ใช้ป้ายกำกับการแยกประเภทกับไฟล์ในไดรฟ์โดยอัตโนมัติด้วยกฎ DLP

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Enterprise Standard และ Enterprise Plus, Education Fundamentals, Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

DLP ของไดรฟ์และของ Chat พร้อมให้บริการแก่ผู้ใช้ Cloud Identity Premium ที่มีใบอนุญาต Google Workspace ด้วย สำหรับ DLP ของไดรฟ์ ใบอนุญาตจะต้องมีเหตุการณ์ในบันทึกของไดรฟ์

ในฐานะผู้ดูแลระบบ คุณสามารถใช้กฎป้องกันข้อมูลรั่วไหล (DLP) เพื่อ นำป้ายกำกับไปใช้กับไฟล์ในไดรฟ์โดยอัตโนมัติ โดยอิงตามการตรวจหาเนื้อหาที่ละเอียดอ่อน ป้ายกํากับและชื่อข้อมูลในตัวอย่างในบทความนี้ไม่ใช่ข้อมูลจริงของเครื่องมือจัดการป้ายกํากับหรือ DLP

การใช้ป้ายกำกับในเงื่อนไขของกฎ DLP ในไดรฟ์

คุณใช้ป้ายกำกับการแยกประเภทในเงื่อนไขของกฎได้

เงื่อนไขที่รองรับมีดังนี้

  • ตรวจสอบว่ามีป้ายกำกับ
  • ตรวจสอบว่ามีค่าในช่องรายการตัวเลือกอย่างน้อย 1 ค่าเมื่อปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก
  • ปฏิเสธเงื่อนไขข้างต้น

เงื่อนไขที่ไม่รองรับมีดังนี้

  • ตรวจสอบค่าในฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก
  • ตรวจสอบค่าในช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

การใช้ป้ายกำกับในการดำเนินการของกฎ DLP ในไดรฟ์

ใช้ป้ายกำกับการแยกประเภทเป็นการดำเนินการ DLP ที่ปรับใช้โดยอัตโนมัติ เมื่อกฎ DLP ทำงาน DLP จะติดป้ายกํากับเป็นการดำเนินการให้ไฟล์ในไดรฟ์ที่ตรงตามเกณฑ์ของกฎ

ระบบรองรับการทํางานของกฎต่อไปนี้

  • ใช้ป้ายกำกับและค่าในฟิลด์รายการตัวเลือกเมื่อปิดใช้การตั้งค่าอนุญาต การเลือกหลายรายการในรายการตัวเลือก

ระบบไม่รองรับการทำงานของกฎต่อไปนี้

  • ใช้ป้ายกำกับ แต่ไม่ใช่ค่าในฟิลด์ ทั้งนี้ คุณจะกำหนดการตั้งค่าการแยกประเภทเริ่มต้นเพื่อนำป้ายกำกับไปใช้กับไฟล์ที่สร้างขึ้นใหม่และไฟล์ที่เปลี่ยนการเป็นเจ้าของได้ โปรดดูรายละเอียดที่หัวข้อใช้ป้ายกำกับการแยกประเภทกับ ไฟล์ใหม่โดยอัตโนมัติ
  • ใช้ป้ายกำกับและฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาต การเลือกหลายรายการในรายการตัวเลือก
  • ใช้ป้ายกำกับสำหรับช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

ก่อนเริ่มต้น

ทำความเข้าใจและสร้างป้ายกำกับการแยกประเภท

ก่อนที่จะใช้ป้ายกำกับการแยกประเภทกับกฎ DLP ของไดรฟ์ คุณควรดำเนินการดังนี้

  1. ทำความเข้าใจวัตถุประสงค์และฟังก์ชันของป้ายกำกับการแยกประเภท โปรดดูรายละเอียดที่หัวข้อเริ่มต้นใช้งานในฐานะผู้ดูแลระบบป้ายกำกับการแยกประเภท
  2. สร้างป้ายกำกับ หรือทำความรู้จักป้ายกำกับที่มีอยู่แล้วที่คุณต้องการใช้

ใช้กฎ DLP หรือการแยกประเภทเริ่มต้นเพื่อใช้ป้ายกำกับโดยอัตโนมัติ

ใช้กฎ DLP เพื่อใช้ป้ายกำกับโดยอัตโนมัติหากคุณจำเป็นต้องใช้เงื่อนไขหรือการดำเนินการอย่างใดอย่างหนึ่งสำหรับการติดป้ายกำกับ หากต้องการติดป้ายกำกับให้ไฟล์ใหม่เฉพาะในกรณีที่สร้างโดยผู้ใช้ที่กำหนดเท่านั้น ให้ใช้ป้ายกำกับการแยกประเภทเริ่มต้น

