ใช้ป้ายกำกับการแยกประเภทกับไฟล์ในไดรฟ์โดยอัตโนมัติด้วยกฎ DLP

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Enterprise Standard และ Enterprise Plus, Education Fundamentals, Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

DLP ของไดรฟ์และของ Chat พร้อมให้บริการแก่ผู้ใช้ Cloud Identity Premium ที่มีใบอนุญาต Google Workspace ด้วย สำหรับ DLP ของไดรฟ์ ใบอนุญาตจะต้องมีเหตุการณ์ในบันทึกของไดรฟ์

ในฐานะผู้ดูแลระบบ คุณสามารถใช้กฎป้องกันข้อมูลรั่วไหล (DLP) เพื่อนำป้ายกำกับไปใช้กับไฟล์ในไดรฟ์โดยอัตโนมัติ โดยอิงตามการตรวจหาเนื้อหาที่ละเอียดอ่อน ป้ายกํากับและชื่อข้อมูลในตัวอย่างในบทความนี้ไม่ใช่ข้อมูลจริงของเครื่องมือจัดการป้ายกํากับหรือ DLP

การใช้ป้ายกำกับในเงื่อนไขของกฎ DLP ในไดรฟ์

คุณใช้ป้ายกำกับการแยกประเภทในเงื่อนไขของกฎได้

ระบบรองรับเงื่อนไขต่อไปนี้

  • ตรวจสอบว่ามีป้ายกำกับ
  • ตรวจสอบว่ามีค่าในช่องรายการตัวเลือกอย่างน้อย 1 ค่าเมื่อปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการ ในรายการตัวเลือก
  • ปฏิเสธเงื่อนไขข้างต้น

เงื่อนไขที่ไม่รองรับมีดังนี้

  • ตรวจสอบค่าในฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการ ในรายการตัวเลือก
  • ตรวจสอบค่าในช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

การใช้ป้ายกำกับในการดำเนินการของกฎ DLP ในไดรฟ์

ใช้ป้ายกำกับการแยกประเภทเป็นการดำเนินการ DLP ที่ปรับใช้โดยอัตโนมัติ เมื่อกฎ DLP ทำงาน DLP จะติดป้ายกํากับเป็นการดำเนินการให้ไฟล์ในไดรฟ์ที่ตรงตามเกณฑ์

ระบบรองรับการทํางานของกฎต่อไปนี้

  • ใช้ป้ายกำกับและค่าในฟิลด์รายการตัวเลือกเมื่อปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการ ในรายการตัวเลือก

ระบบไม่รองรับการทำงานของกฎต่อไปนี้

  • ใช้ป้ายกำกับ แต่ไม่ใช่ค่าในฟิลด์ ทั้งนี้ คุณจะกำหนดการตั้งค่าการแยกประเภทเริ่มต้นเพื่อนำป้ายกำกับไปใช้กับไฟล์ที่สร้างขึ้นใหม่และไฟล์ที่เปลี่ยนการเป็นเจ้าของได้ โปรดดูรายละเอียดที่หัวข้อใช้ป้ายกำกับการแยกประเภทกับ ไฟล์ใหม่โดยอัตโนมัติ
  • ใช้ป้ายกำกับและฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการ ในรายการตัวเลือก
  • ใช้ป้ายกำกับสำหรับช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

ข้อควรทราบก่อนที่จะเริ่มต้น

ทำความเข้าใจและสร้างป้ายกำกับการแยกประเภท

ก่อนที่จะใช้ป้ายกำกับการแยกประเภทกับกฎ DLP ของไดรฟ์ คุณควรดำเนินการดังนี้

  1. ทำความเข้าใจวัตถุประสงค์และฟังก์ชันของป้ายกำกับการแยกประเภท โปรดดูรายละเอียดที่หัวข้อ เริ่มต้นใช้งานในฐานะผู้ดูแลระบบป้ายกำกับการแยกประเภท
  2. สร้างป้ายกํากับ หรือทำความรู้จักป้ายกํากับที่มีอยู่แล้วที่คุณต้องการใช้

ใช้กฎ DLP หรือการแยกประเภทเริ่มต้นเพื่อใช้ป้ายกํากับโดยอัตโนมัติ

ใช้กฎ DLP เพื่อใช้ป้ายกำกับโดยอัตโนมัติหากคุณจำเป็นต้องใช้เงื่อนไขหรือการดำเนินการอย่างใดอย่างหนึ่งสำหรับการติดป้ายกำกับ หากต้องการติดป้ายกํากับให้ไฟล์ใหม่เฉพาะในกรณีที่สร้างโดยผู้ใช้ที่กําหนดเท่านั้น ให้ใช้ ป้ายกำกับการแยกประเภทเริ่มต้น

