支持此功能的版本:商务标准版和商务 Plus 版;企业新手版、企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;Essentials、Enterprise Essentials和Enterprise Essentials Plus。 比较您的版本
Cloud Identity 专业版用户只要拥有 Google Workspace 许可,即可使用云端硬盘 DLP 和 Chat DLP 功能。对于云端硬盘 DLP 功能,许可必须包含云端硬盘日志事件服务。
作为管理员,您可以使用数据泄露防护 (DLP) 规则,让系统在检测到敏感内容时,自动为云端硬盘文件添加标签。这些示例中的标签和数据名称并不是标签管理器或 DLP 规则中的真实数据。
云端硬盘标签 DLP 规则条件
您可以在规则条件中使用云端硬盘标签。
支持以下条件:
- 检查是否存在标签。
- 停用选项列表的允许多选设置后,请检查是否存在一个或多个选项列表字段值。
- 否定上述条件。
不支持以下条件:
- 启用选项列表的允许多选设置后,请检查选项列表字段值。
- 请检查其他字段类型的值,例如数字、日期、文字或人员。
云端硬盘标签 DLP 规则操作
将云端硬盘标签作为自动应用的数据泄露防护操作应用。触发 DLP 规则后,DLP 会将标签作为操作应用于符合规则条件的云端硬盘文件。
支持以下规则操作:
- 停用选项列表的允许多选设置后,应用标签和选项列表字段值。
不支持以下规则操作:
- 应用标签,而不是字段值。不过,您可以配置默认分类设置,以便向新创建的文件和所有权发生变更的文件应用标签。有关详情,请参阅自动为新文件应用分类标签。
- 启用选项列表的允许多选设置后,应用标签和选项列表字段。
- 应用其他字段类型的标签,例如数字、日期、文字或人员。
准备工作
通过 DLP 规则使用云端硬盘标签前,您需要:
- 了解云端硬盘标签的用途和功能。有关详情,请参阅云端硬盘标签管理员使用入门。
- 创建标签或了解您要使用的现有标签。
如果您需要使用特定条件或操作来添加标签,请使用 DLP 规则来自动添加标签。如果您只想对特定用户创建的新文件添加标签,请使用数据分类设置。
默认分类标签的工作原理
- 为新文件以及在文件所有权发生变化时应用标签。默认分类不会以可追溯方式将标签应用于现有文件,除非文件所有者发生变化。
- 根据文件所有者的组织部门或群组应用标签。对于某些条件,默认分类不会搜索文件内容或元数据。
- 如果用户有权更改标签,则在标签自动应用后,他们可以更改或移除标签。
- 默认分类仅支持具有选项列表字段的标签。
- 即使数据分类值在选项列表中的位置更高,DLP 设置的标签也会覆盖默认分类标签。
DLP 规则设置的标签的工作原理
- 将标签应用于新文件和现有文件。
- 根据文件类型、字词匹配和字符串匹配等条件应用标签。DLP 规则不接受将组织部门或群组作为条件。
- 您无法通过将标签用作条件的 DLP 规则来应用标签。
- 您可以禁止用户更改标签,即使用户有权更改也是如此。如果用户更改标签,DLP 会立即再次扫描文件并还原为 DLP 标签配置。
- 如果 DLP 规则为文件应用了标签,则外部用户在任何时候都无法查看这类文件的版本记录。
- DLP 规则可以应用具有选项列表字段的标签,包括标记标签。
AI 分类标签的工作原理
- 将标签应用于新文件和现有文件。
- AI 分类仅支持具有一个选项列表字段(包含 2-4 个值)的标签。
- 在训练期结束后应用标签。在训练期间,指定的标签添加者会对每个字段选项,将训练标签应用于至少 100 个文件。
- AI 分类标签会被 DLP 设置的标签覆盖,但会覆盖默认分类标签。
数据泄露防护 (DLP) 规则设置的标签值优先于 AI 分类,并且两者都优先于默认分类。
当 2 条或更多同一类型的规则尝试对同一文件应用不同的标签值时,系统会应用标签选项列表中位置更高的值。例如,您可能有一个标签,其中的某个字段在标签管理器中列出了 3 个选项:
- 机密
- 内部
- 公开
如果规则 1 尝试将标签设为机密,而规则 2 尝试将同一文件的标签设为公开,则系统会应用机密(规则 1)。设置规则之前,请确保标签的字段选项按您偏好的优先级顺序列出。
设置 DLP 规则以应用云端硬盘标签
- 首先按照创建云端硬盘 DLP 规则和自定义内容检测器中的步骤创建规则。
- 进入触发器部分后,选择 Google 云端硬盘,然后点击继续。
- 配置条件,然后点击继续。注意:您无法将云端硬盘标签用作应用云端硬盘标签的规则的条件。
- 在操作部分,选择应用云端硬盘标签。 如果无法使用此选项,请确保您没有输入云端硬盘标签作为条件。
- 指定要应用的云端硬盘标签的详细信息。仅支持字段类型为选项列表的标记标签和标准标签。有关详情,请参阅云端硬盘标签管理员使用入门。
- 选择有权更改标签的用户是否可以更改此 DLP 规则应用的标签和字段值。仅适用于具有单字段选项的标签。用户必须有权在标签管理器中更改标签。
- 设置为允许时,DLP 不会更改用户设置的标签和字段值。不过,DLP 会重新应用用户移除的标签和字段值。
- 设置为不允许时,如果用户更改或移除此 DLP 规则应用的标签,则更改会导致 DLP 再次扫描文件并还原为 DLP 规则的标签配置。
- 继续配置规则。如果需要,您可以点击添加标签以添加其他标签。
使用 DLP 规则和云端硬盘标签
与 DLP 规则关联的标签、字段和字段选项在标签管理器中处于锁定状态。这样可以防止对标签或字段进行编辑,进而违反公司政策。从所有 DLP 规则中移除标签、字段或字段选项,即可解除锁定。
您可在标签管理器中执行如下修改:
- 允许重命名或添加新字段或字段选项。
- 不允许停用或删除 DLP 规则中使用的标签、字段或字段选项。拥有管理标签权限的管理员可以查看某条规则是否已使用标签,但无法查看规则本身,除非他们拥有所需权限。
您无法创建包含已停用的标签、字段或字段选项的 DLP 规则,即使在已发布的标签草稿中也不例外。
如果您通过 DLP 规则不小心将标签(或标签值和字段值)用于大量文件,您可以使用 DLP 功能清理这些更改。
为此,请停用进行了这些更改的 DLP 规则。该规则会自动移除相应标签和任何字段值。您也可以修改相关的 DLP 规则,以移除应用标签操作。此操作还会移除该规则添加的标签和字段值。执行此更改可能需要几分钟、几小时或更长时间,具体取决于需要更新的文档数量。
但是,如果您使用选择是否允许用户更改其文件所应用的标签和字段值 - 允许选项,则会出现例外情况。 DLP 规则修改的标签和字段会被移除,但用户修改的标签和字段值将保持不变。
如果您想调查文件发生了什么变化,请查看云端硬盘审核日志。事件“描述”列会列出 DLP 操作,例如 DLP 规则添加了标签“合同”。有关详情,请参阅云端硬盘审核日志。
使用 DLP 功能自动添加标签,可让您更改云端硬盘中的多个文档。这可能会导致受影响的文件数超出您的预期。与仅更新少量文件的规则相比,更新大量文件的规则可能需要更长的时间来执行操作。您最好先测试规则,针对较少的样本添加标签,然后再大范围使用。
