รวมกฎ DLP เข้ากับเงื่อนไขการเข้าถึงแบบ Context-Aware

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ

DLP ของไดรฟ์และของ Chat พร้อมให้บริการแก่ผู้ใช้ Cloud Identity Premium ที่มีใบอนุญาต Google Workspace ด้วย สำหรับ DLP ของไดรฟ์ ใบอนุญาตจะต้องมีเหตุการณ์ในบันทึกของไดรฟ์

หากต้องการยกระดับการควบคุมผู้ใช้และอุปกรณ์ที่มีสิทธิ์โอนเนื้อหาที่ละเอียดอ่อน คุณสามารถรวมกฎป้องกันข้อมูลรั่วไหล (DLP) เข้ากับเงื่อนไขของการเข้าถึงแบบ Context-Aware เช่น ตำแหน่งของผู้ใช้ สถานะความปลอดภัยของอุปกรณ์ (มีการจัดการ, ที่เข้ารหัส) และที่อยู่ IP เมื่อคุณเพิ่มเงื่อนไขการเข้าถึงแบบ Context-Aware ไปยังกฎ DLP ระบบจะบังคับใช้กฎเฉพาะเมื่อเป็นไปตามเงื่อนไขบริบทเท่านั้น

กรณีการใช้งาน

การรวมกฎ DLP และเงื่อนไขการเข้าถึงแบบ Context-Aware จะช่วยให้คุณควบคุมสิ่งต่อไปนี้ได้

  • เบราว์เซอร์ Chrome เช่น การอัปโหลดและแนบไฟล์ การอัปโหลดและวางเนื้อหาเว็บ การดาวน์โหลด และการพิมพ์
  • Google ไดรฟ์ - เช่น การคัดลอก การดาวน์โหลด และการพิมพ์ไฟล์ในไดรฟ์โดยผู้ใช้ที่มีสิทธิ์แสดงความคิดเห็นหรือสิทธิ์ดู

โปรดดูตัวอย่างโดยละเอียดที่หัวข้อตัวอย่างกฎ DLP และการเข้าถึงแบบ Context-Aware ในหน้านี้

ก่อนเริ่มต้น

ก่อนรวมกฎ DLP เข้ากับเงื่อนไขการเข้าถึงแบบ Context-Aware คุณต้องมีคุณสมบัติตรงตามข้อกำหนดที่อธิบายไว้ในตารางต่อไปนี้

ส่วนเสริมของ Google Workspace

(จำเป็นสำหรับ DLP ของ Chrome แต่ไม่จำเป็นสำหรับ DLP ของไดรฟ์)
เวอร์ชันเบราว์เซอร์ Chrome

เวอร์ชัน 105 ขึ้นไป โปรดดูรายละเอียดที่คำถามที่พบบ่อย

(จำเป็นสำหรับ DLP ของ Chrome แต่ไม่จำเป็นสำหรับ DLP ของไดรฟ์)
การยืนยันปลายทาง

สำหรับอุปกรณ์เดสก์ท็อป คุณต้องเปิดการยืนยันอุปกรณ์ปลายทางเพื่อนำเงื่อนไขบริบทตามอุปกรณ์หรือระบบปฏิบัติการของอุปกรณ์ไปใช้

(ไม่จำเป็นสำหรับแอตทริบิวต์ที่ไม่ได้อิงตามอุปกรณ์ เช่น ที่อยู่ IP, ภูมิภาค และสถานะการจัดการเบราว์เซอร์)
การจัดการอุปกรณ์เคลื่อนที่

มือถือควรมีการบังคับใช้การจัดการขั้นพื้นฐานหรือขั้นสูง

(ไม่จำเป็นสำหรับแอตทริบิวต์ที่ไม่ได้อิงตามอุปกรณ์ เช่น ที่อยู่ IP, ภูมิภาค และสถานะการจัดการเบราว์เซอร์)
สิทธิ์ของผู้ดูแลระบบสำหรับระดับการเข้าถึง

หากต้องการสร้างระดับการเข้าถึง คุณต้องมีสิทธิ์การจัดการระดับการเข้าถึง หากต้องการใช้ระดับการเข้าถึงในกฎ DLP คุณต้องมีสิทธิ์การจัดการระดับการเข้าถึงหรือการจัดการกฎ

