Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Kombinera DLP-regler med kontextkänsliga åtkomstvillkor

Om du vill ha ökad kontroll över vilka användare och enheter som kan överföra känsligt innehåll kan du kombinera regler för förebyggande av dataförlust (DLP) med kontextkänsliga åtkomstvillkor, till exempel användarplats, enhetens säkerhetsstatus (hanterad, krypterad ) och IP-adress. När du lägger till en kontextkänslig åtkomstpolicy i en DLP-regel tillämpas regeln enbart om kontextvillkoren uppfylls. 

Du kan till exempel skapa en DLP-regel som blockerar nedladdningar av känsligt innehåll enbart när användare är

  • Utanför företagsnätverket 
  • loggar in från specifika riskabla länder
  • Du använder enheter som inte är godkända av administratörer

Du kan kombinera DLP-regler med kontextvillkor för att styra dessa åtgärder:

Chrome – filuppladdning (till exempel att bifoga en fil), uppladdning av webbinnehåll (inklistrat innehåll), nedladdning och utskrift av sida.

Drive (beta) – kopiering, nedladdning och utskrift av Drive-filer av användare med kommentars- eller visningsåtkomst.

Krav

Workspace-utgåva
Chrome Enterprise Premium

(Krävs för Chrome DLP, inte för Drive DLP)
Chrome-version

Chrome 105 eller senare

(Krävs för Chrome DLP, inte för Drive DLP)
Verifiering av slutpunkt För stationära enheter: ändpunktsverifieringmåste aktiveras för att tillämpa enhetsbaserade kontextvillkor. (Krävs inte för icke-enhetsbaserade attribut som IP-adress och region.)
Hantering av mobil enhet Mobila enheter ska ha grundläggande eller avancerad hantering tillämpad.
Administratörsbehörighet Så här skapar du åtkomstnivåer:
Tjänster > Datasäkerhet > Hantering av åtkomstnivå
Så här använder du åtkomstnivåer i DLP-regler:
Tjänster > Datasäkerhet > Hantering av åtkomstnivå eller
Tjänster > Datasäkerhet > Regelhantering

Konfigurera tillämpning av Chrome för regler

Om du vill integrera DLP-funktioner med Chrome måste du konfigurera policyer för Chrome Enterprise Connector.

Skapa åtkomstnivåer

  • Gå till Säkerhet > Åtkomst och datakontroll > Kontextkänslig åtkomst > Åtkomstnivåer för att visa dina befintliga åtkomstnivåer.
  • Du kan skapa en åtkomstnivå innan du skapar en DLP-regel eller under skapandet av regler. Om du skapar den före DLP-regeln läser du Skapa åtkomstnivåer för anvisningar. I exemplen nedan skapar du åtkomstnivån när du skapar en DLP-regel.
  • Du kan tilldela en DLP-regel en åtkomstnivå. Om du vill skapa komplexa villkor med flera åtkomstnivåer använder du avancerat läge.

Exempel på DLP-regler och kontextkänslig åtkomst

Följande exempel visar hur du kan kombinera DLP-regler med kontextkänsliga åtkomstnivåer för att göra regeltillämpningen beroende av en användares IP-adress, plats eller enhetsstatus.

Observera att de här exemplen inkluderar stegen som krävs för att skapa åtkomstnivåer när DLP-regler skapas. Om du redan har skapat åtkomstnivåer kan du hoppa över dessa steg när du skapar regeln.

