DLP-Regeln mit Bedingungen für den kontextsensitiven Zugriff kombinieren

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen

DLP in Google Drive und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Wenn Sie genauer steuern möchten, welche Nutzer und Geräte vertrauliche Inhalte übertragen können, haben Sie die Möglichkeit, DLP-Regeln (Data Loss Prevention) mit Bedingungen für kontextsensitiven Zugriff zu kombinieren, beispielsweise dem Nutzerstandort, dem Sicherheitsstatus des Geräts (verwaltet, verschlüsselt) und der IP-Adresse. Wenn Sie einer DLP-Regel eine Bedingung für kontextsensitiven Zugriff hinzufügen, wird die Regel nur erzwungen, wenn die Kontextbedingungen erfüllt sind.

Anwendungsfälle

Durch die Kombination von DLP-Regeln und Bedingungen für den kontextsensitiven Zugriff können Sie Folgendes steuern:

  • Chrome-Browser: z. B. Hochladen und Anhängen von Dateien, Hochladen und Einfügen von Webinhalten, Herunterladen und Drucken.
  • Google Drive: Dazu gehören beispielsweise das Kopieren, Herunterladen und Drucken von Drive-Dateien durch Nutzer mit Kommentar- oder Lesezugriff.

Detaillierte Beispiele finden Sie auf dieser Seite unter Beispiele für DLP-Regeln mit kontextsensitivem Zugriff.

Hinweis

Bevor Sie DLP-Regeln mit Bedingungen für den kontextsensitiven Zugriff kombinieren, müssen Sie die in der folgenden Tabelle beschriebenen Anforderungen erfüllen.

Google Workspace-Add‑on

(Für Chrome-DLP erforderlich, nicht für Drive-DLP)
Chrome-Browserversion

Version 105 oder höher Weitere Informationen finden Sie in den FAQs.

(Für Chrome-DLP erforderlich, nicht für Drive-DLP)
Endpunktprüfung

Damit geräte- oder gerätebetriebssystembasierte Kontextbedingungen auf Desktopgeräte angewendet werden können, müssen Sie die Endpunktprüfung aktivieren.

(Nicht erforderlich für nicht gerätebasierte Attribute wie IP-Adresse, Region und Browserverwaltungsstatus)
Mobilgeräteverwaltung

Für Mobilgeräte sollte die einfache oder erweiterte Verwaltung erzwungen werden.

(Nicht erforderlich für nicht gerätebasierte Attribute wie IP-Adresse, Region und Browserverwaltungsstatus)
Administratorberechtigungen für Zugriffsebenen

Zum Erstellen von Zugriffsebenen benötigen Sie die Berechtigung „Zugriffsebenen verwalten“. Wenn Sie Zugriffsebenen in DLP-Regeln verwenden möchten, benötigen Sie die Berechtigung „Zugriffsebenen verwalten“ oder „Regelverwaltung“.

Weitere Informationen finden Sie unter Datensicherheit.

Schritt 1: Chrome-Browser für die Durchsetzung von Regeln einrichten

Wenn Sie DLP-Funktionen in Chrome einbinden möchten, müssen Sie Chrome Enterprise-Connector-Richtlinien einrichten.

Schritt 2: DLP-Regel mit Bedingungen für den kontextsensitiven Zugriff erstellen

Vorbereitung: Dies ist eine allgemeine Anleitung zum Erstellen einer DLP-Regel mit Bedingungen für den kontextsensitiven Zugriff. Weitere spezifische Beispiele finden Sie auf dieser Seite unter Beispiele für DLP-Regeln mit kontextsensitivem Zugriff.

Sie können die Zugriffsebene direkt vor dem Erstellen der DLP-Regel oder während der Regelerstellung festlegen. Bei diesen Schritten wird zuerst die Zugriffsebene erstellt, bevor die restlichen Schritte ausgeführt werden.

  1. Erstellen Sie eine neue Zugriffsebene mit den entsprechenden Bedingungen. Eine Anleitung finden Sie unter Zugriffsebene erstellen. Sie können einer DLP-Regel eine einzelne Zugriffsebene zuweisen.
  2. Erstellen Sie eine neue DLP-Regel von Grund auf oder mithilfe einer vordefinierten Vorlage. Eine Anleitung finden Sie unter Datenschutzregeln erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Beispiele für DLP-Regeln mit kontextsensitivem Zugriff

Die folgenden Beispiele zeigen, wie Sie DLP-Regeln mit kontextsensitiven Zugriffsebenen kombinieren können, um die Regelerzwingung je nach IP-Adresse, Standort oder Gerätestatus eines Nutzers auszuführen.