โปรดดูรายละเอียดที่หัวข้อความปลอดภัยของข้อมูล

ขั้นตอนที่ 1: ตั้งค่าเบราว์เซอร์ Chrome เพื่อการบังคับใช้กฎ

หากต้องการนำฟีเจอร์ DLP ไปใช้กับเบราว์เซอร์ Chrome คุณต้องตั้งค่านโยบายเครื่องมือเชื่อมต่อ Chrome Enterprise

ขั้นตอนที่ 2: สร้างกฎ DLP ที่มีเงื่อนไขการเข้าถึงแบบ Context-Aware

ข้อควรทราบก่อนที่จะเริ่มต้น: วิธีการเหล่านี้เป็นวิธีการทั่วไปเพื่อแสดงการสร้างกฎ DLP ที่มีเงื่อนไขการเข้าถึงแบบ Context-Aware โปรดดูตัวอย่างที่เฉพาะเจาะจงมากขึ้นที่หัวข้อตัวอย่างกฎ DLP และการเข้าถึงแบบ Context-Aware ในหน้านี้

คุณสามารถสร้างระดับการเข้าถึงก่อนที่จะสร้างกฎหรือระหว่างการสร้างกฎ DLP ก็ได้ ซึ่งขั้นตอนเหล่านี้จะสร้างระดับการเข้าถึงก่อน จากนั้นจึงตามด้วยขั้นตอนอื่นๆ

  1. สร้างระดับการเข้าถึงใหม่ที่มีเงื่อนไขที่เหมาะสม ดูขั้นตอนได้ที่หัวข้อสร้างระดับการเข้าถึง คุณกำหนดระดับการเข้าถึงระดับเดียวให้กับกฎ DLP ได้
  2. สร้างกฎ DLP ใหม่ตั้งแต่ต้นหรือใช้เทมเพลตที่กำหนดไว้ล่วงหน้า โปรดดูขั้นตอนที่หัวข้อสร้างกฎการคุ้มครองข้อมูล
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างกฎ DLP และการเข้าถึงแบบ Context-Aware

ตัวอย่างต่อไปนี้แสดงวิธีการรวมกฎ DLP เข้ากับระดับการเข้าถึงแบบ Context-Aware เพื่อบังคับใช้กฎตามที่อยู่ IP, ตำแหน่ง หรือสถานะอุปกรณ์ของผู้ใช้

ตัวอย่างที่ 1: บล็อกการดาวน์โหลดในอุปกรณ์ที่ไม่ได้ใช้เครือข่ายขององค์กร (เบราว์เซอร์ Chrome)

หากต้องการสร้างกฎสำหรับเบราว์เซอร์ Chrome คุณต้องมี Chrome Enterprise Premium

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น กฎจากนั้นสร้างกฎจากนั้นการคุ้มครองข้อมูล

    ต้องมีสิทธิ์ดูกฎ DLP และสิทธิ์จัดการกฎ DLP

  2. ป้อนชื่อและระบุคำอธิบายกฎ (ไม่บังคับ)
  3. ในส่วนแอปของ Chrome ให้คลิกช่องไฟล์ที่ดาวน์โหลด
  4. คลิกต่อไป
  5. ในส่วนการดำเนินการของ Chrome ให้เลือกบล็อก
  6. (ไม่บังคับ) หากต้องการระบุวิธีลงจุดเหตุการณ์ในแดชบอร์ดเหตุการณ์ DLP ให้เลือกระดับความรุนแรง (ต่ำ ปานกลาง สูง) ในส่วนการแจ้งเตือน
  7. (ไม่บังคับ) หากต้องการทริกเกอร์การแจ้งเตือนในศูนย์แจ้งเตือน ให้เลือกช่องศูนย์แจ้งเตือน หากต้องการส่งการแจ้งเตือนไปยังผู้ดูแลระบบ ให้เลือกช่องผู้ดูแลระบบขั้นสูงทั้งหมด หรือเพิ่มอีเมลของผู้รับ
  8. คลิกต่อไป
  9. สำหรับขอบเขต ให้เลือกตัวเลือกต่อไปนี้
    • หากต้องการใช้กฎกับทั้งองค์กร ให้เลือกทั้งหมดใน domain.name
    • หากต้องการใช้กฎกับหน่วยขององค์กรหรือกลุ่มที่ต้องการ ให้เลือกตัวเลือกหน่วยขององค์กรและ/หรือกลุ่ม แล้วรวมหรือยกเว้นหน่วยขององค์กรและกลุ่มที่ต้องการ

