Combinare le regole DLP con le condizioni di accesso sensibile al contesto

Per creare regole per il browser Chrome, devi disporre di Chrome Enterprise Premium.

1. Nella Console di amministrazione Google, vai a Menu RegoleCrea regolaProtezione dei dati.

   Vai a Protezione dei dati

   È necessario disporre dei privilegi di visualizzazione e gestione regola DLP.

2. Inserisci un nome e, facoltativamente, una descrizione per la regola.
3. Nella sezione App, per Chrome, fai clic sulla casella File scaricato.
4. Fai clic su Continua.
5. Nella sezione Azioni, in Chrome, seleziona Blocca.
6. (Facoltativo) Per specificare come vengono tracciati gli incidenti nella dashboard Incidente DLP, nella sezione Avvisi, scegli un livello di gravità (Basso, Medio, Alto).
7. (Facoltativo) Per attivare le notifiche nel Centro avvisi, seleziona la casella Centro avvisi. Per inviare una notifica agli amministratori, seleziona la casella Tutti i super amministratori o aggiungi gli indirizzi email dei destinatari.
8. Fai clic su Continua.
9. In Ambito, scegli un'opzione:
   • Per applicare la regola all'intera organizzazione, seleziona Tutti in domain.name.
   • Per applicare la regola a unità organizzative o gruppi specifici, seleziona Unità organizzative e/o gruppi e includi o escludi le unità organizzative e i gruppi.

   In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.

10. Nella sezione Condizioni per i contenuti, fai clic su Aggiungi condizione e poi configura la condizione come segue:
    • Per Tipo di contenuti da analizzare, seleziona Tutti i contenuti.
    • In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi.
      Per saperne di più sugli attributi disponibili, vai a Utilizzare Chrome Enterprise Premium per integrare DLP con Chrome.
11. Per Condizioni di contesto, fai clic su Seleziona un livello di accesso.
    Se hai già creato un livello di accesso appropriato, selezionalo nella sezione Condizioni di contesto e vai al passaggio 19.
12. Fai clic su Crea nuovo livello di accesso.
13. Inserisci un nome (ad esempio, Al di fuori della rete aziendale) e, facoltativamente, una descrizione.
14. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
15. Seleziona Non soddisfa 1 o più attributi (OR).
16. Fai clic su Seleziona attributoSubnet IP (pubblico) e inserisci l'indirizzo IP della tua rete aziendale. L'indirizzo deve essere un indirizzo IPv4 o IPv6 o un prefisso di routing nella notazione a blocchi CIDR.
    • Gli indirizzi IP privati non sono supportati (incluse le reti domestiche degli utenti).
    • Gli indirizzi IP statici sono supportati.
    • Per utilizzare un indirizzo IP dinamico, devi definire una subnet IP statica per il livello di accesso. Se conosci l'intervallo dell'indirizzo IP dinamico e l'indirizzo IP statico definito nel livello di accesso copre questo intervallo, la condizione di contesto è soddisfatta. Se l'indirizzo IP dinamico non si trova nella subnet IP statico definita, la condizione di contesto non è soddisfatta.
17. Fai clic su Crea. Torni alla pagina Crea regola. Il nuovo livello di accesso e i relativi attributi vengono aggiunti all'elenco.
18. Fai clic su Continua per esaminare i dettagli della regola.
19. Per Stato della regola, scegli un'opzione:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaAccesso e controllo dei datiProtezione dei datiGestione regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
20. Fai clic su Crea.

Per creare regole per il browser Chrome, devi disporre di Chrome Enterprise Premium.

1. Nella Console di amministrazione Google, vai a Menu RegoleCrea regolaProtezione dei dati.

   Vai a Protezione dei dati

   È necessario disporre dei privilegi di visualizzazione e gestione regola DLP.

