適用於:
端點資料外洩防護 (端點 DLP) 和內部風險管理要求 Windows 10 Windows 和 Windows 11 裝置上線到服務,才能將監視資料傳送至服務。
端點 DLP 可讓您監視 Windows 10 或 Windows 11 裝置,並偵測敏感性項目使用和共用的時間。 這為您提供所需的可見度和控制,以確保它們得到正確使用和保護,並協助防止可能危害它們的風險行為。 如需所有 Microsoft DLP 供應項目的詳細資訊,請參閱了解資料外洩防護。 若要深入了解端點 DLP,請參閱 深入了解端點資料外洩防護。
端點 DLP 也可讓您將執行下列 Windows Server 版本的裝置上線:
Windows Server 2019 (2023 年 11 月 14 日 — KB5032196 (OS Build 17763.5122) - Microsoft 支援服務)
Windows Server 2022 (2023 年 11 月 14 日安全性更新 (KB5032198) - Microsoft 支援服務)
注意事項
安裝支援的 Windows Server KB 會停用伺服器上的分類功能。 這表示端點 DLP 不會對伺服器上的檔案進行分類。 不過,端點 DLP 仍會保護伺服器上在將這些 KB 安裝在伺服器上之前分類的檔案。 若要確保此保護,請安裝 Microsoft Defender 2023 年 10 月 (4.18.23100 版) 或更新版本。
根據預設,當 Windows 伺服器最初上線時,不會為 Windows 伺服器啟用端點 DLP。 您必須先開啟已 上線伺服器的端點 DLP 支援,才能在活動總管中查看伺服器的端點 DLP 事件。
正確配置後,相同的資料遺失防護策略可以自動應用於 Windows PC 和 Windows 伺服器。
內部風險管理採用完整的服務和第三方指標,可協助您快速發現、分級有風險的使用者活動,並採取行動。 透過使用 Microsoft 365 和 Microsoft Graph 中的記錄,內部風險管理可讓您定義用於識別風險指標的特定原則,並且採取動作以緩解這些風險。 如需詳細資訊,請參閱 深入了解內部風險管理。
裝置上線在 Microsoft 365 和適用於端點的 Microsoft Defender (MDE) 之間共用。 如果您已將裝置上線至 MDE,它們會出現在受控裝置清單中,而且不需要進一步的步驟即可將這些特定裝置上線。 Microsoft Purview 入口網站中的裝置上線裝置也會將它們上線至 MDE。
開始之前
SKU/訂閱授權
如需授權的相關資訊,請參閱
權限
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度許可權的角色,應該只用於無法使用較低許可權角色的案例。
若要啟用裝置管理,您使用的帳戶必須屬於下列任一角色的成員:
- 安全性系統管理員
- 合規性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來查看 [裝置管理] 設定,則必須具有下列其中一種角色:
- 合規性系統管理員
- 合規性資料系統管理員
- 全域讀取者
- 安全性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來存取上線/離線頁面,則必須具有下列其中一種角色:
- 合規性系統管理員
- 安全性系統管理員
- 全域系統管理員
如果想要使用自訂帳戶來開啟/關閉裝置監控,則必須具有下列其中一種角色:
- 合規性系統管理員
- 安全性系統管理員
- 全域系統管理員
準備您的 Windows 裝置
請確認您需要上線的 Windows 裝置符合這些需求。
必須執行下列其中一個 Windows 或 Windows Server 組建:
Windows (X64) :
Windows (ARM64) :
Windows Server 2019 作業系統:1809 以上版本或 Windows Server 2022 作業系統:21H2 之後。
反惡意軟體用戶端版本為 4.18.2110 或更新版本。 開啟 Windows 安全性應用程式,選取 [設定] 圖示,然後選取 [關於],以查看您目前的版本。 版本號碼會列在 [反惡意程式碼用戶端版本] 底下。 安裝Windows Update KB4052623更新至最新的反惡意程式碼用戶端版本。 如需詳細資訊,請參閱:Windows 中的 Microsoft Defender 防病毒軟體。 新的反惡意軟體用戶端版本或新的反惡意軟體引擎版本發行後,不再支援早於 N-2 的版本。
所有裝置都必須為下列其中一項:
已安裝支援的 Microsoft 365 Apps 版本,且為最新狀態。 為了獲得最強大的保護和使用者體驗,請確定已安裝 Microsoft 365 Apps 16.0.14701.0 版或更新版本。
注意事項
- 如果您執行的是 Office 365 - 需要 KB 4577063。
- 如果您使用的是 Microsoft 365 Apps 版本 2004-2008 的每月企業頻道,您需要更新到版本 2009 或更高版本。 請參閲目前版本的 Microsoft 365 Apps 的更新歷程記錄 (依日期列出)。 若要深入了解已知問題,請參閱 2020 年目前通道版本的版本資訊 中的 Office 套件一節。
