Erste Schritte mit der Verhinderung von Endpunktdatenverlusten

Verhinderung von Datenverlust am Endpunkt (Endpoint Data Loss Prevention, Endpunkt-DLP) ist Teil der Microsoft Purview Data Loss Prevention (DLP)-Suite von Features, mit denen Sie vertrauliche Elemente über Microsoft 365-Dienste hinweg ermitteln und schützen können. Weitere Informationen zu allen DLP-Angeboten von Microsoft finden Sie unter Informationen zur Verhinderung von Datenverlust. Weitere Informationen zur Verhinderung von Datenverlust am Endpunkt finden Sie unter Informationen zu Endpunkt-DLP

Mit Microsoft Endpoint DLP können Sie integrierte Windows 10- und Windows 11 - und integrierte macOS-Geräte überwachen, auf denen eine der drei neuesten versionen ausgeführt wird. Sobald ein Gerät integriert ist, erkennt DLP, wenn vertrauliche Elemente verwendet und freigegeben werden. Dadurch erhalten Sie die Sichtbarkeit und Kontrolle, die Sie benötigen, um sicherzustellen, dass sie ordnungsgemäß verwendet und geschützt werden, und um riskantes Verhalten zu verhindern, das sie gefährden könnte.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Vorabinformationen

SKU/Abonnement-Lizenzierung

Bevor Sie mit Endpunkt-DLP beginnen, sollten Sie Ihr Microsoft 365-Abonnement und etwaige Add-Ons überprüfen. Für den Zugriff auf und die Verwendung von Endpunkt-DLP-Funktionen müssen Sie über eines der folgenden Abonnements oder Add-Ons verfügen.

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 Compliance
  • Microsoft 365 A5 Compliance
  • Microsoft 365 E5 Information Protection und Governance
  • Microsoft 365 A5 Information Protection und Governance

Vollständige Lizenzierungsdetails finden Sie im Microsoft 365-Lizenzierungsleitfaden für den Informationsschutz.

Konfigurieren des Proxys auf dem Windows 10- oder Windows 11-Gerät

Wenn Sie Windows 10- oder Windows 11-Geräte integrieren, überprüfen Sie, ob das Gerät mit dem CLOUD-DLP-Dienst kommunizieren kann. Weitere Informationen finden Sie unter Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen für Information Protection.

Onboardingverfahren für Windows 10- und Windows 11-Geräte

Eine allgemeine Einführung in das Onboarding von Windows-Geräten finden Sie unter:

Spezifische Anleitungen zum Onboarding von Windows-Geräten finden Sie unter:

Artikel Beschreibung
Onboarding von Windows 10- oder Windows 11-Geräten mithilfe von Gruppenrichtlinien Verwenden Sie eine Gruppenrichtlinie, um das Konfigurationspaket auf Geräten bereitzustellen.
Onboarding von Windows 10- oder Windows 11-Geräten mithilfe von Microsoft Endpoint Configuration Manager Sie können entweder Microsoft Endpoint Configuration Manager (Current Branch), Version 1606, oder Microsoft Endpoint Configuration Manager (Current Branch), Version 1602 oder älter, zum Bereitstellen des Konfigurationspakets auf Geräten verwenden.
Onboarding von Windows 10- oder 11-Geräten mit Microsoft Intune Verwenden Sie Microsoft Intune, um das Konfigurationspaket auf dem Gerät bereitzustellen.
Onboarding von Windows 10- oder Windows 11-Geräten mithilfe eines lokalen Skripts Erfahren Sie, wie Sie das Konfigurationspaket mithilfe des lokalen Skripts auf Endpunkten bereitstellen.
Onboarding von nicht-persistenten Geräten einer VD-Infrastruktur (Virtual Desktop) Erfahren Sie, wie Sie das Konfigurationspaket zum Konfigurieren von VDI-Geräten verwenden.

Endpunkt-DLP-Unterstützung für virtualisierte Umgebungen

Sie können virtuelle Computer als überwachte Geräte im Microsoft Purview-Complianceportal integrieren. Es gibt keine Änderungen an den oben aufgeführten Onboardingverfahren.

In der folgenden Tabelle sind die virtuellen Betriebssysteme aufgeführt, die von Virtualisierungsumgebungen unterstützt werden.

Virtualisierungsplattform
Windows 10 Windows 11 Windows Server 2019 Windows Server 2022
21H2, 22H2, Data Center
Azure Virtual Desktop (AVD)
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Multisitzung unterstützt für 21H2, 22H2
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Multisitzung unterstützt für 21H2, 22H2
Einzelsitzung und Mehrere Sitzungen werden unterstützt. Unterstützt
Windows 365
  • Unterstützt für 21H2, 22H2
  • Unterstützt für 21H2, 22H2
Nicht zutreffend Nicht zutreffend
Citrix Virtual Apps and Desktops 7 (2209 und höher)
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Multisitzung unterstützt für 21H2, 22H2
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Multisitzung unterstützt für 21H2, 22H2
Unterstützt Unterstützt
Amazon-Arbeitsbereiche
  • Einzelne Sitzung unterstützt für 21H2, 22H2
Nicht zutreffend
  • Windows 10 unterstützt von Windows Server 2019
Nicht zutreffend
Hyper-V
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Unterstützung für mehrere Sitzungen mit Hybrid AD Join für 21H2, 22H2
  • Einzelne Sitzung unterstützt für 21H2, 22H2
  • Unterstützung für mehrere Sitzungen mit Hybrid AD Join für 21H2, 22H2
Unterstützt mit hybrider AD-Einbindung Unterstützt mit hybrider AD-Einbindung

Bekannte Probleme

  1. Sie können das Kopieren in die Zwischenablage und das Erzwingen von Endpunkt-DLP in Azure Virtual Desktop-Umgebungen nicht über Browser überwachen. Derselbe Ausgangsvorgang wird jedoch von Endpoint DLP für Aktionen über Remotedesktopsitzung (RDP) überwacht.
  2. Citrix XenApp unterstützt keinen Zugriff durch eingeschränkte App-Überwachung.

Begrenzungen

  1. Behandlung von USBs in virtualisierten Umgebungen: USB-Speichergeräte werden als Netzwerkfreigaben behandelt. Sie müssen die Aktivität In Netzwerkfreigabe kopieren einschließen, um das Kopieren auf ein USB-Gerät zu überwachen. Alle Aktivitäts-Explorer-Ereignisse für virtuelle Geräte und Incidentwarnungen zeigen die Aktivität In eine Netzwerkfreigabe kopieren für alle Ereignisse zum Kopieren auf USB an.

Onboardingverfahren für macOS

Eine allgemeine Einführung in das Onboarding von macOS-Geräten finden Sie unter:

Spezifische Anleitungen zum Onboarding von macOS-Geräten finden Sie unter:

Artikel Beschreibung
Intune Für macOS-Geräte, die über Intune verwaltet werden
Kunden von Intune für Microsoft Defender für Endpunkt Für macOS-Geräte, die über Intune verwaltet werden und für die Microsoft Defender für Endpunkt (MDE) bereitgestellt wurde
JAMF Pro) Für macOS-Geräte, die über JAMF Pro verwaltet werden
JAMF Pro für Microsoft Defender für Endpunkt-Kunden) Für macOS-Geräte, die über JAMF Pro verwaltet werden und für die Microsoft Defender für Endpunkt (MDE) bereitgestellt wurde

Sobald ein Gerät integriert wurde, sollte es in der Geräteliste angezeigt werden und damit beginnen, Überwachungsaktivitäten an den Aktivitäts-Explorer zu melden.

Siehe auch