Korzystanie z ochrony przed utratą danych punktu końcowego

Aby ułatwić zapoznanie się z funkcjami DLP punktu końcowego i sposobem ich wyświetlania w zasadach DLP, przygotowaliśmy kilka scenariuszy do wykonania.

Ważna

Te scenariusze DLP punktu końcowego nie są oficjalnymi procedurami tworzenia i dostrajania zasad DLP. Zapoznaj się z poniższymi tematami, gdy musisz pracować z zasadami DLP w ogólnych sytuacjach:

• Dowiedz się więcej o Ochrona przed utratą danych w Microsoft Purview
• Wprowadzenie do domyślnych zasad DLP
• Tworzenie i wdrażanie zasad ochrony przed utratą danych

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Przed rozpoczęciem

Licencjonowanie jednostek SKU/subskrypcji

Aby uzyskać szczegółowe informacje o licencjonowaniu, zobacz Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące ochrony informacji.

Te scenariusze wymagają, aby urządzenia były już dołączone i raportowane w Eksploratorze działań. Jeśli urządzenia nie zostały jeszcze dołączone, zobacz Wprowadzenie do zapobiegania utracie danych punktu końcowego.

Ważna

Przed rozpoczęciem upewnij się, że rozumiesz różnicę między administratorem bez ograniczeń a jednostką administracyjną administratora z ograniczeniami (wersja zapoznawcza ).

Scenariusz 1. Tworzenie zasad na podstawie szablonu, tylko inspekcja

Ten scenariusz dotyczy nieograniczonego tworzenia przez administratora zasad pełnego katalogu.

1. Otwórz stronę Zapobieganie utracie danych.

2. Wybierz pozycję Utwórz zasady.

3. W tym scenariuszu wybierz pozycję Prywatność, a następnie dane osobowe (PII) w Stanach Zjednoczonych i wybierz pozycję Dalej.

4. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

5. Przełącz pole Stan na wyłączone dla wszystkich lokalizacji z wyjątkiem urządzeń. Wybierz przycisk Dalej.

6. Zaakceptuj domyślne ustawienie Przejrzyj i dostosuj ustawienia z wyboru szablonu , a następnie wybierz pozycję Dalej.

7. Zaakceptuj domyślne wartości akcji ochrony i wybierz pozycję Dalej.

8. Wybierz pozycję Inspekcja lub ograniczanie działań na urządzeniach z systemem Windows i pozostaw akcje ustawione tylko na Wartość Inspekcja. Wybierz przycisk Dalej.

9. Zaakceptuj wartość domyślną Chcę przetestować ją jako pierwszą wartość i wybrać pozycję Pokaż wskazówki dotyczące zasad w trybie testowym. Wybierz przycisk Dalej.

10. Przejrzyj ustawienia i wybierz pozycję Prześlij.

11. Nowe zasady DLP pojawią się na liście zasad.

12. Sprawdź Eksploratora działań pod kątem danych z monitorowanych punktów końcowych. Ustaw filtr lokalizacji dla urządzeń i dodaj zasady, a następnie przefiltruj według nazwy zasad, aby zobaczyć efekt tych zasad. Zobacz Wprowadzenie do eksploratora działań, jeśli to konieczne.

13. Spróbuj udostępnić element testowy zawierający zawartość, która spowoduje wyzwolenie warunku danych osobowych (PII) w Stanach Zjednoczonych osobie spoza organizacji. Powinno to wyzwolić zasady.

14. Sprawdź Eksploratora działań pod kątem zdarzenia.

Scenariusz 2. Modyfikowanie istniejących zasad, ustawianie alertu

Ten scenariusz dotyczy nieograniczonego administratora modyfikującego zasady o pełnym zakresie katalogu.

1. Otwórz stronę Zapobieganie utracie danych.

2. Wybierz zasady danych osobowych (PII) utworzone w scenariuszu 1.

3. Wybierz pozycję Edytuj zasady.

4. Przejdź do strony Zaawansowane reguły DLP i edytuj plik Inf o niskiej liczbie wykrytej zawartości w Stanach Zjednoczonych.

5. Przewiń w dół do sekcji Raporty o zdarzeniach i ustaw pozycję Wyślij alert do administratorów, gdy wystąpi dopasowanie reguły do pozycji Włączone. Email alerty zostaną automatycznie wysłane do administratora i wszystkich innych osób dodanych do listy adresatów.