Beispiel 1: Downloads auf Geräten außerhalb des Unternehmensnetzwerks blockieren (Chrome-Browser)

Wenn Sie Regeln für den Chrome-Browser erstellen möchten, benötigen Sie Chrome Enterprise Premium.

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Regelnund dannRegel erstellenund dannDatenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  3. Klicken Sie im Bereich Apps unter Chrome auf das Kästchen Datei heruntergeladen.
  4. Klicken Sie auf Weiter.
  5. Wählen Sie im Abschnitt Aktionen unter Chrome die Option Blockieren aus.
  6. Optional: Wenn Sie festlegen möchten, wie Vorfälle im DLP-Dashboard dargestellt werden sollen, wählen Sie im Abschnitt Benachrichtigungen eine Wichtigkeitsstufe aus (Niedrig, Mittel, Hoch).
  7. Optional: Wenn Sie Benachrichtigungen in der Benachrichtigungszentrale auslösen möchten, klicken Sie auf das Kästchen Benachrichtigungszentrale. Wenn Sie eine Benachrichtigung an Administratoren senden möchten, klicken Sie das Kästchen Alle Super Admins an oder fügen Sie die E‑Mail-Adressen der Empfänger hinzu.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  10. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
  11. Klicken Sie unter Kontextbedingungen auf Zugriffsebene auswählen.
    Wenn Sie bereits eine geeignete Zugriffsebene erstellt haben, wählen Sie im Bereich Kontextbedingungen die Zugriffsebene aus und fahren Sie mit Schritt 19 fort.
  12. Klicken Sie auf Neue Zugriffsebene erstellen.
  13. Geben Sie einen Namen ein (z. B. „Außerhalb des Unternehmensnetzwerks“) und optional eine Beschreibung.
  14. Klicken Sie im Abschnitt Kontextbedingungen auf Bedingung hinzufügen.
  15. Wählen Sie Mindestens ein Attribut nicht erfüllt (ODER) aus.
  16. Klicken Sie auf Attribut auswählenund dannIP-Subnetz (öffentlich) und geben Sie die IP-Adresse Ihres Unternehmensnetzwerks ein. Die Adresse sollte eine IPv4- oder IPv6-Adresse oder ein Routing-Präfix in CIDR-Blöcken sein.
    • Private IP-Adressen (einschließlich der Heimnetzwerke von Nutzern) werden nicht unterstützt.
    • Statische IP-Adressen werden unterstützt.
    • Wenn Sie eine dynamische IP-Adresse verwenden möchten, müssen Sie ein statisches IP-Subnetz für die Zugriffsebene definieren. Wenn Sie den Bereich der dynamischen IP-Adresse kennen und die in der Zugriffsebene definierte statische IP-Adresse in diesem Bereich liegt, ist die Kontextbedingung erfüllt. Wenn sich die dynamische IP-Adresse nicht im definierten statischen IP-Subnetz befindet, ist die Kontextbedingung nicht erfüllt.
  17. Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene und die zugehörigen Attribute werden der Liste hinzugefügt.
  18. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  19. Wählen Sie unter Regelstatus eine Option aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird aber nicht angewendet. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheitund dannZugriff und Datenkontrolleund dannDatenschutzund dannRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  20. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Beispiel 2: Downloads für Nutzer blockieren, die sich aus bestimmten Ländern anmelden (Chrome-Browser)

Wenn Sie Regeln für den Chrome-Browser erstellen möchten, benötigen Sie Chrome Enterprise Premium.

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Regelnund dannRegel erstellenund dannDatenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  3. Klicken Sie im Bereich Apps unter Chrome auf das Kästchen Datei heruntergeladen.
  4. Klicken Sie auf Weiter.
  5. Wählen Sie im Abschnitt Aktionen unter Chrome die Option Blockieren aus.
  6. Optional: Wenn Sie festlegen möchten, wie Vorfälle im DLP-Dashboard dargestellt werden sollen, wählen Sie im Abschnitt Benachrichtigungen eine Wichtigkeitsstufe aus (Niedrig, Mittel, Hoch).
  7. Optional: Wenn Sie Benachrichtigungen in der Benachrichtigungszentrale auslösen möchten, klicken Sie auf das Kästchen Benachrichtigungszentrale. Wenn Sie eine Benachrichtigung an Administratoren senden möchten, klicken Sie das Kästchen Alle Super Admins an oder fügen Sie die E‑Mail-Adressen der Empfänger hinzu.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  10. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
  11. Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen.

