Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Combiner les règles de protection contre la perte de données avec des conditions d'accès contextuel

Pour avoir plus de contrôle sur les utilisateurs et les appareils qui peuvent transférer des contenus sensibles, vous pouvez combiner les règles de protection contre la perte de données avec des conditions d'accès contextuel telles que la position géographique de l'utilisateur, le niveau de sécurité de l'appareil (géré, chiffré) et l'adresse IP. Lorsque vous ajoutez des conditions d'accès contextuel à une règle de protection contre la perte de données, cette règle n'est appliquée que si les conditions de contexte sont remplies. 

Par exemple, vous pouvez créer une règle de protection contre la perte de données qui bloque le téléchargement de contenu sensible uniquement lorsque les utilisateurs :

  • se trouvent en dehors du réseau de l'entreprise ; 
  • se connectent depuis des pays spécifiques à risque ;
  • utilisent des appareils non approuvés par l'administrateur.

Vous pouvez combiner des règles de protection contre la perte de données à des conditions de contexte pour contrôler ces opérations:

Chrome : importation de fichiers (pièce jointe, par exemple), importation de contenu Web (contenu collé), téléchargement et impression de pages.

Drive (bêta) : copie, téléchargement et impression de fichiers Drive par les utilisateurs autorisés à les commenter ou à les lire.

Conditions requises

Édition Workspace
Chrome Enterprise Premium

(Obligatoire pour la protection contre la perte de données Chrome, mais pas pour Drive)
Version de Chrome

Chrome 105 ou version ultérieure

(Obligatoire pour la protection contre la perte de données Chrome, mais pas pour Drive)
Validation des points de terminaison Pour les ordinateurs, la validation des points de terminaison doit être activée pour appliquer des conditions de contexte basées sur l'appareil. (Facultatif pour les attributs non basés sur l'appareil, tels que l'adresse IP et la région.)
Gestion des appareils mobiles Vous devez appliquer la gestion de base ou avancée aux appareils mobiles.
Droits d'administrateur Pour créer des niveaux d'accès :
Services > Sécurité des données > Gestion des niveaux d'accès
Pour utiliser les niveaux d'accès dans les règles de protection contre la perte de données :
Services > Sécurité des données > Gestion des niveaux d'accès, ou
Services > Sécurité des données > Gestion des règles

Configurer Chrome pour l'application des règles

Pour intégrer les fonctionnalités de protection contre la perte de données avec Chrome, vous devez configurer des règles de connecteurs Chrome Enterprise.

Créer des niveaux d'accès

  • Accédez à Sécurité > Contrôle des accès et des données > Accès contextuel > Niveaux d'accès pour consulter vos niveaux d'accès existants.
  • Vous pouvez créer un niveau d'accès avant de créer une règle de protection contre la perte de données ou lors de la création de la règle. Si vous le créez avant la règle de protection contre la perte de données, consultez Créer des niveaux d'accès pour savoir comment procéder. Dans les exemples ci-dessous, vous définissez le niveau d'accès lors de la création de la règle de protection contre la perte de données.
  • Vous pouvez attribuer un niveau d'accès unique à une règle de protection contre la perte de données. Pour créer des conditions complexes avec plusieurs niveaux d'accès, utilisez le mode avancé.

Exemples de règles de protection contre la perte de données et d'accès contextuel

Les exemples suivants montrent comment combiner des règles de protection contre la perte de données avec des niveaux d'accès contextuel pour que l'application des règles dépende de l'adresse IP, de la position géographique ou de l'état de l'appareil de l'utilisateur.

Notez que ces exemples incluent les étapes nécessaires pour créer des niveaux d'accès lors de la création d'une règle de protection contre la perte de données. Si vous avez déjà créé des niveaux d'accès, vous pouvez omettre ces étapes lorsque vous créez la règle.

