将数据泄露防护规则与情境感知访问权限条件结合使用

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到规则创建规则数据保护。
3. 添加规则的名称和说明。
4. 在范围部分，选择 All in <domain.name>（<域名> 中的所有用户），或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突，以群组为准。
5. 点击继续。
6. 在应用的 Chrome 下方，勾选下载了文件。
7. 点击继续。
8. 在条件部分中点击添加条件。
9. 在要扫描的内容类型部分，选择所有内容。
10. 在要扫描的内容部分，选择数据泄露防护扫描类型，然后选择属性。如需详细了解可用属性，请参阅创建数据泄露防护规则。
11. 在情境条件部分，点击选择一个访问权限级别，以显示您现有的访问权限级别。
12. 点击创建新的访问权限级别。
13. 为新的访问权限级别输入名称和说明。
14. 在情境条件中，点击添加条件。
15. 选择 Doesn’t meet 1 or more attributes（不满足一个或多个属性）。
16. 点击选择属性IP 子网，然后输入您的公司网络的 IP 地址。此地址可以是 IPv4 或 IPv6 地址，也可以是以 CIDR 地址块表示法输入的路由前缀。
    • 不支持使用专用 IP 地址（包括用户的家庭网络）。
    • 支持使用静态 IP 地址。
    • 如要使用动态 IP 地址，您必须为访问权限级别指定静态 IP 子网。如果您知道动态 IP 地址的范围，并且在访问权限级别中定义的静态 IP 地址涵盖该范围，则满足情境条件。如果动态 IP 地址不在指定的静态 IP 子网中，则不满足情境条件。
17. 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中，并且其属性会显示在右侧。
18. 点击继续。
19. 在操作页面中，对于“Chrome 操作”，请选择屏蔽。

    注意：仅当同时满足内容条件和情境条件时，系统才会应用该操作。

20. （可选）选择提醒严重程度级别（低、中或高），以及是否发送提醒和电子邮件提醒通知。
21. 点击继续以查看规则详情。
22. 为规则选择状态：
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存，但尚未生效。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态，然后选择“活跃”。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
23. 点击创建。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。 了解详情。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到规则创建规则数据保护。
3. 添加规则的名称和说明。
4. 在范围部分，选择 All in <domain.name>（<域名> 中的所有用户），或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突，以群组为准。
5. 点击继续。
6. 在应用的 Chrome 下方，勾选下载了文件。
7. 点击继续。
8. 在条件部分中点击添加条件。
9. 在要扫描的内容类型部分，选择所有内容。
10. 在要扫描的内容部分，选择数据泄露防护扫描类型，然后选择属性。如需详细了解可用属性，请参阅创建数据泄露防护规则。
11. 在情境条件部分，点击选择一个访问权限级别，以显示您现有的访问权限级别。
12. 点击创建新的访问权限级别。
13. 为新的访问权限级别输入名称和说明。
14. 在情境条件中，点击添加条件。
15. 选择 Meets all attributes（满足所有属性）。
16. 点击选择属性位置，然后从下拉列表中选择一个国家/地区。
17. （可选）如要添加其他国家/地区，请点击添加条件，然后重复执行第 16 步。
18. （可选）如果您选择了多个国家/地区，请将使用以下运算符将多个条件组合起来切换开关（位于条件上方）设置为或。这意味着，如果用户从任何选定的国家/地区进行登录，系统将会应用数据泄露防护规则。
19. 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中，并且其属性会显示在右侧。
20. 点击继续。
21. 在操作页面中，对于“Chrome 操作”，请选择屏蔽。

    注意：仅当同时满足内容条件和情境条件时，系统才会应用该操作。

22. （可选）选择提醒严重程度级别（低、中或高），以及是否发送提醒和电子邮件提醒通知。
23. 点击继续以查看规则详情。
24. 为规则选择状态：
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存，但尚未生效。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态，然后选择“活跃”。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
25. 点击创建。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。 了解详情。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到规则创建规则数据保护。
3. 添加规则的名称和说明。
4. 在范围部分，选择 All in <domain.name>（<域名> 中的所有用户），或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突，以群组为准。
5. 点击继续。
6. 在应用的 Google 云端硬盘下，勾选云端硬盘文件。
7. 点击继续。
8. 在条件部分中点击添加条件。
9. 在要扫描的内容类型部分，选择所有内容。
10. 在要扫描的内容部分，选择数据泄露防护扫描类型，然后选择属性。如需详细了解可用属性，请参阅创建数据泄露防护规则。
11. 在情境条件部分，点击选择一个访问权限级别，以显示您现有的访问权限级别。
12. 点击创建新的访问权限级别。
13. 为新的访问权限级别输入名称和说明。
14. 在情境条件中，点击添加条件。
15. 选择 Doesn't meet 1 or more attributes（不满足一个或多个属性）。
16. 点击选择属性设备，然后从下拉列表中选择已获管理员批准。
17. 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中，并且其属性会显示在右侧。
18. 点击继续。
19. 在操作页面上，针对 Google 云端硬盘操作，选择禁止评论者和查看者下载、打印和复制。

