Сведения о защите от потери данных в конечной точке Microsoft 365Learn about Microsoft 365 Endpoint data loss prevention

Защиту от потери данных (DLP) в Microsoft 365 можно использовать для отслеживания действий, принятых в отношении элементов, которые были определены как конфиденциальные, и для защиты от непреднамеренного обмена этими элементами.You can use Microsoft 365 data loss prevention (DLP) to monitor the actions that are being taken on items you've determined to be sensitive and to help prevent the unintentional sharing of those items. Подробная информация приведена в статье Обзор защиты от потери данных.For more information on DLP, see Overview of data loss prevention.

Защита от потери данных в конечной точке (DLP в конечной точке) расширяет возможности отслеживания действий и защиты от потери данных для конфиденциальных элементов на устройствах с Windows 10.Endpoint data loss prevention (Endpoint DLP) extends the activity monitoring and protection capabilities of DLP to sensitive items that are on Windows 10 devices. После того как устройства будут подключены к решениям по обеспечению соответствия требованиям Microsoft 365, сведения о действиях пользователей с конфиденциальными элементами становятся видимыми в обозревателе действий и вы можете принудительно применять защитные действия к ним с помощью политик защиты от потери данных.Once devices are onboarded into the Microsoft 365 compliance solutions, the information about what users are doing with sensitive items is made visible in activity explorer and you can enforce protective actions on those items via DLP policies.

Действия в конечных точках, которые вы можете отслеживать и реагировать на нихEndpoint activities you can monitor and take action on

Защита от потери данных в конечной точке от Майкрософт позволяет проверять и управлять следующими типами действий, выполняемыми пользователями в отношении конфиденциальных элементов на устройствах с Windows 10.Microsoft Endpoint DLP enables you to audit and manage the following types of activities users take on sensitive items on devices running Windows 10.

ДействиеActivity ОписаниеDescription Проверяемое/ограниченноеAuditable/restictable
отправка в облачную службу или доступ запрещенными браузерамиupload to cloud service, or access by unallowed browsers Обнаруживает, когда пользователь пытается отправить элемент в запрещенный домен службы или получить доступ к элементу через браузер.Detects when a user attempts to upload an item to a restricted service domain or access an item through a browser. Если пользователь использует браузер, указанный в политике защиты от потери данных в качестве запрещенного браузера, то отправка будет заблокирована, а пользователь будет перенаправлен на использование Edge Chromium.If they are using a browser that is listed in DLP as an being an unallowed browser, the upload activity will be blocked and the user is redirected to use Edge Chromium. Edge Chromium либо разрешит, либо заблокирует отправку или доступ, в зависимости от конфигурации политики защиты от потери данных.Edge Chromium will then either allow or block the upload or access based on the DLP policy configuration проверяемое и ограниченноеauditable and restrictable
копирование в другое приложениеcopy to other app Обнаруживает, когда пользователь пытается скопировать сведения из защищенного элемента, а затем вставить их в другое приложение, процесс или элемент.Detects when a user attempts to copy information from a protected item and then paste it into another app, process or item. Данное действие не обнаруживает копирование и вставку сведений в пределах одного приложения, процесса или элемента.Copying and pasting information within the same app, process, or item is not detected by this activity. проверяемое и ограниченноеauditable and restrictable
копирование на съемный USB-носительcopy to USB removable media Обнаруживает, когда пользователь пытается скопировать элемент или сведения на съемный носитель или USB-устройство.Detects when a user attempts to copy an item or information to removable media or USB device. проверяемое и ограниченноеauditable and restrictable
копирование в сетевую папкуcopy to a network share Обнаруживает, когда пользователь пытается скопировать элемент в сетевую папку или подключенный сетевой дискDetects when a user attempts to copy an item to a network share or mapped network drive проверяемое и ограниченноеauditable and restrictable
печать документаprint a document Обнаруживает, когда пользователь пытается распечатать защищенный элемент на локальном или сетевом принтере.Detects when a user attempts to print a protected item to a local or network printer. проверяемое и ограниченноеauditable and restrictable
копирование в удаленный сеансcopy to a remote session Обнаруживает, когда пользователь пытается скопировать элемент в сеанс удаленного рабочего столаDetects when a user attempts to copy an item to a remote desktop session проверяемое и ограниченноеauditable and restrictable
копирование на устройство Bluetoothcopy to a Bluetooth device Обнаруживает, когда пользователь пытается скопировать элемент в неразрешенное приложение Bluetooth (в соответствии с определением в списке неразрешенных приложений Bluetooth в параметрах DLP в конечной точке).Detects when a user attempts to copy an item to an unallowed Bluetooth app (as defined in the list of unallowed Bluetooth aps in Endpoint DLP settings). проверяемое и ограниченноеauditable and restrictable
создание элементаcreate an item Обнаруживает, когда пользователь создает элемент.Detects when a user creates an item проверяемоеauditable
переименование элементаrename an item Обнаруживает, когда пользователь переименовывает элемент.Detects when a user renames an item проверяемоеauditable

