Informazioni sulla protezione ji-in-time Prevenzione della perdita dei dati Microsoft Purview

Usare la protezione JIT (Endpoint Data Loss Prevention) ji-in-time ( DLP) per rilevare e bloccare le attività in uscita nei file monitorati durante il completamento della valutazione dei criteri.

JIT controlla e blocca queste attività in uscita degli utenti sugli elementi protetti:

  • Copia in un supporto rimovibile
  • Copia in una condivisione di rete
  • Stampa
  • Copiare o spostare con RDP (Desktop remoto Protocol)
  • Copiare o spostare usando un'app Bluetooth bloccata
  • Copia negli Appunti: controllo JIT per impostazione predefinita
  • Caricare in un dominio del servizio cloud con restrizioni

Termini

In questo articolo vengono utilizzati i termini seguenti:

  • classificazione non aggiornata: classificazione non prodotta dalla versione più recente di un criterio DLP. Se si aggiorna un criterio dopo la valutazione e la classificazione di un elemento, l'elemento ha una classificazione non aggiornata fino a quando il criterio non lo rivaluta.
  • File candidato JIT: Files che la prevenzione della perdita dei dati non sia stata valutata o che abbia una classificazione non aggiornata.
  • Controllo JIT: dopo aver abilitato JIT, Endpoint DLP genera un evento in Esplora attività per ogni file candidato JIT. Nell'evento di Esplora attività JIT, il campo attivato da JIT ha il valore truee il valore della modalità di imposizione è Audit.
  • Blocco JIT: dopo aver abilitato JIT, Endpoint DLP blocca l'attività e genera un evento in Esplora attività per ogni file candidato JIT. Nell'evento di Esplora attività JIT il campo attivato da JIT ha il valore truee il campo Modalità imposizione ha il valore Block.

Nota

La prevenzione della perdita dei dati dell'endpoint non genera un DLPRuleMatch evento o un avviso.

  • Notifica JIT in corso: quando gli utenti che si trovano nell'ambito di JIT tentano un'attività in uscita in un file candidato JIT, Endpoint DLP potrebbe bloccare l'attività di uscita e visualizzare una notifica di tipo avviso popup. Questo avviso popup è denominato avviso popup JIT in corso.
  • Notifica completa della valutazione JIT: quando La prevenzione della perdita dei dati dell'endpoint termina la valutazione dei criteri per un file candidato JIT, Endpoint DLP visualizza una notifica di tipo avviso popup per comunicare all'utente. Questa notifica è denominata avviso popup completo di valutazione JIT.
  • Evento JIT: endpoint DLP registra e mostra un evento JIT in Esplora attività quando viene attivato il controllo JIT o le azioni di blocco JIT. Il valore dell'evento è JIT triggered impostato su true.
  • Azione di fallback in caso di errore: questa configurazione specifica la modalità di imposizione che la prevenzione della perdita dei dati deve applicare quando la valutazione dei criteri non viene completata. Indipendentemente dal valore selezionato, i dati di telemetria pertinenti vengono visualizzati in Esplora attività.

Screenshot dell'evento di Esplora attività che mostra l'attivazione jit impostata su true e la modalità di imposizione impostata su Blocca.

Funzionamento della protezione JIT

La protezione JIT blocca l'attività in uscita quando si verificano tutte le condizioni seguenti:

  • Un utente tenta un'attività in uscita su un elemento che non è mai stato classificato o classificato con criteri non aggiornati. Un criterio non aggiornato indica che il file è stato classificato con un criterio che da allora è stato aggiornato e che il file non è stato riclassificato con i criteri aggiornati.
  • L'utente si trova nell'ambito di JIT.
  • Prevenzione della perdita dei dati Microsoft Purview (DLP) esistono criteri che bloccano o bloccano con l'override per l'attività in uscita.
  • L'attività in uscita non si trova in una posizione consentita. Ad esempio, una stampante, un dispositivo USB, un URL o una condivisione di rete consentiti.
  • L'attività in uscita non supporta la sospensione e la ripresa JIT.
  • La valutazione dei criteri DLP non viene completata in cinque secondi.

