使用資料遺失防護規則,自動為雲端硬碟檔案套用分類標籤

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較

若 Cloud Identity 進階版使用者也擁有 Google Workspace 授權,即可使用雲端硬碟資料遺失防護和 Chat 資料遺失防護功能。如要使用雲端硬碟資料遺失防護功能,授權必須包含雲端硬碟記錄事件

管理員可以使用資料遺失防護 (DLP) 規則,依機密內容偵測結果自動對雲端硬碟檔案套用標籤。這些範例中的標籤和資料名稱並非標籤管理工具或資料遺失防護功能的實際資料。

在雲端硬碟資料遺失防護規則條件中使用標籤

您可以在規則條件中使用分類標籤。

支援的條件如下:

  • 檢查標籤是否存在。
  • 如果「選項」清單的「可複選」設定停用,請檢查一或多個「選項」清單欄位值是否存在。
  • 否定上述條件。

不支援以下條件:

  • 如果「選項」清單的「可複選」設定已啟用,請檢查「選項」清單欄位的值。
  • 檢查其他欄位類型的值,例如「數字」、「日期」、「文字」或「個人資料」。

在雲端硬碟資料遺失防護規則動作中使用標籤

將分類標籤做為自動套用的資料遺失防護動作。資料遺失防護規則觸發後,資料遺失防護功能會以動作的型式,將標籤套用至符合規則條件的雲端硬碟檔案。

支援下列規則動作:

  • 在選項清單「可複選」設定停用時,套用標籤和「選項」清單欄位值。

不支援以下規則動作:

  • 套用標籤但不套用欄位值。不過,您可以調整預設分類設定,將標籤套用到新建立的檔案和變更擁有權的檔案。如要進一步瞭解如何自動為新檔案套用分類標籤,請參閱這篇文章
  • 啟用「選項」清單設定的「可複選」設定時,套用標籤和「選項」清單欄位。
  • 套用包含其他欄位類型的標籤,例如「數字」、「日期」、「文字」或「個人資料」。

事前準備

瞭解及建立分類標籤

將分類標籤與雲端硬碟資料遺失防護規則搭配使用前的須知:

  1. 瞭解分類標籤的用途和功能。詳情請參閱「以分類標籤管理員身分開始使用」。
  2. 建立標籤,或瞭解您要使用的現有標籤。

使用資料遺失防護規則或預設分類功能自動套用標籤

如果您需要使用特定條件或動作來套用標籤,請透過資料遺失防護規則自動套用標籤。如果您只想將標籤套用至特定使用者建立的新檔案,請使用預設分類標籤

預設分類標籤的運作方式

  • 為新檔案套用標籤,或在檔案擁有權變更時套用標籤除非變更檔案擁有者,否則預設分類不會為現有檔案套用標籤。
  • 根據檔案擁有者的機構單位或群組套用標籤。預設分類不會針對特定條件搜尋檔案內容或中繼資料。
  • 如果使用者有變更標籤的權限,可以在自動套用標籤後將其變更或移除。
  • 預設分類僅支援含有選項清單欄位的標籤。
  • 即使預設分類標籤在選項清單中的資料分類值較高,系統仍會使用 DLP 設定的標籤覆寫分類標籤。

資料遺失防護規則設定的標籤如何運作

  • 為新檔案和現有檔案套用標籤。
  • 根據檔案類型、字詞相符和字串相符等條件套用標籤。
  • 如果資料遺失防護規則使用標籤做為條件,則無法套用標籤。
  • 您可以禁止使用者變更標籤,即使對方具備變更權限也一樣。如果使用者變更標籤,資料遺失防護功能會立即再次掃描檔案,並還原為資料遺失防護標籤設定。
  • 如果貴機構設有禁止外部共用的資料遺失防護規則,只要檔案曾套用資料遺失防護規則,機構外人士就無法查看相關的版本記錄。即使是僅套用標籤但不禁止外部共用的資料遺失防護規則,也適用這項規定。
  • 資料遺失防護規則可以套用包含選項清單欄位的標籤,包括標記標籤。

AI 分類標籤的運作方式

  • 為新檔案和現有檔案套用標籤。
  • AI 分類僅支援含有單一選項清單欄位 (包含 2 到 7 個值) 的標籤。
  • 在訓練期結束後套用標籤。在訓練期間,指定的標籤人員會針對每個欄位選項,將訓練標籤套用到至少 100 個檔案。
  • AI 分類標籤會遭到資料遺失防護規則設定的標籤覆寫,但也會覆寫預設分類標籤。

瞭解如何解決規則衝突問題

如果是資料遺失防護規則設定的標籤值,優先順序會高於 AI 分類,但這兩者的優先順序都高於預設分類。

當 2 個以上相同規則嘗試為同一個檔案套用不同的標籤值時,系統會套用標籤選項清單中優先順序較高的值。舉例來說,有一個標籤,其欄位在標籤管理工具中列出 3 個選項:

  1. 機密
  2. 內部
  3. 公開

如果規則 1 嘗試將標籤設為「機密」,規則 2 嘗試將同一檔案的標籤設為「公開」,則系統會套用「機密」 (規則 1)。因此設定規則前,請確認標籤欄位選項會按照您希望的優先順序列出。

設定雲端硬碟資料遺失防護規則,以便套用分類標籤

瞭解標籤鎖定功能

凡是與資料遺失防護規則相關聯的標籤、欄位和欄位選項,在標籤管理工具中都會遭到鎖定,這可以防止他人編輯可能違反企業政策的標籤或欄位。將標籤、欄位或欄位選項從所有資料遺失防護規則中移除,即可解除鎖定。

是否可以在標籤管理工具中執行下列編輯作業:

  • 重新命名或新增欄位/欄位選項 - 可以。
  • 停用或刪除資料遺失防護規則中使用的標籤、欄位或欄位選項 - 不可以。具備「管理標籤」權限的管理員可以查看規則中是否有使用標籤,但除非獲得必要權限,否則無法查看規則本身。

您無法建立含有已停用標籤、欄位或欄位選項的資料遺失防護規則,即使是在已發布的標籤的草稿中也一樣。

將您對雲端硬碟標籤所做的全域變更復原

如果您不小心透過資料遺失防護規則將標籤 (或標籤和欄位值) 廣泛套用至各式檔案,可以使用資料遺失防護功能清除這類變更。

如要採取這個做法,請將套用變更的資料遺失防護規則設為停用,規則會自動移除標籤和任何欄位值。或者,您也可以編輯上述資料遺失防護規則,將「套用標籤」動作移除,這麼做也會移除規則所套用的標籤和欄位值。套用這項變更可能需要幾分鐘、數小時或更多時間,具體情形取決於必須更新的文件數量。

如果您將「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」選項設為「允許」,這項清除作業便會出現例外狀況。透過資料遺失防護規則修改的標籤和欄位將遭到移除,但使用者修改的標籤和欄位值則不受影響。

查看雲端硬碟記錄事件,藉此確認動作

如要調查檔案的哪些內容發生異動,請查看雲端硬碟稽核記錄。「事件說明」欄會列出資料遺失防護的動作,例如資料遺失防護規則套用了合約標籤。詳情請參閱「雲端硬碟記錄事件」。

資料遺失防護掃描作業的執行時間超出預期。為什麼會發生這種情況?

使用資料遺失防護功能自動套用標籤後,雖然您可以對雲端硬碟中的多份文件進行變更,但這可能導致受影響檔案的數量超出預期。相較於只對少數檔案造成影響的規則,更新大量檔案的規則可能需要較長的處理時間。因此我們建議您先測試對少量樣本套用標籤的規則,然後再將標籤套用至大量樣本。