Microsoft Purview Endpoint DLP để chặn upload file Google Drive, Dropbox

Đăng vào bởi Tran Thanh Long

Hướng dẫn chi tiết cách thiết lập Endpoint Data Loss Prevention (DLP) trong Microsoft Purview để ngăn chặn việc upload file chứa thông tin nhạy cảm lên các dịch vụ như Google Drive, Dropbox, Box, WeTransfer, v.v.

Endpoint DLP là tính năng giúp giám sát và chặn các hoạt động trên thiết bị endpoint (như máy tính Windows hoặc macOS), tập trung vào việc bảo vệ dữ liệu nhạy cảm (ví dụ: số thẻ tín dụng, thông tin cá nhân, file có sensitivity label). Nó chỉ chặn upload, không chặn download, nên người dùng vẫn có thể tải file từ các dịch vụ này. Tính năng này yêu cầu license Microsoft 365 E3 (với add-on) hoặc E5.

Lưu ý trước khi bắt đầu:

  1. Bạn cần quyền admin trong Microsoft Purview (Compliance Admin hoặc tương đương).
  2. Thiết bị phải onboard vào Microsoft Defender for Endpoint (qua Intune hoặc thủ công).
  3. Thời gian áp dụng policy có thể mất 1-2 giờ.
  4. Nếu dùng trình duyệt khác Edge (như Chrome, Firefox), cần cài extension Purview.

Dựa trên tài liệu chính thức từ Microsoft và các hướng dẫn thực tế.

Bước 1: Onboard thiết bị vào Endpoint DLP

Trước tiên, đảm bảo thiết bị của bạn (Windows 10/11 hoặc macOS) được onboard để DLP hoạt động.

Đăng nhập vào Microsoft Purview portal tại https://purview.microsoft.com/.

Chọn Data loss prevention > Overview > Data loss prevention settings > Endpoint settings.

Trong Device onboarding, bật onboarding cho Windows hoặc macOS.

  • Đối với Windows: Sử dụng Microsoft Intune để deploy onboarding package, hoặc thủ công qua script từ Defender portal.
  • Đối với macOS: Tương tự, nhưng cần approve system extensions.

Kiểm tra danh sách thiết bị onboarded trong Devices (có thể mất vài phút).

Bước 2: Cấu hình Restricted Service Domains và Apps

Đây là phần quan trọng để định nghĩa các domain và app bị chặn (như Google Drive, Dropbox).

Trong Endpoint settings, chọn Browser and domain restrictions to sensitive data.

Chọn hành động mặc định: Block (chặn) hoặc Allow (cho phép) cho các domain.

Tạo nhóm domain mới:

  • Nhấn + Add cloud service domain.
  • Thêm domain:
    • Google Drive: drive.google.com, *.google.com/drive
    • Dropbox: dropbox.com, *.dropbox.com
    • Box: box.com, *.box.com
    • WeTransfer: wetransfer.com, *.wetransfer.com
  • Lưu nhóm với tên như “Unapproved Cloud Services”.

Để chặn sync apps desktop (như Dropbox.exe):

  • Chọn Restricted apps and app groups.
  • Tạo nhóm app mới: Thêm executable như Dropbox.exe, GoogleDriveFS.exe, BoxSync.exe.
  • Set hành động: Block cho file nhạy cảm.

Bước 3: Tạo DLP Policy

Bây giờ, tạo policy để áp dụng các quy tắc chặn.

Trong Data loss prevention > Policies > + Create policy.

Chọn Custom (hoặc template nếu phù hợp, như bảo vệ financial data).

Đặt tên policy (ví dụ: “Block upload to third-party cloud”).

Chọn locations: Bật Devices (Endpoint activities).

Định nghĩa conditions: Chọn sensitive info types (ví dụ: Credit Card Number) hoặc sensitivity labels (như Confidential).

Trong Actions:

  • Bật Audit or restrict activities on devices.
  • Chọn Upload to a restricted cloud service domain or access from an unallowed browser.
  • Set hành động: Block hoặc Block with override (cho phép override với lý do).
  • Chọn nhóm domain từ Bước 2.

(Tùy chọn) Bật Paste to supported browsers để chặn paste nội dung nhạy cảm.

Review và create policy. Bật test mode (Audit only) trước để kiểm tra mà không chặn ngay.

Policy sẽ sync sau 1-2 giờ.

Bước 4: Hỗ trợ cho các trình duyệt khác (Chrome, Firefox, Safari)

Endpoint DLP hoạt động tốt nhất với Microsoft Edge (native). Đối với các trình duyệt khác:

Trong Endpoint settings > Unallowed browsers, thêm Chrome.exe, firefox.exe nếu muốn ép dùng Edge (block access file nhạy cảm).

Để hỗ trợ Chrome/Firefox:

  • Cài Microsoft Purview extension từ Chrome Web Store hoặc Firefox Add-ons.
  • Deploy qua Intune/Group Policy cho toàn tổ chức.

Safari (macOS): Hỗ trợ native, không cần extension.

Sau khi cài, policy sẽ chặn upload trên các browser này.

Nếu không cài extension, upload có thể bypass ở một số trường hợp.

Bước 5: Kiểm tra và Troubleshooting

Tạo file test: Một file Word chứa số thẻ tín dụng giả hoặc dán sensitivity label “Confidential”.

Thử upload lên Google Drive/Dropbox qua browser. Bạn sẽ thấy thông báo block như thế này:

Discover and control sensitive file uploads to unapproved cloud …

Kiểm tra activity trong Data loss prevention > Alerts hoặc Activity explorer.

Lỗi phổ biến:

  • Thiết bị chưa onboard: Kiểm tra Defender portal.
  • Policy chưa sync: Đợi thêm hoặc restart thiết bị.
  • Bypass qua app mobile: Endpoint DLP chỉ áp dụng cho desktop.
  • Để chặn triệt để hơn, kết hợp Microsoft Defender for Cloud Apps (MCAS).

Nếu gặp vấn đề, kiểm tra log trong Event Viewer (Windows) hoặc console (macOS).

Lưu ý cuối cùng

  • Cập nhật domain list thường xuyên vì các dịch vụ cloud có thể thay đổi subdomain.
  • Bắt đầu với Audit only để tránh ảnh hưởng người dùng.
  • Nếu tổ chức lớn, test trên nhóm nhỏ trước.
  • Để bảo vệ toàn diện, kết hợp với sensitivity labels và training người dùng.