結合使用資料遺失防護規則與情境感知存取權條件

如要進一步控管哪些使用者和裝置可以轉移機密內容,您可以結合資料遺失防護 (DLP 規則與情境感知存取權條件,例如使用者位置、裝置安全性狀態 (受管理、已加密) 和 IP 位址。如果您在資料遺失防護規則中新增情境感知存取權政策,系統在符合情境條件時才會強制執行規則。

舉例來說,您可以建立資料遺失防護規則,只禁止使用者在下列情況中下載機密內容:

  • 在公司網路之外
  • 從具有風險的特定國家/地區登入
  • 使用未經管理員核准的裝置

您可以結合使用資料遺失防護規則與情境條件,藉此控管下列作業:

Chrome:上傳檔案 (例如附加檔案)、網路內容上傳 (貼上的內容)、下載和列印頁面。

雲端硬碟 (Beta 版):讓具備註解或檢視權限的使用者複製、下載及列印雲端硬碟檔案。

必要條件

Workspace 版本
Chrome Enterprise Premium

(使用 Chrome 資料遺失防護功能時為必要,雲端硬碟資料遺失防護功能則不需要)

Chrome 版本

Chrome 105 以上版本

(使用 Chrome 資料遺失防護功能時為必要,雲端硬碟資料遺失防護功能則不需要)

端點驗證 電腦裝置必須開啟端點驗證功能,才能套用以裝置為依據的情境條件。(IP 位址和區域等非裝置相關屬性則無須開啟)。
行動裝置管理服務 行動裝置必須強制執行基本進階管理服務。
管理員權限 如何建立存取層級:
「服務」>「資料安全性」>「管理存取層級」
如何在資料遺失防護規則中使用存取層級:
「服務」>「資料安全性」>「管理存取層級」或
「服務」>「資料安全性」>「規則管理」

設定 Chrome 以強制執行規則

如要將資料遺失防護功能與 Chrome 整合,您需要設定 Chrome Enterprise 連接器政策

建立存取層級

  • 依序點選「安全性」>「存取權與資料控管」>「情境感知存取權」>「存取層級」,查看現有的存取層級。
  • 建立存取層級的時機有兩種,分別是建立資料遺失防護規則前,或建立規則期間。如果您要在建立資料遺失防護規則前建立存取層級,請參閱「建立存取層級」的操作說明。以下示例說明如何在建立資料遺失防護規則期間建立存取層級。
  • 您可以將單一存取層級指派給資料遺失防護規則。如要建立具有多個存取層級的複雜條件,請使用進階模式

資料遺失防護和情境感知存取權規則示例

以下示例說明如何結合資料遺失防護規則與情境感知存取權層級,根據使用者的 IP 位址、位置或裝置狀態強制執行規則。

請注意,這些示例包括在建立資料遺失防護規則期間建立存取層級所需的步驟。如果您已建立存取層級,則可在建立規則時略過這些步驟。

示例 1:禁止在使用公司網路以外的裝置上下載機密內容 (Chrome)
  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 依序點選「規則」接下來「建立規則」接下來「資料保護」
  3. 新增規則名稱和說明。
  4. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組之間有關於納入或排除作業的衝突,系統會優先選擇群組。
  5. 按一下 [繼續]
  6. 在「應用程式」部分的「Chrome」下方,勾選「已下載檔案」
  7. 按一下 [繼續]
  8. 在「條件」部分中,按一下「新增條件」
  9. 在「要掃描的內容類型」部分,選擇「所有內容」
  10. 在「掃描用途」部分中,選擇資料遺失防護掃描類型並選取屬性。如要進一步瞭解可用屬性,請參閱「建立資料遺失防護規則」。
  11. 在「情境條件」部分中,按一下「選取存取層級」即可顯示現有的存取層級。
  12. 按一下「建立新的存取層級」
  13. 輸入新存取層級的名稱和說明。
  14. 在「情境條件」中,按一下「新增條件」
  15. 選取「不符合 1 或多個屬性」
  16. 依序點選「選取屬性」接下來「IP 子網路」,然後輸入貴公司網路的 IP 位址。請使用 IPv4 或 IPv6 位址,或是採用 CIDR 區塊標記法的路徑前置字元。
    • 不支援私人 IP 位址 (包括使用者的家用網路)。
    • 支援靜態 IP 位址。
    • 如要使用動態 IP 位址,您必須為存取層級定義靜態 IP 子網路。如果您知道動態 IP 位址的範圍,且在存取層級中定義的靜態 IP 位址涵蓋該範圍,即符合情境條件。如果動態 IP 位址不在定義的靜態 IP 子網路範圍內,就不符合情境條件。
  17. 按一下「建立」。返回「建立規則」頁面。新的存取層級隨即會新增至清單中,右側會顯示屬性。
  18. 按一下「繼續」
  19. 在「動作」頁面中,針對 Chrome 操作選擇「封鎖」

    注意:只有在同時符合內容條件情境條件時,系統才會套用動作。

  20. (選用) 選擇快訊的嚴重程度 (低、中或高),以及是否要傳送快訊和電子郵件快訊通知。
  21. 按一下「繼續」查看規則詳情。
  22. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已存在,但未生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。日後如要啟用規則,請依序前往「安全性」>「存取權與資料控管」>「資料保護」>「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  23. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

