Kombinera dataskyddsregler med kontextmedvetna åtkomstvillkor

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus. Jämför din utgåva

För att få större kontroll över vilka användare och enheter som kan överföra känsligt innehåll kan du kombinera dataskyddsregler för dataförlustförebyggande åtgärder (DLP) med kontextmedvetna åtkomstvillkor. När du lägger till ett kontextmedvetet åtkomstvillkor, till exempel användarens plats, enhetens säkerhetsstatus eller IP-adress, till en dataskyddsregel tillämpas regeln endast om kontextvillkoren är uppfyllda.

Användningsfall

Genom att kombinera dataskyddsregler och kontextmedvetna åtkomstvillkor kan du kontrollera:

  • Chrome-webbläsaren — Till exempel uppladdning och bifogande av filer, uppladdning och klistra in webbinnehåll, nedladdning och utskrift.
  • Google Drive – Ladda ner, skriva ut och kopiera Drive-filer. Kontextmedvetna åtkomstvillkor är endast tillgängliga för Google Drive med åtgärden Inaktivera nedladdning, utskrift och kopiering .

Innan du börjar

Innan du kombinerar dataskyddsregler med villkor för kontextmedveten åtkomst måste du uppfylla kraven som beskrivs i följande tabell.

Google Workspace-tillägg

(Krävs av DLP för Chrome, krävs inte av DLP för Drive)

Chrome-webbläsarversion

Version 105 eller senare.

I tidigare Chrome-versioner ignorerades kontextvillkor. Regler beter sig som om endast innehållsvillkor var angivna.

(Krävs av DLP för Chrome, krävs inte av DLP för Drive)

Slutpunktsverifiering

För stationära enheter måste du aktivera slutpunktsverifiering för att tillämpa enhets- eller enhets-OS-baserade kontextvillkor.

(Krävs inte för attribut som inte är enhetsbaserade, såsom IP-adress, region och webbläsarens hanteringsstatus)

Mobilhantering

Mobila enheter bör ha grundläggande eller avancerad hantering.

(Krävs inte för attribut som inte är enhetsbaserade, såsom IP-adress, region och webbläsarens hanteringsstatus)

Administratörsbehörigheter för åtkomstnivåer

För att skapa åtkomstnivåer måste du ha behörigheten Åtkomstnivåhantering. För att använda åtkomstnivåer i dataskyddsregler måste du ha behörigheten Åtkomstnivåhantering eller Regelhantering.

För mer information, gå till Datasäkerhet .

Steg 1: Konfigurera Chrome-webbläsaren för regeltillämpning

För att integrera DLP-funktioner med Chrome-webbläsaren måste du konfigurera policyer för Chrome Enterprise-anslutningen .

Steg 2: Skapa en dataskyddsregel med kontextmedvetna åtkomstvillkor

Innan du börjar : Det här är allmänna instruktioner som illustrerar hur du skapar en dataskyddsregel med kontextmedvetna åtkomstvillkor. Du kan skapa en åtkomstnivå innan du skapar en dataskyddsregel eller under regelskapandet. I dessa steg skapas åtkomstnivån först, innan resten av stegen.

  1. Skapa en ny åtkomstnivå med lämpliga villkor. För stegen, gå till Skapa en åtkomstnivå . Du kan tilldela en enskild åtkomstnivå till en dataskyddsregel.
  2. Skapa en ny dataskyddsregel från grunden eller med hjälp av en fördefinierad mall. För stegen, gå till Skapa dataskyddsregler .
  3. För att se detaljerade exempel, gå till exempel på DLP- och kontextmedvetna åtkomstregler (senare på den här sidan).
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Exempel på DLP- och kontextmedvetna åtkomstregler

Följande exempel visar hur du kan kombinera dataskyddsregler med kontextmedvetna åtkomstnivåer för att tillämpa regler som är beroende av en användares IP-adress, plats eller enhetsstatus.

Exempel 1: Blockera nedladdningar på enheter utanför företagets nätverk (Chrome-webbläsaren)

För att skapa regler för webbläsaren Chrome behöver du Chrome Enterprise Premium.

  1. I Googles administratörskonsol, gå till Meny och sedan Regler och sedan Skapa regel och sedan Dataskydd .

    Kräver behörighet att visa och hantera DLP-regler .

