Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Combinar regras de DLP com condições de acesso baseado no contexto

Para ter mais controle sobre quais usuários e dispositivos podem transferir conteúdo sensível, você pode combinar regras da Prevenção contra perda de dados (DLP) com condições de acesso baseado no contexto, como localização do usuário, status de segurança do dispositivo (gerenciado, criptografado) e endereço IP. Quando você adiciona uma política de acesso baseado no contexto a uma regra da DLP, a regra só é aplicada se as condições de contexto forem atendidas. 

Por exemplo, você pode criar uma regra da DLP que bloqueia downloads de conteúdo confidencial somente quando os usuários estiverem:

  • Fora da rede corporativa 
  • Fazendo login em países arriscados específicos
  • Como usar dispositivos não aprovados pelo administrador

É possível combinar regras de DLP com condições contextuais para controlar estas operações:

Chrome: upload de arquivo (por exemplo, anexar um arquivo), upload de conteúdo da Web (conteúdo colado), download e impressão de páginas.

Drive (Beta): cópia, download e impressão de arquivos do Drive por usuários com acesso para comentar ou ler.

Requisitos

Edição do Workspace
Chrome Enterprise Premium

Obrigatório para a DLP do Chrome, não para a DLP do Drive.
Versão do Chrome

Chrome 105 ou mais recente

Obrigatório para a DLP do Chrome, não para a DLP do Drive.
Verificação de endpoints Em dispositivos desktop, a Verificação de endpoints precisa estar ativada para aplicar condições de contexto baseadas no dispositivo. Não é obrigatório para atributos não baseados em dispositivo, como endereço IP e região.
Gerenciamento de dispositivos móveis Os dispositivos móveis precisam ter o gerenciamento básico ou avançado aplicado.
Privilégios de administrador Para criar níveis de acesso:
Serviços > Segurança de dados > Gerenciamento do nível de acesso
Para usar níveis de acesso nas regras da DLP:
Serviços > Segurança de dados > Gerenciamento do nível de acesso ou
Serviços > Segurança de dados > Gerenciamento de regras

Configurar o Chrome para a aplicação de regras

Para integrar os recursos da DLP ao Chrome, configure as políticas do conector do Chrome Enterprise.

Como criar níveis de acesso

  • Acesse Segurança > Acesso e controle de dados > Acesso baseado no contexto > Níveis de acesso para ver seus níveis de acesso atuais.
  • Você pode criar um nível de acesso antes de criar uma regra da DLP ou durante a criação da regra. Se você o criar antes da regra da DLP, consulte as instruções em Criar níveis de acesso. Nos exemplos abaixo, você cria o nível de acesso durante a criação da regra da DLP.
  • É possível atribuir um único nível de acesso a uma regra da DLP. Para criar condições complexas com vários níveis de acesso, use o Modo avançado.

Exemplos de regras da DLP e do acesso baseado no contexto

Os exemplos a seguir mostram como combinar regras da DLP com níveis de Acesso baseado no contexto para tornar a aplicação de regras dependente do endereço IP, da localização ou do status do dispositivo de um usuário.

Esses exemplos incluem as etapas necessárias para criar níveis de acesso durante a criação da regra da DLP. Se você já tiver criado níveis de acesso, poderá omitir essas etapas ao criar a regra.

Exemplo 1: bloquear o download de conteúdo confidencial em um dispositivo fora da rede corporativa (Chrome)
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Acesse Regrase depoisCriar regrae depoisProteção de dados.
  3. Digite um nome e uma descrição para a regra.
  4. Na seção Escopo, escolha Todos em <nome.de.domínio> ou pesquise e inclua ou exclua unidades organizacionais ou grupos aos quais a regra se aplica. Se houver um conflito entre as unidades organizacionais e os grupos sobre inclusão ou exclusão, o grupo terá precedência.
  5. Clique em Continuar.
  6. Em Apps, em Chrome, marque a opção Arquivo transferido por download
  7. Clique em Continuar.
  8. Na seção Condições, clique em Adicionar condição.
  9. Em Tipo de conteúdo a ser verificado, escolha Todo o conteúdo.
  10. Em O que verificar, escolha um tipo de verificação da DLP e selecione atributos. Para mais informações sobre os atributos disponíveis, consulte Criar uma regra de DLP.
  11. Na seção Condições de contexto, clique em Selecionar um nível de acesso para exibir os níveis de acesso existentes.
  12. Clique em Criar novo nível de acesso.
  13. Digite um nome e uma descrição para o novo nível de acesso.
  14. Em Condições de contexto, clique em Adicionar condição.
  15. Selecione Não atende a um ou mais atributos.
  16. Clique em Selecionar atributoe depoisSub-rede IP e digite o endereço IP da sua rede corporativa. Pode ser um endereço IPv4 ou IPv6 ou então um prefixo de roteamento na notação de bloco CIDR.
    • Os endereços IP particulares não são suportados, incluindo as redes domésticas do usuário.
    • Os endereços IP estáticos são suportados.
    • Para usar um endereço IP dinâmico, defina uma sub-rede IP estática para o nível de acesso. Se você souber o intervalo do endereço IP dinâmico e o endereço IP estático definido no nível de acesso abranger esse intervalo, a condição de contexto será atendida. Se o endereço IP dinâmico não estiver na sub-rede IP estática definida, a condição de contexto não será atendida.
  17. Clique em Criar. Você retornará à página Criar regra. Seu novo nível de acesso é adicionado à lista, e seus atributos são mostrados à direita.
  18. Clique em Continuar.
  19. Na página Ações, para a ação do Chrome, escolha Bloquear.

