Informazioni sulla prevenzione della perdita di dati degli endpoint

Nota

Microsoft 365 conformità è ora denominata Microsoft Purview e le soluzioni all'interno dell'area di conformità sono state rinominate. Per altre informazioni su Microsoft Purview, vedere l'annuncio del blog.

È possibile usare la prevenzione della perdita dei dati (DLP) di Microsoft Purview per monitorare le azioni intraprese sugli elementi che si considerano sensibili e per evitare la condivisione involontaria di tali elementi. Per altre informazioni, vedi Ulteriori informazioni sulla prevenzione della perdita dei dati.

La prevenzione della perdita dei dati degli endpoint(endpoint DLP) estende le funzionalità di monitoraggio e protezione dell'attività di DLP agli elementi sensibili fisicamente archiviati nei dispositivi Windows 10, Windows 11 e macOS (Catalina 10.15 e versioni successive). Dopo aver eseguito l'onboarding dei dispositivi nelle soluzioni Microsoft Purview, le informazioni sulle azioni che gli utenti stanno eseguendo sugli elementi sensibili sono rese visibili in Esplora attività ed è possibile applicare azioni di protezione su tali elementi tramite criteri DLP.

Suggerimento

Se si sta cercando il controllo del dispositivo per l'archiviazione rimovibile, vedere Controllo degli accessi alle risorse di archiviazione rimovibili di Microsoft Defender per endpoint.

Nota

In Microsoft Purview, la valutazione dei criteri di prevenzione della perdita dei dati degli elementi sensibili avviene in modo centralizzato, quindi non vi è alcun intervallo di tempo per la distribuzione dei criteri e degli aggiornamenti dei criteri ai singoli dispositivi. Quando un criterio viene aggiornato nel Centro conformità, la sincronizzazione degli aggiornamenti nel servizio richiede in genere circa un'ora. Dopo la sincronizzazione degli aggiornamenti dei criteri, gli elementi nei dispositivi di destinazione vengono rivalutati automaticamente al successivo accesso o modifica.

Attività endpoint che è possibile monitorare e su cui si può intervenire

La prevenzione della perdita di dati degli endpoint consente di controllare e gestire i seguenti tipi di attività che gli utenti intraprenderanno su elementi sensibili archiviati fisicamente nei dispositivi Windows 10, Windows 11 o macOS.

Attività Descrizione Windows 10 1809 e versioni successive/Windows 11 macOS Catalina 10.15 Controllabile/limitabile
caricare su servizio cloud o accedere con browser non consentiti Rileva quando un utente tenta di caricare un elemento in un dominio di servizio riservato o di accedere a un elemento attraverso un browser. Se si usa un browser elencato in DLP come browser non consentito, l'attività di caricamento verrà bloccata e l'utente viene reindirizzato all'utilizzo di Microsoft Edge. Microsoft Edge consentirà o bloccherà il caricamento o l'accesso in base alla configurazione dei criteri di prevenzione della perdita dei dati supportato supportato controllabile e limitabile
copiare su altra app Rileva quando un utente tenta di copiare le informazioni da un elemento protetto e poi le incolla in un'altra applicazione, processo o elemento. Il processo di copiare e incollare informazioni all'interno della stessa applicazione, processo o elemento non viene rilevato da questa attività. supportato supportato controllabile e limitabile
copiare su supporto rimovibile USB Rileva quando un utente tenta di copiare un elemento o un'informazione su un supporto rimovibile o un dispositivo USB. supportato supportato controllabile e limitabile
copiare su condivisione di rete Rileva quando un utente tenta di copiare un elemento in una condivisione di rete o in un'unità di rete mappata supportato supportato controllabile e limitabile
stampare un documento Rileva quando un utente tenta di stampare un elemento protetto su una stampante locale o di rete. supportato supportato controllabile e limitabile
copiare in una sessione remota Rileva quando un utente tenta di copiare un elemento in una sessione desktop remota supportato non supportato controllabile e limitabile
copiare in un dispositivo Bluetooth Rileva quando un utente cerca di copiare un elemento in un'app Bluetooth non consentita (come definito nell'elenco delle app Bluetooth non consentite nelle impostazioni Endpoint DLP). supportato non supportato controllabile e limitabile
creare un elemento. Rileva quando un utente crea un elemento supportato controllabile
rinominare un elemento Rileva quando un utente rinomina un elemento supportato controllabile

Procedura consigliata per i criteri di prevenzione della perdita dei dati (DLP) degli endpoint

Si supponga di voler impedire a tutti gli elementi che contengono numeri di carta di credito di lasciare gli endpoint degli utenti del reparto Contabilità. Microsoft consiglia:

  • Creare un criterio e assegnarne l'ambito agli endpoint e a tale gruppo di utenti.
  • Creare una regola nei criteri che rilevi il tipo di informazioni da proteggere. In questo caso, contenuto contiene impostato su Tipo di informazioni sensibili* e selezionare Carta di credito.
  • Impostare le azioni per ogni attività su Blocca.

Vedere Progettare un criterio di prevenzione della perdita dei dati per altre indicazioni sulla progettazione dei criteri di prevenzione della perdita dei dati.

File monitorati

Endpoint DLP supporta il monitoraggio di questi tipi di file. DLP controlla le attività per questi tipi di file anche in mancanza di una corrispondenza dei criteri.

  • File di Word
  • File di PowerPoint
  • File di Excel
  • File PDF
  • File CSV
  • File TSV
  • File TXT
  • File RTF
  • File C
  • File CLASS
  • File CPP
  • File CS
  • File H
  • File Java

Se si vogliono monitorare i dati solo se c'è una corrispondenza dei criteri, è possibile disattivare l'opzione Controllare sempre le attività dei file per i dispositivi nelle impostazioni globali di Endpoint DLP.

