שילוב של כללי DLP עם תנאים של בקרת גישה מבוססת-הקשר

התכונה הזו תומכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין מהדורות

תכונות ה-DLP ב-Drive וב-Chat זמינות למשתמשי Cloud Identity Premium שיש להם גם רישיון ל-Google Workspace. ב-DLP ל-Drive, הרישיון צריך לכלול את האירועים ביומן של Drive.

כדי לקבל שליטה רבה יותר על המשתמשים והמכשירים שיכולים להעביר תוכן רגיש, אתם יכולים לשלב כללים למניעת אובדן נתונים (DLP) עם תנאים של בקרת גישה מבוססת-הקשר, כמו מיקום המשתמש, סטטוס האבטחה של המכשיר (מנוהל, מוצפן) וכתובת ה-IP. כשמוסיפים תנאי של בקרת גישה מבוססת-הקשר לכלל DLP, הכלל נאכף רק אם התנאים לפי הקשר מתקיימים.

תרחישים לדוגמה

שילוב של כללי DLP עם תנאים של בקרת גישה מבוססת-הקשר יכול לעזור לכם לשלוט ב:

  • דפדפן Chrome – לדוגמה, העלאה וצירוף של קבצים, העלאה והדבקה של תוכן אינטרנט, הורדה והדפסה.
  • Google Drive – לדוגמה, משתמשים עם גישת תגובה או גישת צפייה יכולים להעתיק, להוריד ולהדפיס קבצים ב-Drive.

דוגמאות מפורטות זמינות במאמר דוגמאות לכללי DLP ולכללי בקרת גישה מבוססת-הקשר בדף הזה.

לפני שמתחילים

לפני שמשלבים כללים למניעת אובדן נתונים עם תנאים של בקרת גישה מבוססת-הקשר, צריך לעמוד בדרישות שמפורטות בטבלה הבאה.

תוסף ל-Google Workspace

(חובה ב-DLP ב-Chrome, לא חובה ב-DLP ב-Drive)
גרסה של דפדפן Chrome

גרסה 105 ואילך. פרטים נוספים זמינים במאמר בנושא שאלות נפוצות.

(חובה ב-DLP ב-Chrome, לא חובה ב-DLP ב-Drive)
אימות של נקודות קצה

במכשירי מחשב, צריך להפעיל את אימות נקודות הקצה כדי להחיל תנאי הקשר שמבוססים על המכשיר או על מערכת ההפעלה של המכשיר.

(לא נדרש למאפיינים שלא מבוססים על מכשיר, כמו כתובת IP, אזור ומצב ניהול הדפדפן)
ניהול מכשירים ניידים

צריך לאכוף ניהול בסיסי או מתקדם במכשירים ניידים.

(לא נדרש למאפיינים שלא מבוססים על מכשיר, כמו כתובת IP, אזור ומצב ניהול הדפדפן)
הרשאות אדמין לרמות גישה

כדי ליצור רמות גישה, צריך הרשאה לניהול רמות הגישה. כדי להשתמש ברמות גישה בכללי DLP, צריך הרשאה לניהול רמות גישה או לניהול כללים.

פרטים נוספים מופיעים במאמר בנושא אבטחת נתונים.

שלב 1: מגדירים את דפדפן Chrome לאכיפת כללים

כדי לשלב תכונות DLP עם דפדפן Chrome, צריך להגדיר כללי מדיניות של Chrome Enterprise Connector.

שלב 2: יצירת כלל DLP עם תנאים של בקרת גישה מבוססת-הקשר

לפני שמתחילים: אלה הוראות כלליות שממחישות איך ליצור כלל DLP עם תנאים של בקרת גישה מבוססת-הקשר. דוגמאות ספציפיות יותר זמינות במאמר דוגמאות לכללי DLP ולבקרת גישה מבוססת-הקשר בדף הזה.

אפשר ליצור רמת גישה לפני שיוצרים כלל DLP או במהלך יצירת הכלל. בשלבים האלה יוצרים קודם את רמת הגישה, ורק אחר כך את שאר השלבים.

