Använda Dataförlustskydd för slutpunktUsing Endpoint data loss prevention

Den här artikeln beskriver tre scenarier där du skapar och ändrar en DLP-princip som använder enheter som plats.This article walks you through three scenarios where you create and modify a DLP policy that uses devices as a location.

DLP-inställningarDLP settings

Innan du börjar bör du konfigurera DLP-inställningarna som tillämpas för alla DLP-principer för enheter.Before you get started you should set up your DLP settings which are applied to all DLP policies for devices. Du måste konfigurera dessa om du tänker skapa principer som tillämpar:You must configure these if you intend to create policies that enforce:

  • begränsningar för utgående molncloud egress restrictions
  • begränsningar för otillåtna apparunallowed apps restrictions

EllerOr

  • Om du vill utesluta störande filsökvägar från övervakningIf you want to exclude noisy file paths from monitoring

    DLP-inställningarDLP settings

SökvägsundantagFile path exclusions

Du kanske vill utesluta vissa sökvägar från DLP-övervakning, DLP-aviseringar och tillämpning av DLP-principen på dina enheter eftersom de är för störande eller inte innehåller filer som du är intresserad av.You may want to exclude certain paths from DLP monitoring, DLP alerting, and DLP policy enforcement on your devices because they are too noisy or don’t contain files you are interested in. Filer på dessa platser granskas inte och filer som skapas eller ändras på dessa platser omfattas inte av tillämpningen av DLP-principen.Files in those locations will not be audited and any files that are created or modified in those locations will not be subject to DLP policy enforcement. Du kan konfigurera sökvägsundantag i DLP-inställningarna.You can configure path exclusions in DLP settings.

Du kan använda den här logiken för att skapa undantagssökvägarna:You can use this logic to construct your exclusion paths:

  • Giltig sökväg som slutar med ”\”, vilket innebär endast filer direkt under mappen.Valid file path that ends with ‘\’, which means only files directly under folder.
    Till exempel: C:\TempFor example: C:\Temp\

  • Giltig sökväg som slutar med ”*”, vilket innebär endast filer under undermappar, förutom filerna direkt under mappen.Valid file path that ends with ‘*’, which means only files under sub-folders, besides the files directly under the folder.
    Till exempel: C:\Temp*For example: C:\Temp*

  • Giltig sökväg som slutar utan ”\” eller ”*”, vilket innebär alla filer direkt under mappen och alla undermappar.Valid file path that ends without ‘\’ or ‘*’, which means all files directly under folder and all sub-folders.
    Till exempel: C:\TempFor example: C:\Temp

  • En sökväg med jokertecken mellan ”\” på varje sida.A path with wildcard between ‘\’ from each side.
    Till exempel: C:\Users*\DesktopFor example: C:\Users*\Desktop\

  • En sökväg med jokertecken mellan ”\” på varje sida och med ”(siffra)” för att ge exakt antal undermappar.A path with wildcard between ‘\’ from each side and with ‘(number)’ to give exact number of subfolders.
    Till exempel: C:\Users*(1)\DownloadsFor example: C:\Users*(1)\Downloads\

  • En sökväg med SYSTEM-miljövariabler.A path with SYSTEM environment variables.
    Till exempel: %SystemDrive%\Test*For example: %SystemDrive%\Test*

  • En blandning av ovanstående alternativ.A mix of all the above.
    Till exempel: %SystemDrive%\Users*\Documents*(2)\SubFor example: %SystemDrive%\Users*\Documents*(2)\Sub\

Otillåtna apparUnallowed apps

När en princips inställning för åtkomst via appar och webbläsare som inte tillåts är aktiverad och användare försöker använda apparna för att få åtkomst till en skyddad fil kommer aktiviteten att tillåtas, blockeras eller blockeras med möjlighet för användare att åsidosätta begränsningen.When a policy's Access by unallowed apps and browsers setting is turned on and users attempt to use these apps to access a protected file, the activity will be allowed, blocked, or blocked but users can override the restriction. Alla aktiviteter granskas och är tillgängliga för granskning i aktivitetsutforskaren.All activity is audited and available to review in activity explorer.

Viktigt

Ta inte med sökvägen för den körbara filen utan bara den körbara filens namn (till exempel browser.exe).Do not include the path to the executable, but only the executable name (such as browser.exe).

Bluetooth-appar som inte tillåtsUnallowed Bluetooth apps

Hindra andra från att överföra filer som skyddas av dina principer via specifika Bluetooth-appar.Prevent people from transferring files protected by your policies via specific Bluetooth apps.