如果您有使用裝置 Proxy 連線至網際網路的端點,請按照為資訊保護設定裝置 Proxy 和網際網路連線設定中的程序。
重要事項
確保允許 MpDlpService.exe 通過防火牆、第三方防病毒軟件或應用程序控制。
以下是每個功能的先決條件。
| 功能 | 必要條件 |
|---|---|
| 在藍圖標識碼 (警告和封鎖快顯通知訊息中新增超連結支援480733) | 需要反惡意軟體用戶端版本 4.18.25010 或更新版本。 |
| 敏感性服務網域群組內的 IP 或 IP 位址範圍支援 (藍圖識別碼479759) | 需要反惡意軟體用戶端版本 4.18.25010 或更新版本。 |
| 原則中的允許和關閉模式 (藍圖識別碼481356) | 需要反惡意軟體用戶端版本 4.18.25010 或更新版本。 |
| 端點 DLP 和裝置群組型原則範圍支援 (藍圖識別碼 480732) | Windows 10:查看更新詳細信息 Windows 11 22H2:查看更新詳細信息 Windows 11 23H2:查看更新詳細信息 Windows 11 24H2:查看更新詳細信息 |
| 完整檔案辨識項支援受限制的應用程式 (Roadmap ID 479757) | 需要反惡意軟體用戶端版本 4.18.25020 或更新版本。 |
| 對印表機 (路線圖 ID 486369) 的暫停和恢復支援 | 需要反惡意軟體用戶端版本 4.18.25030 或更新版本。 |
| 將檔案類型涵蓋範圍提高到 100+ (路線圖 ID 416481) | Windows 10:查看更新詳細信息 Windows 11 22H2:查看更新詳細信息 Windows 11 23H2:查看更新詳細信息 Windows 11 24H2:查看更新詳細信息 |
| Teams 的端點 DLP 支援 | 需要反惡意軟體用戶端版本 4.18.25050 或更新版本。 |
| 針對裝置上所有檔案的進階標籤型保護 (Roadmap ID 487859) | 需要資訊保護用戶端版本:3.1.309 或更新版本。 需要反惡意軟體用戶端版本 4.18.25050 或更新版本。 Windows 10:查看更新詳細信息 Windows 11 22H2:查看更新詳細信息 Windows 11 23H2:查看更新詳細信息 Windows 11 24H2:查看更新詳細信息 |
| Edge 上的網路共用/卸除式媒體/印表機群組支援 (藍圖 ID 486370) | Edge:需要 137 或更新版本。 需要反惡意軟體用戶端版本 4.18.25050 或更新版本。 |
將 Windows 10 或 Windows 11 裝置上線
您必須先啟用裝置監控與上線端點,才能監視與防護裝置上的敏感性項目。 這兩個動作都是在 Microsoft Purview 入口網站中完成。
當您想要將尚未上線的裝置上線時,請下載適當的腳本並將其部署到這些裝置。 請遵循下列裝置上線程序。
如果您已經將裝置上線至適用於端點的 Microsoft Defender,它們已經出現在受控裝置清單中。
在此部署案例中,您會將尚未上線的 Windows 10 或 Windows 11 裝置上線。
開啟 Microsoft Purview 入口網站。 選擇 [設定]>[裝置上線]>[裝置]。
注意事項
如果您先前已部署適用於端點的 Microsoft Defender,該程序期間上線的所有裝置都會列在 [裝置] 清單中。 無需再次加入他們。 雖然啟用裝置上線通常需要大約 60 秒的時間,但在與 Microsoft 支援服務互動之前,最多需要 30 分鐘。
選擇 [開啟裝置上線]。
選擇 [上線] 開始上線程序。
從 部署方法 清單中選擇要部署到這些其他裝置的方式,然後 下載套件。
從下表選擇要遵循的適當程序:
文章 描述 Intune 使用行動裝置管理工具或 Microsoft Intune 在裝置上部署組態套件。 Configuration Manager 您可以使用 Microsoft Endpoint Configuration Manager (最新分支) 版本 1606 或 Microsoft Endpoint Configuration Manager (最新分支) 版本 1602 或更早版本,在裝置上部署組態套件。 群組原則 使用群組原則在裝置上部署組態套件。 本機指令碼 深入了解如何使用本機指令碼在端點上部署組態套件。 虛擬桌面基礎結構 (VDI) 裝置 深入了解如何使用組態套件來設定 VDI 裝置。
檢查裝置狀態
將裝置上線後,您可以在 [裝置] 清單中檢查裝置的狀態。 首先檢查 配置狀態 。 設定狀態 會顯示裝置是否已正確設定、是否將活動訊號傳送至 Purview,以及上次驗證設定的時間。 針對 Windows 裝置,設定包括檢查 Microsoft Defender 防病毒軟體的狀態、永遠開啟的保護和行為監視。
如果沒有任何範圍限定為 [裝置] 位置的 DLP 原則,您將不會在 [ 原則同步處理狀態 ] 欄位中看到有效資訊。
注意事項
已上線的裝置會在裝置離線後 180 天繼續顯示。
如需如何針對裝置 設定狀態 和 原則同步處理狀態 問題進行疑難排解的資訊,請參閱: 針對端點資料外洩防護設定和原則同步進行疑難排解