Använda Dataförlustskydd för slutpunkt

Den här artikeln beskriver fyra scenarier där du skapar och ändrar en DLP-princip som använder enheter som plats.

DLP-inställningar

Innan du sätter igång bör du konfigurera DLP-inställningarna. Inställningar på alla DLP-principer för enheter. Du måste konfigurera dessa om du tänker skapa principer som tillämpar:

  • begränsningar för utgående moln
  • begränsningar för otillåtna appar

Eller

  • Om du vill utesluta störande filsökvägar från övervakning

    DLP-inställningar.

Slutpunkt DLP Windows 10/11 och macOS-inställningar

Inställning Windows 10, 1809 eller senare, Windows 11 macOS Catalina 10.15 eller senare (förhandsversion) Anteckningar
Sökvägsundantag Stöds Stöds macOS innehåller en rekommenderad lista över undantag som är på som standard
Otillåtna appar Stöds Stöds
Bluetooth-appar som inte tillåts Stöds Stöds inte
Begränsningar för webbläsare och domäner för känsliga objekt Stöds Stöds
Ytterligare inställningar för Slutpunkt DLP Stöds Stöds Endast standardaffärsmotiveringar stöds för macOS-enheter
Granska alltid filaktivitet för enheter Stöds Stöds
Sätt filer i karantän automatiskt från appar som inte är tillåtna Stöds Stöds inte
Avancerad klassificering Stöds Stöds inte
Affärsmotivering i principtips Stöds Stöds

Avancerad klassificeringsgenomsökning och avancerat skydd

Avancerad klassificeringsgenomsökning och -skydd gör det möjligt för den mer avancerade Microsoft 365 molnbaserade dataklassificeringstjänsten att skanna objekt, klassificera dem och returnera resultaten till den lokala datorn. Det innebär att du kan dra nytta av exakta datamatchning klassificering, namngivna entiteter (förhandsversion) klassificeringstekniker i dina DLP-principer.

I avancerad klassificering skickas innehåll från den lokala enheten till molntjänsterna för genomsökning och klassificering. Om bandbreddsutnyttjande är ett orosmoment kan du ange en gräns i den här globala inställningen som tillämpas per enhet på hur mycket som kan användas under en rullande 24-timmarsperiod. Om du anger en bandbreddsanvändningsgräns och den överskrids slutar DLP att skicka användarinnehållet till molnet och dataklassificeringen fortsätter lokalt på enheten. När den kumulativa bandbreddsanvändningen sjunker under den rullande 24-timmarsgränsen återupptas kommunikationen med molntjänsterna.

Om bandbreddsanvändning inte är ett problem kan du inte ange en gräns och tillåta obegränsad användning.

Dessa Windows-versioner stöder avancerad klassificeringsgenomsökning och skydd:

  • Windows 10 version 20H1/20H2/21H1 (KB 5006738)
  • Windows 10 version 19H1/19H2 (KB 5007189)
  • Windows 10 RS5 (KB 5006744)

Anteckning

Stöd för avancerad klassificering är tillgängligt för Office-filtyper (Word, Excel, PowerPoint) och PDF-filtyper.

Anteckning

Utvärdering av DLP-princip uppstår alltid i molnet, även om användarinnehåll inte skickas.

Sökvägsundantag

Öppna Efterlevnadscenter > Dataförlustskydd > DLP-inställningar för slutpunkt > Filsökvägsundantag.

Du kanske vill utesluta vissa sökvägar från DLP-övervakning, DLP-aviseringar och tillämpning av DLP-principen på dina enheter eftersom de är för störande eller inte innehåller filer som du är intresserad av. Filer på dessa platser granskas inte och filer som skapas eller ändras på dessa platser omfattas inte av tillämpningen av DLP-principen. Du kan konfigurera sökvägsundantag i DLP-inställningarna.

