Mer information om dataförlustskydd för slutpunkter i Microsoft 365
Du kan använda dataförlustskyddet (DLP) i Microsoft 365 till att övervaka åtgärder som vidtas för objekt som du har fastställt vara känsliga och för att förhindra oavsiktlig delning av dessa objekt. Mer information om DLP finns i Mer information om dataförlustskydd.
Förhindrande av dataförlustskydd i Endpoint (Endpoint DLP) utökar aktivitetsövervakningen och skyddsfunktionerna i DLP för känsliga objekt som lagras fysiskt på Windows 10, Windows 11 och macOS-enheter (Catalina 10.15 och senare). När enheter har registrerats i efterlevnadslösningarna för Microsoft 365 blir informationen om vad användare gör med känsliga objekt synlig i aktivitetsutforskaren och du kan vidta skyddsåtgärder för dessa objekt via DLP-principer.
Tips
Om du letar efter enhetskontroll för flyttbara lagringsmedia läser du Microsoft Defender for Endpoint Device Control Removable Storage Access Control.
Anteckning
I Microsoft 365 Efterlevnad sker DLP-principutvärdering av känsliga objekt centralt, så det finns ingen tidsfördröjning för principer och principuppdateringar som ska distribueras till enskilda enheter. När en princip uppdateras i Efterlevnadscenter tar det vanligtvis ungefär en timme innan uppdateringarna synkroniseras i hela tjänsten. När principuppdateringarna har synkroniserats utvärderas objekt på målenheter igen automatiskt nästa gång de används eller ändras.
Slutpunktsaktiviteter som du kan övervaka och vidta åtgärder för
Med Microsoft Endpoint DLP kan du granska och hantera följande typer av aktiviteter som användare utför på känsliga objekt som lagras fysiskt på Windows 10-, windows 11- eller macOS-enheter.
| Aktivitet | Beskrivning | Windows 10 1809 eller senare, Windows 11 | macOS Catalina 10.15 (förhandsversion) | Granskningsbar/begränsningsbar |
|---|---|---|---|---|
| ladda upp till molntjänst, eller ge åtkomst till otillåtna webbläsare | Upptäcker när en användare försöker ladda upp ett objekt till en begränsad tjänstdomän eller öppna ett objekt via en webbläsare. Om en webbläsare används som anges i DLP som en otillåten webbläsare, blockeras uppladdningen och användaren omdirigeras till Microsoft Edge. Microsoft Eddge tillåter eller blockerar sedan uppladdningen eller åtkomsten baserat på DLP-principkonfigurationen | stöds | stöds | granskningsbart och begränsningsbart |
| kopiera till en annan app | Upptäcker när en användare försöker kopiera information från ett skyddat objekt och sedan klistra in den i en annan app, en annan process eller ett annat objekt. Att kopiera och klistra in information i samma app, process eller objekt identifieras inte av den här aktiviteten. | stöds | stöds | granskningsbart och begränsningsbart |
| kopiera till USB-flyttbart medium | Upptäcker när en användare försöker kopiera ett objekt eller information till ett flyttbart medium eller en USB-enhet. | stöds | stöds | granskningsbart och begränsningsbart |
| kopiera till en nätverksresurs | Upptäcker när en användare försöker kopiera ett objekt till en nätverksresurs eller en mappad nätverksenhet | stöds | stöds | granskningsbart och begränsningsbart |
| skriva ut ett dokument | Upptäcker när en användare försöker skriva ut ett skyddat objekt till en lokal skrivare eller en nätverksskrivare. | stöds | stöds | granskningsbart och begränsningsbart |
| kopiera till en fjärrsession | Upptäcker när en användare försöker kopiera ett objekt till en session för fjärrdatorer | stöds | stöds inte | granskningsbart och begränsningsbart |
| kopiera till en Bluetooth-enhet | Upptäcker när en användare försöker kopiera ett objekt till en otillåten Bluetooth-app (enligt definitionen i listan med otillåtna Bluetooth-appar i inställningarna för slutpunkts-DLP:n). | stöds | stöds inte | granskningsbart och begränsningsbart |
| skapa ett objekt. | Upptäcker när en användare skapar ett objekt | stöds | granskningsbart | |
| byta namn på ett objekt | Upptäcker när en användare byter namn på ett objekt | stöds | granskningsbart |
Övervakade filer
Slutpunkts-DLP:n stöder övervakning av följande filtyper. DLP granskar aktiviteterna för dessa filtyper, även om det inte finns någon principmatchning.
- Word-filer
- PowerPoint-filer
- Excel-filer
- PDF-filer
- .csv-filer
- .tsv-filer
- .txt-filer
- .rtf-filer
- .c-filer
- .class-filer
- .cpp-filer
- .cs-filer
- .h-filer
- .java-filer
Om du bara vill övervaka data från principmatchningar kan du stänga av Granska alltid filaktivitet för enheter i de globala inställningarna för slutpunkts-DLP:n.
Anteckning
Om inställningen Granska alltid filaktivitet för enheter är aktiverad granskas alltid aktiviteter i en Word-, PowerPoint-, Excel-, PDF- och CSV-fil även om enheten inte omfattas av någon princip.
Tips
För att säkerställa att aktiviteter granskas för alla filtyper som stöds skapar du en anpassad DLP-princip.
Slutpunkts-DLP:n övervakar aktivitet baserat på MIME-typ, så aktiviteterna samlas in även om filtillägget ändras.
Vad är annorlunda i slutpunkts-DLP?
Det finns några fler begrepp som du behöver känna till innan du fördjupar dig i slutpunkts-DLP:n.
Aktivera enhetshantering
Enhetshantering är den funktion som samlar in telemetri från enheter och matar in den i Microsoft 365-efterlevnadslösningar som slutpunkts-DLP och hantering av interna risker. Du måste registrera alla enheter som ska användas som platser i DLP-principerna.

