Zasady ochrony przed utratą danych (DLP)Data loss prevention (DLP) policies

Ten dokument stanowi wprowadzenie do zasad ochrony przed utratą danych, które pomagają chronić dane organizacji przed udostępnianiem za pomocą zdefiniowanej listy łączników.This document introduces you to data loss prevention policies, which help protect your organizational data from being shared with a list of connectors that you define.

Czym są zasady ochrony przed utratą danych?What's a data loss prevention policy?

Dane organizacji mają bardzo istotne znaczenie dla jej sukcesu.An organization's data is critical to its success. Dane muszą być łatwo dostępne na potrzeby podejmowania decyzji, ale należy je chronić, aby nie zostały udostępnione osobom, które nie powinny mieć do nich dostępu.Its data needs to be readily available for decision-making, but it needs to be protected so that it isn't shared with audiences that shouldn't have access to it. W celu ochrony danych usługa Microsoft Flow zapewnia możliwość tworzenia i egzekwowania zasad określających, które łączniki mogą mieć dostęp do danych biznesowych i udostępniać je.To protect this data, Microsoft Flow provides you with the ability to create, and enforce policies that define which consumer connectors can access and share business data. Zasady określające sposób udostępniania danych nazywamy zasadami ochrony przed utratą danych (DLP).These policies that define how data can be shared are referred to as data loss prevention (DLP) policies.

Dlaczego należy utworzyć zasady DLP?Why create a DLP policy?

Zasady DLP tworzy się w celu wyraźnego zdefiniowania, które łączniki konsumenta mogą uzyskać dostęp do danych biznesowych i udostępniać je.You create DLP policy to clearly define which consumer connectors may access and share your business data. Na przykład organizacja korzystająca z usługi Microsoft Flow może nie chcieć, aby dane firmy przechowywane w programie SharePoint były automatycznie publikowane w serwisie Twitter.For example, an organization that uses Microsoft Flow may not want its business data in SharePoint to be automatically published to its Twitter feed. Aby temu zapobiec, należy utworzyć zasady DLP, które zablokują korzystanie z danych programu SharePoint jako źródła tweetów.To prevent this, you create a DLP policy that blocks SharePoint data from being used as the source for tweets.

Zalety zasad DLPBenefits of a DLP policy

  • Gwarantują, że dane są zarządzane w jednolity sposób w całej organizacji.Ensures that data is managed in a uniform manner across the organization.
  • Uniemożliwiają przypadkowe publikowanie ważnych danych firmy do łączników takich jak witryny mediów społecznościowych.Prevents important business data from being accidentally published to connectors such as social media sites.

Zarządzanie zasadami DLPManaging DLP policies

Wymagania wstępne dla zarządzania zasadami DLPPrerequisites for managing DLP policies

Tworzenie zasad DLPCreate a DLP policy

Wymagania wstępne dla tworzenia zasad DLPPrerequisites for creating DLP policies

Do utworzenia zasad DLP są wymagane uprawnienia do co najmniej jednego środowiska.To create a DLP policy, you must have permissions to at least one environment.

Wykonaj poniższe kroki, aby utworzyć zasady DLP, które uniemożliwią publikowanie danych w witrynie programu SharePoint firmy do serwisu Twitter:Follow these steps to create a DLP policy that prevents data in your company’s SharePoint site from being published to Twitter:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Flow (Centrum administracyjnego).Sign into the Microsoft Flow Admin center (Admin center).

