Kết hợp các quy tắc DLP với điều kiện Quyền truy cập theo bối cảnh

Để tạo quy tắc cho trình duyệt Chrome, bạn cần có Chrome Enterprise Premium.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Quy tắcTạo quy tắcBảo vệ dữ liệu.

   Chuyển đến phần Bảo vệ dữ liệu

   Bạn phải có các đặc quyền Xem quy tắc Ngăn chặn mất dữ liệu (DLP) và Quản lý quy tắc Ngăn chặn mất dữ liệu (DLP).

2. Nhập tên và (không bắt buộc) nội dung mô tả cho quy tắc.
3. Trong phần Ứng dụng, đối với Chrome, hãy nhấp vào hộp Tệp đã tải xuống.
4. Nhấp vào Tiếp tục.
5. Trong mục Hành động, đối với Chrome, hãy chọn Chặn.
6. (Không bắt buộc) Để chỉ định cách vẽ các sự cố trong trang tổng quan về sự cố DLP, trong mục Cảnh báo, hãy chọn một mức độ nghiêm trọng (Thấp, Trung bình, Cao).
7. (Không bắt buộc) Để kích hoạt thông báo trong Trung tâm thông báo, hãy đánh dấu vào hộp Trung tâm thông báo. Để gửi thông báo cho quản trị viên, hãy đánh dấu vào hộp Tất cả quản trị viên cấp cao hoặc thêm địa chỉ email của người nhận.
8. Nhấp vào Tiếp tục.
9. Trong phần Phạm vi, hãy chọn một chế độ:
   • Để áp dụng quy tắc cho toàn bộ tổ chức, hãy chọn Tất cả trong domain.name.
   • Để áp dụng quy tắc cho các đơn vị tổ chức hoặc nhóm cụ thể, hãy chọn Đơn vị tổ chức và/hoặc nhóm rồi thêm hoặc loại trừ các đơn vị tổ chức và nhóm.

   Nếu có xung đột giữa các đơn vị tổ chức và nhóm về việc đưa vào hoặc loại trừ, thì nhóm sẽ được ưu tiên.

10. Trong mục Điều kiện về nội dung, hãy nhấp vào Thêm điều kiện rồi định cấu hình điều kiện như sau:
    • Đối với Loại nội dung cần quét, hãy chọn Tất cả nội dung.
    • Đối với Nội dung cần quét, hãy chọn một loại quét DLP và chọn các thuộc tính.
      Để biết thêm thông tin về các thuộc tính hiện có, hãy xem bài viết Sử dụng Chrome Enterprise Premium để tích hợp giải pháp DLP với Chrome.
11. Đối với Điều kiện về bối cảnh, hãy nhấp vào Chọn cấp truy cập.
    Nếu bạn đã tạo một cấp truy cập phù hợp, trong phần Điều kiện về bối cảnh, hãy chọn cấp truy cập của bạn rồi chuyển đến bước 19.
12. Nhấp vào Tạo cấp truy cập mới.
13. Nhập tên (ví dụ: Bên ngoài mạng công ty) và nội dung mô tả (không bắt buộc).
14. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào Thêm điều kiện.
15. Chọn Không đáp ứng 1 hoặc nhiều thuộc tính (HOẶC).
16. Nhấp vào Chọn thuộc tínhMạng con IP (Công khai) rồi nhập địa chỉ IP của mạng doanh nghiệp. Địa chỉ phải là địa chỉ IPv4 hoặc IPv6 hoặc tiền tố định tuyến trong ký hiệu khối CIDR.
    • Không hỗ trợ địa chỉ IP riêng tư (kể cả mạng gia đình của người dùng).
    • Có hỗ trợ địa chỉ IP tĩnh.
    • Để sử dụng địa chỉ IP động, bạn phải xác định một mạng con IP tĩnh cho cấp truy cập. Nếu bạn biết dải địa chỉ IP động và địa chỉ IP tĩnh được xác định trong cấp truy cập bao gồm dải địa chỉ đó, thì điều kiện về bối cảnh sẽ được đáp ứng. Nếu địa chỉ IP động không nằm trong mạng con IP tĩnh đã xác định, thì điều kiện về bối cảnh sẽ không được đáp ứng.
17. Nhấp vào Tạo. Bạn sẽ quay lại trang Tạo quy tắc. Cấp truy cập mới và các thuộc tính của cấp truy cập đó sẽ được thêm vào danh sách.
18. Nhấp vào Tiếp tục để xem thông tin chi tiết về quy tắc.
19. Đối với Trạng thái quy tắc, hãy chọn một trạng thái:
    • Đang hoạt động – Quy tắc của bạn sẽ chạy ngay lập tức.
    • Không hoạt động – Quy tắc của bạn tồn tại nhưng không có hiệu lực. Nhờ đó, bạn có thời gian xem xét quy tắc và chia sẻ quy tắc đó với các thành viên trong nhóm trước khi triển khai. Kích hoạt quy tắc sau bằng cách chuyển đến phần Bảo mậtQuyền truy cập và kiểm soát dữ liệuBảo vệ dữ liệuQuản lý quy tắc. Nhấp vào trạng thái Không hoạt động của quy tắc rồi chọn Hoạt động. Quy tắc sẽ chạy sau khi bạn kích hoạt và DLP sẽ quét nội dung nhạy cảm.
20. Nhấp vào Tạo.

