使用 BeyondCorp Threat and Data Protection 將資料遺失防護功能整合至 Chrome

BeyondCorp 在 Chrome 中整合資料遺失防護功能

只有購買 BeyondCorp Enterprise 的客戶能使用 BeyondCorp Threat and Data Protection 功能。

BeyondCorp Threat and Data Protection 可以將資料遺失防護 (DLP) 功能整合至 Chrome,用來偵測使用者在 Chrome 中的操作是否涉及機密資料,包括是否上傳及下載含有機密資料的檔案,以及是否將含有機密資料的內容貼上或拖曳至 Chrome。

這項整合功能可讓您控管 Chrome 使用者分享的資料類型 (例如身分證字號或信用卡號碼),目前僅適用於 Windows、Mac、Linux 和 Chrome 作業系統上的 Chrome 瀏覽器,暫不支援其他平台。

BeyondCorp 和資料遺失防護功能

將資料遺失防護功能與 Chrome 整合既是 BeyondCorp 的其中一項功能,也是 Cloud Platform 安全防護的一環。如果想設定資料遺失防護的整合作業,就要使用 Google Workspace 功能。

BeyondCorp 的用途如下:

  • 使用 Chrome 管理功能
  • 設定 Chrome 連接器
  • 在 Google Workspace 安全性設定中配置資料遺失防護規則 (請參閱下文)
  • 在 Chrome 產生安全事件 (例如偵測到惡意軟體或機密資料、網路詐騙或社交工程,或是重複使用密碼的情形) 時接收快訊及展開調查

如需 BeyondCorp 的詳細導入資訊,請參閱透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者

BeyondCorp 資料遺失防護的設定步驟

如要導入並使用整套 BeyondCorp 資料遺失防護措施,請務必完成以下步驟:

資料遺失防護規則建立完畢後,當使用者上傳或下載資料,或是將資料複製並貼到瀏覽器中,就可能會觸發事件。對此,您可以採取以下行動:

支援 BeyondCorp 與 Chrome 整合的資料遺失防護規則範例

資料遺失防護功能與 BeyondCorp 整合 - 資料移轉規則範例

以下舉例說明如何根據網址封鎖檔案、針對含有多個地址的下載作業發出警告、禁止特定網址類別的上傳作業,以及根據檔案大小封鎖下載作業。

範例 1:禁止從 drive.google.com 下載檔案

本例示範的是該如何運用規則設定禁止下載檔案,具體情況則是禁止從 drive.google.com 執行下載作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址
    2. 掃描項目:包含文字字串
    3. 要比對的內容:googleusercontent.com
    重要事項:您必須啟用第三方 Cookie,藉此在下載 Google 雲端硬碟資料時提升瀏覽器安全性,並確保只有您可以下載自己的資料。Google 雲端硬碟使用「googleusercontent.com」這個 Google 網域,但如要傳送檔案並進一步強化安全性,雲端硬碟會將視為第三方的網域。
     
  10. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 2:在 Chrome 執行含有超過 30 個電子郵件地址的下載作業時發出警告

本例示範的是該如何運用規則設定,在符合特定條件的情況下觸發使用者警告,具體情況則是在使用者嘗試一次下載超過 30 個電子郵件地址時,對他們發出警告。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome OS 的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:所有內容
    2. 掃描類型:與預先定義的資料類型相符
    3. 資料類型:全域 - 電子郵件地址
    4. 可能性門檻:中等
    5. 不重複配對數量下限 - 30
    6. 相符項目數下限 - 30
  10. 按一下「繼續」。在「動作」部分中,選取「Chrome」下方的「允許共用並顯示警告」。這會對違反規則的使用者傳送警告,但使用者可以忽視警告繼續操作,而一旦他們這麼做,這個動作便會記錄在規則稽核記錄中。
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 3:禁止將檔案上傳至社群媒體網站

本例示範的是該如何運用規則設定,禁止將上傳檔案至特定類型的網站。本例中,如果使用者嘗試將檔案上傳到 Facebook 等社群媒體網站,系統會封鎖上傳作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下「繼續」
  7. 在「應用程式」中,針對 Chrome 選取「已上傳檔案」