2. Inserisci un nome e, facoltativamente, una descrizione per la regola.
3. Nella sezione App, per Chrome, fai clic sulla casella File scaricato.
4. Fai clic su Continua.
5. Nella sezione Azioni, in Chrome, seleziona Blocca.
6. (Facoltativo) Per specificare come vengono tracciati gli incidenti nella dashboard Incidente DLP, nella sezione Avvisi, scegli un livello di gravità (Basso, Medio, Alto).
7. (Facoltativo) Per attivare le notifiche nel Centro avvisi, seleziona la casella Centro avvisi. Per inviare una notifica agli amministratori, seleziona la casella Tutti i super amministratori o aggiungi gli indirizzi email dei destinatari.
8. Fai clic su Continua.
9. In Ambito, scegli un'opzione:
   • Per applicare la regola all'intera organizzazione, seleziona Tutti in domain.name.
   • Per applicare la regola a unità organizzative o gruppi specifici, seleziona Unità organizzative e/o gruppi e includi o escludi le unità organizzative e i gruppi.

   In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.

10. Nella sezione Condizioni per i contenuti, fai clic su Aggiungi condizione e poi configura la condizione come segue:
    • Per Tipo di contenuti da analizzare, seleziona Tutti i contenuti.
    • In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi.
      Per saperne di più sugli attributi disponibili, vai a Utilizzare Chrome Enterprise Premium per integrare DLP con Chrome.
11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso.

    Se hai già creato un livello di accesso appropriato, selezionalo nella sezione Condizioni di contesto e vai al passaggio 20.

12. Fai clic su Crea nuovo livello di accesso.
13. Inserisci un nome (ad esempio, In Cina) e, facoltativamente, una descrizione.
14. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
15. Seleziona Soddisfa tutti gli attributi (AND).
16. Fai clic su Seleziona attributoPosizione e poi seleziona un paese dall'elenco.
17. (Facoltativo) Per aggiungere altri paesi e applicare la regola agli utenti che accedono da questi paesi:
    1. Fai clic su Aggiungi condizione e seleziona Soddisfa tutti gli attributi.
    2. Nella parte superiore di Condizioni, imposta Unisci più condizioni con su OR.
18. Fai clic su Crea. Torni alla pagina Crea regola. Il nuovo livello di accesso e i relativi attributi vengono aggiunti all'elenco.
19. Fai clic su Continua per esaminare i dettagli della regola.
20. Per Stato della regola, scegli un'opzione:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaAccesso e controllo dei datiProtezione dei datiGestione regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
21. Fai clic su Crea.

1. Nella Console di amministrazione Google, vai a Menu RegoleCrea regolaProtezione dei dati.

   Vai a Protezione dei dati

   È necessario disporre dei privilegi di visualizzazione e gestione regola DLP.

2. Inserisci un nome e, facoltativamente, una descrizione per la regola.
3. Nella sezione App, per Google Drive, fai clic sulla casella File di Drive.
4. Fai clic su Continua.
5. Nella sezione Azioni, per Google Drive, seleziona Disattiva download, stampa e copiaSolo per commentatori e visualizzatori.
6. (Facoltativo) Per specificare come vengono tracciati gli incidenti nella dashboard Incidente DLP, nella sezione Avvisi, scegli un livello di gravità (Basso, Medio, Alto).
7. (Facoltativo) Per attivare le notifiche nel Centro avvisi, seleziona la casella Centro avvisi. Per inviare una notifica agli amministratori, seleziona la casella Tutti i super amministratori o aggiungi gli indirizzi email dei destinatari.
8. Fai clic su Continua.
9. In Ambito, scegli un'opzione:
   • Per applicare la regola all'intera organizzazione, seleziona Tutti in domain.name.
   • Per applicare la regola a unità organizzative o gruppi specifici, seleziona Unità organizzative e/o gruppi e includi o escludi le unità organizzative e i gruppi.

   In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.