Begränsningar för webbläsare och domänerBrowser and domain restrictions

Begränsa känsliga filer som matchar dina principer från att delas med obegränsade molntjänstdomäner.Restrict sensitive files that match your policies from being shared with unrestricted cloud service domains.

TjänstdomänerService domains

Du kan styra om känsliga filer som skyddas av dina principer kan laddas upp till specifika tjänstdomäner från Microsoft Edge.You can control whether sensitive files protected by your policies can be uploaded to specific service domains from Microsoft Edge.

Om listläget är inställt på Blockera kan användaren inte ladda upp känsliga objekt till dessa domäner.If the list mode is set to Block, then user will not be able to upload sensitive items to those domains. När en uppladdningsåtgärd blockeras på grund av att ett objekt matchar en DLP-princip genererar DLP antingen en varning eller blockerar uppladdningen av det känsliga objektet.When an upload action is blocked because an item matches a DLP policy, DLP will either generate a warning or block the upload of the sensitive item.

Om listläget är inställt på Tillåt kan användarna bara ladda upp känsliga objekt till de domänerna, och uppladdningsåtkomst till alla andra domäner tillåts inte.If the list mode is set to Allow, then users will be able to upload sensitive items only to those domains, and upload access to all other domains is not allowed.

Viktigt

När tjänstens begränsningsläge är inställd på ”Tillåt” måste du ha minst en tjänstdomän konfigurerad innan begränsningarna tillämpas.When the service restriction mode is set to "Allow", you must have at least one service domain configured before restrictions are enforced.

Otillåtna webbläsareUnallowed browsers

Du lägger till webbläsare, som identifieras av sina körbara filnamn, som blockeras från att komma åt filer som matchar villkoren för en tillämpad DLP-princip där begränsningen för uppladdning till molntjänster är inställd på blockering eller blockering och åsidosättning.You add browsers, identified by their executable names, that will be blocked from accessing files that match the conditions of an enforced a DLP policy where the upload to cloud services restriction is set to block or block override. När dessa webbläsare blockeras från att komma åt en fil får slutanvändarna ett popup-meddelande om att de ska öppna filen via Microsoft Edge Chromium.When these browsers are blocked from accessing a file, the end users will see a toast notification asking them to open the file through Edge Chromium.

Affärsmotivering i principtipsBusiness justification in policy tips

Du kan styra hur användare interagerar med alternativet för affärsmotivering i DLP-principtipsmeddelanden.You can control how users interact with the business justification option in DLP policy tip notifications. Det här alternativet visas när användare utför en aktivitet som skyddas av inställningen Blockera med åsidosättning i en DLP-princip.This option appears when users perform an activity that's protected by the Block with override setting in a DLP policy. Du kan välja bland följande alternativ:You can choose from one the following options:

  • Som standard kan användare välja antingen en inbyggd motivering eller ange egen text.By default, users can select either a built-in justification, or enter their own text.
  • Användare kan bara välja en inbyggd motivering.Users can only select a built-in justification.
  • Användare kan bara ange en egen motivering.Users can only enter their own justification.

Granska alltid filaktivitet för enheterAlways audit file activity for devices

När enheter är integrerade granskas som standard aktivitet för Office-, PDF- och CSV-filer automatiskt och blir tillgängliga för granskning i Aktivitetsutforskaren.By default, when devices are onboarded, activity for Office, PDF, and CSV files is automatically audited and available for review in activity explorer. Inaktivera den här funktionen om du vill att aktiviteten bara ska granskas när integrerade enheter ingår i en aktiv princip.Turn this feature off if you want this activity to be audited only when onboarded devices are included in an active policy.

Filaktivitet granskas alltid för integrerade enheter, oavsett om de ingår i en aktiv princip eller inte.File activity will always be audited for onboarded devices, regardless of whether they are included in an active policy.

Binda samman DLP-inställningarTying DLP settings together

Med DLP för slutpunkt och Microsoft Edge Chromium-webbläsaren kan du begränsa oavsiktlig delning av känsliga objekt till otillåtna molnappar och tjänster.With Endpoint DLP and Edge Chromium Web browser, you can restrict unintentional sharing of sensitive items to unallowed cloud apps and services. Microsoft Edge Chromium vet när ett objekt begränsas av en DLP-princip för slutpunkt och tillämpar åtkomstbegränsningar.Edge Chromium understands when an item is restricted by an Endpoint DLP policy and enforces access restrictions.