    Observação: a ação só é aplicada quando as condições de conteúdo e as de contexto são atendidas.

  20. (Opcional) Escolha um nível de gravidade de alerta (baixa, média ou alta) e se você quer enviar notificações de alerta e um de e-mail.
  21. Clique em Continuar para verificar os detalhes da regra.
  22.  Escolha um status para a regra:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não está em vigor. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra depois em "Segurança", "Acesso e controle de dados", "Proteção de dados" e "Gerenciar regras". Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  23. Clique em Criar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Exemplo 2: bloquear o download de conteúdo sensível para um usuário que faz login em países arriscados específicos (Chrome)
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Acesse Regrase depoisCriar regrae depoisProteção de dados.
  3. Digite um nome e uma descrição para a regra.
  4. Na seção Escopo, escolha Todos em <nome.de.domínio> ou pesquise e inclua ou exclua unidades organizacionais ou grupos aos quais a regra se aplica. Se houver um conflito entre as unidades organizacionais e os grupos sobre inclusão ou exclusão, o grupo terá precedência.
  5. Clique em Continuar.
  6. Em Apps, em Chrome, marque a opção Arquivo transferido por download
  7. Clique em Continuar.
  8. Na seção Condições, clique em Adicionar condição.
  9. Em Tipo de conteúdo a ser verificado, escolha Todo o conteúdo.
  10. Em O que verificar, escolha um tipo de verificação da DLP e selecione atributos. Para mais informações sobre os atributos disponíveis, consulte Criar uma regra de DLP.
  11. Na seção Condições de contexto, clique em Selecionar um nível de acesso para exibir os níveis de acesso existentes.
  12. Clique em Criar novo nível de acesso.
  13. Digite um nome e uma descrição para o novo nível de acesso.
  14. Em Condições de contexto, clique em Adicionar condição.
  15. Selecione Atende a todos os atributos
  16. Clique em Selecionar atributoe depoisLocal e escolha um país na lista suspensa.
  17. (Opcional) Para adicionar outros países, clique em Adicionar condição e repita a etapa 16.
  18. (Opcional) Se você selecionou mais de um país, defina a opção Participar de várias condições com (localizado acima de Condições) como OR. Isso significa que a regra da DLP será aplicada se os usuários fizerem login em um dos países selecionados.
  19. Clique em Criar. Você retornará à página Criar regra. Seu novo nível de acesso é adicionado à lista, e seus atributos são mostrados à direita.
  20. Clique em Continuar.
  21. Na página Ações, para a ação do Chrome, escolha Bloquear.

    Observação: a ação só é aplicada quando as condições de conteúdo e as de contexto são atendidas.

