Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Combinare le regole DLP con le condizioni di accesso sensibile al contesto (CAA)

Per avere un maggiore controllo su quali utenti e dispositivi possono trasferire contenuti sensibili, puoi combinare le regole di Prevenzione della perdita di dati (DLP) con le condizioni di accesso sensibile al contesto (CAA), ad esempio la posizione dell'utente, lo stato della sicurezza del dispositivo (gestito, criptato) e l'indirizzo IP. Quando aggiungi un criterio di accesso sensibile al contesto a una regola DLP, la regola viene applicata in modo forzato solo se sono soddisfatte le condizioni di contesto. 

Ad esempio, puoi creare una regola DLP che blocchi i download di contenuti sensibili solo quando gli utenti:

  • Sono al di fuori della rete aziendale 
  • Hanno eseguito l'accesso da paesi rischiosi specifici
  • Utilizzano dispositivi non approvati dall'amministratore

Puoi combinare le regole DLP con le condizioni di contesto per controllare queste operazioni:

Chrome: caricamento di file (ad esempio, per allegare un file), caricamento di contenuti web (contenuti incollati), download e stampa di pagine.

Drive (beta): copia, download e stampa di file di Drive da parte degli utenti con accesso in visualizzazione o per commenti.

Requisiti

Versione di Workspace
Chrome Enterprise Premium

(Obbligatorio per DLP per Chrome, non per DLP per Drive)
Versione di Chrome

Chrome 105 o versioni successive

(Obbligatorio per DLP per Chrome, non per DLP per Drive)
Verifica degli endpoint Per i computer fissi, la verifica degli endpoint deve essere attivata per applicare condizioni di contesto basate sul dispositivo. Non è obbligatoria per gli attributi non basati sul dispositivo, quali indirizzo IP e regione.
Gestione dei dispositivi mobili Per i dispositivi mobili deve essere applicata la gestione di base o avanzata.
Privilegi amministrativi Per creare livelli di accesso:
Servizi > Sicurezza dei dati > Gestione del livello di accesso
Per utilizzare i livelli di accesso nelle regole DLP:
Servizi > Sicurezza dei dati > Gestione del livello di accesso oppure
Servizi > Sicurezza dei dati > Gestione regole

Configurare Chrome per l'applicazione delle regole

Per integrare le funzionalità DLP con Chrome, devi configurare i criteri Chrome Enterprise Connector.

Creare livelli di accesso

  • Vai a Sicurezza > Accesso e controllo dei dati > Accesso sensibile al contesto > Livelli di accesso per visualizzare i livelli di accesso esistenti.
  • Puoi creare un livello di accesso prima di creare una regola DLP o durante la creazione di quest'ultima. Se la creazione avviene prima della regola DLP, consulta Creare un livello di accesso per le istruzioni. Nei seguenti esempi, crei il livello di accesso durante la creazione della regola DLP.
  • A una regola DLP, puoi assegnare un singolo livello di accesso. Per creare condizioni complesse con più livelli di accesso, utilizza la modalità avanzata.

Esempi di regole di accesso sensibile al contesto e DLP

Gli esempi riportati di seguito mostrano come combinare le regole DLP con i livelli di accesso sensibile al contesto per rendere l'applicazione forzata della regola dipendente dall'indirizzo IP, dalla località o dallo stato dei dispositivi.

Tieni presente che questi esempi includono i passaggi necessari per creare i livelli di accesso durante la creazione della regola DLP. Se hai già creato livelli di accesso, puoi omettere questi passaggi durante la creazione della regola.

