Mer information om dataförlustskydd för slutpunkter i Microsoft 365

Du kan använda dataförlustskyddet (DLP) i Microsoft 365 till att övervaka åtgärder som vidtas för objekt som du har fastställt vara känsliga och för att förhindra oavsiktlig delning av dessa objekt. Mer information om DLP finns i Mer information om dataförlustskydd.

Förhindrande av dataförlustskydd i Endpoint (Endpoint DLP) utökar aktivitetsövervakningen och skyddsfunktionerna i DLP för känsliga objekt som lagras fysiskt på Windows 10, Windows 11 och macOS-enheter (Catalina 10.15 och senare). När enheter har registrerats i efterlevnadslösningarna för Microsoft 365 blir informationen om vad användare gör med känsliga objekt synlig i aktivitetsutforskaren och du kan vidta skyddsåtgärder för dessa objekt via DLP-principer.

Tips

Om du letar efter enhetskontroll för flyttbara lagringsmedia läser du Microsoft Defender for Endpoint Device Control Removable Storage Access Control.

Anteckning

I Microsoft 365 Efterlevnad sker DLP-principutvärdering av känsliga objekt centralt, så det finns ingen tidsfördröjning för principer och principuppdateringar som ska distribueras till enskilda enheter. När en princip uppdateras i Efterlevnadscenter tar det vanligtvis ungefär en timme innan uppdateringarna synkroniseras i hela tjänsten. När principuppdateringarna har synkroniserats utvärderas objekt på målenheter igen automatiskt nästa gång de används eller ändras.

Slutpunktsaktiviteter som du kan övervaka och vidta åtgärder för

Med Microsoft Endpoint DLP kan du granska och hantera följande typer av aktiviteter som användare utför på känsliga objekt som lagras fysiskt på Windows 10-, windows 11- eller macOS-enheter.

Aktivitet Beskrivning Windows 10 1809 eller senare, Windows 11 macOS Catalina 10.15 (förhandsversion) Granskningsbar/begränsningsbar
ladda upp till molntjänst, eller ge åtkomst till otillåtna webbläsare Upptäcker när en användare försöker ladda upp ett objekt till en begränsad tjänstdomän eller öppna ett objekt via en webbläsare. Om en webbläsare används som anges i DLP som en otillåten webbläsare, blockeras uppladdningen och användaren omdirigeras till Microsoft Edge. Microsoft Eddge tillåter eller blockerar sedan uppladdningen eller åtkomsten baserat på DLP-principkonfigurationen stöds stöds granskningsbart och begränsningsbart
kopiera till en annan app Upptäcker när en användare försöker kopiera information från ett skyddat objekt och sedan klistra in den i en annan app, en annan process eller ett annat objekt. Att kopiera och klistra in information i samma app, process eller objekt identifieras inte av den här aktiviteten. stöds stöds granskningsbart och begränsningsbart
kopiera till USB-flyttbart medium Upptäcker när en användare försöker kopiera ett objekt eller information till ett flyttbart medium eller en USB-enhet. stöds stöds granskningsbart och begränsningsbart
kopiera till en nätverksresurs Upptäcker när en användare försöker kopiera ett objekt till en nätverksresurs eller en mappad nätverksenhet stöds stöds granskningsbart och begränsningsbart
skriva ut ett dokument Upptäcker när en användare försöker skriva ut ett skyddat objekt till en lokal skrivare eller en nätverksskrivare. stöds stöds granskningsbart och begränsningsbart
kopiera till en fjärrsession Upptäcker när en användare försöker kopiera ett objekt till en session för fjärrdatorer stöds stöds inte granskningsbart och begränsningsbart
kopiera till en Bluetooth-enhet Upptäcker när en användare försöker kopiera ett objekt till en otillåten Bluetooth-app (enligt definitionen i listan med otillåtna Bluetooth-appar i inställningarna för slutpunkts-DLP:n). stöds stöds inte granskningsbart och begränsningsbart
skapa ett objekt. Upptäcker när en användare skapar ett objekt stöds granskningsbart
byta namn på ett objekt Upptäcker när en användare byter namn på ett objekt stöds granskningsbart

Övervakade filer

Slutpunkts-DLP:n stöder övervakning av följande filtyper. DLP granskar aktiviteterna för dessa filtyper, även om det inte finns någon principmatchning.

