閱讀英文

共用方式為


開始使用適用於 Chrome 的 Microsoft Purview 擴充功能

使用這些程式來推出適用於 Chrome 的 Microsoft Purview 擴充功能。

提示

開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

注意

適用於 Chrome 的 Microsoft Purview 擴充功能僅適用於 Windows 裝置。 在macOS裝置上強制執行數據外洩防護不需要擴充功能。

開始之前

若要使用適用於 Chrome 的 Microsoft Purview 擴充功能,裝置必須上線至端點數據外洩防護 (DLP) 。 如果您不熟悉 DLP 或端點 DLP,請檢閱下列文章:

SKU/訂閱授權

在您開始之前,應先確認您的 Microsoft 365 訂閱 以及任何附加元件。 若要存取和使用端點 DLP 功能,您必須具有下列其中一個訂用帳戶或附加元件:

  • Microsoft 365 E5
  • Microsoft 365 A5 (教育版)
  • Microsoft 365 E5 合規性
  • Microsoft 365 A5 合規性
  • Microsoft 365 E5 資訊保護和控管
  • Microsoft 365 A5 資訊保護和控管

如需授權指南的詳細資料,請參閱:Microsoft 365 安全性與合規性的授權指南

  • 您的組織必須獲得端點 DLP 的授權。
  • 您的裝置必須執行 Windows 10 x64 (組建 1809 或更新版本) 。
  • 裝置必須有 Antimalware Client 4.18.2202.x 版或更新版本。 開啟 Windows 安全性 應用程式,選取 [設定] 圖示,然後選取 [關於],以檢查您目前的版本。

權限

可在 活動總管 中檢視來自端點 DLP 的資料。 有七個角色會授與檢視許可權,並與活動總管互動。 您用來存取資料的帳戶至少必須是其中一個成員。

  • 全域管理員
  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料系統管理員
  • 全域讀取者
  • 安全性讀取者
  • 報告讀取者

重要

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。

角色和角色 群組

您可以使用角色和角色群組來微調訪問控制。

以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

整體安裝工作流程

部署擴充功能是多階段流程。 您可以選擇一次將它安裝在一部計算機上,也可以將 Microsoft Intune 或 群組原則 用於整個組織的部署。

  1. 準備您的裝置
  2. 基本設定單一裝置自我主控
  3. 使用 Microsoft Intune部署
  4. 使用群組原則進行部署
  5. 測試擴充功能使用警示管理儀錶板來檢視 Chrome DLP 警示
  6. 檢視活動總管中的 Chrome DLP 資料

準備基礎結構

如果您要將擴充功能推出至所有受監視的 Windows 10/11 裝置,您應該從不允許的應用程式和不允許的瀏覽器清單中移除 Google Chrome。 有關詳細資訊,請參閱 不受允許的瀏覽器。 如果您只將它推出至幾個裝置,您可以將 Chrome 保留在不允許的瀏覽器或不允許的應用程式清單上。 延伸模組會略過這兩個已安裝計算機的清單限制。

準備您的裝置

  1. 使用這些文章中的程式將您的裝置上線:
    1. 開始使用端點資料外洩防護

    2. 上線 Windows 10 及 Windows 11 裝置

    3. 設定資訊保護的裝置 Proxy 和網際網路連線設定

重要

Microsoft Purview 已升級 Purview Chrome 擴充功能指令清單 V3。 如果您已經安裝 Purview Chrome 擴充功能,您應該會看到電腦上的自動升級為 3.0.0.239 或更高版本。

基本設定單一裝置自我主控

這是建議的方法。

  1. 瀏覽至 Microsoft Purview 擴充功能 - Chrome 線上應用程式商店 (google.com)

  2. 使用 Chrome Web Store 頁面上的指示安裝延伸模組。

使用 Microsoft Intune部署

使用此設定方法以進行全組織部署。

Microsoft Intune 強制安裝步驟

使用設定目錄,遵循下列步驟來管理 Chrome 擴充功能:

