Crear unha política de prevención de perda de datos (DLP)

  • Artigo

Para protexer os datos da súa organización, pode usar Power Apps para crear e facer cumprir políticas que definan os conectores de consumo cos que se poden compartir datos específicos de negocio. Estas políticas chámanse políticas deprevención da perda de datos (DLP). As políticas de DLP garanten que os datos se xestionen dun xeito uniforme en toda a organización e evitan que os datos importantes das empresas se publiquen accidentalmente en conectores como sitios de redes sociais.

As políticas de DLP pódense crear a nivel de inquilino ou a nivel de ambiente e xestiónanse desde o centro de administración de Power Platform.

Requisitos previos

Nivel de arrendatario

Pódense definir políticas de nivel de inquilino para incluír ou excluír contornos específicos. Para seguir os pasos descritos neste artigo para as políticas de nivel de inquilino, un dos seguintes permisos é necesario:

  • Permisos de administrador de Microsoft Power Platform
  • Permisos de administrador global de Microsoft 365

Referímonos a estes roles ao longo deste artigo como administradores de inquilinos. Máis información Utilizar os roles de administrador de servizo para xestionar o arrendatario

Nivel de ambiente

Para seguir os pasos das políticas a nivel de ambiente, é preciso ter permisos de administrador de ambientes de Power Apps. Para ambientes con base de datos de Dataverse, ten que ter asignado o rol de administrador do sistema.

Nota

Se utiliza o parámetro SingleEnvironment EnvironmentType ao usar PowerShell para crear unha política DLP, a conta de usuario utilizada para crear a política DEBE ter permisos a nivel de contorno e NON DEBE telos de Nivel de inquilino como se describe anteriormente ou devolverase un erro de solicitude incorrecta e non se creará a política.

Buscar e ver as políticas de DLP

Para buscar e ver políticas de DLP, consulte Buscar e ver as políticas de DLP.

O proceso das políticas de DLP

Os pasos que segue para crear unha política de DLP son os seguintes:

  1. Asigne un nome á política.
  2. Clasifique os conectores.
  3. Defina o ámbito da política. Este paso non se aplica ás políticas de nivel ambiental.
  4. Seleccione os contornos.
  5. Revise a configuración.

Esta descríbese na seguinte sección.

Guía: Crear unha política de DLP

Neste exemplo de guía, crearemos unha política de DLP a nivel de inquilino. Engadiremos SharePoint e Salesforce ao grupo de datos empresariais dunha política de DLP. Engadiremos tamén Facebook e Twitter ao grupo de datos bloqueados. Deixaremos os conectores restantes no grupo de datos non empresariais. A continuación, excluiremos os contornos de proba do ámbito desta política e aplicaremos a política aos restantes contornos, como os contornos predeterminados e de produción do inquilino.

Despois de gardar esta política, calquera creador de Power Apps ou Power Automate que forme parte do contorno da política de DLP pode crear unha aplicación ou un fluxo que comparta datos entre SharePoint ou Salesforce. Calquera recurso de Power Apps ou Power Automate que inclúa unha conexión existente cun conector no grupo de datos Non empresariais non poderá establecer conexións con conectores de SharePoint ou Salesforce e viceversa. Ademais, estes creadores non poderán engadir conectores de Facebook ou de Twitter a ningún recurso de Power Apps ou Power Automate.

  1. No centro de administración de Power Platform, seleccione Políticas>Políticas de datos>Nova política.

    Se non hai políticas no inquilino, verá a seguinte páxina.

    Sen vistas de políticas.

  2. Escriba un nome de política e seleccione Seguinte.

  3. Revise os distintos atributos e configuracións que pode facer na páxina Asignar conectores.

    Asignar conectores.

    Atributos

    Atributo Descripción
    Nome O nome do conector.
    Bloqueable Conectores que non se poden bloquear. Para ver unha lista de conectores que non se poden bloquear, consulte Lista de conectores que non se poden bloquear.
    Tipo Se o uso do conector require unha licenza Premium ou está incluído na licenza base/estándar para Microsoft Power Platform.
    Publicador A empresa que publica o conector. Este valor pode ser diferente do propietario do servizo. Por exemplo, Microsoft pode ser o publicador do conector de Salesforce, pero o servizo subxacente é propiedade de Salesforce, e non de Microsoft.
    Sobre Seleccione o URL para obter máis información sobre o conector.

