Verhinderung von Datenverlust

Abgeschlossen

Richtlinien zur Verhinderung von Datenverlust (DLP) dienen als Anleitung, um zu verhindern, dass Benutzer unbeabsichtigt Organisationsdaten preisgeben und zum Schutz von Informationssicherheit im Mandanten. DLP-Richtlinien erzwingen Regeln dafür, welche Konnektoren für jede Umgebung aktiviert sind und welche Konnektoren zusammen verwendet werden können.

DLPs verhindern den unbefugten Datenzugriff und ein Datenleck über Microsoft Power Platform. Als Lösungsarchitekt müssen Sie sich aus folgenden Gründen mit DLPs befassen:

  • Stellen den ordnungsgemäßen Datenfluss in einer Organisation gemäß den Organisationsrichtlinien sicher
  • Können verhindern, dass eine entwickelte Lösung ordnungsgemäß funktioniert, wenn sie nicht in Ihren Plänen enthalten ist
  • Können Ihre Lösung nach der Bereitstellung beschädigen, wenn sie später hinzugefügt werden

Wichtige Fakten

Im Folgenden sind wichtige Fakten über Richtlinien zur Verhinderung von Datenverlust (DLP) angegeben:

  • DLPs erzwingen Regeln dazu, welche Konnektoren zusammen verwendet werden können.
  • Die Konnektoren sind in Gruppen unterteilt.
  • Ein Konnektor in einer Gruppe kann er nur mit anderen Konnektoren in derselben Gruppe in einer App oder in einem Flow verwendet werden.
  • Mandantenadministratoren können Richtlinien definieren, die für alle Umgebungen gelten.
  • Standardmäßig sind im Mandanten keine DLP-Richtlinien implementiert.

Konnektoren werden entweder für „Nur Geschäftsdaten“, „Keine Geschäftsdaten zulässig“ oder „Blockiert“ klassifiziert. Wenn Sie einen Konnektor in die Gruppe „Nur Geschäftsdaten“ aufnehmen, kann er in derselben App oder demselben Flow nur zusammen mit anderen Konnektoren dieser Gruppe verwendet werden. Die Namen „Geschäftlich“ oder „Nicht geschäftlich“ haben keine besondere Bedeutung, sie sind lediglich Bezeichnungen. Die Gruppierung der Konnektoren selbst ist von Bedeutung, nicht der Name der Gruppe, in der sie platziert sind. Blockierte Konnektoren können überhaupt nicht verwendet werden.

Screenshot der Richtlinie zur Verhinderung von Datenverlust

Hinweis

Dataverse-Konnektoren können nicht blockiert werden.

DLPs und Umgebungen

DLP-Richtlinien können auf Mandantenebene und auf Umgebungsebene festgelegt werden.

Screenshot des Umfangs der Richtlinie zur Verhinderung von Datenverlust

Sie können mehrere DLP-Richtlinien auf eine Umgebung anwenden. Bei Design und Laufzeit werden alle Richtlinien, die für die Umgebung gelten, in der sich die App oder der Flow befindet, zusammen ausgewertet, um zu entscheiden, ob die Ressource den DLP-Richtlinien entspricht oder gegen diese verstößt. Wenn mehrere Richtlinien für eine Umgebung konfiguriert sind, gilt die restriktivste Richtlinie für die Kombination von Konnektoren.

Hinweis

Umgebungs-DLP-Richtlinien können mandantenweite DLP-Richtlinien nicht überschreiben.

Der Lösungsarchitekt sollte darauf abzielen, die minimale Anzahl von Richtlinien zu definieren und nach Möglichkeit zu vermeiden, dass mehrere Richtlinien auf eine Umgebung angewendet werden.

Der folgende Ansatz wird empfohlen, wenn Sie Richtlinien erstellen:

  1. Erstellen Sie eine Richtlinie für alle Umgebungen, die alle nicht unterstützten Nicht-Microsoft-Konnektoren blockieren, und klassifizieren Sie alle Microsoft-Konnektoren als Geschäftsdaten.
  2. Erstellen Sie eine Richtlinie für die Standardumgebung (und andere Schulungsumgebungen), die die Klassifizierung von Microsoft-Konnektoren als Geschäftsdaten weiter einschränkt.
  3. Erstellen Sie andere Richtlinien oder schließen Sie diese Umgebungen von den vorherigen Richtlinien aus, mit denen bestimmte Konnektoren für bestimmte Umgebungen verwendet werden können.

Diagramm der Ebenen der Richtlinien zur Verhinderung von Datenverlust

Richtlinien bereitstellen

Lösungsarchitekten sollten bei Richtlinien zur Verhinderung von Datenverlust die folgenden Faktoren berücksichtigen:

  • Es ist am besten, frühzeitig eine Standardrichtlinie einzurichten und später Ausnahmen zu gewähren.
  • Neue und aktualisierte Einschränkungen können vorhandene Apps und Flows deaktivieren.
  • Es kann einige Minuten dauern, bis Änderungen wirksam werden.
  • Richtlinien können nicht nur auf Benutzerebene oder auf Umgebungsebene auf Benutzerebene angewendet werden.
  • Microsoft PowerShell‑ und Admin-Konnektoren können Richtlinien verwalten.
  • Benutzer von Ressourcen in Umgebungen können geltende Richtlinien anzeigen.

Bei der Bereitstellung für einen vorhandenen Mandanten müssen Lösungsarchitekten mit anderen Gruppen in der IT zusammenarbeiten:

  • Bestätigen Sie, dass DLP-Richtlinien so konfiguriert sind, dass sie Ihr Ergebnis unterstützen.
  • Informieren Sie sich über die erforderliche Vorlaufzeit, um Änderungen zu genehmigen und umzusetzen.
  • Bringen Sie in Erfahrung, was Sie tun können und was andere Gruppen tun müssen.
  • Verwenden Sie Azure AD-Sicherheitsgruppen zur Steuerung des Zugriffs auf Umgebungen und Ressourcen.