Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Централизованно настроенные параметры управляют многими аспектами защиты от потери данных конечных точек (DLP). Эти параметры применяются ко всем политикам защиты от потери данных для устройств. Используйте эти параметры для управления следующим поведением:
- Ограничения для выхода в облако.
- Различные типы ограничительных действий для действий пользователей для каждого приложения
- Исключения пути к файлам для устройств с Windows и macOS
- Ограничения браузера и домена
- Внешний вид бизнес-оправданий для переопределения политик в подсказках политик
- Выполняется ли автоматический аудит действий, выполняемых с файлами Office, PDF и CSV
Чтобы получить доступ к этим параметрам, на портале Microsoft Purview перейдите в раздел Защита от потери> данныхОбзор>Параметры защиты от потери данных Параметры конечной>точки.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Важно!
Сведения о требованиях Adobe к использованию функций Защита от потери данных Microsoft Purview (DLP) с PDF-файлами см. в статье Adobe: поддержка Защита информации Microsoft Purview в Acrobat.
Сканирование и защита на основе расширенной классификации
При включении расширенной проверки классификации и защиты облачная служба классификации данных Microsoft Purview сканирует элементы, классифицирует их и возвращает результаты на локальный компьютер. Так как расширенная классификация выполняется в облаке, вы можете воспользоваться такими методами классификации, как точная классификация соответствия данных , обучаемые классификаторы, классификаторы учетных данных и именованные сущности в политиках защиты от потери данных.
Примечание.
Действие Вставка в браузер не поддерживает расширенную классификацию.
При включении расширенной классификации локальное устройство отправляет содержимое в облачные службы для сканирования и классификации. Если вас беспокоит использование пропускной способности, установите ограничение на то, сколько пропускной способности можно использовать в течение последовательного 24-часового периода. Вы настраиваете ограничение в параметрах защиты от потери данных в конечной точке , и оно применяется для каждого устройства. Если задано ограничение на использование пропускной способности и это ограничение использования превышено, защита от потери данных прекращает отправку пользовательского содержимого в облако. На этом этапе классификация данных продолжается локально на устройстве, но классификация с использованием точного сопоставления данных, именованных сущностей, обучаемых классификаторов и классификаторов учетных данных недоступна. Когда совокупное использование пропускной способности падает ниже 24-часового ограничения, обмен данными с облачными службами возобновляется.
Если использование пропускной способности не является проблемой, выберите Не ограничивать пропускную способность. Неограниченный, чтобы разрешить неограниченное использование пропускной способности.
Расширенные ограничения размера файлов классификации
Даже если включен параметр Не ограничивать пропускную способность. Не ограничено для расширенной классификации. По-прежнему существуют ограничения на размер отдельных файлов, которые система может сканировать.
- Текстовые файлы ограничены в 64 МБ.
- При включенном оптическом распознавании символов (OCR) для файлов изображений существует ограничение в 50 МБ.
Расширенная классификация не работает для текстовых файлов размером более 64 МБ, даже если для ограничения пропускной способности задано значение Не ограничивать пропускную способность. Неограниченно.
Следующие версии Windows (и более поздние версии) поддерживают расширенное сканирование и защиту классификации.
- Все версии Windows 11
- Windows 10 версии 20H1/21H1 или более поздней (КБ 5006738)
- Windows 10 RS5 (KB 5006744)
Примечание.
Поддержка расширенных классификаций доступна для типов файлов Office (Word, Excel, PowerPoint) и PDF.
Оценка политики защиты от потери данных всегда выполняется в облаке, даже если содержимое пользователя не отправляется.
Совет
Чтобы использовать расширенную классификацию для устройств Windows 10, необходимо установить KB5016688. Чтобы использовать расширенную классификацию для Windows 11 устройств, необходимо установить KB5016691 на этих Windows 11 устройствах. Кроме того, необходимо включить расширенную классификацию, прежде чем обозреватель действий отображает контекстный текст для событий, соответствующих правилам защиты от потери данных. Дополнительные сведения о контекстном тексте см. в разделе "Контекстная сводка" статьи Сведения о защите от потери данных.
Расширенная защита на основе меток для всех файлов на устройствах
При включении расширенной защиты на основе меток пользователи могут работать с файлами , включая файлы, отличные от Office и PDF-файлов, которые имеют метки конфиденциальности, применяя параметры управления доступом в незашифрованном состоянии на своих устройствах. Конечная точка защиты от потери данных продолжает отслеживать и применять управление доступом и защиту на основе меток для этих файлов даже в незашифрованном состоянии. Он автоматически шифрует их перед передачей наружу с устройства пользователя. Дополнительные сведения о расширенной защите на основе меток см. в статье Дополнительные сведения о расширенной защите на основе меток.
Примечание.
Расширенная защита на основе меток поддерживается только на подключенных устройствах Windows.
Исключения путей к файлам
Чтобы исключить определенные пути из мониторинга защиты от потери данных, оповещений DLP и принудительного применения политики защиты от потери данных на устройствах, настройте исключения пути к файлам, чтобы отключить эти параметры конфигурации. Files в исключенных расположениях не проверяются. Все файлы, которые вы создаете или изменяете в этих расположениях, не подлежат принудительному применению политики защиты от потери данных. Чтобы настроить исключения пути в параметрах защиты от потери данных, перейдите на портал >Microsoft PurviewЗащита от потери> данных Обзор > Параметры >защиты от потери данныхПараметры конечных> точек Параметрыпути к файлам исключения для Windows.
Исключения пути к файлам для Windows
Используйте следующую логику, чтобы создать пути исключения для Windows 10 и Windows 11 устройств:
Допустимый путь к файлу, заканчивающийся
\на , означает, что исключаются только файлы непосредственно в указанной папке.
Пример:C:\Temp\Допустимый путь к файлу, заканчивающийся
\*на , означает, что исключаются только файлы во вложенных папках указанной папки. Files непосредственно в указанной папке не исключаются.
Пример:C:\Temp\*Допустимый путь к файлу, который заканчивается без
\или\*означает, что все файлы непосредственно в указанной папке и все ее вложенные папки исключаются.
Пример:C:\TempПуть с подстановочным знаком между
\с каждой стороны.
Пример:C:\Users\*\Desktop\Путь с подстановочным знаком между
\каждой стороной и с(number), чтобы указать точное количество исключенных вложенных папок.
Пример:C:\Users\*(1)\Downloads\Путь с переменными СИСТЕМНОЙ среды.
Пример:%SystemDrive%\Test\*Сочетание всех шаблонов, описанных здесь.
Пример:%SystemDrive%\Users\*\Documents\*(2)\Sub\
Пути к файлам Windows, исключенные по умолчанию
%SystemDrive%\\Users\\*(1)\\AppData\\Roaming%SystemDrive%\\Users\\*(1)\\AppData\\Local
Исключения пути к файлам для Mac
Вы также можете добавить собственные исключения для устройств macOS.
В определениях путей к файлам регистр не учитывается, поэтому
Userне отличается отuser.Поддерживаются подстановочные знаки. Таким образом, определение пути может содержать звездочку (
*) в середине пути или в конце пути.