Esempio 1: bloccare il download di contenuti sensibili su un dispositivo esterno alla rete aziendale (Chrome)
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Vai a Regole e poi Crea regola e poi Protezione dei dati.
  3. Digita un nome e una descrizione per la regola.
  4. Nella sezione Ambito, scegli Tutto il dominio <domain.name> oppure scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in merito all'inclusione o all'esclusione, il gruppo ha la precedenza.
  5. Fai clic su Continua.
  6. Nella sezione App, in Chrome, seleziona File scaricato
  7. Fai clic su Continua.
  8. Nella sezione Condizioni, fai clic su Aggiungi condizione.
  9. Per Tipo di contenuti da analizzare, scegli Tutti i contenuti.
  10. In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi. Per scoprire di più sugli attributi disponibili, consulta Creare una regola DLP.
  11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso per visualizzare i livelli di accesso esistenti.
  12. Fai clic su Crea nuovo livello di accesso.
  13. Inserisci un nome e una descrizione per il nuovo livello di accesso.
  14. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
  15. Seleziona Non soddisfa 1 o più attributi.
  16. Fai clic su Seleziona attributo e poi Subnet IP, quindi inserisci l'indirizzo IP della tua rete aziendale. Questo è un indirizzo IPv4 o IPv6 o un prefisso di routing nella notazione a blocchi CIDR.
    • Gli indirizzi IP privati non sono supportati (incluse le reti domestiche dell'utente).
    • Gli indirizzi IP statici sono supportati.
    • Per utilizzare un indirizzo IP dinamico, devi definire una subnet IP statica per il livello di accesso. Se conosci l'intervallo dell'indirizzo IP dinamico e l'indirizzo IP statico definito nel livello di accesso copre tale intervallo, la condizione di contesto è soddisfatta. Se l'indirizzo IP dinamico non si trova nella subnet IP statico definita, la condizione di contesto non è soddisfatta.
  17. Fai clic su Create (Crea). Tornerai alla pagina Crea regola. Il nuovo livello di accesso viene aggiunto all'elenco e i relativi attributi sono visualizzati a destra.
  18. Fai clic su Continua.
  19. Nella pagina Azioni, per l'azione di Chrome, scegli Blocca.

    Nota: l'azione viene applicata solo quando sono soddisfatte sia le condizioni dei contenuti sia le condizioni di contesto.

  20. (Facoltativo) Scegli un livello di gravità dell'avviso (Basso, Medio o Alto) e se inviare un avviso e notifiche di avviso email.
  21. Fai clic su Continua per esaminare i dettagli della regola.
  22. Scegli uno stato per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza, Accesso e controllo dei dati, poi Protezione dei dati e poi Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
  23. Fai clic su Crea.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più.

Esempio 2: bloccare il download di contenuti sensibili per un utente che accede da paesi a rischio specifici (Chrome)
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Vai a Regole e poi Crea regola e poi Protezione dei dati.
  3. Digita un nome e una descrizione per la regola.
  4. Nella sezione Ambito, scegli Tutto il dominio <domain.name> oppure scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in merito all'inclusione o all'esclusione, il gruppo ha la precedenza.
  5. Fai clic su Continua.
  6. Nella sezione App, in Chrome, seleziona File scaricato
  7. Fai clic su Continua.
  8. Nella sezione Condizioni, fai clic su Aggiungi condizione.
  9. Per Tipo di contenuti da analizzare, scegli Tutti i contenuti.
  10. In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi. Per scoprire di più sugli attributi disponibili, consulta Creare una regola DLP.
  11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso per visualizzare i livelli di accesso esistenti.
  12. Fai clic su Crea nuovo livello di accesso.
  13. Inserisci un nome e una descrizione per il nuovo livello di accesso.
  14. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
  15. Seleziona Soddisfa tutti gli attributi
  16. Fai clic su Seleziona attributoe poiPosizione, poi seleziona un paese dall'elenco a discesa.
  17. (Facoltativo) Per aggiungere altri paesi, fai clic su Aggiungi condizione e ripeti il passaggio 16.
  18. (Facoltativo) Se hai selezionato più di un paese, imposta il pulsante di attivazione/disattivazione Unisci più condizioni con (sopra Condizioni) su OPPURE. Questo significa che la regola DLP verrà applicata se gli utenti accedono da uno dei paesi selezionati.
  19. Fai clic su Create (Crea). Tornerai alla pagina Crea regola. Il nuovo livello di accesso viene aggiunto all'elenco e i relativi attributi sono visualizzati a destra.
  20. Fai clic su Continua.
  21. Nella pagina Azioni, per l'azione di Chrome, scegli Blocca.

    Nota: l'azione viene applicata solo quando sono soddisfatte sia le condizioni dei contenuti sia le condizioni di contesto.

  22. (Facoltativo) Scegli un livello di gravità dell'avviso (Basso, Medio o Alto) e se inviare un avviso e notifiche di avviso email.
  23. Fai clic su Continua per esaminare i dettagli della regola.
  24. Scegli uno stato per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza, Accesso e controllo dei dati, poi Protezione dei dati e poi Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
  25. Fai clic su Crea.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più.

Esempio 3: bloccare il download di contenuti sensibili su un dispositivo non approvato dall'amministratore (Drive) (beta)
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Vai a Regole e poi Crea regola e poi Protezione dei dati.
  3. Digita un nome e una descrizione per la regola.
  4. Nella sezione Ambito, scegli Tutto il dominio <domain.name> oppure scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in merito all'inclusione o all'esclusione, il gruppo ha la precedenza.
  5. Fai clic su Continua.
  6. Nella sezione App, seleziona File di Drive in Google Drive
  7. Fai clic su Continua.
  8. Nella sezione Condizioni, fai clic su Aggiungi condizione.
  9. Per Tipo di contenuti da analizzare, scegli Tutti i contenuti.
  10. In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi. Per scoprire di più sugli attributi disponibili, consulta Creare una regola DLP.
  11. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso per visualizzare i livelli di accesso esistenti.
  12. Fai clic su Crea nuovo livello di accesso.
  13. Inserisci un nome e una descrizione per il nuovo livello di accesso.
  14. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
  15. Seleziona Non soddisfa 1 o più attributi.
  16. Fai clic su Seleziona attributo e poi Dispositivo, quindi seleziona Approvato dall'amministratore dall'elenco a discesa.
  17. Fai clic su Create (Crea). Tornerai alla pagina Crea regola. Il nuovo livello di accesso viene aggiunto all'elenco e i relativi attributi sono visualizzati a destra.
  18. Fai clic su Continua.
  19. Nella pagina Azioni, per l'azione di Google Drive, scegli Disattiva le opzioni di download, stampa e copia per commentatori e visualizzatori.

    Nota: l'azione viene applicata solo quando sono soddisfatte sia le condizioni dei contenuti sia le condizioni di contesto.

  20. (Facoltativo) Scegli un livello di gravità dell'avviso (Basso, Medio o Alto) e se inviare un avviso e notifiche di avviso email.
  21. Fai clic su Continua per esaminare i dettagli della regola.
  22. Scegli uno stato per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza, Accesso e controllo dei dati, poi Protezione dei dati e poi Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
  23. Fai clic su Crea.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più.

Esempio 4: bloccare le navigazioni in Chrome verso "salesforce.com/admin" sui dispositivi non gestiti (Chrome)

In questo esempio, l'utente viene bloccato se tenta di accedere alla Console di amministrazione di Salesforce (salesforce.com/admin) con un dispositivo non gestito. Potrà comunque accedere ad altre parti dell'applicazione Salesforce.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Vai a Regole e poi Crea regola e poi Protezione dei dati.
  3. Digita un nome e una descrizione per la regola.
  4. Nella sezione Ambito, scegli Tutto il dominio <domain.name> oppure scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in merito all'inclusione o all'esclusione, il gruppo ha la precedenza.
  5. Fai clic su Continua.
  6. In App, nella sezione Chrome, seleziona URL visitato
  7. Fai clic su Continua.
  8. Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
    1. Tipo di contenuti da analizzare: URL
    2. Che cosa cercare: contiene la stringa di testo
    3. Contenuti da utilizzare per la corrispondenza: salesforce.com/admin
  9. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso per visualizzare i livelli di accesso esistenti.
  10. Fai clic su Crea nuovo livello di accesso.
  11. Inserisci un nome e una descrizione per il nuovo livello di accesso.
  12. Nella sezione Condizioni di contesto, fai clic sulla scheda Avanzate.
  13. Nella casella di testo, inserisci quanto segue: 
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    Ulteriori informazioni sulla modalità avanzata.

  14. Fai clic su Create (Crea). Tornerai alla pagina Crea regola. Il nuovo livello di accesso viene aggiunto all'elenco e i relativi attributi sono visualizzati a destra.
  15. Fai clic su Continua.
  16. Nella pagina Azioni, per l'azione di Chrome, scegli Blocca.

    Nota: l'azione viene applicata solo quando sono soddisfatte sia le condizioni dei contenuti sia le condizioni di contesto.

  17. (Facoltativo) Scegli un livello di gravità dell'avviso (Basso, Medio o Alto) e se inviare un avviso e notifiche di avviso email.
  18. Fai clic su Continua per esaminare i dettagli della regola.
  19. Scegli uno stato per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza, Accesso e controllo dei dati, poi Protezione dei dati e poi Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
  20. Fai clic su Create (Crea).

Nota: se un URL che stai filtrando è stato visitato di recente, verrà memorizzato nella cache per diversi minuti e potrebbe non essere filtrato correttamente da una regola nuova (o modificata) fino a quando la cache non viene svuotata. Attendi circa 5 minuti prima di testare una regola nuova o modificata.

Domande frequenti

Come si comportano le regole CAA+DLP nelle versioni precedenti di Chrome?

Nelle versioni precedenti di Chrome, le condizioni di contesto vengono ignorate. Le regole si comportano come se fossero impostate solo le condizioni dei contenuti.

Le regole del browser gestito funzionano in modalità di navigazione in incognito?

No. Le regole non vengono applicate in modalità di navigazione in incognito.Gli amministratori possono impedire gli accessi alle applicazioni Workspace o SaaS dalla modalità di navigazione in incognito di Chrome applicando in modo forzato l'accesso sensibile al contesto al momento dell'accesso.

I browser gestiti e gli utenti gestiti devono trovarsi nella stessa azienda affinché venga applicata una regola?

Se il browser gestito e l'utente del profilo gestito appartengono alla stessa azienda, verranno applicate sia le regole DLP a livello di browser sia le regole DLP a livello di utente.

Se il browser gestito e l'utente del profilo gestito appartengono ad aziende diverse, verranno applicate solo le regole DLP a livello di browser. La condizione di contesto verrà sempre considerata come una corrispondenza e verrà applicato in modo forzato il risultato più rigoroso. Non c'è alcun impatto sulle condizioni basate su IP o regioni.

La Console di amministrazione e la console della piattaforma Google Cloud supportano gli stessi livelli di accesso?

La CAA nella Console di amministrazione non supporta tutti gli attributi supportati dalla console della piattaforma Google Cloud. Pertanto, tutti i livelli di accesso di base creati nella console della piattaforma Google Cloud che includono questi attributi possono essere assegnati nella Console di amministrazione, ma non possono essere modificati al suo interno.

Nella pagina Regole della Console di amministrazione, puoi assegnare i livelli di accesso creati dalla piattaforma Google Cloud, ma non puoi visualizzare i dettagli della condizione per i livelli di accesso con attributi non supportati.

Perché non vedo la scheda delle condizioni di contesto quando creo una regola?
  • Assicurati di disporre del privilegio di amministratore Servizi > Sicurezza dei dati > Gestione del livello di accesso, necessario per visualizzare le condizioni di contesto durante la creazione della regola DLP.
  • La scheda delle condizioni di contesto viene visualizzata solo quando selezioni gli attivatori di Chrome durante la creazione delle regole.
Cosa succede se un livello di accesso assegnato viene eliminato?

Se un livello di accesso assegnato viene eliminato, le condizioni di contesto sono impostate su "true" (vero) e la regola si comporta come una regola di solo contenuto. Tieni presente che, in seguito, la regola verrà applicata a un numero maggiore di dispositivi e casi d'uso rispetto a quanto previsto inizialmente.

L'accesso sensibile al contesto (CAA) deve essere attivato affinché le condizioni di contesto funzionino nelle regole?

No. La valutazione del livello di accesso nelle regole è indipendente dalle impostazioni CAA. L'attivazione e l'assegnazione della CAA non dovrebbe influire sulle regole.

Che cosa succede se la condizione della regola è vuota?

Per impostazione predefinita, le condizioni vuote vengono valutate come "true" (vero). Ciò significa che per una regola di solo CAA, le condizioni dei contenuti possono essere lasciate vuote. Tieni presente che se le condizioni dei contenuti e di contesto vengono lasciate vuote, la regola viene sempre attivata.

Viene attivata una regola se è soddisfatta solo una delle condizioni?

No. La regola viene attivata solo quando vengono soddisfatte entrambe le condizioni dei contenuti e di contesto.

Perché vedo eventi dei log che indicano che la funzionalità DLP non è stata applicata in modo forzato?

DLP e CAA si basano entrambi su servizi in background che potrebbero essere interrotti periodicamente. Se si verifica un'interruzione del servizio durante l'applicazione delle regole, non viene eseguita l'applicazione forzata. In questi casi, viene registrato un evento sia nel log delle regole sia nel log di Chrome.

Come funzionano le condizioni di contesto quando non è installata la verifica degli endpoint?

Per gli attributi basati sul dispositivo, le condizioni di contesto saranno considerate come corrispondenze e verrà applicato in modo forzato il risultato più rigoroso. Per gli attributi non basati sul dispositivo (ad esempio, indirizzo IP e regione), non ci sono modifiche.

Posso visualizzare le informazioni sul livello di accesso per le regole attivate nello strumento di indagine sulla sicurezza?

Sì, Puoi visualizzare le informazioni sul livello di accesso cercando Eventi del log delle regole o Eventi del log di Chrome nella colonna Livello di accesso dei risultati di ricerca.

La correzione degli utenti finali è disponibile per le condizioni di contesto nelle regole?

No. La correzione per l'utente finale non è ancora disponibile in questi flussi.

Argomenti correlati

Utilizzare DLP per Workspace per evitare la perdita di dati

Informazioni sull'accesso sensibile al contesto

Utilizzare Chrome Enterprise Premium per integrare DLP con Chrome

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
7644424900720480033
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false