Để tạo quy tắc cho trình duyệt Chrome, bạn cần có Chrome Enterprise Premium.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Quy tắcTạo quy tắcBảo vệ dữ liệu.

   Chuyển đến phần Bảo vệ dữ liệu

   Bạn phải có các đặc quyền Xem quy tắc Ngăn chặn mất dữ liệu (DLP) và Quản lý quy tắc Ngăn chặn mất dữ liệu (DLP).

2. Nhập tên và (không bắt buộc) nội dung mô tả cho quy tắc.
3. Trong phần Ứng dụng, đối với Chrome, hãy nhấp vào hộp Tệp đã tải xuống.
4. Nhấp vào Tiếp tục.
5. Trong mục Hành động, đối với Chrome, hãy chọn Chặn.
6. (Không bắt buộc) Để chỉ định cách vẽ các sự cố trong trang tổng quan về sự cố DLP, trong mục Cảnh báo, hãy chọn một mức độ nghiêm trọng (Thấp, Trung bình, Cao).
7. (Không bắt buộc) Để kích hoạt thông báo trong Trung tâm thông báo, hãy đánh dấu vào hộp Trung tâm thông báo. Để gửi thông báo cho quản trị viên, hãy đánh dấu vào hộp Tất cả quản trị viên cấp cao hoặc thêm địa chỉ email của người nhận.
8. Nhấp vào Tiếp tục.
9. Trong phần Phạm vi, hãy chọn một chế độ:
   • Để áp dụng quy tắc cho toàn bộ tổ chức, hãy chọn Tất cả trong domain.name.
   • Để áp dụng quy tắc cho các đơn vị tổ chức hoặc nhóm cụ thể, hãy chọn Đơn vị tổ chức và/hoặc nhóm rồi thêm hoặc loại trừ các đơn vị tổ chức và nhóm.

   Nếu có xung đột giữa các đơn vị tổ chức và nhóm về việc đưa vào hoặc loại trừ, thì nhóm sẽ được ưu tiên.

10. Trong mục Điều kiện về nội dung, hãy nhấp vào Thêm điều kiện rồi định cấu hình điều kiện như sau:
    • Đối với Loại nội dung cần quét, hãy chọn Tất cả nội dung.
    • Đối với Nội dung cần quét, hãy chọn một loại quét DLP và chọn các thuộc tính.
      Để biết thêm thông tin về các thuộc tính hiện có, hãy xem bài viết Sử dụng Chrome Enterprise Premium để tích hợp giải pháp DLP với Chrome.
11. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào Chọn cấp truy cập.

    Nếu bạn đã tạo một cấp truy cập phù hợp, trong phần Điều kiện về bối cảnh, hãy chọn cấp truy cập của bạn rồi chuyển đến bước 20.