Exemple 1 : Bloquer le téléchargement de contenu sensible sur un appareil externe au réseau de l'entreprise (Chrome)
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Accédez à RèglespuisCréer une règlepuisProtection des données.
  3. Saisissez un nom et une description pour la règle.
  4. Dans la section Portée, sélectionnez Tous les utilisateurs de <nom.domaine> ou choisissez de rechercher et d'inclure ou d'exclure les unités organisationnelles ou groupes auxquels la règle s'applique. En cas de conflit entre des unités organisationnelles et des groupes concernant l'inclusion ou l'exclusion, le groupe est prioritaire.
  5. Cliquez sur Continuer.
  6. Dans Applications, sous Chrome, cochez Fichier téléchargé
  7. Cliquez sur Continuer.
  8. Dans la section Conditions, cliquez sur Ajouter une condition.
  9. Pour Type de contenu à analyser, sélectionnez Tous les contenus.
  10. Pour Éléments à rechercher, choisissez un type d'analyse de protection contre la perte de données, puis sélectionnez les attributs. Pour en savoir plus sur les attributs disponibles, consultez Créer une règle de protection contre la perte de données.
  11. Dans la section Conditions de contexte, cliquez sur Sélectionner un niveau d'accès pour afficher les niveaux d'accès existants.
  12. Cliquez sur Créer un niveau d'accès.
  13. Saisissez le nom et la description du nouveau niveau d'accès.
  14. Dans Conditions de contexte, cliquez sur Ajouter une condition.
  15. Sélectionnez Répond seulement à une partie des attributs.
  16. Cliquez sur Sélectionner un attribut puis Sous-réseau IP, puis saisissez l'adresse IP de votre réseau d'entreprise. Il s'agit d'une adresse IPv4 ou IPv6, ou d'un préfixe de routage dans la notation de bloc CIDR.
    • Les adresses IP privées ne sont pas acceptées (y compris les réseaux domestiques de l'utilisateur).
    • Les adresses IP statiques sont acceptées.
    • Pour utiliser une adresse IP dynamique, vous devez définir un sous-réseau IP statique pour le niveau d'accès. Si vous connaissez la plage de l'adresse IP dynamique et que l'adresse IP statique définie dans le niveau d'accès couvre cette plage, la condition de contexte est remplie. Si l'adresse IP dynamique ne se trouve pas dans le sous-réseau IP statique défini, la condition de contexte n'est pas remplie.
  17. Cliquez sur Créer. Vous revenez à la page Créer une règle. Votre nouveau niveau d'accès est ajouté à la liste, et ses attributs s'affichent à droite.
  18. Cliquez sur Continuer.
  19. Sur la page Actions, pour l'action Chrome, sélectionnez Bloquer.

    Remarque : L'action n'est appliquée que lorsque les conditions de contenu et les conditions de contexte sont remplies.

  20. (Facultatif) Choisissez le niveau de gravité de l'alerte (Faible, Moyenne ou Élevée) et indiquez si vous souhaitez envoyer une alerte et des notifications par e-mail.
  21. Cliquez sur Continuer pour consulter les détails de la règle.
  22.  Définissez l'état de la règle :
    • Actif : la règle s'exécute immédiatement.
    • Inactive : la règle existe, mais n'est pas en vigueur. Vous avez ainsi le temps d'examiner la règle et de la partager avec les membres de votre équipe avant de la mettre en œuvre. Activez la règle plus tard en accédant à "Sécurité", "Contrôle des accès et des données", puis "Protection des données" et enfin "Gérer les règles". Cliquez sur l'état Inactif de la règle, puis sélectionnez Actif. La règle s'exécute une fois que vous l'avez activée, et le système de protection contre la perte de données recherche le contenu sensible.
  23. Cliquez sur Créer.

Il peut s'écouler jusqu'à 24 heures avant que les modifications soient appliquées, mais ce délai est généralement plus court. En savoir plus

Exemple 2 : Bloquer le téléchargement de contenu sensible pour un utilisateur qui se connecte depuis des pays à risque spécifiques (Chrome)
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Accédez à RèglespuisCréer une règlepuisProtection des données.
  3. Saisissez un nom et une description pour la règle.
  4. Dans la section Portée, sélectionnez Tous les utilisateurs de <nom.domaine> ou choisissez de rechercher et d'inclure ou d'exclure les unités organisationnelles ou groupes auxquels la règle s'applique. En cas de conflit entre des unités organisationnelles et des groupes concernant l'inclusion ou l'exclusion, le groupe est prioritaire.
  5. Cliquez sur Continuer.
  6. Dans Applications, sous Chrome, cochez Fichier téléchargé
  7. Cliquez sur Continuer.
  8. Dans la section Conditions, cliquez sur Ajouter une condition.
  9. Pour Type de contenu à analyser, sélectionnez Tous les contenus.
  10. Pour Éléments à rechercher, choisissez un type d'analyse de protection contre la perte de données, puis sélectionnez les attributs. Pour en savoir plus sur les attributs disponibles, consultez Créer une règle de protection contre la perte de données.
  11. Dans la section Conditions de contexte, cliquez sur Sélectionner un niveau d'accès pour afficher les niveaux d'accès existants.
  12. Cliquez sur Créer un niveau d'accès.
  13. Saisissez le nom et la description du nouveau niveau d'accès.
  14. Dans Conditions de contexte, cliquez sur Ajouter une condition.
  15. Sélectionnez Répond à tous les attributs
  16. Cliquez sur Sélectionner un attributpuisLieu, puis sélectionnez un pays dans la liste déroulante.
  17. (Facultatif) Pour ajouter des pays, cliquez sur Ajouter une condition, puis répétez l'étape 16.
  18. (Facultatif) Si vous avez sélectionné plusieurs pays, définissez l'option Joindre plusieurs conditions avec (au-dessus de Conditions) sur OU. Cela signifie que la règle de protection contre la perte de données sera appliquée si les utilisateurs se connectent depuis un des pays sélectionnés.
  19. Cliquez sur Créer. Vous revenez à la page Créer une règle. Votre nouveau niveau d'accès est ajouté à la liste, et ses attributs s'affichent à droite.
  20. Cliquez sur Continuer.
  21. Sur la page Actions, pour l'action Chrome, sélectionnez Bloquer.

