将数据泄露防护规则与情境感知访问权限条件结合使用

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版。 版本对比

Cloud Identity 专业版用户只要拥有 Google Workspace 许可,即可使用云端硬盘 DLP 和 Chat DLP 功能。对于云端硬盘 DLP 功能,许可必须包含云端硬盘日志事件服务。

为了更好地控制哪些用户和设备可以传输敏感内容,您可以将数据泄露防护 (DLP) 规则与情境感知访问权限条件(例如用户位置、设备安全状态 [受管、加密]和 IP 地址)结合使用。您向数据泄露防护规则添加情境感知访问权限条件后,相应规则仅在满足情境条件时才会强制执行。

使用场景

将数据泄露防护规则与情境感知访问条件结合使用,有助于您控制:

  • Chrome 浏览器 - 例如,上传和附加文件、上传和粘贴 Web 内容、下载和打印。
  • Google 云端硬盘 - 例如,具有评论或查看访问权限的用户复制、下载和打印云端硬盘文件。

如需查看详细示例,请参阅本页面上的数据泄露防护和情境感知访问权限规则示例

准备工作

如要将数据泄露防护规则与情境感知访问权限条件结合使用,您必须满足下表中所述的要求。

Google Workspace 插件

(对于 Chrome 数据泄露防护是必需的,对于云端硬盘数据泄露防护则不是必需的)
Chrome 浏览器版本

105 版或更高版本如需了解详情,请参阅常见问题解答

(对于 Chrome 数据泄露防护是必需的,对于云端硬盘数据泄露防护则不是必需的)
端点验证

对于桌面设备,您必须开启端点验证才能应用基于设备或设备操作系统的情境条件。

(对于不基于设备的属性(例如 IP 地址、区域和浏览器管理状态),无此要求)
移动设备管理

移动设备应强制执行基本高级管理功能。

(对于不基于设备的属性(例如 IP 地址、区域和浏览器管理状态),无此要求)
访问权限级别的管理员权限

如要创建访问权限级别,您必须拥有“访问权限级别管理”权限。如要在数据泄露防护规则中使用访问权限级别,您必须拥有“访问权限级别管理”或“规则管理”权限。

如需了解详情,请参阅数据安全

第 1 步:设置 Chrome 浏览器以强制执行规则

要将数据泄露防护功能与 Chrome 浏览器集成,您需要设置 Chrome 企业版接口政策

第 2 步:创建包含情境感知访问权限条件的数据泄露防护规则

准备工作:以下是一般性说明,用于演示如何创建包含情境感知访问权限条件的数据泄露防护规则。如需查看更具体的示例,请参阅本页面上的数据泄露防护和情境感知访问权限规则示例部分。

您可以在创建数据泄露防护规则之前或创建规则期间创建访问权限级别。这些步骤会先创建访问权限级别,然后再执行其余步骤。

  1. 创建具有相应条件的新访问权限级别。如需了解相关步骤,请参阅创建访问权限级别。 您可以为数据泄露防护规则分配单个访问权限级别。
  2. 从头开始创建新的数据泄露防护规则,或使用预定义的模板。如需了解相关步骤,请参阅创建数据保护规则
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

数据泄露防护和情境感知访问权限规则示例

以下示例展示了如何结合使用数据泄露防护规则和情境感知访问权限级别,使规则根据用户的 IP 地址、位置或设备状态强制执行。

示例 1:阻止在公司网络外部的设备上下载内容(Chrome 浏览器)

如需为 Chrome 浏览器创建规则,您需要使用 Chrome 企业进阶版。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 规则然后创建规则然后数据保护

    需要拥有查看和管理数据泄露防护规则的特权

  2. 为规则输入名称和(可选)说明。
  3. 应用部分中,针对 Chrome,点击已下载文件复选框。
  4. 点击继续
  5. 操作部分中,对于 Chrome,选择屏蔽
  6. (可选)如需指定事件在数据泄露防护事件信息中心内的绘制方式,请在提醒部分中选择严重程度级别(低、中、高)。
  7. (可选)如需在提醒中心触发通知,请勾选提醒中心复选框。如需向管理员发送通知,请勾选所有超级用户复选框,或添加收件人的电子邮件地址。
  8. 点击继续
  9. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。

    如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

  10. 内容条件部分中,点击添加条件,然后按如下方式配置条件:
  11. 情境条件部分,点击选择访问权限级别
    如果您已创建合适的访问权限级别,请在情境条件部分中,选择相应的访问权限级别,然后前往第 19 步。
  12. 点击创建新的访问权限级别
  13. 输入名称(例如“公司网络外部”)和(可选)说明。
  14. 情境条件部分,点击添加条件
  15. 选择不符合 1 个或多个属性 (OR)
  16. 依次点击选择属性然后IP 子网(公共),然后输入您的公司网络的 IP 地址。此地址可以是 IPv4 或 IPv6 地址,也可以是采用 CIDR 地址块表示法的路由前缀。
    • 不支持使用专用 IP 地址(包括用户的家庭网络)。
    • 支持静态 IP 地址。
    • 如要使用动态 IP 地址,您必须为访问权限级别指定静态 IP 子网。如果您知道动态 IP 地址的范围,并且在访问权限级别中定义的静态 IP 地址涵盖该范围,则满足情境条件。如果动态 IP 地址不在指定的静态 IP 子网中,则不满足情境条件。
  17. 点击创建。您会返回到创建规则页面。您的新访问权限级别及其属性会添加到列表中。
  18. 点击继续以查看规则详情。
  19. 对于规则状态,请选择一个选项:
    • 有效 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性然后访问权限和数据控件然后数据保护然后管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  20. 点击创建
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 2:阻止从特定国家/地区登录的用户下载内容(Chrome 浏览器)