    Listas

    Visualización vertical Descripción
    Empresarial (n) Conectores para datos sensibles das empresas. Os conectores deste grupo non poden compartir datos con conectores doutros grupos.
    Non empresarial/
    Valor predefinido (n)    		 Conectores para datos non comerciais, como datos de uso persoal. Os conectores deste grupo non poden compartir datos con conectores doutros grupos.
    Bloqueado (n) Non se poden usar conectores bloqueados onde se aplique esta política.

    Accións

    Acción Descripción
    Configurar grupo predefinido O grupo que asigna todos os novos conectores engadidos por Microsoft Power Platform despois de crear a súa política de DLP. Máis información: Grupo de datos predeterminado para novos conectores
    Buscar conectores Busque unha longa lista de conectores para atopar conectores específicos para clasificar. Pode buscar en calquera campo da vista da lista de conectores, como Nome, Bloqueable, Tipo ou Publicador.

    Pode realizar as seguintes accións:

    Asignar accións de conectores.

    Descripción
    1 Asignar un ou varios conectores a grupos de clasificación de conectores
    2 Táboas de visualización vertical de grupos de clasificación de conectores
    3 Barra de busca para atopar conectores en propiedades como Nome, Bloqueable, Tipo ou Publicador
    4 O grupo de clasificación de conectores que asigna todos os novos conectores engadidos por Microsoft Power Platform despois de crear a súa política de DLP.
    5 Selección, selección múltiple ou selección en masa de conectores para moverse entre grupos
    6 Capacidade de ordenación alfabética en columnas individuais
    7 Botóns de acción para asignar conectores individuais entre grupos de clasificación de conectores

  4. Seleccione un ou máis conectores. Para este paso, seleccione os conectores de SalesForce e SharePoint e logo seleccione Mover a empresarial na barra de menú superior. Tamén pode usar os puntos suspensivos (elipses.) á dereita do nome do conector.

    Asigne varios conectores.

    Os conectores aparecerán no grupo de datos Empresariais.

    Grupo de datos empresariais.

    Os conectores poden residir nun só grupo de datos á vez. Ao mover os conectores de SharePoint e Salesforce ao grupo de datos Empresariais, está impedindo aos usuarios crear fluxos e aplicacións que combinen estes dous conectores con calquera dos conectores dos grupos Non empresariais ou Bloqueados.

    Para conectores como SharePoint que non son bloqueables, a acción de Bloquear será agrisada e aparecerá un aviso.

  5. Examine e cambie a configuración predeterminada do grupo para os novos conectores, se o precisa. Recomendamos manter a configuración predeterminada como Non empresarial para asignar todos os novos conectores engadidos a Microsoft Power Platform por defecto. Os conectores Non empresariais poden ser asignados manualmente a Empresariais ou Bloqueados máis tarde editando a política de DLP, despois de que tivese a oportunidade de revisalos e asignalos. Se a configuración dos novos conectores é Bloqueados, todos os novos conectores bloqueables serán asignados a Bloqueados, como era de esperar. Non obstante, todos os novos conectores que sexan non bloqueables serán asignados a Non empresariais porque por deseño non se poden bloquear.

    Na esquina superior dereita, seleccione Establecer grupo predeterminado.

    Establecer grupo predeterminado.

    Despois de completar todas as asignacións de conectores nos grupos Empresariais/Non empresariais/Bloqueados e establecer o grupo predeterminado para novos conectores, seleccione Seguinte.

  6. Escolla o ámbito da política de DLP. Este paso non está dispoñible para as políticas de nivel ambiental, porque sempre están destinadas a un único ambiente.

    Definir ámbito.

    Para o propósito desta guía, excluirá os contornos de proba desta política. Seleccione Excluír determinados contornos, e na páxina Engadir contornos, seleccione Seguinte.

  7. Revise os distintos atributos e configuracións na páxina Engadir contornos. Para as políticas de nivel de arrendatario, esta lista mostrará ao administrador de nivel de arrendatario todos os contornos do arrendatario. Para as políticas a nivel de contorno, esta lista só amosará o subconxunto de contornos do inquilino que xestiona o usuario que iniciou sesión como administrador de contorno ou como administrador do sistema para contornos con base de datos de Dataverse.

    Engadir ambientes.

