Beleid ter voorkoming van gegevensverlies (DLP) maken

Artikel
11/02/2021
8 minuten om te lezen

U kunt de gegevens in uw organisatie beschermen door met behulp van Power Apps een beleid te maken en af te dwingen dat de consumentenconnectors definieert waarmee zakelijke gegevens mogen worden gedeeld. Dit beleid wordt het DLP-beleid (preventie van gegevensverlies) genoemd. DLP-beleid zorgt ervoor dat gegevens op een uniforme manier in uw organisatie worden beheerd en voorkomt dat belangrijke bedrijfsgegevens per ongeluk worden gepubliceerd op connectors zoals sociale mediasites.

DLP-beleid kan worden gemaakt op tenantniveau of op omgevingsniveau en wordt beheerd vanuit het Power Platform-beheercentrum.

Vereisten

Tenantniveau

Beleid op tenantniveau kan worden gedefinieerd om specifieke omgevingen op te nemen of uit te sluiten. Als u de stappen wilt volgen die in dit artikel worden beschreven voor beleid op tenantniveau, is een van de volgende machtigingen vereist:

Machtigingen van beheerder van Microsoft Power Platform
Machtigingen van globaal beheerder van Microsoft 365

In dit artikel worden deze rollen tenantbeheerders genoemd. Meer informatie: Servicebeheerrollen gebruiken om uw tenant te beheren

Omgevingsniveau

Om de stappen voor beleid op omgevingsniveau te volgen, moet u beschikken over de machtigingen voor Power Apps-omgevingsbeheerders. Voor omgevingen met een Dataverse-database moet u in plaats daarvan de rol Systembeheerder krijgen.

Notitie

Als u de EnvironmentType-parameter SingleEnvironment gebruikt bij gebruik van PowerShell om een DLP-beleid te maken, MOET het gebruikersaccount dat is gebruikt om het beleid te maken Omgevingsniveau-machtigingen hebben en GEEN Tenant-niveau-machtigingen, zoals hierboven beschreven, anders wordt er een fout over een ongeldige aanvraag geretourneerd en wordt het beleid niet gemaakt.

DLP-beleidsregels vinden en weergeven

Voor het zoeken en bekijken van DLP-beleid raadpleegt u DLP-beleid zoeken en bekijken.

Het DLP-beleidsproces

Hieronder volgen de stappen die u volgt om een DLP-beleid te maken:

Geef het beleid een naam.
Classificeer connectors.
Definieer het bereik van het beleid. Deze stap is niet van toepassing op beleid op omgevingsniveau.
Selecteer omgevingen.
Controleer instellingen.

Deze worden besproken in de volgende sectie.

Overzicht: Een DLP-beleid maken

In dit voorbeeldoverzicht maken we een DLP-beleid op tenantniveau. We voegen SharePoint en Salesforce toe aan de gegevensgroep Zakelijk van een DLP-beleid. We voegen ook Facebook en Twitter toe aan de gegevensgroep Geblokkeerd. We laten de overige connectors in de gegevensgroep Niet-zakelijk. Daarna sluiten we testomgevingen uit voor het bereik van dit beleid en passen we het beleid toe op de overige omgevingen, zoals de standaard- en productieomgeving in de tenant.

Nadat dit beleid is opgeslagen, kan elke Power Apps- of Power Automate-maker die deel uitmaakt van de omgeving van het DLP-beleid, een app of stroom maken die gegevens deelt met SharePoint of Salesforce. Elke Power Apps- of Power Automate-resource die een bestaande verbinding met een connector in de gegevensgroep Niet-zakelijk heeft, mag geen verbindingen tot stand brengen met SharePoint- of Salesforce-connectors, en omgekeerd. Ook kunnen deze makers geen Facebook- of Twitter-connectors toevoegen aan een Power Apps- of Power Automate-resource.

Selecteer in het Power Platform-beheercentrum de optie Gegevensbeleid > Nieuw beleid.

Als de tenant geen beleid heeft, wordt de volgende pagina weergegeven.
Voer een beleidsnaam in en selecteer Volgende.

