Сочетайте правила защиты от утечки данных с условиями доступа, учитывающими контекст.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию .

Функции Drive DLP и Chat DLP доступны пользователям Cloud Identity Premium, имеющим также лицензию Google Workspace. Для Drive DLP лицензия должна включать события журнала Drive .

Для более эффективного контроля над тем, какие пользователи и устройства могут передавать конфиденциальную информацию, можно комбинировать правила предотвращения потери данных (DLP) с условиями доступа, учитывающими контекст, такими как местоположение пользователя, состояние безопасности устройства (управляемое, зашифрованное) и IP-адрес. При добавлении условия доступа, учитывающего контекст, к правилу DLP, правило применяется только в том случае, если выполняются условия контекста.

Варианты использования

Сочетание правил защиты от утечки данных (DLP) и условий доступа с учетом контекста может помочь вам контролировать:

  • Браузер Chrome — например, для загрузки и прикрепления файлов, загрузки и вставки веб-контента, скачивания и печати.
  • Google Drive — Например, копирование, загрузка и печать файлов Drive пользователями, имеющими права на комментирование или просмотр.

Для ознакомления с подробными примерами перейдите к примерам правил защиты от утечки данных и контекстно-зависимого доступа на этой странице.

Прежде чем начать

Перед объединением правил DLP с условиями доступа, учитывающими контекст, необходимо выполнить требования, описанные в следующей таблице.

Дополнение Google Workspace

(Требуется для Chrome DLP, не требуется для Drive DLP)

версия для браузера Chrome

Версия 105 или более поздняя. Подробности см. в разделе FAQ .

(Требуется для Chrome DLP, не требуется для Drive DLP)

Проверка конечной точки

Для настольных устройств необходимо включить проверку конечной точки , чтобы применять условия контекста, зависящие от устройства или операционной системы устройства.

(Не требуется для атрибутов, не связанных с устройством, таких как IP-адрес, регион и состояние управления браузером)

Мобильное управление

Для мобильных устройств необходимо внедрить базовые или расширенные функции управления.

(Не требуется для атрибутов, не связанных с устройством, таких как IP-адрес, регион и состояние управления браузером)

Административные права доступа для уровней доступа

Для создания уровней доступа необходимо иметь привилегию управления уровнями доступа. Для использования уровней доступа в правилах DLP необходимо иметь привилегию управления уровнями доступа или управления правилами.

Для получения более подробной информации перейдите в раздел «Безопасность данных» .

Шаг 1: Настройте браузер Chrome для применения правил.

Для интеграции функций DLP с браузером Chrome необходимо настроить политики коннектора Chrome Enterprise .

Шаг 2: Создайте правило DLP с условиями доступа, учитывающими контекст.

Прежде чем начать : Это общие инструкции, иллюстрирующие создание правила DLP с условиями доступа, учитывающими контекст. Более подробные примеры см. в разделе «Примеры правил DLP и доступа, учитывающего контекст» на этой странице.

Уровень доступа можно создать до создания правила DLP или во время создания правила. На этих шагах уровень доступа создается первым, до выполнения остальных шагов.

  1. Создайте новый уровень доступа с соответствующими условиями. Инструкции см. в разделе «Создание уровня доступа» . Для правила DLP можно назначить один уровень доступа.
  2. Создайте новое правило защиты данных с нуля или используя предопределенный шаблон. Инструкции см. в разделе «Создание правил защиты данных» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Примеры правил защиты от утечки данных и контекстно-зависимого доступа.

Приведенные ниже примеры показывают, как можно комбинировать правила DLP с уровнями доступа, учитывающими контекст, чтобы сделать применение правил зависимым от IP-адреса пользователя, его местоположения или состояния устройства.

Пример 1: Блокировка загрузок на устройствах за пределами корпоративной сети (браузер Chrome)

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Загруженные файлы» .
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Chrome выберите «Блокировать» .
  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
  11. Для условий контекста нажмите «Выберите уровень доступа» .
    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 19.
  12. Нажмите «Создать новый уровень доступа» .
  13. Введите название (например, «Внешняя корпоративная сеть») и, при желании, описание.
  14. В разделе «Условия контекста» нажмите «Добавить условие» .
  15. Выберите « Не соответствует одному или нескольким атрибутам (ИЛИ)» .
  16. Нажмите «Выбрать атрибут» а потом Введите IP-подсеть (публичную) и IP-адрес вашей корпоративной сети. Адрес должен быть адресом IPv4 или IPv6, либо префиксом маршрутизации в формате CIDR.
    • Поддержка частных IP-адресов отсутствует (включая домашние сети пользователей).
    • Поддерживаются статические IP-адреса.
    • Для использования динамического IP-адреса необходимо определить статическую подсеть IP-адресов для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, условие контекста выполняется. Если динамический IP-адрес не находится в определенной статической подсети IP-адресов, условие контекста не выполняется.
  17. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  18. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  19. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  20. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 2: Блокировка загрузок для пользователей, входящих в систему из определенных стран (браузер Chrome)

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Загруженные файлы» .
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Chrome выберите «Блокировать» .
  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .

    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 20.

  12. Нажмите «Создать новый уровень доступа» .
  13. Введите название (например, «В Китае») и, при желании, описание.
  14. В разделе «Условия контекста» нажмите «Добавить условие» .
  15. Выберите « Соответствует всем атрибутам (И)» .
  16. Нажмите «Выбрать атрибут» а потом Выберите местоположение , а затем выберите страну из списка.
  17. (Необязательно) Чтобы добавить дополнительные страны и применить правило к пользователям, входящим в систему из этих стран:
    1. Нажмите «Добавить условие» и выберите «Соответствует всем атрибутам (И)» .
    2. В верхней части раздела «Условия» установите параметр «Объединить несколько условий с помощью » в значение «ИЛИ» .
  18. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  19. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  20. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  21. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 3: Блокировка загрузок на устройствах, не одобренных администратором (Google Диск).

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Google Drive нажмите на поле «Файлы Drive».
  4. Нажмите «Продолжить» .
  5. В разделе «Действия» для Google Диска выберите «Отключить загрузку, печать и копирование». а потом Только для комментаторов и зрителей .
  6. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  7. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
    • Для выбора типа контента для сканирования выберите «Весь контент» .
    • В разделе «Что сканировать» выберите тип сканирования DLP и укажите атрибуты. Для получения дополнительной информации о доступных атрибутах перейдите в раздел «Создание правила DLP» .
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .
  12. Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 18.
  13. Нажмите «Создать новый уровень доступа» .
  14. Введите название (например, «Несанкционированное устройство») и, при желании, описание.
  15. В разделе «Условия контекста » нажмите «Добавить условие» и настройте условие следующим образом:
    • Выберите « Не соответствует одному или нескольким атрибутам (ИЛИ)» .
    • Нажмите «Выбрать атрибут» а потом Устройство а потом Одобрено администратором .
  16. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  17. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  18. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  19. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Пример 4: Блокировка перехода по ссылке "salesforce.com/admin" на неуправляемых устройствах (браузер Chrome)

В этом примере пользователь блокируется, если он пытается перейти в консоль администратора Salesforce (salesforce.com/admin) с неуправляемого устройства. При этом пользователи сохраняют доступ к другим разделам приложения Salesforce.

Для создания правил для браузера Chrome вам потребуется Chrome Enterprise Premium.

  1. В консоли администратора Google перейдите в меню. а потом Правила а потом Создать правило а потом Защита данных .

    Для этого требуются права на просмотр и управление правилами DLP .

  2. Введите название и (при желании) описание правила.
  3. В разделе «Приложения» для Chrome нажмите на поле «Посещенный URL-адрес» .
  4. (Необязательно) Чтобы указать, как инциденты отображаются на панели мониторинга инцидентов DLP, в разделе «Оповещения» выберите уровень серьезности ( низкий, средний, высокий ).
  5. (Необязательно) Чтобы включить уведомления в Центре оповещений, установите флажок « Центр оповещений» . Чтобы отправить уведомление администраторам, установите флажок «Все суперадминистраторы» или добавьте адреса электронной почты получателей.
  6. Нажмите «Продолжить» .
  7. В разделе «Действия» для Chrome выберите «Блокировать» .
  8. Нажмите «Продолжить» .
  9. Для параметра «Область применения» выберите один из вариантов:
    • Чтобы применить правило ко всей организации, выберите «Все» в domain.name .
    • Чтобы применить правило к конкретным организационным подразделениям или группам, выберите «Организационные подразделения и/или группы» и включите или исключите эти организационные подразделения и группы.

    Если между организационными подразделениями и группами возникает конфликт в вопросах включения или исключения, приоритет отдается группе.

  10. В разделе «Условия содержимого» нажмите «Добавить условие» и настройте условие следующим образом:
    • Для выбора типа контента для сканирования выберите URL .
    • В поле «Что сканировать» выберите «Содержит текстовую строку» .
    • Для поиска соответствующего содержимого введите salesforce.com/admin .
  11. В разделе «Условия контекста» нажмите «Выберите уровень доступа» .
    Если вы уже создали соответствующий уровень доступа, в разделе «Условия контекста» выберите свой уровень доступа и перейдите к шагу 18.
  12. Нажмите «Создать новый уровень доступа» .
  13. Введите имя (например, «Администратор Salesforce») и, при желании, описание.
  14. В разделе «Условия контекста» перейдите на вкладку «Дополнительно» .
  15. В текстовое поле введите:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. Нажмите «Создать» . Вы вернетесь на страницу создания правила . Ваш новый уровень доступа и его атрибуты будут добавлены в список.
  17. Нажмите «Продолжить» , чтобы ознакомиться с подробностями правила.
  18. Для просмотра статуса правила выберите один из следующих вариантов:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивно — Ваше правило существует, но не действует. Это даёт вам время проверить правило и поделиться им с членами команды перед его внедрением. Активируйте правило позже, перейдя в раздел «Безопасность». а потом Контроль доступа и данных а потом Защита данных а потом Управление правилами . Щелкните статус «Неактивно» для правила и выберите «Активно» . Правило запустится после его активации, и DLP выполнит сканирование на наличие конфиденциальной информации.
  19. Нажмите «Создать» .
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Примечание: Если URL-адрес, который вы фильтруете, был посещен недавно, он кэшируется на несколько минут, и новая (или измененная) фильтрация может быть невозможна до тех пор, пока кэш не будет очищен от этого URL-адреса. Подождите примерно 5 минут, прежде чем тестировать новое или измененное правило.

