Объедините правила защиты данных с условиями доступа, учитывающими контекст.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию .

Для более эффективного контроля над тем, какие пользователи и устройства могут передавать конфиденциальную информацию, можно комбинировать правила защиты данных для предотвращения потери данных (DLP) с условиями доступа, учитывающими контекст. Если добавить в правило защиты данных условие доступа, учитывающее контекст, например, местоположение пользователя, состояние безопасности устройства или IP-адрес, правило будет применяться только в том случае, если условия контекста выполнены.

Варианты использования

Сочетание правил защиты данных и условий доступа с учетом контекста может помочь вам контролировать:

  • Браузер Chrome — например, для загрузки и прикрепления файлов, загрузки и вставки веб-контента, скачивания и печати.
  • Google Drive — Загрузка, печать и копирование файлов в Google Drive. Условия доступа с учетом контекста доступны для Google Drive только при использовании действия «Отключить загрузку, печать и копирование» .

Прежде чем начать

Прежде чем объединять правила защиты данных с условиями контекстно-зависимого доступа, необходимо выполнить требования, описанные в следующей таблице.

Дополнение Google Workspace

(Требуется для DLP в Chrome, не требуется для DLP в Google Диске)

версия для браузера Chrome

Версия 105 или более поздняя.

В предыдущих версиях Chrome условия контекста игнорировались. Правила работают так, как если бы были заданы только условия содержимого.

(Требуется для DLP в Chrome, не требуется для DLP в Google Диске)

Проверка конечной точки

Для настольных устройств необходимо включить проверку конечной точки , чтобы применять условия контекста, зависящие от устройства или операционной системы устройства.

(Не требуется для атрибутов, не связанных с устройством, таких как IP-адрес, регион и состояние управления браузером)

Мобильное управление

Для мобильных устройств необходимо внедрить базовые или расширенные функции управления.

(Не требуется для атрибутов, не связанных с устройством, таких как IP-адрес, регион и состояние управления браузером)

Административные права доступа для уровней доступа

Для создания уровней доступа необходимо иметь привилегию управления уровнями доступа. Для использования уровней доступа в правилах защиты данных необходимо иметь привилегию управления уровнями доступа или управления правилами.

Для получения более подробной информации перейдите в раздел «Безопасность данных» .

Шаг 1: Настройте браузер Chrome для применения правил.

Для интеграции функций DLP с браузером Chrome необходимо настроить политики коннектора Chrome Enterprise .

Шаг 2: Создайте правило защиты данных с условиями доступа, учитывающими контекст.

Перед началом работы : Это общие инструкции, иллюстрирующие создание правила защиты данных с условиями доступа, учитывающими контекст. Вы можете создать уровень доступа до создания правила защиты данных или во время его создания. На этих шагах уровень доступа создается первым, до выполнения остальных шагов.

  1. Создайте новый уровень доступа с соответствующими условиями. Инструкции см. в разделе «Создание уровня доступа» . Для правила защиты данных можно назначить один уровень доступа.
  2. Создайте новое правило защиты данных с нуля или используя предопределенный шаблон. Инструкции см. в разделе «Создание правил защиты данных» .
  3. Для ознакомления с подробными примерами перейдите к примерам правил защиты от утечки данных и контекстно-зависимого доступа (см. далее на этой странице).
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Примеры правил защиты от утечки данных и контекстно-зависимого доступа.

Приведенные ниже примеры показывают, как можно комбинировать правила защиты данных с уровнями доступа, учитывающими контекст, для обеспечения соблюдения правил, зависящих от IP-адреса пользователя, его местоположения или состояния устройства.