Bekijk de verschillende kenmerken en instellingen die u op de pagina Connectors toewijzen kunt opgeven.

Connectors toewijzen.

Kenmerken

Kenmerk	Beschrijving
Meetcriterium	De naam van de connector.
Blokkeerbaar	Connectors die kunnen worden geblokkeerd. Zie voor een lijst met connectors die niet kunnen worden geblokkeerd Lijst met connectors die niet kunnen worden geblokkeerd.
Type	Of connectorgebruik een Premium-licentie vereist of is inbegrepen in de basis-/standaardlicentie voor Microsoft Power Platform.
Uitgever	Het bedrijf dat de connector publiceert. Deze waarde kan verschillen van de service-eigenaar. Microsoft kan bijvoorbeeld de uitgever zijn van de Salesforce-connector, terwijl de onderliggende service het eigendom is van Salesforce, niet van Microsoft.
Info	Selecteer de URL voor meer informatie over de connector.

Lijsten

Draaipunt	Beschrijving
Zakelijk (n)	Connectors voor bedrijfsgevoelige gegevens. Connectors in deze groep kunnen geen gegevens delen met connectors in andere groepen.
Niet-zakelijk/ Standaard (n)	Connectors voor niet-zakelijke gegevens, zoals gegevens over persoonlijk gebruik. Connectors in deze groep kunnen geen gegevens delen met connectors in andere groepen.
Geblokkeerd (n)	Geblokkeerde connectors kunnen niet worden gebruikt waar dit beleid wordt toegepast.

Acties

Actie	Beschrijving
Standaardgroep instellen	De groep die alle nieuwe connectors toewijst die door Microsoft Power Platform zijn toegevoegd nadat uw DLP-beleid is gemaakt. Meer informatie: Standaardgegevensgroep voor nieuwe connectors
Zoekconnectors	Doorzoek in een lange lijst met connectors om specifieke connectors te vinden om te classificeren. U kunt zoeken op elk veld in de lijstweergave van connectors, zoals Naam, Blokkeerbaar, Type of Uitgever.

U kunt de volgende acties uitvoeren:

Connectoracties toewijzen.

		Beschrijving
1		Wijs een of meer connectors toe aan connectorclassificatiegroepen
2		Draaitabellen voor connectorclassificatiegroepen
3		Zoekbalk om connectors te vinden op basis van eigenschappen als Naam, Blokkeerbaar, Type of Uitgever
4		De connectorclassificatiegroep die alle nieuwe connectors toewijst die door Microsoft Power Platform zijn toegevoegd nadat uw DLP-beleid is gemaakt.
5		Een, meerdere of een groot aantal connectors tegelijk selecteren om tussen groepen te verplaatsen
6		Alfabetische sorteermogelijkheid voor afzonderlijke kolommen
7		Actieknoppen om individuele connectors toe te wijzen binnen connectorclassificatiegroepen

Selecteer een of meer connectors. Selecteer voor dit overzicht de connectors SalesForce en SharePoint en selecteer vervolgens Verplaatsen naar Zakelijk in de bovenste menubalk. U kunt ook de knop met weglatingstekens () rechts van de connectornaam gebruiken.

Connectors kunnen zich maar in één gegevensgroep tegelijk bevinden. Als u de connectors SharePoint en Salesforce naar de groep Zakelijk verplaatst, voorkomt u dat gebruikers stromen en apps kunnen maken waarin deze twee connectors worden gecombineerd met een van de connectors in de groep Niet-zakelijk of Geblokkeerd.

Voor connectors als SharePoint, die niet kunnen worden geblokkeerd, is de actie Blokkeren grijs weergegeven en wordt er een waarschuwing weergegeven.
Bekijk en wijzig indien nodig de standaardgroepsinstelling voor nieuwe connectors. We raden aan om de standaardinstelling Niet-zakelijk te behouden om eventuele nieuwe connectors standaard toe te wijzen aan Microsoft Power Platform. Niet-zakelijke connectors kunnen later handmatig worden toegewezen aan Zakelijk of Geblokkeerd door het DLP-beleid te bewerken, nadat u ze heeft kunnen bekijken en toewijzen. Als de nieuwe connectorinstelling Geblokkeerd is, worden eventuele nieuwe connectors die blokkeerbaar zijn, toegewezen aan Geblokkeerd, zoals verwacht. Eventuele nieuwe connectors die niet kunnen worden geblokkeerd, worden echter toegewezen aan Niet-zakelijk omdat ze door hun ontwerp niet kunnen worden geblokkeerd.

