Aplicar marcadores de classificação aos arquivos do Drive automaticamente com as regras da DLP

Edições compatíveis com este recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Fundamentals, Education Standard e Education Plus. Comparar sua edição

A DLP do Drive e do Chat estão disponíveis para os usuários do Cloud Identity Premium que também têm uma licença do Google Workspace. Para a DLP do Drive, a licença precisa incluir os eventos de registro do Drive.

Como administrador, você pode usar as regras de prevenção contra perda de dados (DLP) para aplicar marcadores automaticamente aos arquivos do Drive com base na detecção de conteúdo sensível. Os nomes dos marcadores e dos dados nos exemplos deste artigo não são dados reais nativos do Gerenciador de marcadores ou da DLP.

Usar marcadores nas condições da regra da DLP do Drive

Você pode usar os marcadores de classificação nas condições das regras.

As seguintes condições são aceitas:

  • Verifique a presença de um rótulo.
  • Verifique a presença de um ou mais valores do campo "Lista de opções" quando a configuração Permitir a seleção de várias opções estiver desativada.
  • Negue as condições acima.

Não há suporte para as seguintes condições:

  • Verifique os valores do campo da lista de opções quando a configuração Permitir a seleção de várias opções estiver ativada.
  • Verifique os valores de outros tipos de campo, como Número, Data, Texto ou Pessoa.

Usar marcadores em ações de regras da DLP do Drive

Aplicar um rótulo de classificação como uma ação de DLP aplicada automaticamente. Quando a regra é acionada, a DLP aplica marcadores como uma ação aos arquivos do Drive que atendem aos critérios da regra.

A seguinte ação de regra é compatível:

  • Aplique um marcador e um valor do campo da lista de opções quando a configuração Permitir a seleção de várias opções estiver desativada.

As seguintes ações de regra não são compatíveis:

  • Aplica um marcador, mas não um valor de campo. No entanto, você pode definir as configurações de classificação padrão para aplicar um marcador a arquivos recém-criados e a arquivos que mudam a propriedade. Saiba mais em Aplicar marcadores de classificação a novos arquivos automaticamente.
  • Aplique um marcador e um campo da lista de opções quando a configuração da lista de opções Permitir a seleção de vários itens estiver ativada.
  • Aplique um marcador com outros tipos de campo, como Número, Data, Texto ou Pessoa.

Antes de começar

Entender e criar marcadores de classificação

Antes de usar os marcadores de classificação com as regras da DLP do Drive:

  1. Entenda a finalidade e a funcionalidade dos marcadores de classificação. Confira mais detalhes em Primeiros passos como administrador de marcadores de classificação.
  2. Crie ou conheça os marcadores que você quer usar.

Usar as regras da DLP ou a classificação padrão para aplicar marcadores automaticamente

Use as regras da DLP para aplicar marcadores automaticamente se você precisar usar condições ou ações específicas. Se você quiser aplicar marcadores a novos arquivos apenas quando eles forem criados por usuários específicos, use os marcadores de classificação padrão.

Como funcionam os marcadores de classificação padrão

  • Aplica marcadores a novos arquivos e quando a propriedade de um arquivo é alterada. A classificação padrão não aplica marcadores retroativamente a arquivos existentes, a menos que o proprietário do arquivo seja alterado.
  • Aplica marcadores com base na unidade organizacional ou no grupo do proprietário do arquivo. A classificação padrão não pesquisa o conteúdo ou os metadados do arquivo para determinadas condições.
  • Se os usuários tiverem permissão para alterar um marcador, eles poderão fazer isso ou removê-lo depois que ele for aplicado automaticamente.
  • Apenas marcadores com um campo de lista de opções são compatíveis com a classificação padrão.
  • Os marcadores de classificação padrão são substituídos por marcadores definidos pela DLP, mesmo que o valor de classificação de dados seja mais alto na lista de opções.

Como funcionam os marcadores definidos pelas regras de DLP

  • Aplica marcadores a arquivos novos e existentes.
  • Aplica marcadores com base em condições, como tipo de arquivo, correspondências de palavras e correspondências de strings.
  • Não é possível aplicar um marcador com uma regra de DLP que use um marcador como condição.
  • Você pode impedir que os usuários alterem o marcador, mesmo que eles tenham permissão para fazer isso. Se o arquivo for alterado, a DLP vai verificar o arquivo de novo imediatamente e reverter para a configuração do marcador da DLP.
  • Se a sua organização tiver uma regra de DLP que bloqueia o compartilhamento externo, os usuários de fora não poderão acessar o histórico de versões dos arquivos que já tiveram uma regra de DLP aplicada. Isso inclui regras de DLP que aplicam marcadores, mas não bloqueiam o compartilhamento externo.
  • As regras da DLP podem aplicar marcadores com campos de lista de opções, incluindo marcadores com selo.

