Diagnósticos always-on para DLP de punto de conexión

La característica de diagnóstico always-on de Microsoft Purview permite el registro de seguimiento continuo y automatizado para la prevención de pérdida de datos de punto de conexión (DLP). Esta funcionalidad reduce considerablemente la sobrecarga administrativa al eliminar la necesidad de la configuración manual del registro y la reproducción de problemas.

Cuando se abre un caso de soporte técnico con Microsoft, a menudo se requieren registros de diagnóstico para ayudar con el análisis de la causa principal. Con los diagnósticos always-on habilitados, la telemetría completa ya está disponible, lo que permite a los administradores omitir los pasos de recopilación de datos tradicionales. Esto no solo acelera el flujo de trabajo de soporte técnico, sino que también mejora la precisión en la identificación y resolución de problemas.

Los registros de diagnóstico se pueden cargar de forma segura directamente en Soporte técnico de Microsoft, simplificando el envío de casos y acelerando el tiempo de resolución. Este enfoque de registro proactivo mejora la eficacia operativa y mejora la capacidad de respuesta del soporte técnico.

Sistemas operativos Windows compatibles

Permissions

Roles necesarios para ver y crear solicitudes de recopilación de registros

Roles de id. de entra

• Administrador global
• Administrador de cumplimiento
• Administrador de seguridad

Purview Roles

Debe asignarse en el nivel de inquilino; No se admiten administradores con ámbito:

• OrganizationConfiguration
• ManageAlerts
• ViewOnlyManageAlerts
• InformationProtectionAdmin
• InformationProtectionAnalyst
• InformationProtectionInvestigator

Roles necesarios para habilitar la característica

Roles de id. de entra

• Administrador global
• Administrador de cumplimiento
• Administrador de seguridad

Roles de Purview (solo en el nivel de inquilino)

• OrganizationConfiguration
• ComplianceAdmin
• SecurityAdmin
• DLPComplianceManagement
• InformationProtectionAdmin

Activar diagnósticos always-on y habilitar la carga

1. Inicie sesión en el portal de Microsoft Purview.
2. Vaya a Configuración Diagnósticos> always-on deprevención>de pérdida de datos (versión preliminar).
3. Seleccione Activado.
4. Establezca el período de almacenamiento en caché. Se recomiendan 90 días.
5. Establezca el almacenamiento máximo para el dispositivo. El intervalo debe estar comprendido entre 500 y 1500 MB.
6. Haga clic en Guardar.
7. Para habilitar la carga, en Carga automática de registros de dispositivos , seleccione Compartir diagnósticos con Microsoft.

Solicitud de registros de dispositivos

Al identificar un problema y abrir una llamada de soporte técnico con Microsoft, puede solicitar que los archivos de registro se envíen a Soporte técnico de Microsoft.

1. En Purview, seleccione una de las ubicaciones para iniciar una solicitud de archivos de registro.
   1. En Configuración > Dispositivos de incorporación de > dispositivos, seleccione un dispositivo de la lista.
   2. En Eventos de alertas > de prevención > de pérdida de datos, seleccione un evento de la lista.
   3. En explorador de actividades de Data Loss Prevention > Explorers>, seleccione una alerta de la lista.
2. En función de la ubicación elegida, en Diagnósticos alwayson seleccione Solicitar registro de dispositivos.
3. Seleccione el intervalo de fechas y proporcione una breve descripción.
4. Seleccione Enviar solicitud de recopilación.
5. Después de enviar la solicitud, debe esperar hasta que se complete la solicitud. Vaya a Configuración Diagnósticos> always-on deprevención>de pérdida de datos (versión preliminar).
6. En la lista, identifique el dispositivo que se está investigando. Una vez completado el estado, proporcione el número de solicitud asociado para Soporte técnico de Microsoft.

Recuperación de registros de dispositivos (proceso heredado)

Si no ha habilitado la recopilación y carga automáticas, puede recuperar manualmente los registros mediante la herramienta analizador de cliente Microsoft Defender para punto de conexión (MDE).

1. Descargue la versión preliminar del analizador de cliente de Microsoft Defender para punto de conexión (MDE) en el dispositivo de punto de conexión.

2. Extraiga el contenido del archivo MDEClientAnalyzer.zip descargado en cualquier carpeta.

3. Abra un símbolo del sistema y vaya a la carpeta extraída.

   Nota:

   No necesita privilegios administrativos para recuperar registros de diagnóstico. Si ejecuta la herramienta sin derechos de administrador, es posible que vea advertencias de acceso. Puede omitirlas sin problemas.

4. Escriba MDEClientAnalyzer.cmd -r -t -m 0.

5. Acepte el contrato de CLUF para continuar.

6. Cuando se le solicite, proporcione un nombre de archivo del informe usado durante la recopilación de registros. Especificación de la ruta de acceso completa del archivo.

   Nota:

   Si recibe una advertencia de acceso porque no está en modo de administrador, puede omitirla de forma segura.

7. Una vez recopilados los archivos de seguimiento, se muestra un resumen de resultados (MDEClientAnalyzer.htm). Revise la siguiente configuración para comprobar que se ha habilitado la característica always-on:

   Configuración	Valor
   Sensetracer always-on enable	Sí

   Los registros se guardan en la subcarpeta \MDEClientAnalyzerResult. Puede enviar los registros al soporte técnico de Microsoft.

   Para obtener más métodos de registro de diagnóstico, consulte Análisis de registros de diagnóstico DLP de punto de conexión.\

Vea también

Diagnósticos de autoayuda para Microsoft Purview
Recopilación de registros de diagnóstico DLP de punto de conexión