   

6. Na potrzeby tego scenariusza wybierz pozycję Wyślij alert za każdym razem, gdy działanie jest zgodne z regułą.

7. Wybierz pozycję Zapisz.

8. Zachowaj wszystkie poprzednie ustawienia, wybierając pozycję Dalej , a następnie prześlij zmiany zasad.

9. Spróbuj udostępnić element testowy zawierający zawartość, która spowoduje wyzwolenie warunku danych osobowych (PII) w Stanach Zjednoczonych osobie spoza organizacji. Powinno to wyzwolić zasady.

10. Sprawdź Eksploratora działań pod kątem zdarzenia.

Scenariusz 3. Modyfikowanie istniejących zasad, blokowanie akcji za pomocą przesłonięcia zezwalania

Ten scenariusz dotyczy nieograniczonego administratora modyfikującego zasady pełnego katalogu.

1. Otwórz stronę Zapobieganie utracie danych.

2. Wybierz zasady danych osobowych (PII) utworzone w scenariuszu 1.

3. Wybierz pozycję Edytuj zasady.

4. Przejdź do strony Zaawansowane reguły DLP i edytuj plik Inf o niskiej liczbie wykrytej zawartości w Stanach Zjednoczonych.

5. Przewiń w dół do sekcji Inspekcja lub ograniczanie działań na urządzeniu z systemem Windows i dla każdego działania ustaw odpowiednią akcję na Wartość Blokuj z przesłonięciem.

   

6. Wybierz pozycję Zapisz.

7. Powtórz kroki 4–7 dla dużej ilości wykrytej zawartości W Stanach Zjednoczonych— inf z możliwością identyfikacji osobistej.

8. Zachowaj wszystkie poprzednie ustawienia, wybierając pozycję Dalej , a następnie prześlij zmiany zasad.

9. Spróbuj udostępnić element testowy zawierający zawartość, która spowoduje wyzwolenie warunku danych osobowych (PII) w Stanach Zjednoczonych osobie spoza organizacji. Powinno to wyzwolić zasady.

   Na urządzeniu klienckim zostanie wyświetlone takie okno podręczne:

   

10. Sprawdź Eksploratora działań pod kątem zdarzenia.

Scenariusz 4. Unikanie zapętlania powiadomień DLP z aplikacji synchronizacji w chmurze za pomocą autokwarantyny

Ten scenariusz dotyczy nieograniczonego administratora tworzącego zasady pełnego katalogu.

Przed rozpoczęciem scenariusza 4

W tym scenariuszu synchronizacja plików z etykietą poufności o wysokim poziomie poufności z usługą OneDrive jest zablokowana. Jest to złożony scenariusz z wieloma składnikami i procedurami. Potrzebne są następujące elementy:

• Konto użytkownika Microsoft Azure Active Directory (Azure AD) do docelowego i dołączony komputer Windows 10, który już synchronizuje lokalny folder usługi OneDrive z magazynem w chmurze usługi OneDrive.
• Etykiety poufności skonfigurowane i opublikowane — zobacz Wprowadzenie do etykiet poufności oraz Tworzenie i konfigurowanie etykiet poufności i ich zasad.

Istnieją trzy procedury.

1. Skonfiguruj ustawienia autokwarantyny DLP punktu końcowego.
2. Utwórz zasady, które blokują poufne elementy, które mają etykietę poufności o wysokim poziomie poufności .
3. Utwórz dokument Word na urządzeniu Windows 10, do których są przeznaczone zasady, zastosuj etykietę i skopiuj go do lokalnego folderu usługi OneDrive konta użytkowników, który jest synchronizowany.

Konfigurowanie niezauważanych ustawień aplikacji i autokwarantyny punktu końcowego DLP

1. Otwieranie ustawień DLP punktu końcowego

2. Rozwiń węzeł Ograniczone aplikacje i grupy aplikacji.

3. Wybierz pozycję Dodaj grupę aplikacji z ograniczeniami w obszarze Grupy aplikacji z ograniczeniami, umieść nazwę grupy Aplikacje synchronizacji w chmurze i dodaj usługę OneDrive jako nazwę wyświetlaną i nazwę wykonywalną onedrive.exe , aby uniemożliwić onedrive.exe uzyskiwanie dostępu do elementów etykiety Wysoce poufne .