Selecteer in de rechterbovenhoek de optie Standaardgroep instellen.

Nadat u alle connectortoewijzingen voor de groepen Zakelijk/Niet-zakelijk/Geblokkeerd hebt voltooid en de standaardgroep voor nieuwe connectors hebt ingesteld, selecteert u Volgende.
Kies het bereik van het DLP-beleid. Deze stap is niet beschikbaar voor beleid op omgevingsniveau, omdat dit beleid altijd is bedoeld voor één omgeving.

Voor het doel van dit overzicht gaat u testomgevingen uitsluiten voor dit beleid. Selecteer Bepaalde omgevingen uitsluiten en selecteer op de pagina Omgevingen toevoegen de optie Volgende.

Bekijk de verschillende kenmerken en instellingen op de pagina Omgevingen toevoegen. Voor beleid op tenantniveau toont deze lijst de beheerder op tenantniveau alle omgevingen in de tenant. Voor beleidsregels op omgevingsniveau zal deze lijst alleen de subset van omgevingen in de tenant tonen die beheerd worden door de gebruiker die is aangemeld als Omgevingsbeheerder of als Systeembeheerder voor omgevingen met een Dataverse-database.

Omgevingen toevoegen.

Kenmerken

Kenmerk	Beschrijving
Meetcriterium	De naam van de omgeving.
Type	Het type omgeving: proefversie, productie, sandbox, standaard
Regio	De regio die aan de omgeving is gekoppeld.
Gemaakt door	De gebruiker die de omgeving heeft gemaakt.
Gemaakt (op)	De datum waarop de omgeving is gemaakt.

Lijsten

Draaipunt	Beschrijving
Beschikbaar (n)	Omgevingen die niet expliciet zijn opgenomen in of uitgesloten voor het beleidsbereik. Voor beleid op omgevingsniveau en beleid op tenantniveau met een bereik dat is gedefinieerd als Meerdere omgevingen toevoegen vertegenwoordigt deze lijst de subset van omgevingen die niet zijn opgenomen in het beleidsbereik. Voor beleid op tenantniveau met een bereik dat is gedefinieerd als Bepaalde omgevingen uitsluiten vertegenwoordigt deze draaitabel de set van omgevingen die zijn opgenomen in het beleidsbereik.
Toegevoegd aan beleid (n)	Voor beleid op omgevingsniveau en beleid op tenantniveau met een bereik dat is gedefinieerd als Meerdere omgevingen toevoegen vertegenwoordigt deze draaitabel de subset van omgevingen die zich binnen het beleidsbereik bevinden. Voor beleid op tenantniveau met een bereik dat is gedefinieerd als Bepaalde omgevingen uitsluiten vertegenwoordigt deze draaitabel de subset van omgevingen die zijn uitgesloten voor het beleidsbereik.

Draaipunt

Beschrijving

Beschikbaar (n)

Omgevingen die niet expliciet zijn opgenomen in of uitgesloten voor het beleidsbereik. Voor beleid op omgevingsniveau en beleid op tenantniveau met een bereik dat is gedefinieerd als Meerdere omgevingen toevoegen vertegenwoordigt deze lijst de subset van omgevingen die niet zijn opgenomen in het beleidsbereik. Voor beleid op tenantniveau met een bereik dat is gedefinieerd als Bepaalde omgevingen uitsluiten vertegenwoordigt deze draaitabel de set van omgevingen die zijn opgenomen in het beleidsbereik.