10. Nella sezione Condizioni per i contenuti, fai clic su Aggiungi condizione e poi configura la condizione come segue:
    • Per Tipo di contenuti da analizzare, seleziona Tutti i contenuti.
    • In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi. Per scoprire di più sugli attributi disponibili, vai a Creare una regola DLP.
11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso.
12. Se hai già creato un livello di accesso appropriato, nella sezione Condizioni di contesto, seleziona il livello di accesso e vai al passaggio 18.
13. Fai clic su Crea nuovo livello di accesso.
14. Inserisci un nome (ad esempio, Dispositivo non approvato) e, facoltativamente, una descrizione.
15. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione e poi configura la condizione come segue:
    • Seleziona Non soddisfa 1 o più attributi (OR).
    • Fai clic su Seleziona attributoDispositivoApprovato dall'amministratore.
16. Fai clic su Crea. Torni alla pagina Crea regola. Il nuovo livello di accesso e i relativi attributi vengono aggiunti all'elenco.
17. Fai clic su Continua per esaminare i dettagli della regola.
18. Per Stato della regola, scegli un'opzione:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaAccesso e controllo dei datiProtezione dei datiGestione regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
19. Fai clic su Crea.

In questo esempio, l'utente viene bloccato se tenta di accedere alla Console di amministrazione di Salesforce (salesforce.com/admin) con un dispositivo non gestito. Potrà comunque accedere ad altre parti dell'applicazione Salesforce.

Per creare regole per il browser Chrome, devi disporre di Chrome Enterprise Premium.

1. Nella Console di amministrazione Google, vai a Menu RegoleCrea regolaProtezione dei dati.

   Vai a Protezione dei dati

   È necessario disporre dei privilegi di visualizzazione e gestione regola DLP.

2. Inserisci un nome e, facoltativamente, una descrizione per la regola.
3. Nella sezione App, per Chrome, fai clic sulla casella URL visitato.
4. (Facoltativo) Per specificare come vengono tracciati gli incidenti nella dashboard Incidente DLP, nella sezione Avvisi, scegli un livello di gravità (Basso, Medio, Alto).
5. (Facoltativo) Per attivare le notifiche nel Centro avvisi, seleziona la casella Centro avvisi. Per inviare una notifica agli amministratori, seleziona la casella Tutti i super amministratori o aggiungi gli indirizzi email dei destinatari.
6. Fai clic su Continua.
7. Nella sezione Azioni, in Chrome, seleziona Blocca.
8. Fai clic su Continua.
9. In Ambito, scegli un'opzione:
   • Per applicare la regola all'intera organizzazione, seleziona Tutti in domain.name.
   • Per applicare la regola a unità organizzative o gruppi specifici, seleziona Unità organizzative e/o gruppi e includi o escludi le unità organizzative e i gruppi.

   In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.

10. Nella sezione Condizioni per i contenuti, fai clic su Aggiungi condizione e poi configura la condizione come segue:
    • Per Tipo di contenuti da analizzare, seleziona URL.
    • Per Che cosa cercare, seleziona Contiene la stringa di testo.
    • In Contenuti da utilizzare per la corrispondenza, inserisci salesforce.com/admin.
11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso.
    Se hai già creato un livello di accesso appropriato, selezionalo nella sezione Condizioni di contesto e vai al passaggio 18.
12. Fai clic su Crea nuovo livello di accesso.
13. Inserisci un nome (ad esempio, Amministratore Salesforce) e, facoltativamente, una descrizione.
14. Nella sezione Condizioni di contesto, fai clic sulla scheda Avanzate.
15. Nella casella di testo, inserisci:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
16. Fai clic su Crea. Torni alla pagina Crea regola. Il nuovo livello di accesso e i relativi attributi vengono aggiunti all'elenco.
17. Fai clic su Continua per esaminare i dettagli della regola.
18. Per Stato della regola, scegli un'opzione:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaAccesso e controllo dei datiProtezione dei datiGestione regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
19. Fai clic su Crea.

