终结点数据丢失防护配置和策略同步疑难解答

本文提供有关以下内容的详细说明:

  1. 确定已成功载入到 Microsoft Purview 数据丢失防护 (DLP) 的 Windows 设备和 macOS 设备的设备配置和策略同步状态值
  2. 识别并解决 配置状态策略同步状态的任何问题。
  3. 查看并了解可用于每个 设备的设备属性 及其含义。

设备配置和策略同步状态值

所有已载入设备的配置状态策略同步状态有三个可能的值。

配置状态值显示设备配置是否正确、是否向 Purview 发送检测信号以及上次验证配置的时间。 对于 Windows 设备配置,包括检查Microsoft Defender防病毒始终启用保护和行为监视的状态。

策略同步状态显示设备是否收到最新策略版本,或者相应策略是否已成功同步到设备。

字段值 配置状态 策略同步状态
更新日期 设备运行状况参数已启用并正确设置。 此状态指示设备的配置是最新的,并具有建议的设置。 设备与策略的当前版本保持最新。
未更新 某些设置可能需要注意。 按照工作流图中的步骤解决问题。 可能需要为此设备启用配置设置。 按照 Microsoft Defender 防病毒始终启用保护中的过程操作 此设备尚未同步最新的策略更新。 设备列表中的状态可能需要长达 2 小时才能更新。 按照工作流图中的步骤解决问题。
不可用 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本,无法提供对其属性或配置的可见性,或者设备是否刚刚加入。 按照工作流中的步骤解决问题。 设备属性在设备列表中不可用。 这可能是因为设备不符合最低 OS 版本,无法提供对其属性或配置的可见性,或者设备是否刚刚加入。 按照工作流中的步骤解决问题。

重要

设备必须联机才能进行策略更新。 如果状态未更新,检查上次看到设备的时间。

设备属性详细信息

若要从 DLP 的角度维护设备整体运行状况,除了确定配置和策略同步状态以及排查其中发现的任何问题之外,还必须进行故障排除。 需要了解已载入设备的属性。 这些属性的值可以提供有用的信息来帮助你跟踪设备运行状况。

设备属性 注意
上次上线 最近确定设备联机的时间。
上次策略同步时间 设备下载最新策略版本时的上一个实例的时间戳。
操作系统 当前操作系统。
Defender 引擎版本 设备上的防病毒引擎版本。
Defender Mocamp 版本 Defender 客户端的版本。
MDATP 设备 ID 分配给此设备的唯一标识符。
有效用户 这指示当前登录的用户是否具有相应的 Entra ID 帐户,并且是否在面向设备的 DLP 策略范围内。
敏感数据活动 这提供此设备过去 30 天内的所有敏感数据活动的视图。
已超出高级分类带宽使用量 此属性显示在过去 24 小时内是否已超出高级分类的带宽使用限制。
终结点 DLP 状态 显示为设备启用或禁用终结点 DLP。

配置和策略同步故障排除工作流

此图提供了一个工作流,引导你完成诊断和解决已载入设备的配置和策略同步状态的步骤。

一个工作流,指导你完成诊断和解决已载入设备的配置和策略同步状态的步骤。

检查配置状态并解决问题

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 右上角的 Microsoft Purview 门户>“设置” (齿轮图标,) >设备载入>设备
  2. 可以应用筛选器来缩小设备列表范围并简化调查。
  3. 选择设备以打开详细信息窗格,详细了解配置状态。
  4. 如果状态为 “已更新”,则设备配置正确。 无需执行进一步操作。 可以转到 “检查策略同步状态”并解决问题
  5. 如果状态为 “不可用”或“ 未更新”,请按照详细信息窗格中的修正步骤和 工作流图中的步骤进行操作。

检查策略同步状态并解决问题

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 右上角的 Microsoft Purview 门户>“设置” (齿轮图标,) >设备载入>设备
  2. 可以应用筛选器来缩小设备列表范围并简化调查。
  3. 选择设备以打开详细信息窗格,详细了解策略同步状态。
  4. 如果状态为 “已更新”,则表示设备已成功接收最新策略版本。 无需执行进一步操作。 可以转到 “检查设备详细信息”。
  5. 如果状态为 “未更新”或“ 不可用”,请按照详细信息窗格中的修正步骤和 工作流图中的步骤进行操作。

检查设备详细信息

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 右上角的 Microsoft Purview 门户>“设置” (齿轮图标,) >设备载入>设备
  2. 可以应用筛选器来缩小设备列表范围并简化调查。
  3. 选择设备以打开“详细信息”窗格,详细了解“ 设备详细信息”下的特定设备属性。

收集支持票证的证据

如果自我修正尚未成功,则是时候收集证据并开具支持票证了。 用于全面的支持分析。

“设备详细信息 ”部分中,记录以下字段的值:

  • 操作系统
  • Defender 引擎版本
  • Defender 客户端版本
  • MDATP 设备 ID
  • 有效用户

还可以使用以下链接获取更多指导: