Om du vill ha ökad kontroll över vilka användare och enheter som kan överföra känsligt innehåll kan du kombinera regler för förebyggande av dataförlust (DLP) med kontextkänsliga åtkomstvillkor, till exempel användarplats, enhetens säkerhetsstatus (hanterad, krypterad ) och IP-adress. När du lägger till en kontextkänslig åtkomstpolicy i en DLP-regel tillämpas regeln enbart om kontextvillkoren uppfylls.
Du kan till exempel skapa en DLP-regel som blockerar nedladdningar av känsligt innehåll enbart när användare är
- Utanför företagsnätverket
- loggar in från specifika riskabla länder
- Du använder enheter som inte är godkända av administratörer
Du kan kombinera DLP-regler med kontextvillkor för att styra dessa åtgärder:
Chrome – filuppladdning (till exempel att bifoga en fil), uppladdning av webbinnehåll (inklistrat innehåll), nedladdning och utskrift av sida.
Drive (beta) – kopiering, nedladdning och utskrift av Drive-filer av användare med kommentars- eller visningsåtkomst.
Krav
Workspace-utgåva |
Chrome Enterprise Premium
(Krävs för Chrome DLP, inte för Drive DLP) |
---|---|
Chrome-version |
Chrome 105 eller senare (Krävs för Chrome DLP, inte för Drive DLP) |
Verifiering av slutpunkt | För stationära enheter: ändpunktsverifieringmåste aktiveras för att tillämpa enhetsbaserade kontextvillkor. (Krävs inte för icke-enhetsbaserade attribut som IP-adress och region.) |
Hantering av mobil enhet | Mobila enheter ska ha grundläggande eller avancerad hantering tillämpad. |
Administratörsbehörighet | Så här skapar du åtkomstnivåer: Tjänster > Datasäkerhet > Hantering av åtkomstnivå |
Så här använder du åtkomstnivåer i DLP-regler: Tjänster > Datasäkerhet > Hantering av åtkomstnivå eller Tjänster > Datasäkerhet > Regelhantering |
Konfigurera tillämpning av Chrome för regler
Om du vill integrera DLP-funktioner med Chrome måste du konfigurera policyer för Chrome Enterprise Connector.
Skapa åtkomstnivåer
- Gå till Säkerhet > Åtkomst och datakontroll > Kontextkänslig åtkomst > Åtkomstnivåer för att visa dina befintliga åtkomstnivåer.
- Du kan skapa en åtkomstnivå innan du skapar en DLP-regel eller under skapandet av regler. Om du skapar den före DLP-regeln läser du Skapa åtkomstnivåer för anvisningar. I exemplen nedan skapar du åtkomstnivån när du skapar en DLP-regel.
- Du kan tilldela en DLP-regel en åtkomstnivå. Om du vill skapa komplexa villkor med flera åtkomstnivåer använder du avancerat läge.
Exempel på DLP-regler och kontextkänslig åtkomst
Följande exempel visar hur du kan kombinera DLP-regler med kontextkänsliga åtkomstnivåer för att göra regeltillämpningen beroende av en användares IP-adress, plats eller enhetsstatus.
Observera att de här exemplen inkluderar stegen som krävs för att skapa åtkomstnivåer när DLP-regler skapas. Om du redan har skapat åtkomstnivåer kan du hoppa över dessa steg när du skapar regeln.
Exempel 1: Blockera nedladdning av känsligt innehåll på en enhet utanför företagsnätverket (Chrome)-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
- Gå till ReglerSkapa regelDataskydd.
- Ange ett namn och en beskrivning för regeln.
- I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
- Klicka på Fortsätt.
- I Appar markerar du Fil nedladdad under Chrome.
- Klicka på Fortsätt.
- Klicka på Lägg till villkor i avsnittet Villkor.
- Välj Allt innehåll vid Innehållstyp som ska genomsökas.
- För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
- I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
- Klicka på Skapa ny åtkomstnivå.
- Ange ett namn och en beskrivning för den nya åtkomstnivån.
- Klicka på Lägg till villkor i Kontextvillkor.
- Välj Uppfyller inte ett eller flera attribut.
- Klicka på Välj attributIP-delnät och ange företagsnätverkets IP-adress. Detta är en IPv4- eller IPv6-adress eller ett ruttprefix i CIDR-blockformat.