Отслеживаемые файлыMonitored files

Защита от потери данных для конечной точки поддерживает отслеживание следующих типов файлов.Endpoint DLP supports monitoring of these file types:

  • Файлы WordWord files
  • Файлы PowerPointPowerPoint files
  • Файлы ExcelExcel files
  • PDF-файлыPDF files
  • CSV-файлы.csv files
  • ТSV-файлы.tsv files
  • TXT-файлы.txt files
  • RTF-файлы.rtf files
  • С-файлы.c files
  • CLASS-файлы.class files
  • CPP-файлы.cpp files
  • CS-файлы.cs files
  • H-файлы.h files
  • JAVA-файлы.java files

По умолчанию защита от потери данных проводит аудит действий для этих типов файлов, даже если отсутствует соответствие политике.By default, endpoint DLP audits the activities for these file types, even if there isn't a policy match. Если вам нужно отслеживать данные только из совпадений политик, можно отключить параметр Всегда проводить аудит активности файлов для устройств в глобальных параметрах DLP конечной точки.If you only want monitoring data from policy matches, you can turn off the Always audit file activity for devices in the endpoint DLP global settings. Если этот параметр включен, действия с любыми файлами Word, PowerPoint, Excel, PDF и CSV всегда проверяются, даже если устройство не регулируется никакой политикой.If this setting is on, activities on any Word, PowerPoint, Excel, PDF, and .csv file are always audited even if the device is not targeted by any policy.

Защита от потери данных в конечной точке зависит от типа MIME, поэтому действия будут записываться даже при изменении расширения файла.Endpoint DLP monitors activity-based on MIME type, so activities will be captured even if the file extension is changed.

Чем отличается защита от потери данных в конечной точкеWhat's different in Endpoint DLP

Перед началом глубокой работы с защитой от потери данных в конечной точке необходимо учитывать ряд дополнительных понятий.There are a few extra concepts that you need to be aware of before you dig into Endpoint DLP.

Включение управления мобильными устройствамиEnabling Device management

Управление устройствами — это функция, позволяющая осуществлять сбор данных телеметрии с устройств и преобразование их в решения для обеспечения соответствия требованиям Microsoft 365, такие как Защита от потери данных в конечной точке и Управление рисками в рамках программы предварительной оценки.Device management is the functionality that enables the collection of telemetry from devices and brings it into Microsoft 365 compliance solutions like Endpoint DLP and Insider Risk management. Вам потребуется подключить все устройства, которые вы хотите использовать в качестве расположений в политиках защиты от потери данных.You'll need to onboard all devices you want to use as locations in DLP policies.