Пример 1: Блокировка загрузок на устройствах за пределами корпоративной сети (браузер Chrome)

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Загруженные файлы» .
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Chrome выберите «Блокировать» .
  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
  11. Для условий контекста нажмите «Выберите уровень доступа» .
    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 19.
  12. Нажмите «Создать новый уровень доступа» .
  13. Введите название (например, «Внешняя корпоративная сеть») и, при желании, описание.
  14. В разделе «Условия контекста» нажмите «Добавить условие» .
  15. Выберите « Не соответствует одному или нескольким атрибутам (ИЛИ)» .
  16. Нажмите «Выбрать атрибут» а потом Введите IP-подсеть (публичную) и IP-адрес вашей корпоративной сети. Адрес должен быть адресом IPv4 или IPv6, либо префиксом маршрутизации в формате CIDR.
    • Поддержка частных IP-адресов отсутствует (включая домашние сети пользователей).
    • Поддерживаются статические IP-адреса.
    • Для использования динамического IP-адреса необходимо определить статическую подсеть IP-адресов для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, условие контекста выполняется. Если динамический IP-адрес не находится в определенной статической подсети IP-адресов, условие контекста не выполняется.
  17. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  18. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  19. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  20. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 2: Блокировка загрузок для пользователей, входящих в систему из определенных стран (браузер Chrome)

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Загруженные файлы» .
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Chrome выберите «Блокировать» .
  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .

    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 20.

  12. Нажмите «Создать новый уровень доступа» .
  13. Введите название (например, «В Китае») и, при желании, описание.
  14. В разделе «Условия контекста» нажмите «Добавить условие» .
  15. Выберите « Соответствует всем атрибутам (И)» .
  16. Нажмите «Выбрать атрибут» а потом Выберите местоположение , а затем выберите страну из списка.
  17. (Необязательно) Чтобы добавить дополнительные страны и применить правило к пользователям, входящим в систему из этих стран:
    1. Нажмите «Добавить условие» и выберите «Соответствует всем атрибутам (И)» .
    2. В верхней части раздела «Условия» установите параметр «Объединить несколько условий с помощью » в значение «ИЛИ» .
  18. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  19. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  20. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  21. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 3: Блокировка загрузок на устройствах, не одобренных администратором (Google Диск).

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Google Drive установите флажок «Файлы Drive» .
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Google Диска выберите «Отключить загрузку, печать и копирование». а потом Только для комментаторов и зрителей .

    Для получения более подробной информации об этом действии перейдите в раздел «Запретить пользователям загрузку, печать или копирование файлов» .

  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
    • Для выбора типа контента для сканирования выберите «Весь контент» .
    • В разделе «Что сканировать» выберите тип сканирования DLP и укажите атрибуты. Для получения дополнительной информации о доступных атрибутах перейдите к разделу «Создание правил DLP для Диска» .
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .
  12. Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 17.
  13. Нажмите «Создать новый уровень доступа» .
  14. Введите название (например, «Несанкционированное устройство») и, при желании, описание.
  15. В разделе «Условия контекста » нажмите «Добавить условие» и настройте условие следующим образом:
    • Выберите « Не соответствует одному или нескольким атрибутам (ИЛИ)» .
    • Нажмите «Выбрать атрибут» а потом Устройство а потом Одобрено администратором .
  16. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  17. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  18. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  19. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 4: Блокировка перехода по ссылке "salesforce.com/admin" на неуправляемых устройствах (браузер Chrome)

В этом примере пользователь блокируется, если он пытается перейти в консоль администратора Salesforce (salesforce.com/admin) с неуправляемого устройства. При этом пользователи сохраняют доступ к другим разделам приложения Salesforce.

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Посещенный URL-адрес» .
  4. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  5. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  6. Нажмите «Продолжить» .
  7. В разделе «Действия» для Chrome выберите «Блокировать» .
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» и настройте условие следующим образом:
    • Для выбора типа контента для сканирования выберите URL .
    • В поле «Что сканировать» выберите «Содержит текстовую строку» .
    • Для поиска соответствующего содержимого введите salesforce.com/admin .
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .
    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 17.
  12. Нажмите «Создать новый уровень доступа» .
  13. Введите имя (например, «Администратор Salesforce») и, при желании, описание.
  14. В разделе «Условия контекста» перейдите на вкладку «Дополнительно» .
  15. В текстовое поле введите:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  17. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  18. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  19. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Примечание: Если URL-адрес, который вы фильтруете, был посещен недавно, он кэшируется на несколько минут, и новая (или измененная) фильтрация может быть невозможна до тех пор, пока кэш не будет очищен от этого URL-адреса. Подождите примерно 5 минут, прежде чем тестировать новое или измененное правило.

