Kom igång med Microsofts efterlevnadstillägg

Använd de här metoderna för att distribuera Microsofts efterlevnadstillägg.

Innan du börjar

Om du vill använda Microsofts efterlevnadstillägg måste enheten vara registrerad i slutpunkts-DLP:n. Läs de här artiklarna om du är nybörjare på DLP eller slutpunkts-DLP

• Mer information om Microsofts efterlevnadstillägg
• Mer information om dataförlustskydd
• Skapa, testa och justera en DLP-princip
• Skapa en DLP-princip från en mall
• Mer information om dataförlustskydd för slutpunkter
• Komma igång med dataförlustskydd för slutpunkter
• Registreringsverktyg och metoder för Windows 10-enheter
• Konfigurera enhetsproxy och internetanslutningsinställningar för informationsskydd
• Använda dataförlustskydd för slutpunkter

Licensiering av SKU/prenumerationer

Innan du börjar måste du bekräfta din Microsoft 365-prenumeration och eventuella tillägg. Om du vill komma åt och använda slutpunkts-DLP, måste du ha någon av dessa prenumerationer eller tillägg.

• Microsoft 365 E5
• Microsoft 365 A5 (EDU)
• Microsoft 365 E5 Compliance
• Microsoft 365 A5 Compliance
• Microsoft 365 E5 – Informationsskydd och styrning
• Microsoft 365 A5 – Informationsskydd och styrning

Detaljerad licensvägledning finns i Vägledning för säkerhet och efterlevnad med licensiering i Microsoft 365.

• Organisationen måste vara licensierad för slutpunkts-DLP
• Dina enheter måste köra Windows 10 x64 version 1809 eller senare.
• Enheten måste ha klientversion 4.18.2101.9 för program mot skadlig kod eller senare. Kontrollera din aktuella version genom att öppna Windows-säkerhet, välj ikonen Inställningar och välj sedan Om.

Behörigheter

Data från slutpunkts-DLP kan visas i Aktivitetsutforskaren. Det finns sju roller som ger behörighet till aktivitetsutforskaren. Kontot som du använder för att komma åt data måste vara medlem i någon av dem.

• Global administratör
• Efterlevnadsadministratör
• Säkerhetsadministratör
• Administratör för efterlevnadsdata
• Global läsare
• Säkerhetsläsare
• Rapportläsare

Övergripande installationsarbetsflöde

Distributionen av Microsofts efterlevnadstillägg är en process med flera faser. Du kan välja att installera på en dator i taget, använda Microsoft Endpoint Manager eller en grupprincip för organisationsomfattande distributioner.

1. Förbered dina enheter.
2. Grundläggande konfiguration av en dator med selfhost
3. Distribuera med Microsoft Endpoint Manager
4. Distribuera med grupprincip
5. Testa tillägget
6. Använda instrumentpanelen för hantering av aviseringar till att visa Chrome DLP-aviseringar
7. Visa Chrome DLP-data i aktivitetsutforskaren

Förbereda infrastrukturen

Om du distribuerar Microsofts efterlevnadstillägg till alla övervakade Windows 10-enheter, bör du ta bort Google Chrome från listan med otillåtna appar och listan med otillåtna webbläsare. Mer information finns i Otillåtna webbläsare. Om du bara distribuerar det till några få enheter kan du låta Chrome finnas kvar i listorna med otillåtna webbläsare eller appar. Microsofts efterlevnadstillägg kringgår begränsningarna i båda listorna för de datorer där det är installerat.

Förbereda dina enheter

1. Använd metoderna i följande avsnitt för att registrera dina enheter:
   1. Komma igång med dataförlustskydd för slutpunkter
   2. Onboarding Windows 10 och Windows 11-enheter
   3. Konfigurera enhetsproxy och internetanslutningsinställningar för informationsskydd

Grundläggande konfiguration av en dator med selfhost

Detta är den rekommenderade metoden.

1. Logga in på den Windows 10-dator där du vill installera Microsofts efterlevnadstillägg och kör PowerShell-skriptet som administratör.

   Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force
   

2. Gå till Microsofts efterlevnadstillägg – Chrome Web Store (google.com).

3. Installera tillägget med hjälp av anvisningarna på Chrome Web Store-sidan.

Distribuera med Microsoft Endpoint Manager

Använd konfigurationsmetoden vid distributioner till hela organisationen.

Aktivera det obligatoriska registervärdet via Microsoft Endpoint Manager

1. Skapa ett PowerShell-skript med följande innehåll:

   Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force
   

2. Logga in på Administrationscenter för Microsoft Endpoint Manager.

3. Gå till Enheter > Skript och välj Lägg till.

4. Bläddra till platsen för skriptet som skapades när du uppmanas till det.

5. Välj följande inställningar:

   1. Kör det här skriptet med de inloggade autentiseringsuppgifterna: NEJ
   2. Framtvinga signaturkontroll av skript: NEJ
   3. Kör skript i 64-bitars PowerShell-värd: JA

6. Välj enhetsgrupper och tillämpa principen.

Installera alltid med Microsoft Endpoint Manager

Innan du lägger till Microsofts efterlevnadstillägg i listan med tillägg som alltid installeras, är det viktigt att mata in Chrome ADMX. Stegen för den här processen i Microsoft Endpoint Manager har dokumenterats av Google: Hantera Chrome-webbläsaren med Microsoft Intune – Hjälp för Google Chrome Enterprise.

När du har matat in ADMX kan du följa stegen nedan för att skapa en konfigurationsprofil för tillägget.

1. Logga in på Administrationscenter för Microsoft Endpoint Manager (https://endpoint.microsoft.com).

2. Gå till konfigurationsprofilerna.

3. Välj Skapa profil.

4. Välj Windows 10 som plattform.

5. Välj Anpassad som profiltyp.

6. Välj fliken Inställningar.

7. Välj Lägg till.

8. Ange nedanstående principinformation.

   OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Chrome~Policy~googlechrome~Extensions/ExtensionInstallForcelist
   Datatyp: String
   Värde: <enabled/><data id="ExtensionInstallForcelistDesc" value="1&#xF000; echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx"/>

9. Klicka på Skapa.

Distribuera med grupprincip

Om du inte vill använda Microsoft Endpoint Manager kan du använda grupprinciper till att distribuera Microsofts efterlevnadstillägg i hela organisationen

1. Enheterna måste vara hanterbara via grupprincipen och du måste importera alla Chrome ADMX till den centrala lagringsplatsen för grupprincipen. Mer information finns i Skapa och hantera den centrala lagringsplatsen för grupprincipens administrativa mallar i Windows.

2. Skapa ett PowerShell-skript med PowerShell-kommandot:

   Get-Item -path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration" | New-ItemProperty -Name DlpDisableBrowserCache -Value 0 -Force
   

3. Öppna konsolen Grupprinciphantering och gå till din organisationsenhet.

4. Högerklicka och välj Skapa ett GPO på den här domänen och länka den här. När du uppmanas till det tilldelar du ett beskrivande namn till grupprincipobjektet (GPO) och slutför.

5. Högerklicka på GPO:et och välj Redigera.

6. Gå till Datorkonfiguration > Inställningar > Inställningar för Kontrollpanel > Schemalagda aktiviteter.

7. Skapa en ny omedelbar aktivitet genom att högerklicka och välja Nytt > Omedelbar aktivitet (minst Windows 7).

8. Ge uppgiften ett namn och en beskrivning.

9. Välj motsvarande konto för att köra den omedelbara aktiviteten, t.ex. NT Authority

10. Välj Kör med högsta behörighet.

11. Konfigurera principen för Windows 10.

12. På fliken Åtgärder väljer du åtgärden Starta ett program.

13. Ange sökvägen till det program/skript som skapades i steg 1.

14. Välj Använd.

Lägga till Chrome-tillägget i ForceInstall-listan

1. Gå till organisationsenheten i redigeringsprogrammet för grupprinciphantering.

2. Expandera följande sökväg Konfiguration av dator/användare > Principer > Administrativa mallar > Klassiska administrativa mallar > Google > Google Chrome > Tillägg. Sökvägen kan variera beroende på din konfiguration.