4. Wybierz pozycję Automatyczna kwarantanna i Zapisz.

5. W obszarze Ustawienia automatycznego kwarantanny wybierz pozycję Edytuj ustawienia automatycznego kwarantanny.

6. Włącz automatyczną kwarantannę dla niezauważalnych aplikacji.

7. Wprowadź ścieżkę do folderu na maszynach lokalnych, do którego mają zostać przeniesione oryginalne pliki poufne. Na przykład:

   "%homedrive%%homepath%\Microsoft DLP\Quarantine" dla nazwy użytkownika Isaiah Langer umieści przeniesione elementy w folderze o nazwie:

   C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive

   i dołącz datę i sygnaturę czasową do oryginalnej nazwy pliku.

   Uwaga

   Automatyczna kwarantanna DLP spowoduje utworzenie podfolderów dla plików dla każdej niedozwolonej aplikacji. Jeśli więc na liście nieobjętych aplikacji znajdują się zarówno Notatnik , jak i OneDrive , dla \OneDrive zostanie utworzony podfolder \OneDrive i inny podfolder \ Notatnik.

8. Wybierz pozycję Zamień pliki na plik .txt zawierający następujący tekst i wprowadź tekst, który chcesz w pliku zastępczym. Na przykład dla pliku o nazwie auto quar 1.docx:

   %%Nazwa_pliku%% zawiera poufne informacje, które twoja organizacja chroni przy użyciu zasad ochrony przed utratą danych (DLP) %%PolicyName%% i została przeniesiona do folderu kwarantanny: %%QuarantinePath%%

   Spowoduje to pozostawienie pliku tekstowego zawierającego następujący komunikat:

   auto quar 1.docx zawiera poufne informacje, które organizacja chroni za pomocą zasad ochrony przed utratą danych (DLP) i została przeniesiona do folderu kwarantanny: C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1_20210728_151541.docx.

9. Wybierz pozycję Zapisz

Konfigurowanie zasad w celu blokowania synchronizacji plików w usłudze OneDrive z etykietą poufności Wysoce poufne

1. Otwórz stronę Zapobieganie utracie danych.

2. Wybierz pozycję Utwórz zasady.

3. W tym scenariuszu wybierz pozycję Niestandardowe, a następnie zasady niestandardowe i wybierz pozycję Dalej.

4. Wypełnij pola Nazwa i Opis , a następnie wybierz pozycję Dalej.

5. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

6. Przełącz pole Stan na wyłączone dla wszystkich lokalizacji z wyjątkiem urządzeń. Jeśli masz określone konto użytkownika końcowego, z których chcesz to przetestować, wybierz je w zakresie. Wybierz przycisk Dalej.

7. Zaakceptuj domyślny wybór opcji Utwórz lub dostosuj zaawansowane reguły DLP , a następnie wybierz pozycję Dalej.

8. Utwórz regułę z następującymi wartościami:

   1. Nazwa>Scenariusz 4 Automatyczna kwarantanna.
   2. Warunki>Zawartość zawiera>Etykiety> poufności Wysoce poufne.
   3. Działania>Inspekcja lub ograniczanie działań na urządzeniach z systemem> Windows Działania dotyczące plików dla aplikacji w grupach> aplikacji z ograniczeniami Dodaj grupę aplikacji z ograniczeniami, wybierz utworzoną grupę Aplikacje> synchronizacji w chmurzeZastosuj ograniczenie do wszystkich bloków aktywności>. Na potrzeby tego scenariusza wyczyść wszystkie inne działania.
   4. Powiadomienia użytkowników>Włączone.
   5. Urządzenia> punktu końcowego Wybierz pozycję Pokaż użytkownikom powiadomienie o poradach dotyczących zasad, jeśli działanie nie zostało jeszcze włączone.

9. Wybierz pozycję Zapisz i dalej.

10. Wybierz pozycję Włącz od razu. Wybierz przycisk Dalej.

11. Przejrzyj ustawienia i wybierz pozycję Prześlij.

    Uwaga

    Zezwalaj co najmniej godzinę na replikowanie nowych zasad i stosowanie ich do docelowego komputera Windows 10.

12. Nowe zasady DLP pojawią się na liście zasad.

Testowanie automatycznej kwarantanny na urządzeniu Windows 10

1. Zaloguj się na komputerze Windows 10 przy użyciu konta użytkownika określonego w artykule Konfigurowanie zasad w celu blokowania synchronizacji plików w usłudze OneDrive z etykietą poufności Wysoce poufne krok 5.