    Remarque : L'action n'est appliquée que lorsque les conditions de contenu et les conditions de contexte sont remplies.

  22. (Facultatif) Choisissez le niveau de gravité de l'alerte (Faible, Moyenne ou Élevée) et indiquez si vous souhaitez envoyer une alerte et des notifications par e-mail.
  23. Cliquez sur Continuer pour consulter les détails de la règle.
  24.  Définissez l'état de la règle :
    • Actif : la règle s'exécute immédiatement.
    • Inactive : la règle existe, mais n'est pas en vigueur. Vous avez ainsi le temps d'examiner la règle et de la partager avec les membres de votre équipe avant de la mettre en œuvre. Activez la règle plus tard en accédant à "Sécurité", "Contrôle des accès et des données", puis "Protection des données" et enfin "Gérer les règles". Cliquez sur l'état Inactif de la règle, puis sélectionnez Actif. La règle s'exécute une fois que vous l'avez activée, et le système de protection contre la perte de données recherche le contenu sensible.
  25. Cliquez sur Créer.

Il peut s'écouler jusqu'à 24 heures avant que les modifications soient appliquées, mais ce délai est généralement plus court. En savoir plus

Exemple 3: Bloquer le téléchargement de contenus sensibles sur un appareil non approuvé par l'administrateur (Drive) (bêta)
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Accédez à RèglespuisCréer une règlepuisProtection des données.
  3. Saisissez un nom et une description pour la règle.
  4. Dans la section Portée, sélectionnez Tous les utilisateurs de <nom.domaine> ou choisissez de rechercher et d'inclure ou d'exclure les unités organisationnelles ou groupes auxquels la règle s'applique. En cas de conflit entre des unités organisationnelles et des groupes concernant l'inclusion ou l'exclusion, le groupe est prioritaire.
  5. Cliquez sur Continuer.
  6. Dans Applications, sous Google Drive, cochez Fichiers Drive
  7. Cliquez sur Continuer.
  8. Dans la section Conditions, cliquez sur Ajouter une condition.
  9. Pour Type de contenu à analyser, sélectionnez Tous les contenus.
  10. Pour Éléments à rechercher, choisissez un type d'analyse de protection contre la perte de données, puis sélectionnez les attributs. Pour en savoir plus sur les attributs disponibles, consultez Créer une règle de protection contre la perte de données.
  11. Dans la section Conditions de contexte, cliquez sur Sélectionner un niveau d'accès pour afficher les niveaux d'accès existants.
  12. Cliquez sur Créer un niveau d'accès.
  13. Saisissez le nom et la description du nouveau niveau d'accès.
  14. Dans Conditions de contexte, cliquez sur Ajouter une condition.
  15. Sélectionnez Répond seulement à une partie des attributs.
  16. Cliquez sur Sélectionner un attribut puis Appareil, puis sélectionnez Approuvé par l'administrateur dans la liste déroulante.
  17. Cliquez sur Créer. Vous revenez à la page Créer une règle. Votre nouveau niveau d'accès est ajouté à la liste, et ses attributs s'affichent à droite.
  18. Cliquez sur Continuer.
  19. Sur la page Actions, pour l'action Google Drive, sélectionnez Désactiver le téléchargement, l'impression et la copie pour les commentateurs et les lecteurs.

    Remarque : L'action n'est appliquée que lorsque les conditions de contenu et les conditions de contexte sont remplies.