  1. יוצרים רמת גישה חדשה עם תנאים מתאימים. שלבי התהליך מפורטים במאמר בנושא יצירת רמת גישה. אפשר להקצות רמת גישה אחת לכלל DLP.
  2. יוצרים כלל DLP חדש מאפס או באמצעות תבנית מוגדרת מראש. ההוראות מפורטות במאמר בנושא יצירת כללים להגנה על נתונים.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

דוגמאות לכללים של DLP ובקרת גישה מבוססת-הקשר

בדוגמאות הבאות אפשר לראות איך אפשר לשלב כללי DLP עם רמות גישה מבוססת-הקשר כדי לאכוף כללים בהתאם לכתובת ה-IP, למיקום או לסטטוס המכשיר של המשתמש.

דוגמה 1: חסימת הורדות במכשירים מחוץ לרשת הארגונית (דפדפן Chrome)

כדי ליצור כללים לדפדפן Chrome, צריך מינוי ל-Chrome Enterprise Premium.

  1. במסוף Google Admin, נכנסים לתפריט ואז כלליםand thenיצירת כללואזהגנה על נתונים.

    נדרשות הרשאות צפייה וניהול כללי DLP.

  2. מזינים שם לכלל ואם רוצים מוסיפים גם תיאור.
  3. בקטע אפליקציות, לוחצים על התיבה הורדת קובץ לצד Chrome.
  4. לוחצים על המשך.
  5. בקטע פעולות, עבור Chrome, בוחרים באפשרות חסימה.
  6. (אופציונלי) כדי לציין איך תקריות מוצגות בתרשים במרכז הבקרה של תקריות DLP, בקטע שליחת התראות, בוחרים רמת חומרה (נמוכה, בינונית, גבוהה).
  7. (אופציונלי) כדי להפעיל התראות במרכז ההתראות, מסמנים את התיבה מרכז ההתראות. כדי לשלוח התראה לאדמינים, מסמנים את התיבה כל הסופר-אדמינים או מוסיפים את כתובות האימייל של הנמענים.
  8. לוחצים על המשך.
  9. בוחרים אפשרות בשדה היקף:
    • כדי להחיל את הכלל בכל הארגון, בוחרים באפשרות כולם בדומיין domain.name.
    • כדי להחיל את הכלל על יחידות ארגוניות או קבוצות מסוימות, בוחרים באפשרות יחידות ארגוניות או קבוצות וכוללים או מחריגים את אלו שרוצים.

    אם יש סתירה בין יחידות ארגוניות לבין קבוצות מבחינת הכללה או החרגה, הקבוצה מקבלת עדיפות.

  10. בקטע תנאי תוכן, לוחצים על הוספת תנאי ומגדירים את התנאי באופן הבא:
  11. בקטע תנאים לפי הקשר, לוחצים על בחירת רמת גישה.
    אם כבר יצרתם רמת גישה מתאימה, בקטע תנאים לפי הקשר בוחרים את רמת הגישה ועוברים לשלב 19.
  12. לוחצים על יצירה של רמת גישה חדשה.
  13. מזינים שם (לדוגמה, מחוץ לרשת הארגונית) ואם רוצים מוסיפים גם תיאור.
  14. בקטע תנאים להקשר, לוחצים על הוספת תנאי.
  15. בוחרים באפשרות הם לא מתאימים למאפיין אחד או יותר (או).
  16. לוחצים על בחירת מאפיין ואז רשת משנה של כתובת IP (גלויה לכולם) ומזינים את כתובת ה-IP של הרשת הארגונית. הכתובת צריכה להיות כתובת IPv4 או IPv6, או קידומת ניתוב בפורמט בלוקים של CIDR.
    • אין תמיכה בכתובות IP פרטיות (כולל רשתות ביתיות של משתמשים).
    • יש תמיכה בכתובות IP סטטיות.
    • כדי להשתמש בכתובת IP דינמית, צריך להגדיר רשת משנה של כתובות IP סטטיות לרמת הגישה. אם אתם יודעים את הטווח של כתובת ה-IP הדינמית, וכתובת ה-IP הסטטית שהוגדרה ברמת הגישה מכסה את הטווח הזה, תנאי ההקשר מתקיים. אם כתובת ה-IP הדינמית לא נמצאת ברשת המשנה של כתובת ה-IP הסטטית שהוגדרה, תנאי ההקשר לא מתקיים.
  17. לוחצים על יצירה. חוזרים לדף יצירת כלל. רמת הגישה החדשה והמאפיינים שלה מתווספים לרשימה.
  18. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  19. בוחרים אפשרות בשדה סטטוס הכלל:
    • פעיל – הכלל מתחיל לפעול באופן מיידי.
    • לא פעיל – הכלל קיים, אבל הוא לא בתוקף. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחהואזשליטה בגישה ובנתוניםand thenהגנה על נתוניםואזניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  20. לוחצים על יצירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

