您可以使用Microsoft Purview 資料外洩防護 (DLP) 來監視對您判斷為敏感的項目所採取的動作,並協助防止意外共用這些項目。
端點資料外洩防護 (端點 DLP) 將 DLP 的活動監控和保護功能擴展到 Windows 10/11、macOS (三個最新發布的主要版本) 裝置,以及 Windows 某些伺服器版本。 將裝置上線至 Microsoft Purview 解決方案之後,使用者對敏感性專案執行哪些動作的相關資訊就會顯示在 活動總管中。 然後,您可以透過 DLP 原則對這些專案強制執行保護動作。
何時依端點 DLP 分類檔案?
端點 DLP 會在下列條件下對檔案進行分類:
- 創建或修改: 每次建立或修改檔案時,都會完整掃描敏感性資訊類型, (SIT) 和標籤。 然後評估檔案是否符合 DLP 原則和規則。
- 讀取已分類的檔案: 讀取已分類的檔案時,端點 DLP 會檢查原則、規則或 SIT 的任何變更。 如果 DLP 組態發生變更,它會重新評估原則和規則,但不會重新擷取文字。
提示
如果您要尋找抽取式儲存體的裝置控制,請參閱 適用於端點的 Microsoft Defender 裝置控制 抽取式儲存體存取控制。
注意事項
端點 DLP 無法從檔上另一個租使用者偵測到敏感度標籤。
端點 DLP Windows 10/11 和 macOS 支援
端點 DLP 可讓您將執行下列 Windows Server 版本的裝置上線:
Windows Server 2019 (2023 年 11 月 14 日 — KB5032196 (OS Build 17763.5122) - Microsoft 支援服務)
Windows Server 2022 (2023 年 11 月 14 日安全性更新 (KB5032198) - Microsoft 支援服務)
注意事項
安裝支援的 Windows Server KB 會停用伺服器上的分類功能。 這表示端點 DLP 不會對伺服器上的檔案進行分類。 不過,端點 DLP 仍會保護伺服器上在將這些 KB 安裝在伺服器上之前分類的檔案。 若要確保此保護,請安裝 Microsoft Defender 2023 年 10 月 (4.18.23100 版) 或更新版本。
根據預設,當 Windows 伺服器最初上線時,不會為 Windows 伺服器啟用端點 DLP。 您必須先 啟用適用於 Windows Server 的端點 DLP,才能在活動總管中查看伺服器的端點 DLP 事件。
正確配置後,相同的資料遺失防護策略可以自動應用於 Windows PC 和 Windows 伺服器。
| 設定 | 子集 | Windows 10、1809 及更新版本、Windows 11、2019 Windows Server Windows Server 2022 (21H2 起) 適用於 X64 () 端點 | macOS (三個最新發布的版本) | 附註 |
|---|---|---|---|---|
| 進階分類掃描與保護 | 配置的頻寬限制 | 支援 | 支援 | 進階分類可為 macOS 啟用下列功能: - 文件指紋識別 以精確資料相符為基礎的敏感性資訊類型 - 可訓練的分類器 - 瞭解具名實體- |
| Windows 的檔案路徑排除 | 不適用 | 支援 | 不適用 | |
| Mac 的檔案路徑排除 | n/a | n/a | 支援 | macOS 包含預設啟用的建議排除清單 |
| 設定裝置上檔案活動的辨識項收集 | 在裝置上設定證據快取 | 支援 | 預覽 | |
| 網路共用涵蓋範圍和排除條件 | 不適用 | 支援 | 支援 | |
| 受限制的應用程式和應用程式群組 | 受限制的應用程式群組 | 支援 | 支援 | |
| 受限制的應用程式和應用程式群組 | 受限制的應用程式 | 支援 | 支援 | |
| 受限制的應用程式和應用程式群組 | 自動隔離設定 | 支援 | 支援 | |
| 不受允許的藍牙應用程式 | 不適用 | 支援 | 支援 | |
| 敏感性資料的瀏覽器與網域限制 | 不受允許的瀏覽器 | 支援 | 支援 | |
| 敏感性資料的瀏覽器與網域限制 | 服務網域 | 支援 | 支援 | |
| 敏感性資料的瀏覽器與網域限制 | 敏感服務網域群組 | 支援 | 支援 | |