Flusso di lavoro JIT

Diagramma del flusso di lavoro di protezione JIT per la prevenzione della perdita dei dati dell'endpoint.

  1. Un utente tenta un'attività in uscita in un dispositivo di cui è stato eseguito l'onboarding per uno o più elementi candidati JIT.

  2. Se l'attività include un'app nell'elenco di app escluse, un percorso del file escluso o un'estensione di file esclusa, il processo termina.

  3. La valutazione termina e l'attività non viene bloccata da JIT. All'utente non viene visualizzato alcun messaggio di notifica e non viene registrato alcun evento di controllo JIT.

  4. DLP conferma che l'utente è nell'ambito di JIT. In caso affermativo, la valutazione continua. In caso contrario, il processo termina al passaggio 5.

  5. JIT non blocca l'attività. Non viene visualizzata alcuna notifica e viene registrato un evento di controllo JIT.

  6. DLP controlla se una regola DLP definisce Blocca o Blocca con azioni di override per l'attività tentata. In caso affermativo, la valutazione continua. In caso contrario, il processo termina con il comportamento indicato nel passaggio 5.

  7. JIT non blocca l'attività. Non viene visualizzata alcuna notifica e viene registrato un evento di controllo JIT.

  8. DLP controlla se l'attività si trova in un gruppo di stampanti, un gruppo USB, una condivisione di rete o un URL consentiti. In caso affermativo, JIT non blocca la fine dell'attività e della valutazione dei criteri.

  9. Viene attivata la valutazione JIT.

  10. JIT verifica se l'attività supporta la sospensione e la ripresa JIT.

  11. In caso affermativo, la valutazione continua.

  12. Per tutte le attività che completano la valutazione dei criteri entro tre secondi, viene applicata l'azione dei criteri.

  13. Per l'azione di controllo , l'attività riprende, non viene visualizzato alcun messaggio all'utente e nel log di controllo viene registrato un evento di controllo JIT.

  14. Per l'azione di blocco , l'attività è bloccata. Un messaggio di attività bloccata viene visualizzato all'utente e un evento di controllo JIT viene registrato nel log di controllo.

  15. L'utente visualizza il messaggio dei criteri con il pulsante Rivedi file o Il pulsante Esegui azione . La valutazione dei criteri termina.

  16. Per l'azione di blocco con override , l'attività viene bloccata, il blocco con messaggio di override viene visualizzato all'utente in modo che possa eseguire l'override del blocco in base alle esigenze e sia l'evento di controllo JIT che l'evento di blocco con override vengono registrati nel log di controllo.

  17. Per tutti gli elementi che non hanno completato la valutazione dei criteri DLP entro tre secondi OPPURE non supportano la ripresa, la valutazione JIT consente altri due secondi.

  18. Per tutte le attività che completano la valutazione dei criteri DLP entro i due secondi assegnati, viene applicata l'azione dei criteri.

  19. Per l'azione dei criteri di controllo , l'attività viene bloccata perché l'attività non supporta la ripresa e nel log di controllo viene registrato un evento di blocco JIT.

  20. L'utente visualizza il messaggio completo di valutazione dei criteri e gli viene detto di riprovare. La valutazione dei criteri termina.

  21. Per l'azione dei criteri di blocco , l'attività viene bloccata, viene visualizzato un messaggio di attività bloccata e un evento di blocco JIT viene registrato nel log di controllo e la valutazione termina.

  22. Per l'azione blocca con criteri di override, l'attività viene bloccata, il blocco con messaggio di override viene visualizzato in modo che l'utente possa eseguire l'override del blocco in base alle esigenze e sia l'evento di blocco JIT che il blocco con evento di override vengono registrati nel log di controllo e la valutazione termina.

  23. Per tutti gli elementi che non hanno completato la valutazione dei criteri di prevenzione della perdita dei dati entro i cinque secondi totali, l'attività viene bloccata, all'utente viene visualizzato il messaggio JIT in corso . Un evento di blocco JIT viene registrato nel log di controllo.