  1. 登入 Microsoft Intune 系統管理中心

  2. 瀏覽至組態設定檔。

  3. 選取 建立設定檔

  4. Windows 10 及更新版本作為平臺。

  5. 取 [設定目錄 ] 作為配置檔類型。

  6. 取 [自定義 ] 作為範本名稱。

  7. 選取 [建立]

  8. 在 [ 基本 ] 索引標籤上輸入名稱和選擇性描述,然後選取 [ 下一步]

  9. 取 [組態設定] 索引標籤上的 [ 新增設定]

  10. 取 [Google>Google Chrome>延伸模組]

  11. 取 [設定強制安裝的應用程式和延伸模組清單]

  12. 將切換變更為 [已啟用]

  13. 針對延伸模組和應用程式識別碼輸入下列值,並更新URL: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. 選取 [下一步]

  15. 視需要在 [範圍卷標] 索引標籤上新增或編輯範圍 標,然後選取 [ 下一步]

  16. 在 [指 ] 索引標籤上新增必要的部署使用者、裝置和群組,然後選取 [ 下一步]

  17. 視需要在 [適用性規則] 索引標籤上新增適用 規則,然後選取 [ 下一步]

  18. 選取 [建立]

使用群組原則部署

如果您不想使用 Microsoft Intune,您可以使用組策略在整個組織中部署擴充功能。

將 Chrome 擴充功能新增到 ForceInstall 清單

  1. 在群組原則管理編輯器中,瀏覽至您的 OU。

  2. 展開下列路徑 電腦/使用者設定>原則>系統管理範本>傳統系統管理範本>Google>Google Chrome>擴充功能。 此路徑可能會根據您的設定而不同。

  3. 選取 設定強制安裝擴充功能清單

  4. 以滑鼠右鍵按一下以滑鼠右鍵按一下,選取 編輯

  5. 選取 已啟用

  6. 選取 顯示

  7. 下方,新增下列項目:echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. 選取 OK 然後選取 套用

測試擴充功能

上傳到雲端服務,或透過不受允許的 Cloud Egress 存取

  1. 建立或取得敏感性專案,並嘗試將檔案上傳至貴組織的其中一個受限制服務網域。 敏感性資料必須與我們其中一個內建的 敏感性資訊類型或貴組織的其中一個敏感性資訊類型相符。 您應該會在您要測試的裝置上收到 DLP 快顯通知,其中顯示檔案開啟時不允許此動作。

模擬 Chrome 中的其他 DLP 案例

現在您已從不允許的瀏覽器/應用程式清單中移除 Chrome,您可以執行下列 模擬案例 ,以確認行為符合貴組織的需求:

  • 使用 [剪貼簿] 將資料從敏感性項目複製到另一份文件
    • 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中複製到剪貼簿動作的檔案,並嘗試從檔案複製資料。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 列印文件
    • 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中列印的檔案,並嘗試從檔案列印資料。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 複製到 USB 卸除式媒體
    • 若要測試,請嘗試將檔案儲存至抽取式媒體記憶體。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
  • 複製到網路共用
    • 若要測試,請嘗試將檔案儲存到網路共用。
    • 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。

使用警示管理儀錶板來檢視 Chrome DLP 警示

  1. Microsoft Purview 合規性入口網站開啟 [資料外洩防護] 頁面,然後選取 [警示]

  2. 請參閱開始使用數據外洩防護警示儀錶板使用 Microsoft Defender 全面偵測回應 調查數據遺失事件中的程式,以檢視端點 DLP 原則的警示。

檢視 [活動總管] 中的端點 DLP 資料

  1. Microsoft Purview 合規性入口網站開啟您網域的 [資料分類] 頁面,然後選擇 [活動總管]

  2. 請參閱 開始使用活動總管 中的程序,以存取及篩選您端裝置的所有資料。

已知問題與限制

  1. 不支援 Incognito 模式,而且必須停用。

後續步驟

既然您已將裝置上線,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。

另請參閱