Créer une stratégie de prévention contre la perte de données

Pour vous aider à protéger les données de votre organisation, Power Apps vous permet de créer et d’appliquer des stratégies qui définissent avec quels connecteurs de consommateur peuvent être partagées des données métier spécifiques. Ces stratégies sont appelées prévention de la perte de données (DLP). Les stratégies de protection contre la perte de données garantissent que les données sont gérées de manière uniforme dans l’organisation, et empêchent les données commerciales importantes d’être accidentellement publiées sur des connecteurs, tels que des sites de réseaux sociaux.

Les stratégies DLP peuvent être créées au niveau du client ou au niveau de l’environnement et sont gérées à partir du centre d’administration Power Platform.

Conditions préalables

Au niveau Client

Des stratégies au niveau du client peuvent être définies pour inclure ou exclure des environnements spécifiques. Pour suivre les étapes décrites dans cet article pour les stratégies au niveau du client, l’une des autorisations suivantes est obligatoire :

  • Autorisations administrateur Microsoft Power Platform
  • Autorisations de l’administrateur global Microsoft 365

Nous faisons référence à ces rôles tout au long de cet article comme administrateurs client. Pour plus d’informations, voir : Utiliser les rôles d’administrateurs de service pour gérer votre client

Au niveau de l’environnement

Pour suivre les étapes des stratégies au niveau de l’environnement, vous devez avoir les autorisations d’administrateur d’environnement Power Apps. Pour les environnements avec une base de données Dataverse, vous devez plutôt avoir le rôle d’administrateur système.

Note

Si vous utilisez le parmètre EnvironmentType SingleEnvironment lors de l’utilisation de PowerShell pour créer une stratégie DLP, le compte d’utilisateur utilisé pour créer la stratégie DOIT avoir l’autorisation au niveau de l’environnement et NE DOIT PAS avoir l’autorisation au niveau du client comme décrit ci-dessus. Sinon une erreur de demande incorrecte sera renvoyée et la stratégie ne sera pas créée.

Rechercher et afficher les stratégies DLP

Pour rechercher et afficher des stratégies DLP, consultez Rechercher et afficher les stratégies DLP.

Le processus de stratégie DLP

Voici les étapes à suivre pour créer une stratégie DLP :

  1. Attribuez un nom à la stratégie.
  2. Classifiez les connecteurs.
  3. Définissez l’étendue de la stratégie. Cette étape ne s’applique pas aux stratégies au niveau de l’environnement.
  4. Sélectionnez les environnements.
  5. Vérifiez les paramètres.

Ceux-ci sont expliqués dans la section suivante.

Guide pas-à-pas : Créer une stratégie DLP

Dans cet exemple de guide pas à pas, nous allons créer une stratégie DLP au niveau du client. Nous ajouterons SharePoint et Salesforce au groupe de données Métier d’une stratégie DLP. Nous ajouterons également Facebook et Twitter au groupe de données Bloqué. Nous laisserons les connecteurs restants dans le groupe de données Hors métier. Nous exclurons ensuite les environnements de test de l’étendue de cette stratégie et appliquerons la stratégie aux environnements restants, tels que les environnements par défaut et de production dans le client.

Une fois cette stratégie enregistrée, tout créateur Power Apps ou Power Automate qui fait partie de l’environnement de la stratégie DLP peut créer une application ou un flux qui partage des données entre SharePoint ou Salesforce. Toute ressource Power Apps ou Power Automate qui inclut une connexion existante avec un connecteur dans le groupe de données Hors métier ne sera pas autorisé à établir des connexions avec des connecteurs SharePoint ou Salesforce, et vice versa. De plus, ces créateurs ne pourront pas ajouter des connecteurs Facebook ou Twitter à toute ressource Power Apps ou Power Automate.

  1. Dans le centre d’administration Power Platform, sélectionnez Stratégies>Stratégies de données>Nouvelle stratégie.

    Si aucune stratégie n’existe dans le client, vous verrez la page suivante.

    Vue Aucune stratégie.

  2. Entrez un nom de stratégie, puis cliquez sur Suivant.

  3. Passez en revue les différents attributs et paramètres que vous pouvez créer sur la page Attribuer des connecteurs.

    Attribuez des connecteurs.

    Attributs

    Attribute Description
    Nom  Nom du connecteur.
    Blocable Les connecteurs pouvant être bloqués. Pour obtenir la liste des connecteurs qui ne peuvent pas être bloqués, consultez la Liste des connecteurs qui ne peuvent pas être bloqués.
    Type Selon que l’utilisation du connecteur nécessite une licence Premium ou est-elle incluse dans la licence de base/Standard de Microsoft Power Platform.
    Éditeur Société qui publie le connecteur. Cette valeur peut être différente de celle du propriétaire du service. Par exemple, Microsoft peut être l’éditeur du connecteur Salesforce, mais le service sous-jacent appartient à Salesforce, pas à Microsoft.
    À propos Sélectionnez l’URL pour plus d’informations sur le connecteur.

    Listes

    Sélecteur de vue Description
    Métier (n) Connecteurs pour les données sensibles à l’entreprise. Les connecteurs de ce groupe ne peuvent pas partager de données avec les connecteurs d’autres groupes.
    Hors métier/
    Par défaut (n)
    Connecteurs pour les données jors métier, telles que les données à usage personnel. Les connecteurs de ce groupe ne peuvent pas partager de données avec les connecteurs d’autres groupes.
    Bloqué (n) Les connecteurs bloqués ne peuvent pas être utilisés lorsque cette stratégie est appliquée.

    Actions

    Pour Description
    Définir le groupe par défaut Groupe qui mappe tous les nouveaux connecteurs ajoutés par Microsoft Power Platform après la création de votre stratégie DLP. Plus d’informations : Groupe de données par défaut pour les nouveaux connecteurs
    Connecteurs de recherche Parcourez une longue liste de connecteurs pour trouver des connecteurs spécifiques à classer. Vous pouvez rechercher dans n’importe quel champ de la liste des connecteurs, tel que Nom, Blocable, Type, ou Éditeur.

    Vous pouvez effectuer les actions suivantes :

    Attribuez des actions des connecteurs.

    Description
    1 Attribuer un ou plusieurs connecteurs dans les groupes de classification de connecteurs
    2 Tableaux croisés dynamiques du groupe de classification des connecteurs
    3 Barre de recherche pour trouver des connecteurs parmi des propriétés comme Nom, Blocable, Type, ou Éditeur
    4 Groupe de classification des connecteurs qui mappe tous les nouveaux connecteurs ajoutés par Microsoft Power Platform après la création de votre stratégie DLP.
    5 Connecteurs de sélection, de sélection multiple ou de sélection en bloc pour se déplacer entre les groupes
    6 Capacité de tri alphabétique sur des colonnes individuelles
    7 Boutons d’action pour attribuer des connecteurs individuels à travers des groupes de classification de connecteurs
  4. Sélectionner un ou plusieurs connecteurs. Pour ce guide pas à pas, sélectionnez les connecteurs SalesForce et SharePoint, puis Passer aux affaires dans la barre de menu supérieure. Vous pouvez également utiliser les points de suspension (ellipses.) à droite du nom du connecteur.

    Attribuez plusieurs connecteurs.

    Les connecteurs apparaîtront dans le groupe de données Métier.

    Groupe de données Métier.

    Les connecteurs peuvent résider dans un seul groupe de données à la fois. En déplaçant les connecteurs SharePoint et Salesforce vers le groupe de données Métier, vous empêchez les utilisateurs de créer des flux et des applications qui combinent ces deux connecteurs avec d’autres connecteurs des groupes Hors métier ou Bloqué.

    Pour les connecteurs comme SharePoint qui ne sont pas blocables, l’action Bloquer sera grisée et un avertissement apparaîtra.

  5. Vérifiez et modifiez le paramètre de groupe par défaut pour les nouveaux connecteurs, si nécessaire. Nous vous recommandons de conserver le paramètre par défaut Hors métier pour mapper tout nouveau connecteur ajouté à Microsoft Power Platform par défaut. Les connecteurs Hors métier peuvent être attribués manuellement à Métier ou Bloqué plus tard en modifiant la stratégie DLP, après avoir eu la possibilité de les consulter et de les attribuer. Si le paramètre du nouveau connecteur est Bloqué, tout nouveau connecteur blocable sera mappé avec Bloqué, comme prévu. Cependant, tous les nouveaux connecteurs qui ne peuvent pas être bloqués seront mappés avec Hors métier, car de par leur conception, ils ne peuvent pas être bloqués.

    Dans le coin supérieur droit, cliquez sur l’icône Définir le groupe par défaut.

    Définissez un groupe par défaut.

    Une fois que vous avez terminé toutes les affectations de connecteurs dans les Métier/Hors métier/Bloqué et définissez le groupe par défaut pour les nouveaux connecteurs, cliquez sur Suivant.

  6. Choisissez l’étendue de la stratégie DLP. Cette étape n’est pas disponible pour les stratégies au niveau de l’environnement, car elles sont toujours destinées à un seul environnement.

    Définissez l’étendue.

    Aux fins de ce guide pas à pas, vous excluez les environnements de test de cette stratégie. Sélectionnez Exclure certains environnements, et sur la page Ajouter des environnements, cliquez sur Suivant.

  7. Passez en revue les différents attributs et paramètres sur la page Ajouter des environnements. Pour les stratégies au niveau du client, cette liste affichera l’administrateur au niveau du client tous les environnements du client. Pour les stratégies au niveau de l’environnement, cette liste n’affichera que le sous-ensemble d’environnements du locataire qui sont gérés par l’utilisateur qui s’est connecté en tant qu’administrateur d’environnement ou en tant qu’administrateur système pour les environnements avec une base de données Dataverse.