Windows 10-enheter

Du kan använda den här logiken till att konstruera dina undantagssökvägar för Windows 10 enheter:

  • Giltig sökväg som slutar med \, vilket innebär endast filer direkt under mappen.
    Till exempel: C:\Temp\

  • Giltig sökväg som slutar med \*, vilket innebär endast filer under undermappar, förutom filerna direkt under mappen.
    Till exempel: C:\Temp\*

  • Giltig sökväg som slutar utan \ eller \*, vilket innebär alla filer direkt under mappen och alla undermappar.
    Till exempel: C:\Temp

  • En sökväg med jokertecken mellan \ på båda sidor.
    Till exempel: C:\Users\*\Desktop\

  • En sökväg med jokertecken mellan \ på båda sidor och med (number) som ger exakt antal undermappar.
    Till exempel: C:\Users\*(1)\Downloads\

  • En sökväg med SYSTEM-miljövariabler.
    Till exempel: %SystemDrive%\Test\*

  • En blandning av ovanstående alternativ.
    Till exempel: %SystemDrive%\Users\*\Documents\*(2)\Sub\

macOS-enheter (förhandsversion)

På samma sätt som Windows 10 enheter kan du lägga till egna undantag för macOS-enheter.

  • Filsökvägsdefinitioner är ofta okänsliga, så User är samma som user.

  • Jokerteckenvärden stöds. En sökvägsdefinition kan därför innehålla en * i mitten av sökvägen eller i slutet av sökvägen. Till exempel: /Users/*/Library/Application Support/Microsoft/Teams/*

Av prestandaskäl innehåller slutpunkts-DLP en lista över rekommenderade filsökvägsundantag för macOS-enheter. Dessa undantag är aktiverade som standard. Du kan inaktivera dem om du vill genom att växla Ta med rekommenderade filsökvägsundantag för Mac. Listan innehåller:

  • /Program/*
  • /System/*
  • /usr/*
  • /Bibliotek/*
  • /private/*
  • /opt/*
  • /Användare//Bibliotek/Programstöd/Microsoft/Teams/

Otillåtna appar

Otillåtna appar är en lista över program som du skapar och som inte kommer att ha åtkomst till en DLP-skyddad fil. Det är tillgängligt för Windows 10- och macOS-enheter (förhandsversion).

När principinställningen Åtkomst via appar som inte tillåts är aktiverad och en app som finns på listan för otillåtna appar försöker få åtkomst till en skyddad fil, så tillåts aktiviteten, blockeras eller blockeras men användare kan åsidosätta begränsningen. Alla aktiviteter granskas och är tillgängliga för granskning i aktivitetsutforskaren.

Viktigt

Ta inte med sökvägen för den körbara filen utan bara den körbara filens namn (till exempel browser.exe).

macOS-enheter (förhandsversion)

Precis som på Windows-enheter kan du nu förhindra att macOS-appar får åtkomst till känsliga data genom att definiera dem i listan Otillåtna appar.

Anteckning

Observera att plattformsoberoende appar måste anges med sina unika sökvägar respektive det operativsystem som de körs på.

Så här hittar du den fullständiga sökvägen till Mac-appar:

  1. Öppna Aktivitetsövervakaren på macOS-enheten. Sök efter och dubbelklicka på den process som du vill begränsa

  2. Välj fliken Öppna filer och portar.

  3. För macOS-appar behöver du det fullständiga sökvägsnamnet, inklusive namnet på appen.

Skydda känsliga data från appar för molnsynkronisering

Om du vill förhindra att känsliga objekt synkroniseras till molnet av appar för molnsynkronisering, till exempel onedrive.exe, lägger du till appen för molnsynkronisering i listan med Otillåtna appar. Om ett o tillkommen molnsynkroniseringsapp försöker komma åt ett objekt som skyddas av en blockering av DLP-principen kan DLP generera upprepade meddelanden. Du kan undvika dessa upprepade meddelanden genom att aktivera alternativet Automatisk karantän under Otillåtna appar.

Automatisk karantän (förhandsversion)

Anteckning

Automatisk karantän stöds endast i Windows 10

När den är aktiverad startar automatisk karantän när en otillåten app försöker komma åt ett DLP-skyddat känsligt objekt. Automatisk karantän flyttar det känsliga objektet till en administratörskonfigurerad mapp och kan lämna en .txt-fil som platshållare i stället för originalet. Du kan konfigurera texten i platshållarfilen så att den talar om för användarna var objektet flyttades och annan relevant information.