- Privata IP-adresser stöds inte (inklusive användarens hemnätverk).
- Statiska IP-adresser stöds.
- Om du vill använda en dynamisk IP-adress måste du definiera ett statiskt IP-delnät för åtkomstnivån. Om du känner till intervallet för den dynamiska IP-adressen och den definierade statiska IP-adressen i åtkomstnivån täcker detta intervall, är kontextvillkoret uppfyllt. Om den dynamiska IP-adressen inte finns i det definierade statiska IP-delnätet är kontextvillkoret inte uppfyllt.
- Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
- Klicka på Fortsätt.
- Välj Blockera för Chrome-åtgärden på sidan Åtgärder.
Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.
- (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
- Klicka på Fortsätt och granska regelinformationen.
- Välj en status för regeln:
- Aktiv – regeln körs omedelbart.
- Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
- Klicka på Skapa.
Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
- Gå till ReglerSkapa regelDataskydd.
- Ange ett namn och en beskrivning för regeln.
- I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
- Klicka på Fortsätt.
- I Appar markerar du Fil nedladdad under Chrome.
- Klicka på Fortsätt.
- Klicka på Lägg till villkor i avsnittet Villkor.
- Välj Allt innehåll vid Innehållstyp som ska genomsökas.
- För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
- I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
- Klicka på Skapa ny åtkomstnivå.
- Ange ett namn och en beskrivning för den nya åtkomstnivån.
- Klicka på Lägg till villkor i Kontextvillkor.
- Välj Uppfyller alla attribut.
- Klicka på Välj attributPlats och välj ett land på rullgardinsmenyn.
- (Valfritt) Om du vill lägga till ytterligare länder klickar du på Lägg till villkor och upprepar steg 16.
- (Valfritt) Om du har valt fler än ett land ställer du in reglaget Slå ihop flera villkor med (som finns ovanför Villkor) på OR. Det innebär att DLP-regeln tillämpas om användarna loggar in från något av de valda länderna.
- Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
- Klicka på Fortsätt.
- Välj Blockera för Chrome-åtgärden på sidan Åtgärder.
Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.
- (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
- Klicka på Fortsätt och granska regelinformationen.
- Välj en status för regeln:
- Aktiv – regeln körs omedelbart.
- Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
- Klicka på Skapa.
Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
- Gå till ReglerSkapa regelDataskydd.
- Ange ett namn och en beskrivning för regeln.
- I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
- Klicka på Fortsätt.
- I Appar markerar du Drive-filer under Google Drive.
- Klicka på Fortsätt.
- Klicka på Lägg till villkor i avsnittet Villkor.
- Välj Allt innehåll vid Innehållstyp som ska genomsökas.
- För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
- I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
- Klicka på Skapa ny åtkomstnivå.
- Ange ett namn och en beskrivning för den nya åtkomstnivån.
- Klicka på Lägg till villkor i Kontextvillkor.
- Välj Uppfyller inte ett eller flera attribut.
- Klicka på Välj attributEnhet och välj sedan Godkänd av administratören i rullgardinsmenyn.
- Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
- Klicka på Fortsätt.
- På sidan Åtgärder väljer du Inaktivera nedladdning, utskrift och kopiering för kommentatorer och läsbehöriga för Google Drive-åtgärder.
Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.
- (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
- Klicka på Fortsätt och granska regelinformationen.
- Välj en status för regeln:
- Aktiv – regeln körs omedelbart.
- Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
- Klicka på Skapa.
Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.
I det här exemplet blockeras användaren om hen försöker navigera till Salesforce-administratörskonsolen (salesforce.com/admin) med en ohanterad enhet. Användarna kan fortfarande få åtkomst till andra delar av Salesforce-appen.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
- Gå till ReglerSkapa regelDataskydd.
- Ange ett namn och en beskrivning för regeln.
- I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
- Klicka på Fortsätt.
- I Appar markerar du Besökt webbadress under Chrome.
- Klicka på Fortsätt.
- I avsnittet Villkor klickar du på Lägg till villkor och väljer följande värden:
- Innehållstyp som ska skannas – webbadress
- Vad skanningen ska göras efter – innehåller textsträng
- Innehåll som ska matchas – Salesforce.com/admin
- I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
- Klicka på Skapa ny åtkomstnivå.