| 端點 DLP 的其他設定 | 原則提示中的業務理由 | 支援 | 支援 | |
| 一律稽核裝置的檔案活動 | 不適用 | 支援 | 支援 | |
| 印表機群組 | 不適用 | 支援 | 支援 | |
| 卸除式 USB 裝置群組 | 不適用 | 支援 | 支援 | |
| 網路共用群組 | 不適用 | 支援 | 支援 | |
| VPN 設定 | 不適用 | 支援 | 不支援 |
設定 DLP 原則的範圍 (預覽)
在預覽版中,端點的 DLP 原則會以使用者和裝置為範圍。 若要套用端點原則,使用者和裝置都必須在原則範圍內。 這表示如果使用者在原則範圍內,但裝置不在原則範圍內,則不會套用原則。 同樣地,如果裝置在原則範圍內,但使用者不在原則範圍內,則不會套用原則。
如需設定端點 DLP 原則範圍的詳細資訊,請參閱 裝置範圍設定。
其他設定
| 設定 | Windows 10/11、Windows 10、1809 和更新版本、Windows 11 | Windows Server 2019 年、2022 Windows Server (21H2 起) 適用於 X64) 的端 (點 | macOS (三個最新發布的版本) |
|---|---|---|---|
| 封存檔案 | 支援 | 支援 | 支援 |
| 檔案類型和副檔名 | 支援 | 支援 | 支援 |
| 啟用適用於 Windows Server 的端點 DLP | 不支援 | 支援 | 不支援 |
注意事項
設定為網域控制站的 Windows Server 或在安裝期間選取核心伺服器選項的 Windows Server 不支援端點 DLP。
您可以監視和採取動作的端點活動
端點 DLP 可讓您審核及管理下列類型的活動,使用者可以對實際儲存 Windows 10、Windows 11 或 macOS 裝置的敏感專案採取這些動作。
| 活動 | 描述 | Windows 10 (21H2、22H2) 、Windows 11 (21H2、22H2) 、Windows Server 2019、Server 2022 (21H2 以上) 適用於端點 (X64) | Windows 11 (21H2、22H2) 適用於端點 (ARM64) | macOS三個最新發布版本 | 可審計/ 可限制 |
|---|---|---|---|---|---|
| 上傳至受限制的雲端服務網域,或從不允許的瀏覽器存取 | 使用者嘗試將項目上載到受限服務域或透過瀏覽器存取項目時偵測。 如果他們使用不允許的瀏覽器,則會封鎖上傳活動,並將使用者重新導向為使用 Microsoft Edge。 然後,Microsoft Edge 會根據 DLP 原則設定允許或封鎖上傳或存取。 您可以根據 資料外洩防護設定中的允許/不允許網域清單,封鎖、警告或稽核受保護檔案何時可以上傳或防止上傳至雲端服務。 當設定的動作設定為警告或封鎖時, (在 資料外洩防護設定 下的不允許的瀏覽器清單中定義的其他瀏覽器) 被封鎖存取檔案。 | 支援 | 支援 | 支援 | 可審計和可限制 |
| 貼到支援的瀏覽器 | 偵測使用者何時嘗試將內容貼到受限制的服務網域。 評估會針對正在貼上的內容執行。 此評估與內容來源來源專案的分類方式無關。 | 支援 | 支援 | 預覽 | 可審計和可限制 |
| 複製到剪貼簿 | 當使用者嘗試從受保護的檔案複製內容時,您可以封鎖、封鎖並覆寫或稽核將受保護的檔案複製到端點裝置上的剪貼簿。 如果規則設定為 [封鎖] 或 [封鎖覆寫],則在來源內容敏感時會封鎖複製,除非目的地位於相同的 Microsoft 365 Office 應用程式內。 此活動也適用於搭配 Windows 365 使用 Azure 虛擬桌面時重新導向的剪貼簿。 | 支援 | 支援 | 支援 | 可審計和可限制 |
| 複製到 USB 卸除式裝置 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動到 USB 抽取式媒體。 | 支援 | 支援 | 支援 | 可審計和可限制 |
| 複製到網路共用 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動至任何網路共用,包括重新導向的 USB 裝置,這些裝置在具有 Windows 365 的 Azure 虛擬桌面上顯示為網路共用。 | 支援 | 支援 | 支援 | 可審計和可限制 |