Du kan använda automatisk karantän för att förhindra en oändlig kedja av DLP-meddelanden för användare och administratörer – gå till Scenario 4: Undvik att loopa DLP-meddelanden från molnsynkroniseringsappar med automatisk karantän (förhandsversion).

Bluetooth-appar som inte tillåts

Hindra andra från att överföra filer som skyddas av dina principer via specifika Bluetooth-appar.

Begränsningar för webbläsare och domäner för känslig information

Begränsa känsliga filer som matchar dina principer från att delas med obegränsade molntjänstdomäner.

Otillåtna webbläsare

För Windows-enheter för vilka du lägger till webbläsare, som identifieras med deras körbara namn, kommer de att blockeras från att komma åt filer som matchar villkoren i en tillämpad DLP-princip där begränsningen för överföring till molntjänster är inställd på att blockera eller blockera åsidosättning. När dessa webbläsare blockeras från att komma åt en fil kommer slutanvändarna att se ett popup-meddelande där de uppmanas att öppna filen via Microsoft Edge.

För macOS-enheter måste du lägga till den fullständiga sökvägen. Så här hittar du den fullständiga sökvägen till Mac-appar:

  1. Öppna Aktivitetsövervakaren på macOS-enheten. Sök efter och dubbelklicka på den process som du vill begränsa

  2. Välj fliken Öppna filer och portar.

  3. För macOS-appar behöver du det fullständiga sökvägsnamnet, inklusive namnet på appen.

Tjänstdomäner

Anteckning

Inställningen Tjänstdomäner gäller endast för filer som laddats upp med Microsoft Edge eller Google Chrome med Microsofts efterlevnadstillägg installerat.

Du kan styra om känsliga filer som skyddas av dina principer kan laddas upp till specifika tjänstdomäner från Microsoft Edge.

Om listläget är inställt på Blockera kan användaren inte ladda upp känsliga objekt till dessa domäner. När en uppladdningsåtgärd blockeras på grund av att ett objekt matchar en DLP-princip genererar DLP antingen en varning eller blockerar uppladdningen av det känsliga objektet.

Om listläget är inställt på Tillåt kan användarna bara ladda upp känsliga objekt till de domänerna, och uppladdningsåtkomst till alla andra domäner tillåts inte.

Viktigt

När tjänstens begränsningsläge är inställd på ”Tillåt” måste du ha minst en tjänstdomän konfigurerad innan begränsningarna tillämpas.

Använd tjänstdomänens FQDN-format utan slutet .

Till exempel:

www.contoso.com

Jokertecken stöds inte.

Ytterligare inställningar för slutpunkts-DLP

Affärsmotivering i principtips

Du kan styra hur användare interagerar med alternativet för affärsmotivering i DLP-principtipsmeddelanden. Det här alternativet visas när användare utför en aktivitet som skyddas av inställningen Blockera med åsidosättning i en DLP-princip. Det här är en global inställning. Du kan välja bland följande alternativ:

  • Visa standardalternativ och anpassad textruta: Standardinställningen är att användare kan välja antingen en inbyggd justering eller ange egen text.
  • Visa endast standardalternativ: Användare kan bara välja en inbyggd justering.
  • Visa endast anpassad textruta: Användare kan endast ange sina egna justering. Endast textrutan visas i meddelandet om principtips för slutanvändaren.
Anpassa alternativen i den nedrullningsbara menyn

Du kan skapa upp till fem anpassade alternativ som visas när användare interagerar med principmeddelandetipset genom att välja den nedrullningsbara meny Anpassa alternativen.

Alternativ Standardtext
Alternativ 1 Det här är en del av ett etablerat affärsarbetsflöde eller så kan du ange anpassad text
Alternativ 2 Min chef har godkänt den här åtgärden eller så kan du ange anpassad text
Alternativ 3 Brådskande åtkomst krävs. Jag meddelar min chef separat eller så kan du ange anpassad text
Visa alternativet för falsk positiv identifiering Informationen i de här filerna är inte känslig eller så kan du ange anpassad text
Alternativ 5 Annat eller så kan du ange anpassad text

Granska alltid filaktivitet för enheter

När enheter är integrerade granskas som standard aktivitet för Office-, PDF- och CSV-filer automatiskt och blir tillgängliga för granskning i Aktivitetsutforskaren. Inaktivera den här funktionen om du vill att aktiviteten bara ska granskas när integrerade enheter ingår i en aktiv princip.

