Oprette en politik til forebyggelse af datatab (DLP)
Du kan beskytte data i organisationen ved at bruge Power Apps til at oprette og gennemtvinge politikker, der definerer de forbrugerconnectorer, som specifikke forretningsdata kan deles med. Disse politikker kaldes DLP (data loss prevention). DLP-politikker sikrer, at data administreres på en ensartet måde i hele organisationen, og de forhindrer, at vigtige virksomhedsdata utilsigtet publiceres til connectorer såsom websteder for sociale medier.
DLP-politikker kan oprettes på lejer- eller miljøniveau og administreres via Power Platform Administration.
Forudsætninger
Lejerniveau
Du kan definere politikker for lejerniveau for at medtage eller udelukke bestemte miljøer. Hvis du vil udføre de trin, der beskrives i denne artikel, for politikker på lejerniveau, er en af følgende tilladelser være påkrævet:
- Microsoft Power Platform-administratortilladelser
- Microsoft 365 – globale administratortilladelser
Vi henviser til disse som lejeradministratorer i hele artiklen. Flere oplysninger: Bruge serviceadministratorroller til at administrere din lejer.
Miljøniveau
Hvis du vil følge trinnene for politikker på miljøniveau, skal du have administratortilladelser til Power Apps-miljøer. I forbindelse med miljøer med en Dataverse-database skal du i stedet være tildelt rollen Systemadministrator.
Bemærk
Hvis du bruger EnvironmentType-parameteren SingleEnvironment, når du bruger PowerShell til at oprette en DLP-politik, har den brugerkonto, der bruges til at oprette politikken SKAL på Miljøniveau og MÅ IKKE som tilladelse på Lejerniveau som beskrevet ovenfor, eller der returneres en fejl om en forkert forespørgsel, så politikken ikke oprettes.
Søg efter og få vist DLP-politikker
Du kan finde og få vist DLP-politikker under Finde og vise DLP-politikker.
DLP-politikprocessen
Du skal følge nedenstående trin for at oprette en DLP-politik:
- Tildel politikken et navn.
- Klassificer connectorer.
- Definer politikkens omfang. Dette trin gælder ikke for politikker på miljøniveau.
- Vælg miljøer.
- Gennemgå indstillinger.
De beskrives i det næste afsnit.
Gennemgang: Opret en DLP-politik
I denne eksempelgennemgang skal vi oprette en DLP-politik på lejerniveau. Vi føjer SharePoint og Salesforce til gruppen Forretningsdata i en DLP-politik. Vi føjer også Facebook og Twitter til gruppen Blokerede data. De resterende connectorer lader vi være i gruppen Ikke-forretningsmæssige data. Vi udelader derefter testmiljøer i forhold til denne politik og anvender politikken på de resterende miljøer, f.eks. standard-og produktionsmiljøer i lejeren.
Når denne politik er gemt, kan enhver Power Apps- eller Power Automate-udvikler, der er medlem af DLP-politikkens miljø, oprette en app eller et flow, der deler data mellem SharePoint eller Salesforce. En hvilken som helst Power Apps- eller Power Automate-ressource, der indeholder en eksisterende forbindelse med en connector i gruppen Ikke-forretningsmæssige data, får ikke tilladelse til at oprette forbindelser med SharePoint- eller Salesforce-connectorer og omvendt. Disse udviklere vil heller ikke kunne føje Facebook- eller Twitter-connectorer til nogen Power Apps- eller Power Automate-ressourcer.
Power Platform Administration skal du vælge Datapolitikker > Ny politik.
Hvis der ikke findes nogen politikker for lejeren, vises følgende side.
Angiv et politiknavn, og vælg derefter Næste.
Gennemse de forskellige attributter og indstillinger, du kan angive på siden Tildel forbindelser.