12. Nhấp vào Tạo cấp truy cập mới.
13. Nhập tên (ví dụ: Ở Trung Quốc) và nội dung mô tả (không bắt buộc).
14. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào Thêm điều kiện.
15. Chọn Đáp ứng tất cả các thuộc tính (VÀ).
16. Nhấp vào Chọn thuộc tínhVị trí rồi chọn một quốc gia trong danh sách.
17. (Không bắt buộc) Để thêm các quốc gia khác và áp dụng quy tắc cho người dùng đăng nhập từ các quốc gia đó:
    1. Nhấp vào Thêm điều kiện rồi chọn Đáp ứng tất cả các thuộc tính (VÀ).
    2. Ở trên cùng của phần Điều kiện, hãy đặt Kết hợp nhiều điều kiện bằng thành OR.
18. Nhấp vào Tạo. Bạn sẽ quay lại trang Tạo quy tắc. Cấp truy cập mới và các thuộc tính của cấp truy cập đó sẽ được thêm vào danh sách.
19. Nhấp vào Tiếp tục để xem thông tin chi tiết về quy tắc.
20. Đối với Trạng thái quy tắc, hãy chọn một trạng thái:
    • Đang hoạt động – Quy tắc của bạn sẽ chạy ngay lập tức.
    • Không hoạt động – Quy tắc của bạn tồn tại nhưng không có hiệu lực. Nhờ đó, bạn có thời gian xem xét quy tắc và chia sẻ quy tắc đó với các thành viên trong nhóm trước khi triển khai. Kích hoạt quy tắc sau bằng cách chuyển đến phần Bảo mậtQuyền truy cập và kiểm soát dữ liệuBảo vệ dữ liệuQuản lý quy tắc. Nhấp vào trạng thái Không hoạt động của quy tắc rồi chọn Hoạt động. Quy tắc sẽ chạy sau khi bạn kích hoạt và DLP sẽ quét nội dung nhạy cảm.
21. Nhấp vào Tạo.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Quy tắcTạo quy tắcBảo vệ dữ liệu.

   Chuyển đến phần Bảo vệ dữ liệu

   Bạn phải có các đặc quyền Xem quy tắc Ngăn chặn mất dữ liệu (DLP) và Quản lý quy tắc Ngăn chặn mất dữ liệu (DLP).

2. Nhập tên và (không bắt buộc) nội dung mô tả cho quy tắc.
3. Trong phần Ứng dụng, đối với Google Drive, hãy nhấp vào hộp Tệp trên Drive.
4. Nhấp vào Tiếp tục.
5. Trong phần Hành động, đối với Google Drive, hãy chọn Tắt tính năng tải xuống, in và sao chépChỉ dành cho người nhận xét và người xem.
6. (Không bắt buộc) Để chỉ định cách vẽ các sự cố trong trang tổng quan về sự cố DLP, trong mục Cảnh báo, hãy chọn một mức độ nghiêm trọng (Thấp, Trung bình, Cao).
7. (Không bắt buộc) Để kích hoạt thông báo trong Trung tâm thông báo, hãy đánh dấu vào hộp Trung tâm thông báo. Để gửi thông báo cho quản trị viên, hãy đánh dấu vào hộp Tất cả quản trị viên cấp cao hoặc thêm địa chỉ email của người nhận.
8. Nhấp vào Tiếp tục.
9. Trong phần Phạm vi, hãy chọn một chế độ:
   • Để áp dụng quy tắc cho toàn bộ tổ chức, hãy chọn Tất cả trong domain.name.
   • Để áp dụng quy tắc cho các đơn vị tổ chức hoặc nhóm cụ thể, hãy chọn Đơn vị tổ chức và/hoặc nhóm rồi thêm hoặc loại trừ các đơn vị tổ chức và nhóm.

   Nếu có xung đột giữa các đơn vị tổ chức và nhóm về việc đưa vào hoặc loại trừ, thì nhóm sẽ được ưu tiên.