    หากมีข้อขัดแย้งระหว่างหน่วยขององค์กรและกลุ่มในด้านการรวมหรือการยกเว้น กลุ่มจะมีความสำคัญเหนือกว่า

  10. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วกำหนดค่าเงื่อนไขดังนี้
    • เลือกเนื้อหาทั้งหมดในส่วนประเภทเนื้อหาที่จะสแกน
    • ในส่วนสิ่งที่จะสแกนหา ให้เลือกประเภทการสแกน DLP และเลือกแอตทริบิวต์
      โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแอตทริบิวต์ที่พร้อมใช้งานได้ที่หัวข้อใช้ Chrome Enterprise Premium เพื่อผสานรวม DLP กับ Chrome
  11. สำหรับเงื่อนไขบริบท ให้คลิกเลือกระดับการเข้าถึง
    หากสร้างระดับการเข้าถึงที่เหมาะสมแล้ว ให้เลือกระดับการเข้าถึงในส่วนเงื่อนไขบริบท แล้วไปที่ขั้นตอนที่ 19
  12. คลิกสร้างระดับการเข้าถึงใหม่
  13. ป้อนชื่อ (เช่น นอกเครือข่ายองค์กร) และใส่คำอธิบาย (ไม่บังคับ)
  14. ในส่วนเงื่อนไขบริบท ให้คลิกเพิ่มเงื่อนไข
  15. เลือกไม่ตรงตามแอตทริบิวต์อย่างน้อย 1 รายการ (OR)
  16. คลิกเลือกแอตทริบิวต์จากนั้นซับเน็ต IP (สาธารณะ) แล้วป้อนที่อยู่ IP ของเครือข่ายขององค์กรคุณ ที่อยู่ควรเป็นที่อยู่ IPv4 หรือ IPv6 หรือคำนำหน้าเส้นทางในรูปแบบบล็อก CIDR
    • ไม่รองรับที่อยู่ IP ส่วนตัว (รวมถึงเครือข่ายในบ้านของผู้ใช้)
    • รองรับที่อยู่ IP แบบคงที่
    • หากต้องการใช้ที่อยู่ IP แบบไดนามิก คุณต้องกำหนดซับเน็ต IP แบบคงที่ให้กับระดับการเข้าถึง โดยจะเป็นไปตามเงื่อนไขบริบทในกรณีที่คุณทราบว่าช่วงที่อยู่ IP แบบไดนามิก และที่อยู่ IP แบบคงที่ที่กำหนดไว้ในระดับการเข้าถึงนั้นครอบคลุมช่วงดังกล่าว และจะไม่เป็นไปตามเงื่อนไขบริบทหากที่อยู่ IP แบบไดนามิกไม่ได้อยู่ในซับเน็ต IP แบบคงที่ที่กำหนดไว้
  17. คลิกสร้าง แล้วกลับไปที่หน้าสร้างกฎ ระบบจะเพิ่มระดับการเข้าถึงใหม่และแอตทริบิวต์ของระดับดังกล่าวลงในรายการ
  18. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  19. สำหรับสถานะของกฎ ให้เลือกตัวเลือกต่อไปนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ได้ใช้งาน - กฎจะคงอยู่ แต่ยังไม่ได้มีผล ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน เปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัยจากนั้นสิทธิ์เข้าถึงและการควบคุมข้อมูลจากนั้นการคุ้มครองข้อมูลจากนั้นจัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  20. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 2: บล็อกการดาวน์โหลดสำหรับผู้ใช้ที่ลงชื่อเข้าใช้จากบางประเทศ (เบราว์เซอร์ Chrome)

หากต้องการสร้างกฎสำหรับเบราว์เซอร์ Chrome คุณต้องมี Chrome Enterprise Premium

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น กฎจากนั้นสร้างกฎจากนั้นการคุ้มครองข้อมูล

