вы должны указать само доменное имя FQDN www.contoso.com

В разделе Домены конфиденциальной службы можно настроить до 50 доменов.

Группы доменов конфиденциальных служб

При перечислении веб-сайта в доменах конфиденциальных служб можно auditвыполнять действия пользователя , block with overrideили полностью block , когда пользователи пытаются выполнить одно из следующих действий:

  • печать с веб-сайта
  • копирование данных с веб-сайта;
  • сохранение веб-сайта в виде локальных файлов
  • отправка или перетаскивание конфиденциального файла на исключенный веб-сайт
  • Вставка конфиденциальных данных на исключенный веб-сайт

В следующей таблице показано, какие браузеры поддерживают эти функции.

Браузер Поддерживаемые функции
Microsoft Edge — Печать сайта
— копирование данных с сайта
— Сохранение сайта как локальных файлов (сохранение как)
— Вставка в поддерживаемые браузеры
— отправка в домен облачной службы с ограниченным доступом
Google Chrome (с расширением Microsoft Purview) — Вставка в поддерживаемые браузеры
— отправка в домен облачной службы с ограниченным доступом
Mozilla Firefox (с расширением Microsoft Purview) — Отправка в облачную службу
с ограниченным доступом — вставка в поддерживаемые браузеры

Для действия Вставить в поддерживаемые браузеры может быть кратковременная задержка между попыткой пользователя вставить текст на веб-страницу и тем, когда система завершит его классификацию и ответит. Если такая задержка классификации возникает, вы можете увидеть уведомления об оценке политики и проверка завершения в Edge или всплывающее уведомление об оценке политики в Chrome и Firefox. Ниже приведены некоторые советы по минимизации количества уведомлений.

  1. Уведомления активируются, когда политика для целевого веб-сайта настроена на блокировку или блокировку с переопределениемвставки в поддерживаемые браузеры для этого пользователя. Вы можете настроить общее действие аудит , а затем с помощью исключений блокировать целевые веб-сайты. Кроме того, можно задать для общего действия значение Блокировать , а затем с помощью исключений — Аудит безопасных веб-сайтов.
  2. Используйте последнюю версию клиента защиты от вредоносных программ.
  3. Убедитесь, что версия Microsoft Edge — 120 или более поздняя.
  4. Установите следующие базы знаний Windows:
    1. Windows 10: KB5032278, KB5023773
    2. Windows 11 21H2: KB5023774
    3. Выиграть 11 22H2: KB5032288, KB5023778

Примечание.

Параметр Домены служб применяется только к файлам, отправленным с помощью Microsoft Edge или экземпляра Google Chrome или Mozilla Firefox с установленным расширением Microsoft Purview Chrome .

Для устройств необходимо настроить список доменов конфиденциальных служб , чтобы использовать действие Отправить в домен ограниченной облачной службы в политике защиты от потери данных. Вы также можете определить группы веб-сайтов, которым требуется назначить действия политики, которые отличаются от действий глобальной группы веб-сайтов. Вы можете добавить не более 100 веб-сайтов в одну группу и создать не более 150 групп. Дополнительные сведения см. в разделе Сценарий 6. Мониторинг или ограничение действий пользователей в конфиденциальных доменах служб.

Важно!

Что касается действия Вставить в поддерживаемый браузер . Если в правиле для этой функции включен параметр "Сбор исходного файла в качестве доказательства всех выбранных действий файлов в конечной точке", в исходном тексте могут появиться символы мусора, если на устройстве Windows пользователя не установлен клиент защиты от вредоносных программ версии 4.18.23110 или более поздней. Выберите Действия>Скачать , чтобы просмотреть фактическое содержимое.

Дополнительные сведения см. в разделе Сценарий 7. Ограничение вставки конфиденциального содержимого в браузер.

Поддерживаемый синтаксис для назначения веб-сайтов в группе веб-сайтов

Если вы используете URL-адреса для идентификации веб-сайтов, не включайте сетевой протокол в url-адрес (например, https:// или file://). Вместо этого используйте гибкий синтаксис для включения и исключения доменов, поддоменов, веб-сайтов и дочерних сайтов в группах веб-сайтов. Пример.

  • Используйте * в качестве подстановочного знака, чтобы указать все домены или все поддомены.
  • Используйте / в качестве конца в конце URL-адреса, чтобы область только к конкретному сайту.

