通过 DLP 规则自动为云端硬盘文件应用分类标签

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。 版本对比

Cloud Identity 专业版用户只要拥有 Google Workspace 许可,即可使用云端硬盘 DLP 和 Chat DLP 功能。对于云端硬盘 DLP 功能,许可必须包含云端硬盘日志事件服务。

作为管理员,您可以使用数据泄露防护 (DLP) 规则,让系统在检测到敏感内容时,自动为云端硬盘文件添加标签。这些示例中的标签和数据名称并不是标签管理器或 DLP 规则中的真实数据。

在云端硬盘 DLP 规则条件中使用标签

您可以在规则条件中使用分类标签。

支持以下条件:

  • 检查是否存在标签。
  • 停用选项列表的允许多选设置后,请检查是否存在一个或多个选项列表字段值。
  • 否定上述条件。

不支持以下条件:

  • 启用选项列表的允许多选设置后,请检查选项列表字段值。
  • 请检查其他字段类型的值,例如数字、日期、文字或人员。

在云端硬盘 DLP 规则操作中使用标签

将分类标签作为自动应用的数据泄露防护操作应用。触发 DLP 规则后,DLP 会将标签作为操作应用于符合规则条件的云端硬盘文件。

支持以下规则操作:

  • 停用选项列表的允许多选设置后,应用标签和选项列表字段值。

不支持以下规则操作:

  • 应用标签,而不是字段值。不过,您可以配置默认分类设置,以便向新创建的文件和所有权发生变更的文件应用标签。有关详情,请参阅自动为新文件应用分类标签
  • 启用选项列表的允许多选设置后,应用标签和选项列表字段。
  • 应用其他字段类型的标签,例如数字、日期、文字或人员。

准备工作

了解和创建分类标签

通过云端硬盘 DLP 规则使用分类标签前,您需要:

  1. 了解分类标签的用途和功能。有关详情,请参阅分类标签管理员使用入门
  2. 创建标签或了解您要使用的现有标签。

使用 DLP 规则或默认分类来自动应用标签

如果您需要使用特定条件或操作来添加标签,请使用 DLP 规则来自动添加标签。如果您只想在特定用户创建新文件时才应用标签,请使用默认分类标签

默认分类标签的工作原理

  • 为新文件以及在文件所有权发生变化时应用标签。默认分类不会以可追溯方式将标签应用于现有文件,除非文件所有者发生变化。
  • 根据文件所有者的组织部门或群组应用标签。对于某些条件,默认分类不会搜索文件内容或元数据。
  • 如果用户有权更改标签,则在标签自动应用后,他们可以更改或移除标签。
  • 默认分类仅支持具有选项列表字段的标签。
  • 即使数据分类值在选项列表中的位置更高,DLP 设置的标签也会覆盖默认分类标签。

DLP 规则设置的标签的工作原理

  • 将标签应用于新文件和现有文件。
  • 根据文件类型、字词匹配和字符串匹配等条件应用标签。
  • 您无法通过将标签用作条件的 DLP 规则来应用标签。
  • 您可以禁止用户更改标签,即使用户有权更改也是如此。如果用户更改标签,DLP 会立即再次扫描文件并还原为 DLP 标签配置。
  • 如果您的组织有禁止外部共享的 DLP 规则,则组织外部的用户无法查看曾应用任何 DLP 规则的文件的版本记录。此规定也适用于仅应用标签但未阻止外部共享的 DLP 规则。
  • DLP 规则可以应用具有选项列表字段的标签,包括标记标签。

AI 分类标签的运作方式

  • 将标签应用于新文件和现有文件。
  • AI 分类仅支持具有一个选项列表字段(包含 2-7 个值)的标签。
  • 在训练期结束后应用标签。在训练期间,指定的标签添加者会对每个字段选项,将训练标签应用于至少 100 个文件。
  • AI 分类标签会被 DLP 设置的标签覆盖,但会覆盖默认分类标签。

了解如何解决规则冲突

DLP 规则设置的标签值优先于 AI 分类,并且两者都优先于默认分类。

当 2 条或更多同一类型的规则尝试对同一文件应用不同的标签值时,系统会应用标签选项列表中位置更高的值。例如,您可能有一个标签,其中的某个字段在标签管理器中列出了 3 个选项:

  1. 机密
  2. 内部
  3. 公开

如果规则 1 尝试将标签设为机密,而规则 2 尝试将同一文件的标签设为公开,则系统会应用机密(规则 1)。设置规则之前,请确保标签的字段选项按您偏好的优先级顺序列出。

设置云端硬盘 DLP 规则以应用分类标签

了解标签锁定

与 DLP 规则关联的标签、字段和字段选项在标签管理器中处于锁定状态。这样可以防止对标签或字段进行编辑,进而违反公司政策。从所有 DLP 规则中移除标签、字段或字段选项,即可解除锁定。

您可在标签管理器中执行如下修改:

  • 允许重命名或添加新字段或字段选项。
  • 不允许停用或删除 DLP 规则中使用的标签、字段或字段选项。拥有管理标签权限的管理员可以查看某条规则是否已使用标签,但无法查看规则本身,除非他们拥有所需权限。

您无法创建包含已停用的标签、字段或字段选项的 DLP 规则,即使在已发布的标签草稿中也不例外。

撤消云端硬盘标签的全局更改

如果您通过 DLP 规则不小心将标签(或标签值和字段值)用于大量文件,您可以使用 DLP 功能清理这些更改。

为此,请停用进行了这些更改的 DLP 规则。该规则会自动移除相应标签和任何字段值。您也可以修改相关的 DLP 规则,以移除应用标签操作。此操作还会移除该规则添加的标签和字段值。执行此更改可能需要几分钟、几小时或更长时间,具体取决于需要更新的文档数量。

但是,如果您使用选择是否允许用户更改其文件所应用的标签和字段值 - 允许选项,则会出现例外情况。DLP 规则修改的标签和字段会被移除,但用户修改的标签和字段值将保持不变。

查看云端硬盘日志事件以验证操作

如果您想调查文件发生了什么变化,请查看云端硬盘审核日志。“事件描述”列会列出 DLP 操作,例如DLP 规则添加了标签“合同”。如需了解详情,请参阅云端硬盘日志事件

DLP 扫描所花的时间超出预期。这是怎么回事?

使用 DLP 功能自动添加标签,可让您更改云端硬盘中的多个文档。这可能会导致受影响的文件数超出您的预期。与仅更新少量文件的规则相比,更新大量文件的规则可能需要更长的时间来执行操作。您最好先测试规则,针对较少的样本添加标签,然后再大范围使用。