2. Utwórz folder, którego zawartość nie będzie synchronizowana z usługą OneDrive. Na przykład:

   Folder źródłowy C:\automatycznej kwarantanny

3. Otwórz program Microsoft Word i utwórz plik w folderze źródłowym autokwarantyny. Zastosuj etykietę Wysoce poufne poufności; Zobacz Stosowanie etykiet poufności do plików i wiadomości e-mail w pakiecie Office.

4. Skopiuj utworzony plik do folderu synchronizacji usługi OneDrive. Powinno zostać wyświetlone wyskakujące powiadomienie użytkownika informujące o tym, że akcja jest niedozwolona i że plik zostanie poddany kwarantannie. Na przykład dla nazwy użytkownika Isaiah Langer i dokumentu zatytułowanego dokument automatycznej kwarantanny 1.docx zobaczysz następujący komunikat:

   

   Komunikat brzmi:

   Otwieranie dokumentu automatycznej kwarantanny 1.docx z tą aplikacją jest niedozwolone. Plik zostanie poddany kwarantannie do folderu "C:\Users\IsaiahLanger\Microsoft DLP\OneDrive"

5. Wybierz pozycję Odrzuć.

6. Otwórz plik tekstowy uchwytu miejsca. Zostanie on nazwany 1.docx_ dokumentu automatycznej kwarantanny date_time.txt.

7. Otwórz folder kwarantanny i upewnij się, że oryginalny plik istnieje.

8. Sprawdź Eksploratora działań pod kątem danych z monitorowanych punktów końcowych. Ustaw filtr lokalizacji dla urządzeń i dodaj zasady, a następnie przefiltruj według nazwy zasad, aby zobaczyć efekt tych zasad. Zobacz Wprowadzenie do eksploratora działań, jeśli to konieczne.

9. Sprawdź Eksploratora działań pod kątem zdarzenia.

Scenariusz 5. Ograniczanie przypadkowego udostępniania do niedozwolonych aplikacji i usług w chmurze

Ten scenariusz dotyczy nieograniczonego administratora tworzącego zasady pełnego katalogu.

Za pomocą programu Endpoint DLP i przeglądarki internetowej Microsoft Edge można ograniczyć przypadkowe udostępnianie poufnych elementów do niedozwolonych aplikacji i usług w chmurze. Przeglądarka Microsoft Edge rozumie, kiedy element jest ograniczony przez zasady DLP punktu końcowego i wymusza ograniczenia dostępu.

Po wybraniu pozycji Urządzenia jako lokalizacji w prawidłowo skonfigurowanych zasadach DLP i użyciu przeglądarki Microsoft Edge niedozwolone przeglądarki zdefiniowane w tych ustawieniach nie będą mogły uzyskiwać dostępu do poufnych elementów zgodnych z kontrolkami zasad DLP. Zamiast tego użytkownicy zostaną przekierowani do korzystania z przeglądarki Microsoft Edge, która dzięki zrozumieniu ograniczeń nałożonych przez DLP może blokować lub ograniczać działania po spełnieniu warunków w zasadach DLP.

Aby użyć tego ograniczenia, należy skonfigurować trzy ważne elementy:

1. Określ miejsca — usługi, domeny, adresy IP — do których chcesz zapobiec udostępnianiu poufnych elementów.

2. Dodaj przeglądarki, które nie mogą uzyskiwać dostępu do niektórych poufnych elementów w przypadku dopasowania zasad DLP.

3. Skonfiguruj zasady DLP, aby zdefiniować rodzaje elementów poufnych, dla których przekazywanie powinno być ograniczone do tych miejsc, włączając opcję Przekaż do usług w chmurze i dostęp z niedozwolonej przeglądarki.

Możesz nadal dodawać nowe usługi, aplikacje i zasady, aby rozszerzać i rozszerzać ograniczenia w celu spełnienia potrzeb biznesowych i ochrony poufnych danych.

Ta konfiguracja pomoże zapewnić bezpieczeństwo danych przy jednoczesnym unikaniu niepotrzebnych ograniczeń, które uniemożliwiają użytkownikom dostęp do elementów niewrażliwych lub ich udostępnianie.

Możesz również przeprowadzać inspekcję, blokować za pomocą zastępowania lub blokować przekazywanie przez użytkownika poufnych elementów do aplikacji i usług w chmurze za pośrednictwem poufnych domen usług.

1. W portal zgodności Microsoft Purview otwórz ustawienia ochrony przed utratą> danychUstawienia> DLP punktu końcowegoPrzeglądarka i ograniczenia domeny dla poufnych danych>Domen usługi poufne.

