DLP-regels combineren met voorwaarden voor contextbewuste toegang

Als u meer controle wilt over welke gebruikers en apparaten gevoelige content mogen overzetten, kunt u DLP-regels (Data Loss Prevention) combineren met voorwaarden voor contextbewuste toegang (CAA), zoals gebruikerslocatie, apparaatbeveiligingsstatus (beheerd, versleuteld) en IP-adres. Als u beleid voor contextbewuste toegang toevoegt aan een DLP-regel, wordt de regel alleen afgedwongen als aan de contextvoorwaarden wordt voldaan.

U kunt bijvoorbeeld een DLP-regel maken waarmee downloads van gevoelige content alleen worden geblokkeerd als gebruikers:

  • Zich buiten het bedrijfsnetwerk bevinden
  • Inloggen vanuit specifieke risicovolle landen
  • Apparaten gebruiken die niet zijn goedgekeurd door de beheerder

U kunt DLP-regels combineren met contextvoorwaarden om deze bewerkingen te beheren:

Chrome: Bestandsupload (bijvoorbeeld een bestand bijvoegen), uploads van webcontent (geplakte content), downloads en pagina-afdrukken.

Drive (bèta): Gebruikers met reactie- of weergaverechten die bestanden kopiëren, downloaden en afdrukken.

Vereisten

Workspace-versie
Chrome Enterprise Premium

(Vereist voor Chrome DLP, niet vereist voor Drive DLP)
Chrome-versie

Chrome 105 of later

(Vereist voor Chrome DLP, niet vereist voor Drive DLP)
Eindpuntverificatie Op desktops moet eindpuntverificatie aanstaan om apparaatgebaseerde contextvoorwaarden toe te passen. (Niet vereist voor niet-apparaatgebaseerde kenmerken zoals IP-adres en regio.)
Mobiel apparaatbeheer Op mobiele apparaten moet basisbeheer of geavanceerd beheer worden afgedwongen.
Beheerdersrechten Zo maakt u toegangsniveaus:
Services > Gegevensbeveiliging > Toegangsniveaubeheer
Zo gebruikt u toegangsniveaus in DLP-regels:
Services > Gegevensbeveiliging > Toegangsniveaubeheer of
Services > Gegevensbeveiliging > Regelbeheer

Chrome instellen voor het afdwingen van regels

Als u DLP-functies wilt integreren met Chrome, moet u Chrome Enterprise Connector-beleid instellen.

Toegangsniveaus maken

  • Ga naar Beveiliging > Toegangs- en gegevenscontrole > Contextbewuste toegang > Toegangsniveaus om uw bestaande toegangsniveaus te bekijken.
  • U kunt een toegangsniveau maken voordat u een DLP-regel maakt of tijdens het maken van de regel. Als u de pagina maakt voordat de DLP-regel wordt gemaakt, bekijkt u Toegangsniveaus maken voor instructies. In de voorbeelden hieronder maakt u het toegangsniveau tijdens het maken van DLP-regels.
  • U kunt één toegangsniveau toewijzen aan een DLP-regel. Als u complexe voorwaarden wilt maken met meerdere toegangsniveaus, gebruikt u de geavanceerde modus.

Voorbeelden van DLP-regels en regels voor contextbewuste toegang

In de volgende voorbeelden ziet u hoe u DLP-regels kunt combineren met niveaus voor contextbewuste toegang om regels af te dwingen, afhankelijk van het IP-adres, de locatie of de apparaatstatus van een gebruiker.

In deze voorbeelden ziet u de stappen om toegangsniveaus te maken tijdens het maken van DLP-regels. Als u al toegangsniveaus heeft gemaakt, kunt u die stappen weglaten als u de regel maakt.