דוגמה 2: חסימת הורדות למשתמשים שנכנסים לחשבון ממדינות ספציפיות (דפדפן Chrome)

כדי ליצור כללים לדפדפן Chrome, צריך מינוי ל-Chrome Enterprise Premium.

  1. במסוף Google Admin, נכנסים לתפריט ואז כלליםand thenיצירת כללואזהגנה על נתונים.

    נדרשות הרשאות צפייה וניהול כללי DLP.

  2. מזינים שם לכלל ואם רוצים מוסיפים גם תיאור.
  3. בקטע אפליקציות, לוחצים על התיבה הורדת קובץ לצד Chrome.
  4. לוחצים על המשך.
  5. בקטע פעולות, עבור Chrome, בוחרים באפשרות חסימה.
  6. (אופציונלי) כדי לציין איך תקריות מוצגות בתרשים במרכז הבקרה של תקריות DLP, בקטע שליחת התראות, בוחרים רמת חומרה (נמוכה, בינונית, גבוהה).
  7. (אופציונלי) כדי להפעיל התראות במרכז ההתראות, מסמנים את התיבה מרכז ההתראות. כדי לשלוח התראה לאדמינים, מסמנים את התיבה כל הסופר-אדמינים או מוסיפים את כתובות האימייל של הנמענים.
  8. לוחצים על המשך.
  9. בוחרים אפשרות בשדה היקף:
    • כדי להחיל את הכלל בכל הארגון, בוחרים באפשרות כולם בדומיין domain.name.
    • כדי להחיל את הכלל על יחידות ארגוניות או קבוצות מסוימות, בוחרים באפשרות יחידות ארגוניות או קבוצות וכוללים או מחריגים את אלו שרוצים.

    אם יש סתירה בין יחידות ארגוניות לבין קבוצות מבחינת הכללה או החרגה, הקבוצה מקבלת עדיפות.

  10. בקטע תנאי תוכן, לוחצים על הוספת תנאי ומגדירים את התנאי באופן הבא:
  11. בקטע תנאים להקשר, לוחצים על בחירת רמת גישה.

    אם כבר יצרתם רמת גישה מתאימה, בקטע תנאים לפי הקשר בוחרים את רמת הגישה ועוברים לשלב 20.

  12. לוחצים על יצירה של רמת גישה חדשה.
  13. מזינים שם (לדוגמה, בסין) ואפשר גם להוסיף תיאור.
  14. בקטע תנאים להקשר, לוחצים על הוספת תנאי.
  15. בוחרים באפשרות הם מתאימים לכל המאפיינים (וגם).
  16. לוחצים על בחירת מאפיין ואז מיקום ואז בוחרים מדינה מהרשימה.
  17. (אופציונלי) כדי להוסיף מדינות נוספות ולהחיל את הכלל על משתמשים שנכנסים לחשבון מהמדינות האלה:
    1. לוחצים על הוספת תנאי ובוחרים באפשרות עומד בכל המאפיינים (AND).
    2. בחלק העליון של תנאים, מגדירים את האפשרות הצטרפות לתנאים מרובים עם לערך או.
  18. לוחצים על יצירה. חוזרים לדף יצירת כלל. רמת הגישה החדשה והמאפיינים שלה מתווספים לרשימה.
  19. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  20. בוחרים אפשרות בשדה סטטוס הכלל:
    • פעיל – הכלל מתחיל לפעול באופן מיידי.
    • לא פעיל – הכלל קיים, אבל הוא לא בתוקף. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחהואזשליטה בגישה ובנתוניםand thenהגנה על נתוניםואזניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  21. לוחצים על יצירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

דוגמה 3: חסימת הורדות במכשירים שלא אושרו על ידי האדמין (Drive)

  1. במסוף Google Admin, נכנסים לתפריט ואז כלליםand thenיצירת כללואזהגנה על נתונים.