    ต้องมีสิทธิ์ดูกฎ DLP และสิทธิ์จัดการกฎ DLP

  2. ป้อนชื่อและระบุคำอธิบายกฎ (ไม่บังคับ)
  3. ในส่วนแอปของ Chrome ให้คลิกช่องไฟล์ที่ดาวน์โหลด
  4. คลิกต่อไป
  5. ในส่วนการดำเนินการของ Chrome ให้เลือกบล็อก
  6. (ไม่บังคับ) หากต้องการระบุวิธีลงจุดเหตุการณ์ในแดชบอร์ดเหตุการณ์ DLP ให้เลือกระดับความรุนแรง (ต่ำ ปานกลาง สูง) ในส่วนการแจ้งเตือน
  7. (ไม่บังคับ) หากต้องการทริกเกอร์การแจ้งเตือนในศูนย์แจ้งเตือน ให้เลือกช่องศูนย์แจ้งเตือน หากต้องการส่งการแจ้งเตือนไปยังผู้ดูแลระบบ ให้เลือกช่องผู้ดูแลระบบขั้นสูงทั้งหมด หรือเพิ่มอีเมลของผู้รับ
  8. คลิกต่อไป
  9. สำหรับขอบเขต ให้เลือกตัวเลือกต่อไปนี้
    • หากต้องการใช้กฎกับทั้งองค์กร ให้เลือกทั้งหมดใน domain.name
    • หากต้องการใช้กฎกับหน่วยขององค์กรหรือกลุ่มที่ต้องการ ให้เลือกตัวเลือกหน่วยขององค์กรและ/หรือกลุ่ม แล้วรวมหรือยกเว้นหน่วยขององค์กรและกลุ่มที่ต้องการ

    หากมีข้อขัดแย้งระหว่างหน่วยขององค์กรและกลุ่มในด้านการรวมหรือการยกเว้น กลุ่มจะมีความสำคัญเหนือกว่า

  10. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วกำหนดค่าเงื่อนไขดังนี้
    • เลือกเนื้อหาทั้งหมดในส่วนประเภทเนื้อหาที่จะสแกน
    • ในส่วนสิ่งที่จะสแกนหา ให้เลือกประเภทการสแกน DLP และเลือกแอตทริบิวต์
      โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแอตทริบิวต์ที่พร้อมใช้งานได้ที่หัวข้อใช้ Chrome Enterprise Premium เพื่อผสานรวม DLP กับ Chrome
  11. ในส่วนเงื่อนไขบริบท ให้คลิกเลือกระดับการเข้าถึง

    หากสร้างระดับการเข้าถึงที่เหมาะสมแล้ว ให้เลือกระดับการเข้าถึงในส่วนเงื่อนไขบริบท แล้วไปที่ขั้นตอนที่ 20

  12. คลิกสร้างระดับการเข้าถึงใหม่
  13. ป้อนชื่อ (เช่น ในจีน) และคำอธิบาย (ไม่บังคับ)
  14. ในส่วนเงื่อนไขบริบท ให้คลิกเพิ่มเงื่อนไข
  15. เลือกตรงตามแอตทริบิวต์ทั้งหมด (AND)
  16. คลิกเลือกแอตทริบิวต์จากนั้นสถานที่ตั้ง แล้วเลือกประเทศจากรายการ
  17. (ไม่บังคับ) หากต้องการเพิ่มประเทศอื่นๆ และใช้กฎกับผู้ใช้ที่ลงชื่อเข้าใช้จากประเทศดังกล่าว ให้ทำดังนี้
    1. คลิกเพิ่มเงื่อนไข แล้วเลือกตรงตามแอตทริบิวต์ทั้งหมด (AND)
    2. ที่ด้านบนของเงื่อนไข ให้ตั้งค่าเข้าร่วมหลายเงื่อนไขด้วยเป็น OR
  18. คลิกสร้าง แล้วกลับไปที่หน้าสร้างกฎ ระบบจะเพิ่มระดับการเข้าถึงใหม่และแอตทริบิวต์ของระดับดังกล่าวลงในรายการ
  19. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  20. สำหรับสถานะของกฎ ให้เลือกตัวเลือกต่อไปนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ได้ใช้งาน - กฎจะคงอยู่ แต่ยังไม่ได้มีผล ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน เปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัยจากนั้นสิทธิ์เข้าถึงและการควบคุมข้อมูลจากนั้นการคุ้มครองข้อมูลจากนั้นจัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  21. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 3: บล็อกการดาวน์โหลดในอุปกรณ์ที่ไม่ได้รับการอนุมัติจากผู้ดูแลระบบ (ไดรฟ์)

