支援這項功能的版本:Enterprise 和 Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和 Education Plus。 版本比較
擁有 Google Workspace 授權的 Cloud Identity 進階版使用者皆可使用雲端硬碟資料遺失防護功能和 Chat 資料遺失防護功能。如要使用雲端硬碟資料遺失防護功能,授權必須含有雲端硬碟稽核記錄。
管理員可以為雲端硬碟檔案套用標籤,利用自動分類功能來支援公司的資料安全性政策。
對資料遺失防護規則來說,自動分類是指根據敏感內容偵測結果,為新的或現有雲端硬碟檔案套用分類標籤 (使用本文所述的資料遺失防護規則)。這個方法可依機構單位或群組中的使用者成員資格來確定範圍。
這些功能適用於所有 Google 雲端硬碟檔案,並且使用雲端硬碟標籤和欄位 (有時稱為中繼資料)。
本文中的範例假設您之前曾在標籤管理工具中建立標籤,這些範例中的標籤和資料名稱並非標籤管理工具或資料遺失防護功能的實際資料。
事前準備
將雲端硬碟標籤與資料遺失防護規則搭配使用前,您必須先:
- 瞭解雲端硬碟標籤的用途和功能。詳情請參閱「以雲端硬碟標籤管理員身分開始使用」。
- 建立標籤,或瞭解您要使用的現有標籤。
所謂自動分類,是指根據敏感內容偵測結果和機構單位或群組的檔案擁有權 (個人或共用雲端硬碟),為現有的或新的雲端硬碟檔案套用分類標籤。請注意,使用者可以隸屬不同的機構單位,這表示使用者和共用雲端硬碟可能已有不同的自動分類政策。
請注意,檔案擁有權變更時,系統會將自動分類設定套用至新擁有者。舉例來說,如果使用者將檔案從「我的雲端硬碟」移至團隊的共用雲端硬碟,系統就會套用該共用雲端硬碟的標籤。相反地,如果使用者將檔案移出團隊的共用雲端硬碟,系統就會套用該使用者的標籤。
在資料遺失防護規則中使用雲端硬碟中繼資料時,請注意以下事項:
- 您「無法」針對具有中繼資料條件的規則建立中繼資料動作。
- 您「可以」依據您在其他規則中新增為動作的中繼資料,使用具有中繼資料條件的新規則。
雲端硬碟中的標籤值是在首次執行規則動作時建立的。如果檔案或資料遺失防護規則有所變更,這個值可能也會隨之變動。
在下列情況下,這個值會保持不變:
- 雲端硬碟檔案未變動
- 根據雲端硬碟標籤使用動作的資料遺失防護規則未變更
- 未新增任何根據雲端硬碟標籤使用動作的資料遺失防護規則
如果兩個以上的規則嘗試為同一檔案套用相衝突的標籤選項,標籤值可能就會改變。在這種情況下,如果標籤管理工具中已建立選項清單,系統會套用其中順位較前的選項。假設某個欄位在標籤管理工具中列有三個選項:
- 機密
- 內部
- 公開
如果規則 1 嘗試套用欄位值「機密」,而規則 2 嘗試將欄位值「公開」套用到同一個檔案,那麼系統會套用「機密」(規則 1)。
設定資料遺失防護規則時,您可以透過「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」選項,選擇是否要讓使用者變更套用至檔案的標籤和欄位值。選取「允許」即可啟用這個選項。如果您啟用這項設定,系統就不會變更使用者設定的標籤和欄位值。
如果您使用這個選項,使用者可以在規則執行後更改值。請注意,即使您選取這個選項,資料遺失防護功能仍會重新套用使用者移除的標籤和欄位值。此外,如果使用者在資料遺失防護規則執行前套用了值,這項規則就不會套用新的值。
另外要注意的一點是,使用者必須具備標籤管理工具中標籤的「套用者」存取權,才能套用標籤或設定欄位值,即使您已使用「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」選項也一樣。
如要禁止使用者變更標籤和欄位值,請選取「禁止。如果使用者進行變更,系統會重新套用規則標籤和欄位值」。在這種情況下,當使用者移除標籤或變更資料遺失防護功能套用的欄位值時,所做變更就會觸發系統立即重新執行資料遺失防護規則,進而將已移除的標籤和更動過的欄位值還原為原本套用的值。
注意:「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」選項僅適用於具有單一欄位選項的資料遺失防護規則。
雲端硬碟標籤的資料遺失防護規則條件範例
請在規則條件中使用雲端硬碟標籤。