Filaktivitet granskas alltid för integrerade enheter, oavsett om de ingår i en aktiv princip eller inte.

Binda samman DLP-inställningar

Med DLP för slutpunkt och Microsoft Edge Chromium-webbläsaren kan du begränsa oavsiktlig delning av känsliga objekt till otillåtna molnappar och tjänster. Microsoft Edge Chromium vet när ett objekt begränsas av en DLP-princip för slutpunkt och tillämpar åtkomstbegränsningar.

När du använder Endpoint DLP som en plats i en korrekt konfigurerad DLP-princip och Microsoft Edge-webbläsaren kommer de otillåtna webbläsare som du har definierat i de här inställningarna att förhindras från att komma åt känsliga objekt som matchar dina DLP-principkontroller. I stället omdirigeras användarna för att använda Microsoft Edge som, med dess förståelse av DLP-begränsningar, kan blockera eller begränsa aktiviteter när villkoren i DLP-principen uppfylls.

Om du vill använda den här begränsningen måste du konfigurera tre viktiga delar:

  1. Ange platser – tjänster, domäner, IP-adresser – som du vill förhindra att känsliga objekt delas till.

  2. Lägg till de webbläsare som inte tillåts komma åt vissa känsliga objekt när en DLP-principmatchning inträffar.

  3. Konfigurera DLP-principer för att definiera typerna av känsliga objekt vars uppladdning ska begränsas till endast dessa platser genom att aktivera alternativet för att ladda upp till molntjänster och åtkomst av otillåten webbläsare.

Du kan fortsätta att lägga till nya tjänster, program och principer för att utöka begränsningarna så att de uppfyller verksamhetens behov och skyddar känsliga data.

Den här konfigurationen säkerställer att dina data förblir säkra samtidigt som du undviker onödiga begränsningar som förhindrar eller begränsar användare från att komma åt och dela icke-känsliga objekt.

Scenarier för DLP-principer för slutpunkt

För att bekanta dig med DLP-funktioner för slutpunkt, och hur de visar sig i DLP-principer, har vi skapat scenarier som du kan följa.

Viktigt

De här DLP-scenarierna för slutpunkt är inte officiella procedurer för att skapa och justera DLP-principer. Läs följande avsnitt om du behöver arbeta med DLP-principer i allmänna situationer:

Scenario 1: Skapa en princip från en mall, endast granskning

De här scenarierna kräver att du redan har enheter som har registrerats och rapporterar till aktivitetsutforskaren. Om du inte har registrerat enheter än kan du läsa mer i Komma igång med dataförlustskydd för slutpunkter.

  1. Öppna sidan Dataförlustskydd.

  2. Välj Skapa princip.

  3. I det här scenariot väljer du Sekretess och Amerikanska PII-data (personligt identifierbar information), och väljer sedan Nästa.

  4. Inaktivera fältet Status för alla platser utom Enheter. Välj Nästa.

  5. Acceptera standardalternativet för att granska och anpassa inställningarna från mallen och välj Nästa.

  6. Acceptera standardvärdena för Skyddsåtgärder och välj Nästa.

  7. Välj Granska eller begränsa aktiviteter på Windows-enheter och låt åtgärderna vara inställda på Granska endast. Välj Nästa.

  8. Acceptera standardvärdet Jag vill testa först och välj Visa principtips när testläge används. Välj Nästa.

  9. Granska inställningarna och välj Skicka.

  10. Den nya DLP-principen visas i principlistan.

  11. Sök efter data från de övervakade slutpunkterna i aktivitetsutforskaren. Ange platsfiltret för enheter och lägg till principen, och filtrera sedan efter principnamn för att se effekten av den här principen. Mer information finns i Komma igång med aktivitetsutforskaren.

  12. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.

  13. Sök efter händelsen i aktivitetsutforskaren.

Scenario 2: Ändra den befintliga principen, ange en avisering

  1. Öppna sidan Dataförlustskydd.