  24. JIT in corso consente di completare la valutazione dei criteri in altri 30 secondi mentre l'attività è bloccata.

  25. Se la valutazione dei criteri DLP viene completata entro questi 30 secondi, all'utente viene visualizzato il messaggio di completamento della valutazione JIT e all'utente viene chiesto di ritentare l'attività.

  26. Se la valutazione dei criteri DLP non viene completata entro 30 secondi, viene applicata l'azione di fallback JIT.

  27. Il messaggio di valutazione completa dei criteri JIT viene visualizzato all'utente e la valutazione termina. All'utente viene richiesto di ritentare l'attività.

Esperienza utente della protezione JIT

Questa sezione descrive l'esperienza utente con il client antimalware versione 4.18.25080 o successiva.

Riprendere il supporto per ogni attività

Se la valutazione dei criteri termina entro 3 secondi, Endpoint DLP riprende automaticamente queste attività:

  • Copia in un supporto rimovibile
  • Copia in una condivisione di rete

Se la valutazione dei criteri richiede più di 3 secondi, è necessario ripetere l'attività dopo la visualizzazione della notifica di completamento della valutazione dei criteri JIT.

Ripetere queste attività dopo il completamento della valutazione dei criteri da parte di Endpoint DLP:

  • Stampa
  • Copiare o spostare con RDP (Desktop remoto Protocol)
  • Copia o sposta usando un'app Bluetooth non consentita
  • Copia negli Appunti: controllo JIT per impostazione predefinita

Eseguire un'attività in un singolo file

Quando un utente esegue un'attività su un singolo file, Endpoint DLP esegue l'azione di controllo JIT quando:

  • l'utente non è incluso nell'impostazione ambito JIT
  • non sono presenti blocchi o blocchi con override per l'attività
  • l'attività riguarda una stampante, un supporto rimovibile, una condivisione di rete o un sito Web consentiti
  • la valutazione dei criteri per il file viene completata entro 5 secondi per le attività che supportano la ripresa JIT o viene completata in pochi secondi per le attività che non supportano la ripresa JIT.

La prevenzione della perdita dei dati dell'endpoint blocca l'attività con una notifica (nessun avviso) e applica il blocco JIT solo quando la valutazione dei criteri richiede più di 5 secondi.

Eseguire un'attività su più file

Quando un utente esegue un'attività su più file contemporaneamente, Endpoint DLP esegue l'azione di controllo JIT quando:

  • l'utente non è incluso nell'impostazione ambito JIT
  • non sono presenti blocchi o blocchi con override per l'attività eseguita
  • l'attività è a una stampante consentita, a un supporto rimovibile consentito o a una condivisione di rete consentita

Per i file candidati JIT, Endpoint DLP attiva la valutazione dei criteri, consolida le notifiche per i file che terminano entro 5 secondi per le attività che supportano la ripresa e riprende automaticamente l'attività. Se l'attività non supporta la ripresa, Endpoint DLP attiva la valutazione dei criteri e consolida le notifiche per i file che terminano entro 2 secondi. In entrambi i casi, Endpoint DLP non genera un avviso popup JIT in corso. Mostra solo il verdetto finale dei criteri nell'avviso popup consolidato.

Protezione file non salvata

La protezione file non salvata (anteprima) estende la copertura JIT ai file non ancora salvati. Senza questa protezione, esiste un divario tra il momento in cui un utente crea o modifica un file e l'ora in cui il file viene salvato e classificato dalla prevenzione della perdita dei dati. Durante questo gap, le attività in uscita possono ignorare la valutazione dei criteri.

Nota

La protezione dei file non salvata e la protezione dei file non classificati sono due funzionalità separate. Non è necessario attivare la protezione file non classificata per usare la protezione dei file non salvata.

Che cos'è un file non salvato?

Un file non salvato è:

  • Un nuovo file che non è mai stato salvato su disco, ad esempio un nuovo documento creato in un'applicazione desktop.
  • Un file esistente con modifiche non salvate , ovvero un file salvato in precedenza ma da allora modificato. Include la finestra prima del completamento del salvataggio automatico.