Voorbeeld 1: Downloaden van gevoelige content op een apparaat buiten het bedrijfsnetwerk blokkeren (Chrome)
  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar Regelsand thenRegel makenand thenGegevensbescherming.
  3. Voeg een naam en beschrijving voor de regel toe.
  4. Kies in het gedeelte Bereik de optie Alles in <domein.naam> of zoek naar de organisatie-eenheden of groepen waarop de regel moet worden toegepast en sluit deze in of uit. Als er een conflict is tussen organisatie-eenheden en groepen over insluiting of uitsluiting, krijgt de groep voorrang.
  5. Klik op Doorgaan.
  6. Vink in Apps, onder Chrome, het vakje aan voor Bestand gedownload.
  7. Klik op Doorgaan.
  8. Klik in het gedeelte Voorwaarden op Voorwaarde toevoegen.
  9. Kies Alle content bij Contenttype dat moet worden gescand.
  10. Kies bij Waarop moet worden gescand een DLP-scantype en selecteer de kenmerken. Zie Een DLP-regel maken voor meer informatie over beschikbare kenmerken.
  11. Klik in het gedeelte Contextvoorwaarden op Een toegangsniveau selecteren om uw bestaande toegangsniveaus te bekijken.
  12. Klik op Nieuw toegangsniveau maken.
  13. Voer een naam en beschrijving in voor het nieuwe toegangsniveau.
  14. Klik onder Contextvoorwaarden op Voorwaarde toevoegen.
  15. Selecteer Voldoet niet aan 1 of meer kenmerken.
  16. Klik op Kenmerk selecterenand thenIP-subnet en voer het IP-adres van uw bedrijfsnetwerk in. Dit moet een IPv4- of IPv6-adres zijn of een routingsvoorvoegsel in CIDR-bloknotatie.
    • Privé-IP-adressen worden niet ondersteund (inclusief de thuisnetwerken van gebruikers).
    • Statische IP-adressen worden wel ondersteund.
    • Als u een dynamisch IP-adres wilt gebruiken, moet u een statisch IP-subnet opgeven voor het toegangsniveau. Als u het bereik van het dynamische IP-adres weet en het statische IP-adres dat u opgeeft binnen dat bereik valt, wordt aan de contextvoorwaarde voldaan. Als het dynamische IP-adres niet binnen het opgegeven statische IP-subnet valt, wordt niet voldaan aan de contextvoorwaarde.
  17. Klik op Maken. U gaat terug naar de pagina Regel maken. Het nieuwe toegangsniveau wordt toegevoegd aan de lijst en de kenmerken worden rechts weergegeven.
  18. Klik op Doorgaan.
  19. Kies op de pagina Acties, voor Chrome-acties, de optie Blokkeren.

    Opmerking: De actie wordt alleen toegepast als aan zowel de contentvoorwaarden als als aan de contextvoorwaarden is voldaan.

  20. (Optioneel) Kies een ernstniveau voor de melding (Laag, Gemiddeld of Hoog) en of u een melding en e-mailmelding wilt sturen.
  21. Klik op Doorgaan om de regelgegevens te bekijken.
  22. Kies een status voor de regel:
    • Actief: De regel wordt meteen actief.
    • Inactief: De regel bestaat, maar is niet actief. Zo kunt u de regel controleren en delen met teamleden voordat u deze implementeert. Activeer de regel later door naar Beveiliging en dan Toegang en gegevensbeheer te gaan en vervolgens naar Gegevensbescherming en dan Regels beheren. Klik op de status Inactief van de regel en selecteer Actief. De regel wordt geactiveerd en DLP scant op gevoelige content.
  23. Klik op Create (Maken).

Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie

Voorbeeld 2: Voorkomen dat gebruikers gevoelige content downloaden als ze inloggen vanuit specifieke risicovolle landen (Chrome)
  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar Regelsand thenRegel makenand thenGegevensbescherming.
  3. Voeg een naam en beschrijving voor de regel toe.
  4. Kies in het gedeelte Bereik de optie Alles in <domein.naam> of zoek naar de organisatie-eenheden of groepen waarop de regel moet worden toegepast en sluit deze in of uit. Als er een conflict is tussen organisatie-eenheden en groepen over insluiting of uitsluiting, krijgt de groep voorrang.
  5. Klik op Doorgaan.
  6. Vink in Apps, onder Chrome, het vakje aan voor Bestand gedownload.
  7. Klik op Doorgaan.
  8. Klik in het gedeelte Voorwaarden op Voorwaarde toevoegen.
  9. Kies Alle content bij Contenttype dat moet worden gescand.
  10. Kies bij Waarop moet worden gescand een DLP-scantype en selecteer de kenmerken. Zie Een DLP-regel maken voor meer informatie over beschikbare kenmerken.
  11. Klik in het gedeelte Contextvoorwaarden op Een toegangsniveau selecteren om uw bestaande toegangsniveaus te bekijken.
  12. Klik op Nieuw toegangsniveau maken.
  13. Voer een naam en beschrijving in voor het nieuwe toegangsniveau.
  14. Klik onder Contextvoorwaarden op Voorwaarde toevoegen.
  15. Selecteer Voldoet aan alle kenmerken.
  16. Klik op Kenmerk selecterenand thenLocatie en selecteer vervolgens een land in het dropdownmenu.
  17. (Optioneel) Als u meer landen wilt toevoegen, klikt u op Voorwaarde toevoegen en herhaalt u stap 16.
  18. (Optioneel) Als u meer dan één land heeft geselecteerd, stelt u de schakelaar Samenvoeging van meerdere voorwaarden met (boven Voorwaarden) in op OF. De DLP-regel wordt dan toegepast als gebruikers inloggen uit een van de geselecteerde landen.
  19. Klik op Maken. U gaat terug naar de pagina Regel maken. Het nieuwe toegangsniveau wordt toegevoegd aan de lijst en de kenmerken worden rechts weergegeven.
  20. Klik op Doorgaan.
  21. Kies op de pagina Acties, voor Chrome-acties, de optie Blokkeren.