- Ange ett namn och en beskrivning för den nya åtkomstnivån.
- Klicka på fliken Avancerat i Kontextvillkor.
- Ange följande i textrutan:
device.chrome.management_state != ChromemanagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
- Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
- Klicka på Fortsätt.
- Välj Blockera för Chrome-åtgärden på sidan Åtgärder.
Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.
- (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
- Klicka på Fortsätt och granska regelinformationen.
- Välj en status för regeln:
- Aktiv – regeln körs omedelbart.
- Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
- Klicka på Skapa.
Obs! Om en webbadress som du filtrerar fram nyligen har besökts cachelagras den i flera minuter och kanske inte filtreras av en ny (eller modifierad) regel förrän dess cache har rensats. Vänta i ungefär fem minuter innan du testar en ny eller ändrad regel.
Vanliga frågor
Hur fungerar CAA- och DLP-regler i tidigare Chrome-versioner?I tidigare Chrome-versioner ignoreras kontextvillkor. Regler fungerar som om enbart innehållsvillkor har angetts.
Nej. Reglerna gäller inte i inkognitoläge. Administratörer kan förhindra inloggning till Workspace- eller SaaS-appar från Chromes inkognitoläge genom att tillämpa kontextkänslig åtkomst vid inloggning.
Om den hanterade webbläsaren och den hanterade profilanvändaren tillhör samma företag tillämpas både DLP-regler på webbläsarnivå och DLP-regler på användarnivå.
Om den hanterade webbläsaren och den hanterade profilanvändaren tillhör olika företag tillämpas enbart DLP-regler på webbläsarnivå. kontextvillkoret betraktas alltid som en matchning och det striktaste resultatet tillämpas. IP-baserade eller regionbaserade förhållanden påverkas inte.
CAA på administratörskonsolen har inte stöd för alla attribut som stöds av GCP-konsolen. Därför kan grundläggande åtkomstnivåer som skapas på GCP-konsolen och som innehåller dessa attribut tilldelas på administratörskonsolen, men de kan inte redigeras där.
På regelsidan i administratörskonsolen kan du tilldela GCP-skapade åtkomstnivåer, men du kan inte se villkorsinformation för åtkomstnivåer med attribut som inte stöds.
- Se till att du har administratörsbehörigheten Tjänster > Datasäkerhet > Hantering av åtkomstnivå, som krävs för att visa kontextvillkoren när du skapar en DLP-regel.
- Kortet med kontextvillkor visas bara när du väljer Chrome-utlösare när du skapar en regel.
Om en tilldelad åtkomstnivå tas bort är kontextvillkoren som standard sant och regeln fungerar som en regel för enbart innehåll. Observera att regeln sedan gäller för fler enheter/användningsfall än vad du hade för avsikt.
Nej. Utvärdering av åtkomstnivå i regler är oberoende av CAA-inställningar. Aktivering och tilldelning av CAA ska inte påverka regler.
Tomma villkor utvärderas till sant som standard. Det innebär att innehållsvillkoren kan lämnas tomma för en CAA-regel. Observera att regeln alltid aktiveras om både innehålls- och kontextvillkor lämnas tomma.
Nej. Regeln aktiveras endast när både innehålls- och kontextvillkor är uppfyllda.
Både DLP och CAA använder bakgrundstjänster som kan avbrytas regelbundet. Om ett avbrott i tjänsten inträffar under tillämpningen av regeln sker ingen tillämpning. När detta händer loggas en händelse i både regelloggen och Chrome-loggen.
För enhetsbaserade attribut betraktas kontextvillkoren som en matchning och det striktaste resultatet tillämpas. För attribut som inte är enhetsbaserade (till exempel IP-adress och region) sker ingen ändring.
Ja. Du kan visa information om åtkomstnivå genom att söka efter regellogghändelser eller Chrome-logghändelser i kolumnen Åtkomstnivå i sökresultaten.
Nej. Åtgärd för slutanvändare är inte tillgängligt i dessa flöden ännu.
Relaterade ämnen
Använda DLP för att förhindra dataförluster
Använda Chrome Enterprise Premium för att integrera DLP med Chrome