使用Microsoft Purview 数据丢失防护实时保护

可以使用终结点数据丢失防护 (DLP) 实时 (JIT) 保护来阻止受监视文件上的所有出口活动，同时等待策略评估成功完成。

启用 JIT 保护后，在处理策略评估时，终结点 DLP 会阻止其帐户在所选范围内每个用户的所有出口活动。 终结点 DLP 会审核已通过“ 排除 ”设置 (排除的所有用户帐户的流出活动) 否则不在范围内。

部署实时保护的最佳做法

步骤 1：准备环境

必须先部署反恶意软件客户端版本 4.18.23080 或更高版本，然后才能部署实时保护：

注意

对于具有过时版本的反恶意软件客户端的计算机，我们建议通过安装以下 KB 之一来禁用实时保护：

• Windows 10 - KB5032278
• Windows 11 - KB5032288

步骤 2：部署 JIT 保护

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户。

2. 选择 “设置>数据丢失防护>实时保护”。

3. 在 “选择要监视的位置”下，选中“ 设备”旁边的复选框。

4. 在 “失败时的回退操作”下，选择“ 允许用户完成操作”。 这允许用户在分类失败时完成操作。

警告

在完全了解此功能的影响之前，请勿选择 “阻止用户完成操作 ”选项。

合规性门户

1. >在左侧导航) 中打开 Microsoft Purview 合规门户Settings (。

2. 启用 JIT 保护：在Microsoft Purview 合规门户的左侧导航窗格中，选择“设置>实时保护”。

3. 在 “选择要监视的位置”下，选中“ 设备”旁边的复选框。

4. 在 “失败时的回退操作”下，选择“ 允许用户完成操作”。 这允许用户在分类失败时完成操作。

警告

在完全了解此功能的影响之前，请勿选择 “阻止用户完成操作 ”选项。

5. 根据需要自定义通知。

6. 选择“保存”。

应在每个阶段验证设置，直到事件数稳定，并且根据以下遥测计算充分了解要对其应用强制模式的用户组的可能大小。

步骤 3：估计部署的 JIT 保护事件数

根据活动资源管理器上的事件执行以下计算，估计部署 JIT 保护的影响：

• N = 触发 JIT 保护事件的唯一计算机数。
• S = 部署范围内的计算机总数。

N/S 生成可能遇到 JIT 保护“阻止”事件的计算机的百分比。

通过此信息，你应该知道在扩展范围时实现 JIT 阻止模式将影响多少台计算机，以及可能看到的支持票证数量。 然后，可以决定是否扩展范围。

步骤 4：通过其他其他设置微调 JIT 保护

除了 在发生故障时回退（如步骤 1 中所述），还可以使用以下设置来微调 JIT 保护：

• 控制复制到剪贴板：如果要在 JIT 保护评估文件时阻止用户将内容复制到剪贴板，请启用此选项。

注意

打开 “控制复制到剪贴板” 可能会影响用户的工作效率。 在打开此设置之前，请务必测试对工作效率的影响。

• Windows 的应用排除：Windows 设备上的 JIT 保护不会评估此处包含的应用。

• Windows 的文件路径排除：JIT 保护不会评估这些位置中的文件。

注意

此处 的文件路径排除设置 与 数据丢失防护>设置>终结点设置>Windows 的文件路径排除 设置之间的区别在于：

• 此处 的文件路径排除设置 仅从 JIT 保护中排除特定文件路径。 在所有其他情况下，Microsoft Purview 仍对这些文件夹中的文件应用终结点 DLP 分类和保护。
• Windows 设置的文件路径排除通过数据丢失防护>设置>终结点设置>找到的文件路径排除 Windows 设置 文件路径排除 Windows 阻止 Purview 对指定文件夹下的文件应用终结点 DLP 分类和保护。
• 文件扩展名排除：JIT 保护不会评估具有这些扩展名的文件。

• 步骤 5：在“阻止用户完成操作”中为“失败时回退操作”设置部署 JIT 保护

此配置仅控制分类失败时 DLP 应应用的强制模式。 无论在此处选择哪个值，相关遥测都将显示在活动资源管理器中。