Combinar regras de DLP com condições de acesso baseado no contexto

Edições compatíveis com este recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Standard e Education Plus, Enterprise Essentials Plus. Comparar sua edição

A DLP do Drive e do Chat estão disponíveis para os usuários do Cloud Identity Premium que também têm uma licença do Google Workspace. Para a DLP do Drive, a licença precisa incluir os eventos de registro do Drive.

Para ter mais controle sobre quais usuários e dispositivos podem transferir conteúdo sensível, você pode combinar regras da Prevenção contra perda de dados (DLP) com condições de acesso baseado no contexto, como localização do usuário, status de segurança do dispositivo (gerenciado, criptografado) e endereço IP. Quando você adiciona uma condição de acesso baseado no contexto a uma regra da DLP, a regra só é aplicada se as condições contextuais forem atendidas.

Casos de uso

A combinação de regras de DLP e condições de acesso baseado no contexto pode ajudar você a controlar:

  • Navegador Chrome: por exemplo, fazer upload e anexar arquivos, fazer upload e colar conteúdo da Web, baixar e imprimir.
  • Google Drive: por exemplo, copiar, baixar e imprimir arquivos do Drive por usuários com acesso de visualização ou para comentar.

Para conferir exemplos detalhados, acesse Exemplos de regras da DLP e do acesso baseado no contexto nesta página.

Antes de começar

Antes de combinar regras da DLP com condições de Acesso Baseado no Contexto, você precisa atender aos requisitos descritos na tabela a seguir.

Complemento do Google Workspace

(Obrigatório para a DLP do Chrome, não para a DLP do Drive)
Versão do navegador Chrome

Usar a versão 105 ou mais recente. Para mais detalhes, acesse as Perguntas frequentes.

(Obrigatório para a DLP do Chrome, não para a DLP do Drive)
Verificação de endpoints

Em dispositivos desktop, é necessário ativar a Verificação de endpoints para aplicar condições contextuais baseadas no dispositivo ou no sistema operacional.

Não é obrigatório para atributos não baseados em dispositivo, como endereço IP, região e estado de gerenciamento do navegador.
Gerenciamento de dispositivos móveis

Os dispositivos móveis precisam ter o gerenciamento básico ou avançado aplicado.

Não é obrigatório para atributos não baseados em dispositivo, como endereço IP, região e estado de gerenciamento do navegador.
Privilégios de administrador para níveis de acesso

Para criar níveis de acesso, você precisa ter o privilégio de gerenciamento de nível de acesso. Para usar níveis de acesso em regras da DLP, você precisa ter o privilégio de gerenciamento de nível de acesso ou de gerenciamento de regras.

Para mais detalhes, acesse Segurança de dados.

Etapa 1: configurar o navegador Chrome para a aplicação de regras

Para integrar os recursos da DLP ao navegador Chrome, configure as políticas do conector do Chrome Enterprise.

Etapa 2: criar uma regra da DLP com condições de acesso baseado no contexto

Antes de começar: estas são instruções genéricas para ilustrar a criação de uma regra da DLP com condições de acesso baseado no contexto. Para exemplos mais específicos, acesse Exemplos de regras da DLP e do acesso baseado no contexto nesta página.

Você pode criar um nível de acesso antes de criar uma regra da DLP ou durante a criação da regra. Estas etapas criam o nível de acesso primeiro, antes das outras etapas.

  1. Crie um nível de acesso com as condições adequadas. Confira as etapas em Criar um nível de acesso. É possível atribuir um único nível de acesso a uma regra da DLP.
  2. Crie uma regra de DLP do zero ou usando um modelo predefinido. Para conferir as etapas, acesse Criar regras de proteção de dados.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplos de regras da DLP e do acesso baseado no contexto

Os exemplos a seguir mostram como combinar regras da DLP com níveis de Acesso baseado no contexto para tornar a aplicação de regras dependente do endereço IP, da localização ou do status do dispositivo de um usuário.