  2. Ange namnet och (valfritt) en beskrivning för regeln.
  3. I avsnittet Appar , för Chrome , klicka på rutan Nedladdad fil .
  4. Klicka på Fortsätt .
  5. I avsnittet Åtgärder väljer du Blockera för Chrome .
  6. (Valfritt) För att ange hur incidenter plottas i DLP-incidentinstrumentpanelen, välj en allvarlighetsnivå ( Låg, Medel, Hög ) i avsnittet Aviseringar .
  7. (Valfritt) Markera rutan Varningscenter för att utlösa aviseringar i aviseringscentret . Markera rutan Alla avancerade administratörer eller lägg till mottagarnas e-postadresser för att skicka ett meddelande till administratörer.
  8. Klicka på Fortsätt .
  9. För Omfattning , välj ett alternativ:
    • Om du vill tillämpa regeln på hela organisationen väljer du Alla i domän.namn .
    • För att tillämpa regeln på specifika organisationsenheter eller grupper, välj Organisationsenheter och/eller grupper och inkludera eller exkludera organisationsenheter och grupper.

    Om det finns en konflikt mellan organisatoriska enheter och grupper vad gäller inkludering eller exkludering har gruppen företräde.

  10. I avsnittet Innehållsvillkor klickar du på Lägg till villkor och konfigurerar sedan villkoret enligt följande:
  11. För Kontextvillkor klickar du på Välj en åtkomstnivå .
    Om du redan har skapat en lämplig åtkomstnivå väljer du din åtkomstnivå i avsnittet Kontextvillkor och går till steg 19.
  12. Klicka på Skapa ny åtkomstnivå .
  13. Ange ett namn (till exempel Utanför företagsnätverket) och eventuellt en beskrivning.
  14. I avsnittet Kontextvillkor klickar du på Lägg till villkor .
  15. Välj Uppfyller inte ett eller flera attribut (ELLER) .
  16. Klicka på Välj attribut och sedan IP-subnät (offentlig) och ange ditt företagsnätverks IP-adress. Adressen ska vara en IPv4- eller IPv6-adress eller ett routingprefix i CIDR-blocknotation.
    • Privata IP-adresser stöds inte (inklusive användarnas hemnätverk).
    • Statiska IP-adresser stöds.
    • För att använda en dynamisk IP-adress måste du definiera ett statiskt IP-undernät för åtkomstnivån. Om du känner till intervallet för den dynamiska IP-adressen och den definierade statiska IP-adressen i åtkomstnivån täcker det intervallet, är kontextvillkoret uppfyllt. Om den dynamiska IP-adressen inte finns i det definierade statiska IP-undernätet, är kontextvillkoret inte uppfyllt.
  17. Klicka på Skapa . Du återgår till sidan Skapa regel . Din nya åtkomstnivå och dess attribut läggs till i listan.
  18. Klicka på Fortsätt för att granska regelinformationen.
  19. För Regelstatus , välj ett alternativ:
    • Aktiv — Din regel körs omedelbart.
    • Inaktiv — Din regel finns, men är inte i kraft. Detta ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att gå till Säkerhet. och sedan Åtkomst- och datakontroll och sedan Dataskydd och sedan Hantera regler . Klicka på statusen Inaktiv för regeln och välj Aktiv . Regeln körs efter att du har aktiverat den och DLP söker efter känsligt innehåll.
  20. Klicka på Skapa .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Exempel 2: Blockera nedladdningar för användare som loggar in från specifika länder (Chrome-webbläsaren)

För att skapa regler för webbläsaren Chrome behöver du Chrome Enterprise Premium.

  1. I Googles administratörskonsol, gå till Meny och sedan Regler och sedan Skapa regel och sedan Dataskydd .

    Kräver behörighet att visa och hantera DLP-regler .

  2. Ange namnet och (valfritt) en beskrivning för regeln.
  3. I avsnittet Appar , för Chrome , klicka på rutan Nedladdad fil .
  4. Klicka på Fortsätt .
  5. I avsnittet Åtgärder väljer du Blockera för Chrome .
  6. (Valfritt) För att ange hur incidenter plottas i DLP-incidentinstrumentpanelen, välj en allvarlighetsnivå ( Låg, Medel, Hög ) i avsnittet Aviseringar .
  7. (Valfritt) Markera rutan Varningscenter för att utlösa aviseringar i aviseringscentret . Markera rutan Alla avancerade administratörer eller lägg till mottagarnas e-postadresser för att skicka ett meddelande till administratörer.
  8. Klicka på Fortsätt .
  9. För Omfattning , välj ett alternativ:
    • Om du vill tillämpa regeln på hela organisationen väljer du Alla i domän.namn .
    • För att tillämpa regeln på specifika organisationsenheter eller grupper, välj Organisationsenheter och/eller grupper och inkludera eller exkludera organisationsenheter och grupper.