  2. Wybierz kartę Zasady danych, a następnie link Nowe zasady:Select the Data Policies tab, and then select the New policy link:

    Logowanie

  3. Wybierz kartę Grupy danych.Select the Data groups tab.

  4. Wprowadź nazwę zasad DLP Bezpieczny dostęp do danych dla Contoso w ramach etykiety Nazwa zasad danych na górze strony:Enter the name of the DLP policy as Secure Data Access for Contoso in the Data Policy Name label at the top of the page:

    Logowanie

  5. Wybierz środowisko na karcie Środowiska.Select the environment on the Environments tab.

    Uwaga

    Jako administrator środowiska możesz tworzyć zasady, które dotyczą tylko jednego środowiska.As an environment admin, you can create policies that apply to only a single environment. Jako administrator dzierżawy możesz tworzyć zasady, które dotyczą dowolnej kombinacji środowisk:As a tenant admin, you can create policies that apply to any combination of environments:

    Wybieranie środowiska

  6. Wybierz kartę Grupy danych:Select the Data groups tab:

    Wybieranie grup danych

  7. Wybierz link Dodaj znajdujący się w polu grupy Tylko dane biznesowe:Select the Add link located inside the Business data only group box:

    Wybieranie opcji dodawania

  8. Wybierz łączniki SharePoint i Salesforce ze strony Dodaj łączniki:Select the SharePoint and Salesforce connectors from the Add connectors page:

    Wybieranie łączników

  9. Wybierz przycisk Dodaj łączniki, aby dodać łączniki, które mogą udostępniać dane biznesowe.Select the Add connectors button to add the connectors that can share business data.

  10. Wybierz polecenie Zapisz zasady w prawym górnym rogu ekranu.Select Save Policy in the top right corner of the screen.

  11. Po chwili nowe zasady DLP zostaną wyświetlone na liście zasad ochrony przed utratą danych:After a few moments, your new DLP policy will be displayed in the data loss prevention policies list:

    Lista zasad DLP

  12. Opcjonalnie Wyślij wiadomość e-mail lub inny komunikat do zespołu zawierający alert z informacją o udostępnieniu nowych zasad DLP.Optional Send an email or other communication to your team, alerting them that a new DLP policy is now available.

Gratulacje, utworzono zasady DLP, które umożliwiają aplikacji udostępnianie danych między programem SharePoint i usługą Salesforce oraz blokują udostępnianie danych innym usługom.Congratulations, you've now created a DLP policy that allows app to share data between SharePoint and Salesforce and blocks the sharing of data with any other services.

Uwaga

Dodanie usługi do jednej grupy danych automatycznie powoduje jej usunięcie z drugiej grupy danych.Adding a service to one data group automatically removes it from the other data group. Jeśli na przykład usługa Twitter znajduje się obecnie w grupie tylko dane biznesowe, a nie chcesz zezwalać, aby dane biznesowe można było udostępniać w usłudze Twitter, wystarczy dodać usługę Twitter do grupy danych bez danych biznesowych.For example, if Twitter is currently located in the business data only data group, and you don't want to allow business data to be shared with Twitter, simply add the Twitter service to the no business data allowed data group. Spowoduje to usunięcie usługi Twitter z grupy danych „tylko dane biznesowe”.This will remove Twitter from the business data only data group.

Naruszenia udostępniania danychData sharing violations

Jeśli po utworzeniu zasad DLP wymienionych powyżej użytkownik utworzy przepływ udostępniający dane między usługą Salesforce (która znajduje się w grupie danych Tylko dane biznesowe) i usługą Twitter (która znajduje się w grupie danych Żadne dane biznesowe nie są dozwolone), to zobaczy informację, że przepływ jest zawieszony z powodu konfliktu z utworzonymi zasadami zapobiegania utracie danych.Assuming you've created the DLP policy outlined above, if a user creates a flow that shares data between Salesforce (which is in the business data only data group) and Twitter (which is in the no business data allowed data group), the user will be informed that the flow is suspended due to a conflict with the data loss prevention policy you created.

Tworzenie przepływu

Jeśli użytkownicy skontaktują się z Tobą w sprawie zawieszonych przepływów, oto kwestie do rozważenia:If your users contact you about suspended flows, here a few things to consider:

  1. Jeśli w przypadku tego przykładu istnieje uzasadnienie biznesowe dla udostępniania danych biznesowych między usługami SharePoint i Twitter, możesz zmodyfikować zasady DLP.In this example, if there's a valid business reason to share business data between SharePoint and Twitter, you can edit the DLP policy.

