共用方式為


開始使用適用於 Chrome 的 Microsoft Purview 擴充功能

使用這些程式來推出適用於 Chrome 的 Microsoft Purview 擴充功能。

提示

開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security

注意事項

適用於 Chrome 的 Microsoft Purview 擴充功能僅適用於 Windows 裝置。 在macOS裝置上強制執行數據外洩防護不需要擴充功能。

開始之前

若要使用適用於 Chrome 的 Microsoft Purview 擴充功能,裝置必須上線至端點數據外洩防護 (DLP) 。 如果您不熟悉 DLP 或端點 DLP,請檢閱下列文章:

SKU/訂閱授權

在您開始之前,應先確認您的 Microsoft 365 訂閱 以及任何附加元件。 若要存取和使用端點 DLP 功能,您必須具有下列其中一個訂用帳戶或附加元件:

  • Microsoft 365 E5
  • Microsoft 365 A5 (教育版)
  • Microsoft 365 E5 合規性
  • Microsoft 365 A5 合規性
  • Microsoft 365 E5 資訊保護和控管
  • Microsoft 365 A5 資訊保護和控管

如需授權指南的詳細資料,請參閱:Microsoft 365 安全性與合規性的授權指南

  • 您的組織必須獲得端點 DLP 的授權。
  • 您的裝置必須執行 Windows 10 x64 (組建 1809 或更新版本) 。
  • 裝置必須有 Antimalware Client 4.18.2202.x 版或更新版本。 開啟 Windows 安全 性應用程式,選取 [ 設定 ] 圖示,然後選取 [ 關於],以檢查您目前的版本。

權限

可在 活動總管 中檢視來自端點 DLP 的資料。 有七個角色會授與檢視許可權,並與活動總管互動。 您用來存取資料的帳戶至少必須是其中一個成員。

  • 全域管理員
  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料系統管理員
  • 全域讀取者
  • 安全性讀取者
  • 報告讀取者

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。

角色和角色群組

您可以使用角色和角色群組來微調訪問控制。

以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

整體安裝工作流程

部署擴充功能是多階段流程。 您可以選擇一次將它安裝在一部計算機上,也可以使用 Microsoft Intune 或組策略進行全組織的部署。

  1. 準備您的裝置
  2. 基本設定單一裝置自我主控
  3. 使用 Microsoft Intune 進行部署
  4. 使用群組原則進行部署
  5. 測試擴充功能使用警示管理儀錶板來檢視 Chrome DLP 警示
  6. 檢視活動總管中的 Chrome DLP 資料

準備基礎結構

如果您要將擴充功能推出至所有受監視的 Windows 10/11 裝置,您應該從不允許的應用程式和不允許的瀏覽器清單中移除 Google Chrome。 有關詳細資訊,請參閱 不受允許的瀏覽器。 如果您只將它推出至幾個裝置,您可以將 Chrome 保留在不允許的瀏覽器或不允許的應用程式清單上。 延伸模組會略過這兩個已安裝計算機的清單限制。

準備您的裝置

  1. 使用這些文章中的程式將您的裝置上線:
    1. 開始使用端點資料外洩防護

    2. 上線 Windows 10 及 Windows 11 裝置

    3. 設定資訊保護的裝置 Proxy 和網際網路連線設定

    4. 遵循 Chrome 企業原則清單 & 管理 |將 登入字串 ExtensionManifestV2Availability 部署至組織中金鑰的檔案: Software\Policies\Google\Chrome\ExtensionManifestV2Availability

基本設定單一裝置自我主控

這是建議的方法。

  1. 瀏覽至 Microsoft Purview 擴充功能 - Chrome 線上應用程式商店 (google.com)

  2. 使用 Chrome Web Store 頁面上的指示安裝延伸模組。

使用 Microsoft Intune 進行部署

使用此設定方法以進行全組織部署。

Microsoft Intune 強制安裝步驟

使用設定目錄,遵循下列步驟來管理 Chrome 擴充功能:

  1. 登入 Microsoft Intune 系統管理中心

  2. 瀏覽至組態設定檔。

  3. 選取 建立設定檔

  4. 取 [Windows 10 及更新版本 ] 作為平臺。

  5. 取 [設定目錄 ] 作為配置檔類型。

  6. 取 [自定義 ] 作為範本名稱。

  7. 選取 [建立]

  8. 在 [ 基本 ] 索引標籤上輸入名稱和選擇性描述,然後選取 [ 下一步]

  9. 取 [組態設定] 索引標籤上的 [ 新增設定]

  10. 取 [Google>Google Chrome>延伸模組]

  11. 取 [設定強制安裝的應用程式和延伸模組清單]

  12. 將切換變更為 [已啟用]

  13. 針對延伸模組和應用程式識別碼輸入下列值,並更新URL: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. 選取 [下一步]

  15. 視需要在 [範圍卷標] 索引標籤上新增或編輯範圍 標,然後選取 [ 下一步]

  16. 在 [指 ] 索引標籤上新增必要的部署使用者、裝置和群組,然後選取 [ 下一步]

  17. 視需要在 [適用性規則] 索引標籤上新增適用 規則,然後選取 [ 下一步]

  18. 選取 [建立]

使用群組原則部署

如果您不想使用 Microsoft Intune,您可以使用組策略在整個組織中部署擴充功能。

將 Chrome 擴充功能新增到 ForceInstall 清單

  1. 在群組原則管理編輯器中,瀏覽至您的 OU。

  2. 展開下列路徑 電腦/使用者設定>原則>系統管理範本>傳統系統管理範本>Google>Google Chrome>擴充功能。 此路徑可能會根據您的設定而不同。

  3. 選取 設定強制安裝擴充功能清單

  4. 以滑鼠右鍵按一下以滑鼠右鍵按一下,選取 編輯

  5. 選取 已啟用

  6. 選取 顯示

  7. 下方,新增下列項目:echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. 選取 OK 然後選取 套用

測試擴充功能

上傳到雲端服務,或透過不受允許的 Cloud Egress 存取

  1. 建立或取得敏感性專案,並嘗試將檔案上傳至貴組織的其中一個受限制服務網域。 敏感性資料必須與我們其中一個內建的 敏感性資訊類型或貴組織的其中一個敏感性資訊類型相符。 您應該會在您要測試的裝置上收到 DLP 快顯通知,其中顯示檔案開啟時不允許此動作。

模擬 Chrome 中的其他 DLP 案例

現在您已從不允許的瀏覽器/應用程式清單中移除 Chrome,您可以執行下列 模擬案例 ,以確認行為符合貴組織的需求:

  • 使用 [剪貼簿] 將資料從敏感性項目複製到另一份文件
    • 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中複製到剪貼簿動作的檔案,並嘗試從檔案複製資料。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 列印文件
    • 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中列印的檔案,並嘗試從檔案列印資料。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 複製到 USB 卸除式媒體
    • 若要測試,請嘗試將檔案儲存至抽取式媒體記憶體。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 複製到網路共用
    • 若要測試,請嘗試將檔案儲存到網路共用。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。

使用警示管理儀錶板來檢視 Chrome DLP 警示

  1. Microsoft Purview 合規性入口網站開啟 [資料外洩防護] 頁面,然後選取 [警示]

  2. 請參閱 開始使用數據外泄防護警示儀錶板使用 Microsoft Defender XDR 調查數據遺失事件 中的程式,以檢視端點 DLP 原則的警示。

檢視 [活動總管] 中的端點 DLP 資料

  1. Microsoft Purview 合規性入口網站開啟您網域的 [資料分類] 頁面,然後選擇 [活動總管]

  2. 請參閱 開始使用活動總管 中的程序,以存取及篩選您端裝置的所有資料。

    端點裝置的活動總管篩選。

已知問題與限制

  1. 不支援 Incognito 模式,而且必須停用。

後續步驟

既然您已將裝置上線,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。

另請參閱