Attributter
Attribut Beskrivelse Navn Navnet på connectoren. Kan blokeres Connectorer, der kan blokeres. Du kan se en liste over connectorer, der ikke kan blokeres, på Liste over connectorer, der ikke kan blokeres. Skriv Hvorvidt brug af connector kræver en Premium-licens, eller om den er inkluderet i basis- eller standardlicensen for Microsoft Power Platform. Udgiver Den virksomhed, der udgiver connectoren. Denne værdi kan være en anden end tjenesteejeren. Microsoft kan f.eks. være udgiveren af Salesforce-connectoren, men den underliggende tjeneste ejes af Salesforce, ikke Microsoft. Om Vælg URL-adressen for at få flere oplysninger om connectoren. Lister
Pivot Beskrivelse Forretning (n) Connectorer til forretningsfølsomme data. Connectorer i denne gruppe kan ikke dele data med connectorer i andre grupper. Ikke-forretningsmæssig/
Standard (n)Connectorer til ikke-forretningsmæssige data, f.eks. personlige brugsdata. Connectorer i denne gruppe kan ikke dele data med connectorer i andre grupper. Blokeret (n) Blokerede connectorer kan ikke bruges, hvor denne politik anvendes. Handlinger
Handling Beskrivelse Angiv standardgruppe Den gruppe, der tilknytter nye connectorer, som er tilføjet af Microsoft Power Platform, efter at DLP-politikken er oprettet. Flere oplysninger: Standarddatagruppe for nye connectorer Søg efter konnektorer Søg på en lang liste med connectorer for at finde bestemte connectorer, der skal klassificeres. Du kan søge i et hvilket som helst felt i visningen med connectorlisten som f.eks. Navn, Blokerbar, Type eller Udgiver. Du kan udføre følgende handlinger:
Beskrivelse 1 Tildel en eller flere connectorer på tværs af forskellige connector-klassificeringsgrupper 2 Pivottabeller for connectorklassificeringsgrupper 3 Søgelinje for at finde connectorer på tværs af egenskaber såsom Navn, Blokerbar, Type eller Udgiver 4 Connectorklassificeringsgruppe, der tilknytter nye connectorer, som er tilføjet af Microsoft Power Platform , efter at DLP-politikken er oprettet. 5 Markér, markér flere eller massemarkér connectorer, der skal flyttes mellem grupper 6 Funktion til alfabetisk sortering på tværs af individuelle kolonner 7 Handlingsknapper til at tildele individuelle connectorer på tværs af connector-klassificeringsgrupper Vælg en eller flere connectorer. I denne gennemgang skal du markere de SalesForce- og SharePoint-connectorer og derefter vælge Flyt til forretning i den øverste menulinje. Du kan også bruge ellipsen (
) til højre for connectornavnet.
Connectorer kan kun være placeret i én datagruppe ad gangen. Ved at flytte SharePoint- og Salesforce-connectorer til gruppen Virksomhedsdata forhindrer du brugerne i at oprette flow og apps, som kombinerer disse to forbindelser med nogen af de andre forbindelser i gruppen Ikke-forretningsmæssig eller Blokeret.
I forbindelse med connectorer såsom SharePoint, der ikke kan blokeres, vil handlingen Bloker være nedtonet, og der vises en advarsel.
Gennemse og rediger standardgruppeindstillingen for nye connectorer, hvis det er nødvendigt. Vi anbefaler, at du bevarer standardindstillingen som Ikke-forretningsmæssig for at tilknytte nye connectorer, der føjes til Microsoft Power Platform, som standard. Ikke-forretningsmæssige connectorer kan på et senere tidspunkt manuelt tildeles til Forretning eller Blokeret ved at redigere DLP-politikken, når du har haft mulighed for at gennemse og tildele dem. Hvis den nye connector-indstilling er blokeret, knyttes eventuelle nye connectorer, der kan blokeres, til Blokeret som forventet. Men alle nye connectorer, der ikke kan blokeres, knyttes til Ikke-forretningsmæssig, da de ikke kan blokeres som standard.
Vælg Angiv standardgruppe i øverste højre hjørne.
Når du har fuldført samtlige connectortildelinger på tværs af grupperne Forretning/Ikke forretningsmæssig/Blokeret og indstillet standardgruppen for nye connectorer, skal du vælge Næste.
Vælg DLP-politikkens omfang. Dette trin er ikke tilgængeligt for politikker på miljøniveau, da de altid er beregnet til ét enkelt miljø.
I forbindelse med denne gennemgang skal du udelukke testmiljøer fra denne politik. Vælg Udelad visse miljøer, og vælg Næste på siden Tilføj miljøer.
Gennemse de forskellige attributter og indstillinger på siden Tilføj miljøer. For politikker på lejerniveau kan administratoren på lejerniveau se alle miljøerne i lejeren. I forbindelse med politikker på miljøniveau viser denne liste kun delsættet af de miljøer i lejeren, der administreres af den bruger, som er logget på som miljøadministrator eller som systemadministrator for miljøer med en Dataverse-database.