    Opmerking: De actie wordt alleen toegepast als aan zowel de contentvoorwaarden als als aan de contextvoorwaarden is voldaan.

  22. (Optioneel) Kies een ernstniveau voor de melding (Laag, Gemiddeld of Hoog) en of u een melding en e-mailmelding wilt sturen.
  23. Klik op Doorgaan om de regelgegevens te bekijken.
  24. Kies een status voor de regel:
    • Actief: De regel wordt meteen actief.
    • Inactief: De regel bestaat, maar is niet van kracht. Zo kunt u de regel controleren en delen met teamleden voordat u deze implementeert. Activeer de regel later door naar Beveiliging en dan Toegang en gegevensbeheer te gaan en vervolgens naar Gegevensbescherming en dan Regels beheren. Klik op de status Inactief van de regel en selecteer Actief. De regel wordt geactiveerd en DLP scant op gevoelige content.
  25. Klik op Create (Maken).

Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie

Voorbeeld 3: Downloaden van gevoelige content blokkeren op een apparaat dat niet is goedgekeurd door de beheerder (Drive) (bèta)
  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar Regelsand thenRegel makenand thenGegevensbescherming.
  3. Voeg een naam en beschrijving voor de regel toe.
  4. Kies in het gedeelte Bereik de optie Alles in <domein.naam> of zoek naar de organisatie-eenheden of groepen waarop de regel moet worden toegepast en sluit deze in of uit. Als er een conflict is tussen organisatie-eenheden en groepen over insluiting of uitsluiting, krijgt de groep voorrang.
  5. Klik op Doorgaan.
  6. Vink in Apps, onder Google Drive, de optie Drive-bestanden aan. 
  7. Klik op Doorgaan.
  8. Klik in het gedeelte Voorwaarden op Voorwaarde toevoegen.
  9. Kies Alle content bij Contenttype dat moet worden gescand.
  10. Kies bij Waarop moet worden gescand een DLP-scantype en selecteer de kenmerken. Zie Een DLP-regel maken voor meer informatie over beschikbare kenmerken.
  11. Klik in het gedeelte Contextvoorwaarden op Een toegangsniveau selecteren om uw bestaande toegangsniveaus te bekijken.
  12. Klik op Nieuw toegangsniveau maken.
  13. Voer een naam en beschrijving in voor het nieuwe toegangsniveau.
  14. Klik onder Contextvoorwaarden op Voorwaarde toevoegen.
  15. Selecteer Voldoet niet aan 1 of meer kenmerken.
  16. Klik op Kenmerk selecterenand thenApparaat en selecteer vervolgens Door beheerder goedgekeurd in het dropdownmenu.
  17. Klik op Maken. U gaat terug naar de pagina Regel maken. Het nieuwe toegangsniveau wordt toegevoegd aan de lijst en de kenmerken worden rechts weergegeven.
  18. Klik op Doorgaan.
  19. Kies op de pagina Acties voor Google Drive-acties de optie Downloaden, afdrukken en kopiëren uitzetten voor reageerders en kijkers.

    Opmerking: De actie wordt alleen toegepast als aan zowel de contentvoorwaarden als als aan de contextvoorwaarden is voldaan.

