端點 DLP 的全時連線診斷

Microsoft Purview 中的 Always-on 診斷功能，能持續自動記錄終端資料遺失 (DLP) 。 此功能大幅降低行政負擔，免除手動日誌配置與發行文件的繁瑣需求。

當向 Microsoft 開啟支援個案時，通常需要診斷日誌來協助根本原因分析。 啟用 Always-on 診斷後，完整的遙測服務已經可行，讓管理員能繞過傳統的資料收集步驟。 這不僅加速了支援工作流程，也提升了問題識別與解決的準確度。

診斷日誌可安全直接上傳至 Microsoft 支援服務，簡化案件提交流程並加速解決時間。 這種主動的日誌方法提升了營運效率並提升支援回應速度。

受支援的 Windows 作業系統

權限

查看及建立日誌收集請求所需的角色

Entra ID 角色

• 全域系統管理員
• 合規性系統管理員
• 安全性系統管理員

Purview 職務

必須在租戶層級指派;不支援有範圍的管理員：

• 組織配置
• 管理警示
• ViewOnlyManageAlerts
• 資訊保護管理員
• 資訊保護分析師
• 資訊保護調查員

啟用此功能所需的角色

Entra ID 角色

• 全域系統管理員
• 合規性系統管理員
• 安全性系統管理員

Purview 角色 (僅限租戶層級)

• 組織配置
• 合規管理員
• 安全管理員
• DLPComplianceManagement
• 資訊保護管理員

開啟 Always-on 診斷並啟用上傳功能

1. 登入 Microsoft Purview 入口網站。
2. 進入 設定>、資料遺失防止、>常開診斷 (預覽) 。
3. 選擇 開啟。
4. 設定快取儲存週期。 建議90天。
5. 設定裝置的最大儲存空間。 範圍必須介於 500-1500 MB 之間。
6. 選取 [儲存]。
7. 要啟用上傳，請在 「自動上傳裝置日誌 」中選擇 「與 Microsoft 分享診斷資料」。

請求裝置日誌

當你發現問題並與 Microsoft 開通客服電話時，可以請求將日誌檔案送交給 Microsoft 支援服務。

1. 在 Purview 中，選擇其中一個位置來發起日誌檔案請求。
   1. 從設定>中的裝置入門>裝置，從清單中選擇一個裝置。
   2. 從資料遺失警報>>事件中，從列表中選擇一個事件。
   3. 從 資料遺失防止 > 總覽 > 的活動總管中，從列表中選擇一個警示。
2. 根據你選擇的位置，在 「永遠開啟的診斷 」中選擇 「請求裝置日誌」。
3. 選擇日期範圍並提供簡短描述。
4. 選擇 「提交催收請求」。
5. 提交申請後，您必須等待申請完成。 進入 設定>、資料遺失防止、>常開診斷 (預覽) 。
6. 從清單中找出正在調查的裝置。 狀態完成後，請將相關請求編號提供給 Microsoft 支援服務。

取得舊有程序 (裝置日誌)

如果你沒有啟用自動收集與上傳，你可以使用 適用於端點的 Microsoft Defender (MDE) Client Analyzer 工具手動取得日誌。

1. 請在端點裝置下載適用於端點的 Microsoft Defender (MDE) Client Analyzer 的預覽版。

2. 將下載的 MDEClientAnalyzer.zip 檔案內容解壓到任何資料夾。

3. 打開命令提示字元，然後導航到解壓出來的資料夾。

   注意事項

   你不需要管理員權限來取得診斷日誌。 如果你在沒有管理員權限的情況下執行這個工具，可能會看到存取警告。 您可以放心地忽略它們。

4. 類型 MDEClientAnalyzer.cmd -r -t -m 0。

5. 接受最終用戶授權協議（EULA）同意繼續。

6. 當被要求時，提供日誌收集時所用報告的檔案名稱。 指定完整的檔案路徑。

   注意事項

   如果你因為不是管理員模式而收到存取警告，你可以放心忽略它。

7. 收集完追蹤檔案後，會顯示結果摘要 (MDEClientAnalyzer.htm) 。 請檢查以下設定以確認「永遠連線」功能是否已啟用：

   設定	值
   Sensetracer 永遠開啟	是

   日誌儲存在 \MDEClientAnalyzerResult 子資料夾中。 你可以把日誌提交給 Microsoft 支援。

   如需更多診斷日誌方法，請參見 分析端點 DLP 診斷日誌\

另請參閱

Microsoft Purview 自助診斷
收集端點 DLP 診斷日誌