Часто задаваемые вопросы

Как работают правила DLP с условиями доступа, учитывающими контекст, в предыдущих версиях Chrome?

В предыдущих версиях Chrome условия контекста игнорировались. Правила работают так, как если бы были заданы только условия содержимого.

Работают ли управляемые правила браузера в режиме инкогнито?

Нет. Правила не применяются в режиме инкогнито. Администраторы могут запретить вход в приложения Workspace или SaaS из режима инкогнито Chrome, включив контекстно-зависимый доступ во время входа в систему.

Для применения правила необходимо, чтобы управляемые браузеры и управляемые пользователи находились в одной организации?

Если управляемый браузер и управляемый профиль пользователя принадлежат одному и тому же предприятию, то будут применяться как правила защиты от утечки данных на уровне браузера, так и правила защиты от утечки данных на уровне пользователя.

Если управляемый браузер и управляемый профиль пользователя принадлежат разным предприятиям, то будут применяться только правила DLP на уровне браузера. Контекстное условие всегда будет считаться совпадением, и будет применяться наиболее строгий результат. Условия, основанные на IP-адресе или регионе, не влияют на ситуацию.

Поддерживают ли административная консоль и консоль Google Cloud одинаковые уровни доступа?

Контекстно-зависимый доступ в консоли администратора не поддерживает все атрибуты, поддерживаемые консолью Google Cloud. Поэтому любые базовые уровни доступа, созданные в консоли Google Cloud и включающие эти атрибуты, могут быть назначены в консоли администратора, но не могут быть там отредактированы.

На странице «Правила» в консоли администратора можно назначать уровни доступа, созданные в консоли Google Cloud, но нельзя просмотреть подробные сведения об условиях для уровней доступа с неподдерживаемыми атрибутами.

Почему я не вижу карточку с условиями контекста при создании правила?

  • Убедитесь, что у вас есть права администратора в разделе «Службы > Безопасность данных > Управление уровнями доступа», которые необходимы для просмотра контекстных условий при создании правил DLP.
  • Карточка с условиями контекста отображается только при выборе триггеров Chrome во время создания правила.

Что произойдет, если назначенный уровень доступа будет удален?

Если назначенный уровень доступа удален, условия контекста по умолчанию становятся истинными, и правило работает как правило, действующее только на контент. Обратите внимание, что в этом случае правило будет применяться к большему количеству устройств и сценариев использования, чем вы изначально предполагали.

Следует ли включать контекстно-зависимый доступ для корректной работы контекстных условий в правилах?

Нет. Оценка уровня доступа в правилах не зависит от настроек контекстно-зависимого доступа. Активация и назначение контекстно-зависимого доступа не должны влиять на правила.

Что произойдет, если условие правила окажется пустым?

Пустые условия по умолчанию оцениваются как истинные. Это означает, что для правила доступа только с учетом контекста условия содержимого могут быть оставлены пустыми. Обратите внимание, что если условия содержимого и контекста оставлены пустыми, правило всегда будет срабатывать.

Будет ли срабатывать правило, если выполнено только одно из условий?

Нет. Правило срабатывает только при выполнении условий, касающихся содержания и контекста.

Почему в логах отображаются записи о том, что защита от утечки данных (DLP) не была применена?

Технологии DLP и Context-Aware Access используют фоновые службы, которые могут периодически прерываться. Если прерывание работы службы происходит во время применения правил, то применение правил не происходит. В этом случае событие регистрируется как в журнале правил, так и в журнале событий Chrome .

Как работают контекстные условия, если проверка конечной точки не установлена?

Для атрибутов, связанных с устройством, условия контекста будут считаться соответствующими, и будет применяться наиболее строгий результат. Для атрибутов, не связанных с устройством (таких как IP-адрес и регион), изменений нет.

Могу ли я просмотреть информацию об уровнях доступа для сработавших правил в инструменте расследования инцидентов безопасности?

Да. Вы можете просмотреть информацию об уровнях доступа, выполнив поиск событий журнала правил или событий журнала Chrome в столбце «Уровень доступа» в результатах поиска.

Доступна ли возможность исправления ошибок пользователем в зависимости от контекстных условий в правилах?

Нет. В этих сценариях пока недоступна функция исправления ошибок пользователем.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.