  2. Välj principen Amerikanska PII-data (personligt identifierbar information) som du skapade i det första scenariot.

  3. Välj Redigera princip.

  4. Gå till sidan Avancerade DLP-regler och redigera alternativet för En liten mängd innehåll upptäcktes. USA:s PII.

  5. Bläddra ned till avsnittet Incidentrapporter och ställ in Skicka en varning till administratörer när en regelmatchning inträffar. E-postaviseringar skickas automatiskt till administratören och alla andra du lägger till i listan över mottagare.

    turn-on-incident-reports.

  6. Välj Skicka en avisering varje gång en aktivitet matchar regeln för det här scenariot.

  7. Välj Spara.

  8. Behåll alla tidigare inställningar genom att välja Nästa och Skicka sedan principändringarna.

  9. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.

  10. Sök efter händelsen i aktivitetsutforskaren.

Scenario 3: Ändra den befintliga principen, blockera åtgärden med tillåten åsidosättning

  1. Öppna sidan Dataförlustskydd.

  2. Välj principen Amerikanska PII-data (personligt identifierbar information) som du skapade i det första scenariot.

  3. Välj Redigera princip.

  4. Gå till sidan Avancerade DLP-regler och redigera alternativet för En liten mängd innehåll upptäcktes. USA:s PII.

  5. Bläddra ned till avsnittet Granska eller begränsa aktiviteter på Windows-enheter. För varje aktivitet anger du motsvarande åtgärd till Blockera med åsidosättning.

    ange åtgärd för att blockera med åsidosättning.

  6. Välj Spara.

  7. Upprepa steg 4–7 för En stor mängd innehåll upptäcktes. USA:s PII.

  8. Behåll alla tidigare inställningar genom att välja Nästa och Skicka sedan principändringarna.

  9. Försök dela ett test som innehåller innehåll som utlöser villkoret för amerikanska PII-data (personligt identifierbar information) med någon utanför organisationen. Det bör utlösa principen.

    Ett popup-fönster som det här visas på klientenheten:

    blockeringsmeddelande med åsidosättning i klienten för dlp för slutpunkt.

  10. Sök efter händelsen i aktivitetsutforskaren.

Scenario 4: Undvik att loopa DLP-meddelanden från appar för molnsynkronisering med automatisk karantän (förhandsversion)

Innan du börjar

I det här scenariot blockeras synkronisering av filer med känslighetsetiketten Strikt konfidentiellt till OneDrive. Det här är ett komplext scenario med flera komponenter och procedurer. Du behöver:

Det finns tre procedurer.

  1. Konfigurera inställningarna för automatisk karantän för slutpunkts-DLP.
  2. Skapa en princip som blockerar känsliga objekt som har känslighetsetiketten Strikt konfidentiellt.
  3. Skapa ett Word-dokument på den Windows 10-enhet som principen är riktad mot, använd etiketten och kopiera den till den lokala OneDrive-mapp för användarkonton som synkroniseras.

Konfigurera inställningarna för otillåtna appar och automatisk karantän för Endpoint DLP.

  1. Öppna inställningar för Endpoint DLP

  2. Visa otillåtna appar.

  3. Välj Lägg till eller redigera otillåtna appar och lägg till OneDrive som visningsnamn och det körbara namnet onedrive.exe för att inte tillåta att onedrive.exe kommer åt objekt med etiketten Strikt konfidentiellt.

  4. Välj Automatisk karantän och Spara.

  5. Under Inställningar för automatisk karantän välj Redigera inställningar för automatisk karantän.

  6. Aktivera automatisk karantän för otillåtna appar.

  7. Ange sökvägen till mappen på lokala datorer där du vill att de ursprungliga känsliga filerna ska flyttas till. Till exempel:

    '%homedrive%%homepath%\Microsoft DLP\Quarantine' för användarnamnet Isaiah langer placerar de flyttade objekten i en mapp med namnet:

    C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive

    och lägger till en datum- och tidsstämpel i det ursprungliga filnamnet.

    Anteckning

    Automatisk DLP-karantän skapar undermappar för filerna för varje otillåten app. Så om du har både Anteckningar och OneDrive i listan över otillåtna appar skapas en undermapp för \OneDrive och en annan undermapp för \Anteckningar.