При добавлении URL-адреса без завершающего знака косой черты ( /), этот URL-адрес ограничивается этим сайтом и всеми дочерними сайтами.

Этот синтаксис применяется ко всем веб-сайтам http/https. Ниже приводятся примеры:

URL-адрес, добавленный в группу веб-сайтов URL-адрес будет совпадать URL-адрес не совпадает
contoso.com //
// contoso.com contoso.com/ //
contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2
//
//
// allsubdomains.contoso.com.au allsubdomains.contoso.com
contoso.com/ //
// contoso.com contoso.com/
// allsubdomains.contoso.com/au contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 allsubdomains.contoso.com
//
//
//
*.contoso.com //
//contoso.com contoso.com/allsubsites //
contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com
// allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com.au
*.contoso.com/xyz //
//contoso.com contoso.com/xyz //
contoso.com/xyz/allsubsites/ //
allsubdomains.contoso.com/xyz
// allsubdomains.contoso.com/xyz/allsubsites //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //
// contoso.com/xyz allsubdomains.contoso.com/xyz
// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 contoso.com
// allsubdomains.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
// //

//

Важно!

URL-адреса поддерживают следующие действия:

  • Печать сайта
  • Копирование данных с сайта
  • Сохранение сайта как локальных файлов (сохранение как)
  • Вставка в поддерживаемые браузеры
  • Отправка в домен облачной службы с ограниченным доступом

IP-адрес и диапазон IP-адресов поддерживают следующие действия:

  • Печать сайта
  • Копирование данных с сайта
  • Сохранение сайта как локальных файлов (сохранение как)

Дополнительные параметры для DLP в конечной точке

Деловое обоснование в Подсказках политики

Вы можете управлять взаимодействием пользователей с параметром бизнес-обоснования в разделе Параметры настройки подсказок политики. Он отображается, когда пользователи выполняют действия, защищенные параметром Блокировать с возможностью переопределения в политике защиты от потери данных. Это глобальный параметр. Вы можете выбрать один из вариантов:

  • Показывать параметры по умолчанию и настраиваемое поле ввода. По умолчанию пользователи могут выбирать встроенное обоснование или вводить собственный текст.
  • Показывать только параметры по умолчанию: пользователи могут выбирать из списка встроенных оправданий.
  • Показывать только настраиваемое текстовое поле: пользователи могут вводить пользовательское обоснование. Текстовое поле отображается в уведомлении о подсказке политики пользователя без списка параметров.

Настройка параметров в раскрывающемся меню

Можно создать до пяти настраиваемых параметров, которые отображаются при взаимодействии пользователей с подсказкой уведомления о политике, выбрав раскрывающееся меню Настройка параметров.

Параметр Текст по умолчанию
вариант 1 Это часть установленного бизнес-рабочего процесса , или вы можете ввести настраиваемый текст
вариант 2 Мой руководитель утвердил это действие или вы можете ввести собственный текст
вариант 3 Требуется срочный доступ. Я отдельно уведомлю своего руководителя или вы можете ввести собственный текст
Показать параметр ложного срабатывания Сведения в этих файлах не являются конфиденциальными или вы можете ввести собственный текст
вариант 5 Другое или вы можете ввести собственный текст

Всегда контролировать действия с файлами для устройств

По умолчанию при подключении устройств, действия для файлов Office, PDF и CSV автоматически проверяются и доступны для просмотра в обозревателе действий. Отключите эту функцию, если вы хотите, чтобы это действие проверялось только в том случае, если подключенные устройства включены в активную политику.

Активность файлов всегда проверяется для подключенных устройств независимо от того, включены ли они в активную политику.

Группы принтеров

Используйте этот параметр, чтобы определить группы принтеров, которым требуется назначить действия политики, отличающиеся от глобальных действий печати.

Наиболее распространенным вариантом использования для создания групп принтеров является использование их для ограничения печати контрактов только теми принтерами в юридическом отделе организации. Определив здесь группу принтеров, вы можете использовать ее во всех политиках, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в разделе Сценарий 8 Группы авторизации .

Можно создать не более 20 групп принтеров. Каждая группа может содержать не более 50 принтеров.

Важно!

Пользователи macOS 15/Sequoia могут увидеть это диалоговое окно com.microsoft.dlp.daemon, чтобы найти устройства в локальных сетях. Администраторы могут сообщить пользователю, что нужно выбрать Разрешить , чтобы разрешить конечную точку защиты от потери данных на принтере правильно.

