支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較
若 Cloud Identity 進階版使用者也擁有 Google Workspace 授權,即可使用雲端硬碟資料遺失防護和 Chat 資料遺失防護功能。如要使用雲端硬碟資料遺失防護功能,授權必須包含雲端硬碟記錄事件。
如要進一步控管哪些使用者和裝置可以轉移機密內容,您可以結合資料遺失防護 (DLP) 規則與情境感知存取權條件,例如使用者位置、裝置安全性狀態 (受管理、已加密) 和 IP 位址。如果您在資料遺失防護規則中新增情境感知存取權條件,系統在符合情境條件時才會強制執行規則。
用途
結合使用資料遺失防護規則與情境感知存取權條件,有助於控管:
- Chrome 瀏覽器:例如上傳及附加檔案、上傳及貼上網路內容、下載及列印。
- Google 雲端硬碟:例如讓具備註解或檢視權限的使用者複製、下載及列印雲端硬碟檔案。
如要查看詳細示例,請參閱本頁的「資料遺失防護和情境感知存取權規則示例」。
事前準備
結合使用資料遺失防護規則與情境感知存取權條件前,請務必確認符合下表規定。
| Google Workspace 外掛程式 |
(使用 Chrome 資料遺失防護功能時為必要,雲端硬碟資料遺失防護功能則不需要) |
|---|---|
| Chrome 瀏覽器版本 |
105 以上版本詳情請參閱「常見問題」。 (使用 Chrome 資料遺失防護功能時為必要,雲端硬碟資料遺失防護功能則不需要) |
| 端點驗證 |
對於電腦裝置,必須開啟端點驗證,才能套用與裝置或裝置 OS 相關的情境條件。 (IP 位址、區域和瀏覽器管理狀態等非裝置相關屬性則無須開啟) |
| 行動管理 |
(IP 位址、區域和瀏覽器管理狀態等非裝置相關屬性則無須開啟) |
| 存取層級的管理員權限 |
必須具備「管理存取層級」權限,才能建立存取層級。如要在資料遺失防護規則中使用存取層級,則須擁有「管理存取層級」或「規則管理」權限。 詳情請參閱「資料安全性」。 |
步驟 1:設定 Chrome 瀏覽器來強制執行規則
如要將資料遺失防護功能與 Chrome 瀏覽器整合,您需要設定 Chrome Enterprise 連接器政策。
步驟 2:建立資料遺失防護規則,並設定情境感知存取權條件
事前準備:以下是一般操作說明,示範如何建立含有情境感知存取權條件的資料遺失防護規則。如需更具體的示例,請參閱本頁的「資料遺失防護和情境感知存取權規則示例」。
建立存取層級的時機有兩種,分別是建立資料遺失防護規則前,或建立規則期間。以下步驟會先建立存取層級,再進行後續操作。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情資料遺失防護和情境感知存取權規則示例
以下示例說明如何結合資料遺失防護規則與情境感知存取權層級,根據使用者的 IP 位址、位置或裝置狀態強制執行規則。
示例 1:禁止未連上公司網路的裝置下載檔案 (Chrome 瀏覽器)
如要建立 Chrome 瀏覽器的規則,您必須使用 Chrome Enterprise 進階版。
-
在 Google 管理控制台中,依序點選「選單」圖示
「規則」「建立規則」「資料保護」。必須具備「查看及管理資料遺失防護規則」權限。
- 輸入規則名稱,並可選擇加入說明。
- 在「應用程式」部分找出「Chrome」,勾選「已下載檔案」方塊。
- 按一下「繼續」。
- 在「動作」部分,針對 Chrome 選取「封鎖」。
- (選用) 如要指定資料遺失防護事件資訊主頁呈現事件的方式,請在「快訊」部分選擇嚴重性等級 (「低」、「中」、「高」)。
- (選用) 如要在快訊中心觸發通知,請勾選「快訊中心」方塊。如要傳送通知給管理員,請勾選「所有超級管理員」方塊,或新增收件者的電子郵件地址。
- 按一下「繼續」。
-
在「範圍」部分,選擇下列任一選項:
- 如要將規則套用至整個機構,請選取「<網域名稱>domain.name 所有成員」。
- 如要將規則套用至特定機構單位或群組,請選取「機構單位和/或群組」,然後加入或排除該機構單位和群組。
如果組織單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
- 在「內容條件」部分按一下「新增條件」,然後依下列方式設定條件:
- 在「掃描內容類型」部分選取「所有內容」。
- 在「掃描用途」部分,選擇資料遺失防護掃描類型並選取屬性。
如要進一步瞭解可用屬性,請參閱「使用 Chrome Enterprise 進階版整合資料遺失防護功能與 Chrome」。
- 在「情境條件」部分,按一下「選取存取層級」。
如果您已建立適當的存取層級,請在「情境條件」部分選取存取層級,然後跳到步驟 19。 - 按一下「建立新的存取層級」。
- 輸入名稱 (例如「公司網路外部」),並視需要輸入說明。
- 在「情境條件」部分點選「新增條件」。
- 選取「不符合 1 或多個屬性 (OR)」。
