Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare la protezione JIT (Endpoint Data Loss Prevention) ji-in-time ( DLP) per rilevare e bloccare le attività in uscita nei file monitorati durante il completamento della valutazione dei criteri.
Si applica a
La protezione JIT per Endpoint DLP supporta questi dispositivi:
- Windows 10
- Windows 11
- macOS (le tre versioni più recenti)
Procedura consigliata per la distribuzione della protezione ji-in-time
Nota
Consentire almeno un'ora per il push degli aggiornamenti delle impostazioni JIT, inclusa la disabilitazione di JIT, nei dispositivi client.
Passaggio 1: Preparare l'ambiente
Prima di distribuire la protezione ji-in-time, è necessario distribuire prima di tutto il client antimalware versione 4.18.23080 o successiva. L'esperienza utente finale di protezione JIT viene migliorata nella versione 4.18.25080 o successiva.
Consiglio
Per ottimizzare la produttività degli utenti, configurare e distribuire i criteri di prevenzione della perdita dei dati degli endpoint nei dispositivi prima di abilitare la protezione JIT. Questo approccio impedisce il blocco non necessario dell'attività utente durante la valutazione dei criteri.
Nota
Per i computer con una versione obsoleta del client antimalware, disabilitare la protezione ji-in-time installando uno dei kb seguenti:
- Per scoprire quali dispositivi hanno il client antimalware necessario, passare a Indagine portale> di sicurezza& risposta>Ricerca avanzata ed eseguire questa query.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc
Di seguito è riportato un esempio dell'output della query.
È anche possibile passare allapagina Diagnosticadi prevenzione della> perdita dei dati e selezionare Scheda di prevenzione della perdita dei dati endpoint non funzionante per verificare se un dispositivo specifico soddisfa i prerequisiti JIT.
Passaggio 2: Distribuire la protezione JIT
Accedere al portale di Microsoft Purview.
Selezionare Impostazioni> Protezioneji-in-timeper la prevenzione> della perdita dei dati.
In Scegliere le posizioni da monitorare selezionare la casella di controllo accanto a Dispositivi.
In Azione di fallback in caso di errore selezionare Consenti agli utenti di completare le azioni. Questa opzione consente di completare l'azione dell'utente se la classificazione non riesce.
Attenzione
Non scegliere l'opzione Blocca agli utenti di completare le azioni finché non si comprende appieno l'impatto di questa funzionalità.
Se si seleziona Consenti agli utenti di completare le azioni o Impedisce agli utenti di completare le azioni , non viene modificato il valore di blocco JIT attivato. Il blocco tramite JIT viene applicato se l'utente è nell'ambito. L'impostazione Consenti agli utenti di completare le azioni o Blocca agli utenti di completare le azioni controlla l'imposizione della prevenzione della perdita dei dati degli endpoint quando la classificazione non riesce.
Se si seleziona Consenti agli utenti di completare le azioni, Endpoint DLP consente l'attività in uscita quando la classificazione non riesce. Se si seleziona Blocca gli utenti per completare le azioni, Endpoint DLP blocca l'attività in uscita quando la classificazione non riesce.
Passaggio 3: Stimare il numero di eventi di protezione JIT per la distribuzione
Convalidare l'ambito di protezione JIT e le impostazioni dell'azione di fallback dopo ogni fase di implementazione fino a quando il numero di eventi non è stabile. Assicurarsi di comprendere le dimensioni possibili del gruppo di utenti su cui applicare i criteri, in base ai calcoli di telemetria seguenti.
Stimare l'impatto della distribuzione della protezione JIT eseguendo il calcolo seguente in base agli eventi in Esplora attività:
N = Numero di computer univoci che generano eventi JIT.
S = Numero totale di computer nell'ambito della distribuzione.
N/S restituisce la percentuale di computer che potrebbero riscontrare un evento di blocco di protezione JIT.
Con queste informazioni, è necessario conoscere il numero di computer interessati dall'implementazione della modalità JIT Block quando si espande l'ambito e il numero di ticket di supporto possibili visualizzati. È quindi possibile decidere se espandere o meno l'ambito.
Passaggio 4: Ottimizzare la protezione JIT tramite altre impostazioni aggiuntive
Oltre all'azione di fallback in caso di errore , è anche possibile usare le impostazioni seguenti per ottimizzare la protezione JIT:
- Controlla la copia negli Appunti: attiva questa impostazione per impedire agli utenti di copiare contenuto negli Appunti mentre la protezione JIT sta valutando il file.
Nota
L'attivazione del controllo della copia negli Appunti potrebbe influire sulla produttività dell'utente. Assicurarsi di testare l'impatto sulla produttività prima di attivare questa impostazione.
Esclusioni di app per Windows: è possibile escludere al massimo 50 app dalla protezione JIT nei dispositivi Windows.
Esclusioni di app per Mac: è possibile escludere al massimo 50 app qui dalla protezione JIT nei dispositivi Mac.
Esclusioni di estensioni di file: Files con le estensioni aggiunte qui non vengono valutate dalla protezione JIT.
Esclusioni di percorsi di file per Windows: Files in queste posizioni non vengono valutate dalla protezione JIT.
Esclusioni di percorsi di file per Mac: Files in queste posizioni non vengono valutate dalla protezione JIT.
Se si vuole modificare l'ambito della protezione JIT dopo l'ottimizzazione di tutte queste impostazioni, tornare allaprotezione JIT prevenzionedella perdita> dei dati delle impostazioni> nel portale di Microsoft Purview e aggiornare le posizioni monitorate.
Esclusioni per la protezione ji-in-time
Le impostazioni di esclusione del percorso file in JIT sono diverse dalle esclusioni di percorso file per Windows trovate tramiteImpostazioni impostazionidi prevenzione> della perdita dei datiImpostazioni>> endpointEsclusioni del percorso file per Windows.
Le esclusioni di percorsi di file in JIT escludono solo percorsi di file specifici dalla protezione JIT. In tutti gli altri casi, Microsoft Purview applica ancora la classificazione e la protezione DLP degli endpoint per i file in tali cartelle.
Le esclusioni di percorsi di file per l'impostazione di Windows impediscono a Purview di applicare la classificazione e la protezione DLP degli endpoint per i file nelle cartelle specificate.
Esclusioni di estensione di file: Files con queste estensioni non vengono valutate dalla protezione JIT.
Passaggio 5: Distribuire la protezione JIT in "Impedisci agli utenti di completare le azioni" per l'impostazione "Azione di fallback in caso di errore"
L'opzione Blocca il completamento delle azioni degli utenti per l'azione di fallback in caso di errore controlla la modalità di imposizione applicata dalla prevenzione della perdita dei dati quando la classificazione non riesce. Questa impostazione non controlla il blocco JIT o il controllo JIT per i file candidati JIT. Il blocco JIT o il controllo JIT è controllato dal modo in cui viene definito l'ambito dei criteri. Indipendentemente dal valore selezionato, i dati di telemetria pertinenti vengono visualizzati in Esplora attività.