Exempel 1: Blockera nedladdning av känsligt innehåll på en enhet utanför företagsnätverket (Chrome)
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Gå till Reglerföljt avSkapa regelföljt avDataskydd.
  3. Ange ett namn och en beskrivning för regeln.
  4. I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
  5. Klicka på Fortsätt.
  6. I Appar markerar du Fil nedladdad under Chrome
  7. Klicka på Fortsätt.
  8. Klicka på Lägg till villkor i avsnittet Villkor.
  9. Välj Allt innehåll vid Innehållstyp som ska genomsökas.
  10. För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
  12. Klicka på Skapa ny åtkomstnivå.
  13. Ange ett namn och en beskrivning för den nya åtkomstnivån.
  14. Klicka på Lägg till villkor i Kontextvillkor.
  15. Välj Uppfyller inte ett eller flera attribut.
  16. Klicka på Välj attributföljt avIP-delnät och ange företagsnätverkets IP-adress. Detta är en IPv4- eller IPv6-adress eller ett ruttprefix i CIDR-blockformat.
    • Privata IP-adresser stöds inte (inklusive användarens hemnätverk).
    • Statiska IP-adresser stöds.
    • Om du vill använda en dynamisk IP-adress måste du definiera ett statiskt IP-delnät för åtkomstnivån. Om du känner till intervallet för den dynamiska IP-adressen och den definierade statiska IP-adressen i åtkomstnivån täcker detta intervall, är kontextvillkoret uppfyllt. Om den dynamiska IP-adressen inte finns i det definierade statiska IP-delnätet är kontextvillkoret inte uppfyllt.
  17. Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
  18. Klicka på Fortsätt.
  19. Välj Blockera för Chrome-åtgärden på sidan Åtgärder.

    Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.

  20. (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
  21. Klicka på Fortsätt och granska regelinformationen.
  22.  Välj en status för regeln:
    • Aktiv – regeln körs omedelbart.
    • Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
  23. Klicka på Skapa.

Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.

Exempel 2: Blockera nedladdning av känsligt innehåll för en användare som loggar in från specifika riskabla länder (Chrome)
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Gå till Reglerföljt avSkapa regelföljt avDataskydd.
  3. Ange ett namn och en beskrivning för regeln.
  4. I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
  5. Klicka på Fortsätt.
  6. I Appar markerar du Fil nedladdad under Chrome
  7. Klicka på Fortsätt.
  8. Klicka på Lägg till villkor i avsnittet Villkor.
  9. Välj Allt innehåll vid Innehållstyp som ska genomsökas.
  10. För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
  12. Klicka på Skapa ny åtkomstnivå.
  13. Ange ett namn och en beskrivning för den nya åtkomstnivån.
  14. Klicka på Lägg till villkor i Kontextvillkor.
  15. Välj Uppfyller alla attribut
  16. Klicka på Välj attributföljt avPlats och välj ett land på rullgardinsmenyn.
  17. (Valfritt) Om du vill lägga till ytterligare länder klickar du på Lägg till villkor och upprepar steg 16.
  18. (Valfritt) Om du har valt fler än ett land ställer du in reglaget Slå ihop flera villkor med (som finns ovanför Villkor) på OR. Det innebär att DLP-regeln tillämpas om användarna loggar in från något av de valda länderna.
  19. Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
  20. Klicka på Fortsätt.
  21. Välj Blockera för Chrome-åtgärden på sidan Åtgärder.

    Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.

  22. (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
  23. Klicka på Fortsätt och granska regelinformationen.
  24.  Välj en status för regeln:
    • Aktiv – regeln körs omedelbart.
    • Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
  25. Klicka på Skapa.

Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.

Exempel 3: Blockera nedladdning av känsligt innehåll på en enhet som inte är godkänd av administratören (Drive) (beta)
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Gå till Reglerföljt avSkapa regelföljt avDataskydd.
  3. Ange ett namn och en beskrivning för regeln.
  4. I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
  5. Klicka på Fortsätt.
  6. I Appar markerar du Drive-filer under Google Drive
  7. Klicka på Fortsätt.
  8. Klicka på Lägg till villkor i avsnittet Villkor.
  9. Välj Allt innehåll vid Innehållstyp som ska genomsökas.
  10. För Vad skanningen ska göras efter väljer du en DLP-skanningstyp och väljer attribut. Mer information om tillgängliga attribut finns i Skapa en DLP-regel.
  11. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
  12. Klicka på Skapa ny åtkomstnivå.
  13. Ange ett namn och en beskrivning för den nya åtkomstnivån.
  14. Klicka på Lägg till villkor i Kontextvillkor.
  15. Välj Uppfyller inte ett eller flera attribut.
  16. Klicka på Välj attributföljt avEnhet och välj sedan Godkänd av administratören i rullgardinsmenyn.
  17. Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
  18. Klicka på Fortsätt.
  19. På sidan Åtgärder väljer du Inaktivera nedladdning, utskrift och kopiering för kommentatorer och läsbehöriga för Google Drive-åtgärder.

    Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.

  20. (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
  21. Klicka på Fortsätt och granska regelinformationen.
  22.  Välj en status för regeln:
    • Aktiv – regeln körs omedelbart.
    • Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
  23. Klicka på Skapa.

Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer.

Exempel 4: Blockera Chrome-navigeringar till salesforce.com/admin på ohanterade enheter (Chrome)

I det här exemplet blockeras användaren om hen försöker navigera till Salesforce-administratörskonsolen (salesforce.com/admin) med en ohanterad enhet. Användarna kan fortfarande få åtkomst till andra delar av Salesforce-appen.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Gå till Reglerföljt avSkapa regelföljt avDataskydd.
  3. Ange ett namn och en beskrivning för regeln.
  4. I avsnittet Omfattning väljer du Alla i <domain.name> eller väljer att söka efter och inkludera eller utesluta organisationsenheter eller grupper som regeln gäller. Om det finns en konflikt mellan organisationsenheter och grupper om inkludering eller uteslutning har gruppen företräde.
  5. Klicka på Fortsätt.
  6. I Appar markerar du Besökt webbadress under Chrome
  7. Klicka på Fortsätt.
  8. I avsnittet Villkor klickar du på Lägg till villkor och väljer följande värden:
    1. Innehållstyp som ska skannas – webbadress
    2. Vad skanningen ska göras efter – innehåller textsträng
    3. Innehåll som ska matchas – Salesforce.com/admin
  9. I avsnittet Kontextvillkor klickar du på Välj en åtkomstnivå för att visa dina befintliga åtkomstnivåer.
  10. Klicka på Skapa ny åtkomstnivå.
  11. Ange ett namn och en beskrivning för den nya åtkomstnivån.
  12. Klicka på fliken Avancerat i Kontextvillkor.
  13. Ange följande i textrutan: 
    device.chrome.management_state != ChromemanagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    Läs mer om det avancerade läget.

  14. Klicka på Skapa. Du återgår till sidan Skapa regel. Din nya åtkomstnivå läggs till på listan och dess attribut visas till höger.
  15. Klicka på Fortsätt.
  16. Välj Blockera för Chrome-åtgärden på sidan Åtgärder.

    Obs! Åtgärden tillämpas bara när både innehållsvillkor och kontextvillkor är uppfyllda.

  17. (Valfritt) Välj en allvarlighetsgrad för varningar (Låg, Medel eller Hög) och om du vill skicka en varning och e-postaviseringar.
  18. Klicka på Fortsätt och granska regelinformationen.
  19.  Välj en status för regeln:
    • Aktiv – regeln körs omedelbart.
    • Inaktiv – din regel finns men gäller inte. Det ger dig tid att granska regeln och dela den med teammedlemmar innan du implementerar den. Aktivera regeln senare genom att öppna Säkerhet och sedan Åtkomst och datakontroll och sedan Dataskydd och sedan Hantera regler. Klicka på statusen Inaktiv för regeln och välj Aktiv. Regeln körs när du har aktiverat den och DLP söker efter känsligt innehåll.
  20. Klicka på Skapa.

Obs! Om en webbadress som du filtrerar fram nyligen har besökts cachelagras den i flera minuter och kanske inte filtreras av en ny (eller modifierad) regel förrän dess cache har rensats. Vänta i ungefär fem minuter innan du testar en ny eller ändrad regel.

Vanliga frågor

Hur fungerar CAA- och DLP-regler i tidigare Chrome-versioner?

I tidigare Chrome-versioner ignoreras kontextvillkor. Regler fungerar som om enbart innehållsvillkor har angetts.

Fungerar regler för hanterade webbläsare i inkognitoläge?