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น กฎจากนั้นสร้างกฎจากนั้นการคุ้มครองข้อมูล

    ต้องมีสิทธิ์ดูกฎ DLP และสิทธิ์จัดการกฎ DLP

  2. ป้อนชื่อและระบุคำอธิบายกฎ (ไม่บังคับ)
  3. ในส่วนแอปของ Google ไดรฟ์ ให้คลิกช่องไฟล์ในไดรฟ์
  4. คลิกต่อไป
  5. ในส่วนการดำเนินการของ Google ไดรฟ์ ให้เลือกปิดใช้การดาวน์โหลด พิมพ์ และคัดลอกจากนั้นสำหรับผู้แสดงความคิดเห็นและผู้มีสิทธิ์อ่านเท่านั้น
  6. (ไม่บังคับ) หากต้องการระบุวิธีลงจุดเหตุการณ์ในแดชบอร์ดเหตุการณ์ DLP ให้เลือกระดับความรุนแรง (ต่ำ ปานกลาง สูง) ในส่วนการแจ้งเตือน
  7. (ไม่บังคับ) หากต้องการทริกเกอร์การแจ้งเตือนในศูนย์แจ้งเตือน ให้เลือกช่องศูนย์แจ้งเตือน หากต้องการส่งการแจ้งเตือนไปยังผู้ดูแลระบบ ให้เลือกช่องผู้ดูแลระบบขั้นสูงทั้งหมด หรือเพิ่มอีเมลของผู้รับ
  8. คลิกต่อไป
  9. สำหรับขอบเขต ให้เลือกตัวเลือกต่อไปนี้
    • หากต้องการใช้กฎกับทั้งองค์กร ให้เลือกทั้งหมดใน domain.name
    • หากต้องการใช้กฎกับหน่วยขององค์กรหรือกลุ่มที่ต้องการ ให้เลือกตัวเลือกหน่วยขององค์กรและ/หรือกลุ่ม แล้วรวมหรือยกเว้นหน่วยขององค์กรและกลุ่มที่ต้องการ

    หากมีข้อขัดแย้งระหว่างหน่วยขององค์กรและกลุ่มในด้านการรวมหรือการยกเว้น กลุ่มจะมีความสำคัญเหนือกว่า

  10. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วกำหนดค่าเงื่อนไขดังนี้
    • เลือกเนื้อหาทั้งหมดในส่วนประเภทเนื้อหาที่จะสแกน
    • ในส่วนสิ่งที่จะสแกนหา ให้เลือกประเภทการสแกน DLP และเลือกแอตทริบิวต์ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแอตทริบิวต์ที่พร้อมใช้งานได้ที่หัวข้อสร้างกฎ DLP
  11. ในส่วนเงื่อนไขบริบท ให้คลิกเลือกระดับการเข้าถึง
  12. หากสร้างระดับการเข้าถึงที่เหมาะสมแล้ว ให้เลือกระดับการเข้าถึงในส่วนเงื่อนไขบริบท แล้วไปที่ขั้นตอนที่ 18
  13. คลิกสร้างระดับการเข้าถึงใหม่
  14. ป้อนชื่อ (เช่น อุปกรณ์ที่ไม่ได้รับอนุมัติ) และใส่คำอธิบาย (ไม่บังคับ)
  15. ในส่วนเงื่อนไขบริบท ให้คลิกเพิ่มเงื่อนไข แล้วกำหนดค่าเงื่อนไขดังนี้
    • เลือกไม่ตรงตามแอตทริบิวต์อย่างน้อย 1 รายการ (OR)
    • คลิกเลือกแอตทริบิวต์จากนั้นอุปกรณ์จากนั้นอนุมัติโดยผู้ดูแลระบบ
  16. คลิกสร้าง แล้วกลับไปที่หน้าสร้างกฎ ระบบจะเพิ่มระดับการเข้าถึงใหม่และแอตทริบิวต์ของระดับดังกล่าวลงในรายการ
  17. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  18. สำหรับสถานะของกฎ ให้เลือกตัวเลือกต่อไปนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ได้ใช้งาน - กฎจะคงอยู่ แต่ยังไม่ได้มีผล ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน เปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัยจากนั้นสิทธิ์เข้าถึงและการควบคุมข้อมูลจากนั้นการคุ้มครองข้อมูลจากนั้นจัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  19. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 4: บล็อกการไปยัง "salesforce.com/admin" ในอุปกรณ์ที่ไม่มีการจัดการ (เบราว์เซอร์ Chrome)

