開始使用適用於 Chrome 的 Microsoft Purview 擴充功能
使用這些程式來推出適用於 Chrome 的 Microsoft Purview 擴充功能。
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
注意事項
適用於 Chrome 的 Microsoft Purview 擴充功能僅適用於 Windows 裝置。 在macOS裝置上強制執行數據外洩防護不需要擴充功能。
開始之前
若要使用適用於 Chrome 的 Microsoft Purview 擴充功能,裝置必須上線至端點數據外洩防護 (DLP) 。 如果您不熟悉 DLP 或端點 DLP,請檢閱下列文章:
- 了解適用於 Chrome 的 Microsoft Purview 擴充功能
- 了解 Microsoft Purview 資料外洩防護
- 建立和部署數據外洩防護原則
- 深入了解端點資料外洩防護
- 開始使用端點資料外洩防護
- Windows 10/11 裝置的上線工具和方法
- 設定資訊保護的裝置 Proxy 和網際網路連線設定
- 使用端點資料外洩防護
SKU/訂閱授權
在您開始之前,應先確認您的 Microsoft 365 訂閱 以及任何附加元件。 若要存取和使用端點 DLP 功能,您必須具有下列其中一個訂用帳戶或附加元件:
- Microsoft 365 E5
- Microsoft 365 A5 (教育版)
- Microsoft 365 E5 合規性
- Microsoft 365 A5 合規性
- Microsoft 365 E5 資訊保護和控管
- Microsoft 365 A5 資訊保護和控管
如需授權指南的詳細資料,請參閱:Microsoft 365 安全性與合規性的授權指南。
- 您的組織必須獲得端點 DLP 的授權。
- 您的裝置必須執行 Windows 10 x64 (組建 1809 或更新版本) 。
- 裝置必須有 Antimalware Client 4.18.2202.x 版或更新版本。 開啟 Windows 安全性 應用程式,選取 [設定] 圖示,然後選取 [關於],以檢查您目前的版本。
權限
可在 活動總管 中檢視來自端點 DLP 的資料。 有七個角色會授與檢視許可權,並與活動總管互動。 您用來存取資料的帳戶至少必須是其中一個成員。
- 全域管理員
- 合規性系統管理員
- 安全性系統管理員
- 合規性資料系統管理員
- 全域讀取者
- 安全性讀取者
- 報告讀取者
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。
角色和角色 群組
您可以使用角色和角色群組來微調訪問控制。
以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
整體安裝工作流程
部署擴充功能是多階段流程。 您可以選擇一次將它安裝在一部計算機上,也可以將 Microsoft Intune 或 群組原則 用於整個組織的部署。
- 準備您的裝置。
- 基本設定單一裝置自我主控
- 使用 Microsoft Intune部署
- 使用群組原則進行部署
- 測試擴充功能使用警示管理儀錶板來檢視 Chrome DLP 警示
- 檢視活動總管中的 Chrome DLP 資料
準備基礎結構
如果您要將擴充功能推出至所有受監視的 Windows 10/11 裝置,您應該從不允許的應用程式和不允許的瀏覽器清單中移除 Google Chrome。 有關詳細資訊,請參閱 不受允許的瀏覽器。 如果您只將它推出至幾個裝置,您可以將 Chrome 保留在不允許的瀏覽器或不允許的應用程式清單上。 延伸模組會略過這兩個已安裝計算機的清單限制。
準備您的裝置
- 使用這些文章中的程式將您的裝置上線:
重要事項
Microsoft Purview 已升級 Purview Chrome 擴充功能指令清單 V3。 如果您已經安裝 Purview Chrome 擴充功能,您應該會看到電腦上的自動升級為 3.0.0.239 或更高版本。
基本設定單一裝置自我主控
這是建議的方法。
使用 Chrome Web Store 頁面上的指示安裝延伸模組。
使用 Microsoft Intune部署
使用此設定方法以進行全組織部署。
Microsoft Intune 強制安裝步驟
