Diagnostica always-on per la prevenzione della perdita dei dati dell'endpoint

La funzionalità di diagnostica Always-on in Microsoft Purview consente la registrazione continua e automatizzata della traccia per la prevenzione della perdita dei dati degli endpoint. Questa funzionalità riduce significativamente il sovraccarico amministrativo eliminando la necessità di configurare manualmente i log e riprodurre i problemi.

Quando viene aperto un caso di supporto con Microsoft, i log di diagnostica sono spesso necessari per facilitare l'analisi della causa radice. Con la diagnostica Always-on abilitata, la telemetria completa è già disponibile, consentendo agli amministratori di ignorare i passaggi di raccolta dati tradizionali. Questo non solo accelera il flusso di lavoro di supporto, ma migliora anche l'accuratezza nell'identificazione e nella risoluzione dei problemi.

I log di diagnostica possono essere caricati in modo sicuro direttamente in supporto tecnico Microsoft, semplificando l'invio dei casi e accelerando il time-to-resolution. Questo approccio proattivo alla registrazione migliora l'efficienza operativa e migliora la velocità di risposta del supporto.

Sistemi operativi Windows supportati

Autorizzazioni

Ruoli necessari per visualizzare e creare richieste di raccolta log

Ruoli ID entra

• Amministratore globale
• Amministratore di conformità
• Amministratore della sicurezza

Ruoli di Purview

Deve essere assegnato a livello di tenant; Gli amministratori con ambito non sono supportati:

• OrganizationConfiguration
• ManageAlerts
• ViewOnlyManageAlerts
• InformationProtectionAdmin
• InformationProtectionAnalyst
• InformationProtectionInvestigator

Ruoli necessari per abilitare la funzionalità

Ruoli ID entra

• Amministratore globale
• Amministratore di conformità
• Amministratore della sicurezza

Ruoli Purview (solo a livello di tenant)

• OrganizationConfiguration
• ComplianceAdmin
• SecurityAdmin
• DLPComplianceManagement
• InformationProtectionAdmin

Attivare la diagnostica Always-On e abilitare il caricamento

1. Accedere al portale di Microsoft Purview.
2. Passare a Impostazioni>Prevenzione della> perdita dei datiDiagnostica always-on (anteprima).
3. Selezionare Sì.
4. Impostare il periodo di archiviazione della cache. Sono consigliati 90 giorni.
5. Impostare l'archiviazione massima per il dispositivo. L'intervallo deve essere compreso tra 500 e 1500 MB.
6. Seleziona Salva.
7. Per abilitare il caricamento, in Carica automaticamente i log dei dispositivi selezionare Condividi diagnostica con Microsoft.

Richiedere i log dei dispositivi

Quando si identifica un problema e si apre una chiamata di supporto con Microsoft, è possibile richiedere l'invio dei file di log a supporto tecnico Microsoft.

1. In Purview selezionare una delle posizioni in cui avviare una richiesta di file di log.
   1. In Impostazioni > Dispositivi di onboarding del >dispositivo selezionare un dispositivo dall'elenco.
   2. In Eventi avvisi > di prevenzione > della perdita dei dati selezionare un evento dall'elenco.
   3. In Esplora > attività esplora prevenzione > perdita dati selezionare un avviso dall'elenco.
2. In Base alla posizione scelta, in Diagnostica always-on selezionare Richiedi log del dispositivo.
3. Selezionare l'intervallo di date e specificare una breve descrizione.
4. Selezionare Invia richiesta di raccolta.
5. Dopo aver inviato la richiesta, è necessario attendere il completamento della richiesta. Passare a Impostazioni>Prevenzione della> perdita dei datiDiagnostica always-on (anteprima).
6. Nell'elenco identificare il dispositivo sottoposto a indagine. Al termine dello stato, specificare il numero di richiesta associato per supporto tecnico Microsoft.

Recuperare i log dei dispositivi (processo legacy)

Se la raccolta e il caricamento automatici non sono stati abilitati, è possibile recuperare manualmente i log usando lo strumento analizzatore client Microsoft Defender per endpoint (MDE).

1. Scaricare la versione di anteprima dell'analizzatore client Microsoft Defender per endpoint (MDE) nel dispositivo endpoint.

2. Estrarre il contenuto del file MDEClientAnalyzer.zip scaricato in qualsiasi cartella.

3. Aprire un prompt dei comandi e passare alla cartella estratta.

   Nota

   Non sono necessari privilegi amministrativi per recuperare i log di diagnostica. Se si esegue lo strumento senza diritti di amministratore, potrebbero essere visualizzati avvisi di accesso. È possibile ignorare questi avvisi senza problemi.

4. Digitare MDEClientAnalyzer.cmd -r -t -m 0.

5. Accettare il contratto di licenza per continuare.

6. Quando richiesto, specificare un nome file del report usato durante la raccolta dei log. Specifica del percorso completo del file.

   Nota

   Se si riceve un avviso di accesso perché non si è in modalità amministratore, è possibile ignorarlo in modo sicuro.

7. Dopo aver raccolto i file di traccia, viene visualizzato un riepilogo dei risultati (MDEClientAnalyzer.htm). Esaminare l'impostazione seguente per verificare che la funzionalità always-on sia stata abilitata:

   Impostazione	Valore
   Abilitazione always-on di Sensetracer	Sì

   I log vengono salvati nella sottocartella \MDEClientAnalyzerResult. È possibile inviare i log al supporto tecnico Microsoft.

   Per altri metodi di registrazione diagnostica, vedere Analizzare i log di diagnostica DLP degli endpoint\

Vedere anche

Diagnostica self-help per Microsoft Purview
Raccogliere i log di diagnostica DLP degli endpoint