ในตัวอย่างนี้ ระบบจะบล็อกผู้ใช้หากพยายามไปที่คอนโซลผู้ดูแลระบบ Salesforce (salesforce.com/admin) ด้วยอุปกรณ์ที่ไม่มีการจัดการ อย่างไรก็ตาม ผู้ใช้จะยังเข้าถึงส่วนอื่นๆ ของแอปพลิเคชัน Salesforce ได้

หากต้องการสร้างกฎสำหรับเบราว์เซอร์ Chrome คุณต้องมี Chrome Enterprise Premium

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น กฎจากนั้นสร้างกฎจากนั้นการคุ้มครองข้อมูล

    ต้องมีสิทธิ์ดูกฎ DLP และสิทธิ์จัดการกฎ DLP

  2. ป้อนชื่อและระบุคำอธิบายกฎ (ไม่บังคับ)
  3. ในส่วนแอปของ Chrome ให้คลิกช่อง URL ที่เข้าชม
  4. (ไม่บังคับ) หากต้องการระบุวิธีลงจุดเหตุการณ์ในแดชบอร์ดเหตุการณ์ DLP ให้เลือกระดับความรุนแรง (ต่ำ ปานกลาง สูง) ในส่วนการแจ้งเตือน
  5. (ไม่บังคับ) หากต้องการทริกเกอร์การแจ้งเตือนในศูนย์แจ้งเตือน ให้เลือกช่องศูนย์แจ้งเตือน หากต้องการส่งการแจ้งเตือนไปยังผู้ดูแลระบบ ให้เลือกช่องผู้ดูแลระบบขั้นสูงทั้งหมด หรือเพิ่มอีเมลของผู้รับ
  6. คลิกต่อไป
  7. ในส่วนการดำเนินการของ Chrome ให้เลือกบล็อก
  8. คลิกต่อไป
  9. สำหรับขอบเขต ให้เลือกตัวเลือกต่อไปนี้
    • หากต้องการใช้กฎกับทั้งองค์กร ให้เลือกทั้งหมดใน domain.name
    • หากต้องการใช้กฎกับหน่วยขององค์กรหรือกลุ่มที่ต้องการ ให้เลือกตัวเลือกหน่วยขององค์กรและ/หรือกลุ่ม แล้วรวมหรือยกเว้นหน่วยขององค์กรและกลุ่มที่ต้องการ

    หากมีข้อขัดแย้งระหว่างหน่วยขององค์กรและกลุ่มในด้านการรวมหรือการยกเว้น กลุ่มจะมีความสำคัญเหนือกว่า

  10. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วกำหนดค่าเงื่อนไขดังนี้
    • เลือก URL ในส่วนประเภทเนื้อหาที่จะสแกน
    • เลือกมีสตริงข้อความในส่วนสิ่งที่จะสแกนหา
    • ป้อน salesforce.com/admin ในส่วนเนื้อหาที่จะจับคู่
  11. ในส่วนเงื่อนไขบริบท ให้คลิกเลือกระดับการเข้าถึง
    หากสร้างระดับการเข้าถึงที่เหมาะสมแล้ว ให้เลือกระดับการเข้าถึงในส่วนเงื่อนไขบริบท แล้วไปที่ขั้นตอนที่ 18
  12. คลิกสร้างระดับการเข้าถึงใหม่
  13. ป้อนชื่อ (เช่น ผู้ดูแลระบบ Salesforce) และคำอธิบาย (ไม่บังคับ)
  14. ในส่วนเงื่อนไขบริบท ให้คลิกแท็บขั้นสูง
  15. ป้อนข้อมูลต่อไปนี้ในกล่องข้อความ
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. คลิกสร้าง แล้วกลับไปที่หน้าสร้างกฎ ระบบจะเพิ่มระดับการเข้าถึงใหม่และแอตทริบิวต์ของระดับดังกล่าวลงในรายการ
  17. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  18. สำหรับสถานะของกฎ ให้เลือกตัวเลือกต่อไปนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ได้ใช้งาน - กฎจะคงอยู่ แต่ยังไม่ได้มีผล ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน เปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัยจากนั้นสิทธิ์เข้าถึงและการควบคุมข้อมูลจากนั้นการคุ้มครองข้อมูลจากนั้นจัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  19. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