Om du använder DLP för slutpunkt som en plats i en korrekt konfigurerad DLP-princip och Microsoft Edge Chromium-webbläsaren förhindras de otillåtna webbläsare som du har definierat i de här inställningarna från att komma åt känsliga objekt som matchar dina DLP-principkontroller.When you use Endpoint DLP as a location in a properly configured DLP policy and the Edge Chromium browser, the unallowed browsers that you've defined in these settings will be prevented from accessing the sensitive items that match your DLP policy controls. Istället omdirigeras användarna till att använda Microsoft Edge Chromium och Microsoft Edge Chromium, som med sin förståelse av DLP-införda begränsningar kan blockera eller begränsa aktiviteter när villkoren i DLP-principen uppfylls.Instead, users will be redirected to use Edge Chromium and Edge Chromium, with its understanding of DLP imposed restrictions, can block or restrict activities when the conditions in the DLP policy are met.

För att använda den här begränsningen måste du konfigurera tre viktiga delar:To use this restriction you’ll need to configure three important pieces:

  1. Ange platser – tjänster, domäner, IP-adresser – som du vill förhindra att känsliga objekt delas till.Specify the places – services, domains, IP addresses – that you want to prevent sensitive items from being shared to.

  2. Lägg till de webbläsare som inte tillåts komma åt vissa känsliga objekt när en DLP-principmatchning inträffar.Add the browsers that aren’t allowed to access certain sensitive items when a DLP policy match occurs.

  3. Konfigurera DLP-principer för att definiera typerna av känsliga objekt vars uppladdning ska begränsas till endast dessa platser genom att aktivera alternativet för att ladda upp till molntjänster och åtkomst av otillåten webbläsare.Configure DLP policies to define the kinds of sensitive items for which upload should be restricted to these places by turning on Upload to cloud services and Access from unallowed browser.

Du kan fortsätta att lägga till nya tjänster, program och principer för att utöka begränsningarna så att de uppfyller verksamhetens behov och skyddar känsliga data.You can continue to add new services, apps, and policies to extend and augment your restrictions to meet your business needs and protect sensitive data.

Den här konfigurationen säkerställer att dina data förblir säkra samtidigt som du undviker onödiga begränsningar som förhindrar eller begränsar användare från att komma åt och dela icke-känsliga objekt.This configuration will help ensure your data remains safe while also avoiding unnecessary restrictions that prevent or restrict users from accessing and sharing non-sensitive items.

Scenarier för DLP-principer för slutpunktEndpoint DLP policy scenarios

För att bekanta dig med DLP-funktioner för slutpunkt, och hur de visar sig i DLP-principer, har vi skapat scenarier som du kan följa.To help familiarize you with Endpoint DLP features and how they surface in DLP policies, we've put together some scenarios for you to follow.

Viktigt

De här DLP-scenarierna för slutpunkt är inte officiella procedurer för att skapa och justera DLP-principer.These Endpoint DLP scenarios are not the official procedures for creating and tuning DLP policies. Läs följande avsnitt om du behöver arbeta med DLP-principer i allmänna situationer:Refer to the below topics when you need to work with DLP policies in general situations:

Scenario 1: Skapa en princip från en mall, endast granskningScenario 1: Create a policy from a template, audit only

De här scenarierna kräver att du redan har enheter som har registrerats och rapporterar till aktivitetsutforskaren.These scenarios require that you already have devices onboarded and reporting into Activity explorer. Om du inte har registrerat enheter än kan du läsa mer i Komma igång med dataförlustskydd för slutpunkter.If you haven't onboarded devices yet, see Get started with Endpoint data loss prevention.

  1. Öppna sidan Dataförlustskydd.Open the Data loss prevention page.

  2. Välj Skapa princip.Choose Create policy.

  3. I det här scenariot väljer du Sekretess och Amerikanska PII-data (personligt identifierbar information), och väljer sedan Nästa.For this scenario, choose Privacy, then U.S. Personally Identifiable Information (PII) Data and choose Next.

  4. Inaktivera fältet Status för alla platser utom Enheter.Toggle the Status field to off for all locations except Devices. Välj Nästa.Choose Next.

  5. Acceptera standardalternativet för att granska och anpassa inställningarna från mallen och välj Nästa.Accept the default Review and customize settings from the template selection and choose Next.

  6. Acceptera standardvärdena för Skyddsåtgärder och välj Nästa.Accept the default Protection actions values and choose Next.

  7. Välj Granska eller begränsa aktiviteter på Windows-enheter och låt åtgärderna vara inställda på Granska endast.Select Audit or restrict activities on Windows devices and leave the actions set to Audit only. Välj Nästa.Choose Next.