Изображение пользователя

Примечание.

Эта функция доступна для устройств под управлением любой из следующих версий Windows:

  • Windows 10 и более поздних версий (21H1, 21H2 и более поздних версий) — KB5020030
  • Win 11 21H2 - KB5019157
  • Win 11 22H2 — KB5020044
  • Windows Server 2022 — KB5020032

Рассмотрим эти действия на примере. Предположим, что вы хотите, чтобы политика защиты от потери данных блокирует печать контрактов на всех принтерах, кроме принтеров, которые находятся в юридическом отделе.

  1. Используйте следующие параметры для назначения принтеров в каждой группе.

    • Понятное имя принтера . Получите значение Понятное имя принтера из сведений о свойстве устройства принтера в диспетчере устройств.
    • USB-принтер — принтер, подключенный через USB-порт компьютера. Выберите этот параметр, если вы хотите применить любой USB-принтер, не выбрав идентификатор usb-продукта и идентификатор поставщика USB. Вы также можете назначить конкретный USB-принтер, указав его идентификатор продукта USB и идентификатор поставщика USB.
    • Идентификатор продукта USB . Получите значение пути экземпляра устройства из сведений о свойстве устройства принтера в диспетчере устройств. Преобразуйте это значение в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Стандартные идентификаторы USB.
    • Идентификатор поставщика USB . Получите значение пути экземпляра устройства из сведений о свойстве устройства принтера в диспетчере устройств. Преобразуйте это значение в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Стандартные идентификаторы USB.
    • Диапазон IP-адресов.
    • Печать в файл — Microsoft Print to PDF или Microsoft XPS Document Writer. Если вы хотите применить только microsoft Print to PDF, следует использовать понятное имя принтера с параметром Microsoft Print to PDF.
    • Универсальная печать, развернутая на принтере . Дополнительные сведения об универсальных принтерах см. в разделе Настройка универсальной печати.
    • Корпоративный принтер — это очередь печати, доступная через локальный сервер печати Windows в вашем домене. Путь может выглядеть следующим образом: \print-server\contoso.com\legal_printer_001.
    • Печать на локальном компьютере — любой принтер, подключенный через порт печати Майкрософт, но не любой из указанных выше типов. Например, печать через удаленный рабочий стол или принтер перенаправления.

Примечание.

Не следует использовать несколько параметров USB-принтера, диапазона IP-адресов, печати в файл, универсальной печати, развернутой на принтере, корпоративного принтера и печати на локальном компьютере.

  1. Назначьте каждому принтеру в группе отображаемое имя. Эти имена отображаются только в консоли Microsoft Purview.

  2. Создайте группу принтеров с именем Legal Printers и добавьте отдельные принтеры (с псевдонимом) по понятному имени; например, legal_printer_001, legal_printer_002и legal_color_printer. (Вы можете выбрать несколько параметров одновременно, чтобы помочь вам однозначно определить конкретный принтер.)

  3. Назначьте действия политики группе в политике защиты от потери данных:

    • Allow (аудит без уведомлений или оповещений пользователей)
    • Audit only (вы можете добавлять уведомления и оповещения)
    • Block with override (блокирует действие, но пользователь может переопределить)
    • Block (блоки независимо от того, что)

Создание группы принтеров

  1. Откройте Портал соответствия требованиям Microsoft Purview и перейдите в раздел Защита от потери> данныхОбзор>Параметры защиты от потери данных Параметры конечных>точекГруппы принтеров>.
  2. Выберите Создать группу принтеров.
  3. Присвойте группе имя.
  4. Выберите Добавить принтер.
  5. Присвойте принтеру понятное имя. Здесь отображается только выбранное имя.
  6. Выберите параметры и укажите значения, чтобы однозначно определить конкретный принтер.
  7. Нажмите Добавить.
  8. При необходимости добавьте другие принтеры.
  9. Нажмите кнопку Сохранить , а затем — Закрыть.

Группы съемных USB-устройств

Этот параметр используется для определения групп съемных запоминающих устройств, таких как USB-накопители, которым требуется назначить действия политики, отличающиеся от глобальных действий печати. Например, предположим, что вы хотите, чтобы политика защиты от потери данных блокировала копирование элементов с техническими спецификациями на съемные запоминающие устройства, за исключением назначенных жестких дисков, подключенных к USB, которые используются для резервного копирования данных в автономном хранилище.