Пример:/Users/*/Library/Application Support/Microsoft/Teams/*
Пути к файлам macOS исключены по умолчанию
/System
Рекомендуемые исключения пути к файлам для macOS
Из соображений производительности защита от потери данных в конечной точке включает список рекомендуемых исключений путей к файлам на устройствах с macOS. Если для параметра Включить рекомендуемые исключения пути к файлам для Macзадано значение Вкл., будут также исключены следующие пути:
/Applications/usr/Library/private/opt/Users/*/Library/Logs/Users/*/Library/Containers/Users/*/Library/Application Support/Users/*/Library/Group Containers/Users/*/Library/Caches/Users/*/Library/Developer
Оставьте переключатель Включить рекомендуемые исключения пути к файлам для Mac в значение Вкл. Однако вы можете остановить исключение этих путей, задав для параметра Включить рекомендуемые исключения пути к файлам для Mac значение Выкл.
Настройка сбора доказательств для действий с файлами на устройствах
Когда защита от потери данных определяет элементы, соответствующие политикам на устройствах, она может скопировать их в учетную запись хранения Azure. Копирование сопоставленных элементов в учетную запись хранения Azure полезно для аудита действий политики и устранения неполадок с определенными совпадениями. Используйте параметры Настройка коллекции доказательств для действий с файлами на устройствах , чтобы добавить имя и URL-адрес учетной записи хранения.
Примечание.
Перед включением сбора доказательств создайте учетную запись хранения Azure и контейнер в этой учетной записи хранения. Необходимо также настроить разрешения для учетной записи. При настройке учетной записи хранения Azure имейте в виду, что вы, вероятно, хотите использовать учетную запись хранения, которая находится в том же Azure регионе или геополитической границе, что и клиент. Рассмотрите возможность настройки Azure уровней доступа к учетной записи хранения и Azure цен на учетные записи хранения.
- Дополнительные сведения о копировании сопоставленных элементов в хранилище Azure см. в статье Сведения о сборе файлов, соответствующих политикам защиты от потери данных, с устройств.
- Дополнительные сведения о настройке этой функции см. в статье Начало работы со сбором файлов, соответствующих политикам защиты от потери данных с устройств.
Покрытие и исключения общих сетевых папок
Покрытие и исключения общей папки расширяют политики и действия защиты от потери данных конечных точек на новые и измененные файлы в общих сетевых ресурсах и сопоставленных сетевых дисках. Если также включена защита jit-in time , JIT-покрытие и исключения будут расширены на сетевые ресурсы и сопоставленные диски. Чтобы исключить определенный сетевой путь для всех отслеживаемых устройств, добавьте значение пути в поле Исключить эти пути к общим сетевым ресурсам.
Важно!
Чтобы использовать покрытие и исключения общих сетевых ресурсов, на устройствах должны быть применены следующие обновления:
- Windows 10 — 21 марта 2023 г. — KB5023773 (сборки ОС 19042.2788, 19044.2788 и 19045.2788). Предварительная версия, 28 марта 2023 г. — KB5023774 (сборка ОС 22000.1761)
- Windows 11 — 28 марта 2023 г. — KB5023778 (предварительная версия сборки ОС 22621.1485)
- Microsoft Defender апрель 2023 г. (платформа: 4.18.2304.8 | Обработчик: 1.1.20300.3)
- macOS Последние 3 поддерживаемые версии ОС; Минимальная поддерживаемая версия приложения Defender — 101.24122.0005
В следующей таблице показаны параметры по умолчанию для покрытия общих сетевых папок и исключений.
| Покрытие и исключения общих сетевых папок | JIT-защита | Результирующий поведение |
|---|---|---|
| Включено | Отключено | — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключается устройство. Поддерживаемые действия: Устройства |
| Отключена | Включена | — JIT-защита применяется только к файлам на запоминающих устройствах, которые являются локальными для конечной точки. |
| Включена | Включена | — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключается устройство.
Поддерживаемые действия: Устройства — JIT-защита применяется ко всем сетевым ресурсам и сопоставленным дискам, к которым подключается устройство. |
Охват и исключения сетевого ресурса дополняют действия локального репозитория защиты от потери данных. В следующей таблице показаны параметры исключения и результирующее поведение в зависимости от того, включена или отключена защита от потери данных для локальных репозиториев.
| Покрытие и исключения общих сетевых папок | Локальные репозитории защиты от потери данных | Результирующий поведение |
|---|---|---|
| Включено | Отключено | — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключается устройство. Поддерживаемые действия: Устройства |
| Отключена | Включена | — Политики, ограниченные локальными репозиториями, могут применять защитные действия для локальных неактивных данных в общих папках и библиотеках документов SharePoint. Действия локального репозитория защиты от потери данных |
| Включена | Включена | — политики защиты от потери данных, ограниченные устройствами, применяются ко всем сетевым ресурсам и сопоставленным дискам, к которым подключается устройство.
Поддерживаемые действия: Устройства — Политики, ограниченные локальными репозиториями, могут применять защитные действия для локальных неактивных данных в общих папках и библиотеках документов SharePoint. Действия локального репозитория защиты от потери данных |
Ограниченные приложения и группы приложений
Ограниченные приложения
Список ограниченных приложений — это настраиваемый список создаваемых приложений. Вы настраиваете действия защиты от потери данных, когда кто-то использует приложение в списке для доступа к защищенному DLP файлу на устройстве. Список ограниченных приложений доступен для устройств Windows 10/11 и macOS под управлением любого из трех последних выпусков macOS.
Некоторые приложения имеют веб-интерфейс в дополнение к локально установленной версии приложения. В предварительной версии при добавлении приложения, к которому пользователи могут получить доступ как локально, так и через веб-интерфейс в группу приложений с ограниченным доступом или в качестве ограниченного приложения, защита от потери данных применяет все применимые политики для доступа к защищенному файлу через Edge для интерфейса приложения браузера и на устройстве для интерфейса на основе приложения.
Важно!
- Не включайте путь к исполняемому файлу для устройств Windows. Включите только имя исполняемого файла, например
browser.exe. - Действие (
audit, илиblock), определенное для приложений в списке ограниченных приложений,block with overrideприменяется только при попытке пользователя получить доступ к защищенному элементу.
Если выбрать Доступ к ограниченным приложениям в политике и пользователь использует приложение в списке ограниченных приложений для доступа к защищенному файлу, действие будет auditedиметь значение , blockedили blocked with override, в зависимости от того, как вы настроили список ограниченных приложений . Если приложение в списке ограниченных приложений также входит в группу ограниченных приложений, действия, настроенные для действий в группе ограниченных приложений , переопределяют действия, настроенные для списка Ограниченные приложения . Все действия проверяются и доступны для просмотра в обозревателе действий.
Важно!
Защита конечных точек от потери данных активируется, когда ограниченное приложение пытается получить доступ к файлу пользователем или самим приложением. Чтобы исключить путь из принудительного применения, добавьте его в список исключений. По этому пути находятся файлы, определенные в Обозреватель действий.
Группы ограниченных приложений
Группы ограниченных приложений — это коллекции приложений, которые вы создаете в параметрах DLP, а затем добавляете к правилу в политике. При добавлении ограниченной группы приложений в политику можно выполнить действия, определенные в следующей таблице.
| Параметр группы ограниченных приложений | Что это позволяет сделать |
|---|---|
| Не ограничивать действия с файлами | Указывает, что защита от потери данных позволяет пользователям получать доступ к защищенным элементам защиты от потери данных с помощью приложений в группе приложений без каких-либо действий при попытке копировать в буфер обмена, копировать на съемный USB-накопитель, копировать на сетевой диск или печатать из приложения. |
| Применить ограничение ко всем действиям | Сообщает О защите от потери данных Audit only, Block with overrideили Block , когда пользователь пытается получить доступ к элементу, защищенному защитой от потери данных, с помощью приложения, которое находится в соответствующей группе приложений. |
| Применить ограничения к определенному действию | Этот параметр позволяет пользователю получить доступ к защищенному DLP элементу с помощью приложения, которое находится в группе приложений. Он также позволяет выбрать действие по умолчанию (Audit only, Blockили Block with override) для защиты от потери данных, выполняемое при попытке пользователя скопировать в буфер обмена, Копировать на съемный USB-диск, Копировать на сетевой диск и Печать. |
Вы можете добавить не более 50 приложений в одну группу и создать не более 10 групп. Это позволяет получить не более 500 приложений, которым можно назначить действия политики.