    Wenn Sie bereits eine geeignete Zugriffsebene erstellt haben, wählen Sie im Bereich Kontextbedingungen die Zugriffsebene aus und fahren Sie mit Schritt 20 fort.

  12. Klicken Sie auf Neue Zugriffsebene erstellen.
  13. Geben Sie einen Namen ein (z. B. „In China“) und optional eine Beschreibung.
  14. Klicken Sie im Abschnitt Kontextbedingungen auf Bedingung hinzufügen.
  15. Wählen Sie Alle Attribute erfüllt (UND) aus.
  16. Klicken Sie auf Attribut auswählenund dannStandort und wählen Sie ein Land aus der Liste aus.
  17. Optional: Wenn Sie weitere Länder hinzufügen und die Regel auf Nutzer anwenden möchten, die sich aus diesen Ländern anmelden:
    1. Klicken Sie auf Bedingung hinzufügen und wählen Sie Alle Attribute erfüllt (UND) aus.
    2. Stellen Sie oben unter Bedingungen die Option Mehrere Bedingungen verknüpfen mit auf ODER.
  18. Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene und die zugehörigen Attribute werden der Liste hinzugefügt.
  19. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  20. Wählen Sie unter Regelstatus eine Option aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird aber nicht angewendet. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheitund dannZugriff und Datenkontrolleund dannDatenschutzund dannRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  21. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Beispiel 3: Downloads auf Geräten blockieren, die nicht vom Administrator genehmigt wurden (Drive)

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Regelnund dannRegel erstellenund dannDatenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  3. Klicken Sie im Bereich Apps unter Google Drive auf das Kästchen „Drive-Dateien“.
  4. Klicken Sie auf Weiter.
  5. Wählen Sie im Bereich Aktionen unter Google Drive die Option Herunterladen, Drucken und Kopieren deaktivierenund dannNur für Kommentatoren und Betrachter aus.
  6. Optional: Wenn Sie festlegen möchten, wie Vorfälle im DLP-Dashboard dargestellt werden sollen, wählen Sie im Abschnitt Benachrichtigungen eine Wichtigkeitsstufe aus (Niedrig, Mittel, Hoch).
  7. Optional: Wenn Sie Benachrichtigungen in der Benachrichtigungszentrale auslösen möchten, klicken Sie auf das Kästchen Benachrichtigungszentrale. Wenn Sie eine Benachrichtigung an Administratoren senden möchten, klicken Sie das Kästchen Alle Super Admins an oder fügen Sie die E‑Mail-Adressen der Empfänger hinzu.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  10. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
    • Wählen Sie unter Zu scannender Inhaltstyp die Option Alle Inhalte aus.
    • Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und Attribute aus. Weitere Informationen zu den verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
  11. Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen.
  12. Wenn Sie bereits eine geeignete Zugriffsebene erstellt haben, wählen Sie im Bereich Kontextbedingungen die Zugriffsebene aus und fahren Sie mit Schritt 18 fort.
  13. Klicken Sie auf Neue Zugriffsebene erstellen.
  14. Geben Sie einen Namen ein (z. B. „Nicht genehmigtes Gerät“) und optional eine Beschreibung.
  15. Klicken Sie im Abschnitt Kontextbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
    • Wählen Sie Mindestens ein Attribut nicht erfüllt (ODER) aus.
    • Klicken Sie auf Attribut auswählenund dannGerätund dannVom Administrator genehmigt.
  16. Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene und die zugehörigen Attribute werden der Liste hinzugefügt.
  17. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  18. Wählen Sie unter Regelstatus eine Option aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird aber nicht angewendet. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheitund dannZugriff und Datenkontrolleund dannDatenschutzund dannRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  19. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Beispiel 4: Aufrufen von „salesforce.com/admin“ auf nicht verwalteten Geräten (Chrome-Browser) blockieren

In diesem Beispiel wird der Nutzer blockiert, wenn er versucht, mit einem nicht verwalteten Gerät auf die Salesforce-Admin-Konsole (salesforce.com/admin) zuzugreifen. Nutzer können weiterhin auf andere Bereiche der Salesforce-Anwendung zugreifen.

