Wenn Sie genauer steuern möchten, welche Nutzer und Geräte vertrauliche Inhalte übertragen können, haben Sie die Möglichkeit, DLP-Regeln mit Bedingungen für kontextsensitiven Zugriff zu kombinieren, beispielsweise dem Nutzerstandort, dem Sicherheitsstatus des Geräts (verwaltet, verschlüsselt) und der IP-Adresse. Wenn Sie einer DLP-Regel eine Richtlinie für kontextsensitiven Zugriff hinzufügen, wird die Regel nur erzwungen, wenn die Kontextbedingungen erfüllt sind.
Sie können beispielsweise eine DLP-Regel erstellen, mit der Downloads sensibler Inhalte nur in folgenden Fällen blockiert werden:
- Nutzer befinden sich außerhalb des Unternehmensnetzwerks
- Nutzer melden sich aus bestimmten Risikoländern an
- Nutzer verwenden Geräte, die nicht vom Administrator genehmigt wurden
Hinweis: Die Erzwingung von DLP-Regeln mit Kontextbedingungen ist derzeit in Chrome auf folgende Vorgänge beschränkt: Dateiupload (z. B. Anhängen einer Datei), Upload von Webinhalten (eingefügter Inhalt), Download und Seitendruck.
Voraussetzungen
Version erforderlich | BeyondCorp Enterprise Standard oder BeyondCorp Enterprise Essentials |
---|---|
Chrome-Mindestversion | Chrome 105 |
Endpunktprüfung | Muss aktiviert sein, um gerätebasierte Kontextbedingungen anzuwenden. (Nicht für gerätebasierte Attribute wie IP-Adresse und Region erforderlich.) |
Admin-Berechtigungen | So erstellen Sie Zugriffsebenen: „Dienste“ > „Datensicherheit“ > „Zugriffsebenen verwalten“ |
So verwenden Sie Zugriffsebenen in DLP-Regeln: „Dienste“ > „Datensicherheit“ > „Zugriffsebenen verwalten“ oder „Dienste“ > „Datensicherheit“ > „Regelverwaltung“ |
Chrome für die Erzwingung von Regeln einrichten
Wenn Sie DLP-Funktionen in Chrome einbinden möchten, müssen Sie Chrome Enterprise-Connector-Richtlinien einrichten.
Zugriffsebenen erstellen
- Ihre vorhandenen Zugriffsebenen können Sie unter „Sicherheit“ > „Zugriff und Datenkontrolle“ > „Kontextsensitiver Zugriff“ > „Zugriffsebenen“ aufrufen.
- Sie können die Zugriffsebene direkt vor dem Erstellen der DLP-Regel oder während der Regelerstellung festlegen. Wenn Sie sie vor der DLP-Regel erstellen, finden Sie eine entsprechende Anleitung unter Zugriffsebenen erstellen. In den folgenden Beispielen erstellen Sie die Zugriffsebene während der Erstellung der DLP-Regel.
- Sie können einer DLP-Regel eine einzelne Zugriffsebene zuweisen. Wenn Sie komplexe Bedingungen mit mehreren Zugriffsebenen erstellen möchten, verwenden Sie den erweiterten Modus.
Beispiele für DLP-Regeln mit kontextsensitivem Zugriff
Die folgenden Beispiele zeigen, wie Sie DLP-Regeln mit kontextsensitiven Zugriffsebenen kombinieren können, um die Regelerzwingung je nach IP-Adresse, Standort oder Gerätestatus eines Nutzers auszuführen.
Diese Beispiele enthalten die Schritte, die zum Erstellen von Zugriffsebenen während der Erstellung einer DLP-Regel erforderlich sind. Wenn Sie bereits Zugriffsebenen erstellt haben, können Sie diese Schritte beim Erstellen der Regel weglassen.