Важно!
Параметры в группе ограниченных приложений переопределяют все ограничения, установленные в списке ограниченных приложений, если они находятся в том же правиле. Таким образом, если приложение входит в список ограниченных приложений и также входит в группу ограниченных приложений, применяются параметры группы ограниченных приложений.
Блокировать все приложения, кроме списка разрешенных приложений
Вы можете создать список разрешенных приложений и заблокировать все остальные приложения. Создавая список разрешенных приложений и блокируя все остальные приложения, вам не нужно создавать полный список недоверенных приложений и управлять им. Эта функция упрощает управление политиками и улучшает контроль над действиями файлов на основе приложений.
Примечание.
Общие фоновые приложения, такие как teamsupdate.exe или svchost.exe , предварительно настроены для обхода принудительного применения, чтобы предотвратить непреднамеренное вмешательство в основные операции.
В этой процедуре вы применяете уровень ограничения Разрешить , чтобы явно разрешить действия для определенной группы приложений, а затем заблокировать все приложения, которые отсутствуют в этом списке. Так как политика блокирует приложения, которые не входят в разрешенную группу, приложения, не имеющие определенного уровня ограничения, фактически блокируются, а приложения с уровнем ограничения, определенным как Разрешить , явно разрешены. Вы определяете ограниченную группу приложений, чтобы разрешить эту группу приложений, но вы также определяете ограниченную группу приложений, чтобы блокировать все приложения без определенных ограничений.
Перейдите в раздел Параметры защиты от потери данных конечной точки.
Определите разрешенные или санкционированные приложения в списке Ограниченные приложения и группы приложений .
В существующей или новой политике защиты от потери данных конечной точки найдите параметр Действия файлов для приложений в ограниченных группах приложений .
Добавьте требуемую группу ограниченных приложений.
Выберите Применить ограничение ко всем действиям и выберите Разрешить. Аудит и Выключение не будут работать.
Для всех остальных приложений задайте для параметра Доступ к приложениям, которые не включено в список "не разрешенные приложения" значение Блокировать.
Как DLP применяет ограничения к действиям
Взаимодействие между действиями файлов для приложений в ограниченных группах приложений, действиями файлов для всех приложений и списком ограниченных действий приложений относится к одному и тому же правилу.
Переопределения группы ограниченных приложений
Конфигурации, определенные в действиях с файлами для приложений в группах ограниченных приложений, переопределяют конфигурации из списка действий ограниченных приложений и действий с файлами для всех приложений в одном правиле.
Действия ограниченных приложений и действия с файлами для всех приложений
Конфигурации действий ограниченных приложений и действий с файлами для всех приложений применяются согласованно, если действием, определенным для действий ограниченных приложений, является Audit only или Block with override в том же правиле. Почему? Действия, определенные для ограниченных действий приложений , применяются только тогда, когда пользователь обращается к файлу с помощью приложения, которое находится в списке. После того, как пользователь получил доступ, применяются действия, определенные в действиях с файлами для всех приложений.
Например, вы добавляете Notepad.exe в ограниченные приложения и настраиваете действия файлов для всех приложений , чтобы применить ограничения к определенным действиям. Вы настраиваете оба варианта, как показано в следующей таблице:
| Настройка политики | Название приложения | Действия пользователей | Выполняемое действие DLP |
|---|---|---|---|
| Действия ограниченных приложений | Блокнот | Доступ к элементу под защитой DLP | Только аудит |
| Действия с файлами для всех приложений | Все приложения | Копирование в буфер обмена | Только аудит |
| Действия с файлами для всех приложений | Все приложения | Копирование на съемное USB-устройство | Блокировка |
| Действия с файлами для всех приложений | Все приложения | Копирование в общую сетевую папку | Только аудит |
| Действия с файлами для всех приложений | Все приложения | Печать | Блокировка |
| Действия с файлами для всех приложений | Все приложения | Копирование или перемещение с использованием запрещенного приложения Bluetooth | Заблокировано |
| Действия с файлами для всех приложений | Все приложения | Службы удаленных рабочих столов | Блокировать с переопределением |
Когда пользователь A открывает защищенный DLP-файл с помощью Блокнота, защита от потери данных разрешает доступ и выполняет аудит действия. Находясь в Блокноте, пользователь А пытается скопировать содержимое из защищенного элемента в буфер обмена. Это действие выполнено успешно, и DLP выполняет аудит действия. Пользователь A затем пытается распечатать защищенный элемент из Блокнота: действие блокируется.
Примечание.
Если для действия защиты от потери данных в ограниченных действиях приложения задано значение block, весь доступ блокируется и пользователь не может выполнять какие-либо действия с файлом.
Только действия с файлами для всех приложений
Если приложение отсутствует в списке Действия с файлами для приложений в группах приложений с ограниченным доступомили в списке Ограниченные действия приложений, с действием Audit only, или Block with override, все ограничения, определенные в действиях файлов для всех приложений, применяются в том же правиле.
Устройства с macOS
Вы также можете запретить приложениям macOS доступ к конфиденциальным данным, добавив их в список Ограниченные действия приложений .
Примечание.
Введите кроссплатформенные приложения с уникальными путями для ос, в которых они работают.
Чтобы найти полный путь к приложениям Mac, выполните указанные ниже действия.
На устройстве с macOS откройте Монитор действий. Найдите и дважды щелкните процесс, который требуется ограничить.
Откройте вкладку Открыть Files и Порты.
Запишите полное имя пути, включая имя приложения. Пример.
/System/Applications/TextEdit.app/Contents/MacOS/TextEdit
Автоматический карантин
Чтобы предотвратить синхронизацию конфиденциальных элементов с облаком с помощью приложений облачной синхронизации, таких какonedrive.exe, добавьте приложение облачной синхронизации в список ограниченных приложений с помощью автоматического карантина.
Если этот параметр включен, автокварантин активируется, когда приложение с ограниченным доступом пытается получить доступ к защищенному DLP конфиденциальному элементу. Автоматический карантин перемещает конфиденциальный элемент в папку, настроенную администратором. Если это настроено, автокварантин может оставить файл заполнителя (.txt) вместо исходного. Вы можете настроить текст в файле заполнителя, чтобы сообщить пользователям о новом расположении элемента и других соответствующих сведениях.
Используйте функцию автокварантины, когда неуправляемое приложение облачной синхронизации пытается получить доступ к элементу, защищенному политикой блокировки защиты от потери данных. Защита от потери данных может создавать повторяющиеся уведомления. Вы можете избежать этих повторяющихся уведомлений, включив автоматический карантин.
