Always-On-Diagnose für Endpunkt-DLP

Das Feature "Always-On Diagnose" in Microsoft Purview ermöglicht eine kontinuierliche, automatisierte Ablaufverfolgungsprotokollierung zur Verhinderung von Datenverlust (Data Loss Prevention, DLP). Diese Funktionalität reduziert den Verwaltungsaufwand erheblich, da keine manuelle Protokollkonfiguration und problemrepromittierte Wiedergabe erforderlich ist.

Wenn ein Supportfall bei Microsoft geöffnet wird, sind häufig Diagnoseprotokolle erforderlich, um die Ursachenanalyse zu unterstützen. Wenn Always-On-Diagnose aktiviert ist, sind bereits umfassende Telemetriedaten verfügbar, sodass Administratoren herkömmliche Datensammlungsschritte umgehen können. Dies beschleunigt nicht nur den Supportworkflow, sondern verbessert auch die Genauigkeit bei der Identifizierung und Behebung von Problemen.

Diagnoseprotokolle können sicher direkt in Microsoft-Support hochgeladen werden, um die Übermittlung von Fällen zu optimieren und die Zeit bis zur Lösung zu beschleunigen. Dieser proaktive Protokollierungsansatz verbessert die betriebliche Effizienz und verbessert die Reaktionsfähigkeit des Supports.

Unterstützte Windows-Betriebssysteme

Berechtigungen

Rollen Zum Anzeigen und Erstellen von Protokollsammlungsanforderungen erforderlich

Entra-ID-Rollen

• Globaler Administrator
• Compliance-Administrator
• Sicherheitsadministrator

Purview-Rollen

Muss auf Mandantenebene zugewiesen werden; Bereichsbezogene Administratoren werden nicht unterstützt:

• OrganizationConfiguration
• ManageAlerts
• ViewOnlyManageAlerts
• InformationProtectionAdmin
• InformationProtectionAnalyst
• InformationProtectionInvestigator

Erforderliche Rollen zum Aktivieren des Features

Entra-ID-Rollen

• Globaler Administrator
• Compliance-Administrator
• Sicherheitsadministrator

Purview-Rollen (nur auf Mandantenebene)

• OrganizationConfiguration
• ComplianceAdmin
• SecurityAdmin
• DLPComplianceManagement
• InformationProtectionAdmin

Aktivieren von Always-On-Diagnose und Aktivieren des Uploads

1. Melden Sie sich beim Microsoft Purview-Portal an.
2. Navigieren Sie zu Einstellungen>Verhinderung von> DatenverlustAlways-On-Diagnose (Vorschau).
3. Wählen Sie Ein aus.
4. Legen Sie den Cachespeicherzeitraum fest. Es werden 90 Tage empfohlen.
5. Legen Sie den maximalen Speicher für das Gerät fest. Der Bereich muss zwischen 500 und 1500 MB liegen.
6. Klicken Sie auf Speichern.
7. Um den Upload zu aktivieren, wählen Sie unter Geräteprotokolle automatisch hochladendie Option Diagnose mit Microsoft freigeben aus.

Anfordern von Geräteprotokollen

Wenn Sie ein Problem identifizieren und einen Supportanruf bei Microsoft öffnen, können Sie anfordern, dass die Protokolldateien an Microsoft-Support gesendet werden.

1. Wählen Sie in Purview einen der Speicherorte aus, an dem eine Anforderung für Protokolldateien initiiert werden soll.
   1. Wählen Sie unter Einstellungen > Geräte onboarding > Devices (Geräte integrieren) ein Gerät aus der Liste aus.
   2. Wählen Sie unter Ereignisse zur Verhinderung von > Datenverlustwarnungen >ein Ereignis aus der Liste aus.
   3. Wählen Sie im Aktivitäts-Explorer > zur Verhinderung von > Datenverlust eine Warnung aus der Liste aus.
2. Wählen Sie basierend auf dem ausgewählten Standort unter Always-On-Diagnose die Option Geräteprotokoll anfordern aus.
3. Wählen Sie den Datumsbereich aus, und geben Sie eine kurze Beschreibung an.
4. Wählen Sie Sammlungsanforderung übermitteln aus.
5. Nachdem Sie die Anforderung übermittelt haben, müssen Sie warten, bis die Anforderung abgeschlossen ist. Navigieren Sie zu Einstellungen>Verhinderung von> DatenverlustAlways-On-Diagnose (Vorschau).
6. Identifizieren Sie in der Liste das untersuchte Gerät. Wenn die status abgeschlossen ist, geben Sie die zugeordnete Anforderungsnummer an, um Microsoft-Support.

Abrufen von Geräteprotokollen (Legacyprozess)

Wenn Sie die automatische Sammlung und den Upload nicht aktiviert haben, können Sie Protokolle mithilfe des Microsoft Defender for Endpoint (MDE) Client Analyzer-Tools manuell abrufen.

1. Laden Sie die Vorschauversion des Microsoft Defender for Endpoint (MDE) Client Analyzer auf das Endpunktgerät herunter.

2. Extrahieren Sie den Inhalt der heruntergeladenen MDEClientAnalyzer.zip-Datei in einen beliebigen Ordner.

3. Öffnen Sie eine Eingabeaufforderung, und navigieren Sie zum extrahierten Ordner.

   Hinweis

   Sie benötigen keine Administratorrechte, um Diagnoseprotokolle abzurufen. Wenn Sie das Tool ohne Administratorrechte ausführen, werden möglicherweise Zugriffswarnungen angezeigt. Diese können Sie unbesorgt ignorieren.

4. Geben Sie MDEClientAnalyzer.cmd -r -t -m 0 ein.

5. Akzeptieren Sie die EuLA-Vereinbarung, um den Vorgang fortzusetzen.

6. Wenn Sie dazu aufgefordert werden, geben Sie einen Dateinamen des Berichts an, der während der Protokollsammlung verwendet wird. Angeben des vollständigen Dateipfads.

   Hinweis

   Wenn Sie eine Zugriffswarnung erhalten, weil Sie sich nicht im Administratormodus befinden, können Sie sie problemlos ignorieren.

7. Sobald die Ablaufverfolgungsdateien gesammelt wurden, wird eine Ergebniszusammenfassung (MDEClientAnalyzer.htm) angezeigt. Überprüfen Sie die folgende Einstellung, um zu überprüfen, ob die Always-On-Funktion aktiviert wurde:

   Einstellung	Wert
   Sensetracer Always-On-Aktivierung	Ja

   Die Protokolle werden im Unterordner \MDEClientAnalyzerResult gespeichert. Sie können die Protokolle an den Microsoft-Support übermitteln.

   Weitere Diagnoseprotokollierungsmethoden finden Sie unter Analysieren von DLP-Diagnoseprotokollen für Endpunkte.\

Siehe auch

Selbsthilfe-Diagnose für Microsoft Purview
Erfassen von DLP-Diagnoseprotokollen für Endpunkte