включение управления устройствамиenable device management

Подключение и отключение выполняется с помощью сценариев, скачанных из Центра управления устройствами.Onboarding and offboarding are handled via scripts you download from the Device management center. В центре есть настраиваемые сценарии для каждого из этих методов развертывания:The center has custom scripts for each of these deployment methods:

  • локальный сценарий (до 10 компьютеров)local script (up to 10 machines)
  • Групповая политикаGroup policy
  • System Center Configuration Manager (версия 1610 или более поздняя)System Center Configuration Manager (version 1610 or later)
  • Управление мобильными устройствами/Microsoft IntuneMobile Device Management/Microsoft Intune
  • Сценарии подключения в инфраструктуре виртуальных рабочих столов (VDI) для временных компьютеровVDI onboarding scripts for non-persistent machines

страница подключения устройствdevice onboarding page

Для подключения устройств используйте процедуры, описанные в статье Начало работы с Защитой от потери данных в конечной точке в Microsoft 365.Use the procedures in Getting started with Microsoft 365 Endpoint DLP to onboard devices.

Если вы подключили устройства с помощью Microsoft Defender для конечной точки, эти устройства будут автоматически отображаться в списке устройств.If you have onboarded devices through Microsoft Defender for Endpoint, those devices will automatically show up in the list of devices.

список управляемых устройствmanaged devices list

Просмотр данных защиты от потери данных в конечной точкеViewing Endpoint DLP data

Вы можете просмотреть оповещения, связанные с политиками защиты от потери данных, примененными на устройствах конечных точек, перейдя на панель мониторинга для управления оповещениями защиты от потери данных.You can view alerts related to DLP policies enforced on endpoint devices by going to the DLP Alerts Management Dashboard.

Сведения оповещенияAlert info

Вы также можете просматривать сведения о родственном событии с расширенными метаданными на той же панели мониторинга.You can also view details of the associated event with rich metadata in the same dashboard

сведения о событииevent info

После подключения устройства сведения о действиях, прошедших аудит, передаются в обозреватель действий даже до настройки и развертывания любой политики защиты от потери данных с устройствами в качестве расположения.Once a device is onboarded, information about audited activities flows into Activity explorer even before you configure and deploy any DLP policies that have devices as a location.

события защиты от потери данных в конечной точке в обозревателе действийendpoint dlp events in activity explorer

Защита от потери данных в конечной точке собирает подробную информацию о действиях, прошедших аудит.Endpoint DLP collects extensive information on audited activity.

Например, если файл копируется на съемный USB-носитель, то в подробных сведениях о действиях будут отображаться указанные ниже атрибуты:For example, if a file is copied to removable USB media, you'd see these attributes in the activity details:

  • тип действияactivity type
  • IP-адрес клиентаclient IP
  • путь к целевому файлуtarget file path
  • временная метка событияhappened timestamp
  • имя файлаfile name
  • пользовательuser
  • расширение файлаfile extension
  • размер файлаfile size
  • типы конфиденциальной информации (если применимо)sensitive information type (if applicable)
  • значение SHA1sha1 value
  • значение SHA256sha256 value
  • предыдущее имя файлаprevious file name
  • расположениеlocation
  • родительparent
  • путь к файлуfilepath
  • тип исходного расположенияsource location type
  • платформаplatform
  • имя устройстваdevice name
  • тип конечного расположенияdestination location type
  • приложение, которое выполнило копированиеapplication that performed the copy
  • ИД устройства Microsoft Defender для конечной точки (если применимо)Microsoft Defender for Endpoint device ID (if applicable)
  • производитель съемного носителяremovable media device manufacturer
  • модель съемного носителяremovable media device model
  • серийный номер съемного носителяremovable media device serial number

атрибуты действий копирования на USBcopy to usb activity attributes

Дальнейшие действияNext steps

Теперь, когда вы узнали о защите от потери данных в конечной точке, ознакомьтесь со следующим:Now that you've learned about Endpoint DLP, your next steps are:

  1. Начало работы с защитой от потери данных в конечной точке МайкрософтGetting started with Microsoft Endpoint data loss prevention
  2. Использование защиты от потери данных в конечной точке МайкрософтUsing Microsoft Endpoint data loss prevention

См. такжеSee also