Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare la protezione JIT (Endpoint Data Loss Prevention) ji-in-time ( DLP) per rilevare e bloccare le attività in uscita nei file monitorati durante il completamento della valutazione dei criteri.
Si applica a
La protezione JIT per Endpoint DLP supporta questi dispositivi:
- Windows 10
- Windows 11
- macOS (le tre versioni più recenti)
Procedura consigliata per la distribuzione della protezione ji-in-time
Nota
Consentire almeno un'ora per gli aggiornamenti delle impostazioni JIT, inclusa la disabilitazione del push jit nei dispositivi client.
Passaggio 1: Preparare l'ambiente
Prima di poter distribuire la protezione ji-in-time, è necessario distribuire prima di tutto il client antimalware versione 4.18.23080 o successiva. L'esperienza utente finale della protezione JIT è stata migliorata nella versione 4.18.25080 o successiva.
Consiglio
Per ottimizzare la produttività dell'utente, configurare e distribuire i criteri di prevenzione della perdita dei dati degli endpoint nei dispositivi prima di abilitare la protezione JIT per evitare il blocco inutilmente dell'attività degli utenti durante la valutazione dei criteri.
Nota
Per i computer con una versione obsoleta del client Antimalware, è consigliabile disabilitare la protezione ji-in-time installando uno dei kb seguenti:
- Per scoprire quali dispositivi hanno il client Antimalware necessario, passare a Indagine portale> di sicurezza& risposta>Ricerca avanzata ed eseguire questa query.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc
Di seguito è riportato un esempio dell'output della query.
È anche possibile passare allapagina Diagnosticaprevenzione> perdita dati e selezionare Scheda di prevenzione della perdita dei dati endpoint non funzionante per verificare se un dispositivo specifico ha soddisfatto o meno i prerequisiti JIT.
Passaggio 2: Distribuire la protezione JIT
Accedere al portale di Microsoft Purview.
Selezionare Impostazioni> Protezioneji-in-timeper la prevenzione> della perdita dei dati.
In Scegliere le posizioni da monitorare selezionare la casella di controllo accanto a Dispositivi.
In Azione di fallback in caso di errore selezionare Consenti agli utenti di completare le azioni. In questo modo l'azione dell'utente può essere completata se la classificazione ha esito negativo.
Attenzione
Non scegliere l'opzione Blocca agli utenti di completare le azioni finché non si comprende appieno l'impatto di questa funzionalità.
Se si seleziona Consenti agli utenti di completare le azioni o Impedise agli utenti di completare le azioni in questo caso, non verrà modificato se il blocco JIT viene attivato o meno. Il blocco tramite JIT viene applicato se l'utente è nell'ambito. L'imposizione della prevenzione della perdita dei dati degli endpoint quando la classificazione non riesce è controllata da Consenti agli utenti di completare le azioni o impedire agli utenti di completare le azioni.
Se si seleziona Consenti agli utenti di completare le azioni, Endpoint DLP consentirà l'attività in uscita quando la classificazione non riesce. Se si seleziona Blocca gli utenti per completare le azioni, Endpoint DLP bloccherà l'attività in uscita quando la classificazione non riesce.
Passaggio 3: Stimare il numero di eventi di protezione JIT per la distribuzione
È consigliabile convalidare le impostazioni in ogni fase finché il numero di eventi non è stabile e si ha una buona conoscenza delle dimensioni possibili del gruppo di utenti su cui si vuole applicare il criterio, in base ai calcoli di telemetria seguenti.
Stimare l'impatto della distribuzione della protezione JIT eseguendo il calcolo seguente in base agli eventi in Esplora attività:
N = Numero di computer univoci che generano eventi JIT.
S = Numero totale di computer nell'ambito della distribuzione.
N/S restituisce una percentuale di computer che potrebbero riscontrare un evento "blocco" di protezione JIT.
Con queste informazioni, è necessario conoscere il numero di computer interessati dall'implementazione della modalità JIT Block quando si espande l'ambito e il numero di ticket di supporto possibili visualizzati. È quindi possibile decidere se espandere o meno l'ambito.
Passaggio 4: Ottimizzare la protezione JIT tramite altre impostazioni aggiuntive
Oltre al ripristino in caso di errore, come descritto nel passaggio 1, è anche possibile usare le impostazioni seguenti per ottimizzare la protezione JIT:
- Controlla la copia negli Appunti: attiva questa opzione se vuoi impedire agli utenti di copiare contenuto negli Appunti mentre la protezione JIT sta valutando il file.
Nota
L'attivazione del controllo della copia negli Appunti potrebbe influire sulla produttività dell'utente. Assicurarsi di testare l'impatto sulla produttività prima di attivare questa impostazione.
- Esclusioni di app per Windows: le app incluse qui non verranno valutate dalla protezione JIT nei dispositivi Windows.
- Esclusioni di app per Mac: le app incluse qui non verranno valutate dalla protezione JIT nei dispositivi macOS.
- Esclusioni di estensioni di file: Files con le estensioni aggiunte qui non verranno valutate dalla protezione JIT.
- Esclusioni di percorsi di file per Windows: Files in queste posizioni non verranno valutate dalla protezione JIT.
- Esclusioni di percorsi di file per Mac: Files in queste posizioni non verranno valutate dalla protezione JIT.
Se si vuole modificare l'ambito della protezione JIT dopo l'ottimizzazione di tutte queste impostazioni, è possibile tornare al passaggio 2.
Altri dettagli sulle esclusioni
Le impostazioni di esclusione del percorso file in JIT sono diverse dalle esclusioni di percorso file per Windows trovate tramiteImpostazioni impostazionidi prevenzione> della perdita dei datiImpostazioni>> endpointEsclusioni del percorso file per Windows.
Le esclusioni di percorsi di file in JIT escludono solo percorsi di file specifici dalla protezione JIT. In tutti gli altri casi, Microsoft Purview applica ancora la classificazione e la protezione DLP degli endpoint per i file in tali cartelle.
Le esclusioni di percorsi di file per l'impostazione di Windows impediscono a Purview di applicare la classificazione e la protezione DLP degli endpoint per i file nelle cartelle specificate.
Esclusioni di estensione di file: Files con queste estensioni non vengono valutate dalla protezione JIT.
Passaggio 5: Distribuire la protezione JIT in "Impedisci agli utenti di completare le azioni" per l'impostazione "Azione di fallback in caso di errore"
Questa configurazione controlla la modalità di imposizione applicata dalla prevenzione della perdita dei dati quando la classificazione non riesce. Non controlla il blocco JIT o il controllo JIT per i file candidati JIT. Il blocco JIT o controllo JIT è controllato dal modo in cui viene definito l'ambito dei criteri. Indipendentemente dal valore selezionato, i dati di telemetria pertinenti vengono visualizzati in Esplora attività.