    Atributos

    Atributo Descripción
    Nome O nome do ambiente.
    Tipo O tipo de ambiente: proba, produción, illamento de procesos, predeterminado
    Rexión A rexión asociada ao ambiente.
    Creado por Usuario que creou o ambiente.
    Data de creación A data na que se creou o ambiente.

    Listas

    Visualización vertical Descripción
    Dispoñible (n) Contornos que non están incluídos ou excluídos explicitamente no ámbito da política. Para políticas de nivel ambiental e de nivel de inquilinos con alcance definido como Engadir varios contornos, esta lista representa o subconxunto de ambientes que non están incluídos no ámbito da política. Para políticas de nivel de inquilinos con alcance definido como Excluír certos contornos, esta visualización vertical representa o conxunto de ambientes que están incluídos no ámbito da política.
    Engadido á política (n) Para políticas de nivel ambiental e de nivel de inquilinos con alcance definido como Engadir varios contornos, esta visualización vertical representa o subconxunto de ambientes que están incluídos no ámbito da política. Para políticas de nivel de inquilinos con alcance definido como Excluír certos contornos, esta visualización vertical representa o subconxunto de ambientes que están excluídos do ámbito da política.

    Accións

    Acción Descripción
    Engadir á política Os contornos da categoría Dispoñible pódense mover á categoría Engadido á política usando esta acción.
    Eliminar da política Os contornos da categoría Engadido á política pódense mover á categoría Dispoñible usando esta acción.

  8. Seleccione un ou máis ambientes. Pode utilizar a barra de busca para atopar rapidamente os ambientes de interese. Para este paso, buscaremos contornos de proba, tipo illamento de procesos. Despois de seleccionar os ambientes de illamento de procesos, asignámolos ao ámbito da política mediante Engadir á política na barra de menú superior.

    Asignar política.

    Dado que inicialmente se seleccionou o ámbito de política como Excluír determinados contornos, estes ambientes de proba agora quedarán excluídos do ámbito de política e aplicaranse as configuracións de política de DLP a todos os ambientes (Dispoñible) restantes. Para unha política a nivel de ambiente, só pode seleccionar un único contorno da lista de ambientes dispoñibles.

    Despois de facer seleccións para ambientes, seleccione Seguinte.

  9. Revise a configuración da política e seleccione Crear política.

    Revisa a nova política.

A política é creada e aparece na lista de políticas de DLP. Como resultado desta política, as aplicacións de SharePoint e Salesforce poden compartir datos en contornos non de proba como os ambientes de produción porque ambos forman parte do mesmo grupo de datos empresariais. Non obstante, calquera conector que resida no grupo de datos Non empresariais como Outlook.com non compartirá datos con aplicacións e fluxos mediante o uso de conectores de SharePoint ou Salesforce. Os conectores de Facebook e Twitter están bloqueados de ser usados en calquera aplicación ou fluxo en contornos non de probas, como a produción ou os contornos predeterminados.

É unha boa práctica para os administradores compartir a lista de políticas de DLP coa súa organización para que os usuarios teñan coñecemento das políticas antes de crear aplicacións.

Esta táboa describe como a política de DLP que creou afecta as conexións de datos nas aplicacións e nos fluxos.

Conector matricial SharePoint (Negocios) Salesforce (negocios) Outlook.com (Non empresarial) Facebook (Bloqueado) Twitter (bloqueado)
SharePoint (Negocios) Permitido Permitido Denegado Denegado Denegado
Salesforce (negocios) Permitido Permitido Denegado Denegado Denegado
Outlook.com (Non empresarial) Denegado Denegado Permitido Denegado Denegado
Facebook (Bloqueado) Denegado Denegado Denegado Denegado Denegado
Twitter (bloqueado) Denegado Denegado Denegado Denegado Denegado

Debido a que non se aplicou ningunha política de DLP a contornos de proba, as aplicacións e os fluxos poden usar calquera conxunto de conectores xuntos nestes ambientes.

Usar os comandos de PowerShell de DLP

Vexa Comandos da política de prevención de perda de datos (DLP).

Consulte tamén

Políticas de prevención de perda de datos
Xestionar as políticas de prevención de perda de datos (DLP)
Comandos da política de prevención de perda de datos (DLP)
SDK de prevención de perda de datos de Power Platform (DLP)