Вы также можете использовать автокварантину, чтобы предотвратить бесконечную цепочку уведомлений о защите от потери данных для пользователей и администраторов. Дополнительные сведения см. в статье Предотвращение раскрытия конфиденциальных файлов путем настройки автоматического карантина для приложение синхронизации OneDrive
Неподдерживаемые исключения расширений файлов
Используйте условие "Не удается проверить документ " вместе с параметром Применить ограничения только к неподдерживаемым расширениям файлов в политиках защиты от потери данных, чтобы ограничить действия, связанные с файлами с расширениями, которые не поддерживаются конечной точкой DLP. Так как это условие может потенциально включать множество неподдерживаемых расширений файлов, уточните обнаружение, добавив неподдерживаемые расширения для исключения. Дополнительные сведения см. в разделах Защита файлов, которые не проверяет защита от потери данных конечных точек , и Защита от совместного использования определенного набора неподдерживаемых файлов.
Примечание.
Не добавляйте при добавлении . расширения. Используйте последнюю версию клиента защиты от вредоносных программ.
Важно!
При выборе параметра Действия>Аудит или ограничение действий на устройствах появляется параметр Применить ограничения только к неподдерживаемого расширениям файлов . Параметр "Применить ограничения только к неподдерживаемым расширениям файлов " не поддерживает определение области для групп устройств и устройств в параметре расположения политики.
Блокировка определенных расширений файлов в политиках защиты от потери данных может привести к непредвиденному поведению, если приложение, помеченное как не разрешенное, должно получать доступ к файлам с этими расширениями в рамках своей обычной работы. Например, некоторые приложения могут считывать или временно открывать файлы, такие как .dll, .json.tmp во время рутинных процессов, таких как отрисовка, кэширование или проверка содержимого. Если вы заблокируете эти расширения, приложение может работать неправильно, что приведет к ошибкам, неполным рабочим процессам или принудительному выполнению всплывающих окон, не связанных с намерением пользователя. Перед реализацией ограничений на основе расширений убедитесь, что вы знаете, какие приложения взаимодействуют с этими типами файлов во время стандартных операций и могут ли альтернативные элементы управления, такие как ограничения приложений или контекстные правила, достичь цели безопасности без нарушения функциональности.
Неразрешенные приложения Bluetooth
Чтобы запретить пользователям передавать файлы, защищенные вашими политиками, через определенные приложения Bluetooth, добавьте эти приложения в список Не разрешенных приложений Bluetooth в параметрах защиты от потери данных конечной точки.
Ограничения браузера и домена по конфиденциальным данным
Запретите отправку конфиденциальных файлов, соответствующих вашим политикам, в домены служб, для которых отсутствуют ограничения.
Запрещенные браузеры
Для устройств Windows можно ограничить использование указанных веб-браузеров именами исполняемых файлов. Указанные браузеры не могут получить доступ к файлам, которые соответствуют условиям принудительной политики защиты от потери данных, где для ограничения отправки в облачные службы задано block значение или block override. Если эти браузеры заблокированы для доступа к файлу, пользователи видят всплывающее уведомление с просьбой открыть файл через Microsoft Edge.
Для устройств с macOS необходимо добавить полный путь к файлу. Чтобы найти полный путь к приложениям Mac, выполните указанные ниже действия.
На устройстве с macOS откройте Монитор действий. Найдите и дважды щелкните процесс, который требуется ограничить.
Откройте вкладку Открыть Files и Порты.
Обязательно запишите полное имя пути, включая имя приложения.
Домены служб
Параметр Домены служб работает с параметром Аудит или ограничение действий на устройствах в рабочем процессе для создания правила в политике защиты от потери данных.
При создании правила используйте действия для защиты содержимого при выполнении определенных условий. При создании правил для устройств конечных точек выберите параметр Аудит или ограничение действий на устройствах и выберите один из следующих параметров:
- Только аудит
- Блокировать с переопределением
- Блокировка
Чтобы определить, могут ли конфиденциальные файлы, защищенные политиками, передаваться в определенные домены служб, перейдите в раздел Параметры> конечной точки защиты от потери данныхв браузере и ограничения домена для конфиденциальных данных и выберите, следует ли блокировать или разрешатьдомены служб по умолчанию.
Примечание.
Параметр Домены служб применяется только к файлам, отправленным с помощью Microsoft Edge или экземпляров Google Chrome или Mozilla Firefox, на которых установлено расширение Microsoft Purview Chrome .
Блокировать домены служб
Если в списке Домены службзадано значение Блокировать, используйте параметр Добавить домен облачной службы , чтобы указать домены, которые нужно заблокировать. Все остальные домены служб разрешены. Если для списка Домены служб задано значение Блокировать, ограничения политики защиты от потери данных применяются только в том случае, если пользователь пытается передать конфиденциальный файл в любой из доменов в списке.
Например, рассмотрим следующие конфигурации:
- Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Только аудит.
- Для параметра Домены служб задано значение Блокировать.
- contoso.com НЕТ в списке.
- wingtiptoys.com is в списке.
В этом случае, если пользователь пытается отправить конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться и создается событие аудита, но оповещение не активируется.
В отличие от этого, если пользователь пытается передать конфиденциальный файл с кредитом карта номера в wingtiptoys.com, действие пользователя ( отправка ) также может быть завершено, и создается событие аудита и оповещение.
В другом примере рассмотрим следующую конфигурацию:
- Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Блокировать.
- Для параметра Домены служб задано значение Блокировать.
- contoso.com НЕТ в списке.
- wingtiptoys.com is в списке.
В этом случае, если пользователь пытается отправить конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться и создается событие аудита, но оповещение не активируется.
В отличие от этого, если пользователь пытается отправить конфиденциальный файл с кредитом карта номера в wingtiptoys.com, действие пользователя — отправка — блокируется, и создается событие аудита и оповещение.
Разрешить домены служб
Если для списка Домены службзадано значение Разрешить, используйте параметр Добавить домен облачной службы , чтобы указать разрешенные домены. Для всех остальных доменов служб применяются ограничения политики защиты от потери данных. Если для списка Домены служб задано значение Разрешить, политики защиты от потери данных применяются только в том случае, если пользователь пытается передать конфиденциальный файл в любой из перечисленных доменов.
Например, ниже приведены две начальные конфигурации:
- Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих номера карта кредитов, а параметр Аудит или ограничение действий на устройствах имеет значение Блокировать с переопределением.
- Для параметра Домены служб задано значение Разрешить.
- contoso.com в списке разрешенных нет.
- wingtiptoys.com IS в списке разрешенных .
В этом случае, если пользователь пытается передать конфиденциальный файл с номерами кредита карта в contoso.com, отправка блокируется, отображается предупреждение, предоставляющее пользователю возможность переопределить блок. Если пользователь переопределяет блок, создается событие аудита и активируется оповещение.
Однако если пользователь пытается передать конфиденциальный файл с номерами карта кредитов в wingtiptoys.com, ограничение политики не применяется. Отправка разрешена, и создается событие аудита, но оповещение не активируется.
- Политика защиты от потери данных настраивается для обнаружения конфиденциальных элементов, содержащих физические адреса, а параметр Аудит или ограничение действий на устройствах имеет значение Только аудит.
- Для параметра Домены служб задано значение Разрешить.
- contoso.com НЕТ в списке.
- wingtiptoys.com is в списке.
В этом случае, если пользователь пытается передать конфиденциальный файл с физическими адресами в contoso.com, отправка может завершиться, и создается событие аудита и оповещение.
В отличие от этого, если пользователь пытается передать конфиденциальный файл с номерами кредитов карта в wingtiptoys.com, действие пользователя ( отправка ) также может быть завершено, создается событие аудита, но предупреждение не активируется.
Важно!
Если для режима ограничения службы задано значение Разрешить, необходимо настроить по крайней мере один домен службы, прежде чем система применяет ограничения.