10. Trong mục Điều kiện về nội dung, hãy nhấp vào Thêm điều kiện rồi định cấu hình điều kiện như sau:
    • Đối với Loại nội dung cần quét, hãy chọn Tất cả nội dung.
    • Đối với Nội dung cần quét, hãy chọn một loại quét DLP và chọn các thuộc tính. Để biết thêm thông tin về các thuộc tính có sẵn, hãy xem phần Tạo quy tắc DLP.
11. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào Chọn cấp truy cập.
12. Nếu bạn đã tạo một cấp truy cập phù hợp, trong phần Điều kiện về bối cảnh, hãy chọn cấp truy cập của bạn rồi chuyển đến bước 18.
13. Nhấp vào Tạo cấp truy cập mới.
14. Nhập tên (ví dụ: Thiết bị chưa được phê duyệt) và nội dung mô tả (không bắt buộc).
15. Trong mục Điều kiện theo bối cảnh, hãy nhấp vào Thêm điều kiện rồi định cấu hình điều kiện như sau:
    • Chọn Không đáp ứng 1 hoặc nhiều thuộc tính (HOẶC).
    • Nhấp vào Chọn thuộc tínhThiết bịĐược quản trị viên phê duyệt.
16. Nhấp vào Tạo. Bạn sẽ quay lại trang Tạo quy tắc. Cấp truy cập mới và các thuộc tính của cấp truy cập đó sẽ được thêm vào danh sách.
17. Nhấp vào Tiếp tục để xem thông tin chi tiết về quy tắc.
18. Đối với Trạng thái quy tắc, hãy chọn một trạng thái:
    • Đang hoạt động – Quy tắc của bạn sẽ chạy ngay lập tức.
    • Không hoạt động – Quy tắc của bạn tồn tại nhưng không có hiệu lực. Nhờ đó, bạn có thời gian xem xét quy tắc và chia sẻ quy tắc đó với các thành viên trong nhóm trước khi triển khai. Kích hoạt quy tắc sau bằng cách chuyển đến phần Bảo mậtQuyền truy cập và kiểm soát dữ liệuBảo vệ dữ liệuQuản lý quy tắc. Nhấp vào trạng thái Không hoạt động của quy tắc rồi chọn Hoạt động. Quy tắc sẽ chạy sau khi bạn kích hoạt và DLP sẽ quét nội dung nhạy cảm.
19. Nhấp vào Tạo.

Trong ví dụ này, người dùng sẽ bị chặn nếu cố gắng chuyển đến bảng điều khiển quản trị Salesforce (salesforce.com/admin) bằng một thiết bị không được quản lý. Người dùng vẫn có thể truy cập vào các phần khác của ứng dụng Salesforce.

Để tạo quy tắc cho trình duyệt Chrome, bạn cần có Chrome Enterprise Premium.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Quy tắcTạo quy tắcBảo vệ dữ liệu.

   Chuyển đến phần Bảo vệ dữ liệu

   Bạn phải có các đặc quyền Xem quy tắc Ngăn chặn mất dữ liệu (DLP) và Quản lý quy tắc Ngăn chặn mất dữ liệu (DLP).

2. Nhập tên và (không bắt buộc) nội dung mô tả cho quy tắc.
3. Trong phần Ứng dụng, đối với Chrome, hãy nhấp vào hộp URL đã truy cập.
4. (Không bắt buộc) Để chỉ định cách vẽ các sự cố trong trang tổng quan về sự cố DLP, trong mục Cảnh báo, hãy chọn một mức độ nghiêm trọng (Thấp, Trung bình, Cao).
5. (Không bắt buộc) Để kích hoạt thông báo trong Trung tâm thông báo, hãy đánh dấu vào hộp Trung tâm thông báo. Để gửi thông báo cho quản trị viên, hãy đánh dấu vào hộp Tất cả quản trị viên cấp cao hoặc thêm địa chỉ email của người nhận.
6. Nhấp vào Tiếp tục.
7. Trong mục Hành động, đối với Chrome, hãy chọn Chặn.
8. Nhấp vào Tiếp tục.
9. Trong phần Phạm vi, hãy chọn một chế độ:
   • Để áp dụng quy tắc cho toàn bộ tổ chức, hãy chọn Tất cả trong domain.name.
   • Để áp dụng quy tắc cho các đơn vị tổ chức hoặc nhóm cụ thể, hãy chọn Đơn vị tổ chức và/hoặc nhóm rồi thêm hoặc loại trừ các đơn vị tổ chức và nhóm.