Beispiel 1: Herunterladen sensibler Inhalte auf einem Gerät außerhalb des Unternehmensnetzwerks blockieren-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
- Klicken Sie auf RegelnRegel erstellenDatenschutz.
- Geben Sie einen Namen und eine Beschreibung für die Regel ein.
- Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gelten soll, und schließen Sie sie ein oder aus. Wenn es einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
- Klicken Sie auf Weiter.
- Wählen Sie in Apps unter Chrome das Kästchen Datei heruntergeladen aus.
Hinweis: Kontextbedingungen können derzeit nur zu Chrome-Triggern hinzugefügt werden. Wenn Sie andere Trigger (Drive, Chat) auswählen, können Sie im nächsten Schritt keine Kontextbedingungen hinzufügen.
- Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen.
- Wählen Sie unter Scantyp die Option Alle Inhalte aus.
- Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und dann Attribute aus. Weitere Informationen zu verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
- Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen, um die vorhandenen Zugriffsebenen aufzurufen.
- Klicken Sie auf Neue Zugriffsebene erstellen.
- Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein.
- Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
- Wählen Sie Mindestens ein Attribut nicht erfüllt aus.
- Klicken Sie auf Attribut auswählenIP-Subnetz und geben Sie dann die IP-Adresse Ihres Unternehmensnetzwerks ein. Dies kann eine IPv4- oder IPv6-Adresse oder ein Routing-Präfix in CIDR-Blöcken sein.
- Private IP-Adressen (einschließlich der Heimnetzwerke von Nutzern) werden nicht unterstützt.
- Statische IP-Adressen werden dagegen unterstützt.
- Wenn Sie eine dynamische IP-Adresse verwenden möchten, müssen Sie ein statisches IP-Subnetz für die Zugriffsebene definieren. Wenn Sie den Bereich der dynamischen IP-Adresse kennen und die in der Zugriffsebene definierte statische IP-Adresse in diesem Bereich liegt, ist die Kontextbedingung erfüllt. Wenn sich die dynamische IP-Adresse nicht im definierten statischen IP-Subnetz befindet, ist die Kontextbedingung nicht erfüllt.
- Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene wird der Liste hinzugefügt und die zugehörigen Attribute werden rechts angezeigt.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Seite Aktionen als Chrome-Aktion die Option Blockieren aus.
Hinweis: Die Aktion wird nur angewendet, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.
- Optional: Wählen Sie einen Schweregrad der Benachrichtigung (niedrig, mittel oder hoch) aus und geben Sie an, ob Warnungen und E-Mail-Benachrichtigungen gesendet werden sollen.
- Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
- Wählen Sie einen Status für die Regel aus:
- Aktiv: Ihre Regel wird sofort ausgeführt.
- Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter „Sicherheit“ > „Zugriff und Datenkontrolle“ > „Datenschutz“ > „Regeln verwalten“. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie „Aktiv“ aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
- Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
- Klicken Sie auf RegelnRegel erstellenDatenschutz.
- Geben Sie einen Namen und eine Beschreibung für die Regel ein.
- Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gelten soll, und schließen Sie sie ein oder aus. Wenn es einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
- Klicken Sie auf Weiter.
- Wählen Sie in Apps unter Chrome das Kästchen Datei heruntergeladen aus.
Hinweis: Kontextbedingungen können derzeit nur zu Chrome-Triggern hinzugefügt werden. Wenn Sie andere Trigger (Drive, Chat) auswählen, können Sie im nächsten Schritt keine Kontextbedingungen hinzufügen.
- Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen.
- Wählen Sie unter Scantyp die Option Alle Inhalte aus.
- Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und dann Attribute aus. Weitere Informationen zu verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
- Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen, um die vorhandenen Zugriffsebenen aufzurufen.
- Klicken Sie auf Neue Zugriffsebene erstellen.
- Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein.
- Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
- Wählen Sie Alle Attribute erfüllt aus.
- Klicken Sie auf Attribut auswählenStandort und wählen Sie ein Land aus der Drop-down-Liste aus.