| 偵測到此活動時,您可以封鎖、警告或稽核從端點裝置列印受保護的檔案。 此活動也適用於搭配 Windows 365 使用 Azure 虛擬桌面時重新導向的印表機。 | 支援 | 支援 | 支援 | 可審計和可限制 | |
| 使用不允許的藍牙應用程式複製或移動 | 偵測使用者何時嘗試將項目複製到不允許的藍牙應用程式 (如 資料外洩防護設定>端點設定) 中不允許的藍牙應用程式清單中所定義。 | 支援 | 支援 | 支援 | 可審計和可限制 |
| 使用 RDP 複製或移動 | 偵測使用者何時嘗試將項目複製到遠端桌面平台工作階段。 | 支援 | 支援 | 不支援 | 可審計和可限制 |
| 建立項目 | 偵測項目的建立。 | 支援 | 支援 | 支援 | 可審計 |
| 重新命名項目 | 偵測項目的重新命名。 | 支援 | 支援 | 支援 | 可審計 |
| 受限制的應用程式存取 | 偵測受限制應用程式清單中的應用程式何時 (受 限制應用程式和應用程式群組 中定義) 嘗試存取端點裝置上受保護的檔案。 | 支援 | 支援 | 支援 | |
| 建立 Windows 召回快照集 (預覽) | 偵測何時有包含敏感性資訊類型的專案或 Teams 訊息,或已套用敏感度標籤,這些標籤將包含在 Windows 召回 快照集中。 | 支援 | 不支援 | 不支援 | 可審計和可限制 |
複製到剪貼簿行為
當您將規則設定為 [封鎖] 或 [封鎖並覆寫] 時,當使用者嘗試對符合原則的檔案中的內容進行複製到剪貼簿活動時,使用者會在下列設定中看到此行為:
Word 檔案 123 包含符合複製到剪貼簿封鎖規則的敏感資訊。
Excel 文件 123 包含與複製到剪貼板阻止規則匹配的敏感信息。
PowerPoint 檔案 123 包含符合複製到剪貼簿封鎖規則的敏感資訊。
Word 文件 789 不包含敏感信息。
Excel 檔案 789 不包含敏感資訊。
PowerPoint 檔案 789 不包含敏感性資訊。
記事本 (或任何非 Microsoft Office 型應用程式或進程) 檔案 XYZ 包含符合複製到剪貼簿封鎖規則的敏感性資訊。
記事本 (或任何非 Microsoft Office 型應用程式或進程) 檔案 ABC 不包含敏感性資訊。
| 來源 | Destination | 行為 |
|---|---|---|
| Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 允許複製和貼上,換句話說,允許檔案內複製和貼上。 |
| Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | Word 檔案 789/Excel 檔案 789/PowerPoint 檔案 789 | 複製和貼上被阻止,換句話說,檔案間複製和貼上被阻止。 |
| Word 檔案 789/Excel 檔案 789/PowerPoint 檔案 789 | Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 允許複製和粘貼 |
| Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 記事本檔案 ABC | 複製和貼上被封鎖 |
| 記事本檔案 XYZ | 任何 | 副本被封鎖 |
| 記事本檔案 ABC | 任何 | 允許複製和粘貼 |
注意事項
當封鎖複製的 DLP 規則套用至開啟的檔案時,當 DLP 封鎖的檔案開啟時,從相同應用程式內的任何其他檔案複製 (甚至是未套用 DLP 規則的檔案也會受到限制) 。
端點 DLP 原則的最佳做法
假設您想要封鎖所有包含信用卡號碼的項目,使其無法離開財務部門使用者的端點。 我們建議:
- 建立原則,並將其範圍設定為端點和該使用者群組。
- 在原則中建立規則,偵測您想要保護的資訊類型。 在此情況下,請將內容包含設定為 [敏感性資訊類型*],然後選取 [信用卡]。
- 將每個活動的動作設定為 [封鎖]。
如需設計 DLP 原則的詳細資訊,請參閱 設計資料外洩防護原則 。
注意事項