示例 2:禁止使用者從高風險的特定國家/地區下載機密內容 (Chrome)
  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 依序點選「規則」接下來「建立規則」接下來「資料保護」
  3. 新增規則名稱和說明。
  4. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組之間有關於納入或排除作業的衝突,系統會優先選擇群組。
  5. 按一下 [繼續]
  6. 在「應用程式」部分的「Chrome」下方,勾選「已下載檔案」
  7. 按一下 [繼續]
  8. 在「條件」部分中,按一下「新增條件」
  9. 在「要掃描的內容類型」部分,選擇「所有內容」
  10. 在「掃描用途」部分中,選擇資料遺失防護掃描類型並選取屬性。如要進一步瞭解可用屬性,請參閱「建立資料遺失防護規則」。
  11. 在「情境條件」部分中,按一下「選取存取層級」即可顯示現有的存取層級。
  12. 按一下「建立新的存取層級」
  13. 輸入新存取層級的名稱和說明。
  14. 在「情境條件」中,按一下「新增條件」
  15. 選取「符合所有屬性」
  16. 依序按一下「選取屬性」接下來「地點」,然後從下拉式清單中選取國家/地區。
  17. (選用) 如要新增其他國家/地區,請按一下「新增條件」,然後重複執行步驟 16。
  18. (選用) 如果您已選取多個國家/地區,請將「使用以下運算子結合多個條件:」切換按鈕 (位於「條件」上方) 設為「或」。也就是說,如果使用者從任何所選國家/地區登入,系統就會套用資料遺失防護規則。
  19. 按一下「建立」。返回「建立規則」頁面。新的存取層級隨即會新增至清單中,右側會顯示屬性。
  20. 按一下「繼續」
  21. 在「動作」頁面中,針對 Chrome 操作選擇「封鎖」

    注意:只有在同時符合內容條件情境條件時,系統才會套用動作。

  22. (選用) 選擇快訊的嚴重程度 (低、中或高),以及是否要傳送快訊和電子郵件快訊通知。
  23. 按一下「繼續」查看規則詳情。
  24. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已存在,但未生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。日後如要啟用規則,請依序前往「安全性」>「存取權與資料控管」>「資料保護」>「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  25. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

示例 3:禁止未經管理員核准的裝置下載機密內容 (雲端硬碟) (Beta 版)
  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 依序點選「規則」接下來「建立規則」接下來「資料保護」
  3. 新增規則名稱和說明。
  4. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組之間有關於納入或排除作業的衝突,系統會優先選擇群組。
  5. 按一下 [繼續]
  6. 在「應用程式」中,勾選「Google 雲端硬碟」下方的「雲端硬碟檔案」
  7. 按一下 [繼續]
  8. 在「條件」部分中,按一下「新增條件」
  9. 在「要掃描的內容類型」部分,選擇「所有內容」
  10. 在「掃描用途」部分中,選擇資料遺失防護掃描類型並選取屬性。如要進一步瞭解可用屬性,請參閱「建立資料遺失防護規則」。
  11. 在「情境條件」部分中,按一下「選取存取層級」即可顯示現有的存取層級。
  12. 按一下「建立新的存取層級」
  13. 輸入新存取層級的名稱和說明。
  14. 在「情境條件」中,按一下「新增條件」
  15. 選取「不符合 1 或多個屬性」
  16. 依序按一下「選取屬性」接下來「裝置」,然後從下拉式選單中選取「管理員已核准」
  17. 按一下「建立」。返回「建立規則」頁面。新的存取層級隨即會新增至清單中,右側會顯示屬性。
  18. 按一下 [繼續]
  19. 在「動作」頁面中,針對 Google 雲端硬碟動作選擇「禁止加註者和檢視者執行下載、列印及複製作業」

    注意:只有在同時符合內容條件情境條件時,系統才會套用動作。

  20. (選用) 選擇快訊的嚴重程度 (低、中或高),以及是否要傳送快訊和電子郵件快訊通知。
  21. 按一下「繼續」查看規則詳情。
  22. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已存在,但未生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。日後如要啟用規則,請依序前往「安全性」>「存取權與資料控管」>「資料保護」>「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  23. 按一下「Create」(建立)

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

範例 4:禁止在未受管理的裝置上使用 Chrome 前往「salesforce.com/admin」(Chrome)

在本範例中,如果使用者嘗試透過非受管裝置前往 Salesforce 管理控制台 (salesforce.com/admin),就會遭到封鎖。使用者仍然可以存取 Salesforce 應用程式的其他部分。