Можно создать не более 20 групп с 50 съемными запоминаемыми устройствами в каждой группе.

Примечание.

Эта функция доступна для устройств под управлением любой из следующих версий Windows:

  • Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
  • Win 11 21H2, 22H2 с кб 5018483
  • Windows 10 RS5 (KB 5006744) и Windows Server 2022

Используйте следующие параметры для определения съемных запоминающих устройств.

  • Понятное имя запоминающего устройства . Получите значение Понятное имя из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки.
  • Идентификатор продукта USB . Получите значение пути экземпляра устройства из сведений о свойстве USB-устройства в диспетчере устройств. Преобразуйте его в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Стандартные идентификаторы USB.
  • Идентификатор поставщика USB . Получите значение пути экземпляра устройства из сведений о свойстве USB-устройства в диспетчере устройств. Преобразуйте его в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Стандартные идентификаторы USB.
  • Идентификатор серийного номера . Получите значение идентификатора серийного номера из сведений о свойстве устройства хранения в диспетчере устройств. Поддерживаются подстановочные знаки.
  • Идентификатор устройства . Получите значение идентификатора устройства из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки.
  • Идентификатор пути к экземпляру . Получите значение идентификатора устройства из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки.
  • Идентификатор оборудования . Получите значение идентификатора оборудования из сведений о свойстве устройства хранения в диспетчере устройств. Поддерживаются подстановочные знаки.

Каждому съемным запоминаемым устройствам в группе присваивается псевдоним. Псевдоним — это понятное имя, которое отображается только в консоли Microsoft Purview. Таким образом, продолжая работу с примером, вы создадите группу съемных запоминающих устройств с именем Backup и добавьте отдельные устройства (с псевдонимом) по понятному имени, например backup_drive_001, и backup_drive_002.

Можно выбрать несколько параметров, а затем группа принтеров включает все устройства, удовлетворяющие этим параметрам.

Вы можете назначить следующие действия политики группе в политике защиты от потери данных:

  • Allow (аудит без уведомлений или оповещений пользователей)
  • Audit only (вы можете добавлять уведомления и оповещения)
  • Block with переопределение (блокирует действие, но пользователь может переопределить)
  • Block (блоки независимо от того, что)

Создание группы съемных USB-устройств

  1. Откройте Портал соответствия требованиям Microsoft Purview>Защита от потери> данныхОбзор>Параметры защиты от потери данных Параметры>конечных точек Группы съемных>устройств хранения.
  2. Выберите Создать группу съемных запоминающих устройств.
  3. Укажите имя группы.
  4. Выберите Добавить съемный носитель.
  5. Укажите псевдоним.
  6. Выберите параметры и укажите значения, чтобы однозначно определить конкретное устройство.
  7. Нажмите Добавить.
  8. При необходимости добавьте в группу другие устройства.
  9. Нажмите кнопку Сохранить , а затем — Закрыть.

Наиболее распространенным вариантом использования для создания съемных групп хранения является их использование, чтобы указать, на какие съемные запоминающие устройства пользователи могут копировать файлы. Как правило, копирование разрешено только для устройств в указанной группе резервного копирования .

После определения группы съемных запоминающих устройств ее можно использовать во всех политиках, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в разделе Сценарий 8. Группы авторизации.

Группы общих сетевых ресурсов

Используйте этот параметр для определения групп путей к общим сетевым ресурсам, которым требуется назначить действия политики, которые отличаются от действий по пути глобальной сетевой общей папки. Например, предположим, что вы хотите, чтобы политика защиты от потери данных не позволяла пользователям сохранять или копировать защищенные файлы в сетевые общие папки, кроме общих сетевых ресурсов в определенной группе.

Примечание.

Эта функция доступна для устройств под управлением любой из следующих версий Windows:

  • Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
  • Win 11 21H2, 22H2 с кб 5018483
  • Windows 10 RS5 (KB 5006744) и Windows Server 2022

Чтобы включить пути к общим сетевым ресурсам в группу, определите префикс, с которых начинаются все общие папки. Например:

  • "\Library" будет соответствовать:

    • Папка \Library и все вложенные папки.
  • Можно использовать подстановочные знаки, например "\Users*\Desktop" будет соответствовать:

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'
  • Можно также использовать переменные среды, например:

    • %AppData%\app123

В политике защиты от потери данных группе можно назначить следующие действия политики:

  • Allow (аудит без уведомлений или оповещений пользователей)
  • Audit only (вы можете добавлять уведомления и оповещения)
  • Block with override (блокирует действие, но пользователь может переопределить)
  • Block (блоки независимо от того, что)

После определения группы общих сетевых ресурсов ее можно использовать во всех политиках защиты от потери данных, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в разделе Сценарий 8 Группы авторизации.