    נדרשות הרשאות צפייה וניהול כללי DLP.

  2. מזינים שם לכלל ואם רוצים מוסיפים גם תיאור.
  3. בקטע אפליקציות, עבור Google Drive, לוחצים על התיבה 'קבצים ב-Drive'.
  4. לוחצים על המשך.
  5. בקטע פעולות, בוחרים באפשרות השבתת ההורדה, ההדפסה וההעתקה ואז לבעלי הרשאת תגובה וצפייה בלבד עבור Google Drive.
  6. (אופציונלי) כדי לציין איך תקריות מוצגות בתרשים במרכז הבקרה של תקריות DLP, בקטע שליחת התראות, בוחרים רמת חומרה (נמוכה, בינונית, גבוהה).
  7. (אופציונלי) כדי להפעיל התראות במרכז ההתראות, מסמנים את התיבה מרכז ההתראות. כדי לשלוח התראה לאדמינים, מסמנים את התיבה כל הסופר-אדמינים או מוסיפים את כתובות האימייל של הנמענים.
  8. לוחצים על המשך.
  9. בוחרים אפשרות בשדה היקף:
    • כדי להחיל את הכלל בכל הארגון, בוחרים באפשרות כולם בדומיין domain.name.
    • כדי להחיל את הכלל על יחידות ארגוניות או קבוצות מסוימות, בוחרים באפשרות יחידות ארגוניות או קבוצות וכוללים או מחריגים את אלו שרוצים.

    אם יש סתירה בין יחידות ארגוניות לבין קבוצות מבחינת הכללה או החרגה, הקבוצה מקבלת עדיפות.

  10. בקטע תנאי תוכן, לוחצים על הוספת תנאי ומגדירים את התנאי באופן הבא:
    • בקטע סוג התוכן לסריקה, בוחרים באפשרות כל התוכן.
    • בקטע מה לחפש?, בוחרים סוג סריקת DLP ומאפיינים. מידע נוסף על מאפיינים זמינים מופיע במאמר יצירת כלל DLP.
  11. בקטע תנאים להקשר, לוחצים על בחירת רמת גישה.
  12. אם כבר יצרתם רמת גישה מתאימה, בקטע תנאים לפי הקשר בוחרים את רמת הגישה ועוברים לשלב 18.
  13. לוחצים על יצירה של רמת גישה חדשה.
  14. מזינים שם (לדוגמה, מכשיר לא מאושר) ואם רוצים מוסיפים גם תיאור.
  15. בקטע תנאים בהקשר, לוחצים על הוספת תנאי ומגדירים את התנאי באופן הבא:
    • בוחרים באפשרות הם לא מתאימים למאפיין אחד או יותר (או).
    • לוחצים על בחירת מאפיין ואז מכשיר ואז אושר על ידי האדמין.
  16. לוחצים על יצירה. חוזרים לדף יצירת כלל. רמת הגישה החדשה והמאפיינים שלה מתווספים לרשימה.
  17. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  18. בוחרים אפשרות בשדה סטטוס הכלל:
    • פעיל – הכלל מתחיל לפעול באופן מיידי.
    • לא פעיל – הכלל קיים, אבל הוא לא בתוקף. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחהואזשליטה בגישה ובנתוניםand thenהגנה על נתוניםואזניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  19. לוחצים על יצירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

דוגמה 4: חסימת ניווטים אל salesforce.com/admin במכשירים לא מנוהלים (דפדפן Chrome)

בדוגמה הזו, המשתמש נחסם אם הוא מנסה לנווט אל מסוף Admin של Salesforce ‏ (salesforce.com/admin) באמצעות מכשיר לא מנוהל. המשתמשים עדיין יוכלו לגשת לחלקים אחרים באפליקציית Salesforce.

כדי ליצור כללים לדפדפן Chrome, צריך מינוי ל-Chrome Enterprise Premium.

  1. במסוף Google Admin, נכנסים לתפריט ואז כלליםand thenיצירת כללואזהגנה על נתונים.

    נדרשות הרשאות צפייה וניהול כללי DLP.

