ใช้ป้ายกำกับการแยกประเภทกับไฟล์ในไดรฟ์โดยอัตโนมัติด้วยกฎ DLP

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Fundamentals, Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

DLP ของไดรฟ์และของ Chat พร้อมให้บริการแก่ผู้ใช้ Cloud Identity Premium ที่มีใบอนุญาต Google Workspace ด้วย สำหรับ DLP ของไดรฟ์ ใบอนุญาตจะต้องมีเหตุการณ์ในบันทึกของไดรฟ์

ในฐานะผู้ดูแลระบบ คุณสามารถใช้กฎป้องกันข้อมูลรั่วไหล (DLP) เพื่อนำป้ายกำกับไปใช้กับไฟล์ในไดรฟ์โดยอัตโนมัติ โดยอิงตามการตรวจหาเนื้อหาที่ละเอียดอ่อน ป้ายกํากับและชื่อข้อมูลในตัวอย่างในบทความนี้ไม่ใช่ข้อมูลจริงของเครื่องมือจัดการป้ายกํากับหรือ DLP

การใช้ป้ายกำกับในเงื่อนไขของกฎ DLP ในไดรฟ์

คุณใช้ป้ายกำกับการแยกประเภทในเงื่อนไขของกฎได้

เงื่อนไขที่รองรับมีดังนี้

  • ตรวจสอบว่ามีป้ายกำกับ
  • ตรวจสอบว่ามีค่าในช่องรายการตัวเลือกอย่างน้อย 1 ค่าเมื่อปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก
  • ปฏิเสธเงื่อนไขข้างต้น

เงื่อนไขที่ไม่รองรับมีดังนี้

  • ตรวจสอบค่าในฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก
  • ตรวจสอบค่าในช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

การใช้ป้ายกำกับในการดำเนินการของกฎ DLP ในไดรฟ์

ใช้ป้ายกำกับการแยกประเภทเป็นการดำเนินการ DLP ที่ปรับใช้โดยอัตโนมัติ เมื่อกฎ DLP ทำงาน DLP จะติดป้ายกํากับเป็นการดำเนินการให้ไฟล์ในไดรฟ์ที่ตรงตามเกณฑ์

ระบบรองรับการทํางานของกฎต่อไปนี้

  • ใช้ป้ายกำกับและค่าในฟิลด์รายการตัวเลือกเมื่อปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก

ระบบไม่รองรับการทำงานของกฎต่อไปนี้

  • ใช้ป้ายกำกับ แต่ไม่ใช่ค่าในฟิลด์ ทั้งนี้ คุณจะกำหนดการตั้งค่าการแยกประเภทเริ่มต้นเพื่อนำป้ายกำกับไปใช้กับไฟล์ที่สร้างขึ้นใหม่และไฟล์ที่เปลี่ยนการเป็นเจ้าของได้ โปรดดูรายละเอียดที่หัวข้อใช้ป้ายกำกับการแยกประเภทกับไฟล์ใหม่โดยอัตโนมัติ
  • ใช้ป้ายกำกับและฟิลด์รายการตัวเลือกเมื่อเปิดใช้การตั้งค่าอนุญาตการเลือกหลายรายการในรายการตัวเลือก
  • ใช้ป้ายกำกับสำหรับช่องประเภทอื่นๆ เช่น ตัวเลข วันที่ ข้อความ หรือบุคคล

ก่อนเริ่มต้น

ทำความเข้าใจและสร้างป้ายกำกับการแยกประเภท

ก่อนที่จะใช้ป้ายกำกับการแยกประเภทกับกฎ DLP ของไดรฟ์ คุณควรดำเนินการดังนี้

  1. ทำความเข้าใจวัตถุประสงค์และฟังก์ชันของป้ายกำกับการแยกประเภท โปรดดูรายละเอียดที่หัวข้อเริ่มต้นใช้งานในฐานะผู้ดูแลระบบป้ายกำกับการแยกประเภท
  2. สร้างป้ายกำกับ หรือทำความรู้จักป้ายกำกับที่มีอยู่แล้วที่คุณต้องการใช้

ใช้กฎ DLP หรือการแยกประเภทเริ่มต้นเพื่อใช้ป้ายกำกับโดยอัตโนมัติ

ใช้กฎ DLP เพื่อใช้ป้ายกำกับโดยอัตโนมัติหากคุณจำเป็นต้องใช้เงื่อนไขหรือการดำเนินการอย่างใดอย่างหนึ่งสำหรับการติดป้ายกำกับ หากต้องการติดป้ายกํากับให้ไฟล์ใหม่เฉพาะในกรณีที่สร้างโดยผู้ใช้ที่กําหนดเท่านั้น ให้ใช้ป้ายกำกับการแยกประเภทเริ่มต้น

