Share via

Ustanawianie strategii DLP

  • Artykuł

Zasady zapobiegania utracie danych (DLP) działają jak zabezpieczenia, które pomagają zapobiegać niezamierzonemu ujawnianiu danych organizacji przez użytkowników i chronią bezpieczeństwo informacji w dzierżawie. Zasady DLP wymuszają reguły, dla których są włączone łączniki dla poszczególnych środowisk oraz które złącza mogą być używane razem. Łączniki są klasyfikowane wyłącznie dane biznesowe, żadne dane biznesowe nie są dozwolone lub zablokowane. Łącznik w grupie "tylko dane biznesowe" może być używany z innymi łącznikami z tej grupy w ramach tej samej aplikacji lub przepływu. Więcej informacji: Administracja Microsoft Power Platform: Zasady ochrony przed utratą danych

Ustalenie zasad DLP będzie teraz dostępne wraz z strategią w dziedzinie środowiska.

Szybkie fakty

  • Reguły ochrony przed utratą danych (DLP) działają tak jak guardrails, aby zapobiec przypadkowemu ujawnieniu danych przez użytkowników.
  • Zasady DLP można określać na poziomie środowiska i na poziomie dzierżawcy, oferując elastyczność tworzenia zasad, które są rozsądne i nie blokują wysokiej produktywności.
  • Należy zauważyć, że zasady DLP środowiska nie mogą zastępować zasad DLP dzierżawy.
  • Jeśli dla jednego ze środowisk jest skonfigurowanych wiele zasad, najrestrykcyjnymi zasadami stosuje się w połączeniu z łącznikami.
  • Domyślnie w dzierżawie nie są zaimplementowane żadne zasady DLP.
  • Zasad nie można stosować na poziomie użytkownika, tylko na poziomie środowiska lub dzierżawcy.
  • Zasady DLP są oparte na łącznikach, ale nie kontrolują połączeń wykonywanych za pomocą tego łącznika — innymi słowy, zasady DLP nie są oparte na tym, czy łącznik jest używany do łączenia się ze środowiskiem projektowania, testu lub produkcji.
  • Program PowerShell i łączniki administracyjne mogą zarządzać zasadami.
  • Użytkownicy zasobów w środowiskach mogą wyświetlać zasady, które mają zastosowanie.

Klasyfikacja łącznika

Sektory biznesu i innych firm są rysowane na wszystkich łącznikach, które mogą być używane razem z daną aplikacją lub przepływem. W ramach zasad DLP łączniki mogą być klasyfikowane do następujących grup:

  • Firma: dana aplikacja Power App lub zasób Power Automate może używać jednego lub więcej łączników z poziomu grupy biznesowej. Jeśli aplikacja lub zasób zaawansowany Power Automate korzysta z programu Business Connector, nie może korzystać z łącznika innego niż biznesowego.
  • Niebiznesowe: dana aplikacja Power App lub zasób Power Automate może używać jednego lub więcej łączników z poziomu grupy niebiznesowej. Jeśli aplikacja lub zasób zaawansowany Power Automate korzysta z łącznika niebiznesowego, nie może korzystać z łącznika biznesowego.
  • Zablokowano: aplikacja Power App lub zasób Power Automate nie może korzystać z łącznika z zablokowanej grupy. Wszystkie łączniki premium należące do firmy Microsoft i łączniki innych firm (standardowe i premium) można blokować. Nie można blokować wszystkich standardowych łączników Common Data Service i łączników należących do firmy Microsoft.

Nazwy „biznesowy” i „niebiznesowy” nie mają żadnego specjalnego znaczenia — ale są to zwykłe etykiety. Zgrupowanie samych łączników ma znaczenie, a nie nazwa grupy, w której się znajdują.

Więcej informacji: Administrowanie Microsoft Power Platform: Klasyfikacja łącznika

Strategie tworzenia zasad DLP

Jako Administrator przejmujący środowisko lub rozpoczynający korzystanie z Power Apps i Power Automate jedną z pierwszych czynności, jaką powinieneś wykonać jest skonfigurowania zasad DLP. Gwarantuje to, że istnieje podstawowy zestaw zasad i można skupić się na obsłudze wyjątków i tworzeniu docelowych zasad DLP, które będą implementować te wyjątki po zatwierdzeniu.