  20. (Facultatif) Choisissez le niveau de gravité de l'alerte (Faible, Moyenne ou Élevée) et indiquez si vous souhaitez envoyer une alerte et des notifications par e-mail.
  21. Cliquez sur Continuer pour consulter les détails de la règle.
  22.  Définissez l'état de la règle :
    • Actif : la règle s'exécute immédiatement.
    • Inactive : la règle existe, mais n'est pas en vigueur. Vous avez ainsi le temps d'examiner la règle et de la partager avec les membres de votre équipe avant de la mettre en œuvre. Activez la règle plus tard en accédant à "Sécurité", "Contrôle des accès et des données", puis "Protection des données" et enfin "Gérer les règles". Cliquez sur l'état Inactif de la règle, puis sélectionnez Actif. La règle s'exécute une fois que vous l'avez activée, et le système de protection contre la perte de données recherche le contenu sensible.
  23. Cliquez sur Créer.

Il peut s'écouler jusqu'à 24 heures avant que les modifications soient appliquées, mais ce délai est généralement plus court. En savoir plus

Exemple 4 : Bloquer la navigation Chrome vers "salesforce.com/admin" sur des appareils non gérés (Chrome)

Dans cet exemple, les utilisateurs sont bloqués s'ils tentent d'accéder à la console d'administration Salesforce (salesforce.com/admin) à l'aide d'un appareil non géré. Ils pourront quand même accéder à d'autres composants de l'application Salesforce.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Accédez à RèglespuisCréer une règlepuisProtection des données.
  3. Saisissez un nom et une description pour la règle.
  4. Dans la section Portée, sélectionnez Tous les utilisateurs de <nom.domaine> ou choisissez de rechercher et d'inclure ou d'exclure les unités organisationnelles ou groupes auxquels la règle s'applique. En cas de conflit entre des unités organisationnelles et des groupes concernant l'inclusion ou l'exclusion, le groupe est prioritaire.
  5. Cliquez sur Continuer.
  6. Dans Applications, sous Chrome, cochez URL visitée
  7. Cliquez sur Continuer.
  8. Dans la section Conditions, cliquez sur Ajouter une condition et sélectionnez les valeurs suivantes :
    1. Type de contenu à analyser : URL
    2. Éléments à rechercher : contient la chaîne de texte
    3. Contenu à rechercher : salesforce.com/admin
  9. Dans la section Conditions de contexte, cliquez sur Sélectionner un niveau d'accès pour afficher les niveaux d'accès existants.
  10. Cliquez sur Créer un niveau d'accès.
  11. Saisissez le nom et la description du nouveau niveau d'accès.
  12. Dans Conditions de contexte, cliquez sur l'onglet Avancé.
  13. Dans la zone de texte, saisissez ce qui suit : 
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    En savoir plus sur le mode avancé

  14. Cliquez sur Créer. Vous revenez à la page Créer une règle. Votre nouveau niveau d'accès est ajouté à la liste, et ses attributs s'affichent à droite.
  15. Cliquez sur Continuer.
  16. Sur la page Actions, pour l'action Chrome, sélectionnez Bloquer.

    Remarque : L'action n'est appliquée que lorsque les conditions de contenu et les conditions de contexte sont remplies.

  17. (Facultatif) Choisissez le niveau de gravité de l'alerte (Faible, Moyenne ou Élevée) et indiquez si vous souhaitez envoyer une alerte et des notifications par e-mail.
  18. Cliquez sur Continuer pour consulter les détails de la règle.
  19.  Définissez l'état de la règle :
    • Actif : la règle s'exécute immédiatement.
    • Inactive : la règle existe, mais n'est pas en vigueur. Vous avez ainsi le temps d'examiner la règle et de la partager avec les membres de votre équipe avant de la mettre en œuvre. Activez la règle plus tard en accédant à "Sécurité", "Contrôle des accès et des données", puis "Protection des données" et enfin "Gérer les règles". Cliquez sur l'état Inactif de la règle, puis sélectionnez Actif. La règle s'exécute une fois que vous l'avez activée, et le système de protection contre la perte de données recherche le contenu sensible.
  20. Cliquez sur Créer.

Remarque : Si une URL que vous filtrez a été récemment consultée, elle est mise en cache pendant plusieurs minutes. Il est donc possible qu'elle ne soit pas filtrée par une nouvelle règle (ou une règle modifiée) tant qu'elle n'est pas retirée du cache. Attendez environ cinq minutes avant de tester une nouvelle règle ou une règle modifiée.

Questions fréquentes

Comment les règles d'accès contextuel et de protection contre la perte de données fonctionnent-elles sur les versions précédentes de Chrome ?

Dans les versions précédentes de Chrome, les conditions de contexte sont ignorées. Les règles se comportent comme si seules des conditions de contenu étaient définies.

Les règles de navigateur géré fonctionnent-elles en mode navigation privée ?