如需为 Chrome 浏览器创建规则,您需要使用 Chrome 企业进阶版。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 规则然后创建规则然后数据保护

    需要拥有查看和管理数据泄露防护规则的特权

  2. 为规则输入名称和(可选)说明。
  3. 应用部分中,针对 Chrome,点击已下载文件复选框。
  4. 点击继续
  5. 操作部分中,对于 Chrome,选择屏蔽
  6. (可选)如需指定事件在数据泄露防护事件信息中心内的绘制方式,请在提醒部分中选择严重程度级别(低、中、高)。
  7. (可选)如需在提醒中心触发通知,请勾选提醒中心复选框。如需向管理员发送通知,请勾选所有超级用户复选框,或添加收件人的电子邮件地址。
  8. 点击继续
  9. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。

    如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

  10. 内容条件部分中,点击添加条件,然后按如下方式配置条件:
  11. 情境条件部分,点击选择一个访问权限级别

    如果您已创建合适的访问权限级别,请在情境条件部分中,选择相应的访问权限级别,然后前往第 20 步。

  12. 点击创建新的访问权限级别
  13. 输入名称(例如“在中国”)和(可选)说明。
  14. 情境条件部分,点击添加条件
  15. 选择符合所有属性 (AND)
  16. 依次点击选择属性然后位置,然后从列表中选择一个国家/地区。
  17. (可选)如需添加其他国家/地区并将规则应用于从这些国家/地区登录的用户,请执行以下操作:
    1. 点击添加条件,然后选择符合所有属性 (AND)
    2. 条件顶部,将使用以下运算符将多个条件组合起来设置为 OR
  18. 点击创建。您会返回到创建规则页面。您的新访问权限级别及其属性会添加到列表中。
  19. 点击继续以查看规则详情。
  20. 对于规则状态,请选择一个选项:
    • 有效 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性然后访问权限和数据控件然后数据保护然后管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  21. 点击创建
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 3:阻止在未获得管理员批准的设备上下载内容(云端硬盘)

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 规则然后创建规则然后数据保护

    需要拥有查看和管理数据泄露防护规则的特权

  2. 为规则输入名称和(可选)说明。
  3. 应用部分中,针对 Google 云端硬盘,点击“云端硬盘文件”复选框。
  4. 点击继续
  5. 操作部分中,针对 Google 云端硬盘,选择停用下载、打印和复制功能然后仅适用于评论者和查看者
  6. (可选)如需指定事件在数据泄露防护事件信息中心内的绘制方式,请在提醒部分中选择严重程度级别(低、中、高)。
  7. (可选)如需在提醒中心触发通知,请勾选提醒中心复选框。如需向管理员发送通知,请勾选所有超级用户复选框,或添加收件人的电子邮件地址。
  8. 点击继续
  9. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。

    如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

  10. 内容条件部分中,点击添加条件,然后按如下方式配置条件:
    • 要扫描的内容类型部分,选择所有内容
    • 要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则
  11. 情境条件部分,点击选择一个访问权限级别
  12. 如果您已创建合适的访问权限级别,请在情境条件部分中,选择相应的访问权限级别,然后前往第 18 步。
  13. 点击创建新的访问权限级别
  14. 输入名称(例如“未批准的设备”)和(可选)说明。
  15. 情境条件部分中,点击添加条件,然后按如下方式配置条件:
    • 选择不符合 1 个或多个属性 (OR)
    • 依次点击选择属性然后设备然后已获管理员批准
  16. 点击创建。您会返回到创建规则页面。您的新访问权限级别及其属性会添加到列表中。
  17. 点击继续以查看规则详情。
  18. 对于规则状态,请选择一个选项:
    • 有效 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性然后访问权限和数据控件然后数据保护然后管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  19. 点击创建
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 4:禁止在非受管设备上前往“salesforce.com/admin”(Chrome 浏览器)

在此示例中,如果用户尝试使用非受管设备转到 Salesforce 管理控制台 (salesforce.com/admin),则会被阻止。用户仍然可以访问 Salesforce 应用的其他部分。

如需为 Chrome 浏览器创建规则,您需要使用 Chrome 企业进阶版。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 规则然后创建规则然后数据保护

