适用于 Chrome 的 Microsoft Purview 扩展入门

  • 项目

使用这些过程推出适用于 Chrome 的 Microsoft Purview 扩展。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

注意

适用于 Chrome 的 Microsoft Purview 扩展仅适用于 Windows 设备。 在 macOS 设备上强制实施数据丢失防护时,不需要扩展。

开始之前

若要使用适用于 Chrome 的 Microsoft Purview 扩展,必须将设备载入终结点 DLP。 如果不熟悉 DLP 或终结点 DLP,请查看这些文章

SKU/订阅许可

在开始使用终结点 DLP 之前,应该先确认 Microsoft 365 订阅以及任何加载项。 若要访问和使用终结点 DLP 功能,必须具有这些订阅或加载项中的一个。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 合规
  • Microsoft 365 A5 合规
  • Microsoft 365 E5 信息保护和治理
  • Microsoft 365 A5 信息保护和治理

有关详细的许可指南,请参阅 适用于安全性与合规性的 Microsoft 365 许可指南

  • 你的组织必须获得终结点 DLP 的许可。
  • 您的设备必须运行 Windows 10 x64 内部版本 1809 或更高版本。
  • 设备必须具有反恶意软件客户端版本 4.18.2202.x 或更高版本。 通过打开Windows 安全中心应用检查当前版本,选择“设置”图标,然后选择“关于”。

权限

可在 活动资源管理器 中查看终结点 DLP 中的数据。 有七个角色可向活动资源管理器授予权限,用于访问数据的帐户必须是其中任何一个的成员。

  • 全局管理员
  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员
  • 全局读取者
  • 安全读者
  • 报表阅读人员

角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

整体安装工作流

部署扩展是一个多阶段过程。 可以选择一次在一台计算机上安装,或使用Microsoft Intune或组策略进行组织范围的部署。

  1. 准备设备
  2. 基本设置单机自托管
  3. 使用 Microsoft Intune 进行部署
  4. 使用组策略部署
  5. 测试扩展
  6. 使用警报管理仪表板查看 Chrome DLP 警报
  7. 在活动资源管理器中查看 Chrome DLP 数据

准备基础结构

如果要向所有受监视的 Windows 10/11 设备推出扩展,则应从未启用的应用和未启用的浏览器列表中删除 Google Chrome。 有关详细信息,请参阅 不允许的浏览器。 如果只向少数设备推出,则可在不允许的浏览器列表中保留 Chrome。 对于已安装的计算机,扩展将绕过两个列表的限制。

准备设备

  1. 使用这些主题中的过程载入设备:
    1. 终结点数据丢失防护入门
    2. 载入 Windows 10 和 Windows 11 设备
    3. 配置信息保护的设备代理和 Internet 连接设置

基本设置单机自托管

这是推荐采用的方法。

  1. 导航到“Microsoft Purview 扩展 - Chrome Web Store (google.com)

  2. 按照 Chrome Web Store 页面上的说明安装扩展。

使用 Microsoft Intune 进行部署

使用此设置方法进行组织范围的部署

Microsoft Intune强制安装步骤

使用设置目录,按照以下步骤管理 Chrome 扩展:

  1. 登录到Microsoft Intune管理中心

  2. 导航到配置文件。

  3. 选择“创建配置文件”。

  4. 选择“Windows 10及更高版本”作为平台。

  5. 选择 “设置目录” 作为配置文件类型。

  6. 选择“ 自定义 ”作为模板名称。

  7. 选择“创建”。

  8. 在“ 基本信息 ”选项卡上输入名称和可选说明,然后选择“ 下一步”。

  9. “配置设置 ”选项卡上选择“添加 设置 ”。

  10. 选择 Google>Google Chrome>扩展

  11. 选择 “配置强制安装的应用和扩展”列表

  12. 将切换开关更改为 “已启用”。

  13. 为扩展和应用 ID 输入以下值并更新 URL: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. 选择“下一步”。

  15. 根据需要在“作用域标记”选项卡上添加或编辑 范围标记 ,然后选择“ 下一步”。

  16. 在“ 分配 ”选项卡上添加所需的部署用户、设备和组,然后选择“ 下一步”。

  17. 根据需要在“适用性规则”选项卡上添加 适用性规则 ,然后选择“ 下一步”。

  18. 选择“创建”。

使用组策略部署

如果不想使用 Microsoft Intune,可以使用组策略在整个组织中部署扩展。

将 Chrome 扩展添加到 ForceInstall 列表

  1. 在组策略管理编辑器中,导航到“OU”。

  2. 展开以下路径“计算机/用户配置”>“策略”>“管理模板”>“经典管理模板”>“Google”>“Google Chrome”>“扩展”。 此路径可能有所不同,具体取决于你的配置。

  3. 选择“配置强制安装的扩展列表”。

  4. 右键单击并选择“编辑”。

  5. 选择“已启用”。

  6. 选择“显示”。

  7. 在“”下添加以下条目:echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. 依次选择“确定”和“应用”。

测试扩展

上传到云服务,或通过不允许的浏览器云出口访问

  1. Create或获取敏感项,并尝试将文件上传到组织的受限服务域之一。 敏感数据必须与我们的一个内置 敏感信息类型 或组织的敏感信息类型之一相匹配。 应从正在测试的设备上收到 DLP toast 通知,说明当文件打开时不允许此操作。

在 Chrome 中模拟其他 DLP 方案

从不允许的浏览器/应用列表中删除 Chrome 后,可以运行下面的 模拟方案 ,以确认行为是否符合组织的要求:

  • 使用剪贴板将敏感项的数据复制到另一个文档
    • 若要测试,请在 Chrome 浏览器中打开要防止复制到剪贴板操作的文件,然后尝试复制该文件的数据。
    • 预期结果:DLP toast 通知,显示打开文件时不允许此操作。
  • 打印文档
    • 若要测试,请在 Chrome 浏览器中打开防止打印操作的文件,然后尝试打印该文件。
    • 预期结果:DLP toast 通知,显示打开文件时不允许此操作。
  • 复制到 USB 可移动媒体
    • 若要进行测试,请尝试将文件保存到可移动媒体存储。
    • 预期结果:DLP toast 通知,显示打开文件时不允许此操作。
  • 复制到网络共享
    • 若要测试,请尝试将文件保存到网络共享。
    • 预期结果:DLP toast 通知,显示打开文件时不允许此操作。

使用警报管理仪表板查看 Chrome DLP 警报

  1. Microsoft Purview 合规门户 中打开“数据丢失防护”页面,然后选择“警报”。

  2. 请参阅数据丢失防护入门警报仪表板使用Microsoft Defender XDR调查数据丢失事件中的过程,以查看终结点 DLP 策略的警报。

在活动资源管理器中查看 Chrome DLP 数据

  1. Microsoft Purview 合规门户 中打开域的“数据分类页”,然后选择“活动资源管理器”。

  2. 请参考活动资源管理器入门中的程序,以访问和筛选终结点设备的所有数据。

    终结点设备的活动资源管理器筛选器。

已知问题和限制

  1. 不支持并必须禁用 Incognito 模式。

后续步骤

现在,你已载入设备,并且可以在“活动资源管理器”中查看活动数据,那么就可以继续下一步,在其中创建保护敏感项目的 DLP 策略。

另请参阅