Registrering och avregistrering hanteras via skript som du hämtar från Enhetshanteringscenter. Centret har anpassade skript för var och en av dessa distributionsmetoder:
- lokalt skript (upp till 10 datorer)
- Grupprincip
- System Center Configuration Manager (version 1610 eller senare)
- Hantering av mobila enheter/Microsoft Intune
- VDI-registreringsskript för icke-beständiga datorer

Använd procedurerna i Komma igång med slutpunkts-DLP i Microsoft 365 för att registrera enheter.
Om du har registrerat enheter via Microsoft Defender för Endpoint visas de enheterna automatiskt i listan med enheter. Du kan aktivera enhetsövervakning om du vill använda slutpunkt DLP.

Visa data för slutpunkts-DLP
Du kan se aviseringar om DLP-principer som tillämpas på slutpunktsenheter genom att gå till instrumentpanelen för hantering av DLP-aviseringar.

Du kan också se information om den associerade händelsen med omfattande metadata i samma instrumentpanel

När en enhet har registrerats flödar information om granskade aktiviteter till aktivitetsutforskaren redan innan du har konfigurerat och distribuerat DLP-principer som har enheter som en plats.

Slutpunkts-DLP:n samlar in omfattande information om den granskade aktiviteten.
Om en fil till exempel kopieras till ett flyttbart USB-medium visas följande attribut i aktivitetsinformationen:
- aktivitetstyp
- klient-IP
- sökväg till målfil
- tidsstämpel
- filnamn
- användare
- filtillägg
- filstorlek
- typ av känslig information (om tillämpligt)
- sha1-värde
- sha256-värde
- tidigare filnamn
- plats
- överordnad
- filsökväg
- källplatstyp
- plattform
- enhetsnamn
- målplatstyp
- program som utförde kopian
- Enhets-ID till Microsoft Defender för Endpoint (om tillämpligt)
- tillverkare av flyttbar medieenhet
- modell för flyttbar medieenhet
- serienummer för flyttbar medieenhet

Nästa steg
Nu när du har lärt dig mer om slutpunkts-DLP är nästa steg:
- Registrera Windows 10- eller Windows 11-enheter i Microsoft 365 översikt
- Registrera macOS-enheter i Microsoft 365 översikt (förhandsversion)
- Använda Microsofts dataförlustskydd för slutpunkter