  22. (Opcional) Escolha um nível de gravidade de alerta (baixa, média ou alta) e se você quer enviar notificações de alerta e um de e-mail.
  23. Clique em Continuar para verificar os detalhes da regra.
  24.  Escolha um status para a regra:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não está em vigor. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra depois em "Segurança", "Acesso e controle de dados", "Proteção de dados" e "Gerenciar regras". Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  25. Clique em Criar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Exemplo 3: bloquear o download de conteúdo sensível em um dispositivo não aprovado pelo administrador (Drive) (Beta)
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Acesse Regrase depoisCriar regrae depoisProteção de dados.
  3. Digite um nome e uma descrição para a regra.
  4. Na seção Escopo, escolha Todos em <nome.de.domínio> ou pesquise e inclua ou exclua unidades organizacionais ou grupos aos quais a regra se aplica. Se houver um conflito entre as unidades organizacionais e os grupos sobre inclusão ou exclusão, o grupo terá precedência.
  5. Clique em Continuar.
  6. Em Apps, em Google Drive, marque Arquivos do Drive
  7. Clique em Continuar.
  8. Na seção Condições, clique em Adicionar condição.
  9. Em Tipo de conteúdo a ser verificado, escolha Todo o conteúdo.
  10. Em O que verificar, escolha um tipo de verificação da DLP e selecione atributos. Para mais informações sobre os atributos disponíveis, consulte Criar uma regra de DLP.
  11. Na seção Condições de contexto, clique em Selecionar um nível de acesso para exibir os níveis de acesso existentes.
  12. Clique em Criar novo nível de acesso.
  13. Digite um nome e uma descrição para o novo nível de acesso.
  14. Em Condições de contexto, clique em Adicionar condição.
  15. Selecione Não atende a um ou mais atributos.
  16. Clique em Selecionar atributoe depoisDispositivo e escolha Aprovado pelo administrador na lista suspensa.
  17. Clique em Criar. Você retornará à página Criar regra. Seu novo nível de acesso é adicionado à lista, e seus atributos são mostrados à direita.
  18. Clique em Continuar.
  19. Na página Ações, para a ação do Google Drive, escolha Desativar o download, a impressão e a cópia para comentaristas e leitores.

    Observação: a ação só é aplicada quando as condições de conteúdo e as de contexto são atendidas.

  20. (Opcional) Escolha um nível de gravidade de alerta (baixa, média ou alta) e se você quer enviar notificações de alerta e um de e-mail.
  21. Clique em Continuar para verificar os detalhes da regra.
  22.  Escolha um status para a regra:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não está em vigor. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra depois em "Segurança", "Acesso e controle de dados", "Proteção de dados" e "Gerenciar regras". Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  23. Clique em Criar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Exemplo 4: bloquear as navegações do Chrome para "salesforce.com/admin" em dispositivos não gerenciados (Chrome)

Neste exemplo, o usuário será bloqueado se tentar acessar o Admin Console do Salesforce (salesforce.com/admin) com um dispositivo não gerenciado. Os usuários ainda conseguiriam acessar outras partes do aplicativo Salesforce.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Acesse Regrase depoisCriar regrae depoisProteção de dados.
  3. Digite um nome e uma descrição para a regra.
  4. Na seção Escopo, escolha Todos em <nome.de.domínio> ou pesquise e inclua ou exclua unidades organizacionais ou grupos aos quais a regra se aplica. Se houver um conflito entre as unidades organizacionais e os grupos sobre inclusão ou exclusão, o grupo terá precedência.
  5. Clique em Continuar.
  6. Em Apps, em Chrome, marque URL visitado
  7. Clique em Continuar.
  8. Na seção Condições, clique em Adicionar condição e selecione estes valores:
    1. Tipo de conteúdo a ser verificado: URL
    2. O que verificar: contém string de texto
    3. Conteúdo a ser correspondido: salesforce.com/admin
  9. Na seção Condições de contexto, clique em Selecionar um nível de acesso para exibir os níveis de acesso existentes.
  10. Clique em Criar novo nível de acesso.
  11. Digite um nome e uma descrição para o novo nível de acesso.
  12. Em Condições de contexto, clique na guia Avançado.
  13. Na caixa de texto, insira: 
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    Saiba mais sobre o modo avançado.

  14. Clique em Criar. Você retornará à página Criar regra. Seu novo nível de acesso é adicionado à lista, e seus atributos são mostrados à direita.
  15. Clique em Continuar.
  16. Na página Ações, para a ação do Chrome, escolha Bloquear.

    Observação: a ação só é aplicada quando as condições de conteúdo e as de contexto são atendidas.

  17. (Opcional) Escolha um nível de gravidade de alerta (baixa, média ou alta) e se você quer enviar notificações de alerta e um de e-mail.
  18. Clique em Continuar para verificar os detalhes da regra.
  19.  Escolha um status para a regra:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não está em vigor. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra depois em "Segurança", "Acesso e controle de dados", "Proteção de dados" e "Gerenciar regras". Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  20. Clique em Criar.