   Nếu có xung đột giữa các đơn vị tổ chức và nhóm về việc đưa vào hoặc loại trừ, thì nhóm sẽ được ưu tiên.

10. Trong mục Điều kiện về nội dung, hãy nhấp vào Thêm điều kiện rồi định cấu hình điều kiện như sau:
    • Đối với Loại nội dung cần quét, hãy chọn URL.
    • Đối với Nội dung cần quét, hãy chọn Chứa chuỗi văn bản.
    • Đối với Nội dung cần khớp, hãy nhập salesforce.com/admin.
11. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào Chọn cấp truy cập.
    Nếu bạn đã tạo một cấp truy cập phù hợp, trong phần Điều kiện về bối cảnh, hãy chọn cấp truy cập của bạn rồi chuyển đến bước 18.
12. Nhấp vào Tạo cấp truy cập mới.
13. Nhập tên (ví dụ: Quản trị viên Salesforce) và nội dung mô tả (không bắt buộc).
14. Trong phần Điều kiện theo bối cảnh, hãy nhấp vào thẻ Nâng cao.
15. Trong hộp văn bản, hãy nhập:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
16. Nhấp vào Tạo. Bạn sẽ quay lại trang Tạo quy tắc. Cấp truy cập mới và các thuộc tính của cấp truy cập đó sẽ được thêm vào danh sách.
17. Nhấp vào Tiếp tục để xem thông tin chi tiết về quy tắc.
18. Đối với Trạng thái quy tắc, hãy chọn một trạng thái:
    • Đang hoạt động – Quy tắc của bạn sẽ chạy ngay lập tức.
    • Không hoạt động – Quy tắc của bạn tồn tại nhưng không có hiệu lực. Nhờ đó, bạn có thời gian xem xét quy tắc và chia sẻ quy tắc đó với các thành viên trong nhóm trước khi triển khai. Kích hoạt quy tắc sau bằng cách chuyển đến phần Bảo mậtQuyền truy cập và kiểm soát dữ liệuBảo vệ dữ liệuQuản lý quy tắc. Nhấp vào trạng thái Không hoạt động của quy tắc rồi chọn Hoạt động. Quy tắc sẽ chạy sau khi bạn kích hoạt và DLP sẽ quét nội dung nhạy cảm.
19. Nhấp vào Tạo.

Lưu ý: Nếu gần đây bạn đã truy cập vào một URL mà bạn đang lọc, thì URL đó sẽ được lưu vào bộ nhớ đệm trong vài phút và có thể không được lọc thành công theo một quy tắc mới (hoặc đã sửa đổi) cho đến khi bộ nhớ đệm của URL đó được xoá. Hãy đợi khoảng 5 phút trước khi kiểm thử một quy tắc mới hoặc đã sửa đổi.

Trong các phiên bản Chrome trước, các điều kiện về bối cảnh sẽ bị bỏ qua. Các quy tắc hoạt động như thể bạn chỉ đặt điều kiện về nội dung.

Không. Các quy tắc không áp dụng trong Chế độ ẩn danh. Quản trị viên có thể ngăn người dùng đăng nhập vào Workspace hoặc các ứng dụng SaaS ở Chế độ ẩn danh của Chrome bằng cách thực thi tính năng Quyền truy cập theo bối cảnh tại thời điểm đăng nhập.

Nếu người dùng trình duyệt được quản lý và hồ sơ được quản lý thuộc cùng một doanh nghiệp, thì cả quy tắc DLP ở cấp trình duyệt và quy tắc DLP ở cấp người dùng đều sẽ được áp dụng.