- 依序按一下「選取屬性」「IP 子網路 (公開)」,然後輸入公司網路的 IP 位址。這可以是 IPv4 或 IPv6 位址,或是採用 CIDR 區塊標記法的路徑前置字元。
- 不支援私人 IP 位址 (包括使用者的家用網路)。
- 支援靜態 IP 位址。
- 如要使用動態 IP 位址,您必須為存取層級定義靜態 IP 子網路。如果您知道動態 IP 位址的範圍,而且存取層級中定義的靜態 IP 位址包含該範圍,即符合情境條件。如果動態 IP 位址不在定義的靜態 IP 子網路內,則不符合情境條件。
- 按一下「建立」,返回「建立規則」頁面。新的存取層級及其屬性已新增至清單中。
- 按一下「繼續」查看規則詳情。
-
在「規則狀態」部分,選擇下列任一選項:
- 有效:規則會立即執行。
- 無效:規則已建立完成,但不會生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」「存取權與資料控管」「資料保護」「管理規則」。接著按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 點選「建立」。
示例 2:禁止從特定國家/地區登入的使用者下載檔案 (Chrome 瀏覽器)
如要建立 Chrome 瀏覽器的規則,您必須使用 Chrome Enterprise 進階版。
-
在 Google 管理控制台中,依序點選「選單」圖示
「規則」「建立規則」「資料保護」。必須具備「查看及管理資料遺失防護規則」權限。
- 輸入規則名稱,並可選擇加入說明。
- 在「應用程式」部分找出「Chrome」,勾選「已下載檔案」方塊。
- 按一下「繼續」。
- 在「動作」部分,針對 Chrome 選取「封鎖」。
- (選用) 如要指定資料遺失防護事件資訊主頁呈現事件的方式,請在「快訊」部分選擇嚴重性等級 (「低」、「中」、「高」)。
- (選用) 如要在快訊中心觸發通知,請勾選「快訊中心」方塊。如要傳送通知給管理員,請勾選「所有超級管理員」方塊,或新增收件者的電子郵件地址。
- 按一下「繼續」。
-
在「範圍」部分,選擇下列任一選項:
- 如要將規則套用至整個機構,請選取「<網域名稱>domain.name 所有成員」。
- 如要將規則套用至特定機構單位或群組,請選取「機構單位和/或群組」,然後加入或排除該機構單位和群組。
如果組織單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
- 在「內容條件」部分按一下「新增條件」,然後依下列方式設定條件:
- 在「掃描內容類型」部分選取「所有內容」。
- 在「掃描用途」部分,選擇資料遺失防護掃描類型並選取屬性。
如要進一步瞭解可用屬性,請參閱「使用 Chrome Enterprise 進階版整合資料遺失防護功能與 Chrome」。
- 在「情境條件」部分,按一下「選取存取層級」。
如果您已建立適當的存取層級,請在「情境條件」部分選取存取層級,然後跳到步驟 20。
- 按一下「建立新的存取層級」。
- 輸入名稱 (例如「在中國境內」),並視需要輸入說明。
- 在「情境條件」部分點選「新增條件」。
- 選取「符合所有屬性 (AND)」。
- 依序點選「選取屬性」「位置」,然後從清單中選取國家/地區。
- (選用) 如要新增其他國家/地區,並對從這些國家/地區登入的使用者套用規則,請按照下列步驟操作:
- 按一下「新增條件」,然後選取「符合所有屬性 (AND)」。
- 在「條件」頂端,將「使用以下運算子結合多個條件:」設為「OR」。
- 按一下「建立」,返回「建立規則」頁面。新的存取層級及其屬性已新增至清單中。
- 按一下「繼續」查看規則詳情。
-
在「規則狀態」部分,選擇下列任一選項:
- 有效:規則會立即執行。
- 無效:規則已建立完成,但不會生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」「存取權與資料控管」「資料保護」「管理規則」。接著按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 點選「建立」。
示例 3:禁止在未經管理員核准的裝置上下載檔案 (雲端硬碟)
-
在 Google 管理控制台中,依序點選「選單」圖示
「規則」「建立規則」「資料保護」。必須具備「查看及管理資料遺失防護規則」權限。
- 輸入規則名稱,並可選擇加入說明。
- 在「應用程式」部分找出「Google 雲端硬碟」,勾選「雲端硬碟檔案」方塊。
- 按一下「繼續」。
- 在「動作」部分找到「Google 雲端硬碟」,然後依序選取「停用下載、列印和複製功能」「僅限加註者和檢視者」。
- (選用) 如要指定資料遺失防護事件資訊主頁呈現事件的方式,請在「快訊」部分選擇嚴重性等級 (「低」、「中」、「高」)。
- (選用) 如要在快訊中心觸發通知,請勾選「快訊中心」方塊。如要傳送通知給管理員,請勾選「所有超級管理員」方塊,或新增收件者的電子郵件地址。
- 按一下「繼續」。
-
在「範圍」部分,選擇下列任一選項:
- 如要將規則套用至整個機構,請選取「<網域名稱>domain.name 所有成員」。
- 如要將規則套用至特定機構單位或群組,請選取「機構單位和/或群組」,然後加入或排除該機構單位和群組。
如果組織單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
- 在「內容條件」部分按一下「新增條件」,然後依下列方式設定條件:
- 在「掃描內容類型」部分選取「所有內容」。
- 在「掃描用途」部分中,選擇資料遺失防護掃描類型並選取屬性。如要進一步瞭解可用屬性,請參閱「建立資料遺失防護規則」。
- 在「情境條件」部分,按一下「選取存取層級」。
- 如果您已建立適當的存取層級,請在「情境條件」部分選取存取層級,然後跳到步驟 18。
- 按一下「建立新的存取層級」。
- 輸入名稱 (例如「未核准的裝置」),並視需要輸入說明。
- 在「情境條件」部分點選「新增條件」,然後依下列方式設定條件:
- 選取「不符合 1 或多個屬性 (OR)」。
- 依序點按「選取屬性」「裝置」「管理員已核准」。
- 按一下「建立」,返回「建立規則」頁面。新的存取層級及其屬性已新增至清單中。
- 按一下「繼續」查看規則詳情。
-
在「規則狀態」部分,選擇下列任一選項:
- 有效:規則會立即執行。
- 無效:規則已建立完成,但不會生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」「存取權與資料控管」「資料保護」「管理規則」。接著按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 點選「建立」。
示例 4:禁止在未受管理的裝置上使用 Chrome 瀏覽器前往 salesforce.com/admin
在本範例中,如果使用者嘗試透過非受管裝置前往 Salesforce 管理控制台 (salesforce.com/admin),就會遭到封鎖。不過,他們仍可存取 Salesforce 應用程式的其他部分。
如要建立 Chrome 瀏覽器的規則,您必須使用 Chrome Enterprise 進階版。
-
在 Google 管理控制台中,依序點選「選單」圖示
「規則」「建立規則」「資料保護」。必須具備「查看及管理資料遺失防護規則」權限。
- 輸入規則名稱,並可選擇加入說明。
- 在「應用程式」部分找到「Chrome」,勾選「造訪過的網址」方塊。
- (選用) 如要指定資料遺失防護事件資訊主頁呈現事件的方式,請在「快訊」部分選擇嚴重性等級 (「低」、「中」、「高」)。
- (選用) 如要在快訊中心觸發通知,請勾選「快訊中心」方塊。如要傳送通知給管理員,請勾選「所有超級管理員」方塊,或新增收件者的電子郵件地址。
- 按一下「繼續」。
- 在「動作」部分,針對 Chrome 選取「封鎖」。
- 按一下「繼續」。
-
在「範圍」部分,選擇下列任一選項:
- 如要將規則套用至整個機構,請選取「<網域名稱>domain.name 所有成員」。
- 如要將規則套用至特定機構單位或群組,請選取「機構單位和/或群組」,然後加入或排除該機構單位和群組。
如果組織單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
- 在「內容條件」部分按一下「新增條件」,然後依下列方式設定條件:
- 在「掃描內容類型」部分,選取「網址」。
- 在「掃描用途」部分,選取「包含文字字串」。
- 在「輸入要比對的內容」部分,輸入 salesforce.com/admin。
- 在「情境條件」部分,按一下「選取存取層級」。
如果您已建立適當的存取層級,請在「情境條件」部分選取存取層級,然後跳到步驟 18。 - 按一下「建立新的存取層級」。
- 輸入名稱 (例如「Salesforce 管理員」),並視需要輸入說明。
- 在「情境條件」部分,按一下「進階」分頁標籤。
- 在文字方塊中輸入:
device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED - 按一下「建立」,返回「建立規則」頁面。新的存取層級及其屬性已新增至清單中。
- 按一下「繼續」查看規則詳情。
-
在「規則狀態」部分,選擇下列任一選項:
- 有效:規則會立即執行。
- 無效:規則已建立完成,但不會生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」「存取權與資料控管」「資料保護」「管理規則」。接著按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 點選「建立」。
注意:如果您最近才造訪過要篩選的網址,系統會對該網址進行快取作業數分鐘。在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。
常見問題
在舊版 Chrome 上,設有情境感知存取權條件的資料遺失防護規則會如何運作?