วิธีการทำงานของป้ายกำกับการแยกประเภทเริ่มต้น

  • ใช้ป้ายกำกับกับไฟล์ใหม่และเมื่อมีการเปลี่ยนแปลงการเป็นเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่นำป้ายกำกับไปใช้กับไฟล์ที่มีอยู่ย้อนหลัง เว้นแต่จะมีการเปลี่ยนเจ้าของไฟล์
  • ใช้ป้ายกำกับตามหน่วยขององค์กรหรือกลุ่มของเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่ค้นหาเนื้อหาหรือข้อมูลเมตาของไฟล์ตามเงื่อนไขบางอย่าง
  • หากผู้ใช้มีสิทธิ์เปลี่ยนป้ายกำกับ ก็สามารถเปลี่ยนหรือนำป้ายกำกับออกได้หลังจากที่ใช้ป้ายกำกับโดยอัตโนมัติแล้ว
  • เฉพาะป้ายกำกับที่มีช่องรายการตัวเลือกเท่านั้นที่จะรองรับสำหรับการแยกประเภทเริ่มต้น
  • ระบบจะเขียนทับป้ายกำกับการแยกประเภทเริ่มต้นด้วยป้ายกำกับที่ DLP กำหนดแม้ว่าค่าการแยกประเภทข้อมูลจะอยู่ในระดับสูงกว่าในรายการตัวเลือกก็ตาม

วิธีการทำงานของป้ายกำกับที่กำหนดโดยกฎ DLP

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • ใช้ป้ายกำกับตามเงื่อนไข เช่น ประเภทไฟล์ คำที่ตรงกัน และสตริงที่ตรงกัน
  • คุณจะใช้ป้ายกำกับที่มีกฎ DLP ซึ่งใช้ป้ายกำกับเป็นเงื่อนไขไม่ได้
  • คุณสามารถป้องกันไม่ให้ผู้ใช้เปลี่ยนป้ายกํากับได้ แม้ว่าผู้ใช้จะมีสิทธิ์เปลี่ยนก็ตาม หากผู้ใช้เปลี่ยนป้ายกำกับ DLP จะสแกนไฟล์อีกครั้งทันทีและเปลี่ยนกลับไปใช้การกำหนดค่าป้ายกำกับ DLP
  • หากองค์กรมีกฎ DLP ที่บล็อกการแชร์ภายนอก ผู้ใช้ภายนอกองค์กรจะดูประวัติเวอร์ชันของไฟล์ที่มีการใช้กฎ DLP กับไฟล์นั้นๆ ไม่ได้ ข้อกำหนดนี้รวมถึงกฎ DLP ที่ใช้ป้ายกำกับแต่ไม่ได้บล็อกการแชร์ภายนอก
  • กฎ DLP สามารถใช้ป้ายกำกับที่มีช่องรายการตัวเลือก ซึ่งรวมถึงป้ายกำกับที่มีตราสถานะ

วิธีการทำงานของป้ายกำกับการแยกประเภทโดย AI

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • เฉพาะป้ายกำกับที่มีช่องรายการตัวเลือก 1 ช่องและมีค่า 2-7 ค่าเท่านั้นที่จะรองรับสำหรับการแยกประเภท AI
  • ใช้ป้ายกำกับหลังจากระยะเวลาการฝึก ในระหว่างระยะเวลาการฝึก ผู้ติดป้ายกำกับที่กำหนดไว้จะใช้ป้ายกำกับการฝึกกับไฟล์อย่างน้อย 100 ไฟล์ต่อตัวเลือกฟิลด์
  • ป้ายกำกับการแยกประเภทโดย AI จะถูกเขียนทับด้วยป้ายกํากับที่ DLP กำหนด แต่จะเขียนทับป้ายกํากับการแยกประเภทเริ่มต้น

ดูวิธีการแก้ไขความขัดแย้งของกฎ

ค่าป้ายกำกับที่กำหนดโดยกฎ DLP จะมีความสำคัญเหนือกว่าการแยกประเภทโดย AI และทั้ง 2 อย่างจะมีความสำคัญเหนือกว่าการแยกประเภทเริ่มต้น

เมื่อกฎประเภทเดียวกัน 2 ข้อขึ้นไปพยายามใช้ค่าป้ายกำกับที่แตกต่างกันกับไฟล์เดียวกัน ระบบจะใช้ค่าที่อยู่สูงกว่าในรายการตัวเลือกของป้ายกำกับ เช่น คุณอาจมีป้ายกํากับที่มีช่องซึ่งมีตัวเลือก 3 รายการในเครื่องมือจัดการป้ายกำกับ ดังนี้

  1. ลับ
  2. ภายใน
  3. สาธารณะ

หากกฎ 1 พยายามกำหนดให้ป้ายกำกับเป็นลับ และกฎ 2 พยายามกำหนดให้ป้ายกำกับเป็นสาธารณะสำหรับไฟล์เดียวกัน ระบบจะใช้ลับ (กฎ 1) โปรดตรวจสอบว่าตัวเลือกช่องของป้ายกำกับแสดงตามลำดับความสำคัญที่คุณต้องการก่อนที่จะตั้งกฎ

