Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez la protection juste-à-temps (JIT ) de point de terminaison de la protection contre la perte de données (DLP) pour détecter et bloquer les activités de sortie sur les fichiers surveillés pendant la fin de l’évaluation de la stratégie.
S’applique à
La protection JIT pour endpoint DLP prend en charge ces appareils :
- Windows 10
- Windows 11
- macOS (les trois versions les plus récentes)
Bonne pratique pour le déploiement de la protection juste-à-temps
Remarque
Autorisez au moins une heure pour les mises à jour des paramètres JIT, y compris la désactivation de L’accès JIT pour qu’il soit envoyé aux appareils clients.
Étape 1 : Préparer votre environnement
Avant de pouvoir déployer la protection juste-à-temps, vous devez d’abord déployer le client anti-programme malveillant version 4.18.23080 ou ultérieure. L’expérience utilisateur de la protection juste-à-temps a été améliorée dans la version 4.18.25080 ou ultérieure.
Conseil
Pour optimiser la productivité des utilisateurs, configurez et déployez vos stratégies DLP de point de terminaison sur vos appareils avant d’activer la protection juste-à-temps afin d’éviter de bloquer inutilement l’activité des utilisateurs pendant l’évaluation de la stratégie.
Remarque
Pour les machines avec une version obsolète du client Antimalware, nous vous recommandons de désactiver la protection juste-à-temps en installant l’une des bases de connaissances suivantes :
- Pour savoir quels appareils disposent du client anti-programme malveillant nécessaire, accédez à Enquête du portail> de sécurité& réponse>Repérage avancé, puis exécutez cette requête.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc
Voici un exemple de sortie de la requête.
Vous pouvez également accéder à lapage Diagnostics de protection contre la> perte de données et sélectionner Endpoint DLP qui ne fonctionne pas carte pour case activée si un appareil spécifique a satisfait aux conditions préalables JIT ou non.
Étape 2 : Déployer la protection JIT
Connectez-vous au portail Microsoft Purview.
Sélectionnez Paramètres> Protectionjuste-à-temps contrela> perte de données.
Sous Choisir les emplacements à surveiller, cochez la case en regard de Appareils.
Sous Action de secours en cas d’échec, sélectionnez Autoriser les utilisateurs à effectuer des actions. Cela permet à l’utilisateur d’effectuer l’action en cas d’échec de la classification.
Attention
Ne choisissez PAS l’option Empêcher les utilisateurs d’effectuer des actions tant que vous n’avez pas pleinement compris l’impact de cette fonctionnalité.
Sélectionnez Autoriser les utilisateurs à effectuer des actions ou Empêcher les utilisateurs d’effectuer des actions ici ne change pas si le blocage JIT est déclenché ou non. Le blocage par JIT est appliqué si l’utilisateur est dans l’étendue. L’application du point de terminaison DLP en cas d’échec de la classification est contrôlée par Autoriser les utilisateurs à effectuer des actions ou Empêcher les utilisateurs d’effectuer des actions.
Si vous sélectionnez Autoriser les utilisateurs à effectuer des actions, la DLP du point de terminaison autorise l’activité de sortie en cas d’échec de la classification. Si vous sélectionnez Bloquer les utilisateurs pour effectuer des actions, endpoint DLP bloque l’activité de sortie en cas d’échec de la classification.
Étape 3 : Estimer le nombre d’événements de protection JIT pour votre déploiement
Vous devez valider vos paramètres à chaque étape jusqu’à ce que le nombre d’événements soit stable et que vous compreniez bien la taille possible du groupe d’utilisateurs sur lequel vous souhaitez appliquer la stratégie, en fonction des calculs de télémétrie suivants.
Estimez l’impact du déploiement de la protection JIT en effectuant le calcul suivant en fonction des événements dans l’explorateur d’activités :
N = Nombre de machines uniques qui déclenchent des événements JIT.
S = Nombre total de machines dans l’étendue de votre déploiement.
N/S génère un pourcentage de machines qui peuvent rencontrer un événement de « blocage » de protection JIT.
Avec ces informations, vous devez savoir combien de machines seront affectées par l’implémentation du mode de blocage JIT lorsque vous étendez l’étendue, et combien de tickets de support possibles vous pouvez voir. Ensuite, vous pouvez décider d’étendre ou non l’étendue.
Étape 4 : Affiner la protection JIT via d’autres paramètres supplémentaires
En plus de revenir en cas de défaillance, comme décrit à l’étape 1, vous pouvez également utiliser les paramètres suivants pour affiner la protection JIT :
- Contrôler la copie dans le Presse-papiers : activez cette option si vous souhaitez empêcher les utilisateurs de copier du contenu dans le Presse-papiers pendant que la protection JIT évalue le fichier.
Remarque
L’activation du contrôle de copie dans le Presse-papiers peut avoir un impact sur la productivité de l’utilisateur. Veillez à tester l’impact sur la productivité avant d’activer ce paramètre.
- Exclusions d’applications pour Windows : les applications que vous incluez ici ne sont pas évaluées par la protection JIT sur les appareils Windows.
- Exclusions d’applications pour Mac : les applications que vous incluez ici ne sont pas évaluées par la protection JIT sur les appareils macOS.
- Exclusions d’extensions de fichier : Files avec des extensions ajoutées ici ne seront pas évaluées par la protection JIT.
- Exclusions de chemin d’accès aux fichiers pour Windows : les Files dans ces emplacements ne seront pas évaluées par la protection JIT.
- Exclusions de chemin d’accès de fichier pour Mac : les Files dans ces emplacements ne seront pas évaluées par la protection JIT.
Si vous souhaitez modifier l’étendue de la protection JIT après avoir paramétré tous ces paramètres, vous pouvez revenir à l’étape 2.
Plus d’informations sur les exclusions
Les paramètres d’exclusion de chemin d’accès de fichier dans JIT sont différents du paramètre Exclusions de chemin d’accès de fichier pour Windows trouvé via les paramètres de protection contre la> perte de donnéesParamètres>> depoint de terminaisonExclusions de chemin d’accès de fichier pour Windows.
Les exclusions de chemin d’accès de fichier dans JIT excluent uniquement des chemins d’accès spécifiques de la protection JIT. Dans tous les autres cas, Microsoft Purview applique toujours la classification et la protection DLP du point de terminaison pour les fichiers de ces dossiers.
Le paramètre Exclusions de chemin d’accès de fichier pour Windows empêche Purview d’appliquer la classification et la protection DLP de point de terminaison pour les fichiers sous les dossiers spécifiés.
Exclusions d’extension de fichier : les Files avec ces extensions ne sont pas évaluées par la protection JIT.
Étape 5 : Déployer la protection JIT dans « Empêcher les utilisateurs d’effectuer des actions » pour le paramètre « Action de secours en cas d’échec »
Cette configuration contrôle le mode d’application appliqué par DLP en cas d’échec de la classification. Il ne contrôle pas le bloc JIT ou l’audit JIT pour les fichiers candidats JIT. Le bloc JIT, ou audit JIT, est contrôlé par la façon dont la stratégie est étendue. Quelle que soit la valeur que vous sélectionnez ici, les données de télémétrie appropriées s’affichent dans l’Explorateur d’activités.