- Optional: Wenn Sie weitere Länder hinzufügen möchten, klicken Sie auf Bedingung hinzufügen und wiederholen Sie Schritt 16.
- Optional: Wenn Sie mehr als ein Land ausgewählt haben, setzen Sie die Ein-/Aus-Schaltfläche Mehrere Bedingungen verknüpfen mit (befindet sich über Bedingungen) auf ODER. Die DLP-Regel wird dann angewendet, wenn sich Nutzer aus einem der ausgewählten Länder anmelden.
- Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene wird der Liste hinzugefügt und die zugehörigen Attribute werden rechts angezeigt.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Seite Aktionen als Chrome-Aktion die Option Blockieren aus.
Hinweis: Die Aktion wird nur angewendet, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.
- Optional: Wählen Sie einen Schweregrad der Benachrichtigung (niedrig, mittel oder hoch) aus und geben Sie an, ob Warnungen und E-Mail-Benachrichtigungen gesendet werden sollen.
- Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
- Wählen Sie einen Status für die Regel aus:
- Aktiv: Ihre Regel wird sofort ausgeführt.
- Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter „Sicherheit“ > „Zugriff und Datenkontrolle“ > „Datenschutz“ > „Regeln verwalten“. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie „Aktiv“ aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
- Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
- Klicken Sie auf RegelnRegel erstellenDatenschutz.
- Geben Sie einen Namen und eine Beschreibung für die Regel ein.
- Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gelten soll, und schließen Sie sie ein oder aus. Wenn es einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
- Klicken Sie auf Weiter.
- Wählen Sie in Apps unter Chrome das Kästchen Datei heruntergeladen aus.
Hinweis: Kontextbedingungen können derzeit nur zu Chrome-Triggern hinzugefügt werden. Wenn Sie andere Trigger (Drive, Chat) auswählen, können Sie im nächsten Schritt keine Kontextbedingungen hinzufügen.
- Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen.
- Wählen Sie unter Scantyp die Option Alle Inhalte aus.
- Wählen Sie unter Wonach soll gesucht werden? einen DLP-Scantyp und dann Attribute aus. Weitere Informationen zu verfügbaren Attributen finden Sie unter DLP-Regel erstellen.
- Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen, um die vorhandenen Zugriffsebenen aufzurufen.
- Klicken Sie auf Neue Zugriffsebene erstellen.
- Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein.
- Klicken Sie unter Kontextbedingungen auf Bedingung hinzufügen.
- Wählen Sie Mindestens ein Attribut nicht erfüllt aus.
- Klicken Sie auf Attribut auswählenGerät und wählen Sie dann in der Drop-down-Liste Vom Administrator genehmigt aus.
- Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene wird der Liste hinzugefügt und die zugehörigen Attribute werden rechts angezeigt.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Seite Aktionen als Chrome-Aktion die Option Blockieren aus.
Hinweis: Die Aktion wird nur angewendet, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.
- Optional: Wählen Sie einen Schweregrad der Benachrichtigung (niedrig, mittel oder hoch) aus und geben Sie an, ob Warnungen und E-Mail-Benachrichtigungen gesendet werden sollen.
- Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
- Wählen Sie einen Status für die Regel aus:
- Aktiv: Ihre Regel wird sofort ausgeführt.
- Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter „Sicherheit“ > „Zugriff und Datenkontrolle“ > „Datenschutz“ > „Regeln verwalten“. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie „Aktiv“ aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
- Klicken Sie auf Erstellen.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
In diesem Beispiel wird der Nutzer blockiert, wenn er versucht, die Salesforce Admin-Konsole (salesforce.com/admin) mit einem nicht verwalteten Gerät aufzurufen. Nutzer können weiterhin auf andere Teile der Salesforce-Anwendung zugreifen.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
- Klicken Sie auf RegelnRegel erstellenDatenschutz.