Observação: se um URL que você está filtrando tiver sido visitado recentemente, ele será armazenado em cache por alguns minutos e talvez não seja filtrado por uma nova regra (ou modificado) até que o cache seja limpo desse URL. Aguarde aproximadamente cinco minutos para testar uma regra nova ou modificada.

Perguntas frequentes

Como as regras CAA+DLP se comportam nas versões anteriores do Chrome?

Nas versões anteriores do Chrome, as condições de contexto são ignoradas. As regras se comportam como se somente as condições de conteúdo estivessem definidas.

As regras do navegador gerenciado funcionam no modo de navegação anônima?

Não. As regras não se aplicam no modo de navegação anônima. Os administradores podem aplicar o acesso baseado no contexto no momento do login para impedir logins em apps do Workspace ou SaaS no modo de navegação anônima do Chrome.

Os navegadores gerenciados e os usuários gerenciados precisam estar na mesma empresa para que uma regra seja aplicada?

Se o navegador gerenciado e o usuário do perfil gerenciado pertencerem à mesma empresa, as regras da DLP no nível do navegador e do usuário serão aplicadas.

Se o navegador e o usuário do perfil gerenciado pertencerem a empresas diferentes, somente as regras da DLP no nível do navegador serão aplicadas. A condição de contexto sempre será considerada uma correspondência, e o resultado mais rigoroso será aplicado. Não há impacto nas condições baseadas em IP ou região.

O Admin Console e o Console do Google Cloud Platform são compatíveis com os mesmos níveis de acesso?

O CAA no Admin Console não é compatível com todos os atributos compatíveis com o Console do GCP. Portanto, os níveis de acesso básicos criados no Console do GCP que incluem esses atributos podem ser atribuídos no Admin Console, mas não podem ser editados lá.

Na página "Regras" do Admin Console, é possível atribuir níveis de acesso criados pelo GCP, mas não é possível ver detalhes da condição de níveis de acesso com atributos não compatíveis.

Por que não vejo o card de condições de contexto quando estou criando uma regra?
  • Verifique se você tem o privilégio de administrador "Serviços > Segurança de dados > Gerenciamento do nível de acesso" para ver as condições de contexto durante a criação da regra da DLP.
  • O card de condições de contexto só é exibido quando você seleciona acionadores do Chrome durante a criação da regra.
E se um nível de acesso atribuído for excluído?

Se um nível de acesso atribuído for excluído, as condições de contexto serão definidas como verdadeiras, e a regra se comportará como uma regra somente de conteúdo. A regra será aplicada a mais dispositivos/casos de uso do que o pretendido originalmente.

A CAA precisa estar ativada para as condições de contexto funcionarem nas regras?

Não. A avaliação do nível de acesso nas regras é independente das configurações de CAA. A ativação e a atribuição da CAA não devem afetar as regras.

E se a condição da regra estiver vazia?

As condições vazias são avaliadas como verdadeiras por padrão. Isso significa que, para uma regra somente de CAA, as condições de conteúdo podem ser deixadas em branco. Se as condições de conteúdo e contexto forem deixadas em branco, a regra sempre será acionada.

Uma regra será acionada se apenas uma das condições for atendida?

Não. A regra só é acionada quando tanto o conteúdo quanto as condições de contexto são atendidos.

Por que vejo eventos de registro informando que a DLP não foi aplicada?

A DLP e a CAA usam serviços em segundo plano que podem ser interrompidos periodicamente. Se ocorrer uma interrupção do serviço durante a aplicação da regra, não haverá aplicação. Quando isso acontece, um evento é registrado no registro de regras e no registro do Chrome.

Como as condições de contexto funcionam quando a verificação de endpoints não está instalada?

Para atributos baseados em dispositivo, as condições de contexto serão consideradas uma correspondência, e o resultado mais rigoroso será aplicado. Para atributos não baseados em dispositivo (como endereço IP e região), não há alteração.

Posso ver as informações de nível de acesso das regras acionadas na ferramenta de investigação de segurança?

Sim. Para ver as informações de nível de acesso, pesquise por Eventos de registro da regra ou Eventos de registro do Chrome na coluna "Nível de acesso" dos resultados da pesquisa.

A correção do usuário final está disponível para as condições de contexto nas regras?

Não. A correção do usuário final ainda não está disponível nesses fluxos.

Temas relacionados

Usar a DLP do Google Workspace para evitar a perda de dados

Sobre o acesso baseado no contexto

Usar o Chrome Enterprise Premium para integrar a DLP ao Chrome

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
16910441789243653824
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false