支援這項功能的版本:Business Standard 和 Business Plus;Enterprise Starter、Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Essentials、Enterprise Essentials 和 Enterprise Essentials Plus。 版本比較
若 Cloud Identity 進階版使用者也擁有 Google Workspace 授權,即可使用雲端硬碟資料遺失防護和 Chat 資料遺失防護功能。如要使用雲端硬碟資料遺失防護功能,授權必須包含雲端硬碟記錄事件。
管理員可以使用資料遺失防護 (DLP) 規則,根據機密內容偵測結果自動為雲端硬碟檔案套用標籤。這些範例中的標籤和資料名稱並非標籤管理工具或資料遺失防護功能的實際資料。
雲端硬碟資料遺失防護的標籤規則條件
您可以在規則條件中使用雲端硬碟標籤。
支援的條件如下:
- 檢查標籤是否存在。
- 如果「選項」清單的「可複選」設定停用,請檢查一或多個「選項」清單欄位值是否存在。
- 否定上述條件。
不支援以下條件:
- 如果「選項」清單的「可複選」設定已啟用,請檢查「選項」清單欄位的值。
- 檢查其他欄位類型的值,例如「數字」、「日期」、「文字」或「個人資料」。
雲端硬碟資料遺失防護的標籤規則動作
將雲端硬碟標籤做為自動套用的資料遺失防護動作。資料遺失防護規則觸發後,資料遺失防護功能會以動作的型式,將標籤套用至符合規則條件的雲端硬碟檔案。
支援下列規則動作:
- 在選項清單「可複選」設定停用時,套用標籤和「選項」清單欄位值。
不支援下列規則動作:
- 套用標籤但不套用欄位值。不過,您可以調整預設分類設定,將標籤套用到新建立的檔案和變更擁有權的檔案。詳情請參閱「自動將分類標籤套用至新檔案」。
- 啟用「選項」清單設定的「可複選」設定時,套用標籤和「選項」清單欄位。
- 套用包含其他欄位類型的標籤,例如「數字」、「日期」、「文字」或「個人資料」。
事前準備
將雲端硬碟標籤與資料遺失防護規則搭配使用前,您必須先:
- 瞭解雲端硬碟標籤的用途和功能。詳情請參閱「開始使用雲端硬碟標籤管理員」。
- 建立標籤,或瞭解您要使用的現有標籤。
如果您需要使用特定條件或動作來套用標籤,請透過資料遺失防護規則自動套用標籤。如果您只想將標籤套用至特定使用者建立的新檔案,請使用資料分類設定。
預設分類標籤的運作方式
- 為新檔案套用標籤,或在檔案擁有權變更時套用標籤除非變更檔案擁有者,否則預設分類不會為現有檔案套用標籤。
- 根據檔案擁有者的機構單位或群組套用標籤。預設分類不會針對特定條件搜尋檔案內容或中繼資料。
- 如果使用者有變更標籤的權限,可以在自動套用標籤後將其變更或移除。
- 預設分類僅支援含有選項清單欄位的標籤。
- 即使預設分類標籤在選項清單中的資料分類值較高,系統仍會使用 DLP 設定的標籤覆寫分類標籤。
資料遺失防護規則設定的標籤如何運作
- 將標籤套用至新檔案和現有檔案。
- 根據檔案類型、字詞相符和字串相符等條件套用標籤。資料遺失防護規則不接受以機構單位或群組做為條件。
- 如果資料遺失防護規則使用標籤做為條件,則無法套用標籤。
- 您可以禁止使用者變更標籤,即使對方具備變更權限也一樣。如果使用者變更標籤,資料遺失防護功能會立即再次掃描檔案,並還原為資料遺失防護標籤設定。
- 如果檔案有由資料遺失防護規則套用的標籤,外部使用者就無法查看該檔案的版本記錄。
- 資料遺失防護規則可以套用包含選項清單欄位的標籤,包括標記標籤。
AI 分類標籤的運作方式
- 將標籤套用至新檔案和現有檔案。
- AI 分類僅支援含有單一選項清單欄位 (包含 2 到 4 個值) 的標籤。
- 在訓練期結束後套用標籤。在訓練期間,指定的標籤人員會針對每個欄位選項,將訓練標籤套用到至少 100 個檔案。