- Geben Sie einen Namen und eine Beschreibung für die Regel ein.
- Wählen Sie im Abschnitt Umfang die Option Alle in <domain.name> aus oder suchen Sie nach den Organisationseinheiten oder Gruppen, für die die Regel gelten soll, und schließen Sie sie ein oder aus. Wenn es einen Konflikt zwischen Organisationseinheiten und Gruppen gibt, hat die Gruppe Vorrang.
- Klicken Sie auf Weiter.
- Klicken Sie dazu in Apps unter Chrome auf das Kästchen URL besucht.
Hinweis: Kontextbedingungen können derzeit nur zu Chrome-Triggern hinzugefügt werden. Wenn Sie andere Trigger (Drive, Chat) auswählen, können Sie im nächsten Schritt keine Kontextbedingungen hinzufügen.
- Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Bedingungen auf Bedingung hinzufügen und wählen Sie die folgenden Werte aus:
- Zu scannender Inhaltstyp: URL
- Wonach soll gesucht werden: Enthält Textstring
- Inhaltsabgleich: vertrieb.com/admin
- Klicken Sie im Bereich Kontextbedingungen auf Zugriffsebene auswählen, um die vorhandenen Zugriffsebenen aufzurufen.
- Klicken Sie auf Neue Zugriffsebene erstellen.
- Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein.
- Klicken Sie unter Kontextbedingungen auf den Tab Erweitert.
- Geben Sie Folgendes in das Textfeld ein:
device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
- Klicken Sie auf Erstellen. Sie kehren zur Seite Regel erstellen zurück. Die neue Zugriffsebene wird der Liste hinzugefügt und die zugehörigen Attribute werden rechts angezeigt.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Seite Aktionen als Chrome-Aktion die Option Blockieren aus.
Hinweis: Die Aktion wird nur angewendet, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.
- Optional: Wählen Sie einen Schweregrad der Benachrichtigung (niedrig, mittel oder hoch) aus und geben Sie an, ob Warnungen und E-Mail-Benachrichtigungen gesendet werden sollen.
- Klicken Sie auf Weiter, um sich die Regeldetails anzusehen.
- Wählen Sie einen Status für die Regel aus:
- Aktiv: Ihre Regel wird sofort ausgeführt.
- Inaktiv: Ihre Regel ist vorhanden, wird jedoch nicht sofort ausgeführt. So haben Sie Zeit, sie zu prüfen und vor der Implementierung mit den Teammitgliedern zu besprechen. Aktivieren Sie die Regel dann später unter „Sicherheit“ > „Zugriff und Datenkontrolle“ > „Datenschutz“ > „Regeln verwalten“. Klicken Sie auf den Status „Inaktiv“ für die Regel und wählen Sie „Aktiv“ aus. Die Regel wird ausgeführt, nachdem Sie sie aktiviert haben, und DLP führt Scans auf sensible Inhalte durch.
- Klicken Sie auf Erstellen.
Hinweis: Wenn eine von Ihnen gefilterte URL kürzlich aufgerufen wurde, wird sie mehrere Minuten lang im Cache gespeichert. Der Cache kann erst dann nach einer neuen (oder geänderten) Regel gefiltert werden, wenn der Cache dieser URL gelöscht wurde. Warten Sie etwa fünf Minuten, bevor Sie eine neue oder geänderte Regel testen.
FAQs
Wie verhalten sich DLP-Regeln und kontextsensitiver Zugriff in älteren Chrome-Versionen?In vorherigen Chrome-Versionen werden Kontextbedingungen ignoriert. Regeln verhalten sich so, als ob nur Inhaltsbedingungen festgelegt sind.
Nein. Im Inkognitomodus gelten keine Regeln. Administratoren können Anmeldungen in Workspace- oder SaaS-Anwendungen im Chrome-Inkognitomodus verhindern, indem sie den kontextsensitiven Zugriff bei der Anmeldung erzwingen.