ตั้งค่ากฎ DLP ของไดรฟ์เพื่อใช้ป้ายกำกับการแยกประเภท

ทําความเข้าใจการล็อกป้ายกํากับ

ป้ายกำกับ ช่อง และตัวเลือกช่องที่เชื่อมโยงกับกฎ DLP จะล็อกไว้ในเครื่องมือจัดการป้ายกำกับ วิธีนี้จะช่วยไม่ให้มีการแก้ไขป้ายกํากับหรือช่องที่อาจละเมิดนโยบายธุรกิจ ปลดล็อกตัวเลือกป้ายกํากับ ช่อง หรือตัวเลือกช่อง โดยการนําออกจากกฎ DLP ทั้งหมด

การแก้ไขในเครื่องมือจัดการป้ายกำกับ เช่น

  • อนุญาตให้เปลี่ยนชื่อหรือเพิ่มช่องหรือตัวเลือกช่องใหม่
  • ไม่อนุญาตให้ปิดใช้หรือลบป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ใช้ในกฎ DLP ผู้ดูแลระบบที่มีสิทธิ์จัดการป้ายกำกับสามารถดูได้ว่ามีการใช้ป้ายกำกับในกฎหรือไม่ แต่จะไม่เห็นตัวกฎดังกล่าวเว้นแต่จะมีสิทธิ์ที่จำเป็น

คุณไม่สามารถสร้างกฎ DLP ที่มีป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ถูกปิดใช้ แม้จะเป็นฉบับร่างของป้ายกำกับที่เผยแพร่ก็ตาม

เลิกทำการเปลี่ยนแปลงส่วนกลางในป้ายกำกับไดรฟ์

หากคุณปรับใช้ป้ายกำกับ (หรือค่าของป้ายกำกับและช่อง) กับไฟล์หลายประเภทผ่านกฎ DLP โดยไม่ได้ตั้งใจ คุณสามารถใช้ DLP เพื่อล้างการเปลี่ยนแปลงเหล่านั้นได้

ซึ่งทําได้โดยการปิดใช้กฎ DLP ที่ปรับใช้การเปลี่ยนแปลง กฎจะนําป้ายกํากับและค่าในช่องทั้งหมดออกโดยอัตโนมัติ หรือแก้ไขกฎ DLP ดังกล่าวเพื่อนําการดําเนินการใช้ป้ายกํากับออก ซึ่งจะเป็นการลบป้ายกํากับและค่าในช่องที่กฎปรับใช้ด้วยเช่นกัน การนําการเปลี่ยนแปลงนี้ไปใช้อาจใช้เวลาสัก 2-3 นาที, 2-3 ชั่วโมง หรือนานกว่านั้น โดยขึ้นอยู่กับจํานวนเอกสารที่ต้องอัปเดต

การล้างข้อมูลนี้มีข้อยกเว้นในกรณีที่คุณใช้ตัวเลือกเลือกว่าจะอนุญาตให้ผู้ใช้เปลี่ยนค่าป้ายกํากับและช่องที่ใช้กับไฟล์ของตนเองหรือไม่โดยเลือกอนุญาต ระบบจะนําป้ายกํากับและช่องที่แก้ไขโดยกฎ DLP ออก แต่ป้ายกํากับและค่าในช่องที่ผู้ใช้แก้ไขจะยังคงเหมือนเดิม

ตรวจสอบเหตุการณ์ในบันทึกของไดรฟ์เพื่อยืนยันการดำเนินการ

หากต้องการตรวจสอบสิ่งที่เปลี่ยนแปลงไปในไฟล์ ให้ตรวจสอบบันทึกการตรวจสอบของไดรฟ์ คําอธิบายเหตุการณ์ของคอลัมน์จะแสดงรายการการดําเนินการของ DLP เช่น กฎ DLP ที่ใช้สัญญาป้ายกํากับ โปรดดูรายละเอียดที่หัวข้อเหตุการณ์ในบันทึกของไดรฟ์

การสแกน DLP ใช้เวลานานกว่าที่คาดไว้ เกิดอะไรขึ้น

การใช้ DLP เพื่อติดป้ายกํากับโดยอัตโนมัติช่วยให้คุณเปลี่ยนแปลงเอกสารหลายรายการในไดรฟ์ได้ โดยทั้งนี้อาจส่งผลให้จำนวนไฟล์ที่ได้รับผลกระทบมีมากกว่าที่คาดไว้ กฎที่อัปเดตไฟล์จํานวนมากอาจใช้เวลาดําเนินการนานกว่ากฎที่มีผลต่อไฟล์จํานวนน้อย คุณอาจต้องทดสอบกฎที่ติดป้ายกํากับในจำนวนน้อยๆ ก่อนนํามาใช้ในวงกว้าง