    Ajoutez des environnements.

    Attributs

    Attribute Description
    Nom  Nom de l’environnement.
    Type Type d’environnement : évaluation, production, bac à sable, par défaut
    Région Région associée à l’environnement.
    Créé(e) par Utilisateur ayant créé l’environnement.
    Création (le) Date de création de l’environnement.

    Listes

    Sélecteur de vue Description
    Disponible (n) Environnements qui ne sont pas explicitement inclus ou exclus dans l’étendue de la stratégie. Pour la stratégie au niveau de l’environnement et les stratégies au niveau du client avec une étendue définie sur Ajouter plusieurs environnements, cette liste représente le sous-ensemble des environnements qui ne sont pas inclus dans l’étendue de la stratégie. Pour les stratégies au niveau du client avec une étendue définie sur Exclure certains environnements, ce sélecteur de vue représente l’ensemble d’environnements qui sont inclus dans l’étendue de la stratégie.
    Ajouté à la stratégie (n) Pour la stratégie au niveau de l’environnement et les stratégies au niveau du client avec une étendue définie sur Ajouter plusieurs environnements, ce sélecteur de vue représente le sous-ensemble des environnements qui sont inclus dans l’étendue de la stratégie. Pour les stratégies au niveau du client avec une étendue définie sur Exclure certains environnements, ce sélecteur de vue représente le sous-ensemble d’environnements qui sont exclus de l’étendue de la stratégie.

    Actions

    Pour Description
    Ajouter à la stratégie Les environnements de la catégorie Disponible peuvent être déplacés vers la catégorie Ajouté à la stratégie à l’aide de cette action.
    Supprimer de la stratégie Les environnements de la catégorie Ajouté à la stratégie peuvent être déplacés vers la catégorie Disponible à l’aide de cette action.
  8. Sélectionner un ou plusieurs environnements. Vous pouvez utiliser la barre de recherche pour rechercher des environnements intéressants. Pour ce guide pas à pas, nous allons rechercher des environnements de test de type bac à sable. Après avoir sélectionné les environnements bac à sable, nous les attribuons à l’étendue de la stratégie en utilisant Ajouter à la stratégie dans la barre de menu supérieure.

    Attribuez une stratégie.

    Parce que l’étendue de la stratégie a été initialement définie sur Exclure certains environnements, ces environnements de test seront désormais exclus de l’étendue de la stratégie et les paramètres de stratégie DLP seront appliqués aux environnements restants (Disponibles). Pour la stratégie au niveau de l’environnement, vous ne pouvez sélectionner qu’un seul environnement dans la liste des environnements disponibles.

    Après avoir effectué des sélections pour les environnements, cliquez sur Suivant.

  9. Vérifiez les paramètres de stratégie, puis cliquez sur Créer une stratégie.

    Renouvelez une nouvelle stratégie.

La stratégie est créée et apparaît dans la liste des stratégies DLP. Grâce à cette stratégie, les applications SharePoint et Salesforce peuvent partager des données dans des environnements hors test, tels que les environnements de production, parce qu’ils font partie du même groupe de données Métier. Cependant, tout connecteur qui réside dans le groupe de données Hors métier, comme Outlook.com, ne partagera pas de données avec les applications et les flux à l’aide des connecteurs SharePoint ou Salesforce. Les connecteurs Facebook et Twitter sont complètement bloqués pour être utilisés dans n’importe quelle application ou flux dans des environnements hors test, tels que les environnements de production ou par défaut.

Il est conseillé aux administrateurs de partager la liste de stratégies DLP avec leur organisation afin que les utilisateurs prennent connaissance des stratégies mises en place avant de créer des applications.

Ce tableau décrit comment la stratégie DLP que vous avez créée affecte les connexions de données dans les applications et les flux.

Matrice du connecteur SharePoint (Métier) Salesforce (Métier) Outlook.com (Hors métier) Facebook (Bloqué) Twitter (Bloqué)
SharePoint (Métier) Autorisé Autorisé Refusé Refusé Refusé
Salesforce (Métier) Autorisé Autorisé Refusé Refusé Refusé
Outlook.com (Hors métier) Refusé Refusé Autorisé Refusé Refusé
Facebook (Bloqué) Refusé Refusé Refusé Refusé Refusé
Twitter (Bloqué) Refusé Refusé Refusé Refusé Refusé

Étant donné qu’aucune stratégie DLP n’a été appliquée aux environnements de test, les applications et les flux peuvent utiliser n’importe quel ensemble de connecteurs dans ces environnements.

Utiliser les commandes DLP PowerShell

Voir Commandes de la stratégie de prévention contre la perte de données (DLP).

Voir aussi

Stratégies de prévention contre la perte de données
Gérer les stratégies de prévention contre la perte de données
Commandes de la stratégie de prévention contre la perte de données
Kit de développement logiciel (SDK) pour la protection contre la perte de données Power Platform