2. Wybierz pozycję Dodaj nową grupę poufnych domen usług.

3. Nadaj grupie nazwę.

4. Wybierz odpowiedni typ dopasowania . Możesz wybrać adres URL, adres IP, zakres adresów IP.

5. Wpisz odpowiednią wartość w obszarze Dodawanie nowych domen usług do tej grupy. Możesz dodać wiele witryn internetowych do grupy i użyć symboli wieloznacznych do pokrycia poddomen. Na przykład www.contoso.com witryna internetowa najwyższego poziomu lub *.contoso.com dla corp.contoso.com, hr.contoso.com, fin.contoso.com

6. Wybierz Zapisz.

7. Wybierz pozycję Zasady.

8. Tworzenie i określanie zakresu zasad stosowanych tylko do lokalizacji Urządzenia . Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie i wdrażanie zasad zapobiegania utracie danych. Upewnij się, że zakres jednostek Administracja do pełnego katalogu.

9. Utwórz regułę korzystającą z witryny poufnej użytkownika z przeglądarki Edge oraz akcję Inspekcja lub ograniczanie działań na urządzeniach.

10. W obszarze Działania związane z domeną usługi i przeglądarką wybierz pozycję Przekaż do domeny usługi w chmurze z ograniczeniami lub dostęp z niedozwolonej przeglądarki i ustaw akcję na wartość Tylko inspekcja. Spowoduje to ustawienie ogólnej akcji dla wszystkich grup witryn.

11. Wybierz odpowiednie grupy witryn poufnych .

12. Wybierz opcję Dodaj.

13. OPCJONALNIE: Jeśli chcesz utworzyć wyjątek (zazwyczaj listę dozwolonych) dla ogólnej akcji dla co najmniej jednej grupy lokacji, wybierz pozycję Konfiguruj wyjątki domeny usługi poufnej, dodaj grupę lokacji, dla których ma zostać zgłoszony wyjątek, skonfiguruj żądaną akcję i zapisz konfigurację.

14. Wybierz działania użytkownika, które chcesz monitorować lub ograniczyć, oraz akcje, które DLP ma podjąć w odpowiedzi na te działania.

15. Zakończ konfigurowanie reguły i zasad i zastosuj ją.

Scenariusz 6. Monitorowanie lub ograniczanie działań użytkowników w poufnych domenach usług

Ten scenariusz dotyczy nieograniczonego tworzenia przez administratora zasad pełnego katalogu.

Użyj tego scenariusza, jeśli chcesz tworzyć inspekcję lub blokować te działania użytkowników w witrynie internetowej.

• drukowanie z witryny internetowej
• kopiowanie danych z witryny internetowej
• zapisywanie witryny internetowej jako plików lokalnych

Użytkownik musi uzyskiwać dostęp do witryny internetowej za pośrednictwem przeglądarki Microsoft Edge.

Konfigurowanie domen usług poufnych

1. W portal zgodności Microsoft Purview otwórz ustawienia ochrony przed utratą> danychUstawienia> DLP punktu końcowegoPrzeglądarka i ograniczenia domeny dla poufnych danych>Domen usługi poufne.

2. Wybierz pozycję Dodaj nową grupę poufnych domen usług.

3. Nadaj grupie nazwę.

4. Wybierz odpowiedni typ dopasowania . Możesz wybrać adres URL, adres IP, zakres adresów IP.

5. Wpisz odpowiednią wartość w obszarze Dodawanie nowych domen usług do tej grupy. Możesz dodać wiele witryn internetowych do grupy i użyć symboli wieloznacznych do pokrycia poddomen. Na przykład www.contoso.com witryna internetowa najwyższego poziomu lub *.contoso.com dla corp.contoso.com, hr.contoso.com, fin.contoso.com

6. Wybierz Zapisz.

7. Wybierz pozycję Zasady.

8. Tworzenie i określanie zakresu zasad stosowanych tylko do lokalizacji Urządzenia . Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie i wdrażanie zasad zapobiegania utracie danych . Upewnij się, że zakres jednostek Administracja do pełnego katalogu.

9. Utwórz regułę, która używa poufnej witryny z przeglądarki Edge, a także akcję Inspekcja lub ograniczanie działań, gdy użytkownicy uzyskują dostęp do poufnych witryn w przeglądarce Microsoft Edge na urządzeniach z systemem Windows.