在 Microsoft Purview 中,敏感性專案的 DLP 原則評估會集中進行,因此原則和原則更新不會散發至個別裝置的時間延遲。 在 Microsoft Purview 入口網站中更新原則時,這些更新通常需要大約一小時才能在整個服務之間同步處理。 同步處理原則更新之後,目標裝置上的專案會在下次存取或修改時自動重新評估。 在預覽版中,您也可以使用 隨選分類 來識別和分類儲存在 SharePoint 和 OneDrive 中歷程記錄資料中的敏感性內容。 對於授權群組變更,原則需要 24 小時才能同步。
受監視的檔案
透過原則監控的檔案
端點 DLP 會透過 Windows 10、11 中的原則監視這些檔案類型:
| 檔案類型 | 格式 | 受監控的副檔名 |
|---|---|---|
| Word 處理 | Word | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .obd, obt |
| 試算表 | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .xlb, .xlc, .csv, .tsv |
| Presentation | PowerPoint | .ppt, .pptx, .pptm, .pps, .ppsx, .ppsm, .pot, .potx, .potm, .ppam, .pos |
| 封存 | 郵遞區號、ZipX、RAR、7z、TAR | .zip, .zipx, .rar, .7z, .tar, .gz, .arj, .bz2, .cab, .chm, .lha, .lzh, .lzma, .mhtml, .msp, .xar, .xz |
| Adobe PDF | .pdf |
|
| Text | Text | .asm, .bat, .c, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .inx, .java, .m3u, .messagestorage, .mpx, .php, .pl, .pos, .txt, .vcf, .vcs |
| HTML | HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .htw, .htx, .jhtml, .html |
| JSON | JSON | .json, .adaptivecard, .messagecard |
| 郵件 | 郵件 | .eml, .msg, .nws |
| XML | XML | .infopathml, .jsp, .mspx |
| Microsoft Office xml | Microsoft Office xml | .excelml, .powerpointml, .wordml |
| 受保護的檔案 | PFile | .pbmp, .pgif, .pjfif, .pjpe, .pjpeg, .pjpg, .pjt, .ppng, .ptif, .ptiff, .ptxt, .pxla, .pxlam, .pxml |
| 其他 | 其他 | .dfx, .dxf, .fluid, .mime, .pointpub, .rtf, .vtt |
端點 DLP 會透過最新三個主要版本的 macOS 中的原則來監控這些檔案類型:
| macOS |
|---|
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config |
如果啟用了 OCR,則可以透過 Windows 10、11 和 macOS 裝置中的原則設定來監控這些檔案類型:
.jpg, .png, .tif, .tiff, .bmp, .jpeg
端點 DLP 會掃描具有上述指定副檔名的檔案。 如果您需要保護或監控未列出的檔案,請使用「僅對不支援的副檔名套用限制」功能。 此功能與 檔案副檔名之間的 主要差異是條件:
- 端點 DLP 會掃描檔案 副檔名是 條件的內容,讓您在事件或警示中查看敏感性資訊類型值。 相反地, 「僅將限制套用至不支援的副檔名」 功能不會掃描檔案內容。