    需要拥有查看和管理数据泄露防护规则的特权

  2. 为规则输入名称和(可选)说明。
  3. 应用部分中,针对 Chrome,点击访问过的网址复选框。
  4. (可选)如需指定事件在数据泄露防护事件信息中心内的绘制方式,请在提醒部分中选择严重程度级别(低、中、高)。
  5. (可选)如需在提醒中心触发通知,请勾选提醒中心复选框。如需向管理员发送通知,请勾选所有超级用户复选框,或添加收件人的电子邮件地址。
  6. 点击继续
  7. 操作部分中,对于 Chrome,选择屏蔽
  8. 点击继续
  9. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。

    如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

  10. 内容条件部分中,点击添加条件,然后按如下方式配置条件:
    • 要扫描的内容类型部分,选择网址
    • 要扫描的内容部分,选择包含文本字符串
    • 要匹配的内容部分,输入 salesforce.com/admin
  11. 情境条件部分,点击选择一个访问权限级别
    如果您已创建合适的访问权限级别,请在情境条件部分中,选择相应的访问权限级别,然后前往第 18 步。
  12. 点击创建新的访问权限级别
  13. 输入名称(例如“Salesforce 管理员”)和(可选)说明。
  14. 在“情境条件”部分中,点击高级标签页。
  15. 在文本框中输入:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. 点击创建。您会返回到创建规则页面。您的新访问权限级别及其属性会添加到列表中。
  17. 点击继续以查看规则详情。
  18. 对于规则状态,请选择一个选项:
    • 有效 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性然后访问权限和数据控件然后数据保护然后管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  19. 点击创建
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

常见问题解答

在之前的 Chrome 版本上,包含情境感知访问权限条件的数据泄露防护规则的行为方式是怎样的?

在之前的 Chrome 版本中,系统会忽略情境条件。规则的作用就像仅设置了内容条件时一样。

受管浏览器规则是否适用于无痕模式?

不适用。这些规则不适用于无痕模式。管理员可以在用户登录时强制执行情境感知访问权限条件,从而阻止用户通过 Chrome 无痕模式登录 Workspace 或 SaaS 应用。

受管理的浏览器和受管理的用户必须属于同一企业才能应用规则吗?

如果受管理的浏览器和受管资料用户属于同一企业,则会同时应用浏览器级数据泄露防护规则和用户级数据泄露防护规则。

如果受管理的浏览器和受管资料用户属于不同的企业,则只会应用浏览器级数据泄露防护规则。系统始终会将情境条件视为匹配项,并会强制执行最严格的结果。基于 IP 地址或区域的条件不受影响。

管理控制台和 Google Cloud 控制台是否支持相同的访问权限级别?

管理控制台中的情境感知访问权限并非能够支持 Google Cloud 控制台所支持的全部属性。因此,在 Google Cloud 控制台中创建的包含这些属性的任何基本访问权限级别都可以在管理控制台中进行分配,但不能在其中进行修改。

您可以在管理控制台的“规则”页面上分配 Google Cloud 控制台创建的访问权限级别,但无法查看包含不受支持的属性的访问权限级别的条件详情。

为什么我在创建规则时看不到情境条件卡片?

  • 请确保您拥有“服务”>“数据安全”>“访问权限级别管理”管理员权限,这是在数据泄露防护规则创建期间查看情境条件所必需的。
  • 只有当您在规则创建期间选择 Chrome 触发器时,系统才会显示“情境条件”卡片。

如果已分配的访问权限级别被删除,该怎么办?

如果已分配的访问权限级别被删除,情境条件默认为 true,且规则的行为方式就如同仅应用了内容条件的规则一样。请注意,之后相应规则会应用于比最初预期更多的设备和用例。

是否应启用情境感知访问权限,以使情境条件在规则中发挥作用?

不需要。规则中的访问权限级别评估与情境感知访问权限设置无关。情境感知访问权限的启用与否及分配情况都不会影响规则。

如果规则条件为空,会怎么样?

默认情况下,空条件的计算结果为 true。也就是说,对于仅应用情境感知访问权限条件的规则,可以将内容条件留空。请注意,如果内容条件和情境条件都留空,则系统始终会触发规则。

如果仅满足其中一个条件,系统是否会触发规则?

不会。只有在同时满足内容条件和情境条件时,系统才会触发规则。

为什么我看到日志事件表明数据泄露防护未强制执行?

数据泄露防护和情境感知访问权限均依赖于可能会定期中断的后台服务。如果在强制执行规则期间服务中断运行,则规则不会强制执行。在这种情况下,规则日志事件Chrome 日志事件中都会记录一个事件。

如果未安装端点验证,情境条件的行为方式是怎样的?

对于基于设备的属性,系统会将情境条件视为匹配项,并强制执行最严格的结果。对于不基于设备的属性(例如 IP 地址和区域),不会发生任何变化。

我可以在安全调查工具中查看已触发规则的访问权限级别信息吗?

可以。您可以搜索规则日志事件Chrome 日志事件,以便在搜索结果的“访问权限级别”列中查看访问权限级别信息。

规则中的情境条件是否支持用户修复?

不支持。这些流程尚不支持用户修复功能。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。