Zaleca się, aby w ramach zasad DLP dla współdzielone środowiska produktywności użytkowników i zespołów:

  • Utwórz zasady obejmujące wszystkie środowiska poza wybranymi (na przykład środowiska produkcyjne), ogranicz dostępne łączniki w tej zasadzie do pakietu Office 365 i innych standardowych mikrousług oraz zablokuj dostęp do wszystkich innych. Te zasady będą dotyczyć środowiska domyślnego oraz środowiska szkoleniowego, które będzie używane do uruchamiania wewnętrznych zdarzeń szkoleniowych. Ponadto te zasady będą obowiązywały również w nowych środowiskach, które zostaną utworzone.
  • Tworzenie odpowiednich i bardziej zażądanych zasad DLP dla współdzielone środowiska produktywności użytkowników i zespołów. Te zasady umożliwiają przystawianie użytkownikom łączników, takich jak usługi platformy Azure, oraz korzystanie z usług Office 365. Łączniki dostępne w tych środowiskach będą zależeć od organizacji i miejsca, w którym organizacja przechowuje dane biznesowe.

Zaleca się, aby w ramach zasad DLP dla środowiska produkcyjne (jednostka biznesowa i projekt):

  • Wyklucz te środowiska z zasad pracy udostępnionych użytkowników i zespołów.
  • Należy pracować z jednostką biznesową i projektem w celu ustalenia, które łączniki i kombinacje łączników będą używane, i utworzyć zasadę dzierżawy w celu dołączenia tylko wybranych środowisk.
  • Administratorzy środowiska w tych środowiskach mogą używać zasad środowiska do kategoryzowania łączników niestandardowych jako danych biznesowych, jeśli jest to wymagane.

Dodatkowo zalecamy również:

  • Tworzenie minimalnej liczby zasad dla każdego środowiska. Nie ma ścisłej hierarchii między zasadami dzierżawy i środowiska, a podczas projektowania i wykonywania wszystkie zasady mające zastosowanie do środowiska, w którym znajduje się aplikacja lub przepływ, są oceniane razem, aby zdecydować, czy zasób jest zgodny z zasadami DLP, czy też je narusza. Wiele zasad DLP stosowanych w jednym środowisku może pofragmentować miejsce łącznika na skomplikowane sposoby i utrudnić zrozumienie problemów występujących na liście.
  • Centralne zarządzanie zasadami DLP przy użyciu zasad na poziomie dzierżawy i korzystanie z zasad środowiska tylko do kategoryzowania łączników niestandardowych lub wyjątków.

W tym miejscu zaplanuj sposób obsługi wyjątków. Masz następujące możliwości:

  • Odrzuć żądanie.
  • Dodawanie łącznika do domyślnych zasad DLP.
  • Dodaj środowiska do listy All Except dla globalnego domyślnego DLP i utwórz zasady DLP specyficzne dla przypadku użycia z dołączonym wyjątkiem.

Przykład: strategia DLP firmy Contoso

Przyjrzyjmy się, jak firma Contoso Corporation, nasza przykładowa organizacja dla tych wskazówek, skonfigurowała swoje zasady DLP. Konfigurowanie swoich polityki DLP jest ściśle powiązane ze strategią środowiskową.

Administratorzy firmy Contoso chcą obsługiwać scenariusze produktywności użytkowników i zespołów oraz aplikacje biznesowe, oprócz zarządzania działaniami Centrum doskonałości (CoE).

Środowisko i strategia DLP, którą zastosowali administratorzy firmy Contoso, składają się z:

  1. Restrykcyjne zasady DLP dotyczące całej dzierżawy, które mają zastosowanie do wszystkich środowisk w dzierżawie, z wyjątkiem niektórych określonych środowisk, które zostały wykluczone z zakresu zasad. Administratorzy zamierzają utrzymać dostępne łączniki tej zasady w zakresie programu Office 365 i innych mikrodostępów standardowych, blokując dostęp do wszystkich innych usług. Ta zasada będzie miała również zastosowanie do środowiska domyślnego.

  2. Administratorzy firmy Contoso utworzyli inne udostępniane środowisko, w którym użytkownicy mogą tworzyć aplikacje dla przypadków użycia użytkowników i zespołu. W tym środowisku są skojarzone zasady DLP na poziomie dzierżawy, które nie są tak averse jako domyślne i umożliwiają przystawer korzystanie z łączników, takich jak usługi platformy Azure, a także do usług Office 365. Ponieważ jest to środowisko inne niż domyślne, administratorzy mogą aktywnie kontrolować jego listę twórców środowiska. Jest to wielopoziomowe podejście do współużytkowanego środowiska produktywności użytkownika i zespołu oraz powiązanych ustawień DLP.

  3. Ponadto dla jednostek biznesowych do tworzenia aplikacji biznesowych utworzono środowiska projektowe, testowe i produkcyjne dla ich oddziałów podatków i inspekcji w różnych krajach/regionach. Dostęp twórcy środowiska do tych środowisk jest starannie zarządzany, a odpowiednie łączniki własne i innych firm są udostępniane przy użyciu zasad DLP na poziomie dzierżawcy w porozumieniu z interesariuszami jednostki biznesowej.

  4. Podobnie, środowiska deweloperskie / testowe / produkcyjne są tworzone na potrzeby centralnego działu IT do opracowywania i wdrażania odpowiednich lub właściwych aplikacji. Te scenariusze aplikacji biznesowych zazwyczaj mają dobrze zdefiniowany zestaw łączników, które muszą być dostępne dla twórców, testerów i użytkowników w tych środowiskach. Dostęp do tych łączników jest zarządzany przy użyciu dedykowanych zasad na poziomie dzierżawy.

  5. Firma Contoso ma również specjalne środowisko dedykowane działaniom Centrum Doskonałości. W firmie Contoso zasady DLP dla środowiska specjalnego przeznaczenia pozostaną na wysokim poziomie, biorąc pod uwagę eksperymentalny charakter książki zespołów teorii. W tym przypadku administratorzy dzierżawy delegowali zarządzanie DLP dla tego środowiska bezpośrednio do zaufanego administratora środowiska zespołu Centrum doskonałości i wykluczali je ze szkoły wszystkich zasad na poziomie dzierżawy. To środowisko jest zarządzane tylko przez zasady DLP na poziomie środowiska, co jest wyjątkiem, a nie regułą w firmie Contoso.

Zgodnie z oczekiwaniami wszelkie nowe środowiska utworzone w firmie Contoso będą mapowane na oryginalne zasady dotyczące wszystkich środowisk.

Ta konfiguracja zasad DLP ukierunkowanych na dzierżawę nie uniemożliwia administratorom środowiska tworzenia własnych zasad DLP na poziomie środowiska, jeśli chcą wprowadzić dodatkowe ograniczenia lub sklasyfikować łączniki niestandardowe.

W jaki sposób firma Contoso konfiguruje swoje zasady DLP.

Konfigurowanie zasad dotyczących danych

  1. Utwórz swoje zasady w centrum administracyjnym Power Platform. Więcej informacji: Zarządzanie zasadami danych

  2. Użyj zestawu DLP SDK, aby dodać niestandardowe złącza do zasad DLP.

Jasno poinformuj twórców o zasadach DLP w swojej organizacji

Konfigurowanie witryny lub wiki SharePoint, które jasno przedstawia:

  • Zasady DLP na poziomie dzierżawcy i kluczowe środowisko (na przykład środowisko domyślne, środowisko próbne) egzekwowane w organizacji, w tym listy łączników sklasyfikowanych jako biznesowe, niebiznesowe i zablokowane.
  • Identyfikator e-mail grupy administratorów, aby twórcy mogli kontaktować się w przypadku wyjątków. Na przykład administratorzy mogą pomóc twórcom w powrocie do edycji istniejącej polityki DLP pod kątem zgodności, przeniesienia rozwiązania do innego środowiska, utworzenia nowego środowiska i nowej polityki DLP oraz przeniesienia producenta i zasobu do tego nowego środowiska.

Dobrze jest również wyjasniać strategię środowiskową organizacji twórcom.