Non. Les règles ne s'appliquent pas en mode navigation privée. Les administrateurs peuvent empêcher les connexions aux applications Workspace ou SaaS depuis le mode navigation privée de Chrome en appliquant l'accès contextuel au moment de la connexion.

Les navigateurs gérés et les utilisateurs gérés doivent-ils se trouver dans la même entreprise pour qu'une règle soit appliquée ?

Si le navigateur géré et l'utilisateur du profil géré appartiennent à la même entreprise, les règles de protection contre la perte de données au niveau du navigateur et au niveau de l'utilisateur sont appliquées.

Si le navigateur géré et l'utilisateur du profil géré appartiennent à des entreprises différentes, seules les règles de protection contre la perte de données au niveau du navigateur sont appliquées. La condition de contexte sera toujours considérée comme remplie et le résultat le plus strict sera appliqué. Cela n'a aucune incidence sur les conditions basées sur l'adresse IP ou les régions.

Les consoles d'administration et Google Cloud Platform proposent-elles les mêmes niveaux d'accès ?

L'accès contextuel dans la console d'administration n'est pas compatible avec tous les attributs acceptés par la console GCP. Par conséquent, tous les niveaux d'accès de base créés dans la console GCP et incluant ces attributs peuvent être attribués dans la console d'administration, mais ne peuvent pas y être modifiés.

Sur la page "Règles" de la console d'administration, vous pouvez attribuer des niveaux d'accès créés par GCP. Par contre, vous ne pouvez pas afficher les détails des conditions des niveaux d'accès avec des attributs non compatibles.

Pourquoi la fiche de conditions de contexte ne s'affiche-t-elle pas lorsque je crée une règle ?
  • Assurez-vous de disposer du droit d'administrateur Services > Sécurité des données > Gestion des niveaux d'accès, qui est requis pour afficher les conditions de contexte lors de la création de règles de protection contre la perte de données.
  • La fiche des conditions de contexte ne s'affiche que lorsque vous sélectionnez des déclencheurs Chrome lors de la création de la règle.
Que se passe-t-il si un niveau d'accès attribué est supprimé ?

Si un niveau d'accès attribué est supprimé, les conditions de contexte sont définies sur "true" et la règle se comporte comme une règle de contenu uniquement. Notez que la règle s'appliquera alors à plus d'appareils/cas d'utilisation que prévu.

L'accès contextuel doit-il être activé pour que les conditions de contexte fonctionnent dans les règles ?

Non. L'évaluation du niveau d'accès dans les règles est indépendante des paramètres d'accès contextuel. L'activation et l'attribution de l'accès contextuel ne doivent pas affecter les règles.

Que se passe-t-il si la condition de la règle est vide ?

Par défaut, les conditions vides sont évaluées comme ayant la valeur "true". Cela signifie que pour une règle d'accès contextuel uniquement, les conditions de contenu peuvent être laissées vides. Notez que si les conditions de contenu et de contexte sont laissées vides, la règle est toujours déclenchée.

Une règle est-elle déclenchée si une seule des conditions est remplie ?

Non. La règle n'est déclenchée que lorsque les conditions de contenu et de contexte sont toutes remplies.

Pourquoi des événements de journaux indiquent-ils que la protection contre la perte de données n'a pas été appliquée ?

Les fonctionnalités de protection contre la perte de données et d'accès contextuel reposent sur des services d'arrière-plan qui peuvent être interrompus régulièrement. En cas d'interruption d'un service pendant l'application de la règle, elle n'est pas appliquée. Lorsque cela se produit, un événement est consigné à la fois dans le journal des règles et dans le journal Chrome.

Comment les conditions de contexte fonctionnent-elles lorsque la validation des points de terminaison n'est pas installée ?

Pour les attributs basés sur des appareils, les conditions de contexte seront considérées comme remplies, et les résultats les plus stricts seront appliqués. Les attributs non basés sur l'appareil (comme l'adresse IP et la région) ne changent pas.

Puis-je consulter les informations sur les niveaux d'accès des règles déclenchées dans l'outil d'investigation de sécurité ?

Oui. Pour afficher les informations sur le niveau d'accès, recherchez Événements du journal des règles ou Événements de journaux Chrome dans la colonne "Niveau d'accès" des résultats de recherche.

La fonctionnalité de résolution des problèmes pour les utilisateurs finaux est-elle disponible pour les conditions de contexte dans les règles ?

Non. La résolution des problèmes pour les utilisateurs finaux n'est pas encore disponible dans ces flux.

Articles associés

Utiliser la protection contre la perte de données de Workspace

À propos de l'accès contextuel

Intégrer la protection contre la perte de données dans Chrome grâce à Chrome Enterprise Premium

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
4749758444103523392
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false