    Om det finns en konflikt mellan organisatoriska enheter och grupper vad gäller inkludering eller exkludering har gruppen företräde.

  10. I avsnittet Innehållsvillkor klickar du på Lägg till villkor och konfigurerar sedan villkoret enligt följande:
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå .

    Om du redan har skapat en lämplig åtkomstnivå väljer du din åtkomstnivå i avsnittet Kontextvillkor och går till steg 20.

  12. Klicka på Skapa ny åtkomstnivå .
  13. Ange ett namn (till exempel I Kina) och, valfritt, en beskrivning.
  14. I avsnittet Kontextvillkor klickar du på Lägg till villkor .
  15. Välj Uppfyller alla attribut (OCH) .
  16. Klicka på Välj attribut och sedan Plats och välj sedan ett land från listan.
  17. (Valfritt) Så här lägger du till ytterligare länder och tillämpar regeln på användare som loggar in från dem:
    1. Klicka på Lägg till villkor och välj Uppfyller alla attribut (OCH) .
    2. Överst i Villkor , sätt Koppla samman flera villkor med till ELLER .
  18. Klicka på Skapa . Du återgår till sidan Skapa regel . Din nya åtkomstnivå och dess attribut läggs till i listan.
  19. Klicka på Fortsätt för att granska regelinformationen.
  20. För Regelstatus , välj ett alternativ:
    • Aktiv — Din regel körs omedelbart.
    • Inaktiv — Din regel finns, men är inte i kraft. Detta ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att gå till Säkerhet. och sedan Åtkomst- och datakontroll och sedan Dataskydd och sedan Hantera regler . Klicka på statusen Inaktiv för regeln och välj Aktiv . Regeln körs efter att du har aktiverat den och DLP söker efter känsligt innehåll.
  21. Klicka på Skapa .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Exempel 3: Blockera nedladdningar på enheter som inte är administratörsgodkända (Drive)

  1. I Googles administratörskonsol, gå till Meny och sedan Regler och sedan Skapa regel och sedan Dataskydd .

    Kräver behörighet att visa och hantera DLP-regler .

  2. Ange namnet och (valfritt) en beskrivning för regeln.
  3. I avsnittet Appar , för Google Drive , markera rutan Drive-filer .
  4. Klicka på Fortsätt .
  5. I avsnittet Åtgärder , för Google Drive , välj Inaktivera nedladdning, utskrift och kopiering. och sedan Endast för kommentatorer och tittare .

    För mer information om den här åtgärden, gå till Förhindra att användare laddar ner, skriver ut eller kopierar filer .

  6. (Valfritt) För att ange hur incidenter plottas i DLP-incidentinstrumentpanelen, välj en allvarlighetsnivå ( Låg, Medel, Hög ) i avsnittet Aviseringar .
  7. (Valfritt) Markera rutan Varningscenter för att utlösa aviseringar i aviseringscentret . Markera rutan Alla avancerade administratörer eller lägg till mottagarnas e-postadresser för att skicka ett meddelande till administratörer.
  8. Klicka på Fortsätt .
  9. För Omfattning , välj ett alternativ:
    • Om du vill tillämpa regeln på hela organisationen väljer du Alla i domän.namn .
    • För att tillämpa regeln på specifika organisationsenheter eller grupper, välj Organisationsenheter och/eller grupper och inkludera eller exkludera organisationsenheter och grupper.

    Om det finns en konflikt mellan organisatoriska enheter och grupper vad gäller inkludering eller exkludering har gruppen företräde.