  8. Acceptera standardvärdet Jag vill testa först och välj Visa principtips när testläge används.Accept the default I'd like to test it out first value and choose Show policy tips while in test mode. Välj Nästa.Choose Next.

  9. Granska inställningarna och välj Skicka.Review your settings and choose Submit.

  10. Den nya DLP-principen visas i principlistan.The new DLP policy will appear in the policy list.

  11. Sök efter data från de övervakade slutpunkterna i aktivitetsutforskaren.Check Activity explorer for data from the monitored endpoints. Ange platsfiltret för enheter och lägg till principen. Filtrera sedan efter principnamn om du vill se den här principens påverkan.Set the location filter for devices and add the policy, then filter by policy name to see the impact of this policy. Du kan läsa mer i Kom igång med aktivitetsutforskaren om det behövs.See, Get started with activity explorer if needed.

  12. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

  13. Sök efter händelsen i aktivitetsutforskaren.Check Activity explorer for the event.

Scenario 2: Ändra den befintliga principen, ange en aviseringScenario 2: Modify the existing policy, set an alert

  1. Öppna sidan Dataförlustskydd.Open the Data loss prevention page.

  2. Välj principen Amerikanska PII-data (personligt identifierbar information) som du skapade i det första scenariot.Choose the U.S. Personally Identifiable Information (PII) Data policy that you created in scenario 1.

  3. Välj Redigera princip.Choose edit policy.

  4. Gå till sidan Avancerade DLP-regler och redigera alternativet för En liten mängd innehåll upptäcktes. USA:s PII.Go to the Advanced DLP rules page and edit the Low volume of content detected U.S. Personally Identifiable Inf.

  5. Bläddra ned till avsnittet Incidentrapporter och ställ in Skicka en varning till administratörer när en regelmatchning inträffar.Scroll down to the Incident reports section and set Send an alert to admins when a rule match occurs to On. E-postaviseringar skickas automatiskt till administratören och alla andra du lägger till i listan över mottagare.Email alerts will be automatically sent to the administrator and anyone else you add to the list of recipients.

    turn-on-incident-reportsturn-on-incident-reports

  6. Välj Skicka en avisering varje gång en aktivitet matchar regeln för det här scenariot.For the purposes of this scenario, choose Send alert every time an activity matches the rule.

  7. Välj Spara.Choose Save.

  8. Behåll alla tidigare inställningar genom att välja Nästa och Skicka sedan principändringarna.Retain all your previous settings by choosing Next and then Submit the policy changes.

  9. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

  10. Sök efter händelsen i aktivitetsutforskaren.Check Activity explorer for the event.

Scenario 3: Ändra den befintliga principen, blockera åtgärden med tillåten åsidosättningScenario 3: Modify the existing policy, block the action with allow override

  1. Öppna sidan Dataförlustskydd.Open the Data loss prevention page.

  2. Välj principen Amerikanska PII-data (personligt identifierbar information) som du skapade i det första scenariot.Choose the U.S. Personally Identifiable Information (PII) Data policy that you created in scenario 1.

  3. Välj Redigera princip.Choose edit policy.

  4. Gå till sidan Avancerade DLP-regler och redigera alternativet för En liten mängd innehåll upptäcktes. USA:s PII.Go to the Advanced DLP rules page and edit the Low volume of content detected U.S. Personally Identifiable Inf.

  5. Bläddra ned till avsnittet Granska eller begränsa aktiviteter på Windows-enheter. För varje aktivitet anger du motsvarande åtgärd till Blockera med åsidosättning.Scroll down to the Audit or restrict activities on Windows device section and for each activity set the corresponding action to Block with override.

    ange åtgärd för att blockera med åsidosättningset block with override action

  6. Välj Spara.Choose Save.

  7. Upprepa steg 4–7 för En stor mängd innehåll upptäcktes. USA:s PII.Repeat steps 4-7 for the High volume of content detected U.S. Personally Identifiable Inf.

  8. Behåll alla tidigare inställningar genom att välja Nästa och Skicka sedan principändringarna.Retain all your previous settings by choosing Next and then Submit the policy changes.

  9. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.Attempt to share a test that contains content that will trigger the U.S. Personally Identifiable Information (PII) Data condition with someone outside your organization. This should trigger the policy.

    Ett popup-fönster som det här visas på klientenheten:You'll see a popup like this on the client device:

    blockeringsmeddelande med åsidosättning i klienten för dlp för slutpunktendpoint dlp client blocked override notification

  10. Sök efter händelsen i aktivitetsutforskaren.Check Activity explorer for the event.

Se ävenSee also