  2. Poproś użytkownika o taką edycję przepływu, aby był zgodny z zasadami DLP.Ask the user to edit the flow to comply with the DLP policy.

  3. Poproś użytkownika o pozostawienie przepływu w stanie zawieszonym do czasu podjęcia decyzji dotyczącej udostępniania danych między tymi dwoma jednostkami.Ask the user to leave the flow in the suspended state until a decision is made regarding the sharing of data between these two entities.

Znajdowanie zasad DLPFind a DLP policy

AdministratorzyAdmins

Aby znaleźć określone zasady DLP, administratorzy mogą używać funkcji wyszukiwania w centrum administracyjnym.Admins can use the search feature from the Admin center to find specific DLP policies.

Uwaga

Administratorzy powinni opublikować wszystkie zasady DLP, aby użytkownicy w organizacji zapoznali się z nimi przed tworzeniem przepływów.Admins should publish all DLP policies so that users in the organization are aware of the policies prior to creating flows.

KreatorzyMakers

Jeśli nie masz uprawnień administratora, a chcesz dowiedzieć się więcej na temat zasad DLP w Twojej organizacji, skontaktuj się z administratorem.If you don't have admin permissions and you wish to learn more about the DLP policies in your organization, contact your administrator. Więcej informacji znajduje się również w artykule dotyczącym środowisk kreatoraYou can also learn more from the maker environments article

Uwaga

Tylko administratorzy mogą edytować lub usuwać zasady DLP.Only admins can edit or delete DLP policies.

Edytowanie zasad DLPEdit a DLP policy

  1. Uruchom Centrum administracyjne.Launch the Admin center.

  2. W uruchomionym centrum administracyjnym wybierz link Zasady danych po lewej stronie.In the Admin center that launches, select the Data polices link on the left side.

    Wybieranie zasad danych

  3. Przeszukaj listę istniejących zasad DLP i wybierz przycisk edycji obok zasad, które zamierzasz edytować.Search the list of existing DLP policies and select the edit button next to the policy you intend to edit.

  4. Wprowadź wymagane zmiany zasad.Make the necessary changes to the policy. Możesz np. zmodyfikować środowisko lub usługi w grupach danych.You can modify the environment or the services in the data groups, for example.

  5. Wybierz pozycję Zapisz zasady, aby zapisać zmiany.Select Save Policy to save your changes.

Uwaga

Zasady DLP utworzone przez administratorów dzierżawy mogą być wyświetlane przez administratorów środowiska, ale nie mogą być przez nich edytowane.DLP policies created by tenant admins can be viewed by environment admins but cannot be edited by environment admins.

Usuwanie zasad DLPDelete a DLP policy

  1. Uruchom Centrum administracyjne.Launch the Admin center.

  2. Wybierz kartę Zasady danych po lewej stronie.Select the Data polices tab on the left side.

    Wybieranie karty Zasady danych

  3. Przeszukaj listę istniejących zasad DLP i wybierz przycisk usuwania obok zasad, które zamierzasz usunąć:Search the list of existing DLP policies, and then select the delete button next to the policy you intend to delete:

    Wybieranie przycisku usuwania

  4. Potwierdź, że rzeczywiście chcesz usunąć zasady, wybierając przycisk Usuń:Confirm that you really want to delete the policy by selecting the Delete button:

    Potwierdzanie usuwania zasad

Uprawnienia do zasad DLPDLP policy permissions

Tylko administratorzy dzierżawy i środowiska mogą tworzyć i modyfikować zasady DLP.Only tenant and environment admins can create and modify DLP policies. Więcej informacji na temat uprawnień znajduje się w artykule dotyczącym środowisk.Learn more about permissions in the environments article.