Nếu người dùng trình duyệt được quản lý và người dùng hồ sơ được quản lý thuộc các doanh nghiệp khác nhau, thì chỉ các quy tắc DLP ở cấp trình duyệt mới được áp dụng. Điều kiện ngữ cảnh sẽ luôn được coi là một kết quả trùng khớp và kết quả nghiêm ngặt nhất sẽ được thực thi. Điều kiện dựa trên địa chỉ IP hoặc khu vực sẽ không bị ảnh hưởng.

Tính năng Quyền truy cập theo bối cảnh trong Bảng điều khiển dành cho quản trị viên không hỗ trợ tất cả các thuộc tính mà bảng điều khiển Google Cloud hỗ trợ. Do đó, mọi cấp truy cập cơ bản được tạo trong Google Cloud Console có các thuộc tính này đều có thể được chỉ định trong Bảng điều khiển dành cho quản trị viên, nhưng không thể chỉnh sửa trong Bảng điều khiển dành cho quản trị viên.

Trên trang Quy tắc trong Bảng điều khiển dành cho quản trị viên, bạn có thể chỉ định cấp truy cập được tạo trong Google Cloud Console, nhưng không thể xem thông tin chi tiết về điều kiện cho cấp truy cập có các thuộc tính không được hỗ trợ.

• Đảm bảo bạn có đặc quyền quản trị viên Quản lý cấp truy cập trong phần Dịch vụ > Bảo mật dữ liệu. Đây là đặc quyền bắt buộc để xem điều kiện bối cảnh trong quá trình tạo quy tắc DLP.
• Thẻ điều kiện theo bối cảnh chỉ xuất hiện khi bạn chọn các điều kiện kích hoạt của Chrome trong quá trình tạo quy tắc.

Nếu một cấp truy cập được chỉ định bị xoá, thì các điều kiện theo bối cảnh sẽ mặc định là true và quy tắc này sẽ hoạt động như một quy tắc chỉ áp dụng cho nội dung. Xin lưu ý rằng quy tắc này sẽ áp dụng cho nhiều thiết bị và trường hợp sử dụng hơn so với dự định ban đầu của bạn.

Không. Việc đánh giá cấp truy cập trong các quy tắc không phụ thuộc vào chế độ cài đặt Quyền truy cập dựa trên bối cảnh. Việc kích hoạt và chỉ định Quyền truy cập theo bối cảnh sẽ không ảnh hưởng đến các quy tắc.

Theo mặc định, các điều kiện trống được đánh giá là đúng. Điều này có nghĩa là đối với một quy tắc chỉ có Quyền truy cập theo bối cảnh, bạn có thể để trống các điều kiện về nội dung. Xin lưu ý rằng nếu bạn để trống cả điều kiện về nội dung và điều kiện về ngữ cảnh, thì quy tắc sẽ luôn được kích hoạt.

Không. Quy tắc chỉ được kích hoạt khi cả điều kiện về nội dung và điều kiện về bối cảnh đều được đáp ứng.

Cả DLP và Quyền truy cập dựa trên bối cảnh đều dựa vào các dịch vụ chạy ở chế độ nền và có thể bị gián đoạn định kỳ. Nếu dịch vụ bị gián đoạn trong quá trình thực thi quy tắc, thì quy tắc sẽ không được thực thi. Khi điều này xảy ra, một sự kiện sẽ được ghi vào cả Sự kiện trong nhật ký quy tắc và Sự kiện trong nhật ký Chrome.

Đối với các thuộc tính dựa trên thiết bị, các điều kiện theo bối cảnh sẽ được coi là khớp và kết quả nghiêm ngặt nhất sẽ được thực thi. Đối với các thuộc tính không dựa trên thiết bị (chẳng hạn như địa chỉ IP và khu vực), sẽ không có thay đổi.

Có. Bạn có thể xem thông tin về cấp truy cập bằng cách tìm kiếm Sự kiện trong nhật ký quy tắc hoặc Sự kiện trong nhật ký Chrome trong cột Cấp truy cập của kết quả tìm kiếm.

Không. Quy trình khắc phục cho người dùng hiện chưa có trong các quy trình này.