Como funcionam os rótulos de classificação por IA

  • Aplica marcadores a arquivos novos e existentes.
  • Apenas marcadores com um campo de lista de opções com 2 a 7 valores são compatíveis com a classificação de IA.
  • Aplica rótulos após um período de treinamento. Durante o período de treinamento, os rotuladores designados aplicam um marcador de treinamento a pelo menos 100 arquivos por opção de campo.
  • Os marcadores de classificação de IA são substituídos por marcadores definidos pela DLP, mas substituem os marcadores de classificação padrão.

Saber como os conflitos de regras são resolvidos

Os valores dos marcadores definidos pelas regras da DLP têm prioridade sobre a classificação da IA e ambos têm prioridade sobre a classificação padrão.

Quando duas ou mais regras do mesmo tipo tentam aplicar valores de marcador diferentes ao mesmo arquivo, o valor mais alto na lista de opções do marcador é aplicado. Por exemplo, você pode ter um marcador com um campo que tem três opções listadas no Gerenciador de marcadores:

  1. Confidencial
  2. Interno
  3. Público

Se a Regra 1 tentar definir o marcador como Confidencial e a Regra 2 tentar definir o marcador como Público para o mesmo arquivo, Confidencial (Regra 1) será aplicado. Antes de configurar as regras, verifique se as opções de campo de um marcador estão listadas em sua ordem de prioridade preferida.

Configurar uma regra da DLP do Drive para aplicar um rótulo de classificação

Entender o bloqueio de marcadores

Os rótulos, os campos e as opções de campo associados às regras da DLP são bloqueados no gerenciador de rótulos. Isso impede a edição de marcadores ou campos que podem violar as políticas comerciais. Desbloqueie o marcador, o campo ou a opção de campo removendo esse item de todas as regras da DLP.

Edições no gerenciador de rótulos, como:

  • renomear ou adicionar novos campos ou opções de campos são permitidas;
  • Não é permitido desativar ou excluir marcadores, campos ou opções de campos usados nas regras da DLP. Os administradores com o privilégio Gerenciar marcadores podem ver se um marcador é usado em uma regra, mas só conseguem ver a regra se tiverem os privilégios necessários.

Não é possível criar regras da DLP com marcadores, campos ou opções de campo desativados, nem mesmo em rascunhos de marcadores publicados.

Desfazer uma mudança global nos marcadores do Drive

Se você aplicar um marcador (ou valores de marcador e campo) acidentalmente a vários arquivos com uma regra da DLP, vai poder usar a DLP para limpar essas alterações.

Para fazer isso, desative a regra da DLP que aplicou a mudança. A regra remove automaticamente o marcador e os valores dos campos. Ou edite a regra da DLP em questão para remover a ação Aplicar marcador. Isso também remove os valores dos marcadores e dos campos aplicados pela regra. A aplicação dessa mudança pode levar alguns minutos, algumas horas ou mais tempo, dependendo de quantos documentos precisam ser atualizados.

Uma exceção a essa limpeza ocorrerá se você permitir a opção Determine se os usuários podem alterar os marcadores e valores de campos aplicados aos próprios arquivos. Os marcadores e os campos modificados pelas regras da DLP são removidos, mas os marcadores e os valores de campo modificados pelo usuário permanecem intactos.

Verificar os eventos de registro do Drive para verificar as ações

Se você quiser investigar o que mudou em um arquivo, confira o registro de auditoria do Drive. A coluna "Descrição do evento" lista as ações da DLP, como Regra da DLP aplicou o marcador "Contrato". Acesse Eventos de registro do Drive para mais detalhes.

As verificações da DLP estão demorando mais do que o esperado. O que está acontecendo?

Ao usar a DLP para aplicar marcadores, você pode fazer alterações em vários arquivos no Drive automaticamente. Isso pode afetar mais arquivos do que o esperado. As regras que atualizam um grande número de arquivos podem levar mais tempo para serem processadas do que as regras que afetam apenas um pequeno número de arquivos. Você pode testar uma regra que aplique um marcador com um número pequeno de arquivos antes de aplicar a regra a vários arquivos.