舊版 Chrome 會忽略情境條件,像是只設定內容條件般執行規則。
受管理瀏覽器規則可以在無痕模式運作嗎?
不可以,規則不適用於無痕模式。管理員可以設定在登入時,強制執行情境感知存取權驗證,禁止使用者透過 Chrome 無痕模式登入 Workspace 或 SaaS 應用程式。
受管理瀏覽器和受管理使用者是否需要隸屬於相同企業,才能套用規則?
如果受管理瀏覽器和受管理設定檔的使用者都屬於同一個企業,則會同時套用瀏覽器層級和使用者層級的資料遺失防護規則。
如果受管理瀏覽器和受管理設定檔的使用者分屬不同企業,則系統只會套用瀏覽器層級的資料遺失防護規則。系統一律會將情境條件視為相符項目,並強制執行最嚴格的結果。根據 IP 或區域設定的條件不會受到任何影響。
管理控制台和 Google Cloud 控制台是否支援相同的存取層級?
管理控制台中的情境感知存取權設定,並不支援 Google Cloud 控制台所支援的部分屬性。因此,在 Google Cloud 控制台中建立的所有基本存取層級 (包含這些屬性),都可以在管理控制台中指派,但無法在該處編輯。
在管理控制台的「規則」頁面,您可以指派在 Google Cloud 控制台中建立的存取層級,但無法針對不支援的屬性查看存取層級詳細資料。
為什麼我在建立規則時沒有看見情境條件資訊卡?
- 您必須具備「服務」>「資料安全性」>「管理存取層級」管理員權限,才能在建立資料遺失防護規則時查看情境條件。
- 只有在建立規則時選取 Chrome 觸發條件,系統才會顯示「情境條件」資訊卡。
如果已指派的存取層級遭到刪除,會發生什麼情況?
如果已指派的存取層級遭到刪除,情境條件會預設為「是」,規則也會如同僅限內容的規則一般運作。請注意,發生這種情況時,規則會套用至更多裝置/用途,比您原先預期還多。
是否需要啟用情境感知存取權,才能讓規則中的情境條件生效?
不需要,系統在依規則評估存取層級時,不受情境感知存取權設定影響。情境感知存取權的啟用與指派作業應不會影響規則。
如果規則條件為空白,會發生什麼情況?
根據預設,系統會評估空白條件為「是」。也就是說,設定單純的情境感知存取權規則時,可以不指定內容條件。請注意,如果內容與情境條件都留空,一律會觸發規則。
如果只符合其中一項條件,會觸發規則嗎?
不會。只有在「同時」符合內容和情境條件時,系統才會觸發規則。
為什麼我會看到記錄事件指明資料遺失防護規則並未強制執行?
資料遺失防護和情境感知存取權都必須依賴背景服務,而這些服務可能會定期中斷。如果在強制執行規則時發生服務中斷,系統就不會強制執行任何規則。如果發生這種情況,規則記錄事件和 Chrome 記錄事件中都會記錄相關資訊。
如果「未」安裝端點驗證,情境條件的運作方式為何?
如果是與裝置相關的屬性,系統會將情境條件視為相符,並強制執行最嚴格的結果。IP 位址和區域等非裝置相關屬性則不會有所變動。
可以在安全調查工具中,查看已觸發規則的存取層級資訊嗎?
可以。如要查看存取層級資訊,請在搜尋結果的「存取層級」欄中,搜尋「規則記錄事件」或「Chrome 記錄事件」。
使用者修復功能可以用於規則中的情境條件嗎?
不可以,這些流程目前尚未提供使用者修復功能。
相關主題
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。