Exemplo 1: bloquear downloads em dispositivos fora da rede corporativa (navegador Chrome)

Para criar regras para o navegador Chrome, você precisa do Chrome Enterprise Premium.

  1. No Google Admin Console, acesse Menu e depois Regrase depoisCriar regrae depoisProteção de dados.

    É necessário ter os privilégios de ver e gerenciar regras da DLP.

  2. Insira um nome e, se quiser, uma descrição para a regra.
  3. Na seção Apps, em Chrome, clique na caixa Arquivo baixado.
  4. Clique em Continuar.
  5. Na seção Ações, em Chrome, selecione Bloquear.
  6. (Opcional) Para especificar como os incidentes são organizados no painel de incidentes da DLP, na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta).
  7. (Opcional) Para acionar notificações na Central de alertas, marque a caixa Central de alertas. Para enviar uma notificação aos administradores, marque a caixa Todos os superadministradores ou adicione os endereços de e-mail dos destinatários.
  8. Clique em Continuar.
  9. Em Escopo, escolha uma opção:
    • Para aplicar a regra a toda a organização, selecione Todos em domain.name.
    • Para aplicar a regra a unidades organizacionais ou grupos específicos, selecione Unidades organizacionais e/ou grupos e inclua ou exclua unidades organizacionais e grupos.

    Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

  10. Na seção Condições de conteúdo, clique em Adicionar condição e configure a condição da seguinte forma:
  11. Em Condições contextuais, clique em Selecionar um nível de acesso.
    Se você já criou um nível de acesso adequado, na seção Condições contextuais, selecione seu nível de acesso e vá para a etapa 19.
  12. Clique em Criar novo nível de acesso.
  13. Insira um nome (por exemplo, Fora da rede corporativa) e, se quiser, uma descrição.
  14. Na seção Condições contextuais, clique em Adicionar condição.
  15. Selecione Não atende a um ou mais atributos (OR).
  16. Clique em Selecionar atributoe depoisSub-rede IP (pública) e digite o endereço IP da sua rede corporativa. O endereço precisa ser um prefixo de roteamento ou endereço IPv4 ou IPv6 na notação de bloco CIDR.
    • Os endereços IP particulares não são suportados, incluindo as redes domésticas dos usuários.
    • Os endereços IP estáticos são compatíveis.
    • Para usar um endereço IP dinâmico, defina uma sub-rede IP estática para o nível de acesso. Se você souber o intervalo do endereço IP dinâmico e o endereço IP estático definido no nível de acesso abranger esse intervalo, a condição de contexto será atendida. Se o endereço IP dinâmico não estiver na sub-rede IP estática definida, a condição de contexto não será atendida.
  17. Clique em Criar. Você vai voltar para a página Criar regra. Seu novo nível de acesso e os atributos dele são adicionados à lista.
  18. Clique em Continuar para revisar os detalhes da regra.
  19. Em Status da regra, escolha uma opção:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: a regra existe, mas não está em vigor. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em Segurançae depoisControle de dados e acessoe depoisProteção de dadose depoisGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  20. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 2: bloquear downloads para usuários que fazem login em países específicos (navegador Chrome)

Para criar regras para o navegador Chrome, você precisa do Chrome Enterprise Premium.

  1. No Google Admin Console, acesse Menu e depois Regrase depoisCriar regrae depoisProteção de dados.

    É necessário ter os privilégios de ver e gerenciar regras da DLP.