วิธีการทํางานของป้ายกำกับการแยกประเภทเริ่มต้น

  • ใช้ป้ายกำกับกับไฟล์ใหม่และเมื่อมีการเปลี่ยนการเป็นเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่ใช้ป้ายกำกับกับไฟล์ที่มีอยู่ย้อนหลัง เว้นแต่เจ้าของไฟล์จะเปลี่ยนไป
  • ใช้ป้ายกำกับตามหน่วยขององค์กรหรือกลุ่มของเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่ค้นหาเนื้อหาหรือข้อมูลเมตาของไฟล์ตามเงื่อนไขบางอย่าง
  • หากผู้ใช้มีสิทธิ์เปลี่ยนป้ายกำกับ ก็สามารถเปลี่ยนหรือนำป้ายกำกับออกได้หลังจากที่ใช้ป้ายกำกับโดยอัตโนมัติแล้ว
  • เฉพาะป้ายกํากับที่มีช่องรายการตัวเลือกเท่านั้นที่จะรองรับสําหรับการแยกประเภทเริ่มต้น
  • ระบบจะเขียนทับป้ายกำกับการแยกประเภทเริ่มต้นด้วยป้ายกำกับที่ DLP กำหนดแม้ว่าค่าการแยกประเภทข้อมูลจะอยู่ในระดับสูงกว่าในรายการตัวเลือกก็ตาม

วิธีการทํางานของป้ายกํากับที่กฎ DLP กำหนด

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • ใช้ป้ายกำกับตามเงื่อนไข เช่น ประเภทไฟล์ การจับคู่คำ และการจับคู่สตริง
  • คุณจะใช้ป้ายกํากับที่มีกฎ DLP ซึ่งใช้ป้ายกํากับเป็นเงื่อนไขไม่ได้
  • คุณสามารถป้องกันไม่ให้ผู้ใช้เปลี่ยนป้ายกํากับได้ แม้ว่าผู้ใช้จะมีสิทธิ์เปลี่ยนก็ตาม หากผู้ใช้เปลี่ยนป้ายกำกับ DLP จะสแกนไฟล์อีกครั้งทันทีและเปลี่ยนกลับไปใช้การกำหนดค่าป้ายกำกับ DLP
  • หากองค์กรมีกฎ DLP ที่บล็อกการแชร์ภายนอก ผู้ใช้ภายนอกองค์กรจะดูประวัติเวอร์ชันของไฟล์ที่มีการใช้กฎ DLP กับไฟล์นั้นๆ ไม่ได้ ข้อกำหนดนี้รวมถึงกฎ DLP ที่ใช้ป้ายกำกับแต่ไม่ได้บล็อกการแชร์ภายนอก
  • กฎ DLP สามารถใช้ป้ายกำกับที่มีช่องรายการตัวเลือก ซึ่งรวมถึงป้ายกำกับที่มีตราสถานะ

วิธีการทำงานของป้ายกำกับการแยกประเภทโดย AI

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • เฉพาะป้ายกำกับที่มีช่องรายการตัวเลือก 1 ช่องและมีค่า 2-7 ค่าเท่านั้นที่จะรองรับสำหรับการแยกประเภทโดย AI
  • ใช้ป้ายกำกับหลังจากระยะเวลาการฝึก ในระหว่างระยะเวลาการฝึก ผู้ติดป้ายกำกับที่กำหนดไว้จะใช้ป้ายกำกับการฝึกกับไฟล์อย่างน้อย 100 ไฟล์ต่อตัวเลือกฟิลด์
  • ป้ายกำกับการแยกประเภทโดย AI จะถูกเขียนทับด้วยป้ายกํากับที่ DLP กำหนด แต่จะเขียนทับป้ายกํากับการแยกประเภทเริ่มต้น

ดูวิธีการแก้ไขความขัดแย้งของกฎ

ค่าป้ายกำกับที่กฎ DLP กำหนดจะมีลำดับความสำคัญเหนือการแยกประเภทโดย AI และทั้ง 2 อย่างจะมีลำดับความสำคัญเหนือการแยกประเภทเริ่มต้น

เมื่อกฎประเภทเดียวกัน 2 ข้อขึ้นไปพยายามใช้ค่าป้ายกำกับที่แตกต่างกันกับไฟล์เดียวกัน ระบบจะใช้ค่าที่อยู่ในลำดับสูงกว่าในรายการตัวเลือกของป้ายกำกับ เช่น คุณอาจมีป้ายกํากับที่มีช่องซึ่งมีตัวเลือก 3 รายการในเครื่องมือจัดการป้ายกำกับ ดังนี้

  1. ลับ
  2. ภายใน
  3. สาธารณะ

หากกฎ 1 พยายามตั้งป้ายกำกับเป็นลับ และกฎ 2 พยายามตั้งป้ายกำกับเป็นสาธารณะ สำหรับไฟล์เดียวกัน ระบบจะใช้ลับ (กฎ 1) โปรดตรวจสอบว่าตัวเลือกช่องของป้ายกำกับแสดงตามลำดับความสำคัญที่คุณต้องการก่อนที่จะตั้งกฎ