使用設定目錄,遵循下列步驟來管理 Chrome 擴充功能:
瀏覽至組態設定檔。
選取 建立設定檔。
選 Windows 10 及更新版本作為平臺。
選 取 [設定目錄 ] 作為配置檔類型。
選 取 [自定義 ] 作為範本名稱。
選取 [建立]。
在 [ 基本 ] 索引標籤上輸入名稱和選擇性描述,然後選取 [ 下一步]。
選 取 [組態設定] 索引標籤上的 [ 新增設定] 。
選 取 [Google>Google Chrome>延伸模組]。
選 取 [設定強制安裝的應用程式和延伸模組清單]。
將切換變更為 [已啟用]。
針對延伸模組和應用程式識別碼輸入下列值,並更新URL:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx。選取 [下一步]。
視需要在 [範圍卷標] 索引標籤上新增或編輯範圍 卷 標,然後選取 [ 下一步]。
在 [指 派 ] 索引標籤上新增必要的部署使用者、裝置和群組,然後選取 [ 下一步]。
視需要在 [適用性規則] 索引標籤上新增適用 性 規則,然後選取 [ 下一步]。
選取 [建立]。
使用群組原則部署
如果您不想使用 Microsoft Intune,您可以使用組策略在整個組織中部署擴充功能。
將 Chrome 擴充功能新增到 ForceInstall 清單
在群組原則管理編輯器中,瀏覽至您的 OU。
展開下列路徑 電腦/使用者設定>原則>系統管理範本>傳統系統管理範本>Google>Google Chrome>擴充功能。 此路徑可能會根據您的設定而不同。
選取 設定強制安裝擴充功能清單。
以滑鼠右鍵按一下以滑鼠右鍵按一下,選取 編輯。
選取 已啟用。
選取 顯示。
在 值 下方,新增下列項目:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx選取 OK 然後選取 套用。
測試擴充功能
上傳到雲端服務,或透過不受允許的 Cloud Egress 存取
- 建立或取得敏感性專案,並嘗試將檔案上傳至貴組織的其中一個受限制服務網域。 敏感性資料必須與我們其中一個內建的 敏感性資訊類型或貴組織的其中一個敏感性資訊類型相符。 您應該會在您要測試的裝置上收到 DLP 快顯通知,其中顯示檔案開啟時不允許此動作。
模擬 Chrome 中的其他 DLP 案例
現在您已從不允許的瀏覽器/應用程式清單中移除 Chrome,您可以執行下列 模擬案例 ,以確認行為符合貴組織的需求:
- 使用 [剪貼簿] 將資料從敏感性項目複製到另一份文件
- 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中複製到剪貼簿動作的檔案,並嘗試從檔案複製資料。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 列印文件
- 若要測試,請開啟受到保護且防止在 Chrome 瀏覽器中列印的檔案,並嘗試從檔案列印資料。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到 USB 卸除式媒體
- 若要測試,請嘗試將檔案儲存至抽取式媒體記憶體。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到網路共用
- 若要測試,請嘗試將檔案儲存到網路共用。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
使用警示管理儀錶板來檢視 Chrome DLP 警示
在 Microsoft Purview 合規性入口網站開啟 [資料外洩防護] 頁面,然後選取 [警示]。
請參閱開始使用數據外洩防護警示儀錶板和使用 Microsoft Defender 全面偵測回應 調查數據遺失事件中的程式,以檢視端點 DLP 原則的警示。
檢視 [活動總管] 中的端點 DLP 資料
在 Microsoft Purview 合規性入口網站開啟您網域的 [資料分類] 頁面,然後選擇 [活動總管]。
請參閱 開始使用活動總管 中的程序,以存取及篩選您端裝置的所有資料。
已知問題與限制
- 不支援 Incognito 模式,而且必須停用。
後續步驟
既然您已將裝置上線,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。