10. W akcji wybierz pozycję Dodaj lub usuń poufne grupy witryn.

11. Wybierz odpowiednie grupy witryn poufnych . Każda witryna internetowa w ramach wybranych tutaj grup zostanie przekierowana do przeglądarki Microsoft Edge po otwarciu w przeglądarce Chrome (z zainstalowanym rozszerzeniem Purview).

12. Wybierz opcję Dodaj.

13. Wybierz działania użytkownika, które chcesz monitorować lub ograniczyć, oraz akcje, które mają być wykonywane przez DLP w odpowiedzi na te działania.

14. Zakończ konfigurowanie reguły i zasad i zastosuj ją.

Scenariusz 7. Ograniczanie wklejania poufnej zawartości do przeglądarki (wersja zapoznawcza)

Ten scenariusz ma na celu ograniczenie użytkownikom możliwości wklejania poufnej zawartości do formularza lub pola internetowego przeglądarki.

Tworzenie zasad DLP

Możesz skonfigurować różne poziomy wymuszania, jeśli chodzi o blokowanie wklejania danych w przeglądarce. W tym celu utwórz różne grupy adresów URL. Można na przykład utworzyć zasady, które ostrzegają użytkowników przed publikowaniem amerykańskich numerów ubezpieczenia społecznego (SSN) w dowolnej witrynie internetowej, co wyzwala akcję inspekcji witryn internetowych w grupie A. Możesz utworzyć inne zasady, które całkowicie blokują akcję wklejania — bez ostrzeżenia — dla wszystkich witryn sieci Web w grupie B.

Tworzenie grupy adresów URL

1. W usłudze Microsoft Purview otwórz portal zgodności i przejdź dopozycji Ustawienia DLP punktu końcowegoochrony przed utratą> danych, a następnie przewiń w dół do obszaru Ograniczenia przeglądarki i domeny do danych poufnych. Rozwiń sekcję.
2. Przewiń w dół do obszaru Poufne grupy domen usług.
3. Wybierz pozycję Utwórz grupę domeny usługi poufnej.
   • Wprowadź nazwę grupy.
   • W polu Domena usługi wrażliwej wprowadź adres URL pierwszej witryny internetowej, którą chcesz monitorować, a następnie wybierz pozycję Dodaj witrynę.
   • Kontynuuj dodawanie adresów URL dla pozostałych witryn sieci Web, które chcesz monitorować w tej grupie.
   • Po zakończeniu dodawania wszystkich adresów URL do grupy wybierz pozycję Zapisz.
4. Utwórz dowolną liczbę oddzielnych grup adresów URL.

Ograniczanie wklejania zawartości do przeglądarki

1. Utwórz zasady DLP zgodnie z opisem w temacie Tworzenie i wdrażanie zasad ochrony przed utratą danych.
2. Na stronie Definiowanie ustawień zasad w przepływie tworzenia zasad DLP wybierz pozycję Utwórz lub dostosuj zaawansowane reguły DLP , a następnie wybierz pozycję Dalej.
3. Na stronie Dostosowywanie zaawansowanych reguł DLP wybierz pozycję Utwórz regułę.
4. Wprowadź nazwę i opis reguły, a następnie dodaj warunki.
5. Przewiń w dół do sekcji Akcje i wybierz pozycję Dodaj akcję.
6. Wybierz pozycję Inspekcja lub ograniczanie działań, gdy użytkownicy uzyskują dostęp do poufnych witryn
7. Wybierz pozycję Dodaj lub usuń poufne grupy witryn.
8. Wybierz grupę utworzoną w kroku 3, do którą mają zostać zastosowane te zasady, a następnie wybierz pozycję Dodaj.
9. Rozwiń węzeł Warunki, wybierz pozycję Dodaj warunek, a następnie wybierz typy informacji poufnych.
10. W obszarze Zawartość zawiera przewiń w dół i wybierz nowy typ informacji poufnych, który został wcześniej wybrany lub utworzony.
11. W obszarze Akcje wybierz pozycję Dodaj lub usuń poufne grupy witryn, a następnie wybierz grupę witryn poufnych utworzonych, które chcesz monitorować za pomocą tych zasad.
12. Wybierz pozycję Zapisz.
13. Wybierz pozycję Dalej
14. Określ, czy chcesz przetestować zasady, włącz je od razu, czy wyłączyć, a następnie wybierz pozycję Dalej.
15. Wybierz pozycję Submit (Prześlij).

Scenariusz 8. Grupy autoryzacji

Ten scenariusz dotyczy nieograniczonego administratora tworzącego zasady pełnego katalogu.