3. Välj Konfigurera listan med tillägg som alltid installeras.

4. Högerklicka och välj Redigera.

5. Välj Aktiverad.

6. Välj Visa.

7. Under Värde lägger du till följande post: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

8. Välj OK och sedan Använd.

Testa tillägget

Ladda upp till molntjänst eller åtkomst av otillåtna webbläsare med utgående moln

1. Skapa eller hämta ett känsligt objekt och försök att ladda upp en fil till någon av organisationens begränsade tjänstdomäner. Den känsliga datan måste matcha någon av våra inbyggda typer av känslig information, eller någon av organisationens typer av känslig information. Du bör få ett popup-meddelande från DLP:n på den enhet du testar från, som visar att åtgärden inte är tillåten när filen är öppen.

Testa andra DLP-scenarier i Chrome

Nu när du har tagit bort Chrome från listan med otillåtna webbläsare/appar kan du testa scenarierna nedan för att kontrollera att beteendet uppfyller organisationens krav:

• Kopiera data från ett känsligt objekt till ett annat dokument med hjälp av Urklipp
  • Testa genom att öppna en fil som är skyddad från att kopiera till Urklipp i webbläsaren Chrome och försök kopiera data från filen.
  • Förväntat resultat: Ett popup-meddelande från DLP om att åtgärden inte är tillåten när filen är öppen.
• Skriva ut ett dokument
  • Testa genom att öppna en fil som är skyddad mot utskriftsåtgärder i webbläsaren Chrome och försök att skriva ut filen.
  • Förväntat resultat: Ett popup-meddelande från DLP om att åtgärden inte är tillåten när filen är öppen.
• Kopiera till USB-flyttbart medium
  • Prova att spara filen i en flyttbar medielagring.
  • Förväntat resultat: Ett popup-meddelande från DLP om att åtgärden inte är tillåten när filen är öppen.
• Kopiera till en nätverksresurs
  • Prova att spara filen på en nätverksresurs.
  • Förväntat resultat: Ett popup-meddelande från DLP om att åtgärden inte är tillåten när filen är öppen.

Använda instrumentpanelen för hantering av aviseringar till att visa DLP-aviseringar för Chrome

1. Öppna sidan Dataförlustskydd i Microsoft 365 Efterlevnadscenter och välj Varningar.

2. Se metoderna i Konfigurera och visa aviseringar för DLP-principer om du vill se aviseringarna för slutpunkts-DLP:ns principer.

Visa Chrome DLP-data i aktivitetsutforskaren

1. Öppna sidan Dataklassificering för din domän i Microsoft 365 Efterlevnadscenter och välj Aktivitetsutforskaren.

2. Se metoderna i Kom igång med aktivitetsutforskaren för att komma åt och filtrera alla data för slutpunktsenheterna.

   

Kända problem och begränsningar

1. Användning av åsidosättning av blockering för utgående moln stöds inte.
2. Inkognitoläge stöds inte och måste vara inaktiverat.

Nästa steg

Nu när du har registrerat enheter och kan se aktivitetsdata i aktivitetsutforskaren, kan du gå vidare till nästa steg där du skapar DLP-principer som skyddar dina känsliga objekt.

• Använda dataförlustskydd för slutpunkter

Se även

• Mer information om dataförlustskydd för slutpunkt
• Använda dataförlustskydd för slutpunkter
• Mer information om dataförlustskydd
• Skapa, testa och justera en DLP-princip
• Kom igång med aktivitetsutforskaren
• Microsoft Defender för Endpoint
• Registreringsverktyg och metoder för Windows 10-enheter
• Microsoft 365-prenumeration
• Azure AD-anslutna enheter
• Ladda ned nya Microsoft Edge som baseras på Chromium