Google Workspace 管理員

使用 BeyondCorp Threat and Data Protection 將資料遺失防護功能整合至 Chrome

BeyondCorp 在 Chrome 中整合資料遺失防護功能

只有購買 BeyondCorp Enterprise 的客戶能使用 BeyondCorp Threat and Data Protection 功能。

BeyondCorp Threat and Data Protection 可以將資料遺失防護 (DLP) 功能整合至 Chrome,用來偵測使用者在 Chrome 中的操作是否涉及機密資料,包括是否上傳及下載含有機密資料的檔案,以及是否將含有機密資料的內容貼上或拖曳至 Chrome。

這項整合功能可讓您控管 Chrome 使用者分享的資料類型 (例如身分證字號或信用卡號碼),目前僅適用於 Windows、Mac、Linux 和 Chrome 作業系統上的 Chrome 瀏覽器,暫不支援其他平台。

BeyondCorp 和資料遺失防護功能

將資料遺失防護功能與 Chrome 整合既是 BeyondCorp 的其中一項功能,也是 Cloud Platform 安全防護的一環。如果想設定資料遺失防護的整合作業,就要使用 Google Workspace 功能。

BeyondCorp 的用途如下:

  • 使用 Chrome 管理功能
  • 設定 Chrome 連接器
  • 在 Google Workspace 安全性設定中配置資料遺失防護規則 (請參閱下文)
  • 在 Chrome 產生安全事件 (例如偵測到惡意軟體或機密資料、網路詐騙或社交工程,或是重複使用密碼的情形) 時接收快訊及展開調查

如需 BeyondCorp 的詳細導入資訊,請參閱透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者

BeyondCorp 資料遺失防護的設定步驟

如要導入並使用整套 BeyondCorp 資料遺失防護措施,請務必完成以下步驟:

資料遺失防護規則建立完畢後,當使用者上傳或下載資料,或是將資料複製並貼到瀏覽器中,就可能會觸發事件。對此,您可以採取以下行動:

支援 BeyondCorp 與 Chrome 整合的資料遺失防護規則範例

資料遺失防護功能與 BeyondCorp 整合 - 規則範例

以下規則範例分別介紹了該如何禁止下載檔案、針對含有多個地址的下載作業發出警告,以及禁止在 Gmail 執行含有多個地址的上傳作業。這些範例中使用的欄位類型是「網址」

範例 1:禁止從 drive.google.com 下載檔案

本例示範的是該如何運用規則設定禁止下載檔案,具體情況則是禁止從 drive.google.com 執行下載作業。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往 [安全中心] 接下來 [調查工具] 接下來 [規則] 接下來 [查看中繼資料和屬性]

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [資料保護]。

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 按一下 [管理規則],然後依序點選 [新增規則] 接下來 [建立新規則]。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇 [套用至 <網域名稱> 全網域],或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]。在「觸發條件」底下,針對 Chrome 選取 [已下載檔案]
  7. 在「條件」部分中,按一下 [新增條件] 並選取下列值:
    1. 欄位 - 網址
    2. - 包含
    3. 比對內容 - drive.google.com
  8. 按一下 [繼續]。在「動作」部分,選取「Chrome」下方的 [封鎖內容]
  9. 按一下 [繼續] 查看規則詳情。
  10. 按一下 [建立] 並選擇下列其中一個選項:
    1. 有效:您的規則會立即執行。
    2. 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往 [安全性] 接下來 [資料保護] 接下來 [管理規則],按一下規則的 [無效] 狀態,然後選取 [有效]。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  11. 按一下 [完成]。
    系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。
範例 2:在 Chrome 執行含有超過 30 個電子郵件地址的下載作業時發出警告

本例示範的是該如何運用規則設定,在符合特定條件的情況下觸發使用者警告,具體情況則是在使用者嘗試一次下載超過 30 個電子郵件地址時,對他們發出警告。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往 [安全中心] 接下來 [調查工具] 接下來 [規則] 接下來 [查看中繼資料和屬性]