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 依序點選「規則」接下來「建立規則」接下來「資料保護」
  3. 新增規則名稱和說明。
  4. 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組之間有關於納入或排除作業的衝突,系統會優先選擇群組。
  5. 按一下 [繼續]
  6. 在「應用程式」中,勾選「Chrome」下方的「造訪過的網址」
  7. 按一下 [繼續]
  8. 在「條件」部分中,按一下「新增條件」 並選取下列值:
    1. 掃描內容類型:網址
    2. 掃描項目:包含文字字串
    3. 要比對的內容:salesforce.com/admin
  9. 在「情境條件」部分中,按一下「選取存取層級」即可顯示現有的存取層級。
  10. 按一下「建立新的存取層級」
  11. 輸入新存取層級的名稱和說明。
  12. 在「情境條件」中,按一下「進階」分頁標籤。
  13. 在文字方塊中輸入以下內容:
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    進一步瞭解進階模式

  14. 按一下 [建立]。返回「建立規則」頁面。新的存取層級隨即會新增至清單中,右側會顯示屬性。
  15. 按一下「繼續」
  16. 在「動作」頁面中,針對 Chrome 操作選擇「封鎖」

    注意:只有在同時符合內容條件情境條件時,系統才會套用動作。

  17. (選用) 選擇快訊的嚴重程度 (低、中或高),以及是否要傳送快訊和電子郵件快訊通知。
  18. 按一下「繼續」查看規則詳情。
  19. 選擇規則狀態:
    • 有效:您的規則會立即執行。
    • 無效:您的規則已存在,但未生效。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。日後如要啟用規則,請依序前往「安全性」>「存取權與資料控管」>「資料保護」>「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
  20. 按一下「建立」

注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。

常見問題

情境感知存取權結合資料遺失防護規則如何在舊版 Chrome 上運作?

舊版 Chrome 會忽略情境條件,像是只設定內容條件般執行規則。

受管理的瀏覽器規則可以在無痕模式運作嗎?

不可以,規則不適用於無痕模式。管理員可以在使用者登入時強制執行情境感知存取權,禁止他們透過 Chrome 無痕模式登入 Workspace 或軟體式服務 (SaaS) 應用程式。

受管理瀏覽器和受管理使用者是否需要隸屬於相同企業,才能套用規則?

如果受管理瀏覽器和受管理的設定檔使用者都屬於同一個企業,則會同時套用瀏覽器層級和使用者層級的資料遺失防護規則。

如果受管理瀏覽器和受管理的設定檔使用者分別屬於不同的企業,則系統只會套用瀏覽器層級的資料遺失防護規則。系統一律會將情境條件視為相符項目,並強制執行最嚴格的結果。根據 IP 或區域設定的條件不會受到任何影響。

管理控制台和 Google Cloud 控制台是否支援相同的存取層級?

管理控制台中的情境感知存取權不支援 Google Cloud 控制台支援的所有屬性。因此,在 Google Cloud 控制台中建立的所有基本存取層級 (包含這些屬性),都可以在管理控制台中指派,但無法在該處編輯。

在管理控制台的「規則」頁面中,您可以指派在 Google Cloud 控制台中建立的存取層級,但無法針對不支援的屬性查看存取層級詳細資料。

為什麼我在建立規則時沒有看見情境條件資訊卡?
  • 您必須具備「服務 > 資料安全性 > 管理存取層級」管理員權限,才能在建立資料遺失防護規則規則時查看情境條件。
  • 只有在建立規則時選取 Chrome 觸發條件,系統才會顯示「情境條件」資訊卡。
如果已指派的存取層級遭到刪除,會發生什麼情況?

如果已指派的存取層級遭到刪除,情境條件會預設為「是」,規則也會變成「僅限內容規則」。請注意,在這種情況下,規則會套用至更多裝置/用途,比您原先預期還多。

是否需要啟用情境感知存取權,才能讓情境條件在規則中運作?

否,規則中的存取層級評估與情境感知存取權設定無關。情境感知存取權的啟用與指派作業不應影響規則。

如果規則條件為空白,會發生什麼情況?

根據預設,系統會評估空白條件為「是」。也就是說,在僅限情境感知存取權的規則中,內容條件可留空。請注意,如果內容與情境條件都留空,一律會觸發規則。

如果只符合其中一項條件,會觸發規則嗎?

不會。只有在「同時」符合內容和情境條件時,系統才會觸發規則。

為什麼我會看到記錄事件指明資料遺失防護規則並未強制執行?

資料遺失防護規則和情境感知存取權都必須依賴背景服務,這些服務可能會定期中斷。如果在強制執行規則時發生服務中斷,系統就不會強制執行任何規則。在這種情況下,規則記錄Chrome 記錄中都會記錄事件。

如果「未」安裝端點驗證,情境條件的運作方式為何?

如果是與裝置相關的屬性,系統會將情境條件視為相符,並強制執行最嚴格的結果。IP 位址和區域等非裝置相關屬性則不會有所變動。

我可以在安全調查工具中查看觸發規則的存取層級資訊嗎?

可以。如要查看存取層級的資訊,請在搜尋結果的「存取層級」欄中搜尋「規則記錄事件」或「Chrome 記錄事件」。

使用者修復功能可以用於規則中的情境條件嗎?

不可以,這些流程目前尚未提供使用者修復功能。

相關主題

使用 Workspace 資料遺失防護功能避免資料遺失

情境感知存取權簡介

使用 Chrome Enterprise Premium 將資料遺失防護功能與 Chrome 整合

這對您有幫助嗎?

我們應如何改進呢?
搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單