Часто задаваемые вопросы

Работают ли управляемые правила браузера в режиме инкогнито?

Нет. Правила не применяются в режиме инкогнито. Администраторы могут запретить вход в приложения Workspace или SaaS из режима инкогнито Chrome, включив контекстно-зависимый доступ во время входа в систему.

Для применения правила необходимо, чтобы управляемые браузеры и управляемые пользователи находились в одной организации?

Если управляемый браузер и управляемый профиль пользователя принадлежат одному и тому же предприятию, то будут применяться как правила защиты данных на уровне браузера, так и правила защиты данных на уровне пользователя.

Если управляемый браузер и управляемый профиль пользователя принадлежат разным предприятиям, то будут применяться только правила защиты данных на уровне браузера. Контекстное условие всегда будет считаться совпадающим, и будет применяться самый строгий результат. Условия, основанные на IP-адресе или регионе, не влияют на ситуацию.

Поддерживают ли административная консоль и консоль Google Cloud одинаковые уровни доступа?

Контекстно-зависимый доступ в консоли администратора не поддерживает все атрибуты, поддерживаемые консолью Google Cloud. Поэтому любые базовые уровни доступа, созданные в консоли Google Cloud и включающие эти атрибуты, могут быть назначены в консоли администратора, но не могут быть там отредактированы.

На странице «Правила» в консоли администратора можно назначать уровни доступа, созданные в консоли Google Cloud, но нельзя просмотреть подробные сведения об условиях для уровней доступа с неподдерживаемыми атрибутами.

Почему я не вижу карточку с условиями контекста при создании правила?

  • Убедитесь, что у вас есть права администратора в разделе «Службы > Безопасность данных > Управление уровнями доступа», которые необходимы для просмотра контекстных условий при создании правила защиты данных.
  • В настройках правила убедитесь, что для действия «Запретить загрузку, печать и копирование» выбраны либо Google Chrome , либо Google Drive . Убедитесь, что вы не выбрали действия пользователей Gmail или Chat.

Что произойдет, если назначенный уровень доступа будет удален?

Если назначенный уровень доступа удален, условия контекста по умолчанию становятся истинными, и правило работает как правило, действующее только на контент. Обратите внимание, что в этом случае правило будет применяться к большему количеству устройств и сценариев использования, чем вы изначально предполагали.

Следует ли включать контекстно-зависимый доступ для корректной работы контекстных условий в правилах?

Нет. Оценка уровня доступа в правилах не зависит от настроек контекстно-зависимого доступа. Активация и назначение контекстно-зависимого доступа не должны влиять на правила.

Что произойдет, если условие правила окажется пустым?

Пустые условия по умолчанию оцениваются как истинные. Это означает, что для правила доступа только с учетом контекста условия содержимого могут быть оставлены пустыми. Обратите внимание, что если условия содержимого и контекста оставлены пустыми, правило всегда будет срабатывать.

Будет ли срабатывать правило, если выполнено только одно из условий?

Нет. Правило срабатывает только при выполнении условий, касающихся содержания и контекста.

Почему в логах отображаются записи о том, что защита от утечки данных (DLP) не была применена?

Технологии DLP и Context-Aware Access используют фоновые службы, которые могут периодически прерываться. Если прерывание работы службы происходит во время применения правил, то применение правил не происходит. В этом случае событие регистрируется как в журнале правил, так и в журнале событий Chrome .

Как работают контекстные условия, если проверка конечной точки не установлена?

Для атрибутов, связанных с устройством, условия контекста будут считаться соответствующими, и будет применяться наиболее строгий результат. Для атрибутов, не связанных с устройством (таких как IP-адрес и регион), изменений нет.

Могу ли я просмотреть информацию об уровнях доступа для сработавших правил в инструменте расследования инцидентов безопасности?

Да. Вы можете просмотреть информацию об уровнях доступа, выполнив поиск событий журнала правил или событий журнала Chrome в столбце «Уровень доступа» в результатах поиска.

Доступна ли возможность исправления ошибок пользователем в зависимости от контекстных условий в правилах?

Нет. В этих сценариях пока недоступна функция исправления ошибок пользователем.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.