Una volta salvato, manualmente o tramite salvataggio automatico, un file lascia lo stato non salvato. A quel punto, viene valutato tramite il flusso di lavoro di protezione JIT standard.

Perché la protezione dei file non salvati è importante

Prima della protezione dei file non salvati, un utente può creare un nuovo file contenente dati sensibili ed eseguire un'attività di uscita, ad esempio la stampa o il salvataggio in un dispositivo USB, prima che la prevenzione della perdita dei dati salvasse e valutasse il file. La protezione dei file non salvati consente di colmare questo gap applicando il rilevamento in stile JIT e bloccando i file non salvati. Questa protezione garantisce che i criteri di prevenzione della perdita dei dati vengano applicati anche prima che il file venga salvato in modo permanente su disco.

Funzionamento della protezione file non salvata

Quando un utente prova un'attività di uscita in un file non salvato, la prevenzione della perdita dei dati dell'endpoint può controllare o bloccare l'attività. Le attività di uscita protette nei file non salvati includono:

  • Copia in un supporto rimovibile : richiede l'attivazione della quarantena automatica . Se il file salvato è sensibile, il processo lo mette in quarantena dal supporto rimovibile con un file segnaposto.
  • Copia in una condivisione di rete : richiede l'attivazione della quarantena automatica . Se il file salvato è sensibile, il processo lo mette in quarantena dalla condivisione di rete con un file segnaposto.
  • Stampa : bloccato con una notifica che chiede all'utente di salvare prima il file.

Quando si attiva la protezione dei file non salvati, la prevenzione della perdita dei dati dell'endpoint crea un evento in Esplora attività.

Scenari di protezione file non salvati

Gli scenari seguenti descrivono il funzionamento della protezione file non salvata per diversi tipi di file e applicazioni:

  • Nuovo file tramite un'app non Office: un utente crea un nuovo file, tipi dati sensibili e tenta di salvarlo direttamente in un supporto rimovibile o in una condivisione di rete senza prima salvarlo sul disco locale. La prevenzione della perdita dei dati degli endpoint controlla o blocca l'attività di salvataggio con nome.
  • File esistente modificato tramite un'app non Office: un utente apre un file esistente, tipi dati sensibili e tenta di salvarlo in un supporto rimovibile o in una condivisione di rete senza salvare prima le modifiche in locale. La prevenzione della perdita dei dati degli endpoint controlla o blocca l'attività di salvataggio con nome.
  • File aperto da supporti rimovibili: un utente apre un file esistente archiviato su supporti rimovibili tramite un'app non Office, tipi dati sensibili senza salvare e tenta di salvare l'aggiornamento. Endpoint DLP controlla o blocca l'attività.
  • Archivio estrazione: un utente apre un file di archivio tramite Esplora risorse e tenta di trascinare e rilasciare un file direttamente in un supporto rimovibile o in una condivisione di rete senza prima estrarre il disco locale. Endpoint DLP controlla o blocca l'attività.
  • File esistente modificato tramite un'app di Office: un utente apre un file esistente in un'app di Office, digita dati sensibili e tenta di salvarlo in un supporto rimovibile o in una condivisione di rete senza salvare le modifiche in locale. La prevenzione della perdita dei dati dell'endpoint blocca l'attività di salvataggio con nome con una notifica che chiede all'utente di salvare una copia del file e riprovare.

Notifiche di protezione file non salvate

Quando la prevenzione della perdita dei dati dell'endpoint blocca un'attività in uscita in un file non salvato, l'utente visualizza una delle notifiche seguenti:

  • Blocco Salva come: "<il nome> del file deve essere controllato per il contenuto sensibile prima che possa essere salvato in <un supporto rimovibile/condivisione> di rete. Salvare una copia del file e riprovare."
  • Blocco di stampa: "Il file che si sta tentando di stampare non è classificato perché non è salvato o si trova in una cartella che è stata esclusa dalla classificazione. Salvare il file prima della stampa e riprovare."

Per altre informazioni sulla configurazione della protezione file non salvata, vedere Introduzione alla protezione ji-in-time.

  • Last updated on