Mer information om skydd mot Endpoint data förlust

Du kan använda Dataförlustskydd (DLP) i Microsoft Purview till att övervaka åtgärder som vidtas för objekt som du har fastställt vara känsliga och för att förhindra oavsiktlig delning av dessa objekt. Mer information om DLP finns i Mer information om dataförlustskydd.

Förhindrande av dataförlustskydd i Endpoint (Endpoint DLP) utökar aktivitetsövervakningen och skyddsfunktionerna i DLP för känsliga objekt som lagras fysiskt på Windows 10, Windows 11 och macOS-enheter (Catalina 10.15 och senare). När enheter har registrerats i lösningarna för Microsoft Purview blir informationen om vad användare gör med känsliga objekt synlig i aktivitetsutforskaren och du kan vidta skyddsåtgärder för dessa objekt via DLP-principer.

Tips

Om du letar efter enhetskontroll för flyttbara lagringsmedia läser du Microsoft Defender for Endpoint Device Control Removable Storage Access Control.

Anteckning

I Microsoft Purview sker DLP-principutvärdering av känsliga objekt centralt, så det finns ingen tidsfördröjning för principer och principuppdateringar som ska distribueras till enskilda enheter. När en princip uppdateras i Efterlevnadscenter tar det vanligtvis ungefär en timme innan uppdateringarna synkroniseras i hela tjänsten. När principuppdateringarna har synkroniserats utvärderas objekt på målenheter igen automatiskt nästa gång de används eller ändras.

Slutpunktsaktiviteter som du kan övervaka och vidta åtgärder för

Med slutpunkts-DLP kan du granska och hantera följande typer av aktiviteter som användare utför på känsliga objekt som lagras fysiskt på Windows 10-, Windows 11- eller macOS-enheter.

Aktivitet Beskrivning Windows 10 1809 eller senare, Windows 11 macOS Catalina 10.15 och senare Granskningsbar/begränsningsbar
ladda upp till molntjänst, eller ge åtkomst till otillåtna webbläsare Upptäcker när en användare försöker ladda upp ett objekt till en begränsad tjänstdomän eller öppna ett objekt via en webbläsare. Om en webbläsare används som anges i DLP som en otillåten webbläsare, blockeras uppladdningen och användaren omdirigeras till Microsoft Edge. Microsoft Eddge tillåter eller blockerar sedan uppladdningen eller åtkomsten baserat på DLP-principkonfigurationen stöds stöds granskningsbart och begränsningsbart
kopiera till en annan app Upptäcker när en användare försöker kopiera information från ett skyddat objekt och sedan klistra in den i en annan app, en annan process eller ett annat objekt. Den identifierar också när en användare kopierar och klistrar in innehåll mellan filer i samma app, process eller objekt för Word, Excel och PowerPoint. stöds stöds granskningsbart och begränsningsbart
kopiera till USB-flyttbart medium Upptäcker när en användare försöker kopiera ett objekt eller information till ett flyttbart medium eller en USB-enhet. stöds stöds granskningsbart och begränsningsbart
kopiera till en nätverksresurs Upptäcker när en användare försöker kopiera ett objekt till en nätverksresurs eller en mappad nätverksenhet stöds stöds granskningsbart och begränsningsbart
skriva ut ett dokument Upptäcker när en användare försöker skriva ut ett skyddat objekt till en lokal skrivare eller en nätverksskrivare. stöds stöds granskningsbart och begränsningsbart
kopiera till en fjärrsession Upptäcker när en användare försöker kopiera ett objekt till en session för fjärrdatorer stöds stöds inte granskningsbart och begränsningsbart
kopiera till en Bluetooth-enhet Upptäcker när en användare försöker kopiera ett objekt till en otillåten Bluetooth-app (enligt definitionen i listan med otillåtna Bluetooth-appar i inställningarna för slutpunkts-DLP:n). stöds stöds inte granskningsbart och begränsningsbart
skapa ett objekt. Upptäcker när en användare skapar ett objekt stöds stöds granskningsbart
byta namn på ett objekt Upptäcker när en användare byter namn på ett objekt stöds stöds granskningsbart

Bästa praxis för slutpunkts-DLP-principer

Anta att du vill blockera alla objekt som innehåller kreditkortsnummer från att lämna slutpunkter för ekonomiavdelningens användare. Vi rekommenderar:

  • Skapa en princip och omfång för den till slutpunkter och till den gruppen med användare.
  • Skapa en regel i principen som identifierar den typ av information som du vill skydda. I det här fallet innehåller innehållet värdet Typ av känslig information* och väljer Kreditkort.
  • Ställ in åtgärderna för varje aktivitet på Blockera.

Mer information om hur du utformar DLP-principer finns i Utforma en princip för dataförlustskydd.

Övervakade filer

Slutpunkts-DLP stöder övervakning av dessa filtyper via princip:

  • Word-filer
  • PowerPoint-filer
  • Excel-filer
  • PDF-filer
  • .csv-filer
  • .tsv-filer
  • .txt-filer
  • .rtf-filer
  • .c-filer
  • .class-filer (endast Windows)
  • .cpp-filer
  • .cs-filer
  • .h-filer
  • .java-filer

DLP granskar aktiviteterna för dessa filtyper, även om det inte finns någon principmatchning:

  • Word-filer
  • PowerPoint-filer
  • Excel-filer
  • PDF-filer

Om du bara vill övervaka data från principmatchningar kan du stänga av Granska alltid filaktivitet för enheter i de globala inställningarna för slutpunkts-DLP:n.