Создание группы сетевых ресурсов

  1. Откройте Портал соответствия требованиям Microsoft Purview>Защита от потери> данныхОбзор>Параметры> защиты от потери данныхПараметры конечных точек Группы общих сетевых>ресурсов. 1.Выберите Создать группу общих сетевых ресурсов.
  2. Укажите имя группы.
  3. Добавьте путь к файлу в общую папку.
  4. Нажмите Добавить.
  5. При необходимости добавьте в группу другие пути общего доступа.
  6. Нажмите кнопку Сохранить , а затем — Закрыть.

Параметры VPN

Используйте список VPN для управления только теми действиями, которые выполняются через этот VPN.

Примечание.

Эта функция доступна для устройств под управлением любой из следующих версий Windows:

  • Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
  • Windows 11 21H2, 22H2 с кб 5018483
  • Windows 10 RS5 (KB 5006744)

При перечислении VPN в параметрах VPN им можно назначить следующие действия политики:

  • Allow (аудит без уведомлений или оповещений пользователей)
  • Audit only (вы можете добавлять уведомления и оповещения)
  • Block with override (блокирует действие, но пользователь может переопределить)
  • Block (блоки независимо от того, что)

Эти действия можно применять по отдельности или в совокупности к следующим действиям пользователя:

  • Копирование в буфер обмена
  • Копирование на съемные USB-устройства
  • Копирование в общую сетевую папку
  • Print
  • Копирование или перемещение с помощью не разрешенного (ограниченного) приложения Bluetooth
  • Копирование или перемещение с помощью RDP

При настройке политики защиты от потери данных для ограничения действий на устройствах можно управлять тем, что происходит с каждым действием, выполняемым при подключении пользователей к вашей организации в любом из перечисленных VPN.

Используйте параметры адрес сервера или Сетевой адрес , чтобы определить разрешенный VPN- адрес.

Получение адреса сервера или сетевого адреса

  1. На отслеживаемом устройстве Windows с отслеживанием защиты от потери данных откройте окно Windows PowerShell с правами администратора.
  2. Выполните следующий командлет, который возвращает несколько полей и значений.
Get-VpnConnection
  1. Среди результатов командлета найдите поле ServerAddress и запишите это значение. ServerAddress используется при создании записи VPN в списке VPN.
  2. Найдите поле Имя и запишите это значение. Поле Имя сопоставляется с полем Сетевой адрес при создании записи VPN в списке VPN.

Добавление VPN

  1. Откройте Портал соответствия требованиям Microsoft Purview>Сбой защиты> от потери данныхОбзор> Параметры >защиты от потери данныхПараметры конечной> точкипараметры VPN.
  2. Выберите Добавить или изменить VPN-адреса.
  3. Укажите адрес сервера или сетевой адрес , записанный после запуска Get-VpnConnection.
  4. Выберите Сохранить.
  5. Закройте элемент.

Важно!

В параметре Сетевые ограничения вы также увидите параметр Корпоративная сеть . Подключения к корпоративной сети — это подключения к ресурсам организации. Чтобы узнать, использует ли устройство корпоративную сетьGet-NetConnectionProfile, выполните командлет от имени администратора. NetworkCategoryId Если в выходных данных используется DomainAuthenticatedзначение , это означает, что компьютер подключен к корпоративной сети. Если выходные данные являются чем-либо другим, компьютер не является . В некоторых случаях компьютер может быть подключен как к VPN, так и к корпоративной сети. Если оба параметра выбраны в разделе Сетевые ограничения, конечная точка защиты от потери данных будет применять действие в зависимости от порядка. Если вы хотите, чтобы действие для VPN было применено, переместите запись VPN над корпоративной сетью, чтобы иметь более высокий приоритет, чем действие для корпоративной сети.

Дополнительные сведения о настройке действий политики для использования сетевых исключений см. в разделе Сценарий 9.

См. также