  10. I avsnittet Innehållsvillkor klickar du på Lägg till villkor och konfigurerar sedan villkoret enligt följande:
    • För Innehållstyp att skanna väljer du Allt innehåll .
    • För Vad som ska sökas efter väljer du en DLP-skanningstyp och väljer attribut. För mer information om tillgängliga attribut, gå till Skapa DLP för Drive-regler .
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå .
  12. Om du redan har skapat en lämplig åtkomstnivå väljer du din åtkomstnivå i avsnittet Kontextvillkor och går till steg 17.
  13. Klicka på Skapa ny åtkomstnivå .
  14. Ange ett namn (till exempel Ej godkänd enhet) och eventuellt en beskrivning.
  15. I avsnittet Kontextvillkor klickar du på Lägg till villkor och konfigurerar villkoret enligt följande:
    • Välj Uppfyller inte ett eller flera attribut (ELLER) .
    • Klicka på Välj attribut och sedan Anordning och sedan Godkänd av administratören .
  16. Klicka på Skapa . Du återgår till sidan Skapa regel . Din nya åtkomstnivå och dess attribut läggs till i listan.
  17. Klicka på Fortsätt för att granska regelinformationen.
  18. För Regelstatus , välj ett alternativ:
    • Aktiv — Din regel körs omedelbart.
    • Inaktiv — Din regel finns, men är inte i kraft. Detta ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att gå till Säkerhet. och sedan Åtkomst- och datakontroll och sedan Dataskydd och sedan Hantera regler . Klicka på statusen Inaktiv för regeln och välj Aktiv . Regeln körs efter att du har aktiverat den och DLP söker efter känsligt innehåll.
  19. Klicka på Skapa .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Exempel 4: Blockera navigering till "salesforce.com/admin" på ohanterade enheter (Chrome-webbläsaren)

I det här exemplet blockeras användaren om de försöker navigera till Salesforce-administratörskonsolen (salesforce.com/admin) med en ohanterad enhet. Användare skulle fortfarande kunna komma åt andra delar av Salesforce-applikationen.

För att skapa regler för webbläsaren Chrome behöver du Chrome Enterprise Premium.

  1. I Googles administratörskonsol, gå till Meny och sedan Regler och sedan Skapa regel och sedan Dataskydd .

    Kräver behörighet att visa och hantera DLP-regler .

  2. Ange namnet och (valfritt) en beskrivning för regeln.
  3. I avsnittet Appar , för Chrome , klicka på rutan för besökt URL .
  4. (Valfritt) För att ange hur incidenter plottas i DLP-incidentinstrumentpanelen, välj en allvarlighetsnivå ( Låg, Medel, Hög ) i avsnittet Aviseringar .
  5. (Valfritt) Markera rutan Varningscenter för att utlösa aviseringar i aviseringscentret . Markera rutan Alla avancerade administratörer eller lägg till mottagarnas e-postadresser för att skicka ett meddelande till administratörer.
  6. Klicka på Fortsätt .
  7. I avsnittet Åtgärder väljer du Blockera för Chrome .
  8. Klicka på Fortsätt .
  9. För Omfattning , välj ett alternativ:
    • Om du vill tillämpa regeln på hela organisationen väljer du Alla i domän.namn .
    • För att tillämpa regeln på specifika organisationsenheter eller grupper, välj Organisationsenheter och/eller grupper och inkludera eller exkludera organisationsenheter och grupper.

    Om det finns en konflikt mellan organisatoriska enheter och grupper vad gäller inkludering eller exkludering har gruppen företräde.

  10. I avsnittet Innehållsvillkor klickar du på Lägg till villkor och konfigurerar villkoret enligt följande:
    • För Innehållstyp att skanna väljer du URL .
    • För Vad som ska sökas efter väljer du Innehåller textsträng .
    • För att innehållet ska matcha , ange salesforce.com/admin .
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå .
    Om du redan har skapat en lämplig åtkomstnivå väljer du din åtkomstnivå i avsnittet Kontextvillkor och går till steg 17.
  12. Klicka på Skapa ny åtkomstnivå .
  13. Ange ett namn (till exempel Salesforce-administratör) och, valfritt, en beskrivning.
  14. I avsnittet Kontextvillkor klickar du på fliken Avancerat .
  15. I textrutan skriver du in:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. Klicka på Skapa . Du återgår till sidan Skapa regel . Din nya åtkomstnivå och dess attribut läggs till i listan.
  17. Klicka på Fortsätt för att granska regelinformationen.
  18. För Regelstatus , välj ett alternativ:
    • Aktiv — Din regel körs omedelbart.
    • Inaktiv — Din regel finns, men är inte i kraft. Detta ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att gå till Säkerhet. och sedan Åtkomst- och datakontroll och sedan Dataskydd och sedan Hantera regler . Klicka på statusen Inaktiv för regeln och välj Aktiv . Regeln körs efter att du har aktiverat den och DLP söker efter känsligt innehåll.
  19. Klicka på Skapa .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Obs! Om en URL som du filtrerar har besökts nyligen cachas den i flera minuter och kan eventuellt inte filtreras av en ny (eller ändrad) regel förrän cachen har rensats från den URL:en. Vänta cirka 5 minuter innan du testar en ny eller ändrad regel.