Сводная таблица: разрешенное или блокировочное поведение
В следующей таблице показано поведение системы в зависимости от перечисленных параметров.
| Параметр домена службы защиты от потери данных конечной точки | Параметр правила политики защиты от потери данных Аудит или ограничение действий на устройствах | Пользователь переходит на указанный в списке сайт | Пользователь переходит на сайт, не указанный в списке |
|---|---|---|---|
| Разрешить | Только аудит | — выполняется аудит активности пользователя. — оповещение не создается. — политики защиты от потери данных не применяются. |
— выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме аудита. |
| Разрешить | Блокировать с переопределением | — выполняется аудит активности пользователя. — оповещение не создается. — политики защиты от потери данных не применяются. |
— выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме блокировки с переопределением. |
| Разрешить | Блокировка | — выполняется аудит активности пользователя. — оповещение не создается. — политики защиты от потери данных не применяются. |
— выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме блокировки. |
| Блокировка | Только аудит | — выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме аудита. |
— выполняется аудит активности пользователя. — оповещение не создается. — политики защиты от потери данных не применяются. |
| Блокировка | Блокировать с переопределением | — выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме блокировки с переопределением. |
— аудит активности пользователей — оповещение не создается — политики защиты от потери данных не применяются. |
| Блокировка | Блокировка | — выполняется аудит активности пользователя. — Создается оповещение. — политики защиты от потери данных применяются в режиме блокировки. |
— выполняется аудит активности пользователя. — оповещение не создается. — политики защиты от потери данных не применяются. |
При добавлении домена в список используйте формат полного доменного имени домена службы без конечного периода (.). Используйте *. в качестве подстановочного знака для указания всех доменов или поддоменов. Исключите протокол (все, что раньше //) из домена. Включайте только имя узла без дочерних сайтов.
Например:
| Input | Поведение при совпадении URL-адресов |
|---|---|
| contoso.com |
Соответствует указанному домену и любому дочернему сайту: ://contoso.com
://contoso.com/
://contoso.com/anysubsite1 ://contoso.com/anysubsite1/anysubsite2 (и т. д.) Не соответствует поддоменам или неуказанным доменам: ://anysubdomain.contoso.com ://anysubdomain.contoso.com.AU |
| * .contoso.com |
Соответствует указанному домену, любому поддомену и любому сайту: ://contoso.com
://contoso.com/anysubsite
://contoso.com/anysubsite1/anysubsite2 ://anysubdomain.contoso.com/
://anysubdomain.contoso.com/anysubsite/
://anysubdomain1.anysubdomain2.contoso.com/anysubsite/
://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (и т. д.) Не соответствует неуказанным доменам ://anysubdomain.contoso.com.AU/ |
www.contoso.com |
Совпадает с указанным доменным именем:
Не соответствует неуказанным доменам или поддоменам ://anysubdomain.contoso.com/, в этом случае необходимо указать доменное имя полного доменного имени |
В разделе Домены конфиденциальной службы можно настроить до 50 доменов.
Примечание.
Параметр Списка доменов служб применяется только к отправке файлов на веб-сайты. Такие действия, как вставка в браузер, не соответствуют списку Домен службы.
Группы доменов конфиденциальных служб
При добавлении веб-сайта в домены конфиденциальной службы можно задать для политики auditзначение , block with overrideили полностью block действия пользователей, когда пользователи пытаются выполнить одно из следующих действий:
- печать с веб-сайта
- копирование данных с веб-сайта;
- сохранение веб-сайта в виде локальных файлов
- отправка или перетаскивание конфиденциального файла на исключенный веб-сайт
- Вставка конфиденциальных данных на исключенный веб-сайт
В следующей таблице показано, какие браузеры поддерживают эти функции.
| Браузер | Поддерживаемые функции |
|---|---|
| Microsoft Edge | — Печать сайта — копирование данных с сайта — Сохранение сайта как локальных файлов (сохранение как) — Вставка в поддерживаемые браузеры — отправка в домен облачной службы с ограниченным доступом |
| Google Chrome (с расширением Microsoft Purview) | — Вставка в поддерживаемые браузеры — отправка в домен облачной службы с ограниченным доступом |
| Mozilla Firefox (с расширением Microsoft Purview) | — Отправка в облачную службу с ограниченным доступом — вставка в поддерживаемые браузеры |
Для действия Вставка в поддерживаемые браузеры может быть кратковременная задержка между попыткой пользователя вставить текст на веб-страницу и когда система завершит его классификацию и ответит. Если такая задержка классификации возникает, вы можете увидеть уведомления об оценке политики и проверка завершения в Microsoft Edge или всплывающее уведомление об оценке политики в Chrome и Firefox. Ниже приведены некоторые советы по минимизации количества уведомлений.
- Уведомления активируются, когда политика для целевого веб-сайта настроена на блокировку или блокировку с переопределениемвставки в поддерживаемые браузеры для этого пользователя. Вы можете настроить общее действие для аудита , а затем использовать исключения для блокировки целевых веб-сайтов. Кроме того, можно задать для общего действия значение Блокировать , а затем использовать исключения для аудита безопасных веб-сайтов.
- Используйте последнюю версию клиента защиты от вредоносных программ.
- Убедитесь, что версия Microsoft Edge — 120 или более поздняя.
- Установите следующие базы знаний Windows:
- В macOS убедитесь, что версия клиента защиты от вредоносных программ — 101.25022.0003 или более поздняя.
Действие Вставка в поддерживаемые браузеры не соответствует поведению, определенному в списке Домен службы. Однако если группы доменов конфиденциальных служб настроены в правиле вставки в браузер, система учитывает настроенные группы доменов конфиденциальной службы.
Примечание.
Параметр Домены служб применяется только к файлам, отправленным с помощью Microsoft Edge или экземпляру Google Chrome или Mozilla Firefox, на котором установлено расширение Microsoft Purview Chrome . Группа Веб-сайты генеративного ИИ содержит эти поддерживаемые сайты. Группа используется для политик по умолчанию в Управление состоянием безопасности данных для ИИ и не может быть изменена или удалена.
Для устройств необходимо настроить список доменов конфиденциальных служб , чтобы использовать действие "Отправить в домен ограниченной облачной службы " в политике защиты от потери данных. Вы также можете определить группы веб-сайтов, которым требуется назначить действия политики, которые отличаются от действий глобальной группы веб-сайтов. Вы можете добавить не более 100 веб-сайтов в одну группу и создать не более 150 групп. Эта конфигурация предоставляет не более 15 000 веб-сайтов, которым можно назначить действия политики. Дополнительные сведения см. в статье Предотвращение рискованных действий пользователей путем мониторинга или ограничения доступа к конфиденциальным доменам служб.
Важно!
Что касается действия Вставить в поддерживаемый браузер . Если в правиле для этой функции включен параметр "Сбор исходного файла в качестве доказательства всех выбранных действий файлов в конечной точке", в исходном тексте могут появиться символы мусора, если на устройстве Windows пользователя не установлен клиент защиты от вредоносных программ версии 4.18.23110 или более поздней. Выберите Действия>Скачать , чтобы просмотреть фактическое содержимое.
Дополнительные сведения см. в статье Предотвращение утечки конфиденциального содержимого путем ограничения действий вставки в браузеры.
