Automatyczne stosowanie etykiet klasyfikacji do plików na Dysku za pomocą reguł DLP

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Fundamentals, Education Standard i Education Plus. Porównanie wersji

Funkcje DLP dla Dysku i DLP dla Google Chat są dostępne dla użytkowników Cloud Identity Premium, którzy mają też licencję Google Workspace. W przypadku funkcji DLP dla Dysku licencja musi obejmować zdarzenia z dziennika Dysku.

Jako administrator możesz używać reguł zapobiegania utracie danych (DLP), aby automatycznie stosować etykiety do plików na Dysku, jeśli zostaną w nich wykryte treści poufne. Nazwy etykiet i danych w przykładach w tym artykule nie są danymi natywnymi dla menedżera etykiet ani DLP.

Używanie etykiet w warunkach reguły DLP dla Dysku

Możesz używać etykiet klasyfikacji w warunkach reguły.

Obsługiwane są te warunki:

  • Sprawdź, czy etykieta występuje.
  • Gdy ustawienie Zezwalaj na wybieranie wielu opcji jest wyłączone, sprawdź, czy na liście opcji jest co najmniej 1 wartość pola.
  • Zignoruj powyższe warunki.

Te warunki nie są obsługiwane:

  • Gdy ustawienie Zezwalaj na wybieranie wielu opcji jest włączone, sprawdź wartości pola Lista opcji.
  • Sprawdź wartości innych typów pól, np. Liczba, Data, Tekst lub Osoba.

Używanie etykiet w działaniach reguły DLP dla Dysku

Używaj etykiety klasyfikacji jako stosowanego automatycznie działania DLP. Po uruchomieniu reguły funkcji DLP stosuje ona etykiety do plików na Dysku, które spełniają kryteria reguły, jako działanie.

Obsługiwane jest to działanie reguły:

  • Zastosuj etykietę i wartość pola Lista opcji, gdy ustawienie listy opcji Zezwalaj na wybieranie wielu opcji jest wyłączone.

Te działania reguł nie są obsługiwane:

  • Zastosuj etykietę, ale nie wartość pola. Możesz jednak skonfigurować domyślne ustawienia klasyfikacji, aby zastosować etykietę do nowo tworzonych plików i plików, których własność została zmieniona. Szczegółowe informacje znajdziesz w artykule Automatyczne stosowanie etykiet klasyfikacji do nowych plików.
  • Zastosuj etykietę i pole Lista opcji, gdy ustawienie listy opcji Zezwalaj na wybieranie wielu opcji jest włączone.
  • Zastosuj etykietę z innymi typami pól, np. Liczba, Data, Tekst lub Osoba.

Zanim zaczniesz

Informacje o etykietach klasyfikacji i ich tworzeniu

Zanim zaczniesz używać etykiet klasyfikacji przy pomocy reguł DLP dla Dysku:

  1. Poznaj cel stosowania etykiet klasyfikacji oraz sposób ich działania. Szczegółowe informacje znajdziesz w artykule Pierwsze kroki w roli administratora etykiet klasyfikacji.
  2. Utwórz etykiety lub sprawdź, czy istnieją etykiety, których chcesz użyć.

Używanie reguł DLP lub domyślnej klasyfikacji do automatycznego stosowania etykiet

Jeśli musisz zastosować konkretne warunki lub wykonać określone działania dotyczące dodawania etykiet, użyj reguł DLP. Jeśli chcesz zastosować etykiety do nowych plików tylko wtedy, gdy są one tworzone przez określonych użytkowników, użyj etykiet klasyfikacji domyślnej.

Jak działają domyślne etykiety klasyfikacji

  • Etykiety są stosowane do nowych plików oraz w przypadku zmiany własności pliku. Domyślna klasyfikacja nie stosuje etykiet do istniejących plików, chyba że zmieni się ich właściciel.
  • Etykiety są stosowane na podstawie jednostki organizacyjnej lub grupy właściciela pliku. Klasyfikacja domyślna nie przeszukuje treści ani metadanych pliku pod kątem określonych warunków.
  • Jeśli użytkownicy mają uprawnienia do zmieniania etykiety, mogą ją zmienić lub usunąć po jej automatycznym zastosowaniu.
  • W przypadku klasyfikacji domyślnej obsługiwane są tylko etykiety z polem z listą opcji.
  • Etykiety klasyfikacji domyślnej są zastępowane przez etykiety ustawione w DLP, nawet jeśli wartość klasyfikacji danych jest wyższa na liście opcji.

Jak działają etykiety ustawiane przez reguły DLP

  • Etykiety są stosowane do nowych i istniejących plików.
  • Etykiety są stosowane na podstawie warunków takich jak typ pliku oraz dopasowanie słów i ciągów znaków.
  • Nie możesz zastosować etykiety z regułą DLP, która używa etykiety jako warunku.
  • Możesz uniemożliwić użytkownikom zmienianie etykiety, nawet jeśli mają do tego uprawnienia. Jeśli ją zmienią, DLP natychmiast ponownie przeskanuje plik i przywróci konfigurację etykiety DLP.
  • Jeśli Twoja organizacja ma regułę DLP, która blokuje udostępnianie plików poza organizację, użytkownicy spoza organizacji nie mogą wyświetlać historii zmian plików, do których zastosowano jakąkolwiek regułę DLP. To zastrzeżenie obejmuje reguły DLP, które stosują etykiety, ale nie blokują udostępniania zewnętrznego.
  • Reguły DLP mogą stosować etykiety z polami z listą opcji, w tym etykiety z plakietką.

Jak działają etykiety klasyfikacji AI

  • Etykiety są stosowane do nowych i istniejących plików.
  • Klasyfikacja AI obsługuje tylko etykiety z 1 polem z listą opcji z 2–7 wartościami.
  • Etykiety są stosowane po okresie trenowania. W okresie trenowania wyznaczeni twórcy etykiet stosują etykietę trenowania do co najmniej 100 plików na opcję pola.
  • Etykiety klasyfikacji AI są zastępowane przez etykiety ustawione w DLP, ale zastępują etykiety klasyfikacji domyślnej.

Rozwiązywanie konfliktów reguł

Wartości etykiet ustawione przez reguły DLP mają wyższy priorytet niż klasyfikacja AI, a obie z nich mają wyższy priorytet niż klasyfikacja domyślna.

Jeśli co najmniej 2 reguły tego samego rodzaju próbują zastosować różne wartości etykiet do tego samego pliku, stosowana jest wyższa wartość z listy opcji etykiety. Możesz np. mieć etykietę z polem zawierającym 3 opcje wymienione w menedżerze etykiet:

  1. Poufny
  2. Wewnętrzne
  3. Publiczny

Jeśli reguła 1 próbuje ustawić etykietę Poufny, a reguła 2 próbuje ustawić etykietę Publiczny dla tego samego pliku, zastosowana zostanie etykieta Poufny (reguła 1). Przed skonfigurowaniem reguł sprawdź, czy opcje pól etykiety są wymienione w preferowanej kolejności według priorytetu.

Konfigurowanie reguły DLP dla Dysku w celu stosowania etykiety klasyfikacji

Informacje o blokowaniu etykiet

Etykiety, pola i opcje pól powiązane z regułami DLP w menedżerze etykiet są zablokowane. Zapobiega to edytowaniu etykiet i pól, które mogą naruszać zasady firmowe. Jeśli chcesz odblokować etykietę, pole lub opcję pola, usuń ten element ze wszystkich reguł DLP.

Zmiany w menedżerze etykiet, takie jak:

  • zmienianie nazw lub dodawanie nowych pól i opcji pól – są dozwolone;
  • Wyłączanie lub usuwanie etykiet, pól lub opcji pól używanych w regułach DLP jest niedozwolone. Administratorzy z uprawnieniem Zarządzanie etykietami mogą sprawdzić, czy etykieta jest używana w regule, ale nie widzą samej reguły, jeśli nie mają wymaganych uprawnień.

Nie można tworzyć reguł DLP z wyłączonymi etykietami, polami ani opcjami pól, nawet w wersjach roboczych opublikowanych etykiet.

Cofanie globalnej zmiany dotyczącej etykiet Dysku

Jeśli za pomocą reguły DLP przypadkowo zastosujesz etykietę (lub etykietę i wartości pól) do szerokiego zakresu plików, możesz wyczyścić te zmiany przy użyciu DLP.

Aby to zrobić, wyłącz regułę DLP, która wprowadziła zmianę. Reguła automatycznie usunie etykietę i wszystkie wartości pól. Możesz też edytować odpowiednią regułę DLP, aby usunąć działanie Zastosuj etykietę. Spowoduje to również usunięcie wartości etykiet i pól zastosowanych przez regułę. Zastosowanie tej zmiany może potrwać kilka minut lub godzin (a nawet dłużej) w zależności od liczby dokumentów, które trzeba zaktualizować.

Wyjątkiem od tego sposobu czyszczenia jest sytuacja, gdy używasz opcji Określ, czy użytkownicy mogą zmieniać etykiety i wartości pól zastosowane do ich plików – Zezwól. Etykiety i pola zmodyfikowane przez reguły DLP zostaną usunięte, ale wartości etykiet i pól zmienione przez użytkowników pozostaną bez zmian.

Sprawdzanie działań przy użyciu zdarzeń z dziennika Dysku

Jeśli chcesz sprawdzić, co zmieniło się w pliku, przejrzyj dziennik kontrolny Dysku. Kolumna „Opis zdarzenia” zawiera listę działań DLP, takich jak zastosowanie etykiety Umowa przez zasadę DLP. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika Dysku.

Skanowanie DLP trwa dłużej, niż oczekiwano. Co się dzieje?

Używanie DLP do automatycznego stosowania etykiet umożliwia wprowadzanie zmian w wielu dokumentach na Dysku. W rezultacie może to powodować oznaczenie większej liczby plików, niż oczekiwano. Przetwarzanie reguł, które aktualizują dużą liczbę plików, może zająć więcej czasu niż przetwarzanie reguł, które obejmują niewielką liczbę plików. Zanim zastosujesz regułę na dużą skalę, warto najpierw przetestować ją na małej próbce plików.