Attributter
Attribut Beskrivelse Navn Navnet på miljøet. Skriv Typen af miljø : prøveversion, produktion, sandkasse, standard Område Det område, der er knyttet til miljøet. Oprettet af Den bruger, der har oprettet miljøet. Oprettet (den) Den dato, hvor miljøet blev oprettet. Lister
Pivot Beskrivelse Tilgængelig (n) Miljøer, der ikke udtrykkeligt er inkluderet eller udeladt i politikomfanget. For politikker på miljøniveau og politikker på lejerniveau med omfang defineret som Tilføj flere miljøer repræsenterer denne liste et delsæt af de miljøer, der ikke er inkluderet i politikomfanget. For politikker på lejerniveau med omfang defineret som Udelad visse miljøer repræsenterer denne pivot det sæt af miljøer, der er inkluderet i politikomfanget. Føjet til politik ( n ) For politikker på miljøniveau og politikker på lejerniveau med omfang defineret som Tilføj flere miljøer repræsenterer denne pivot et delsæt af de miljøer, der er inkluderet i politikomfanget. For politikker på lejerniveau med omfang defineret som Udelad visse miljøer repræsenterer denne pivot det undersæt af miljøer, der er udeladt fra politikomfanget. Handlinger
Handling Beskrivelse Føj til politik Miljøer i kategorien Tilgængelige kan flyttes til kategorien Føjet til politik ved hjælp af denne handling. Fjern fra politik Miljøer i kategorien Føjet til politik kan flyttes til kategorien Tilgængelige ved hjælp af denne handling. Vælg et eller flere miljøer. Du kan bruge søgelinjen til hurtigt at finde miljøer, der har din interesse. I denne gennemgang søges der efter testmiljøer af typen sandkasse. Når vi har valgt sandkassemiljøet, tildeler vi dem til politikomfanget ved hjælp af Føj til politik i øverste menulinje.
Da politikomfanget oprindeligt blev valgt som Udelad visse miljøer, udelukkes disse testmiljøer nu fra politikomfanget, og DLP-politikindstillingerne anvendes på alle de resterende ( tilgængelige) miljøer. Du kan kun vælge et enkelt miljø på listen over tilgængelige miljøer for en politik på miljøniveau.
Vælg Næste, når du har foretaget valg for miljøer.
Gennemse politikindstillingerne, og vælg derefter Opret politik.
Politikken oprettes og vises på listen over DLP-politikker. På grund af denne politik kan SharePoint- og Salesforce-apps kan dele data i ikke-testmiljøer, f.eks. produktionsmiljøer, fordi de begge er en del af den samme gruppe af Forretningsdata. Alle connectorer, der befinder sig i databruppen Ikke-forretningsmæssig som f.eks. Outlook.com, deler ikke data med apps og flows ved hjælp af SharePoint- eller Salesforce-connectorer. Facebook og Twitter-connectorer blokeres alle i at blive brugt i nogen app eller noget flow i ikke-testmiljøer som f.eks. produktions- eller standardmiljøer.
Det er god praksis for administratorer at dele listen over DLP-politikker med organisationen, så brugerne kender politikkerne, før de opretter apps.
I denne tabel beskrives det, hvordan den DLP-politik, du har oprettet, påvirker dataforbindelser i apps og flows.
| Connector-matrix | SharePoint (arbejde) | Salesforce (forretning) | Outlook.com (ikke-forretningsmæssig) | Facebook (blokeret) | Twitter (blokeret) |
|---|---|---|---|---|---|
| SharePoint (arbejde) | Tilladt | Tilladt | Afvist | Afvist | Afvist |
| Salesforce (forretning) | Tilladt | Tilladt | Afvist | Afvist | Afvist |
| Outlook.com (ikke-forretningsmæssig) | Afvist | Afvist | Tilladt | Afvist | Afvist |
| Facebook (blokeret) | Afvist | Afvist | Afvist | Afvist | Afvist |
| Twitter (blokeret) | Afvist | Afvist | Afvist | Afvist | Afvist |
Da der ikke er anvendt nogen DLP-politik for testmiljøer, kan apps og flows bruge et hvilket som helst sæt af connectorer sammen i disse miljøer.
Brug af DLP PowerShell-kommandoer
Se Politikkommandoer til forebyggelse af datatab (DLP).
Se også
Politikker til forebyggelse af datatab
Administrere politikker til forebyggelse af datatab (DLP)
DLP-politikkommandoer til forebyggelse af datatab
Power Platform-forebyggelse af datatab (DLP) SDK