Nej. Reglerna gäller inte i inkognitoläge. Administratörer kan förhindra inloggning till Workspace- eller SaaS-appar från Chromes inkognitoläge genom att tillämpa kontextkänslig åtkomst vid inloggning.

Måste hanterade webbläsare och hanterade användare finnas i samma företag för att en regel ska tillämpas?

Om den hanterade webbläsaren och den hanterade profilanvändaren tillhör samma företag tillämpas både DLP-regler på webbläsarnivå och DLP-regler på användarnivå.

Om den hanterade webbläsaren och den hanterade profilanvändaren tillhör olika företag tillämpas enbart DLP-regler på webbläsarnivå. kontextvillkoret betraktas alltid som en matchning och det striktaste resultatet tillämpas. IP-baserade eller regionbaserade förhållanden påverkas inte.

Har administratörskonsolen och Google Cloud Platform-konsolen stöd för samma åtkomstnivåer?

CAA på administratörskonsolen har inte stöd för alla attribut som stöds av GCP-konsolen. Därför kan grundläggande åtkomstnivåer som skapas på GCP-konsolen och som innehåller dessa attribut tilldelas på administratörskonsolen, men de kan inte redigeras där.

På regelsidan i administratörskonsolen kan du tilldela GCP-skapade åtkomstnivåer, men du kan inte se villkorsinformation för åtkomstnivåer med attribut som inte stöds.

Varför ser jag inte kortet med kontextvillkor när jag skapar en regel?
  • Se till att du har administratörsbehörigheten Tjänster > Datasäkerhet > Hantering av åtkomstnivå, som krävs för att visa kontextvillkoren när du skapar en DLP-regel.
  • Kortet med kontextvillkor visas bara när du väljer Chrome-utlösare när du skapar en regel.
Vad händer om en tilldelad åtkomstnivå raderas?

Om en tilldelad åtkomstnivå tas bort är kontextvillkoren som standard sant och regeln fungerar som en regel för enbart innehåll. Observera att regeln sedan gäller för fler enheter/användningsfall än vad du hade för avsikt.

Ska CAA aktiveras för att kontextvillkoren ska fungera i regler?

Nej. Utvärdering av åtkomstnivå i regler är oberoende av CAA-inställningar. Aktivering och tilldelning av CAA ska inte påverka regler.

Vad händer om regelvillkoret är tomt?

Tomma villkor utvärderas till sant som standard. Det innebär att innehållsvillkoren kan lämnas tomma för en CAA-regel. Observera att regeln alltid aktiveras om både innehålls- och kontextvillkor lämnas tomma.

Utlöses en regel om endast ett av villkoren är uppfyllt?

Nej. Regeln aktiveras endast när både innehålls- och kontextvillkor är uppfyllda.

Varför visas logghändelser som talar om att DLP inte tillämpades?

Både DLP och CAA använder bakgrundstjänster som kan avbrytas regelbundet. Om ett avbrott i tjänsten inträffar under tillämpningen av regeln sker ingen tillämpning. När detta händer loggas en händelse i både regelloggen och Chrome-loggen.

Hur fungerar kontextvillkor när ändpunktsverifiering inte har installerats?

För enhetsbaserade attribut betraktas kontextvillkoren som en matchning och det striktaste resultatet tillämpas. För attribut som inte är enhetsbaserade (till exempel IP-adress och region) sker ingen ändring.

Kan jag visa information om åtkomstnivå för utlösta regler i verktyget för säkerhetsutredning?

Ja. Du kan visa information om åtkomstnivå genom att söka efter regellogghändelser eller Chrome-logghändelser i kolumnen Åtkomstnivå i sökresultaten.

Går det att vidta åtgärder för slutanvändare för kontextvillkor i regler?

Nej. Åtgärd för slutanvändare är inte tillgängligt i dessa flöden ännu.

Relaterade ämnen

Använda DLP för att förhindra dataförluster

Om kontextkänslig åtkomst

Använda Chrome Enterprise Premium för att integrera DLP med Chrome

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
2885474345777279685
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false