  2. Insira um nome e, se quiser, uma descrição para a regra.
  3. Na seção Apps, em Chrome, clique na caixa Arquivo baixado.
  4. Clique em Continuar.
  5. Na seção Ações, em Chrome, selecione Bloquear.
  6. (Opcional) Para especificar como os incidentes são organizados no painel de incidentes da DLP, na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta).
  7. (Opcional) Para acionar notificações na Central de alertas, marque a caixa Central de alertas. Para enviar uma notificação aos administradores, marque a caixa Todos os superadministradores ou adicione os endereços de e-mail dos destinatários.
  8. Clique em Continuar.
  9. Em Escopo, escolha uma opção:
    • Para aplicar a regra a toda a organização, selecione Todos em domain.name.
    • Para aplicar a regra a unidades organizacionais ou grupos específicos, selecione Unidades organizacionais e/ou grupos e inclua ou exclua unidades organizacionais e grupos.

    Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

  10. Na seção Condições de conteúdo, clique em Adicionar condição e configure a condição da seguinte forma:
  11. Na seção Condições contextuais, clique em Selecionar um nível de acesso.

    Se você já criou um nível de acesso adequado, na seção Condições contextuais, selecione seu nível de acesso e vá para a etapa 20.

  12. Clique em Criar novo nível de acesso.
  13. Insira um nome (por exemplo, Na China) e, se quiser, uma descrição.
  14. Na seção Condições contextuais, clique em Adicionar condição.
  15. Selecione Atende a todos os atributos (AND).
  16. Clique em Selecionar atributoe depoisLocal e escolha um país na lista.
  17. (Opcional) Para adicionar outros países e aplicar a regra aos usuários que fazem login neles:
    1. Clique em Adicionar condição e selecione Atende a todos os atributos (E).
    2. Na parte de cima de Condições, defina Mesclar várias condições com como OU.
  18. Clique em Criar. Você vai voltar para a página Criar regra. Seu novo nível de acesso e os atributos dele são adicionados à lista.
  19. Clique em Continuar para revisar os detalhes da regra.
  20. Em Status da regra, escolha uma opção:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: a regra existe, mas não está em vigor. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em Segurançae depoisControle de dados e acessoe depoisProteção de dadose depoisGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  21. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 3: bloquear downloads em dispositivos não aprovados pelo administrador (Drive)

  1. No Google Admin Console, acesse Menu e depois Regrase depoisCriar regrae depoisProteção de dados.

    É necessário ter os privilégios de ver e gerenciar regras da DLP.

  2. Insira um nome e, se quiser, uma descrição para a regra.
  3. Na seção Apps, em Google Drive, clique na caixa "Arquivos do Drive".
  4. Clique em Continuar.
  5. Na seção Ações, em Google Drive, selecione Desativar o download, a impressão e a cópiae depoisSomente para comentaristas e leitores.
  6. (Opcional) Para especificar como os incidentes são organizados no painel de incidentes da DLP, na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta).
  7. (Opcional) Para acionar notificações na Central de alertas, marque a caixa Central de alertas. Para enviar uma notificação aos administradores, marque a caixa Todos os superadministradores ou adicione os endereços de e-mail dos destinatários.
  8. Clique em Continuar.
  9. Em Escopo, escolha uma opção:
    • Para aplicar a regra a toda a organização, selecione Todos em domain.name.
    • Para aplicar a regra a unidades organizacionais ou grupos específicos, selecione Unidades organizacionais e/ou grupos e inclua ou exclua unidades organizacionais e grupos.

    Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

  10. Na seção Condições de conteúdo, clique em Adicionar condição e configure a condição da seguinte forma:
    • Em Tipo de conteúdo para verificação, selecione Todo o conteúdo.
    • Em O que verificar, escolha um tipo de verificação da DLP e selecione atributos. Para mais informações sobre os atributos disponíveis, consulte Criar uma regra de DLP.
  11. Na seção Condições contextuais, clique em Selecionar um nível de acesso.
  12. Se você já criou um nível de acesso adequado, na seção Condições contextuais, selecione seu nível de acesso e vá para a etapa 18.
  13. Clique em Criar novo nível de acesso.
  14. Insira um nome (por exemplo, Dispositivo não aprovado) e, se quiser, uma descrição.
  15. Na seção Condições contextuais, clique em Adicionar condição e configure a condição da seguinte forma:
    • Selecione Não atende a um ou mais atributos (OR).
    • Clique em Selecionar atributoe depoisDispositivoe depoisAprovado pelo administrador.
  16. Clique em Criar. Você vai voltar para a página Criar regra. Seu novo nível de acesso e os atributos dele são adicionados à lista.
  17. Clique em Continuar para revisar os detalhes da regra.
  18. Em Status da regra, escolha uma opção:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: a regra existe, mas não está em vigor. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em Segurançae depoisControle de dados e acessoe depoisProteção de dadose depoisGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  19. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 4: bloquear as navegações para "salesforce.com/admin" em dispositivos não gerenciados (navegador Chrome)