Wenn der verwaltete Browser und das verwaltete Nutzerprofil zum selben Unternehmen gehören, werden sowohl DLP-Regeln auf Browserebene als auch auf Nutzerebene angewendet.
Wenn der verwaltete Browser und das verwaltete Nutzerprofil zu unterschiedlichen Unternehmen gehören, werden nur die DLP-Regeln auf Browserebene angewendet. Die Kontextbedingung wird immer als Übereinstimmung betrachtet und das strengste Ergebnis wird erzwungen. Dies hat keine Auswirkungen auf IP-basierte oder regionsbasierte Bedingungen.
Kontextsensitiver Zugriff in der Admin-Konsole unterstützt nicht alle von der Google Cloud Console unterstützten Attribute. Daher können alle grundlegenden Zugriffsebenen, die in der Google Cloud Console erstellt wurden und diese Attribute enthalten, in der Admin-Konsole zwar zugewiesen, jedoch dort nicht bearbeitet werden.
In der Admin-Konsole können Sie auf der Seite „Regeln“ von Google Cloud erstellte Zugriffsebenen zuweisen, aber keine Bedingungsdetails für Zugriffsebenen mit nicht unterstützten Attributen aufrufen.
- Sie benötigen die Administratorberechtigung „Dienste“ > „Datensicherheit“ > „Zugriffsebene verwalten“, um Kontextbedingungen beim Erstellen der DLP-Regel ansehen zu können.
- Die Karte „Kontextbedingungen“ wird nur angezeigt, wenn Sie beim Erstellen von Regeln Chrome-Trigger auswählen.
Wenn eine zugewiesene Zugriffsebene gelöscht wird, werden die Kontextbedingungen standardmäßig auf „true“ gesetzt und die Regel verhält sich wie eine reine Inhaltsregel. Beachten Sie, dass die Regel dann auf mehr Geräte/Anwendungsfälle angewendet wird als ursprünglich vorgesehen.
Nein. Die Auswertung der Zugriffsebene in Regeln ist unabhängig von den Einstellungen für kontextsensitiven Zugriff. Die Aktivierung und Zuweisung von kontextsensitivem Zugriff wirkt sich nicht auf Regeln aus.
Leere Bedingungen werden standardmäßig als „true“ ausgewertet. Das bedeutet, dass für eine Regel mit ausschließlich kontextsensitivem Zugriff die Inhaltsbedingungen leer bleiben können. Wenn sowohl die Inhalts- als auch die Kontextbedingungen leer sind, wird die Regel immer ausgelöst.
Nein. Die Regel wird nur ausgelöst, wenn die Inhalts- und die Kontextbedingungen erfüllt sind.
Für DLP und kontextsensitiven Zugriff sind Hintergrunddienste erforderlich, die regelmäßig unterbrochen werden können. Wenn während der Regelerzwingung eine Dienstunterbrechung auftritt, erfolgt keine Erzwingung. In diesem Fall wird ein Ereignis sowohl im Regelprotokoll als auch im Chrome-Protokoll erfasst.
Bei gerätebasierten Attributen werden die Kontextbedingungen als Übereinstimmung betrachtet und das strengste Ergebnis wird erzwungen. Bei nicht gerätebasierten Attributen wie IP-Adresse und Region ändert sich nichts.
Ja. Informationen zu Zugriffsebenen finden Sie unter Regelprotokollereignisse oder Chrome-Protokollereignisse in der Spalte „Zugriffsebene“ der Suchergebnisse.
Nein. Die Problembehebung durch Endnutzer ist in diesen Abläufen noch nicht verfügbar.
Weitere Informationen
DLP für Workspace verwenden, um Datenverluste zu verhindern
Informationen zum kontextsensitiven Zugriff
Mit BeyondCorp Threat and Data Protection den Schutz vor Datenverlust in Chrome einbinden