หมายเหตุ: หากเมื่อเร็วๆ นี้มีการเข้าชม URL ที่คุณกรองอยู่ ระบบจะแคช URL ดังกล่าวเป็นเวลาหลายนาที และอาจไม่สามารถกรองตามกฎใหม่ (หรือแก้ไข) ได้สำเร็จจนกว่าแคชจะถูกล้างออกจาก URL นั้น โดยรอประมาณ 5 นาทีก่อนทดสอบกฎใหม่หรือกฎที่แก้ไข

คำถามที่พบบ่อย

กฎ DLP ที่มีเงื่อนไขการเข้าถึงแบบ Context-Aware มีลักษณะการทำงานอย่างไรใน Chrome เวอร์ชันก่อนหน้า

ใน Chrome เวอร์ชันก่อนหน้า ระบบจะไม่สนใจเงื่อนไขบริบท กฎจะทำงานเหมือนกับว่ามีเพียงการตั้งค่าเงื่อนไขของเนื้อหาเท่านั้น

กฎของเบราว์เซอร์ที่มีการจัดการจะทำงานในโหมดไม่ระบุตัวตนไหม

ไม่ กฎจะไม่มีผลในโหมดไม่ระบุตัวตน ผู้ดูแลระบบสามารถป้องกันไม่ให้ใช้โหมดไม่ระบุตัวตนของ Chrome เพื่อเข้าสู่ระบบแอปพลิเคชัน Workspace หรือ SaaS ได้โดยบังคับใช้การเข้าถึงแบบ Context-Aware เมื่อเข้าสู่ระบบ

เบราว์เซอร์ที่มีการจัดการและผู้ใช้ที่มีการจัดการต้องอยู่ในองค์กรเดียวกันใช่ไหมระบบจึงจะใช้กฎได้

หากเบราว์เซอร์ที่มีการจัดการและผู้ใช้โปรไฟล์ที่มีการจัดการอยู่ในองค์กรเดียวกัน ระบบจะใช้ทั้งกฎ DLP ระดับเบราว์เซอร์และกฎ DLP ระดับผู้ใช้

หากเบราว์เซอร์ที่มีการจัดการและผู้ใช้โปรไฟล์ที่มีการจัดการอยู่ในองค์กรที่แตกต่างกัน ระบบจะใช้เฉพาะกฎ DLP ระดับเบราว์เซอร์เท่านั้น โดยจะพิจารณาให้เงื่อนไขบริบทตรงกันเสมอและจะมีการบังคับใช้ผลลัพธ์ที่เข้มงวดที่สุด ซึ่งจะไม่ส่งผลต่อเงื่อนไขตาม IP หรือภูมิภาค

คอนโซลผู้ดูแลระบบและคอนโซล Google Cloud รองรับระดับการเข้าถึงเดียวกันไหม

การเข้าถึงแบบ Context-Aware ในคอนโซลผู้ดูแลระบบไม่รองรับแอตทริบิวต์บางรายการที่คอนโซล Google Cloud รองรับ ดังนั้นคุณจะกำหนดระดับการเข้าถึงพื้นฐานใดก็ตามที่สร้างในคอนโซล Google Cloud ที่มีแอตทริบิวต์เหล่านี้ได้ในคอนโซลผู้ดูแลระบบ แต่จะไม่สามารถแก้ไขได้

จากหน้ากฎในคอนโซลผู้ดูแลระบบ คุณจะกำหนดระดับการเข้าถึงที่สร้างในคอนโซล Google Cloud ได้ แต่จะดูรายละเอียดเงื่อนไขของระดับการเข้าถึงที่มีแอตทริบิวต์ที่ไม่รองรับไม่ได้

ทำไมฉันจึงไม่เห็นการ์ดเงื่อนไขบริบทเมื่อสร้างกฎ

  • โปรดตรวจสอบว่าคุณมีสิทธิ์ของผู้ดูแลระบบโดยไปที่บริการ > ความปลอดภัยข้อมูล > การจัดการระดับการเข้าถึง ซึ่งคุณจำเป็นต้องมีสิทธิ์ดังกล่าวในการดูเงื่อนไขบริบทระหว่างการสร้างกฎ DLP
  • การ์ดเงื่อนไขบริบทจะแสดงก็ต่อเมื่อคุณเลือกทริกเกอร์ Chrome ระหว่างสร้างกฎ