Neste exemplo, o usuário será bloqueado se tentar acessar o Admin Console do Salesforce (salesforce.com/admin) com um dispositivo não gerenciado. Os usuários ainda conseguiriam acessar outras partes do aplicativo Salesforce.

Para criar regras para o navegador Chrome, você precisa do Chrome Enterprise Premium.

  1. No Google Admin Console, acesse Menu e depois Regrase depoisCriar regrae depoisProteção de dados.

    É necessário ter os privilégios de ver e gerenciar regras da DLP.

  2. Insira um nome e, se quiser, uma descrição para a regra.
  3. Na seção Apps, em Chrome, clique na caixa URL visitado.
  4. (Opcional) Para especificar como os incidentes são organizados no painel de incidentes da DLP, na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta).
  5. (Opcional) Para acionar notificações na Central de alertas, marque a caixa Central de alertas. Para enviar uma notificação aos administradores, marque a caixa Todos os superadministradores ou adicione os endereços de e-mail dos destinatários.
  6. Clique em Continuar.
  7. Na seção Ações, em Chrome, selecione Bloquear.
  8. Clique em Continuar.
  9. Em Escopo, escolha uma opção:
    • Para aplicar a regra a toda a organização, selecione Todos em domain.name.
    • Para aplicar a regra a unidades organizacionais ou grupos específicos, selecione Unidades organizacionais e/ou grupos e inclua ou exclua unidades organizacionais e grupos.

    Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

  10. Na seção Condições de conteúdo, clique em Adicionar condição e configure a condição da seguinte forma:
    • Em Tipo de conteúdo a ser verificado, selecione URL.
    • Em O que verificar, selecione Contém string de texto.
    • Em Conteúdo a ser correspondido, digite salesforce.com/admin.
  11. Na seção Condições contextuais, clique em Selecionar um nível de acesso.
    Se você já criou um nível de acesso adequado, na seção Condições contextuais, selecione seu nível de acesso e vá para a etapa 18.
  12. Clique em Criar novo nível de acesso.
  13. Digite um nome (por exemplo, Administrador do Salesforce) e, se quiser, uma descrição.
  14. Na seção "Condições contextuais", clique na guia Avançado.
  15. Na caixa de texto, insira:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. Clique em Criar. Você vai voltar para a página Criar regra. Seu novo nível de acesso e os atributos dele são adicionados à lista.
  17. Clique em Continuar para revisar os detalhes da regra.
  18. Em Status da regra, escolha uma opção:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: a regra existe, mas não está em vigor. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em Segurançae depoisControle de dados e acessoe depoisProteção de dadose depoisGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  19. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Observação:se um URL que você está filtrando tiver sido acessado recentemente, ele será armazenado em cache por alguns minutos e talvez não seja filtrado (ou modificado) por uma nova regra até que o cache desse URL seja limpo. Aguarde aproximadamente 5 minutos antes de testar uma regra nova ou modificada.

Perguntas frequentes

Como as regras de DLP com condições de acesso baseado no contexto se comportam nas versões anteriores do Chrome?

Nas versões anteriores do Chrome, as condições contextuais são ignoradas. As regras se comportam como se somente as condições de conteúdo estivessem definidas.

As regras do navegador gerenciado funcionam no modo de navegação anônima?

Não. As regras não se aplicam no modo de navegação anônima. Os administradores podem aplicar o acesso baseado no contexto no momento do login para impedir logins em apps do Workspace ou SaaS no modo de navegação anônima do Chrome.

Os navegadores gerenciados e os usuários gerenciados precisam estar na mesma empresa para que uma regra seja aplicada?

Se o navegador gerenciado e o usuário do perfil gerenciado pertencerem à mesma empresa, as regras da DLP no nível do navegador e do usuário serão aplicadas.

Se o navegador e o usuário do perfil gerenciado pertencerem a empresas diferentes, somente as regras da DLP no nível do navegador serão aplicadas. A condição de contexto sempre será considerada uma correspondência, e o resultado mais rigoroso será aplicado. Não há impacto nas condições baseadas em IP ou região.

O Admin Console e o console do Google Cloud são compatíveis com os mesmos níveis de acesso?

O Acesso sensível ao contexto no Admin Console não é compatível com todos os atributos do console do Google Cloud. Portanto, os níveis de acesso básicos criados no console do Google Cloud que incluem esses atributos podem ser atribuídos no Admin Console, mas não podem ser editados lá.

Na página "Regras" do Admin Console, é possível atribuir níveis de acesso criados pelo console do Google Cloud, mas não é possível ver detalhes da condição de níveis de acesso com atributos não compatíveis.

Por que não vejo o card de condições contextuais quando estou criando uma regra?

  • Verifique se você tem o privilégio de administrador Serviços > Segurança de dados > Gerenciamento do nível de acesso para ver as condições contextuais durante a criação da regra da DLP.
  • O card de condições contextuais só é exibido quando você seleciona acionadores do Chrome durante a criação da regra.

E se um nível de acesso atribuído for excluído?

Se um nível de acesso atribuído for excluído, as condições contextuais serão definidas como verdadeiras, e a regra se comportará como uma regra somente de conteúdo. A regra será aplicada a mais dispositivos/casos de uso do que o pretendido originalmente.

O acesso baseado no contexto precisa estar ativado para que as condições contextuais funcionem nas regras?

Não. A avaliação do nível de acesso nas regras é independente das configurações do Acesso Baseado no Contexto. A ativação e a atribuição do acesso baseado no contexto não devem afetar as regras.

E se a condição da regra estiver vazia?

As condições vazias são avaliadas como verdadeiras por padrão. Isso significa que, para uma regra somente de acesso baseado no contexto, as condições de conteúdo podem ser deixadas em branco. Se as condições de conteúdo e contexto forem deixadas em branco, a regra sempre será acionada.

Uma regra será acionada se apenas uma das condições for atendida?

Não. A regra só é acionada quando as condições de conteúdo e contextuais são atendidas.

Por que vejo eventos de registro informando que a DLP não foi aplicada?

A DLP e o acesso baseado no contexto usam serviços em segundo plano que podem ser interrompidos periodicamente. Se ocorrer uma interrupção do serviço durante a aplicação da regra, não haverá aplicação. Quando isso acontece, um evento é registrado nos eventos de registro de regras e nos eventos de registro do Chrome.

Como as condições contextuais funcionam quando a verificação de endpoints não está instalada?

Para atributos baseados em dispositivo, as condições contextuais serão consideradas uma correspondência, e o resultado mais rigoroso será aplicado. Para atributos não baseados em dispositivo (como endereço IP e região), não há alteração.

Posso ver as informações de nível de acesso das regras acionadas na ferramenta de investigação de segurança?

Sim. Para ver as informações de nível de acesso, pesquise por Eventos de registro da regra ou Eventos de registro do Chrome na coluna "Nível de acesso" dos resultados da pesquisa.

A correção do usuário está disponível para as condições contextuais nas regras?

Não. A correção do usuário ainda não está disponível nesses fluxos.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.