Поддерживаемый синтаксис для назначения веб-сайтов в группе веб-сайтов
Если вы используете URL-адреса для идентификации веб-сайтов, не включайте сетевой протокол в url-адрес (например, https:// или file://). Вместо этого используйте гибкий синтаксис для включения и исключения доменов, поддоменов, веб-сайтов и дочерних сайтов в группах веб-сайтов. Пример.
- Используйте
*.в качестве подстановочного знака, чтобы указать все домены или все поддомены. - Используйте
/в качестве конца в конце URL-адреса, чтобы область только к конкретному сайту.
При добавлении URL-адреса без завершающего знака косой черты ( /), этот URL-адрес ограничивается этим сайтом и всеми дочерними сайтами. Вы можете добавить *. только в начало домена. Терминатор / поддерживается только в конце домена.
Этот синтаксис применяется ко всем веб-сайтам http/https. Ниже приводятся примеры:
| URL-адрес, добавленный в группу веб-сайтов | Соответствие URL-адреса | URL-адрес не соответствует |
|---|---|---|
| contoso.com |
http:// contoso.com https:// contoso.com https:// contoso.com/ https:// contoso.com/allsubsites1 https:// contoso.com/allsubsites1/allsubsites2 |
https:// allsubdomains.contoso.com https:// allsubdomains.contoso.com.au https:// www.contoso.com |
| contoso.com/ |
http:// contoso.com https:// contoso.com https:// contoso.com/ |
https:// contoso.com/allsubsites1 https:// contoso.com/allsubsites1/allsubsites2 https:// allsubdomains.contoso.com https:// allsubdomains.contoso.com/au https:// www.contoso.com |
| *.contoso.com |
http:// contoso.com https:// contoso.com https:// www.contoso.com https:// www.contoso.com/allsubsites https:// contoso.com/allsubsites1/allsubsites2 https:// allsubdomains.contoso.com https:// allsubdomains.contoso.com/allsubsites https:// allsubdomains1.allsubdomains2.contoso.com/allsubsites1/allsubsites2 |
https:// allsubdomains.contoso.com.au |
| *.contoso.com/xyz |
http:// contoso.com/xyz/ https:// contoso.com/xyz/ https:// contoso.com/xyz/allsubsites/ https:// allsubdomains.contoso.com/xyz/ https:// allsubdomains.contoso.com/xyz/allsubsites https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 |
https:// https:// contoso.com/xyz allsubdomains.contoso.com/xyz |
| *.contoso.com/xyz/ |
http:// contoso.com/xyz https:// contoso.com/xyz https:// contoso.com/xyz/ https:// allsubdomains.contoso.com/xyz https:// allsubdomains.contoso.com/xyz/ |
https:// contoso.com https:// contoso.com/xyz/allsubsites/ https:// allsubdomains.contoso.com/xyz/allsubsites/ https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 |
Поддерживаемый синтаксис для назначения диапазонов IP-адресов или IP-адресов (предварительная версия)
В предварительной версии защита от потери данных поддерживает использование IP-адресов и диапазонов адресов для идентификации веб-сайтов. Задайте для параметра Тип соответствия значение IP-адрес или диапазон IP-адресов , а затем введите конкретный IP-адрес или диапазон IP-адресов в поле Домен конфиденциальной службы . Выберите Добавить сайт , чтобы добавить его в группу доменов конфиденциальной службы.
Примеры поддерживаемого синтаксиса:
- 1.1.1.1
- 1.1.1.1-2.2.2.2
- 2001:0db8:85a3:0000:0000:8a2e:0370:7334
- 2001:0db8:85a3:0000:0000:8a2e:0370:7320-2001:0db8:85a3:0000:0000:8a2e:0370:7334
Важно!
URL-адреса поддерживают следующие действия:
- Печать сайта
- Копирование данных с сайта
- Сохранение сайта как локальных файлов (сохранение как)
- Вставка в поддерживаемые браузеры
- Отправка в домен облачной службы с ограниченным доступом
IP-адрес и диапазон IP-адресов поддерживают следующие действия:
- Печать сайта
- Копирование данных с сайта
- Сохранение сайта как локальных файлов (сохранение как)
- Отправка в домен облачной службы с ограниченным доступом (только для Windows)
Группы доменов конфиденциальных служб содержат предварительно настроенную группу для веб-сайтов generative AI. Список всех веб-сайтов в этой группе см. в разделе Список сайтов ИИ, поддерживаемых Управление состоянием безопасности данных для ИИ Microsoft Purview.
Дополнительные параметры для DLP в конечной точке
Деловое обоснование в Подсказках политики
Вы можете управлять взаимодействием пользователей с параметром бизнес-обоснования в разделе Параметры настройки подсказок политики. Он отображается, когда пользователи выполняют действия, защищенные параметром Блокировать с возможностью переопределения в политике защиты от потери данных. Параметр бизнес-обоснования является глобальным. Выберите один из следующих параметров:
- Показать параметры по умолчанию и пользовательское текстовое поле. По умолчанию пользователи могут выбрать встроенное обоснование или ввести собственный текст.
- Показывать только параметры по умолчанию: пользователи могут выбирать только из списка встроенных оправданий.
- Показывать только настраиваемое текстовое поле. Пользователи могут вводить только пользовательское обоснование. Текстовое поле отображается в уведомлении о подсказке политики пользователя без списка параметров.
Настройка параметров в раскрывающемся меню
Вы можете создать до пяти настраиваемых параметров, которые отображаются при взаимодействии пользователей с подсказкой уведомления о политике, выбрав в раскрывающемся меню Настройка параметров.
| Параметр | Текст по умолчанию |
|---|---|
| вариант 1 | Это часть установленного бизнес-рабочего процесса или ввод настраиваемого текста |
| вариант 2 | Мой менеджер одобрил это действие или ввел настраиваемый текст |
| вариант 3 | Требуется срочный доступ; Я уведомляю руководителя отдельно или введу настраиваемый текст |
| Показать параметр ложного срабатывания | Сведения в этих файлах не являются конфиденциальными или вводом настраиваемого текста |
| вариант 5 | Другое или введите настраиваемый текст |
Включение автоматического ведения журнала диагностики для конечной точки защиты от потери данных
Функция Microsoft Purview Always-on диагностика автоматически записывает подробные журналы трассировки, экономя время и позволяя быстрее устранять неполадки. Дополнительные сведения см. в разделе Always-on диагностика для конечной точки DLP.
Включение защиты от потери данных конечной точки для Серверов Windows
Конечная точка защиты от потери данных поддерживает Windows Server 2019 и более поздних версиях.
После подключения Windows Server включите поддержку защиты от потери данных в конечной точке, чтобы применить защиту конечных точек.
Чтобы работать с панелью мониторинга управления оповещениями защиты от потери данных, выполните следующие действия.
- На портале Microsoft Purview перейдите в раздел Обзор защиты> от потери данных.
- Выберите Параметры в правом верхнем углу.
- В разделе Параметры выберите Параметры конечных точек и разверните узел Поддержка защиты от потери данных конечных точек для подключенных серверов.
- Установите переключатель в значение Вкл.
Всегда контролировать действия с файлами для устройств
По умолчанию при подключении устройств система автоматически проверяет действия office, PDF и CSV-файлов. Это действие можно просмотреть в обозревателе действий. Отключите эту функцию, если вы хотите выполнять аудит этого действия только в том случае, если подключенные устройства включены в активную политику. Параметр Действие всегда аудит файла для устройств позволяет выполнять аудит действий с файлами для документов, в которых правило защиты от потери данных не совпадает: файл создан, изменен файл, переименован файл, файл создан на съемных носителях и файл, созданный в общей сетевой папке.