- 檔案副檔名是條件觸發內容掃描,這可能會消耗更高的機器資源,例如 CPU 和內存,可能會導致某些檔案類型的效能問題。 如需「 僅將限制套用至不支援的副檔名 」功能的詳細資訊,請參閱下列資源:
- 協助保護端點資料外洩防護未掃描的檔案
- 協助防止共用一組已定義的不支援檔案
無論原則相符項為何,都會稽核檔案
在 Windows 10、11 和最新的三個主要 macOS 版本中,可以稽核這些檔案類型的活動,即使不存在原則相符專案也一樣:
| Windows 10、11 | macOS |
|---|---|
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp |
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv |
重要事項
如需 Adobe 搭配 PDF 檔案使用Microsoft Purview 資料外洩防護 (DLP) 功能需求的相關資訊,請參閱 Adobe 的這篇文章:Acrobat 中的Microsoft Purview 資訊保護支援。
如果您只想監視原則相符項目的資料,您可以在資料外洩防護設定>端點設定中關閉裝置的一律稽核檔案活動。
如果 [一律稽核裝置的檔案活動] 設定已開啟,則一律會稽核任何 Word、PowerPoint、Excel、PDF 和 .csv 檔案上的活動,即使裝置不是任何原則的目標也一樣。
為了確保針對所有支援的檔案類型進行審核活動,請建立 自訂的 DLP 原則。
端點 DLP 會根據 MIME 類型監視活動,因此即使檔案副檔名已變更,也會針對下列檔案類型擷取活動:
將副檔名變更為任何其他副檔名之後:
.doc.docx.xls.xlsx.ppt.pptx.pdf
如果副檔名僅變更為支援的副檔名:
.txt.msg.rtf.c.cpp.h.cs.java.tsv
不支援的檔案類型
端點 DLP 不支援監控下列檔案類型:
.exe.dll.sys.lib.obj.mui.spl.drv.pf.crdownload.ini
端點 DLP 有何不同
在您深入了解端點 DLP 之前,您必須先注意一些額外的概念。
啟用裝置管理
[裝置管理] 是一種能夠從裝置收集遙測資訊,並將之引入 Microsoft Purview 解決方案 (例如端點 DLP 和 內部風險管理) 中的功能。 您必須在 DLP 原則中將您想要用作位置的所有裝置上線。
上線和離職是透過您從裝置管理中心下載的指令碼來處理。 裝置管理中心具有下列每個部署方法的自訂指令碼:
- 本機指令碼 (最多 10 部電腦)
- 群組原則
- 系統中心設定管理 (版本 1610 或更新版本)
- 行動裝置管理 / Microsoft Intune
- 非持久電腦的 VDI 登入腳本
使用 開始使用 Microsoft 365 端點 DLP 的程式以登入程式。
將裝置上線至 Defender 也會將其上線至 DLP。 因此,如果您已透過適用於端點的 Microsoft Defender上線裝置,這些裝置會自動顯示在裝置清單中。 您只需要 開啟裝置監控, 即可使用端點資料遺失防護。
查看端點 DLP 資料
您可以移至 DLP 警示管理儀錶板,並使用 Microsoft Defender 全面偵測回應 調查數據遺失事件,以檢視與端點裝置上強制執行的 DLP 原則相關的警示。
您也可以在同一個儀表板中檢視相關聯事件的詳細資料,以及豐富的中繼資料
當裝置登入時,在您設定並部署任何被裝置視為位置的 DLP 原則之前,稽核活動的相關資訊便會導入 [活動總管]。
在稽核活動中,端點 DLP 會收集大量資訊。
例如,如果將檔案複製到可移動 USB 媒體,您會在活動詳細資料中看到下列屬性:
- 活動類型
- 用戶端 IP
- 目標檔案路徑
- 時間戳記
- 檔案名稱
- 使用者
- 檔案副檔名
- 檔案大小
- 敏感資訊類型 (若適用)
- sha1 值
- sha256 值
- 上一個檔案名稱
- 位置
- 母
- 檔案路徑
- 來源位置類型
- 平台
- 裝置名稱
- 目的地位置類型
- 執行複製的應用程式
- 適用於端點的 Microsoft Defender 裝置識別碼 (如果適用)
- 可移除式媒體裝置製造商
- 可移除式裝置模型
- 可移除式裝置序號
為什麼所有端點原則都位於所有已上線的裝置上?