    注意：仅当同时满足内容条件和情境条件时，系统才会应用该操作。

20. （可选）选择提醒严重程度级别（低、中或高），以及是否发送提醒和电子邮件提醒通知。
21. 点击继续以查看规则详情。
22. 为规则选择状态：
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存，但尚未生效。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态，然后选择“活跃”。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
23. 点击创建。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。 了解详情。

在此示例中，如果用户尝试使用非受管设备转到 Salesforce 管理控制台 (salesforce.com/admin)，则会被阻止。用户仍然可以访问 Salesforce 应用的其他部分。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到规则创建规则数据保护。
3. 添加规则的名称和说明。
4. 在范围部分，选择 All in <domain.name>（<域名> 中的所有用户），或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突，以群组为准。
5. 点击继续。
6. 在应用的 Chrome 下方，勾选访问过的网址。
7. 点击继续。
8. 在条件部分，点击添加条件并选择以下值：
   1. 要扫描的内容类型 - 网址
   2. 要扫描的内容 - 包含文本字符串
   3. 要匹配的内容 - salesforce.com/admin
9. 在情境条件部分，点击选择一个访问权限级别，以显示您现有的访问权限级别。
10. 点击创建新的访问权限级别。
11. 为新的访问权限级别输入名称和说明。
12. 在情境条件中，点击高级标签页。
13. 在文本框中输入以下内容：
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    详细了解高级模式。

14. 点击 Create（创建）。您会返回到创建规则页面。您的新访问权限级别会添加到列表中，并且其属性会显示在右侧。
15. 点击继续。
16. 在操作页面中，对于“Chrome 操作”，请选择屏蔽。

    注意：仅当同时满足内容条件和情境条件时，系统才会应用该操作。

17. （可选）选择提醒严重程度级别（低、中或高），以及是否发送提醒和电子邮件提醒通知。
18. 点击继续以查看规则详情。
19. 为规则选择状态：
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 您的规则会保存，但尚未生效。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态，然后选择“活跃”。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
20. 点击创建。

注意：如果您最近访问过要过滤的网址，则系统会将其缓存几分钟，并且在清除该网址的缓存之前，新的（或修改后的）规则可能无法成功过滤该网址。请等待大约 5 分钟，然后再测试新规则或修改后的规则。

在之前的 Chrome 版本中，系统会忽略情境条件。规则的作用就像仅设置了内容条件时一样。

不适用。规则不适用于无痕模式。管理员可以在用户登录时强制执行情境感知访问权限，从而阻止用户通过 Chrome 无痕模式登录 Workspace 或 SaaS 应用。

如果受管理的浏览器和受管理的个人资料用户属于同一企业，则系统会同时应用浏览器级数据泄露防护规则和用户级数据泄露防护规则。

如果受管理的浏览器和受管理的个人资料用户属于不同的企业，则系统只会应用浏览器级数据泄露防护规则。系统始终会将情境条件视为匹配项，并会强制执行最严格的结果。基于 IP 地址或基于区域的条件不受影响。

管理控制台中的 CAA 并不支持 GCP 控制台支持的所有属性。因此，在 GCP 控制台中创建的包含这些属性的任何基本访问权限级别都可以在管理控制台中进行分配，但不能在其中进行修改。

在管理控制台的“规则”页面上，您可以分配 GCP 创建的访问权限级别，但无法查看包含不受支持的属性的访问权限级别的条件详情。

• 请确保您拥有“服务”>“数据安全”>“访问权限级别管理”管理员权限，这是在数据泄露防护规则创建期间查看情境条件所必需的。
• 只有当您在规则创建期间选择 Chrome 触发器时，系统才会显示“情境条件”卡片。

如果已分配的访问权限级别被删除，情境条件会默认设为 true，且规则的行为类似于仅限内容的规则。请注意，此规则将应用于比您最初预期更多的设备/使用场景。

不需要。规则中的访问权限级别评估与 CAA 设置无关。CAA 激活和分配不会影响规则。

默认情况下，空条件的计算结果为 true。也就是说，对于仅限 CAA 的规则，可以将内容条件留空。请注意，如果内容条件和情境条件都留空，则系统始终会触发规则。

不会。只有在同时满足内容条件和情境条件时，系统才会触发规则。

数据泄露防护和 CAA 均依赖于可能会定期中断的后台服务。如果在强制执行规则期间服务中断运行，则规则不会强制执行。在这种情况下，规则日志和 Chrome 日志中都会记录一个事件。

对于基于设备的属性，系统会将情境条件视为匹配项，并强制执行最严格的结果。对于不基于设备的属性（例如 IP 地址和区域），不会发生任何变化。

符合。您可以搜索规则日志事件或 Chrome 日志事件，以便在搜索结果的“访问权限级别”列中查看访问权限级别信息。

不支持。这些流程尚不支持最终用户修复功能。