開始使用適用於 Chrome 的 Microsoft Purview 擴充功能
使用這些程式來推出適用於 Chrome 的 Microsoft Purview 擴充功能。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
注意事項
適用於 Chrome 的 Microsoft Purview 擴充功能僅適用於 Windows 裝置。 在macOS裝置上強制執行數據外洩防護不需要擴充功能。
開始之前
若要使用適用於 Chrome 的 Microsoft Purview 擴充功能,裝置必須上線至端點數據外洩防護 (DLP) 。 如果您不熟悉 DLP 或端點 DLP,請檢閱下列文章:
- 了解適用於 Chrome 的 Microsoft Purview 擴充功能
- 了解 Microsoft Purview 資料外洩防護
- 建立和部署數據外洩防護原則
- 深入了解端點資料外洩防護
- 開始使用端點資料外洩防護
- Windows 10/11 裝置的上線工具和方法
- 設定資訊保護的裝置 Proxy 和網際網路連線設定
- 使用端點資料外洩防護
SKU/訂閱授權
在您開始之前,應先確認您的 Microsoft 365 訂閱 以及任何附加元件。 若要存取和使用端點 DLP 功能,您必須具有下列其中一個訂用帳戶或附加元件:
- Microsoft 365 E5
- Microsoft 365 A5 (教育版)
- Microsoft 365 E5 合規性
- Microsoft 365 A5 合規性
- Microsoft 365 E5 資訊保護和控管
- Microsoft 365 A5 資訊保護和控管
如需授權指南的詳細資料,請參閱:Microsoft 365 安全性與合規性的授權指南。
- 您的組織必須獲得端點 DLP 的授權。
- 您的裝置必須執行 Windows 10 x64 (組建 1809 或更新版本) 。
- 裝置必須有 Antimalware Client 4.18.2202.x 版或更新版本。 開啟 Windows 安全 性應用程式,選取 [ 設定 ] 圖示,然後選取 [ 關於],以檢查您目前的版本。
權限
可在 活動總管 中檢視來自端點 DLP 的資料。 有七個角色會授與檢視許可權,並與活動總管互動。 您用來存取資料的帳戶至少必須是其中一個成員。
- 全域管理員
- 合規性系統管理員
- 安全性系統管理員
- 合規性資料系統管理員
- 全域讀取者
- 安全性讀取者
- 報告讀取者
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。
角色和角色群組
您可以使用角色和角色群組來微調訪問控制。
以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權。
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
整體安裝工作流程
部署擴充功能是多階段流程。 您可以選擇一次將它安裝在一部計算機上,也可以使用 Microsoft Intune 或組策略進行全組織的部署。
- 準備您的裝置。
- 基本設定單一裝置自我主控
- 使用 Microsoft Intune 進行部署
- 使用群組原則進行部署
- 測試擴充功能使用警示管理儀錶板來檢視 Chrome DLP 警示
- 檢視活動總管中的 Chrome DLP 資料
準備基礎結構
如果您要將擴充功能推出至所有受監視的 Windows 10/11 裝置,您應該從不允許的應用程式和不允許的瀏覽器清單中移除 Google Chrome。 有關詳細資訊,請參閱 不受允許的瀏覽器。 如果您只將它推出至幾個裝置,您可以將 Chrome 保留在不允許的瀏覽器或不允許的應用程式清單上。 延伸模組會略過這兩個已安裝計算機的清單限制。
準備您的裝置
- 使用這些文章中的程式將您的裝置上線:
遵循 Chrome 企業原則清單 & 管理 |將 登入字串
ExtensionManifestV2Availability
部署至組織中金鑰的檔案:Software\Policies\Google\Chrome\ExtensionManifestV2Availability
基本設定單一裝置自我主控
這是建議的方法。
使用 Chrome Web Store 頁面上的指示安裝延伸模組。
使用 Microsoft Intune 進行部署
使用此設定方法以進行全組織部署。
Microsoft Intune 強制安裝步驟
使用設定目錄,遵循下列步驟來管理 Chrome 擴充功能:
瀏覽至組態設定檔。
選取 建立設定檔。
選 取 [Windows 10 及更新版本 ] 作為平臺。
選 取 [設定目錄 ] 作為配置檔類型。
選 取 [自定義 ] 作為範本名稱。
選取 [建立]。
在 [ 基本 ] 索引標籤上輸入名稱和選擇性描述,然後選取 [ 下一步]。
選 取 [組態設定] 索引標籤上的 [ 新增設定] 。
選 取 [Google>Google Chrome>延伸模組]。
選 取 [設定強制安裝的應用程式和延伸模組清單]。
將切換變更為 [已啟用]。
針對延伸模組和應用程式識別碼輸入下列值,並更新URL:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
。選取 [下一步]。
視需要在 [範圍卷標] 索引標籤上新增或編輯範圍 卷 標,然後選取 [ 下一步]。
在 [指 派 ] 索引標籤上新增必要的部署使用者、裝置和群組,然後選取 [ 下一步]。
視需要在 [適用性規則] 索引標籤上新增適用 性 規則,然後選取 [ 下一步]。
選取 [建立]。
使用群組原則部署
如果您不想使用 Microsoft Intune,您可以使用組策略在整個組織中部署擴充功能。
將 Chrome 擴充功能新增到 ForceInstall 清單
在群組原則管理編輯器中,瀏覽至您的 OU。
展開下列路徑 電腦/使用者設定>原則>系統管理範本>傳統系統管理範本>Google>Google Chrome>擴充功能。 此路徑可能會根據您的設定而不同。
選取 設定強制安裝擴充功能清單。
以滑鼠右鍵按一下以滑鼠右鍵按一下,選取 編輯。
選取 已啟用。
選取 顯示。
在 值 下方,新增下列項目:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
選取 OK 然後選取 套用。
測試擴充功能
上傳到雲端服務,或透過不受允許的 Cloud Egress 存取
- 建立或取得敏感性專案,並嘗試將檔案上傳至貴組織的其中一個受限制服務網域。 敏感性資料必須與我們其中一個內建的 敏感性資訊類型或貴組織的其中一個敏感性資訊類型相符。 您應該會在您要測試的裝置上收到 DLP 快顯通知,其中顯示檔案開啟時不允許此動作。
模擬 Chrome 中的其他 DLP 案例
現在您已從不允許的瀏覽器/應用程式清單中移除 Chrome,您可以執行下列 模擬案例 ,以確認行為符合貴組織的需求:
- 使用 [剪貼簿] 將資料從敏感性項目複製到另一份文件
- 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中複製到剪貼簿動作的檔案,並嘗試從檔案複製資料。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 列印文件
- 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中列印的檔案,並嘗試從檔案列印資料。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到 USB 卸除式媒體
- 若要測試,請嘗試將檔案儲存至抽取式媒體記憶體。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到網路共用
- 若要測試,請嘗試將檔案儲存到網路共用。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
使用警示管理儀錶板來檢視 Chrome DLP 警示
在 Microsoft Purview 合規性入口網站開啟 [資料外洩防護] 頁面,然後選取 [警示]。
請參閱 開始使用數據外泄防護警示儀錶板 和 使用 Microsoft Defender XDR 調查數據遺失事件 中的程式,以檢視端點 DLP 原則的警示。
檢視 [活動總管] 中的端點 DLP 資料
在 Microsoft Purview 合規性入口網站開啟您網域的 [資料分類] 頁面,然後選擇 [活動總管]。
請參閱 開始使用活動總管 中的程序,以存取及篩選您端裝置的所有資料。
已知問題與限制
- 不支援 Incognito 模式,而且必須停用。
後續步驟
既然您已將裝置上線,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。