  8. Välj Ersätt filerna med en .txt-fil som innehåller följande text och ange den text du vill använda i platshållarfilen. Till exempel för en fil med namnet auto quar 1.docx:

    %%FileName%% innehåller känslig information som din organisation skyddar med dataförlustskyddsprincipen (DLP) %%PolicyName%% och har flyttats till karantänmappen: %%QuarantinePath%%

    en textfil som innehåller det här meddelandet visas:

    auto quar 1.docx innehåller känslig information som din organisation skyddar med principen för dataförlustskydd (DLP) och flyttades till karantänmappen:: C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1_20210728_151541.docx.

  9. Välj Spara

Konfigurera en princip för att blockera OneDrive-synkronisering av filer med känslighetsetiketten Strikt konfidentiellt

  1. Öppna sidan Dataförlustskydd.

  2. Välj Skapa princip.

  3. I det här scenariot väljer du Anpassad och sedan Anpassad princip och väljer Nästa.

  4. Fyll i fälten Namn och Beskrivning och välj Nästa.

  5. Inaktivera fältet Status för alla platser utom Enheter. Om du har ett specifikt slutanvändarkonto som du vill testa detta från måste du välja det i omfånget. Välj Nästa.

  6. Acceptera standardalternativet Skapa eller anpassa avancerade DLP-regler och välj Nästa.

  7. Skapa en regel med följande värden:

    1. Namn > Scenario 4 – Sätt i karantän automatiskt.
    2. Villkor > Innehållet innehåller > Känslighetsetiketter > Strikt konfidentiellt.
    3. Åtgärder > Granska eller begränsa aktiviteter på Windows-enheter > Åtkomst av otillåtna appar > Blockera. I det här scenariot rensar du alla andra aktiviteter.
    4. Användarmeddelanden > .
    5. Slutpunktsenheter > Välj Visa användare ett principtipsmeddelande när en aktivitet om den inte redan är aktiverad.
  8. Välj Spara och Nästa.

  9. Välj Aktivera det direkt. Välj Nästa.

  10. Granska inställningarna och välj Skicka.

    Anteckning

    Tillåt minst en timme för att den nya principen ska replikeras och tillämpas på måldatorn Windows 10.

  11. Den nya DLP-principen visas i principlistan.

Testa automatisk karantän på Windows 10-enheten

  1. Logga in på Windows 10-datorn med det användarkonto som du angav i Konfigurera en princip för att blockera OneDrive-synkronisering av filer med känslighetsetiketten Strikt konfidentiellt steg 5.

  2. Skapa en mapp vars innehåll inte kommer att synkroniseras med OneDrive. Till exempel:

    Källmappen C:\auto-quarantine

  3. Öppna Microsoft Word och skapa en fil i källmappen för automatisk karantän. Använd känslighetsetiketten Strikt konfidentiell. Mer information finns i Använda känslighetsetiketter för filer och e-post i Office.

  4. Kopiera filen som du nyss skapade till synkroniseringsmappen för OneDrive. Ett popup-meddelande för användare bör visas som anger att åtgärden inte är tillåten och att filen kommer att placeras i karantän. Till exempel för användarnamnet Isaiah Langer och för ett dokument med namnet auto-quarantine doc 1.docx skulle följande meddelande visas:

    Popup-meddelande om dataförlustskydd för användare som anger att synkroniseringsåtgärden för OneDrive inte tillåts för den angivna filen och att filen kommer att placeras i karantän.

    Meddelandet lyder:

    Det är inte tillåtet att öppna autoquarantine doc 1.docx med den här appen. Filen sätts i karantän i C:\Users\IsaiahLanger\Microsoft DLP\OneDrive

  5. Välj Stäng.

  6. Öppna platshållarens textfil. Det kommer att namnges som auto-quarantine doc 1.docx_ date_time.txt.

  7. Öppna karantänmappen och bekräfta att den ursprungliga filen finns där.

  8. Sök efter data från de övervakade slutpunkterna i aktivitetsutforskaren. Ange platsfiltret för enheter och lägg till principen, och filtrera sedan efter principnamn för att se effekten av den här principen. Mer information finns i Komma igång med aktivitetsutforskaren.

  9. Sök efter händelsen i aktivitetsutforskaren.

Se även