ตั้งค่ากฎ DLP ของไดรฟ์เพื่อใช้ป้ายกำกับการแยกประเภท

ทําความเข้าใจการล็อกป้ายกํากับ

ป้ายกํากับ ช่อง และตัวเลือกช่องที่เชื่อมโยงกับกฎ DLP จะล็อกไว้ในเครื่องมือจัดการป้ายกํากับ วิธีนี้จะช่วยไม่ให้มีการแก้ไขป้ายกํากับหรือช่องที่อาจละเมิดนโยบายธุรกิจ ปลดล็อกตัวเลือกป้ายกํากับ ช่อง หรือตัวเลือกช่อง โดยการนําออกจากกฎ DLP ทั้งหมด

การแก้ไขในเครื่องมือจัดการป้ายกํากับ เช่น

  • อนุญาตให้เปลี่ยนชื่อหรือเพิ่มช่องหรือตัวเลือกช่องใหม่
  • ไม่อนุญาตให้ปิดใช้หรือลบป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ใช้ในกฎ DLP ผู้ดูแลระบบที่มีสิทธิ์จัดการป้ายกำกับ จะดูได้ว่ามีการใช้ป้ายกำกับในกฎหรือไม่ แต่จะดูตัวกฎเองไม่ได้ เว้นแต่จะมีสิทธิ์ที่จำเป็น

คุณไม่สามารถสร้างกฎ DLP ที่มีป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ถูกปิดใช้ แม้จะเป็นฉบับร่างของป้ายกำกับที่เผยแพร่ก็ตาม

เลิกทำการเปลี่ยนแปลงส่วนกลางในป้ายกำกับไดรฟ์

หากคุณปรับใช้ป้ายกำกับ (หรือค่าของป้ายกำกับและช่อง) กับไฟล์หลายประเภทผ่านกฎ DLP โดยไม่ได้ตั้งใจ คุณสามารถใช้ DLP เพื่อล้างการเปลี่ยนแปลงเหล่านั้นได้

ซึ่งทําได้โดยการปิดใช้กฎ DLP ที่ปรับใช้การเปลี่ยนแปลง กฎจะนําป้ายกํากับและค่าในช่องทั้งหมดออกโดยอัตโนมัติ หรือแก้ไขกฎ DLP ที่ต้องการเพื่อนำการดำเนินการใช้ป้ายกำกับ ออก ซึ่งจะเป็นการลบป้ายกํากับและค่าในช่องที่กฎปรับใช้ด้วยเช่นกัน การนําการเปลี่ยนแปลงนี้ไปใช้อาจใช้เวลาสัก 2-3 นาที, 2-3 ชั่วโมง หรือนานกว่านั้น โดยขึ้นอยู่กับจํานวนเอกสารที่ต้องอัปเดต

การล้างข้อมูลนี้มีข้อยกเว้นในกรณีที่คุณใช้ตัวเลือกเลือกว่าจะอนุญาตให้ผู้ใช้เปลี่ยนค่าป้ายกํากับและช่องที่ใช้กับไฟล์ของตนเองหรือไม่ โดยเลือกอนุญาต ระบบจะนําป้ายกํากับและช่องที่แก้ไขโดยกฎ DLP ออก แต่ป้ายกํากับและค่าในช่องที่ผู้ใช้แก้ไขจะยังคงเหมือนเดิม

ตรวจสอบเหตุการณ์ในบันทึกของไดรฟ์เพื่อยืนยันการดำเนินการ

หากต้องการตรวจสอบสิ่งที่เปลี่ยนแปลงไปในไฟล์ ให้ตรวจสอบบันทึกการตรวจสอบของไดรฟ์ คําอธิบายเหตุการณ์ของคอลัมน์จะแสดงรายการการดําเนินการของ DLP เช่น กฎ DLP ที่ใช้สัญญาป้ายกํากับ โปรดดูรายละเอียดที่หัวข้อ เหตุการณ์ในบันทึกของไดรฟ์

การสแกน DLP ใช้เวลานานกว่าที่คาดไว้ เพราะเหตุใด

การใช้ DLP เพื่อติดป้ายกํากับโดยอัตโนมัติช่วยให้คุณเปลี่ยนแปลงเอกสารหลายรายการในไดรฟ์ได้ โดยทั้งนี้อาจส่งผลให้จำนวนไฟล์ที่ได้รับผลกระทบมีมากกว่าที่คาดไว้ กฎที่อัปเดตไฟล์จํานวนมากอาจใช้เวลาดําเนินการนานกว่ากฎที่มีผลต่อไฟล์จํานวนน้อย คุณอาจต้องทดสอบกฎที่ติดป้ายกํากับในจำนวนน้อยๆ ก่อนนํามาใช้ในวงกว้าง