使用 Chrome Enterprise Premium 整合資料遺失防護功能與 Chrome

Chrome Enterprise 進階版將資料遺失防護功能整合至 Chrome

只有購買 Chrome Enterprise Premium 的客戶才能使用 Chrome Enterprise Premium threat and data protection 功能。

Chrome Enterprise Premium threat and data protection 可以將資料遺失防護 (DLP) 功能整合至 Chrome,用來偵測使用者在 Chrome 中的操作是否涉及機密資料,包括是否上傳及下載含有機密資料的檔案,以及是否將含有機密資料的內容貼上或拖曳至 Chrome。

這項整合功能可讓您控管 Chrome 使用者分享的資料類型 (例如身分證字號或信用卡號碼),目前僅適用於 Windows、Mac、Linux 和 Chrome 作業系統上的 Chrome 瀏覽器,暫不支援其他平台。

Chrome Enterprise Premium 和資料遺失防護

將資料遺失防護功能與 Chrome 整合既是 Chrome Enterprise Premium 的其中一項功能,也是 Cloud Platform 安全防護的一環。如果想設定資料遺失防護的整合作業,就要使用 Google Workspace 功能。

Chrome Enterprise Premium 包含:

  • 使用 Chrome 管理功能
  • 設定 Chrome 連接器
  • 在 Google Workspace 安全性設定中配置資料遺失防護規則 (請參閱下文)
  • 在 Chrome 產生安全事件 (例如偵測到惡意軟體或機密資料、網路詐騙或社交工程,或是重複使用密碼的情形) 時接收快訊及展開調查

如要進一步瞭解如何導入 Chrome Enterprise Premium,請參閱「使用 Chrome Enterprise Premium threat and data protection 保護 Chrome 使用者」。

為 Chrome Enterprise Premium 設定資料遺失防護的步驟

如要導入並使用整套 Chrome Enterprise Premium 資料遺失防護措施,請務必完成以下步驟:

資料遺失防護規則建立完畢後,當使用者上傳或下載資料,或是將資料複製並貼到瀏覽器中,就可能會觸發事件。對此,您可以採取以下行動:

支援 Chrome Enterprise Premium 與 Chrome 整合的資料遺失防護規則範例

資料遺失防護功能與 Chrome Enterprise Premium 整合 - 資料移轉規則範例

以下舉例說明如何根據網址封鎖檔案、針對含有多個地址的下載作業發出警告、禁止特定網址類別的上傳作業,以及根據檔案大小封鎖下載作業。

範例 1:禁止從 drive.google.com 下載檔案

本例示範的是該如何運用規則設定禁止下載檔案,具體情況則是禁止從 drive.google.com 執行下載作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址
    2. 掃描項目:包含文字字串
    3. 要比對的內容:googleusercontent.com
    重要事項:您必須啟用第三方 Cookie,藉此在下載 Google 雲端硬碟資料時提升瀏覽器安全性,並確保只有您可以下載自己的資料。Google 雲端硬碟使用「googleusercontent.com」這個 Google 網域,但如要傳送檔案並進一步強化安全性,雲端硬碟會將視為第三方的網域。
     
  10. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 2:在 Chrome 執行含有超過 30 個電子郵件地址的下載作業時發出警告

本例示範的是該如何運用規則設定,在符合特定條件的情況下觸發使用者警告,具體情況則是在使用者嘗試一次下載超過 30 個電子郵件地址時,對他們發出警告。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome OS 的使用者。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:所有內容
    2. 掃描類型:與預先定義的資料類型相符
    3. 資料類型:全域 - 電子郵件地址
    4. 可能性門檻:中等
    5. 不重複配對數量下限 - 30
    6. 相符項目數下限 - 30
  10. 按一下「繼續」。在「動作」部分,選取 Chrome 下方的「允許共用並顯示警告」。這會對違反規則的使用者傳送警告,但使用者可以忽視警告繼續操作,而一旦他們這麼做,這個動作便會記錄在規則稽核記錄中。
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

示例 3:禁止將檔案上傳至社群媒體網站

本例示範的是該如何運用規則設定,禁止將上傳檔案至特定類型的網站。本例中,如果使用者嘗試將檔案上傳到 Facebook 等社群媒體網站,系統會封鎖上傳作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已上傳檔案」

    注意:對於「已上傳檔案」和「已貼上內容」這兩項觸發條件,系統會根據為 Chrome Enterprise Premium 設定 Chrome Enterprise 連接器政策中指定的「延後上傳檔案」設定決定封鎖行為。如果「延後上傳檔案」設定為「允許立即上傳」,檔案就會在掃描期間上傳。如要防止使用者上傳尚未完成掃描的檔案或內容,請將「延後上傳檔案」設定調整為「分析完成後再上傳檔案」

  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址類別
    2. 選取類別:「網路社群」接下來「社群網路」。
  10. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 4:禁止下載大於 10 KB 的圖片檔

本例示範的是該如何運用規則設定,依據檔案類型和大小來禁止下載檔案,本例中如果使用者嘗試下載大於 10 KB 的圖片檔,系統會封鎖下載作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:檔案大小。
    2. 掃描項目:大於
    3. 輸入檔案大小 (以位元組為單位):10,000
  10. 按一下「新增條件」並選取下列值:
    1. 掃描內容類型:檔案類型。
    2. 掃描項目:符合系統檔案類別
    3. 系統檔案類別:映像檔

    如要進一步瞭解各系統檔案類別中包含的 MIME 類型,請參閱這個網頁

  11. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  12. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  13. 按一下「繼續」 查看規則詳情。
  14. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  15. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

資料遺失防護功能與 Chrome Enterprise Premium 整合 - 網址導覽規則範例

在這些範例中,系統會禁止使用者前往某些網站,包括特定網址類別中所列網站,以及您建立網址自訂清單中的網站。

範例 1:當使用 Chrome 造訪符合「遊戲/賭博」網址類別的網站時,顯示警告訊息

本例示範如何使用規則設定,在使用者嘗試造訪含有賭博內容的網站時觸發規則,向使用者傳送警告。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome,選取「造訪過的網址」
  8. 按一下「繼續」
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址類別
    2. 選取類別:遊戲/賭博
  10. 按一下「繼續」。在「動作」部分,選取 Chrome 下方的「允許共用並顯示警告」。這會對觸發規則的使用者傳送警告,但使用者可以忽視警告並繼續操作,而一旦他們這麼做,這個動作便會記錄在 Chrome 記錄中。
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「建立」

注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。

範例 2:禁止使用 Chrome 查看自訂網址清單

本例示範的是如何使用規則設定,防止使用者前往自訂清單中所列的網址。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 建立字詞清單自訂偵測工具,並加入要封鎖的網址清單 (以半形逗號分隔)。例如「example.com,example2.com」。如需具體操作說明,請參閱「建立自訂偵測工具」一文。
  4. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  5. 新增規則的名稱和說明。
  6. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 Chrome Enterprise Premium 的資料遺失防護規則時,請特別留意這點。

  7. 按一下 [繼續]
  8. 在「應用程式」中,針對 Chrome,選取「造訪過的網址」
  9. 按一下「繼續」
  10. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址
    2. 掃描項目:符合字詞清單中的字詞
    3. 字詞清單名稱:您在步驟 3 建立的字詞清單名稱。
    4. 比對模式:比對任何字詞
    5. 偵測到任何字詞的最低總次數:[1]
  11. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  12. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  13. 按一下「繼續」 查看規則詳情。
  14. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  15. 按一下「建立」

注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。

相關主題

這對您有幫助嗎?

我們應如何改進呢?
搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單