为了更好地控制哪些用户和设备可以传输敏感内容,您可以将数据泄露防护 (DLP) 规则与情境感知访问权限条件(例如用户位置、设备安全状态[受管、加密]和 IP 地址)结合使用。您向数据泄露防护规则添加情境感知访问权限政策后,相应规则仅在满足情境条件时才会强制执行。
例如,您可以创建仅在用户符合以下条件或执行以下操作时阻止下载敏感内容的数据泄露防护规则:
- 用户使用的是公司外部的网络
- 用户从特定风险国家/地区登录
- 用户使用未经管理员批准的设备
您可以将数据泄露防护规则与情境条件结合使用以控制以下操作:
Chrome - 文件上传(例如附加文件)、Web 内容(粘贴的内容)上传、下载和页面打印。
云端硬盘(Beta 版)- 由拥有评论或查看访问权限的用户复制、下载和打印云端硬盘文件。
要求
| Workspace 版本 |
Chrome Enterprise Premium
(对于 Chrome 数据泄露防护是必需的,对于云端硬盘数据泄露防护则不是必需的) |
|---|---|
| Chrome 版本 |
Chrome 105 或更高版本 (对于 Chrome 数据泄露防护是必需的,对于云端硬盘数据泄露防护则不是必需的) |
| 端点验证 | 对于桌面设备,必须开启端点验证才能应用基于设备的情境条件。(对于不基于设备的属性[例如 IP 地址和区域],没有这样的要求。) |
| 移动设备管理 | 移动设备应强制执行基本或高级管理功能。 |
| 管理员权限 | 创建访问权限级别: “服务”>“数据安全”>“访问权限级别管理” |
| 在数据泄露防护规则中使用访问权限级别: “服务”>“数据安全”>“访问权限级别管理”,或 “服务”>“数据安全”>“规则管理” |
设置 Chrome 以强制执行规则
要将数据泄露防护功能与 Chrome 集成,您需要设置 Chrome 企业版接口政策。
创建访问权限级别
- 依次点击“安全性”>“访问权限和数据控件”>“情境感知访问权限”>“访问权限级别”,查看您现有的访问权限级别。
- 您可以在创建数据泄露防护规则之前或创建规则期间创建访问权限级别。如果您要在创建数据泄露防护规则之前创建访问权限级别,请参阅创建访问权限级别了解相关说明。在以下示例中,您将在创建数据泄露防护规则期间创建访问权限级别。
- 您可以为数据泄露防护规则分配单个访问权限级别。如需创建具有多个访问权限级别的复杂条件,请使用高级模式。
数据泄露防护和情境感知访问权限规则示例
以下示例展示了如何结合使用数据泄露防护规则和情境感知访问权限级别,使规则根据用户的 IP 地址、位置或设备状态强制执行。
请注意,这些示例包括在创建数据泄露防护规则期间创建访问权限级别所需的步骤。如果您已经创建了访问权限级别,可以在创建规则时跳过这些步骤。
示例 1:在公司网络外部的设备上阻止下载敏感内容 (Chrome)-
- 转到规则
创建规则
- 添加规则的名称和说明。
- 在范围部分,选择 All in <domain.name>(<域名> 中的所有用户),或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突,以群组为准。
- 点击继续。
- 在应用的 Chrome 下方,勾选下载了文件。
- 点击继续。
- 在条件部分中点击添加条件。
- 在要扫描的内容类型部分,选择所有内容。
- 在要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则。
- 在情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
- 点击创建新的访问权限级别。
- 为新的访问权限级别输入名称和说明。
- 在情境条件中,点击添加条件。
- 选择 Doesn’t meet 1 or more attributes(不满足一个或多个属性)。
- 点击选择属性
- 不支持使用专用 IP 地址(包括用户的家庭网络)。
- 支持使用静态 IP 地址。
- 如要使用动态 IP 地址,您必须为访问权限级别指定静态 IP 子网。如果您知道动态 IP 地址的范围,并且在访问权限级别中定义的静态 IP 地址涵盖该范围,则满足情境条件。如果动态 IP 地址不在指定的静态 IP 子网中,则不满足情境条件。
- 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
- 点击继续。
- 在操作页面中,对于“Chrome 操作”,请选择屏蔽。
注意:仅当同时满足内容条件和情境条件时,系统才会应用该操作。
- (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态,然后选择“活跃”。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。 了解详情。
-
- 转到规则
- 添加规则的名称和说明。
- 在范围部分,选择 All in <domain.name>(<域名> 中的所有用户),或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突,以群组为准。
- 点击继续。
- 在应用的 Chrome 下方,勾选下载了文件。
- 点击继续。
- 在条件部分中点击添加条件。
- 在要扫描的内容类型部分,选择所有内容。
- 在要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则。
- 在情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
- 点击创建新的访问权限级别。
- 为新的访问权限级别输入名称和说明。
- 在情境条件中,点击添加条件。
- 选择 Meets all attributes(满足所有属性)。
- 点击选择属性
- (可选)如要添加其他国家/地区,请点击添加条件,然后重复执行第 16 步。
- (可选)如果您选择了多个国家/地区,请将使用以下运算符将多个条件组合起来切换开关(位于条件上方)设置为或。这意味着,如果用户从任何选定的国家/地区进行登录,系统将会应用数据泄露防护规则。
- 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
- 点击继续。
- 在操作页面中,对于“Chrome 操作”,请选择屏蔽。
注意:仅当同时满足内容条件和情境条件时,系统才会应用该操作。