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [資料保護]。

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 按一下 [管理規則],然後依序點選 [新增規則] 接下來 [建立新規則]。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇 [套用至 <網域名稱> 全網域],或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]。在「觸發條件」底下,針對 Chrome 選取 [已下載檔案]
  7. 在「條件」部分中,按一下 [新增條件] 並選取下列值:
    1. 欄位 - 所有內容
    2. - 與預設偵測工具相符
    3. 預設偵測工具:全球 - 電子郵件地址
    4. 可能性門檻 - 或許可能
    5. 不重複配對數量下限 - 30
    6. 相符項目數下限 - 30
  8. 按一下 [繼續]。在「動作」部分,選取「Chrome」下方的 [警告使用者]。這會對違反規則的使用者傳送警告,但使用者可以忽視警告繼續操作,而一旦他們這麼做,這個動作便會記錄在規則稽核記錄中。
  9. 按一下 [繼續] 查看規則詳情。
  10. 按一下 [建立] 並選擇下列其中一個選項:
    1. 有效:您的規則會立即執行。
    2. 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往 [安全性] 接下來 [資料保護] 接下來 [管理規則],按一下規則的 [無效] 狀態,然後選取 [有效]。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  11. 按一下 [完成]。
    系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。
範例 3:禁止 Chrome 上傳含有超過 30 個電子郵件地址的檔案

本例示範的是該如何運用規則設定禁止上傳檔案,具體情況則是禁止使用者一次上傳超過 30 個電子郵件地址。

在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:

  • 「機構單位管理員」權限。
  • 「群組管理員」權限。
  • 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
  • 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往 [安全中心] 接下來 [調查工具] 接下來 [規則] 接下來 [查看中繼資料和屬性]

進一步瞭解管理員權限和如何建立自訂管理員角色

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [資料保護]。

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 按一下 [管理規則],然後依序點選 [新增規則] 接下來 [建立新規則]。
  4. 新增規則的名稱和說明。
  5. 在「範圍」部分中選擇 [套用至 <網域名稱> 全網域],或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。

    請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。

  6. 按一下 [繼續]。在「觸發條件」底下,針對 Chrome 選取 [已上傳檔案] 和 [已上傳內容]。

    對於「已上傳檔案」和「已上傳內容」這兩項觸發條件,系統會根據為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策中指定的「延後上傳檔案」設定決定封鎖行為。如果「延後上傳檔案」設定為 [允許立即上傳],檔案就會在掃描期間上傳。如要防止使用者上傳尚未完成掃描的檔案或內容,請將「延後上傳檔案」設定調整為 [分析完成後再上傳檔案]

  7. 在「條件」部分中,按一下 [新增條件] 並選取下列值:
    1. 欄位 - 所有內容
    2. - 與預設偵測工具相符
    3. 預設偵測工具:全球 - 電子郵件地址
    4. 可能性門檻 - 或許可能
    5. 不重複配對數量下限 - 30
    6. 相符項目數下限 - 30
    7. 按一下 [新增條件]
    8. 欄位 - 網址
    9. - 包含
    10. 要比對的內容:mail.google.com
  8. 按一下 [繼續]。在「動作」部分,選取「Chrome」下方的 [封鎖內容]
  9. 按一下 [繼續] 查看規則詳情。
  10. 按一下 [建立] 並選擇下列其中一個選項:
    1. 有效:您的規則會立即執行。
    2. 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往 [安全性] 接下來 [資料保護] 接下來 [管理規則],按一下規則的 [無效] 狀態,然後選取 [有效]。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  11. 按一下 [完成]。
    系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題

true
' data-mime-type=
立即開始 14 天免費試用

享盡公司專用電子郵件帳戶、線上儲存空間、共用日曆、視訊會議等好處。立即開始免費試用 G Suite

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
搜尋說明中心
true
73010
false