วิธีการทำงานของป้ายกำกับการแยกประเภทเริ่มต้น

  • ใช้ป้ายกำกับกับไฟล์ใหม่และเมื่อมีการเปลี่ยนแปลงการเป็นเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่นำป้ายกำกับไปใช้กับไฟล์ที่มีอยู่ย้อนหลัง เว้นแต่จะมีการเปลี่ยนเจ้าของไฟล์
  • ใช้ป้ายกำกับตามหน่วยขององค์กรหรือกลุ่มของเจ้าของไฟล์ การแยกประเภทเริ่มต้นจะไม่ค้นหาเนื้อหาหรือข้อมูลเมตาของไฟล์ตามเงื่อนไขบางอย่าง
  • หากผู้ใช้มีสิทธิ์เปลี่ยนป้ายกำกับ ก็สามารถเปลี่ยนหรือนำป้ายกำกับออกได้หลังจากที่ใช้ป้ายกำกับโดยอัตโนมัติแล้ว
  • เฉพาะป้ายกำกับที่มีช่องรายการตัวเลือกเท่านั้นที่จะรองรับสำหรับการแยกประเภทเริ่มต้น
  • ระบบจะเขียนทับป้ายกำกับการแยกประเภทเริ่มต้นด้วยป้ายกำกับที่ DLP กำหนดแม้ว่าค่าการแยกประเภทข้อมูลจะอยู่ในระดับสูงกว่าในรายการตัวเลือกก็ตาม

วิธีการทำงานของป้ายกำกับที่กำหนดโดยกฎ DLP

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • ใช้ป้ายกำกับตามเงื่อนไข เช่น ประเภทไฟล์ คำที่ตรงกัน และสตริงที่ตรงกัน
  • คุณจะใช้ป้ายกำกับที่มีกฎ DLP ซึ่งใช้ป้ายกำกับเป็นเงื่อนไขไม่ได้
  • คุณสามารถป้องกันไม่ให้ผู้ใช้เปลี่ยนป้ายกํากับได้ แม้ว่าผู้ใช้จะมีสิทธิ์เปลี่ยนก็ตาม หากผู้ใช้เปลี่ยนป้ายกำกับ DLP จะสแกนไฟล์อีกครั้งทันทีและเปลี่ยนกลับไปใช้การกำหนดค่าป้ายกำกับ DLP
  • หากองค์กรมีกฎ DLP ที่บล็อกการแชร์ภายนอก ผู้ใช้ภายนอกองค์กรจะดูประวัติเวอร์ชันของไฟล์ที่มีการใช้กฎ DLP กับไฟล์นั้นๆ ไม่ได้ ข้อกำหนดนี้รวมถึงกฎ DLP ที่ใช้ป้ายกำกับแต่ไม่ได้บล็อกการแชร์ภายนอก
  • กฎ DLP สามารถใช้ป้ายกำกับที่มีช่องรายการตัวเลือก ซึ่งรวมถึงป้ายกำกับที่มีตราสถานะ

วิธีการทำงานของป้ายกำกับการแยกประเภทโดย AI

  • ใช้ป้ายกำกับกับไฟล์ใหม่และไฟล์ที่มีอยู่
  • เฉพาะป้ายกำกับที่มีช่องรายการตัวเลือก 1 ช่องและมีค่า 2-7 ค่าเท่านั้นที่จะรองรับสำหรับการแยกประเภท AI
  • ใช้ป้ายกำกับหลังจากระยะเวลาการฝึก ในระหว่างระยะเวลาการฝึก ผู้ติดป้ายกำกับที่กำหนดไว้จะใช้ป้ายกำกับการฝึกกับไฟล์อย่างน้อย 100 ไฟล์ต่อตัวเลือกฟิลด์
  • ป้ายกำกับการแยกประเภทโดย AI จะถูกเขียนทับด้วยป้ายกํากับที่ DLP กำหนด แต่จะเขียนทับป้ายกํากับการแยกประเภทเริ่มต้น

ดูวิธีการแก้ไขความขัดแย้งของกฎ

ค่าป้ายกำกับที่กำหนดโดยกฎ DLP จะมีความสำคัญเหนือกว่าการแยกประเภทโดย AI และทั้ง 2 อย่างจะมีความสำคัญเหนือกว่าการแยกประเภทเริ่มต้น

เมื่อกฎประเภทเดียวกัน 2 ข้อขึ้นไปพยายามใช้ค่าป้ายกำกับที่แตกต่างกันกับไฟล์เดียวกัน ระบบจะใช้ค่าที่อยู่สูงกว่าในรายการตัวเลือกของป้ายกำกับ เช่น คุณอาจมีป้ายกํากับที่มีช่องซึ่งมีตัวเลือก 3 รายการในเครื่องมือจัดการป้ายกำกับ ดังนี้

  1. ลับ
  2. ภายใน
  3. สาธารณะ

หากกฎ 1 พยายามกำหนดให้ป้ายกำกับเป็นลับ และกฎ 2 พยายามกำหนดให้ป้ายกำกับเป็นสาธารณะสำหรับไฟล์เดียวกัน ระบบจะใช้ลับ (กฎ 1) โปรดตรวจสอบว่าตัวเลือกช่องของป้ายกำกับแสดงตามลำดับความสำคัญที่คุณต้องการก่อนที่จะตั้งกฎ