Система всегда выполняет аудит активности файлов для подключенных устройств, независимо от того, включены ли они в активную политику.
Группы принтеров
Используйте этот параметр, чтобы определить группы принтеров, которым требуется назначить действия политики, отличающиеся от глобальных действий печати.
Наиболее распространенным вариантом использования для создания групп принтеров является использование их для ограничения печати контрактов только теми принтерами в юридическом отделе организации. Определив здесь группу принтеров, вы можете использовать ее во всех политиках, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в статье Создание политики для управления доступом к принтерам с помощью групп авторизации.
Можно создать не более 20 групп принтеров. Каждая группа может содержать не более 50 принтеров.
Примечание.
Группы принтеров доступны для устройств под управлением любой из следующих версий Windows:
- Windows 10 и более поздних версий (21H1, 21H2 и более поздних версий) — KB5020030
- Win 11 21H2 - KB5019157
- Win 11 22H2 — KB5020044
- Windows Server 2022 г. - KB5020032
Рассмотрим эти действия на примере. Предположим, что вы хотите, чтобы политика защиты от потери данных блокирует печать контрактов на всех принтерах, кроме принтеров, которые находятся в юридическом отделе.
Используйте следующие параметры для назначения принтеров в каждой группе.
Понятное имя принтера . Понятное имя принтера — это значение, отображаемое в пользовательском интерфейсе при выборе принтера.
USB-принтер — принтер, подключенный через USB-порт компьютера. Выберите этот параметр, если вы хотите применить любой USB-принтер, не выбрав идентификатор usb-продукта и идентификатор поставщика USB. Вы также можете назначить конкретный USB-принтер, указав его идентификатор продукта USB и идентификатор поставщика USB.
Идентификатор продукта USB . Получите значение пути экземпляра устройства из сведений о свойстве устройства принтера в диспетчере устройств. Преобразуйте это значение в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Standard идентификаторов USB.
Идентификатор поставщика USB . Получите значение пути экземпляра устройства из сведений о свойстве устройства принтера в диспетчере устройств. Преобразуйте это значение в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Standard идентификаторов USB.
Диапазон IP-адресов.
Печать в файл — Microsoft Print to PDF или Microsoft XPS Document Writer. Если вы хотите применить только microsoft Print to PDF, следует использовать понятное имя принтера с параметром Microsoft Print to PDF.
Универсальная печать, развернутая на принтере . Дополнительные сведения об универсальных принтерах см. в разделе Настройка универсальной печати.
Корпоративный принтер — это очередь печати, доступная через локальный сервер печати Windows в вашем домене. Путь может выглядеть следующим образом: \print-server\contoso.com\legal_printer_001.
Печать на локальном компьютере — любой принтер, подключенный через порт печати Майкрософт, но не любой из указанных выше типов. Например, печать через удаленный рабочий стол или принтер перенаправления.
Примечание.
Не следует использовать несколько параметров USB-принтера, диапазона IP-адресов, печати в файл, универсальной печати, развернутой на принтере, корпоративного принтера и печати на локальном компьютере.
Назначьте каждому принтеру в группе отображаемое имя. Эти имена отображаются только в консоли Microsoft Purview.
Создайте группу принтеров с именем Legal Printers и добавьте отдельные принтеры (с псевдонимом) по понятному имени; например,
legal_printer_001,legal_printer_002иlegal_color_printer. (Вы можете выбрать несколько параметров одновременно, чтобы помочь вам однозначно определить конкретный принтер.)Назначьте действия политики группе в политике защиты от потери данных:
Allow(аудит без уведомлений или оповещений пользователей)Audit only(вы можете добавлять уведомления и оповещения)Block with override(блокирует действие, но пользователь может переопределить)Реализована предварительная версия — исправление для решения ненужного повторного запроса для постановки задания печати в очередь после первоначального переопределения.
Block(блоки независимо от того, что)
Создание группы принтеров
- Откройте портал Microsoft Purview и перейдите в раздел Защита от потери> данных:> значок шестеренки параметров в правом верхнем углу >Защита от потери> данныхконечная точка защиты от потери данных Параметры принтеров>.
- Выберите + Создать группу принтеров.
- Введите имя группы.
- Выберите Добавить принтер.
- Введите понятное имя принтера. Убедитесь, что имя совпадает со значением из сведений о свойствах устройства принтера в диспетчер устройств.
- Выберите параметры и укажите значения, чтобы однозначно определить конкретный принтер.
- Нажмите Добавить.
- При необходимости добавьте другие принтеры.
- Нажмите кнопку Сохранить , а затем — Закрыть.
Группы расширений файлов
Используйте этот параметр для определения групп расширений файлов, которым требуется назначить действия политики. Например, можно применить политику "Не удалось проверить файл " только к расширениям файлов в созданных группах.
Примечание.
Не добавляйте при добавлении . расширения.
Отключение классификации
Используйте этот параметр, чтобы исключить определенные расширения файлов из классификации DLP конечной точки.
Для файлов, которые находятся в списке Отслеживаемые файлы , можно отключить классификацию с помощью этого параметра. При добавлении расширения файла в этот параметр защита от потери данных конечной точки не сканирует содержимое в файлах с этим расширением. В результате защита от потери данных в конечной точке не выполняет оценку политики на основе содержимого этих файлов. Сведения о содержимом для проведения расследований не отображаются.
Примечание.
Не добавляйте при добавлении . расширения.
Группы съемных USB-устройств
Этот параметр используется для определения групп съемных запоминающих устройств, таких как USB-накопители, которым требуется назначить действия политики, отличающиеся от глобальных действий съемных носителей. Например, предположим, что вы хотите, чтобы политика защиты от потери данных блокировала копирование элементов с техническими спецификациями на съемные запоминающие устройства, за исключением назначенных жестких дисков, подключенных к USB, которые используются для резервного копирования данных в автономном хранилище.
Вы можете создать до 20 групп с до 50 съемных запоминающих устройств в каждой группе.
Примечание.
Съемные группы USB-устройств доступны для устройств под управлением любой из следующих версий Windows:
- Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
- Windows 11 21H2, 22H2 с кб 5018483
- Windows 10 RS5 (KB 5006744) и Windows Server 2022
Используйте следующие параметры для определения съемных запоминающих устройств.
Понятное имя запоминающего устройства . Получите значение Понятное имя из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки (*).
Идентификатор продукта USB . Получите значение пути экземпляра устройства из сведений о свойстве USB-устройства в диспетчере устройств. Преобразуйте его в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Standard идентификаторов USB.
Идентификатор поставщика USB . Получите значение пути экземпляра устройства из сведений о свойстве USB-устройства в диспетчере устройств. Преобразуйте его в формат идентификатора продукта и идентификатора поставщика. Дополнительные сведения см. в разделе Standard идентификаторов USB.
Идентификатор серийного номера . Получите значение идентификатора серийного номера из сведений о свойстве устройства хранения в диспетчере устройств. Поддерживаются подстановочные знаки (*).
Идентификатор устройства . Получите значение идентификатора устройства из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки (*).
Идентификатор пути к экземпляру . Получите значение идентификатора устройства из сведений о свойстве запоминающего устройства в диспетчере устройств. Поддерживаются подстановочные знаки (*).
Идентификатор оборудования . Получите значение идентификатора оборудования из сведений о свойстве устройства хранения в диспетчере устройств. Поддерживаются подстановочные знаки (*).