在這個範例中,雲端硬碟標籤名為「合約」,內含「成本中心」欄位,其中具有單一成本中心值「財務」。資料遺失防護功能掃描雲端硬碟並找到雲端硬碟標籤「合約成本中心
財務」時,就會比對與該雲端硬碟標籤和欄位值「財務」相關聯的檔案。
如果是標記標籤,雲端硬碟標籤和標籤欄位中的標籤值則會相同。詳情請參閱「管理雲端硬碟標籤」。
設定步驟如下:
- 在「觸發條件」部分中,選取「Google 雲端硬碟」。
- 在規則設定流程中,前往「條件」部分,然後點選「新增條件」。
- 為條件欄位指定以下值:
- 欄位 - 雲端硬碟標籤
- 值 - 是
- 雲端硬碟標籤 - 合約
- 標籤欄位 - 成本中心
- 欄位選項 - 財務
- 按一下「繼續」即可繼續設定規則。
在這個範例中,雲端硬碟標籤的名稱為「分類」,欄位為「機密等級」,而欄位值為「琥珀色」、「紅色」和「綠色」。資料遺失防護功能掃描雲端硬碟時,會比對 Google 雲端硬碟中沒有標籤值 (「分類」) 或欄位值 (「琥珀色」、「紅色」或「綠色」) 的所有檔案。
請注意,在資料遺失防護規則中以此方式使用「NOT」運算子,會導致該規則的觸發率偏高,進而造成資料遺失防護功能在規則執行時比對大量檔案,因此會耗費寶貴時間並產生許多稽核事件。此外,當使用者建立新檔案時,除非檔案經過分類,否則仍會觸發規則。
設定步驟如下:
- 在「觸發條件」部分中,選取「Google 雲端硬碟」。
- 在規則設定流程中,前往「條件」部分,按一下「新增條件」。
- 為條件欄位指定以下值:
- 欄位 - 雲端硬碟標籤
- 值 - 是
- 雲端硬碟標籤 - 分類
- 標籤欄位 - 機密等級
- 欄位選項 - 琥珀色、紅色、綠色
- 選取「NOT」。
- 按一下「繼續」即可繼續設定規則。
雲端硬碟標籤的資料遺失防護規則動作範例
請使用雲端硬碟標籤做為自動套用的資料遺失防護動作。資料遺失防護規則觸發後,資料遺失防護功能會以動作的型式,將標籤套用至符合規則條件的雲端硬碟檔案。
在這個範例中,雲端硬碟標籤名為「合約」,內含「成本中心」欄位,其中具有單一成本中心值「財務」。資料遺失防護功能掃描雲端硬碟並找到雲端硬碟標籤「合約成本中心
財務」時,就會比對與該雲端硬碟標籤和欄位值「財務」相關聯的檔案。
設定步驟如下:
- 在規則設定流程中,前往「觸發條件」部分,選取「Google 雲端硬碟」,然後點選「繼續」。
- 設定條件
按一下「繼續」。
- 在「動作」部分中,選取「套用雲端硬碟標籤」。
- 為動作欄位指定以下值:
- 雲端硬碟標籤 - 合約
- 標籤欄位 - 成本中心
- 標籤選項 - 財務
- 在「使用者進行變更」底下,選取「允許」。
- 按一下「新增標籤」。
- 按一下「繼續」即可繼續設定規則。
運用資料遺失防護規則與雲端硬碟標籤
凡是與資料遺失防護規則相關聯的標籤、欄位和欄位選項,在標籤管理工具中都會遭到鎖定,這可以防止他人編輯可能違反企業政策的標籤或欄位。將標籤、欄位或欄位選項從所有資料遺失防護規則中移除,即可解除鎖定。
是否可以在標籤管理工具中執行下列編輯作業:
- 重新命名或新增欄位/欄位選項 - 可以。
- 停用或刪除資料遺失防護規則中使用的標籤、欄位或欄位選項 - 不可以。具備「管理標籤」權限的管理員可以查看規則中是否有使用標籤,但除非獲得必要權限,否則無法查看規則本身。
您無法建立含有已停用標籤、欄位或欄位選項的資料遺失防護規則,即使是在已發布的標籤的草稿中也一樣。
如果您不小心透過資料遺失防護規則將標籤 (或標籤和欄位值) 廣泛套用至各式檔案,可以使用資料遺失防護功能清除這類變更。
如要採取這個做法,請將套用變更的資料遺失防護規則設為停用,規則會自動移除標籤和任何欄位值。或者,您也可以編輯上述資料遺失防護規則,將「套用標籤」動作移除,這麼做也會移除規則所套用的標籤和欄位值。套用這項變更可能需要幾分鐘、數小時或更多時間,具體情形取決於必須更新的文件數量。
如果您將「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」 選項設為「允許」,這項清除作業便會出現例外狀況。透過資料遺失防護規則修改的標籤和欄位將遭到移除,但使用者修改的標籤和欄位值則不受影響。
如果您想調查檔案的哪些內容發生異動,請查看雲端硬碟稽核記錄。「事件說明」欄會列出資料遺失防護的動作,例如資料遺失防護規則套用了合約標籤。詳情請參閱「雲端硬碟稽核記錄」。