  20. (Optioneel) Kies een ernstniveau voor de melding (Laag, Gemiddeld of Hoog) en of u een melding en e-mailmelding wilt sturen.
  21. Klik op Doorgaan om de regelgegevens te bekijken.
  22. Kies een status voor de regel:
    • Actief: De regel wordt meteen actief.
    • Inactief: De regel bestaat, maar is niet van kracht. Zo kunt u de regel controleren en delen met teamleden voordat u deze implementeert. Activeer de regel later door naar Beveiliging en dan Toegang en gegevensbeheer te gaan en vervolgens naar Gegevensbescherming en dan Regels beheren. Klik op de status Inactief van de regel en selecteer Actief. De regel wordt geactiveerd en DLP scant op gevoelige content.
  23. Klik op Create (Maken).

Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie

Voorbeeld 4: Blokkeer Chrome-navigaties naar 'salesforce.com/admin' op onbeheerde apparaten

In dit voorbeeld wordt de gebruiker geblokkeerd als deze met een onbeheerd apparaat probeert te navigeren naar de Salesforce-beheerdersconsole (salesforce.com/admin). Gebruikers hebben nog steeds toegang tot andere delen van de Salesforce-app.

  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar Regelsand thenRegel makenand thenGegevensbescherming.
  3. Voeg een naam en beschrijving voor de regel toe.
  4. Kies in het gedeelte Bereik de optie Alles in <domein.naam> of zoek naar de organisatie-eenheden of groepen waarop de regel moet worden toegepast en sluit deze in of uit. Als er een conflict is tussen organisatie-eenheden en groepen over insluiting of uitsluiting, krijgt de groep voorrang.
  5. Klik op Doorgaan.
  6. Vink in Apps, onder Chrome, de optie URL bezocht aan.
  7. Klik op Doorgaan.
  8. Klik in het gedeelte Voorwaarden op Voorwaarde toevoegen en selecteer de volgende waarden:
    1. Contenttype dat moet worden gescand: URL
    2. Wat moet worden gescand: Bevat de tekenreeks
    3. Content die moet overeenkomen: salesforce.com/admin
  9. Klik in het gedeelte Contextvoorwaarden op Een toegangsniveau selecteren om uw bestaande toegangsniveaus te bekijken.
  10. Klik op Nieuw toegangsniveau maken.
  11. Voer een naam en beschrijving in voor het nieuwe toegangsniveau.
  12. Klik onder Contextvoorwaarden op het tabblad Geavanceerd.
  13. Geef in het tekstvak het volgende op: 
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    Meer informatie over de geavanceerde modus.

  14. Klik op Maken. U gaat terug naar de pagina Regel maken. Het nieuwe toegangsniveau wordt toegevoegd aan de lijst en de kenmerken worden rechts weergegeven.
  15. Klik op Doorgaan.
  16. Kies op de pagina Acties, voor Chrome-acties, de optie Blokkeren.

    Opmerking: De actie wordt alleen toegepast als aan zowel de contentvoorwaarden als als aan de contextvoorwaarden is voldaan.

  17. (Optioneel) Kies een ernstniveau voor de melding (Laag, Gemiddeld of Hoog) en of u een melding en e-mailmelding wilt sturen.
  18. Klik op Doorgaan om de regelgegevens te bekijken.
  19. Kies een status voor de regel:
    • Actief: De regel wordt meteen actief.
    • Inactief: De regel bestaat, maar is niet van kracht. Zo kunt u de regel controleren en delen met teamleden voordat u deze implementeert. Activeer de regel later door naar Beveiliging en dan Toegang en gegevensbeheer te gaan en vervolgens naar Gegevensbescherming en dan Regels beheren. Klik op de status Inactief van de regel en selecteer Actief. De regel wordt geactiveerd en DLP scant op gevoelige content.
  20. Klik op Create (Maken).

Opmerking: Als een URL die u filtert onlangs is bezocht, wordt deze enkele minuten in het cachegeheugen opgeslagen en wordt deze mogelijk pas door een nieuwe (of gewijzigde) regel gefilterd totdat het cachegeheugen van die URL is gewist. Wacht ongeveer 5 minuten voordat u een nieuwe of gewijzigde regel test.

Veelgestelde vragen

Hoe werken CAA- en DLP-regels met eerdere Chrome-versies?

In eerdere Chrome-versies worden contextvoorwaarden genegeerd. Regels werken alsof er alleen contentvoorwaarden zijn ingesteld.

Werken regels voor beheerde browsers in de incognitomodus?

Nee. Regels zijn niet van toepassing in de incognitomodus. Beheerders kunnen instellen dat gebruikers niet kunnen inloggen bij Workspace- of SaaS-apps in de incognitomodus in Chrome door contextbewuste toegang af te dwingen als ze inloggen.