    注意:對於「已上傳檔案」和「已貼上內容」這兩項觸發條件,系統會根據為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策中指定的「延後上傳檔案」設定決定封鎖行為。如果「延後上傳檔案」設定為「允許立即上傳」,檔案就會在掃描期間上傳。如要防止使用者上傳尚未完成掃描的檔案或內容,請將「延後上傳檔案」設定調整為「分析完成後再上傳檔案」

  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址類別
    2. 選取類別:「網路社群」接下來「社群網路」。
  10. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 4:禁止下載大於 10 KB 的圖片檔

本例示範的是該如何運用規則設定,依據檔案類型和大小來禁止下載檔案,在本例中,如果使用者嘗試下載超過 10 KB 的圖片檔,系統就會封鎖下載作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]
  7. 在「應用程式」中,針對 Chrome 選取「已下載檔案」
  8. 按一下 [繼續]
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:檔案大小。
    2. 掃描項目:大於
    3. 輸入檔案大小 (以位元組為單位):10,000
  10. 按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:檔案類型。
    2. 掃描項目:符合系統檔案類別
    3. 系統檔案類別:圖片

    如要進一步瞭解各系統檔案類別中包含的 MIME 類型,請參閱這個網頁

  11. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  12. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  13. 按一下「繼續」 查看規則詳情。
  14. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  15. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

資料遺失防護功能與 BeyondCorp 整合 - 網址導覽規則範例

在這些範例中,系統會禁止使用者前往某些網站,包括特定網址類別中所列網站,以及您建立網址自訂清單中的網站。

範例 1:當使用 Chrome 造訪符合「遊戲/賭博」網址類別的網站時,顯示警告訊息

本例示範如何使用規則設定,在使用者嘗試造訪含有賭博內容的網站時觸發規則,向使用者傳送警告。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下「繼續」
  7. 在「應用程式」中,針對 Chrome,選取「造訪過的網址」
  8. 按一下「繼續」
  9. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址類別
    2. 選取類別:遊戲/賭博
  10. 按一下「繼續」。在「動作」部分中,選取「Chrome」下方的「允許共用並顯示警告」。這會對觸發規則的使用者傳送警告,但使用者可以忽視警告並繼續操作,而一旦他們這麼做,這個動作便會記錄在 Chrome 記錄中。
  11. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  12. 按一下「繼續」 查看規則詳情。
  13. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  14. 按一下「建立」

注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。測試新規則或修改規則前,請等待大約 5 分鐘。

範例 2:禁止使用 Chrome 查看自訂網址清單

本例示範的是如何使用規則設定,防止使用者前往自訂清單中所列的網址。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」接下來「調查工具」接下來「規則」接下來「查看中繼資料和屬性」

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 "" 接下來 ""「安全性」接下來「存取權與資料控管」接下來「資料保護」
  3. 建立字詞清單自訂偵測工具,並加入要封鎖的網址清單 (以半形逗號分隔)。例如「example.com,example2.com」。如需具體操作說明,請參閱「建立自訂偵測工具」一文。
  4. 按一下「管理規則」,然後依序點選「新增規則」接下來「建立新規則」。
  5. 新增規則的名稱和說明。
  6. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  7. 按一下「繼續」
  8. 在「應用程式」中,針對 Chrome,選取「造訪過的網址」
  9. 按一下「繼續」
  10. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址
    2. 掃描項目:符合字詞清單中的字詞
    3. 字詞清單名稱:您在步驟 3 中建立的字詞清單名稱。
    4. 比對模式:比對任何字詞
    5. 偵測到任何字詞的最低總次數:[1]
  11. 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」
  12. (選用) 在「快訊」部分中:
    • 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
    • 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
  13. 按一下「繼續」 查看規則詳情。
  14. 選擇規則的狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」接下來「存取權與資料控管」接下來「資料保護」接下來「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  15. 按一下「建立」

注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。測試新規則或修改規則前,請等待大約 5 分鐘。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
true
搜尋說明中心
true
true
true
true
true
73010