Te scenariusze wymagają, aby urządzenia były już dołączone i raportowane w Eksploratorze działań. Jeśli urządzenia nie zostały jeszcze dołączone, zobacz Wprowadzenie do zapobiegania utracie danych punktu końcowego.

Grupy autoryzacji są najczęściej używane jako listy dozwolonych. Przypisano akcje zasad do grupy, które różnią się od akcji zasad globalnych. W tym scenariuszu omówimy definiowanie grupy drukarek, a następnie konfigurowanie zasad z akcjami blokowymi dla wszystkich działań drukowania z wyjątkiem drukarek w grupie. Te procedury są zasadniczo takie same w przypadku grup urządzeń magazynujących z możliwością usuwania i grup udziałów sieciowych.

W tym scenariuszu zdefiniujemy grupę drukarek używanych przez dział prawny do drukowania kontraktów. Kontrakty drukowania na innych drukarkach są blokowane.

Tworzenie grup drukarek i korzystanie z nich

1. W portal zgodności Microsoft Purview otwórz ustawieniaDLP> punktu końcowego ochrony przed utratą> danychGrupy drukarek.

2. Wybierz pozycję Utwórz grupę drukarek i nadaj grupie nazwę. W tym scenariuszu użyjemy polecenia Legal printers.

3. Wybierz pozycję Dodaj drukarkę i podaj nazwę. Drukarki można zdefiniować, wykonując następujące czynności:

   1. Przyjazna nazwa drukarki
   2. Identyfikator produktu USB
   3. Identyfikator dostawcy USB
   4. Zakres adresów IP
   5. Drukuj do pliku
   6. Drukowanie uniwersalne wdrożone na drukarce
   7. Drukarka firmowa
   8. Drukuj do lokalnego

4. Wybierz pozycję Zamknij.

Konfigurowanie akcji drukowania zasad

1. Otwórz kartę Zasady .

2. Wybierz pozycję Utwórz zasady i wybierz szablon zasad niestandardowych.

3. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

4. Określanie zakresu lokalizacji tylko do lokalizacji Urządzenia .

5. Utwórz regułę, w której:

   1. Zawartość zawiera = Klasyfikatory z możliwością trenowania, Sprawy prawne
   2. Działania = Inspekcja lub ograniczanie działań na urządzeniach
   3. Następnie wybierz pozycję Działania plików we wszystkich aplikacjach
   4. Wybierz pozycję Zastosuj ograniczenia do określonego działania
   5. Wybierz pozycję Drukuj = blok

6. Wybierz pozycję Wybierz różne ograniczenia drukowania

7. W obszarze Ograniczenia grupy drukarek wybierz pozycję Dodaj grupę i wybierz pozycję Drukarki prawne.

8. Ustawopcję Zezwalaj na akcję = .

   Porada

   Zdarzenie Zezwalaj na rejestrowanie i inspekcję akcji w dzienniku inspekcji, ale nie generuje alertu ani powiadomienia.

9. Wybierz Zapisz.

10. Zaakceptuj wartość domyślną Chcę przetestować ją jako pierwszą wartość i wybrać pozycję Pokaż wskazówki dotyczące zasad w trybie testowym. Wybierz przycisk Dalej.

11. Przejrzyj ustawienia i wybierz pozycję Prześlij.

12. Nowe zasady DLP pojawią się na liście zasad.

Scenariusz 9. Wyjątki sieciowe

Ten scenariusz dotyczy nieograniczonego administratora tworzącego zasady pełnego katalogu.

Te scenariusze wymagają, aby urządzenia były już dołączone i raportowane w Eksploratorze działań. Jeśli urządzenia nie zostały jeszcze dołączone, zobacz Wprowadzenie do zapobiegania utracie danych punktu końcowego.

W tym scenariuszu zdefiniujemy listę sieci VPN używanych przez hybrydowe procesy robocze do uzyskiwania dostępu do zasobów organizacji.