  2. מזינים שם לכלל ואם רוצים מוסיפים גם תיאור.
  3. בקטע אפליקציות, בשורה Chrome, לוחצים על התיבה כתובת האתר שבוקרה.
  4. (אופציונלי) כדי לציין איך תקריות מוצגות בתרשים במרכז הבקרה של תקריות DLP, בקטע שליחת התראות, בוחרים רמת חומרה (נמוכה, בינונית, גבוהה).
  5. (אופציונלי) כדי להפעיל התראות במרכז ההתראות, מסמנים את התיבה מרכז ההתראות. כדי לשלוח התראה לאדמינים, מסמנים את התיבה כל הסופר-אדמינים או מוסיפים את כתובות האימייל של הנמענים.
  6. לוחצים על המשך.
  7. בקטע פעולות, עבור Chrome, בוחרים באפשרות חסימה.
  8. לוחצים על המשך.
  9. בוחרים אפשרות בשדה היקף:
    • כדי להחיל את הכלל בכל הארגון, בוחרים באפשרות כולם בדומיין domain.name.
    • כדי להחיל את הכלל על יחידות ארגוניות או קבוצות מסוימות, בוחרים באפשרות יחידות ארגוניות או קבוצות וכוללים או מחריגים את אלו שרוצים.

    אם יש סתירה בין יחידות ארגוניות לבין קבוצות מבחינת הכללה או החרגה, הקבוצה מקבלת עדיפות.

  10. בקטע Content conditions (תנאים לתוכן), לוחצים על Add Condition (הוספת תנאי) ומגדירים את התנאי באופן הבא:
    • בקטע סוג התוכן לסריקה, בוחרים באפשרות כתובת URL.
    • בקטע מה לחפש?, בוחרים באפשרות מכיל מחרוזת טקסט.
    • בשדה התוכן צריך להיות זהה, מזינים salesforce.com/admin.
  11. בקטע תנאים להקשר, לוחצים על בחירת רמת גישה.
    אם כבר יצרתם רמת גישה מתאימה, בקטע תנאים לפי הקשר בוחרים את רמת הגישה ועוברים לשלב 18.
  12. לוחצים על יצירה של רמת גישה חדשה.
  13. מזינים שם (לדוגמה, Salesforce Admin) ואפשר גם להוסיף תיאור.
  14. בקטע 'תנאים להצגת ההודעה', לוחצים על הכרטיסייה מתקדם.
  15. בתיבת הטקסט, מזינים:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. לוחצים על יצירה. חוזרים לדף יצירת כלל. רמת הגישה החדשה והמאפיינים שלה מתווספים לרשימה.
  17. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  18. בוחרים אפשרות בשדה סטטוס הכלל:
    • פעיל – הכלל מתחיל לפעול באופן מיידי.
    • לא פעיל – הכלל קיים, אבל הוא לא בתוקף. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחהואזשליטה בגישה ובנתוניםand thenהגנה על נתוניםואזניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  19. לוחצים על יצירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הערה: אם כתובת URL שאתם מסננים נפתחה לאחרונה, היא נשמרת במטמון למשך כמה דקות, ויכול להיות שכלל לא תסונן על ידי כלל חדש (או משונה) עד שכתובת ה-URL הזו תוסר מהמטמון. כדאי להמתין כ-5 דקות לפני שבודקים כלל חדש או כלל ששונה.

שאלות נפוצות

איך כללי DLP עם תנאים של בקרת גישה מבוססת-הקשר מתנהגים בגרסאות קודמות של Chrome?

בגרסאות קודמות של Chrome, המערכת מתעלמת מתנאים לפי ההקשר. הכללים מתנהגים כאילו הוגדרו רק תנאי תוכן.

האם כללי דפדפן מנוהל פועלים במצב פרטי?

לא. כללים לא חלים במצב פרטי. אדמינים יכולים למנוע כניסה לאפליקציות Workspace או SaaS ממצב אנונימי ב-Chrome על ידי אכיפה של בקרת גישה מבוססת-הקשר בזמן הכניסה.

האם דפדפנים מנוהלים ומשתמשים מנוהלים צריכים להיות באותו ארגון כדי שכלל יחול עליהם?

אם המשתמש בדפדפן המנוהל ובפרופיל המנוהל שייך לאותו ארגון, יחולו גם כללי DLP ברמת הדפדפן וגם כללי DLP ברמת המשתמש.