一個裝置可以支援多個使用者帳戶。 由於端點原則的範圍限定為使用者,因此裝置的不同使用者可能具有不同的原則範圍。 因此,裝置必須能夠存取所有端點 DLP 原則,才能評估專案。 無論使用者是否在範圍內,都會掃描上線至 Purview 的所有裝置。
端點 DLP 和離線裝置
當 Windows 端點裝置離線時,會繼續在現有檔案上強制執行現有原則。 此外,啟用 Just-In-Time 保護並處於「封鎖」模式後,在離線裝置上建立新 檔案 時,在裝置連線到資料分類服務並完成評估之前,仍會阻止共用檔案。 如果在伺服器上建立新 原則 ,或修改現有原則,則一旦裝置重新連線到網際網路,就會在裝置上更新這些變更。
重要事項
macOS 端點裝置不支援此功能。
請考慮下列使用案例。
- 已推送至裝置的原則會繼續套用至已分類為敏感性的檔案,即使裝置離線也一樣。
- 裝置離線時更新的原則不會推送至該裝置。 同樣地,在裝置重新上線之前,不會在該裝置上強制執行這類原則。 不過,仍會強制執行離線裝置上存在的過時原則。 即時保護
如果通知設定為顯示,則無論裝置是否在線上,都會在觸發 DLP 原則時一律顯示通知。
注意事項
雖然已推送至離線裝置的原則會強制執行,但在裝置重新上線之前,強制事件不會出現在活動總管中。
DLP 原則會定期同步處理至端點裝置。 如果裝置離線,則無法同步處理原則。 在此情況下, 「裝置」清單 會反映裝置與伺服器上的原則不同步。
即時保護
Just-In-Time 保護會封鎖這些受監視檔案上的輸出活動,直到原則評估成功完成為止:
- 從未評估過的項目。
- 評估已過時的項目。 這些是先前評估的專案,尚未由目前更新的雲端版本原則重新評估。
您必須先部署反惡意代碼用戶端 4.18.23080 版或更新版本,才能部署 Just-In-Time 保護。
若要在 Microsoft Purview 入口網站中啟用 Just-In-Time 保護,請選取左側導覽窗格中的 [ 設定 ],選擇 [Just-In-Time 保護],然後設定您想要的設定。
選擇要監控的位置:
- 選取 [裝置]。
- 選擇 Edit (編輯)。
- 在飛出視窗窗格中,選取您要套用 Just-In-Time 保護的帳戶和通訊群組範圍。 請記住,在處理原則評估時,端點 DLP 會封鎖帳戶在所選範圍內之每個使用者的所有輸出活動。 端點 DLP 會稽核透過 [排除] 設定 (排除之所有使用者帳戶的輸出活動) ,或不在範圍內。
執行三個最新主要版本的 macOS 裝置支援即時保護。
- 失敗時的後援動作:此設定會指定 DLP 在原則評估未完成時應該套用的強制執行模式。 無論您選取哪個值,相關的遙測都會顯示在活動總管中。
提示
最大化使用者生產力的技巧:
- 在啟用 Just-In-Time 保護之前,先設定端點 DLP 原則並將其部署至您的裝置,以防止在原則評估期間不必要地封鎖使用者活動。
- 請務必仔細配置輸出活動的設定。 Just-In-Time 保護只會在輸出活動具有一或多個 [封鎖] 或 [使用覆寫原則封鎖] 時,才會封鎖該活動。 這表示只會稽核未封鎖的輸出活動,即使適用於適用原則範圍內的使用者也一樣。
如需詳細資訊,請參閱開始使用 Just-In-Time 保護。
後續步驟
現在您已經瞭解了端點 DLP,接下來的步驟如下:
- 將 Windows 10 或 Windows 11 裝置上線到 Microsoft Purview 概觀
- 將 macOS 裝置上線到 Microsoft Purview 概觀
- 設定端點資料外洩防護設定
- 使用端點資料外洩防護