ตั้งค่ากฎ DLP ของไดรฟ์เพื่อใช้ป้ายกำกับการแยกประเภท

ทําความเข้าใจการล็อกป้ายกํากับ

ป้ายกำกับ ช่อง และตัวเลือกช่องที่เชื่อมโยงกับกฎ DLP จะล็อกไว้ในเครื่องมือจัดการป้ายกำกับ วิธีนี้จะช่วยไม่ให้มีการแก้ไขป้ายกํากับหรือช่องที่อาจละเมิดนโยบายธุรกิจ ปลดล็อกตัวเลือกป้ายกํากับ ช่อง หรือตัวเลือกช่อง โดยการนําออกจากกฎ DLP ทั้งหมด

การแก้ไขในเครื่องมือจัดการป้ายกำกับ เช่น

  • อนุญาตให้เปลี่ยนชื่อหรือเพิ่มช่องหรือตัวเลือกช่องใหม่
  • ไม่อนุญาตให้ปิดใช้หรือลบป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ใช้ในกฎ DLP ผู้ดูแลระบบที่มีสิทธิ์จัดการป้ายกำกับสามารถดูได้ว่ามีการใช้ป้ายกำกับในกฎหรือไม่ แต่จะไม่เห็นตัวกฎดังกล่าวเว้นแต่จะมีสิทธิ์ที่จำเป็น

คุณไม่สามารถสร้างกฎ DLP ที่มีป้ายกำกับ ช่อง หรือตัวเลือกช่องที่ถูกปิดใช้ แม้จะเป็นฉบับร่างของป้ายกำกับที่เผยแพร่ก็ตาม

เลิกทำการเปลี่ยนแปลงส่วนกลางในป้ายกำกับไดรฟ์

หากคุณปรับใช้ป้ายกำกับ (หรือค่าของป้ายกำกับและช่อง) กับไฟล์หลายประเภทผ่านกฎ DLP โดยไม่ได้ตั้งใจ คุณสามารถใช้ DLP เพื่อล้างการเปลี่ยนแปลงเหล่านั้นได้

ซึ่งทําได้โดยการปิดใช้กฎ DLP ที่ปรับใช้การเปลี่ยนแปลง กฎจะนําป้ายกํากับและค่าในช่องทั้งหมดออกโดยอัตโนมัติ หรือแก้ไขกฎ DLP ดังกล่าวเพื่อนําการดําเนินการใช้ป้ายกํากับออก ซึ่งจะเป็นการลบป้ายกำกับและค่าในช่องที่กฎปรับใช้ด้วยเช่นกัน การนําการเปลี่ยนแปลงนี้ไปใช้อาจใช้เวลาสัก 2-3 นาที, 2-3 ชั่วโมง หรือนานกว่านั้น โดยขึ้นอยู่กับจํานวนเอกสารที่ต้องอัปเดต

การล้างข้อมูลนี้มีข้อยกเว้นในกรณีที่คุณใช้ตัวเลือกเลือกว่าจะอนุญาตให้ผู้ใช้เปลี่ยนค่าป้ายกํากับและช่องที่ใช้กับไฟล์ของตนเองหรือไม่โดยเลือกอนุญาต ระบบจะนําป้ายกํากับและช่องที่แก้ไขโดยกฎ DLP ออก แต่ป้ายกํากับและค่าในช่องที่ผู้ใช้แก้ไขจะยังคงเหมือนเดิม

ตรวจสอบเหตุการณ์ในบันทึกของไดรฟ์เพื่อยืนยันการดำเนินการ

หากต้องการตรวจสอบสิ่งที่เปลี่ยนแปลงไปในไฟล์ ให้ตรวจสอบบันทึกการตรวจสอบของไดรฟ์ คําอธิบายเหตุการณ์ของคอลัมน์จะแสดงรายการการดําเนินการของ DLP เช่น กฎ DLP ที่ใช้สัญญาป้ายกํากับ โปรดดูรายละเอียดที่หัวข้อเหตุการณ์ในบันทึกของไดรฟ์

การสแกน DLP ใช้เวลานานกว่าที่คาดไว้ เกิดอะไรขึ้น

การใช้ DLP เพื่อติดป้ายกํากับโดยอัตโนมัติช่วยให้คุณเปลี่ยนแปลงเอกสารหลายรายการในไดรฟ์ได้ โดยทั้งนี้อาจส่งผลให้จำนวนไฟล์ที่ได้รับผลกระทบมีมากกว่าที่คาดไว้ กฎที่อัปเดตไฟล์จํานวนมากอาจใช้เวลาดําเนินการนานกว่ากฎที่มีผลต่อไฟล์จํานวนน้อย คุณอาจต้องทดสอบกฎที่ติดป้ายกํากับในจำนวนน้อยๆ ก่อนนํามาใช้ในวงกว้าง