Anteckning

Om inställningen Granska alltid filaktivitet för enheter är aktiverad granskas alltid aktiviteter i en Word-, PowerPoint-, Excel-, PDF- och CSV-fil även om enheten inte omfattas av någon princip.

Tips

För att säkerställa att aktiviteter granskas för alla filtyper som stöds skapar du en anpassad DLP-princip.

Slutpunkts-DLP:n övervakar aktivitet baserat på MIME-typ, så aktiviteterna samlas in även om filtillägget ändras.

Filtyper

Filtyper är en gruppering av filformat som används för att skydda specifika arbetsflöden eller verksamhetsområden. Du kan använda en eller flera filtyper som villkor i dina DLP-principer.

Filtyp Program övervakade filnamnstillägg
ordbehandling Word, PDF .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf
kalkylblad Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv
presentation PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
arkivera filarkiv och komprimeringsverktyg .zip, .zipx, .rar, .7z, .tar, .gz
e-post Outlook .pst, .ost, .msg

Filtillägg

Om filtyperna inte täcker de filnamnstillägg som du behöver lista som ett villkor i en princip kan du använda filnamnstillägg avgränsade med kommatecken i stället.

Viktigt

Alternativen för filnamnstillägg och filtyper kan inte användas som villkor i samma regel. Om du vill använda dem som villkor i samma princip måste de finnas i separata regler.

Viktigt

Dessa Windows-versioner stöder filtyp och filnamnstillägg funktioner:

  • Windows 10 version 20H1/20H2/21H1 (KB 5006738)
  • Windows 10 version 19H1/19H2 (KB 5007189)
  • Windows 10 RS5 (KB 5006744)

Vad är annorlunda i slutpunkts-DLP?

Det finns några fler begrepp som du behöver känna till innan du fördjupar dig i slutpunkts-DLP:n.

Aktivera enhetshantering

Enhetshantering är den funktion som samlar in telemetri från enheter och matar in den i Microsoft Purview-lösningar som slutpunkts-DLP och hantering av interna risker. Du måste registrera alla enheter som ska användas som platser i DLP-principerna.

aktivera enhetshantering.

Registrering och avregistrering hanteras via skript som du hämtar från Enhetshanteringscenter. Centret har anpassade skript för var och en av dessa distributionsmetoder:

  • lokalt skript (upp till 10 datorer)
  • Grupprincip
  • System Center Configuration Manager (version 1610 eller senare)
  • Hantering av mobila enheter/Microsoft Intune
  • VDI-registreringsskript för icke-beständiga datorer

enhetsregistreringssida.

Använd procedurerna i Komma igång med slutpunkts-DLP i Microsoft 365 för att registrera enheter.

Om du har registrerat enheter via Microsoft Defender för Endpoint visas de enheterna automatiskt i listan med enheter. Det beror på att registrering till Defender även registrerar enheter till DLP. Du behöver bara aktivera enhetsövervakning för att använda slutpunkts-DLP.

lista med hanterade enheter.

Visa data för slutpunkts-DLP

Du kan se aviseringar om DLP-principer som tillämpas på slutpunktsenheter genom att gå till instrumentpanelen för hantering av DLP-aviseringar.

Aviseringsinformation.

Du kan också se information om den associerade händelsen med omfattande metadata i samma instrumentpanel

händelseinformation.

När en enhet har registrerats flödar information om granskade aktiviteter till aktivitetsutforskaren redan innan du har konfigurerat och distribuerat DLP-principer som har enheter som en plats.

händelser för slutpunkts-DLP i aktivitetsutforskaren.

Slutpunkts-DLP:n samlar in omfattande information om den granskade aktiviteten.

Om en fil till exempel kopieras till ett flyttbart USB-medium visas följande attribut i aktivitetsinformationen:

  • aktivitetstyp
  • klient-IP
  • sökväg till målfil
  • tidsstämpel
  • filnamn
  • användare
  • filtillägg
  • filstorlek
  • typ av känslig information (om tillämpligt)
  • sha1-värde
  • sha256-värde
  • tidigare filnamn
  • plats
  • överordnad
  • filsökväg
  • källplatstyp
  • plattform
  • enhetsnamn
  • målplatstyp
  • program som utförde kopian
  • Enhets-ID till Microsoft Defender för Endpoint (om tillämpligt)
  • tillverkare av flyttbar medieenhet
  • modell för flyttbar medieenhet
  • serienummer för flyttbar medieenhet

kopiera till USB-aktivitetsattribut.

Nästa steg

Nu när du har lärt dig mer om slutpunkts-DLP är nästa steg:

  1. Registrera Windows 10- eller Windows 11-enheter i Microsoft Purview-översikten
  2. Registrera macOS-enheter i Microsoft Purview-översikt
  3. Konfigurera inställningar för dataförlustskydd för slutpunkt
  4. Använda dataförlustskydd för slutpunkter

Se även