จะเกิดอะไรขึ้นหากระดับการเข้าถึงที่กำหนดถูกลบ

หากลบระดับการเข้าถึงที่กำหนด เงื่อนไขบริบทจะมีค่าเริ่มต้นเป็น "true" และกฎจะทำงานแบบกฎสำหรับเนื้อหาเท่านั้น โปรดทราบว่ากฎจะมีผลกับอุปกรณ์และกรณีการใช้งานในจำนวนมากกว่าที่คุณตั้งใจไว้ตอนแรก

ควรเปิดใช้การเข้าถึงแบบ Context-Aware เพื่อให้เงื่อนไขบริบททำงานในกฎไหม

ไม่ควร การประเมินระดับการเข้าถึงในกฎไม่เกี่ยวข้องกับการตั้งค่าการเข้าถึงแบบ Context-Aware การเปิดใช้งานและการกำหนดการเข้าถึงแบบ Context-Aware ไม่ควรส่งผลต่อกฎ

จะเกิดอะไรขึ้นหากเงื่อนไขของกฎว่างเปล่า

เงื่อนไขที่ว่างเปล่าจะได้รับการประเมินเป็น "จริง" โดยค่าเริ่มต้น ซึ่งหมายความว่าคุณสามารถเว้นว่างเงื่อนไขของเนื้อหาได้กับกฎสำหรับการเข้าถึงแบบ Context-Aware เท่านั้น โปรดทราบว่าหากเว้นว่างทั้งเงื่อนไขของเนื้อหาและเงื่อนไขของบริบทไว้ ระบบจะทริกเกอร์กฎอยู่เสมอ

ระบบจะทริกเกอร์กฎหากเป็นไปตามเงื่อนไขเพียงข้อเดียวใช่ไหม

ไม่ใช่ กฎจะทริกเกอร์ก็ต่อเมื่อเป็นไปตามทั้งเงื่อนไขเนื้อหาและเงื่อนไขบริบท

ทำไมฉันจึงเห็นเหตุการณ์ในบันทึกแจ้งว่าไม่ได้บังคับใช้ DLP

ทั้ง DLP และการเข้าถึงแบบ Context-Aware ต่างก็ต้องใช้บริการที่ทำงานอยู่เบื้องหลังซึ่งอาจหยุดชะงักเป็นระยะๆ หากบริการเกิดหยุดชะงักระหว่างการบังคับใช้กฎ แสดงว่ากฎจะไม่มีการบังคับใช้ เมื่อเกิดปัญหาเช่นนี้ ระบบจะบันทึกเหตุการณ์ทั้งในเหตุการณ์ในบันทึกของกฎและเหตุการณ์ในบันทึกของ Chrome

เงื่อนไขบริบทจะทำงานอย่างไรเมื่อไม่ได้ติดตั้งการยืนยันอุปกรณ์ปลายทาง

สำหรับแอตทริบิวต์ตามอุปกรณ์ ระบบจะพิจารณาให้เงื่อนไขบริบทตรงกันและจะมีการบังคับใช้ผลลัพธ์ที่เข้มงวดที่สุด สำหรับแอตทริบิวต์ที่ไม่ใช่อุปกรณ์ (เช่น ที่อยู่ IP และภูมิภาค) จะไม่มีการเปลี่ยนแปลงใดๆ

ฉันจะดูข้อมูลระดับการเข้าถึงสำหรับกฎที่ทริกเกอร์ในเครื่องมือตรวจสอบความปลอดภัยได้ไหม

ได้ คุณสามารถดูข้อมูลระดับการเข้าถึงได้โดยค้นหาเหตุการณ์ในบันทึกของกฎหรือเหตุการณ์ในบันทึกของ Chrome ในคอลัมน์ระดับการเข้าถึงของผลการค้นหา

การแก้ไขผู้ใช้สามารถดำเนินการกับเงื่อนไขบริบทในกฎได้ไหม

ไม่ได้ การแก้ไขผู้ใช้ยังไม่สามารถดำเนินการได้ในกระบวนการดังกล่าว


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง