DLP-RichtlinienData loss prevention (DLP) policies

Hinweis

Microsoft Flow heißt nun Power Automate.Microsoft Flow is now Power Automate. Weitere Informationen finden Sie in diesem Blogbeitrag.For more information, see this blog.

Dieser Inhalt wird aktualisiert, um die Brandingänderung in den folgenden Tagen widerzuspiegeln.This content will be updated to reflect the branding change in the coming days.

In diesem Dokument werden die DLP-Richtlinien vorgestellt, die beim Schutz Ihrer Organisationsdaten helfen sollen und somit nicht mit einer von Ihnen definierten Liste von Connectors geteilt zu werden.This document introduces you to data loss prevention policies, which help protect your organizational data from being shared with a list of connectors that you define.

Was ist eine DLP-Richtlinie?What's a data loss prevention policy?

Die Daten eines Unternehmens sind entscheidend für dessen Erfolg.An organization's data is critical to its success. Seine Daten müssen für Entscheidungsfindungsprozesse direkt verfügbar und gleichzeitig geschützt sein, sodass sie nicht für Personen zugänglich sind, die nicht darauf zugreifen dürfen.Its data needs to be readily available for decision-making, but it needs to be protected so that it isn't shared with audiences that shouldn't have access to it. Zum Schützen dieser Daten können Sie mit Power Automate Richtlinien erstellen und mit deren Hilfe definieren, welche Consumer-Connectors Zugriff auf Geschäftsdaten haben und diese teilen können.To protect this data, Power Automate provides you with the ability to create, and enforce policies that define which consumer connectors can access and share business data. Diese Richtlinien, durch die festgelegt wird, auf welche Weise Daten gemeinsam genutzt werden können, werden als DLP-Richtlinien (Data Loss Prevention) bezeichnet.These policies that define how data can be shared are referred to as data loss prevention (DLP) policies.

Weshalb muss eine DLP-Richtlinie erstellt werden?Why create a DLP policy?

Sie erstellen eine DLP-Richtlinie, um eindeutig zu definieren, welche Consumer-Connectors Zugriff auf Ihre Geschäftsdaten haben und diese teilen können.You create DLP policy to clearly define which consumer connectors may access and share your business data. Beispiel: In einem Unternehmen, das mit Power Automate arbeitet, sollen die Geschäftsdaten in SharePoint nicht automatisch in seinem Twitter-Feed veröffentlicht werden.For example, an organization that uses Power Automate may not want its business data in SharePoint to be automatically published to its Twitter feed. Um dies zu verhindern, erstellen Sie eine DLP-Richtlinie, die verhindert, dass SharePoint-Daten als Quelle für Tweets verwendet werden.To prevent this, you create a DLP policy that blocks SharePoint data from being used as the source for tweets.

Vorteile einer DLP-RichtlinieBenefits of a DLP policy

  • Damit wird sichergestellt, dass Daten in der gesamten Organisation einheitlich verwaltet werden.Ensures that data is managed in a uniform manner across the organization.
  • Damit wird verhindert, dass wichtige Geschäftsdaten versehentlich an Connectors wie Websites von sozialen Netzwerken veröffentlicht werden.Prevents important business data from being accidentally published to connectors such as social media sites.

Verwalten von DLP-RichtlinienManaging DLP policies

Voraussetzungen zum Verwalten von DLP-RichtlinienPrerequisites for managing DLP policies

Erstellen einer DLP-RichtlinieCreate a DLP policy

Voraussetzungen zum Erstellen von DLP-RichtlinienPrerequisites for creating DLP policies

Zum Erstellen einer DLP-Richtlinie müssen Sie über Berechtigungen für mindestens eine Umgebung verfügen.To create a DLP policy, you must have permissions to at least one environment.

Führen Sie die folgenden Schritte aus, um eine DLP-Richtlinie zu erstellen, die verhindert, dass Daten auf der SharePoint-Website Ihres Unternehmens auf Twitter veröffentlicht werden:Follow these steps to create a DLP policy that prevents data in your company’s SharePoint site from being published to Twitter:

  1. Melden Sie sich beim Power Automate-Admin Center an.Sign into the Power Automate Admin center (Admin center).

  2. Wählen Sie auf der Registerkarte „Data Policies“ (Datenrichtlinien) den Link Neue Richtlinie aus:Select the Data Policies tab, and then select the New policy link:

    Anmelden

  3. Wählen Sie die Registerkarte Data Groups (Datengruppen) aus.Select the Data groups tab.

  4. Geben Sie als Namen der DLP-Richtlinie im Feld Data Policy Name (Name der Datenrichtlinie) am oberen Rand der geöffneten Seite Secure Data Access for Contoso (Sicherer Datenzugriff für Contoso) ein:Enter the name of the DLP policy as Secure Data Access for Contoso in the Data Policy Name label at the top of the page:

    Anmelden

  5. Wählen Sie die Umgebung auf der Registerkarte Umgebungen aus.Select the environment on the Environments tab.

    Hinweis

    Als Umgebungsadministrator können Sie Richtlinien erstellen, die nur auf eine einzige Umgebung angewendet werden.As an environment admin, you can create policies that apply to only a single environment. Als Mandantenadministrator können Sie Richtlinien erstellen, die für eine beliebige Kombination von Umgebungen gelten:As a tenant admin, you can create policies that apply to any combination of environments:

    Auswählen einer Umgebung

  6. Wählen Sie die Registerkarte Data Groups (Datengruppen) aus:Select the Data groups tab:

    Datengruppen auswählen

  7. Wählen Sie den Link Hinzufügen im Gruppenfeld Business data only (Nur Geschäftsdaten) aus:Select the Add link located inside the Business data only group box:

    „Hinzufügen“ auswählen

  8. Wählen Sie auf der Seite Connectors hinzufügen die Connectors SharePoint und Salesforce aus:Select the SharePoint and Salesforce connectors from the Add connectors page:

    Connectors auswählen

  9. Klicken Sie auf Connectors hinzufügen, um die Connectors hinzuzufügen, die Geschäftsdaten teilen können.Select the Add connectors button to add the connectors that can share business data.

  10. Klicken Sie auf Richtlinie speichern am oberen rechten Rand der Anzeige.Select Save Policy in the top right corner of the screen.

  11. Nach einigen Augenblicken wird die neue DLP-Richtlinie in der Liste der DLP-Richtlinien (Data Loss Prevention) angezeigt:After a few moments, your new DLP policy will be displayed in the data loss prevention policies list:

    DLP-Liste

  12. Optional Senden Sie eine E-Mail oder eine sonstige Mitteilung an die Mitglieder Ihres Teams, um sie zu benachrichtigen, dass nun eine neue DLP-Richtlinie verfügbar ist.Optional Send an email or other communication to your team, alerting them that a new DLP policy is now available.

Sie haben nun eine DLP-Richtlinie erstellt, die der App die gemeinsame Verwendung von Daten für SharePoint und Salesforce ermöglicht, wobei die Freigabe von Daten für andere Dienste gesperrt wird.Congratulations, you've now created a DLP policy that allows app to share data between SharePoint and Salesforce and blocks the sharing of data with any other services.

Hinweis

Wenn Sie einen Dienst zu einer Datengruppe hinzufügen, wird er automatisch aus der anderen Datengruppe entfernt.Adding a service to one data group automatically removes it from the other data group. Wenn sich Twitter z.B. derzeit in der Datengruppe business data only (Nur Geschäftsdaten) befindet und Sie nicht zulassen möchten, dass Geschäftsdaten auf Twitter geteilt werden, fügen Sie den Twitter-Dienst einfach der Datengruppe no business data allowed (Keine Geschäftsdaten zulässig) hinzu.For example, if Twitter is currently located in the business data only data group, and you don't want to allow business data to be shared with Twitter, simply add the Twitter service to the no business data allowed data group. Hiermit wird Twitter aus der Datengruppe „business data only“ (Nur Geschäftsdaten) entfernt.This will remove Twitter from the business data only data group.

DatenfreigabeverletzungData sharing violations

Angenommen, Sie haben die DLP-Richtlinie wie oben beschrieben erstellt: Wenn ein Benutzer jetzt einen Flow erstellt, der Daten gemeinsam mit Salesforce (aus der Datengruppe Business data only (Nur Geschäftsdaten)) und Twitter (aus der Datengruppe No business data allowed (Keine Geschäftsdaten zulässig)) verwendet, erhält der Benutzer die Meldung, dass der Flow aufgrund eines Konflikts mit der von Ihnen erstellten DLP-Richtlinie angehalten wurde.Assuming you've created the DLP policy outlined above, if a user creates a flow that shares data between Salesforce (which is in the business data only data group) and Twitter (which is in the no business data allowed data group), the user will be informed that the flow is suspended due to a conflict with the data loss prevention policy you created.

Flow erstellen

Wenn Sie von Ihren Benutzern hören, dass ihre Flows angehalten wurden, beachten Sie Folgendes:If your users contact you about suspended flows, here a few things to consider:

  1. Wenn es einen triftigen Grund für die gemeinsame Verwendung von Daten in SharePoint und Twitter im genannten Beispiel gibt, können Sie die DLP-Richtlinie bearbeiten.In this example, if there's a valid business reason to share business data between SharePoint and Twitter, you can edit the DLP policy.

  2. Bitten Sie den Benutzer, den Flow so zu ändern, dass er der DLP-Richtlinie entspricht.Ask the user to edit the flow to comply with the DLP policy.

  3. Bitten Sie den Benutzer, den Flow so lange im angehaltenen Zustand zu belassen, bis eine Entscheidung hinsichtlich der gemeinsamen Verwendung von Daten durch diese beiden Entitäten getroffen wurde.Ask the user to leave the flow in the suspended state until a decision is made regarding the sharing of data between these two entities.

Suchen einer DLP-RichtlinieFind a DLP policy

AdministratorenAdmins

Administratoren können mithilfe der Suchfunktion im Admin Center nach bestimmten DLP-Richtlinien suchen.Admins can use the search feature from the Admin center to find specific DLP policies.

Hinweis

Administratoren sollten alle DLP-Richtlinien so veröffentlichen, dass Benutzern in der Organisation die Richtlinien vor dem Erstellen von Flows bekannt sind.Admins should publish all DLP policies so that users in the organization are aware of the policies prior to creating flows.

ErstellerMakers

Wenn Sie über keine Administratorberechtigungen verfügen und mehr über die DLP-Richtlinien in der Organisation erfahren möchten, wenden Sie sich an Ihren Administrator.If you don't have admin permissions and you wish to learn more about the DLP policies in your organization, contact your administrator. Weitere Informationen hierzu finden Sie im Artikel zu Umgebungen für ErstellerYou can also learn more from the maker environments article

Hinweis

DLP-Richtlinien können nur von Administratoren bearbeitet oder gelöscht werden.Only admins can edit or delete DLP policies.

Bearbeiten einer DLP-RichtlinieEdit a DLP policy

  1. Starten Sie das Admin Center.Launch the Admin center.

  2. Klicken Sie im geöffneten Admin Center links auf den Link Data Policies (Datenrichtlinien).In the Admin center that launches, select the Data polices link on the left side.

    Datenrichtlinien auswählen

  3. Durchsuchen Sie die Liste der vorhandenen DLP-Richtlinien, und klicken Sie neben der zu bearbeitenden Richtlinie auf „Bearbeiten“.Search the list of existing DLP policies and select the edit button next to the policy you intend to edit.

  4. Nehmen Sie die notwendigen Änderungen an der Richtlinie vor.Make the necessary changes to the policy. Sie können beispielsweise die Umgebung oder die Dienste in den Datengruppen ändern.You can modify the environment or the services in the data groups, for example.

  5. Wählen Sie zum Speichern der vorgenommenen Änderungen Richtlinie speichern aus.Select Save Policy to save your changes.

Hinweis

Von Mandantenadministratoren erstellte DLP-Richtlinien können von Umgebungsadministratoren angezeigt, jedoch nicht bearbeitet werden.DLP policies created by tenant admins can be viewed by environment admins but cannot be edited by environment admins.

Löschen einer DLP-RichtlinieDelete a DLP policy

  1. Starten Sie das Admin Center.Launch the Admin center.

  2. Wählen sie die Registerkarte Datenrichtlinien auf der linken Seite aus.Select the Data polices tab on the left side.

    Registerkarte „Datenrichtlinien“ auswählen

  3. Durchsuchen Sie die Liste der vorhandenen DLP-Richtlinien, und klicken Sie neben der zu löschenden Richtlinie auf „Löschen“:Search the list of existing DLP policies, and then select the delete button next to the policy you intend to delete:

    Auf „Löschen“ klicken

  4. Bestätigen Sie, dass die Richtlinie wirklich gelöscht werden soll, indem Sie auf die Schaltfläche Löschen klicken:Confirm that you really want to delete the policy by selecting the Delete button:

    Bestätigen Sie, dass Sie die Richtlinie wirklich löschen möchten.

Berechtigungen für DLP-RichtlinienDLP policy permissions

Nur Mandanten- und Umgebungsadministratoren können DLP-Richtlinien erstellen und ändern.Only tenant and environment admins can create and modify DLP policies. Weitere Informationen zu Berechtigungen erhalten Sie im Artikel zu Umgebungen.Learn more about permissions in the environments article.

Benutzerdefinierte und HTTP-ConnectorsCustom and HTTP connectors

Benutzerdefinierte und HTTP-Connectors müssen entweder mithilfe einer Power Automate-Vorlage oder PowerShell zu DLPs hinzugefügt werden.Custom and HTTP connectors must be added to DLPs using either a Power Automate template or a PowerShell.

Tipp

Sie können kein Downgrade von der Schemaversion 2018-11-01 durchführen.You can't downgrade from schema version 2018-11-01. Die HTTP-Unterstützung kann nicht aus einer Richtlinie entfernt werden.HTTP support cannot be removed from a policy. Wenn Sie versuchen, die HTTP-Unterstützung zu entfernen, wird die DLP-Richtlinie möglicherweise beschädigt.If you attempt to remove HTTP support, the DLP policy might be corrupted. Wenn eine DLP-Richtlinie zur Unterstützung von HTTP-Connectors aktualisiert wird, werden die aktuellen Flows, die diese HTTP-Funktionen verwenden, möglicherweise deaktiviert.Further, if a DLP policy is updated to support HTTP connectors, current flows using these HTTP capabilities might be shut off.

Im Folgenden finden Sie die HTTP-Connectors, die Sie einer Richtlinie hinzufügen können:Here are the HTTP connectors that you can add to a policy:

  • HTTP (und HTTP + Swagger)HTTP (and HTTP + Swagger)
  • HTTP-WebhookHTTP Webhook
  • HTTP-AnforderungHTTP Request

Hinzufügen von benutzerdefinierten und HTTP-Connectors mit VorlagenAdd connectors custom and HTTP connectors with templates

Wenn Sie einer Richtlinie einen benutzerdefinierten Connector mithilfe einer Vorlage hinzuzufügen möchten, geben Sie den Richtliniennamen, die Gruppe, der der Connector hinzugefügt werden soll, sowie den Namen, die ID und den Typ des Connectors ein.To add a custom connector to a policy using a template, enter the policy name, the group to which to add the connector, and the connector’s name, ID, and type. Führen Sie den Flow einmal aus, um den benutzerdefinierten Connector der angegebenen Richtlinie und Gruppe hinzuzufügen.Run the flow once to add the custom connector to the policy and group given.

Geben Sie den Namen der Richtlinie ein, der Sie die HTTP-Connectors hinzufügen möchten, und führen Sie dann den Flow aus, um die HTTP-Connectors über die Vorlage einer vorhandenen Richtlinie hinzuzufügen.To add the HTTP connectors to an existing policy via the template, enter the name of the policy you’d like to add them to and then run the flow.

Hinzufügen von benutzerdefinierten und HTTP-Connectors mit PowerShellAdd custom and HTTP connectors with PowerShell

Zum Hinzufügen von benutzerdefinierten Connectors und/oder HTTP-Connectors zu einer Richtlinie mithilfe von PowerShell müssen Sie die neuesten Power Apps-PowerShell-Scripte herunterladen und importieren und dann die Cmdlets „New-AdminDlpPolicy“, „Set-AdminDlpPolicy“, „Add-CustomConnectorToPolicy“ und „Remove-CustomConnectorFromPolicy“ verwenden, um die Richtlinie zu ändern.To add support for custom connectors and/or HTTP connectors to a policy using the PowerShell, download and import the latest Power Apps PowerShell scripts and then use these cmdlets: ‘New-AdminDlpPolicy’, ‘Set-AdminDlpPolicy’, ‘Add-CustomConnectorToPolicy’, and ‘Remove-CustomConnectorFromPolicy’ to modify the policy. Verwenden Sie das Cmdlet „Get-Help -detailed“ als Referenz.Use the ‘Get-Help -detailed’ cmdlet as a reference.

Wichtig

Verwenden Sie die Schemaversion 2018-11-01, wenn Sie eine DLP-Richtlinie zum Einschließen von HTTP-Connectors erstellen oder aktualisieren.Use the schema version 2018-11-01 when creating or updating a DLP policy to include HTTP connectors. Das Hinzufügen der HTTP-Unterstützung mithilfe der Vorlage oder PowerShell hat nur Auswirkungen auf die angegebene Richtlinie.Adding HTTP support using the template or PowerShell will only affect the specified policy. Neue Richtlinien, die über das Admin Center erstellt werden, enthalten keine HTTP-Connectors.New policies created via the Admin Center will not contain the HTTP connectors.

Weitere SchritteNext steps