适用于 Chrome 的 Microsoft Purview 扩展入门

使用这些过程推出适用于 Chrome 的 Microsoft Purview 扩展。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

备注

适用于 Chrome 的 Microsoft Purview 扩展仅适用于 Windows 设备。 在 macOS 设备上强制实施数据丢失防护时,不需要扩展。

开始之前

若要使用适用于 Chrome 的 Microsoft Purview 扩展,必须将设备载入终结点数据丢失防护 (DLP) 。 如果不熟悉 DLP 或终结点 DLP,请查看以下文章:

SKU/订阅许可

在开始使用终结点 DLP 之前,应该先确认 Microsoft 365 订阅以及任何加载项。 若要访问和使用终结点 DLP 功能,必须具有以下订阅或加载项之一:

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 合规
  • Microsoft 365 A5 合规
  • Microsoft 365 E5 信息保护和治理
  • Microsoft 365 A5 信息保护和治理

有关详细的许可指南,请参阅 适用于安全性与合规性的 Microsoft 365 许可指南

  • 你的组织必须获得终结点 DLP 的许可。
  • 设备必须运行Windows 10 x64 (内部版本 1809 或更高版本) 。
  • 设备必须具有反恶意软件客户端版本 4.18.2202.x 或更高版本。 通过打开Windows 安全中心应用检查当前版本,选择“设置”图标,然后选择“关于”。

权限

可在 活动资源管理器 中查看终结点 DLP 中的数据。 有七个角色授予查看活动资源管理器和与之交互的权限。 用于访问数据的帐户必须是其中至少一个帐户的成员。

  • 全局管理员
  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员
  • 全局读取者
  • 安全读者
  • 报表阅读人员

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。

角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

整体安装工作流

部署扩展是一个多阶段过程。 可以选择一次在一台计算机上安装它,也可以使用Microsoft Intune或组策略进行组织范围的部署。

  1. 准备设备
  2. 基本设置单机自托管
  3. 使用 Microsoft Intune 进行部署
  4. 使用组策略部署
  5. 测试扩展使用警报管理仪表板查看 Chrome DLP 警报
  6. 在活动资源管理器中查看 Chrome DLP 数据

准备基础结构

如果要向所有受监视的 Windows 10/11 设备推出扩展,则应从未启用的应用和未启用的浏览器列表中删除 Google Chrome。 有关详细信息,请参阅 不允许的浏览器。 如果只是将其推广到少数设备,则可以将 Chrome 保留在未启用的浏览器或未启用的应用列表中。 对于安装扩展的计算机,该扩展会绕过这两个列表的限制。

准备设备

  1. 使用以下文章中的过程载入设备:
    1. 终结点数据丢失防护入门

    2. 载入 Windows 10 和 Windows 11 设备

    3. 配置信息保护的设备代理和 Internet 连接设置

重要

Microsoft Purview 已升级 Purview Chrome 扩展清单 V3。 如果已安装 Purview Chrome 扩展,则应会看到计算机上自动升级到 3.0.0.239 或更高版本。

基本设置单机自托管

这是推荐采用的方法。

  1. 导航到“Microsoft Purview 扩展 - Chrome Web Store (google.com)

  2. 按照 Chrome Web Store 页面上的说明安装扩展。

使用 Microsoft Intune 进行部署

使用此设置方法进行组织范围的部署

Microsoft Intune强制安装步骤

使用设置目录,按照以下步骤管理 Chrome 扩展:

  1. 登录到 Microsoft Intune 管理中心

  2. 导航到配置文件。

  3. 选择“创建配置文件”。

  4. 选择“Windows 10及更高版本”作为平台。

  5. 选择 “设置目录” 作为配置文件类型。

  6. 选择“ 自定义 ”作为模板名称。

  7. 选择“创建”。

  8. 在“ 基本信息 ”选项卡上输入名称和可选说明,然后选择“ 下一步”。

  9. “配置设置 ”选项卡上选择“添加 设置 ”。

  10. 选择 Google>Google Chrome>扩展

  11. 选择 “配置强制安装的应用和扩展”列表

  12. 将切换开关更改为 “已启用”。

  13. 为扩展和应用 ID 输入以下值并更新 URL: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. 选择 下一步

  15. 根据需要在“作用域标记”选项卡上添加或编辑 范围标记 ,然后选择“ 下一步”。

  16. 在“ 分配 ”选项卡上添加所需的部署用户、设备和组,然后选择“ 下一步”。

  17. 根据需要在“适用性规则”选项卡上添加 适用性规则 ,然后选择“ 下一步”。

  18. 选择“创建”。

使用组策略部署

如果不想使用 Microsoft Intune,可以使用组策略在整个组织中部署扩展。

将 Chrome 扩展添加到 ForceInstall 列表

  1. 在组策略管理编辑器中,导航到“OU”。

  2. 展开以下路径“计算机/用户配置”>“策略”>“管理模板”>“经典管理模板”>“Google”>“Google Chrome”>“扩展”。 此路径可能有所不同,具体取决于你的配置。

  3. 选择“配置强制安装的扩展列表”。

  4. 右键单击并选择“编辑”。

  5. 选择“已启用”。

  6. 选择“显示”。

  7. 在“”下添加以下条目:echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. 依次选择“确定”和“应用”。

测试扩展

上传到云服务,或通过不允许的浏览器云出口访问

  1. 创建或获取敏感项,并尝试将文件上传到组织的受限服务域之一。 敏感数据必须与我们的一个内置 敏感信息类型 或组织的敏感信息类型之一相匹配。 在测试的设备上,应会收到一条 DLP Toast 通知,显示文件打开时不允许此操作。

在 Chrome 中模拟其他 DLP 方案

现在,你已从不允许的浏览器/应用列表中删除了 Chrome,接下来可以运行 以下模拟方案 来确认该行为是否符合组织的要求:

  • 使用剪贴板将敏感项的数据复制到另一个文档
    • 若要测试,请在 Chrome 浏览器中打开要防止复制到剪贴板操作的文件,然后尝试复制该文件的数据。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 打印文档
    • 若要测试,请在 Chrome 浏览器中打开防止打印操作的文件,然后尝试打印该文件。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 复制到 USB 可移动媒体
    • 若要进行测试,请尝试将文件保存到可移动媒体存储。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 复制到网络共享
    • 若要测试,请尝试将文件保存到网络共享。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。

使用警报管理仪表板查看 Chrome DLP 警报

  1. Microsoft Purview 合规门户 中打开“数据丢失防护”页面,然后选择“警报”。

  2. 请参阅数据丢失防护入门警报仪表板使用Microsoft Defender XDR调查数据丢失事件中的过程,以查看终结点 DLP 策略的警报。

在活动资源管理器中查看 Chrome DLP 数据

  1. Microsoft Purview 合规门户 中打开域的“数据分类页”,然后选择“活动资源管理器”。

  2. 请参考活动资源管理器入门中的程序,以访问和筛选终结点设备的所有数据。

已知问题和限制

  1. 不支持 Incognito 模式,必须禁用。

后续步骤

现在,你已载入设备并可以在活动资源管理器中查看活动数据,接下来可以继续下一步,在其中创建 DLP 策略来保护敏感项。

另请参阅