Nota: se un URL che stai filtrando è stato visitato di recente, verrà memorizzato nella cache per diversi minuti e potrebbe non essere filtrato correttamente da una regola nuova (o modificata) fino a quando la cache non viene svuotata. Attendi circa 5 minuti prima di testare una regola nuova o modificata.

Nelle versioni precedenti di Chrome, le condizioni di contesto vengono ignorate. Le regole si comportano come se fossero impostate solo le condizioni dei contenuti.

No. Le regole non vengono applicate in modalità di navigazione in incognito. Gli amministratori possono impedire gli accessi alle applicazioni Workspace o SaaS dalla modalità di navigazione in incognito di Chrome applicando in modo forzato l'accesso sensibile al contesto al momento dell'accesso.

Se il browser gestito e l'utente del profilo gestito appartengono alla stessa azienda, verranno applicate sia le regole DLP a livello di browser sia le regole DLP a livello di utente.

Se il browser gestito e l'utente del profilo gestito appartengono ad aziende diverse, verranno applicate solo le regole DLP a livello di browser. La condizione di contesto verrà sempre considerata come una corrispondenza e verrà applicato in modo forzato il risultato più rigoroso. Non c'è alcun impatto sulle condizioni basate su IP o regioni.

L'accesso sensibile al contesto nella Console di amministrazione non supporta tutti gli attributi supportati dalla console Google Cloud. Pertanto, tutti i livelli di accesso di base creati nella console Google Cloud che includono questi attributi possono essere assegnati nella Console di amministrazione, ma non possono essere modificati al suo interno.

Nella pagina Regole della Console di amministrazione, puoi assegnare i livelli di accesso creati nella console Google Cloud, ma non puoi visualizzare i dettagli della condizione per i livelli di accesso con attributi non supportati.

• Assicurati di disporre del privilegio di amministratore Servizi > Sicurezza dei dati > Gestione del livello di accesso, necessario per visualizzare le condizioni di contesto durante la creazione della regola DLP.
• La scheda delle condizioni di contesto viene visualizzata solo quando selezioni gli attivatori di Chrome durante la creazione delle regole.

Se un livello di accesso assegnato viene eliminato, le condizioni di contesto sono impostate su "true" (vero) e la regola si comporta come una regola di solo contenuto. Tieni presente che, in seguito, la regola verrà applicata a un numero maggiore di dispositivi e casi d'uso rispetto a quanto previsto inizialmente.

No. La valutazione del livello di accesso nelle regole è indipendente dalle impostazioni dell'accesso sensibile al contesto. L'attivazione e l'assegnazione dell'accesso sensibile al contesto non dovrebbe influire sulle regole.

Per impostazione predefinita, le condizioni vuote vengono valutate come "true" (vero). Ciò significa che per una regola di solo accesso sensibile al contesto, le condizioni dei contenuti possono essere lasciate vuote. Tieni presente che se le condizioni dei contenuti e di contesto vengono lasciate vuote, la regola viene sempre attivata.

No. La regola viene attivata solo quando vengono soddisfatte entrambe le condizioni dei contenuti e di contesto.

DLP e l'accesso sensibile al contesto si basano entrambi su servizi in background che potrebbero essere interrotti periodicamente. Se si verifica un'interruzione del servizio durante l'applicazione delle regole, non viene eseguita l'applicazione forzata. In questi casi, viene registrato un evento sia negli eventi dei log delle regole sia negli eventi dei log di Chrome.

Per gli attributi basati sul dispositivo, le condizioni di contesto saranno considerate come corrispondenze e verrà applicato in modo forzato il risultato più rigoroso. Per gli attributi non basati sul dispositivo (ad esempio, indirizzo IP e regione), non ci sono modifiche.

Sì. Puoi visualizzare le informazioni sul livello di accesso cercando Eventi del log delle regole o Eventi del log di Chrome nella colonna Livello di accesso dei risultati di ricerca.

No. La correzione per l'utente non è ancora disponibile in questi flussi.