Wenn Sie Regeln für den Chrome-Browser erstellen möchten, benötigen Sie Chrome Enterprise Premium.

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Regelnund dannRegel erstellenund dannDatenschutz.

    Hierfür benötigen Sie die Berechtigungen zum Ansehen und Verwalten von DLP-Regeln.

  2. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  3. Klicken Sie im Bereich Apps unter Chrome auf das Kästchen Aufgerufene URL.
  4. Optional: Wenn Sie festlegen möchten, wie Vorfälle im DLP-Dashboard dargestellt werden sollen, wählen Sie im Abschnitt Benachrichtigungen eine Wichtigkeitsstufe aus (Niedrig, Mittel, Hoch).
  5. Optional: Wenn Sie Benachrichtigungen in der Benachrichtigungszentrale auslösen möchten, klicken Sie auf das Kästchen Benachrichtigungszentrale. Wenn Sie eine Benachrichtigung an Administratoren senden möchten, klicken Sie das Kästchen Alle Super Admins an oder fügen Sie die E‑Mail-Adressen der Empfänger hinzu.
  6. Klicken Sie auf Weiter.
  7. Wählen Sie im Abschnitt Aktionen unter Chrome die Option Blockieren aus.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie unter Bereich eine Option aus:
    • Wählen Sie Alle in domain.name aus, um die Regel auf die gesamte Organisation anzuwenden.
    • Wenn Sie die Regel auf bestimmte Organisationseinheiten oder Gruppen anwenden möchten, wählen Sie Organisationseinheiten und/oder Gruppen aus und schließen Sie Organisationseinheiten und Gruppen ein oder aus.

    Wenn es hier einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.

  10. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
    • Wählen Sie unter Zu scannender Inhaltstyp die Option URL aus.
    • Wählen Sie unter Wonach soll gesucht werden die Option Enthält Textstring aus.
    • Geben Sie für Inhaltsabgleich salesforce.com/admin ein.
  11. Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen.
    Wenn Sie bereits eine geeignete Zugriffsebene erstellt haben, wählen Sie im Bereich Kontextbedingungen die Zugriffsebene aus und fahren Sie mit Schritt 18 fort.
  12. Klicken Sie auf Neue Zugriffsebene erstellen.
  13. Geben Sie einen Namen ein (z. B. „Salesforce-Administrator“) und optional eine Beschreibung.
  14. Klicken Sie im Abschnitt „Kontextbedingungen“ auf den Tab Erweitert.
  15. Geben Sie Folgendes in das Textfeld ein:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene und die zugehörigen Attribute werden der Liste hinzugefügt.
  17. Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
  18. Wählen Sie unter Regelstatus eine Option aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel ist vorhanden, wird aber nicht angewendet. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel später unter Sicherheitund dannZugriff und Datenkontrolleund dannDatenschutzund dannRegeln verwalten. Klicken Sie auf den Status Inaktiv für die Regel und wählen Sie Aktiv aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
  19. Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Hinweis:Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert und kann erst dann nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache dieser URL gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.

FAQ

Wie verhalten sich DLP-Regeln mit Bedingungen für den kontextsensitiven Zugriff in älteren Chrome-Versionen?

In vorherigen Chrome-Versionen werden Kontextbedingungen ignoriert. Regeln verhalten sich so, als ob nur Inhaltsbedingungen festgelegt sind.

Funktionieren verwaltete Browserregeln im Inkognitomodus?

Nein. Regeln gelten nicht im Inkognitomodus. Administratoren können Anmeldungen in Workspace- oder SaaS-Anwendungen im Chrome-Inkognitomodus verhindern, indem sie den kontextsensitiven Zugriff bei der Anmeldung erzwingen.

Müssen sich verwaltete Browser und verwaltete Nutzer im selben Unternehmen befinden, damit eine Regel angewendet wird?

Wenn der verwaltete Browser und das verwaltete Nutzerprofil zum selben Unternehmen gehören, werden sowohl DLP-Regeln auf Browserebene als auch auf Nutzerebene angewendet.

