终结点数据丢失防护入门

终结点数据丢失防护(终结点 DLP)是 Microsoft Purview 数据丢失防护 (DLP) 功能套件的一部分,可用于发现和保护 Microsoft 365 服务中的敏感项目。 有关Microsoft的所有 DLP 产品/服务的详细信息,请参阅 了解数据丢失防护。 若要了解有关终结点 DLP 的详细信息,请参阅了解终结点数据丢失防护

Microsoft Endpoint DLP 允许监视载入Windows 10,并Windows 11载入的 macOS 设备运行三个最新版本中的任何一个。 设备载入后,DLP 会检测何时使用和共享敏感项。 这为你提供了所需的可见性和控制,以确保正确使用和保护它们,并帮助防止可能危及它们的风险行为。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

准备工作

SKU/订阅许可

在开始使用终结点 DLP 之前,应该先确认 Microsoft 365 订阅以及任何加载项。 若要访问和使用终结点 DLP 功能,必须具有这些订阅或加载项中的一个。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 合规
  • Microsoft 365 A5 合规
  • Microsoft 365 E5 信息保护和治理
  • Microsoft 365 A5 信息保护和治理

有关完整的许可详细信息,请参阅 Microsoft 365 许可指南,了解信息保护

在 Windows 10 或 Windows 11 设备上配置代理

如果要加入Windows 10或Windows 11设备,检查以确保设备可以与云 DLP 服务通信。 有关详细信息,请参阅配置信息保护的设备代理和 Internet 连接设置

Windows 10 和 Windows 11 载入过程

有关载入 Windows 设备的常规简介,请参阅:

有关载入 Windows 设备的特定指南,请参阅:

文章 说明
使用组策略载入 Windows 10 或 Windows 11 设备 使用组策略在设备上部署配置包。
使用 Microsoft Endpoint Configuration Manager 载入 Windows 10 或 Windows 11 设备 可以使用 Microsoft Endpoint Configuration Manager(当前分支)版本 1606 或 Microsoft Endpoint Configuration Manager(当前分支)版本 1602 或更早版本在设备上部署配置包。
使用 Microsoft Intue 载入 Windows 10 或 Windows 11 设备 使用 Microsoft Intue 在设备上部署配置包。
使用本地脚本载入 Windows 10 或 11 设备 了解如何使用本地脚本在终结点上部署配置包。
载入非永久虚拟桌面基础结构 (VDI) 设备 了解如何使用配置包配置 VDI 设备。

对虚拟化环境的终结点 DLP 支持

可以在 Microsoft Purview 合规门户 中将虚拟机作为受监视的设备加入。 上面列出的载入过程没有变化。

下表列出了虚拟化环境支持的虚拟操作系统。

虚拟化
平台
Windows 10 Windows 11 Windows Server 2019 Windows Server 2022
21H2、22H2、数据中心
Azure 虚拟桌面 (AVD)
  • 21H2、22H2 支持的单个会话
  • 21H2、22H2 支持多会话
  • 21H2、22H2 支持的单个会话
  • 21H2、22H2 支持多会话
支持单会话和多会话。 支持
Windows 365
  • 支持 21H2、22H2
  • 支持 21H2、22H2
不适用 不适用
Citrix 虚拟应用和桌面 7 (2209 及更高)
  • 21H2、22H2 支持的单个会话
  • 21H2、22H2 支持多会话
  • 21H2、22H2 支持的单个会话
  • 21H2、22H2 支持多会话
支持 支持
Amazon 工作区
  • 21H2、22H2 支持的单个会话
不适用
  • 由 Windows Server 2019 提供支持的Windows 10
不适用
Hyper-V
  • 21H2、22H2 支持的单个会话
  • 支持 21H2、22H2 混合 AD 加入的多会话
  • 21H2、22H2 支持的单个会话
  • 支持 21H2、22H2 混合 AD 加入的多会话
支持混合 AD 联接 支持混合 AD 联接

已知问题

  1. 无法通过浏览器监视 复制到剪贴板 和在 Azure 虚拟桌面环境中 强制实施终结点 DLP 。 但是,终结点 DLP 将监视相同的出口操作, 以便通过远程桌面会话 (RDP) 执行操作
  2. Citrix XenApp 不支持通过受限应用监视进行访问。

限制

  1. 在虚拟化环境中处理 USB:USB 存储设备被视为网络共享。 需要包括 “复制到网络共享 ”活动,以监视 “复制到 USB 设备”。 虚拟设备的所有活动资源管理器事件和事件警报显示所有复制到 USB 事件的“复制到 网络共享 ”活动。

macOS 载入过程

有关载入 macOS 设备的常规简介,请参阅:

有关载入 macOS 设备的特定指南,请参阅:

文章 说明
Intune 适用于通过 Intune 管理的 macOS 设备
面向Microsoft Defender for Endpoint客户的Intune 适用于通过 Intune 管理并且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备
JAMF Pro) 适用于通过 JAMF Pro 管理的 macOS
适用于Microsoft Defender for Endpoint客户的 JAMF Pro) 适用于通过 JAMF Pro 管理且已部署 Microsoft Defender for Endpoint (MDE) 的 macOS 设备

载入设备后,它应在设备列表中可见,并应开始向活动资源管理器报告审核活动。

另请参阅