Tworzenie i używanie wyjątku sieci

Wyjątki sieciowe umożliwiają konfigurowanie opcji Zezwalaj, Tylko inspekcja, Blokuj z przesłonięciami i Blokuj akcje dla działań plików w oparciu o sieć, z którą użytkownicy uzyskują dostęp do pliku. Możesz wybrać z listy zdefiniowanych ustawień sieci VPN i opcji Sieć firmowa . Akcje mogą być stosowane indywidualnie lub zbiorczo do tych działań użytkownika:

• Kopiuj do schowka
• Kopiowanie na urządzenie wymienne USB
• Kopiowanie do udziału sieciowego
• Drukowania
• Kopiowanie lub przenoszenie przy użyciu niedozwolonej aplikacji Bluetooth
• Kopiowanie lub przenoszenie przy użyciu protokołu RDP

Pobieranie adresu serwera lub adresu sieciowego

1. Na monitorowanym urządzeniu DLP z systemem Windows otwórz okno Windows PowerShell jako administrator.

2. Uruchom to polecenie cmdlet

Get-VpnConnection

3. Uruchomienie tego polecenia cmdlet zwraca wiele pól i wartości.

4. Znajdź pole ServerAddress i zarejestruj tę wartość. Użyjesz tego podczas tworzenia wpisu sieci VPN na liście sieci VPN.

5. Znajdź pole Nazwa i zapisz tę wartość. Pole Nazwa jest mapowana na pole Adres sieciowy podczas tworzenia wpisu sieci VPN na liście sieci VPN.

Dodawanie sieci VPN

1. Otwórz portal zgodności Microsoft Purview> Ustawienia sieciVPNdotyczące ochrony przed utratą>punktów końcowych> DLP.

2. Wybierz pozycję Dodaj lub edytuj adresy SIECI VPN.

3. Podaj adres serwera lub adres sieciowy z uruchomionego polecenia Get-VpnConnection.

4. Wybierz Zapisz.

5. Zamknij element.

Konfigurowanie akcji zasad

1. Otwórz kartę Zasady .

2. Wybierz pozycję Utwórz zasady i wybierz szablon zasad niestandardowych.

3. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

4. Oceń lokalizację tylko na urządzeniach .

5. Utwórz regułę, w której:

   1. Zawartość zawiera = Klasyfikatory z możliwością trenowania, Sprawy prawne
   2. Działania = Inspekcja lub ograniczanie działań na urządzeniach
   3. Następnie wybierz pozycję Działania plików we wszystkich aplikacjach
   4. Wybierz pozycję Zastosuj ograniczenia do określonego działania
   5. Wybierz akcje, dla których chcesz skonfigurować wyjątki sieci.

6. Wybierz pozycję Kopiuj do schowka i akcję Tylko inspekcja

7. Wybierz pozycję Wybierz inną kopię do ograniczeń schowka.

8. Wybierz pozycję VPN i ustaw akcję na Blokuj z zastąpieniem.

Ważna

Jeśli chcesz kontrolować działania użytkownika, gdy jest on połączony za pośrednictwem sieci VPN , musisz wybrać sieć VPN i uczynić sieć VPN priorytetem w konfiguracji Wyjątki sieciowe . W przeciwnym razie, jeśli wybrano opcję Sieć firmowa , ta akcja zdefiniowana dla wpisu Sieć firmowa zostanie wymuszona.

Uwaga

Opcja Zastosuj do wszystkich działań skopiuje tutaj zdefiniowane wyjątki sieciowe i zastosuje je do wszystkich innych skonfigurowanych określonych działań, takich jak Drukowanie i Kopiowanie do udziału sieciowego. Spowoduje to zastąpienie wyjątków sieci dla innych działań Ostatnia zapisana konfiguracja wygrywa.

1. Zapisz.

2. Zaakceptuj wartość domyślną Chcę przetestować ją jako pierwszą wartość i wybrać pozycję Pokaż wskazówki dotyczące zasad w trybie testowym. Wybierz przycisk Dalej.

3. Przejrzyj ustawienia i wybierz pozycję Prześlij.

4. Nowe zasady DLP pojawią się na liście zasad.

Zobacz też

• Dowiedz się więcej o ochronie przed utratą danych punktu końcowego
• Wprowadzenie do ochrony przed utratą danych punktu końcowego
• Dowiedz się więcej o ochronie przed utratą danych
• Wprowadzenie do Eksploratora działań
• Ochrona punktu końcowego w usłudze Microsoft Defender
• Dołączanie urządzeń Windows 10 i Windows 11 do usługi Microsoft Purview — omówienie
• Subskrypcja platformy Microsoft 365
• Dołączono do usługi Azure Active Directory (Azure AD)
• Pobierz nową przeglądarkę Microsoft Edge na podstawie Chromium
• Wprowadzenie do domyślnych zasad DLP
• Tworzenie i wdrażanie zasad ochrony przed utratą danych