Wenn der verwaltete Browser und das verwaltete Nutzerprofil zu unterschiedlichen Unternehmen gehören, werden nur die DLP-Regeln auf Browserebene angewendet. Die Kontextbedingung wird immer als Übereinstimmung betrachtet und das strengste Ergebnis wird erzwungen. Dies hat keine Auswirkungen auf IP-basierte oder regionsbasierte Bedingungen.

Unterstützen die Admin-Konsole und die Google Cloud Console dieselben Zugriffsebenen?

Kontextsensitiver Zugriff in der Admin-Konsole unterstützt nicht alle von der Google Cloud Console unterstützten Attribute. Daher können alle grundlegenden Zugriffsebenen, die in der Google Cloud Console erstellt wurden und diese Attribute enthalten, in der Admin-Konsole zwar zugewiesen, jedoch dort nicht bearbeitet werden.

In der Admin-Konsole können Sie auf der Seite „Regeln“ in der Google Cloud Console erstellte Zugriffsebenen zuweisen, aber keine Bedingungsdetails für Zugriffsebenen mit nicht unterstützten Attributen aufrufen.

Warum wird die Karte „Kontextbedingungen“ nicht angezeigt, wenn ich eine Regel erstelle?

  • Sie benötigen die Administratorberechtigung „Dienste“ > „Datensicherheit“ > „Zugriffsebenen verwalten“, um Kontextbedingungen beim Erstellen der DLP-Regel ansehen zu können.
  • Die Karte „Kontextbedingungen“ wird nur angezeigt, wenn Sie beim Erstellen von Regeln Chrome-Trigger auswählen.

Was passiert, wenn eine zugewiesene Zugriffsebene gelöscht wird?

Wenn eine zugewiesene Zugriffsebene gelöscht wird, werden die Kontextbedingungen standardmäßig auf „true“ gesetzt und die Regel verhält sich wie eine reine Inhaltsregel. Beachten Sie, dass die Regel dann auf mehr Geräte und Anwendungsfälle angewendet wird als ursprünglich vorgesehen.

Sollte der kontextsensitive Zugriff aktiviert werden, damit Kontextbedingungen in Regeln funktionieren?

Nein. Die Auswertung der Zugriffsebene in Regeln ist unabhängig von den Einstellungen für den kontextsensitiven Zugriff. Die Aktivierung und Zuweisung von kontextsensitivem Zugriff wirkt sich nicht auf Regeln aus.

Was passiert, wenn die Regelbedingung leer ist?

Leere Bedingungen werden standardmäßig als „true“ ausgewertet. Das bedeutet, dass für eine Regel mit ausschließlich kontextsensitivem Zugriff die Inhaltsbedingungen leer bleiben können. Wenn sowohl die Inhalts- als auch die Kontextbedingungen leer sind, wird die Regel immer ausgelöst.

Wird eine Regel ausgelöst, wenn nur eine der Bedingungen erfüllt ist?

Nein. Die Regel wird nur ausgelöst, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.

Warum sehe ich Protokollereignisse, in denen steht, dass der Schutz vor Datenverlust (DLP) nicht erzwungen wurde?

Für DLP und kontextsensitiven Zugriff sind Hintergrunddienste erforderlich, die regelmäßig unterbrochen werden können. Wenn während der Regelerzwingung eine Dienstunterbrechung auftritt, erfolgt keine Erzwingung. In diesem Fall wird ein Ereignis sowohl in den Regelprotokollereignissen als auch in den Chrome-Protokollereignissen erfasst.

Wie funktionieren Kontextbedingungen, wenn die Endpunktprüfung nicht installiert ist?

Bei gerätebasierten Attributen werden die Kontextbedingungen als Übereinstimmung betrachtet und das strengste Ergebnis wird erzwungen. Bei nicht gerätebasierten Attributen wie IP-Adresse und Region ändert sich nichts.

Kann ich im Sicherheitsprüftool Informationen zu Zugriffsebenen für ausgelöste Regeln aufrufen?

Ja. Informationen zu Zugriffsebenen finden Sie unter Regelprotokollereignisse oder Chrome-Protokollereignisse in der Spalte „Zugriffsebene“ der Suchergebnisse.

Ist eine Problembehebung durch Nutzer bei Kontextbedingungen in Regeln möglich?

Nein. Die Problembehebung durch Nutzer ist in diesen Abläufen noch nicht verfügbar.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.