  • Word-filer
  • PowerPoint-filer
  • Excel-filer
  • PDF-filer
  • .csv-filer
  • .tsv-filer
  • .txt-filer
  • .rtf-filer
  • .c-filer
  • .class-filer
  • .cpp-filer
  • .cs-filer
  • .h-filer
  • .java-filer

Om du bara vill övervaka data från principmatchningar kan du stänga av Granska alltid filaktivitet för enheter i de globala inställningarna för slutpunkts-DLP:n.

Anteckning

Om inställningen Granska alltid filaktivitet för enheter är aktiverad granskas alltid aktiviteter i en Word-, PowerPoint-, Excel-, PDF- och CSV-fil även om enheten inte omfattas av någon princip.

Tips

För att säkerställa att aktiviteter granskas för alla filtyper som stöds skapar du en anpassad DLP-princip.

Slutpunkts-DLP:n övervakar aktivitet baserat på MIME-typ, så aktiviteterna samlas in även om filtillägget ändras.

Vad är annorlunda i slutpunkts-DLP?

Det finns några fler begrepp som du behöver känna till innan du fördjupar dig i slutpunkts-DLP:n.

Aktivera enhetshantering

Enhetshantering är den funktion som samlar in telemetri från enheter och matar in den i Microsoft 365-efterlevnadslösningar som slutpunkts-DLP och hantering av interna risker. Du måste registrera alla enheter som ska användas som platser i DLP-principerna.

aktivera enhetshantering.

Registrering och avregistrering hanteras via skript som du hämtar från Enhetshanteringscenter. Centret har anpassade skript för var och en av dessa distributionsmetoder:

  • lokalt skript (upp till 10 datorer)
  • Grupprincip
  • System Center Configuration Manager (version 1610 eller senare)
  • Hantering av mobila enheter/Microsoft Intune
  • VDI-registreringsskript för icke-beständiga datorer

enhetsregistreringssida.

Använd procedurerna i Komma igång med slutpunkts-DLP i Microsoft 365 för att registrera enheter.

Om du har registrerat enheter via Microsoft Defender för Endpoint visas de enheterna automatiskt i listan med enheter. Du kan aktivera enhetsövervakning om du vill använda slutpunkt DLP.

lista med hanterade enheter.

Visa data för slutpunkts-DLP

Du kan se aviseringar om DLP-principer som tillämpas på slutpunktsenheter genom att gå till instrumentpanelen för hantering av DLP-aviseringar.

Aviseringsinformation.

Du kan också se information om den associerade händelsen med omfattande metadata i samma instrumentpanel

händelseinformation.

När en enhet har registrerats flödar information om granskade aktiviteter till aktivitetsutforskaren redan innan du har konfigurerat och distribuerat DLP-principer som har enheter som en plats.

händelser för slutpunkts-DLP i aktivitetsutforskaren.

Slutpunkts-DLP:n samlar in omfattande information om den granskade aktiviteten.

Om en fil till exempel kopieras till ett flyttbart USB-medium visas följande attribut i aktivitetsinformationen:

  • aktivitetstyp
  • klient-IP
  • sökväg till målfil
  • tidsstämpel
  • filnamn
  • användare
  • filtillägg
  • filstorlek
  • typ av känslig information (om tillämpligt)
  • sha1-värde
  • sha256-värde
  • tidigare filnamn
  • plats
  • överordnad
  • filsökväg
  • källplatstyp
  • plattform
  • enhetsnamn
  • målplatstyp
  • program som utförde kopian
  • Enhets-ID till Microsoft Defender för Endpoint (om tillämpligt)
  • tillverkare av flyttbar medieenhet
  • modell för flyttbar medieenhet
  • serienummer för flyttbar medieenhet

kopiera till USB-aktivitetsattribut.

Nästa steg

Nu när du har lärt dig mer om slutpunkts-DLP är nästa steg:

  1. Registrera Windows 10- eller Windows 11-enheter i Microsoft 365 översikt
  2. Registrera macOS-enheter i Microsoft 365 översikt (förhandsversion)
  3. Använda Microsofts dataförlustskydd för slutpunkter

Se även