- (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态,然后选择“活跃”。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。 了解详情。
-
- 转到规则
- 添加规则的名称和说明。
- 在范围部分,选择 All in <domain.name>(<域名> 中的所有用户),或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突,以群组为准。
- 点击继续。
- 在应用的 Google 云端硬盘下,勾选云端硬盘文件。
- 点击继续。
- 在条件部分中点击添加条件。
- 在要扫描的内容类型部分,选择所有内容。
- 在要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则。
- 在情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
- 点击创建新的访问权限级别。
- 为新的访问权限级别输入名称和说明。
- 在情境条件中,点击添加条件。
- 选择 Doesn't meet 1 or more attributes(不满足一个或多个属性)。
- 点击选择属性
- 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
- 点击继续。
- 在操作页面上,针对 Google 云端硬盘操作,选择禁止评论者和查看者下载、打印和复制。
注意:仅当同时满足内容条件和情境条件时,系统才会应用该操作。
- (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态,然后选择“活跃”。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。 了解详情。
在此示例中,如果用户尝试使用非受管设备转到 Salesforce 管理控制台 (salesforce.com/admin),则会被阻止。用户仍然可以访问 Salesforce 应用的其他部分。
-
- 转到规则
- 添加规则的名称和说明。
- 在范围部分,选择 All in <domain.name>(<域名> 中的所有用户),或者选择搜索并包含或排除规则应用到的组织部门或群组。如果组织部门和群组在包含或排除设置方面存在冲突,以群组为准。
- 点击继续。
- 在应用的 Chrome 下方,勾选访问过的网址。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 网址
- 要扫描的内容 - 包含文本字符串
- 要匹配的内容 - salesforce.com/admin
- 在情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
- 点击创建新的访问权限级别。
- 为新的访问权限级别输入名称和说明。
- 在情境条件中,点击高级标签页。
- 在文本框中输入以下内容:
device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED详细了解高级模式。
- 点击 Create(创建)。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
- 点击继续。
- 在操作页面中,对于“Chrome 操作”,请选择屏蔽。
注意:仅当同时满足内容条件和情境条件时,系统才会应用该操作。
- (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,转到“安全性”“访问权限和数据控件”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态,然后选择“活跃”。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
- 点击创建。
注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。
常见问题解答
CAA 和数据泄露防护规则在之前的 Chrome 版本上的作用如何?在之前的 Chrome 版本中,系统会忽略情境条件。规则的作用就像仅设置了内容条件时一样。
不适用。规则不适用于无痕模式。管理员可以在用户登录时强制执行情境感知访问权限,从而阻止用户通过 Chrome 无痕模式登录 Workspace 或 SaaS 应用。
如果受管理的浏览器和受管理的个人资料用户属于同一企业,则系统会同时应用浏览器级数据泄露防护规则和用户级数据泄露防护规则。
如果受管理的浏览器和受管理的个人资料用户属于不同的企业,则系统只会应用浏览器级数据泄露防护规则。系统始终会将情境条件视为匹配项,并会强制执行最严格的结果。基于 IP 地址或基于区域的条件不受影响。
管理控制台中的 CAA 并不支持 GCP 控制台支持的所有属性。因此,在 GCP 控制台中创建的包含这些属性的任何基本访问权限级别都可以在管理控制台中进行分配,但不能在其中进行修改。
在管理控制台的“规则”页面上,您可以分配 GCP 创建的访问权限级别,但无法查看包含不受支持的属性的访问权限级别的条件详情。
- 请确保您拥有“服务”>“数据安全”>“访问权限级别管理”管理员权限,这是在数据泄露防护规则创建期间查看情境条件所必需的。
- 只有当您在规则创建期间选择 Chrome 触发器时,系统才会显示“情境条件”卡片。
如果已分配的访问权限级别被删除,情境条件会默认设为 true,且规则的行为类似于仅限内容的规则。请注意,此规则将应用于比您最初预期更多的设备/使用场景。
不需要。规则中的访问权限级别评估与 CAA 设置无关。CAA 激活和分配不会影响规则。
默认情况下,空条件的计算结果为 true。也就是说,对于仅限 CAA 的规则,可以将内容条件留空。请注意,如果内容条件和情境条件都留空,则系统始终会触发规则。
不会。只有在同时满足内容条件和情境条件时,系统才会触发规则。
对于基于设备的属性,系统会将情境条件视为匹配项,并强制执行最严格的结果。对于不基于设备的属性(例如 IP 地址和区域),不会发生任何变化。
符合。您可以搜索规则日志事件或 Chrome 日志事件,以便在搜索结果的“访问权限级别”列中查看访问权限级别信息。
不支持。这些流程尚不支持最终用户修复功能。