Nota

Se l'impostazione Controllare sempre le attività dei file per i dispositivi è attiva, le attività su qualsiasi file Word, PowerPoint, Excel, PDF e CSV vengono sempre controllate, anche se il dispositivo non dispone di alcun criterio.

Suggerimento

Per verificare che le attività siano controllate per tutti i tipi di file supportati, creare criteri di prevenzione della perdita dei dati personalizzati.

Endpoint DLP monitora le attività in base al tipo MIME, pertanto le attività verranno acquisite anche se l'estensione del file viene cambiata.

Tipi di file

I tipi di file sono un raggruppamento di formati di file utilizzati per proteggere flussi di lavoro o aree aziendali specifiche. È possibile usare uno o più tipi di file come condizioni nei criteri di prevenzione della perdita dei dati.

Tipo file App estensioni di file monitorate
elaborazione parole Word, PDF .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf
foglio di calcolo Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv
presentazione PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
archivia strumenti di archiviazione e compressione di file .zip, .zipx, .rar, .7z, .tar, .gz
email Outlook .pst, .ost, .msg

Estensioni file

Se i tipi di file non coprono le estensioni di file che è necessario elencare come condizione in un criterio, è possibile usare estensioni di file separate da virgole.

Importante

Le estensioni di file e le opzioni dei tipi di file non possono essere utilizzate come condizioni nella stessa regola. Se si desidera usarli come condizioni nello stesso criterio, devono trovarsi in regole separate.

Importante

Queste versioni di Windows supportano i tipi di file e le funzionalità di estensione file:

  • Windows 10 versioni 20H1/20H2/21H1 (KB 5006738)
  • Windows 10 versioni 19H1/19H2 (KB 5007189)
  • Windows 10 RS5 (KB 5006744)

Cosa distingue Endpoint DLP

Ci sono alcuni concetti aggiuntivi che è necessario conoscere prima di approfondire l'utilizzo di Endpoint DLP.

Abilitare la gestione dei dispositivi

La gestione dei dispositivi è la funzionalità che consente la raccolta di dati di telemetria dai dispositivi e la introduce nelle soluzioni Microsoft Purview, come Endpoint DLP e Gestione dei rischi Insider. È necessario eseguire l'onboarding di tutti i dispositivi che si vogliono usare come posizioni nei criteri DLP.

abilitare la gestione dei dispositivi.

Onboarding e offboarding vengono gestiti tramite script scaricati dal centro gestione dispositivi. Nel centro sono disponibili script personalizzati per ognuno di questi metodi di distribuzione:

  • script locale (fino a 10 computer)
  • Criteri di gruppo
  • System Center Configuration Manager (versione 1610 o successiva)
  • Gestione dispositivi mobili/Microsoft Intune
  • Script di onboarding VDI per dispositivi non persistenti

pagina di onboarding dispositivi.

Seguire le procedure in Introduzione a Microsoft 365 Endpoint DLP per l'onboarding dei dispositivi.

Se è stato eseguito l'onboarding di dispositivi tramite Microsoft Defender per endpoint, questi dispositivi verranno visualizzati automaticamente nell'elenco dei dispositivi. È possibile attivare il monitoraggio dei dispositivi per l'utilizzo della prevenzione della perdita dei dati degli endpoint.

elenco dispositivi gestiti.

Visualizzazione dei dati di Endpoint DLP

È possibile visualizzare gli avvisi correlati ai criteri di prevenzione della perdita dei dati applicati ai dispositivi endpoint passando al Dashboard di gestione avvisi DLP.

Info sugli avvisi.

È anche possibile visualizzare i dettagli dell'evento associato con metadati completi nello stesso dashboard

info sull'evento.

Dopo l'onboarding di un dispositivo, le informazioni sulle attività controllate fluiscono in Esplora attività anche prima che vengano configurati e distribuiti criteri di prevenzione della perdita dei dati che usano dispositivi come posizione.

eventi di prevenzione della perdita di dati degli endpoint in Esplora attività.

Endpoint DLP raccoglie informazioni complete sulle attività controllate.

Ad esempio, se un file viene copiato in un supporto USB rimovibile, nei dettagli attività vengono visualizzati questi attributi:

  • tipo di attività
  • IP client
  • percorso file di destinazione
  • timestamp dell'attività
  • nome del file
  • utente
  • estensione del file
  • dimensioni del file
  • tipo di informazioni sensibili (se applicabile)
  • valore SHA1
  • valore SHA256
  • nome file precedente
  • posizione
  • padre
  • percorso file
  • tipo di percorso di origine
  • piattaforma
  • nome dispositivo
  • tipo di percorso di destinazione
  • applicazione che ha eseguito la copia
  • ID dispositivo di Microsoft Defender per endpoint (se applicabile)
  • produttore del dispositivo multimediale rimovibile
  • modello di dispositivo multimediale rimovibile
  • numero di serie del dispositivo multimediale rimovibile

attributi dell'attività di copia su USB

Passaggi successivi

Dopo avere acquisito familiarità con Endpoint DLP, è possibile proseguire con questi argomenti:

  1. Panoramica dell'onboarding dei dispositivi Windows 10 o Windows 11 in Microsoft Purview
  2. Panoramica dell'onboarding dei dispositivi macOS in Microsoft Purview
  3. Configurare le impostazioni di prevenzione della perdita dei dati degli endpoint
  4. Uso di Prevenzione della perdita di dati degli endpoint

Vedere anche