适用于 Chrome 的 Microsoft Purview 扩展入门
使用这些过程推出适用于 Chrome 的 Microsoft Purview 扩展。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。
注意
适用于 Chrome 的 Microsoft Purview 扩展仅适用于 Windows 设备。 在 macOS 设备上强制实施数据丢失防护时,不需要扩展。
开始之前
若要使用适用于 Chrome 的 Microsoft Purview 扩展,必须将设备载入终结点数据丢失防护 (DLP) 。 如果不熟悉 DLP 或终结点 DLP,请查看以下文章:
- 了解适用于 Chrome 的 Microsoft Purview 扩展
- 了解 Microsoft Purview 数据丢失防护
- 创建和部署数据丢失防护策略
- 了解终结点数据丢失防护
- 终结点数据丢失防护入门
- 适用于 Windows 10/11 设备的载入工具和方法
- 配置信息保护的设备代理和 Internet 连接设置
- 使用终结点数据丢失防护
SKU/订阅许可
在开始使用终结点 DLP 之前,应该先确认 Microsoft 365 订阅以及任何加载项。 若要访问和使用终结点 DLP 功能,必须具有以下订阅或加载项之一:
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 合规
- Microsoft 365 A5 合规
- Microsoft 365 E5 信息保护和治理
- Microsoft 365 A5 信息保护和治理
有关详细的许可指南,请参阅 适用于安全性与合规性的 Microsoft 365 许可指南。
- 你的组织必须获得终结点 DLP 的许可。
- 你的设备必须运行 Windows 10 x64 (内部版本 1809 或更高版本) 。
- 设备必须具有反恶意软件客户端版本 4.18.2202.x 或更高版本。 打开 Windows 安全 应用检查当前版本,选择 “设置” 图标,然后选择“ 关于”。
权限
可在 活动资源管理器 中查看终结点 DLP 中的数据。 有七个角色授予查看活动资源管理器和与之交互的权限。 用于访问数据的帐户必须是其中至少一个帐户的成员。
- 全局管理员
- 合规性管理员
- 安全管理员
- 合规性数据管理员
- 全局读取者
- 安全读者
- 报表阅读人员
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。
角色和角色组
可以使用一些角色和角色组来微调访问控制。
下面是适用角色的列表。 若要详细了解它们,请参阅 Microsoft Purview 合规性门户中的权限。
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
下面是适用角色组的列表。 若要详细了解它们,请参阅 Microsoft Purview 合规性门户中的权限。
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
整体安装工作流
部署扩展是一个多阶段过程。 可以选择一次在一台计算机上安装它,也可以使用 Microsoft Intune 或组策略进行组织范围的部署。
- 准备设备。
- 基本设置单机自托管
- 使用 Microsoft Intune 进行部署
- 使用组策略部署
- 测试扩展使用警报管理仪表板查看 Chrome DLP 警报
- 在活动资源管理器中查看 Chrome DLP 数据
准备基础结构
如果要向所有受监视的 Windows 10/11 设备推出扩展,则应从未启用的应用和未启用的浏览器列表中删除 Google Chrome。 有关详细信息,请参阅 不允许的浏览器。 如果只是将其推广到少数设备,则可以将 Chrome 保留在未启用的浏览器或未启用的应用列表中。 对于安装扩展的计算机,该扩展会绕过这两个列表的限制。
准备设备
- 使用以下文章中的过程载入设备:
遵循 Chrome 企业策略列表 & 管理 | 将注册表字符串
ExtensionManifestV2Availability部署到组织中的密钥的文档:Software\Policies\Google\Chrome\ExtensionManifestV2Availability
基本设置单机自托管
这是推荐采用的方法。
按照 Chrome Web Store 页面上的说明安装扩展。
使用 Microsoft Intune 进行部署
使用此设置方法进行组织范围的部署
Microsoft Intune 强制安装步骤
使用设置目录,按照以下步骤管理 Chrome 扩展:
导航到配置文件。
选择“创建配置文件”。
选择 “Windows 10 及更高版本 ”作为平台。
选择 “设置目录” 作为配置文件类型。
选择“ 自定义 ”作为模板名称。
选择“创建”。
在“ 基本信息 ”选项卡上输入名称和可选说明,然后选择“ 下一步”。
在 “配置设置 ”选项卡上选择“添加 设置 ”。
选择 Google>Google Chrome>扩展。
选择 “配置强制安装的应用和扩展”列表。
将切换开关更改为 “已启用”。
为扩展和应用 ID 输入以下值并更新 URL:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx。选择 下一步。
根据需要在“作用域标记”选项卡上添加或编辑 范围标记 ,然后选择“ 下一步”。
在“ 分配 ”选项卡上添加所需的部署用户、设备和组,然后选择“ 下一步”。
根据需要在“适用性规则”选项卡上添加 适用性规则 ,然后选择“ 下一步”。
选择“创建”。
使用组策略部署
如果不想使用 Microsoft Intune,可以使用组策略在整个组织中部署扩展。
将 Chrome 扩展添加到 ForceInstall 列表
在组策略管理编辑器中,导航到“OU”。
展开以下路径“计算机/用户配置”>“策略”>“管理模板”>“经典管理模板”>“Google”>“Google Chrome”>“扩展”。 此路径可能有所不同,具体取决于你的配置。
选择“配置强制安装的扩展列表”。
右键单击并选择“编辑”。
选择“已启用”。
选择“显示”。
在“值”下添加以下条目:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx依次选择“确定”和“应用”。
测试扩展
上传到云服务,或通过不允许的浏览器云出口访问
- 创建或获取敏感项,并尝试将文件上传到组织的受限服务域之一。 敏感数据必须与我们的一个内置 敏感信息类型 或组织的敏感信息类型之一相匹配。 在测试的设备上,应会收到一条 DLP Toast 通知,显示文件打开时不允许此操作。
在 Chrome 中模拟其他 DLP 方案
现在,你已从不允许的浏览器/应用列表中删除了 Chrome,接下来可以运行 以下模拟方案 来确认该行为是否符合组织的要求:
- 使用剪贴板将敏感项的数据复制到另一个文档
- 若要测试,请在 Chrome 浏览器中打开要防止复制到剪贴板操作的文件,然后尝试复制该文件的数据。
- 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
- 打印文档
- 若要测试,请在 Chrome 浏览器中打开防止打印操作的文件,然后尝试打印该文件。
- 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
- 复制到 USB 可移动媒体
- 若要进行测试,请尝试将文件保存到可移动媒体存储。
- 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
- 复制到网络共享
- 若要测试,请尝试将文件保存到网络共享。
- 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
使用警报管理仪表板查看 Chrome DLP 警报
在 Microsoft Purview 合规门户 中打开“数据丢失防护”页面,然后选择“警报”。
请参阅 数据丢失防护警报仪表板入门 和使用 Microsoft Defender XDR 调查数据丢失事件 中的过程,查看终结点 DLP 策略的警报。
在活动资源管理器中查看 Chrome DLP 数据
在 Microsoft Purview 合规门户 中打开域的“数据分类页”,然后选择“活动资源管理器”。
请参考活动资源管理器入门中的程序,以访问和筛选终结点设备的所有数据。
已知问题和限制
- 不支持 Incognito 模式,必须禁用。
后续步骤
现在,你已载入设备并可以在活动资源管理器中查看活动数据,接下来可以继续下一步,在其中创建 DLP 策略来保护敏感项。