Каждому съемным запоминаемым устройствам в группе присваивается псевдоним. Псевдоним — это понятное имя, которое отображается только в консоли Microsoft Purview. Таким образом, продолжая работу с примером, вы создаете группу съемных запоминающих устройств с именем Backup и добавляете отдельные устройства (с псевдонимом) по понятному имени, например backup_drive_001, и backup_drive_002.
Вы можете выбрать несколько параметров, после чего группа принтеров включает все устройства, удовлетворяющие этим параметрам.
Вы можете назначить следующие действия политики группе в политике защиты от потери данных:
-
Allow(аудит без уведомлений или оповещений пользователей) -
Audit only(вы можете добавлять уведомления и оповещения) -
Block withпереопределение (блокирует действие, но пользователь может переопределить) -
Block(блоки независимо от того, что)
Создание группы съемных USB-устройств
- Откройте портал Microsoft Purview и перейдите к значку шестеренкипараметров защиты >> от потери данныхв правом верхнем углу > Параметры защиты от потери> данныхПараметры съемных>USB-устройств.
- Выберите + Создать группу съемных запоминающих устройств.
- Введите имя группы.
- Выберите Добавить съемный носитель.
- Введите псевдоним.
- Выберите параметры и введите значения, чтобы четко определить конкретное устройство.
- Нажмите Добавить.
- При необходимости добавьте в группу другие устройства.
- Нажмите кнопку Сохранить , а затем — Закрыть.
Наиболее распространенный вариант использования для создания групп съемных носителей — указать, на какие съемные запоминающие устройства пользователи могут копировать файлы. Как правило, копирование разрешено только для устройств в указанной группе резервного копирования .
После определения группы съемных запоминающих устройств ее можно использовать во всех политиках, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в статье Создание политики для управления доступом к принтеру с помощью групп авторизации.
Группы общих сетевых ресурсов
Используйте этот параметр для определения групп путей к общим сетевым ресурсам, которым требуется назначить действия политики, которые отличаются от действий по пути глобальной сетевой общей папки. Например, предположим, что вы хотите, чтобы политика защиты от потери данных не позволяла пользователям сохранять или копировать защищенные файлы в сетевые общие папки, кроме общих сетевых ресурсов в определенной группе.
Примечание.
Группы общих сетевых ресурсов доступны для устройств под управлением любой из следующих версий Windows:
- Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
- Windows 11 21H2, 22H2 с кб 5018483
- Windows 10 RS5 (KB 5006744) и Windows Server 2022
Чтобы включить пути к общим сетевым ресурсам в группу, определите префикс, с которых начинаются все общие папки. Например, вы можете:
'\Library' соответствует:
- Папка \Library и все вложенные папки.
Можно использовать подстановочные знаки, например "\Пользователи*\Рабочий стол":
- '\Users\user1\Desktop'
- '\Users\user1\user2\Desktop'
- '\Users*\Desktop'
Можно также использовать переменные среды, например:
- %AppData%\app123
Поддерживаются подстановочные знаки. Таким образом, определение пути может содержать звездочку (
*) в середине пути или в конце пути.
Пример:\\Lib*обложки\\Libray
В политике защиты от потери данных группе можно назначить следующие действия политики:
-
Allow(аудит без уведомлений или оповещений пользователей) -
Audit only(вы можете добавлять уведомления и оповещения) -
Block with override(блокирует действие, но пользователь может переопределить) -
Block(блоки независимо от того, что)
После определения группы общих сетевых ресурсов ее можно использовать во всех политиках защиты от потери данных, которые относятся к устройствам. Дополнительные сведения о настройке действий политики для использования групп авторизации см. в статье Создание политики для управления доступом к принтеру с помощью групп авторизации.
Создание группы сетевых ресурсов
- Откройте портал Microsoft Purview и перейдите к разделу Защита от потери> данных:> значок шестеренки параметров в правом верхнем углу > Параметры защиты от потери> данныхконечная точка защиты от потери данных Группы сетевых общих>папок.
- Выберите + Создать группу общих сетевых ресурсов.
- Введите имя группы.
- Добавьте путь к файлу в общую папку.
- Нажмите Добавить.
- При необходимости добавьте в группу другие пути общего доступа.
- Нажмите кнопку Сохранить , а затем — Закрыть.
Параметры VPN
Используйте список VPN для управления только теми действиями, которые выполняются через этот VPN.
Примечание.
Параметры VPN доступны для устройств под управлением любой из следующих версий Windows:
- Windows 10 и более поздних версий (21H1, 21H2) с кб 5018482
- Windows 11 21H2, 22H2 с кб 5018483
- Windows 10 RS5 (KB 5006744)
При перечислении VPN в параметрах VPN ему можно назначить следующие действия политики:
-
Allow(аудит без уведомлений или оповещений пользователей) -
Audit only(вы можете добавлять уведомления и оповещения) -
Block with override(блокирует действие, но пользователь может переопределить) -
Block(блоки независимо от того, что)
Эти действия можно применять по отдельности или в совокупности к следующим действиям пользователя:
- Копирование в буфер обмена
- Копирование на съемные USB-устройства
- Копирование в общую сетевую папку
- Копирование или перемещение с помощью не разрешенного (ограниченного) приложения Bluetooth
- Копирование или перемещение с помощью RDP
При настройке политики защиты от потери данных для ограничения действий на устройствах вы можете управлять тем, что происходит с каждым действием, выполняемым при подключении пользователей к вашей организации в любом из перечисленных VPN.
Используйте параметры адрес сервера или Сетевой адрес , чтобы определить разрешенный VPN- адрес.
Получение адреса сервера или сетевого адреса
- На отслеживаемом устройстве Windows с отслеживанием защиты от потери данных откройте окно Windows PowerShell с правами администратора.
- Выполните следующий командлет. Он возвращает несколько полей и значений.
Get-VpnConnection
- Среди результатов командлета найдите поле ServerAddress и запишите это значение. Используйте ServerAddress при создании записи VPN в списке VPN.
- Найдите поле Имя и запишите это значение. Поле Имя сопоставляется с полем Сетевой адрес при создании записи VPN в списке VPN.
Добавление VPN
- Откройте портал Microsoft Purview и перейдите к значку шестеренки "Защита от потери> данных" в> правом верхнем углу >Параметры VPN защиты от потери данныхвконечной точке> защиты > от потери данных.
- Выберите Добавить или изменить VPN-адреса.
- Введите адрес сервера или Сетевой адрес , записанные после запуска
Get-VpnConnection. - Выберите Сохранить.
- Закройте элемент.
Важно!
В параметре Сетевые ограничения также отображается параметр Корпоративная сеть .
Все подключения к корпоративной сети — это подключения к ресурсам вашей организации. Чтобы узнать, использует ли устройство корпоративную сетьGet-NetConnectionProfile, выполните командлет от имени администратора.
NetworkCategoryId Если в выходных данных используется DomainAuthenticatedзначение , это означает, что компьютер подключен к корпоративной сети. Если выходные данные являются чем-либо другим, компьютер — нет.
В некоторых случаях компьютер может быть подключен как к VPN, так и к корпоративной сети . Если оба параметра выбраны в разделе Сетевые ограничения, конечная точка защиты от потери данных применяет действие в зависимости от порядка. Если вы хотите, чтобы действие для VPN было применено, переместите запись VPN над корпоративной сетью , чтобы иметь более высокий приоритет, чем действие для корпоративной сети.
Дополнительные сведения о настройке действий политики для использования сетевых исключений см. в статье Создание политики для управления действиями с файлами путем реализации сетевых исключений .