אם הדפדפן המנוהל והמשתמש בפרופיל המנוהל שייכים לארגונים שונים, יחולו רק כללי ה-DLP ברמת הדפדפן. תנאי ההקשר תמיד ייחשב כהתאמה, והתוצאה המחמירה ביותר תיאכף. אין השפעה על תנאים שמבוססים על כתובת IP או על אזור.

האם מסוף Admin ומסוף Google Cloud תומכים באותן רמות גישה?

במסוף Admin, בקרת הגישה מבוססת-הקשר לא תומכת בכל המאפיינים שנתמכים במסוף Google Cloud. לכן, אפשר להקצות במסוף Admin רמות גישה בסיסיות שנוצרו במסוף Google Cloud וכוללות את המאפיינים האלה, אבל אי אפשר לערוך אותן במסוף Admin.

בדף Rules (כללים) במסוף Admin, אפשר להקצות רמות גישה שנוצרו במסוף Google Cloud, אבל אי אפשר לראות את פרטי התנאים של רמות גישה עם מאפיינים שלא נתמכים.

למה לא מופיע הכרטיס'תנאי ההקשר' כשאני יוצר כלל?

  • חשוב לוודא שיש לכם הרשאת אדמין לניהול רמות גישה (Services > Data Security > Access level management). ההרשאה הזו נדרשת כדי להציג תנאים לפי הקשר במהלך יצירת כלל DLP.
  • כרטיס התנאים להקשר מוצג רק כשבוחרים טריגרים של Chrome במהלך יצירת כלל.

מה קורה אם רמת גישה שהוקצתה נמחקת?

אם רמת גישה שהוקצתה נמחקת, תנאי ההקשר מוגדרים כברירת מחדל כ-True, והכלל מתנהג כמו כלל של תוכן בלבד. חשוב לשים לב שהכלל יחול על יותר מכשירים ועל יותר תרחישי שימוש ממה שהתכוונתם במקור.

האם צריך להפעיל בקרת גישה מבוססת-הקשר כדי שתנאים הקשריים יפעלו בכללים?

לא. ההערכה של רמת הגישה בכללים היא נפרדת מההגדרות של בקרת הגישה מבוססת-ההקשר. הפעלה והקצאה של בקרת גישה מבוססת-הקשר לא אמורות להשפיע על כללים.

מה קורה אם תנאי הכלל ריק?

כברירת מחדל, תנאים ריקים מוערכים כ-True. המשמעות היא שכלל שמוגדר רק לבקרת גישה מבוססת-הקשר יכול שלא לכלול תנאים שקשורים לתוכן. שימו לב: אם לא תגדירו תנאים של תוכן או של הקשר, הכלל יופעל תמיד.

האם כלל יופעל אם רק אחד מהתנאים יתקיים?

לא. הכלל מופעל רק אם מתקיימים גם התנאים שקשורים לתוכן וגם התנאים שקשורים להקשר.

למה אני רואה אירועים ביומן שבהם מצוין שלא נאכפה מדיניות DLP?

גם DLP וגם בקרת גישה מבוססת-הקשר מסתמכים על שירותים ברקע, שיכול להיות שיופרעו מדי פעם. אם מתרחשת הפרעה בשירות במהלך אכיפת הכלל, האכיפה לא מתבצעת. במקרה כזה, האירוע מתועד גם באירועים ביומן הכללים וגם באירועים ביומן של Chrome.

איך תנאי ההקשר פועלים כשאימות נקודות הקצה לא מותקן?

לגבי מאפיינים שמבוססים על מכשיר, תנאי ההקשר ייחשבו כהתאמה והתוצאה המחמירה ביותר תיאכף. אין שינוי במאפיינים שלא מבוססים על המכשיר (כמו כתובת IP ואזור).

האם אפשר לראות את פרטי רמת הגישה של כללים שהופעלו בכלי לחקירת אבטחה?

כן. כדי לראות את המידע על רמת הגישה, מחפשים את האירועים ביומן של הכללים או את האירועים ביומן של Chrome בעמודה 'רמת גישה' בתוצאות החיפוש.

האם יש אפשרות לתיקון פעולות של משתמשים בתנאים לפי הקשר בכללים?

לא. עדיין אי אפשר לתקן משתמשים בתהליכי העבודה האלה.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.