Moeten beheerde browsers en beheerde gebruikers bij dezelfde organisatie horen voordat een regel wordt toegepast?

Als de beheerde browser en de beheerde profielgebruiker tot hetzelfde bedrijf behoren, worden de DLP-regels op browserniveau en de DLP-regels op gebruikersniveau toegepast.

Als de beheerde browser en de beheerde profielgebruiker bij verschillende bedrijven horen, worden alleen de DLP-regels op browserniveau toegepast. De contextvoorwaarde wordt altijd beschouwd als overeenkomst. De striktste uitkomst wordt afgedwongen.Er zijn geen gevolgen voor de IP-gebaseerde of regiogebaseerde voorwaarden.

Bieden de Beheerdersconsole en de Google Cloud Platform-console dezelfde toegangsniveaus?

CAA in de Beheerdersconsole ondersteunt niet alle kenmerken die worden ondersteund door de GCP-console. Daarom kunnen algemene toegangsniveaus die zijn gemaakt in de GCP-console en die deze kenmerken bevatten, worden toegewezen in de Beheerdersconsole, maar kunnen ze daar niet worden bewerkt.

Op de pagina Regels in de Beheerdersconsole kunt u door GCP gemaakte toegangsniveaus toewijzen, maar u kunt geen voorwaarden bekijken voor toegangsniveaus met niet-ondersteunde kenmerken.

Waarom zie ik de kaart met contextvoorwaarden niet als ik een regel maak?
  • Zorg dat u het beheerdersrecht Services > Gegevensbeveiliging > Toegangsniveaubeheer heeft. Dit is vereist om contextvoorwaarden te bekijken als u DLP-regels maakt.
  • De kaart met contextvoorwaarden wordt alleen weergegeven als u Chrome-triggers selecteert tijdens het maken van regels.
Wat als een toegewezen toegangsniveau wordt verwijderd?

Als een toegewezen toegangsniveau wordt verwijderd, zijn de contextvoorwaarden standaard ingesteld op 'true' en gedraagt de regel zich als een regel voor alleen content. De regel wordt dan toegepast op meer apparaten/situaties dan de oorspronkelijke intentie.

Moet ik CAA aanzetten voor contextvoorwaarden om te werken in regels?

Nee. Het toegangsniveau in de regels staat los van de CAA-instellingen. CAA-activering en -toewijzing hebben geen invloed op regels.

Wat als de regelvoorwaarde leeg is?

Lege voorwaarden worden standaard geëvalueerd als waar. Bij een regel voor alleen CAA-content mogen de contentvoorwaarden leeg worden gelaten. Als de content- en contextvoorwaarden leeg blijven, wordt de regel altijd getriggerd.

Worden er regels geactiveerd als aan slechts één van de voorwaarden is voldaan?

Nee. De regel wordt alleen geactiveerd als aan zowel content- als contextvoorwaarden wordt voldaan.

Waarom zie ik logboekgebeurtenissen waarin staat dat DLP niet is afgedwongen?

DLP en CAA maken beide gebruik van achtergrondservices die regelmatig kunnen worden onderbroken. Als een service wordt onderbroken tijdens het afdwingen van een regel, wordt de service niet afgedwongen. Als dit gebeurt, wordt een gebeurtenis geregistreerd in zowel het regelslogboek als het Chrome-logboek.

Hoe werken contextvoorwaarden als eindpuntverificatie niet is geïnstalleerd?

Voor apparaatgebaseerde kenmerken worden de contextvoorwaarden beschouwd als overeenkomsten. Het strengste resultaat wordt afgedwongen. Voor niet-apparaatgebaseerde kenmerken (zoals IP-adres en regio) verandert er niets.

Kan ik informatie over het toegangsniveau voor getriggerde regels bekijken in de tool voor beveiligingsonderzoek?

Ja. U kunt informatie over het toegangsniveau bekijken door te zoeken naar Gebeurtenissen in het logboek Regels of Gebeurtenissen in het Chrome-logboek in de kolom Toegangsniveau in de zoekresultaten.

Is herstel voor eindgebruikers beschikbaar voor contextvoorwaarden in regels?

Nee. In deze workflows is nog geen herstel voor eindgebruikers beschikbaar.

Gerelateerde onderwerpen

Workspace DLP gebruiken om gegevensverlies te voorkomen

Over contextbewuste toegang

Chrome Enterprise Premium gebruiken om DLP te integreren met Chrome

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
10183464984120299741
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false
false
false