- AI 分類標籤會遭到資料遺失防護規則設定的標籤覆寫,但也會覆寫預設分類標籤。
DLP 規則設定的標籤值優先於 AI 分類,且兩者的優先順序高於預設分類。
當 2 個以上相同規則嘗試為同一個檔案套用不同的標籤值時,系統會套用標籤選項清單中優先順序較高的值。舉例來說,有一個標籤,其欄位在標籤管理工具中列出 3 個選項:
- 機密
- 內部
- 公開
如果規則 1 嘗試將標籤設為機密,規則 2 嘗試將同一檔案的標籤設為公開,則系統會套用機密 (規則 1)。因此設定規則前,請確認標籤欄位選項會按照您希望的優先順序列出。
設定資料遺失防護規則,以便套用雲端硬碟標籤
- 首先請按照「建立雲端硬碟資料遺失防護規則和自訂內容偵測工具」一文中的步驟建立規則。
- 前往「觸發條件」部分,選取「Google 雲端硬碟」,然後按一下「繼續」。
- 設定條件,然後按一下「繼續」。注意:您無法使用雲端硬碟標籤做為套用雲端硬碟標籤的規則條件。
- 在「動作」部分中,選取「套用雲端硬碟標籤」。 如果無法使用這個選項,請確認您並未輸入雲端硬碟標籤做為條件。
- 為要套用的雲端硬碟標籤指定詳細資料。系統僅支援設有「選項清單」欄位類型的標記標籤和標準標籤。詳情請參閱「開始使用雲端硬碟標籤管理員」。
- 為具備變更標籤權限的使用者進行設定,決定他們是否能變更這項資料遺失防護規則套用的標籤和欄位值。僅適用於具有單一欄位選項的標籤。使用者必須有權在標籤管理工具中變更標籤。
- 如果設為「允許」,資料遺失防護功能不會變更使用者設定的標籤和欄位值。不過,資料遺失防護功能仍會重新套用使用者移除的標籤和欄位值。
- 如果設為「不允許」,當使用者變更或移除這項資料遺失防護規則套用的標籤時,資料遺失防護功能就會再次掃描檔案,並還原為資料遺失防護規則的標籤設定。
- 繼續設定規則。視需要按一下「新增標籤」來新增其他標籤。
運用資料遺失防護規則與雲端硬碟標籤
凡是與資料遺失防護規則相關聯的標籤、欄位和欄位選項,在標籤管理工具中都會遭到鎖定,這可以防止他人編輯可能違反企業政策的標籤或欄位。將標籤、欄位或欄位選項從所有資料遺失防護規則中移除,即可解除鎖定。
是否可以在標籤管理工具中執行下列編輯作業:
- 重新命名或新增欄位/欄位選項 - 可以。
- 停用或刪除資料遺失防護規則中使用的標籤、欄位或欄位選項 - 不可以。具備「管理標籤」權限的管理員可以查看規則中是否有使用標籤,但除非獲得必要權限,否則無法查看規則本身。
您無法建立含有已停用標籤、欄位或欄位選項的資料遺失防護規則,即使是在已發布的標籤的草稿中也一樣。
如果您不小心透過資料遺失防護規則將標籤 (或標籤和欄位值) 廣泛套用至各式檔案,可以使用資料遺失防護功能清除這類變更。
如要採取這個做法,請將套用變更的資料遺失防護規則設為停用,規則會自動移除標籤和任何欄位值。或者,您也可以編輯上述資料遺失防護規則,將「套用標籤」動作移除,這麼做也會移除規則所套用的標籤和欄位值。套用這項變更可能需要幾分鐘、數小時或更多時間,具體情形取決於必須更新的文件數量。
如果您將「選取是否允許使用者對套用至個人檔案的標籤和欄位值進行變更」 選項設為「允許」,這項清除作業便會出現例外狀況。透過資料遺失防護規則修改的標籤和欄位將遭到移除,但使用者修改的標籤和欄位值則不受影響。
如果您想調查檔案的哪些內容發生異動,請查看雲端硬碟稽核記錄。「事件說明」欄會列出資料遺失防護的動作,例如資料遺失防護規則套用了合約標籤。詳情請參閱「雲端硬碟稽核記錄」。
使用資料遺失防護功能自動套用標籤後,雖然您可以對雲端硬碟中的多份文件進行變更,但這可能導致受影響檔案的數量超出預期。相較於只對少數檔案造成影響的規則,更新大量檔案的規則可能需要較長的處理時間。因此我們建議您先測試對少量樣本套用標籤的規則,然後再將標籤套用至大量樣本。