Toegevoegd aan beleid (n)

Voor beleid op omgevingsniveau en beleid op tenantniveau met een bereik dat is gedefinieerd als Meerdere omgevingen toevoegen vertegenwoordigt deze draaitabel de subset van omgevingen die zich binnen het beleidsbereik bevinden. Voor beleid op tenantniveau met een bereik dat is gedefinieerd als Bepaalde omgevingen uitsluiten vertegenwoordigt deze draaitabel de subset van omgevingen die zijn uitgesloten voor het beleidsbereik.

Acties

Actie	Beschrijving
Toevoegen aan beleid	Omgevingen in de categorie Beschikbaar kunnen met deze actie worden verplaatst naar de categorie Toegevoegd aan beleid.
Verwijderen uit beleid	Omgevingen in de categorie Toegevoegd aan beleid kunnen met deze actie worden verplaatst naar de categorie Beschikbaar.

Selecteer een of meer omgevingen. U kunt de zoekbalk gebruiken om snel de gewenste omgevingen te zoeken. Voor dit overzicht zoeken we naar testomgevingen - type sandbox. Nadat we de sandboxomgevingen hebben geselecteerd, wijzen we ze aan het beleidsbereik toe met behulp van Toevoegen aan beleid in de bovenste menubalk.

Omdat het beleidsbereik aanvankelijk was geselecteerd als Bepaalde omgevingen uitsluiten, worden deze testomgevingen nu uitgesloten van het beleidsbereik en worden de DLP-beleidsinstellingen toegepast op alle overige omgevingen (Beschikbaar). Voor beleid op omgevingsniveau kunt u maar één omgeving selecteren uit de lijst met beschikbare omgevingen.

Nadat u selecties voor omgevingen hebt gemaakt, selecteert u Volgende.
Bekijk de beleidsinstellingen en selecteer Beleid maken.

Het beleid is gemaakt en wordt weergegeven in de lijst met DLP-beleid. Als gevolg van dit beleid kunnen SharePoint- en Salesforce-apps gegevens delen in niet-testomgevingen—zoals productieomgevingen—omdat ze beide deel uitmaken van dezelfde gegevensgroep Zakelijk. Elke connector die zich in de gegevensgroep Niet-zakelijk bevindt—zoals Outlook.com—deelt geen gegevens met apps en stromen door middel van SharePoint- of Salesforce-connectors. Facebook- en Twitter-connectors zijn helemaal geblokkeerd voor gebruik in een app of stroom in niet-testomgevingen zoals productie- of standaardomgevingen.

Beheerders wordt aangeraden de lijst met DLP-beleidsregels te delen met hun organisatie, zodat gebruikers op de hoogte zijn van het beleid voordat ze apps maken.

Deze tabel beschrijft de invloed van het DLP-beleid dat u hebt gemaakt op gegevensverbindingen in apps en stromen.

Connectormatrix	SharePoint (Zakelijk)	Salesforce (Zakelijk)	Outlook.com (Niet-zakelijk)	Facebook (Geblokkeerd)	Twitter (Geblokkeerd)
SharePoint (Zakelijk)	Toegestaan	Toegestaan	Geweigerd	Geweigerd	Geweigerd
Salesforce (Zakelijk)	Toegestaan	Toegestaan	Geweigerd	Geweigerd	Geweigerd
Outlook.com (Niet-zakelijk)	Geweigerd	Geweigerd	Toegestaan	Geweigerd	Geweigerd
Facebook (Geblokkeerd)	Geweigerd	Geweigerd	Geweigerd	Geweigerd	Geweigerd
Twitter (Geblokkeerd)	Geweigerd	Geweigerd	Geweigerd	Geweigerd	Geweigerd

Omdat er geen DLP-beleid is toegepast op testomgevingen, kunnen apps en stromen elke set connectors samen in deze omgevingen gebruiken.

DLP PowerShell-opdrachten gebruiken

Zie DLP-beleidsopdrachten (preventie van gegevensverlies).

Zie ook

Beleid ter voorkoming van gegevensverlies
Beleid ter voorkoming van gegevensverlies (DLP) beheren
DLP-beleidsopdrachten (preventie van gegevensverlies)
Power Platform SDK voor voorkoming van gegevensverlies (DLP)