Vanliga frågor

Fungerar hanterade webbläsarregler i inkognitoläge?

Nej. Regler gäller inte i inkognitoläge. Administratörer kan förhindra inloggningar till Workspace- eller SaaS-appar från Chromes inkognitoläge genom att tillämpa kontextmedveten åtkomst vid inloggningstillfället.

Måste hanterade webbläsare och hanterade användare vara i samma företag för att en regel ska tillämpas?

Om den hanterade webbläsaren och användaren av den hanterade profilen tillhör samma företag tillämpas både dataskyddsregler på webbläsarnivå och dataskyddsregler på användarnivå.

Om den hanterade webbläsaren och den hanterade profilanvändaren tillhör olika företag tillämpas endast dataskyddsreglerna på webbläsarnivå. Kontextvillkoret betraktas alltid som en matchning och det striktaste resultatet tillämpas. Det påverkar inte IP-baserade eller regionbaserade villkor.

Stöder administratörskonsolen och Google Cloud-konsolen samma åtkomstnivåer?

Kontextmedveten åtkomst i administratörskonsolen stöder inte alla attribut som stöds av Google Cloud-konsolen. Därför kan alla grundläggande åtkomstnivåer som skapats i Google Cloud-konsolen och som inkluderar dessa attribut tilldelas i administratörskonsolen, men kan inte redigeras där.

På sidan Regler i administratörskonsolen kan du tilldela åtkomstnivåer som skapats i Google Cloud-konsolen, men du kan inte visa villkorsinformation för åtkomstnivåer med attribut som inte stöds.

Varför ser jag inte kortet för kontextvillkor när jag skapar en regel?

  • Se till att du har administratörsbehörigheten Tjänster > Datasäkerhet > Åtkomstnivåhantering, vilket krävs för att visa kontextvillkor när du skapar en dataskyddsregel.
  • Se till att du har valt antingen Google Chrome eller Google Drive med åtgärden Inaktivera nedladdning, utskrift och kopiering i din regel. Se till att du inte har valt användaråtgärderna Gmail eller Chat.

Vad händer om en tilldelad åtkomstnivå tas bort?

Om en tilldelad åtkomstnivå tas bort, blir kontextvillkoren standardinställda till sant och regeln beter sig som en regel som endast gäller innehåll. Observera att regeln då kommer att gälla för fler enheter och användningsfall än vad du ursprungligen avsåg.

Bör kontextmedveten åtkomst aktiveras för att kontextvillkor ska fungera i regler?

Nej. Utvärdering av åtkomstnivå i regler är oberoende av inställningar för kontextmedveten åtkomst. Aktivering och tilldelning av kontextmedveten åtkomst bör inte påverka reglerna.

Vad händer om regelvillkoret är tomt?

Tomma villkor utvärderas som sant som standard. Det betyder att för en regel för endast kontextmedveten åtkomst kan innehållsvillkoren lämnas tomma. Observera att om både innehålls- och kontextvillkor lämnas tomma kommer regeln alltid att utlösas.

Kommer en regel att utlösas om bara ett av villkoren är uppfyllt?

Nej. Regeln utlöses endast när både innehålls- och kontextvillkor är uppfyllda.

Varför ser jag logghändelser som säger att DLP inte tillämpades?

Både DLP och kontextmedveten åtkomst är beroende av bakgrundstjänster som kan avbrytas regelbundet. Om ett tjänsteavbrott inträffar under regeltillämpning sker ingen tillämpning. När detta inträffar loggas en händelse i både regelloggen och Chrome-loggen .

Hur fungerar kontextvillkor när slutpunktsverifiering inte är installerad?

För enhetsbaserade attribut kommer kontextvillkoren att betraktas som en matchning och det striktaste resultatet kommer att tillämpas. För icke-enhetsbaserade attribut (som IP-adress och region) sker ingen förändring.

Kan jag visa information om åtkomstnivå för utlösta regler i säkerhetsundersökningsverktyget?

Ja. Du kan visa information om åtkomstnivå genom att söka efter antingen regellogghändelser eller Chrome-logghändelser i kolumnen Åtkomstnivå i sökresultaten.

Finns användaråtgärder tillgängliga för kontextvillkor i regler?

Nej. Användaråtgärder är ännu inte tillgängliga i dessa flöden.


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.