Diagnostics always-on pour la DLP de point de terminaison

La fonctionnalité always-on diagnostics dans Microsoft Purview permet une journalisation des traces continue et automatisée pour la protection contre la perte de données des points de terminaison (DLP). Cette fonctionnalité réduit considérablement la surcharge administrative en éliminant la nécessité d’une configuration manuelle des journaux et de la reproduction des problèmes.

Lorsqu’un cas de support est ouvert avec Microsoft, les journaux de diagnostic sont souvent nécessaires pour faciliter l’analyse de la cause racine. Avec always-on diagnostics activé, des données de télémétrie complètes sont déjà disponibles, ce qui permet aux administrateurs de contourner les étapes de collecte de données traditionnelles. Cela accélère non seulement le flux de travail de support, mais améliore également la précision de l’identification et de la résolution des problèmes.

Les journaux de diagnostic peuvent être téléchargés de manière sécurisée directement dans Support Microsoft, ce qui simplifie la soumission des cas et accélère le délai de résolution. Cette approche de journalisation proactive améliore l’efficacité opérationnelle et la réactivité du support.

Systèmes d’exploitation Windows pris en charge

Autorisations

Rôles requis pour afficher et créer des demandes de collecte de journaux

Rôles d’ID Entra

• Administrateur général
• Administrateur de conformité
• Administrateur de sécurité

Rôles Purview

Doit être attribué au niveau du locataire ; Les administrateurs délimités ne sont pas pris en charge :

• OrganizationConfiguration
• ManageAlerts
• ViewOnlyManageAlerts
• InformationProtectionAdmin
• InformationProtectionAnalyst
• InformationProtectionInvestigator

Rôles requis pour activer la fonctionnalité

Rôles d’ID Entra

• Administrateur général
• Administrateur de conformité
• Administrateur de sécurité

Rôles Purview (au niveau du locataire uniquement)

• OrganizationConfiguration
• ComplianceAdmin
• SecurityAdmin
• DLPComplianceManagement
• InformationProtectionAdmin

Activer le diagnostics Always On et activer le chargement

1. Connectez-vous au portail Microsoft Purview.
2. Accédez à Paramètres>Protection contre la> perte de donnéesalways-on diagnostics (préversion) .
3. Sélectionnez Activé.
4. Définir la période de stockage du cache. 90 jours sont recommandés.
5. Définissez le stockage maximal pour l’appareil. La plage doit être comprise entre 500 et 1 500 Mo.
6. Sélectionnez Enregistrer.
7. Pour activer le chargement, sous Charger automatiquement les journaux d’activité de l’appareil, sélectionnez Partager diagnostics avec Microsoft.

Demander des journaux d’activité d’appareil

Lorsque vous identifiez un problème et ouvrez un appel de support auprès de Microsoft, vous pouvez demander l’envoi des fichiers journaux à Support Microsoft.

1. Dans Purview, sélectionnez l’un des emplacements pour lancer une demande de fichiers journaux.
   1. Dans Paramètres Appareils > d’intégration d’appareil>, sélectionnez un appareil dans la liste.
   2. Dans Événements d’alertes de protection contre > la > perte de données, sélectionnez un événement dans la liste.
   3. Dans l’Explorateur > d’activités de protection contre la > perte de données, sélectionnez une alerte dans la liste.
2. En fonction de l’emplacement que vous avez choisi, sous Diagnostics Always On , sélectionnez Demander le journal de l’appareil.
3. Sélectionnez la plage de dates et fournissez une brève description.
4. Sélectionnez Envoyer une demande de regroupement.
5. Après avoir envoyé la demande, vous devez attendre que la demande soit terminée. Accédez à Paramètres>Protection contre la> perte de donnéesalways-on diagnostics (préversion) .
6. Dans la liste, identifiez l’appareil en cours d’examen. Une fois la status terminée, indiquez le numéro de demande associé à Support Microsoft.

Récupérer les journaux d’activité des appareils (processus hérité)

Si vous n’avez pas activé la collecte et le chargement automatiques, vous pouvez récupérer manuellement les journaux à l’aide de l’outil Analyseur client Microsoft Defender pour point de terminaison (MDE).

1. Téléchargez la préversion de l’analyseur client Microsoft Defender pour point de terminaison (MDE) sur l’appareil de point de terminaison.

2. Extrayez le contenu du fichier MDEClientAnalyzer.zip téléchargé dans n’importe quel dossier.

3. Ouvrez une invite de commandes et accédez au dossier extrait.

   Remarque

   Vous n’avez pas besoin de privilèges administratifs pour récupérer les journaux de diagnostic. Si vous exécutez l’outil sans droits d’administrateur, des avertissements d’accès peuvent s’afficher. Vous pouvez les ignorer sans problème.

4. Tapez MDEClientAnalyzer.cmd -r -t -m 0.

5. Acceptez l’accord CLUF pour continuer.

6. Lorsque vous y êtes invité, indiquez un nom de fichier du rapport utilisé lors de la collecte des journaux. Spécification du chemin d’accès complet au fichier.

   Remarque

   Si vous recevez un avertissement d’accès parce que vous n’êtes pas en mode administrateur, vous pouvez l’ignorer en toute sécurité.

7. Une fois les fichiers de trace collectés, un résumé des résultats (MDEClientAnalyzer.htm) s’affiche. Passez en revue le paramètre suivant pour vérifier que la fonctionnalité Always On a été activée :

   Paramètre	Valeur
   Activation always-on de Sensetracer	Oui

   Les journaux sont enregistrés sous le sous-dossier \MDEClientAnalyzerResult. Vous pouvez envoyer les journaux au support Microsoft.

   Pour obtenir d’autres méthodes de journalisation des diagnostics, consultez Analyser les journaux de diagnostic DLP de point de terminaison\

Voir aussi

Diagnostics d’aide autonome pour Microsoft Purview
Collecter les journaux de diagnostic DLP du point de terminaison