Łączniki niestandardowe i łączniki HTTPCustom and HTTP connectors

Łączniki niestandardowe i łączniki HTTP należy dodawać do kolekcji DLP przy użyciu szablonu usługi Microsoft Flow lub programu PowerShell.Custom and HTTP connectors must be added to DLPs using either a Microsoft Flow template or a PowerShell.

Porada

Wersji schematu 2018-11-01 nie można zmienić na starszą.You can't downgrade from schema version 2018-11-01. Obsługi protokołu HTTP nie można usunąć z zasad.HTTP support cannot be removed from a policy. Podjęcie próbę usunięcia obsługi protokołu HTTP może spowodować uszkodzenie zasad DLP.If you attempt to remove HTTP support, the DLP policy might be corrupted. Ponadto jeśli zasady DLP zostaną zaktualizowane tak, aby obsługiwać łączniki HTTP, bieżące przepływy korzystające z tych funkcji HTTP mogą zostać wyłączone.Further, if a DLP policy is updated to support HTTP connectors, current flows using these HTTP capabilities might be shut off.

Oto łączniki protokołu HTTP, które można dodać do zasad:Here are the HTTP connectors that you can add to a policy:

  • HTTP (i HTTP + Swagger)HTTP (and HTTP + Swagger)
  • Element webhook protokołu HTTPHTTP Webhook
  • Żądanie HTTPHTTP Request

Dodawanie łączników niestandardowych i łączników HTTP przy użyciu szablonówAdd connectors custom and HTTP connectors with templates

Aby dodać łącznik niestandardowy do zasad za pomocą szablonu, wprowadź nazwę zasad, grupę, do której chcesz dodać łącznik, oraz nazwę, identyfikator i typ łącznika.To add a custom connector to a policy using a template, enter the policy name, the group to which to add the connector, and the connector’s name, ID, and type. Uruchom przepływ jeden raz, aby dodać łącznik niestandardowy do danych zasad i grupy.Run the flow once to add the custom connector to the policy and group given.

Aby dodać łączniki protokołu HTTP do istniejących zasad za pośrednictwem szablonu, wprowadź nazwę zasad, do których chcesz je dodać je, a następnie uruchom przepływ.To add the HTTP connectors to an existing policy via the template, enter the name of the policy you’d like to add them to and then run the flow.

Dodawanie łączników niestandardowych i łączników protokołu HTTP przy użyciu programu PowerShellAdd custom and HTTP connectors with PowerShell

Aby dodać obsługę łączników niestandardowych i/lub łączników protokołu HTTP do zasad przy użyciu programu PowerShell, pobierz i zaimportuj najnowsze skrypty programu PowerShell usługi PowerApps, a następnie użyj następujących poleceń cmdlet: „New-AdminDlpPolicy”, „Set-AdminDlpPolicy”, „Add-CustomConnectorToPolicy” i „Remove-CustomConnectorFromPolicy”, aby zmodyfikować zasady.To add support for custom connectors and/or HTTP connectors to a policy using the PowerShell, download and import the latest PowerApps PowerShell scripts and then use these cmdlets: ‘New-AdminDlpPolicy’, ‘Set-AdminDlpPolicy’, ‘Add-CustomConnectorToPolicy’, and ‘Remove-CustomConnectorFromPolicy’ to modify the policy. Użyj polecenia cmdlet „Get-Help -detailed” jako odwołania.Use the ‘Get-Help -detailed’ cmdlet as a reference.

Ważne

Użyj wersji schematu 2018-11-01 podczas tworzenia lub aktualizowania zasad DLP, aby uwzględnić łączniki protokołu HTTP.Use the schema version 2018-11-01 when creating or updating a DLP policy to include HTTP connectors. Dodanie obsługi protokołu HTTP przy użyciu szablonu lub programu PowerShell wpłynie tylko na wybrane zasady.Adding HTTP support using the template or PowerShell will only affect the specified policy. Nowe zasady tworzone za pomocą Centrum administracyjnego nie będą zawierać łączników protokołu HTTP.New policies created via the Admin Center will not contain the HTTP connectors.

Następne krokiNext steps