Estabelecendo uma Estratégia DLP

As políticas de prevenção contra perda de dados (DLP) atuam como proteções para ajudar a evitar que os usuários exponham dados organizacionais acidentalmente e manter a segurança das informações no locatário. As políticas DLP impõem regras para as quais conectores são habilitados para cada ambiente e define quais conectores podem ser usados juntos. Os conectores são classificados como somente dados corporativos, nenhum dado corporativo permitido, ou bloqueado. Um conector no grupo somente dados corporativos só pode ser usado com outros conectores desse grupo no mesmo aplicativo ou fluxo. Mais informações: Administrar Microsoft Power Platform: políticas de prevenção de perda de dados

O estabelecimento de suas políticas DLP funciona em conjunto com a sua estratégia ambiental.

Informações rápidas

• As políticas de prevenção de perda de dados (DLP) atuam como proteções para ajudar a evitar que os usuários exponham dados acidentalmente.
• As políticas DLP podem ter o escopo no nível do ambiente e do locatário, oferecendo flexibilidade para criar políticas que sejam sensatas e não bloqueiem a alta produtividade.
• Políticas do ambiente DLP não podem substituir políticas de DLP de locatários.
• Se várias políticas forem configuradas para um ambiente, a política mais restritiva será aplicada à combinação de conectores.
• Por padrão, nenhuma política DLP é implementada no locatário.
• As políticas não podem ser aplicadas no nível do usuário, apenas no nível do ambiente ou do locatário.
• As políticas DLP reconhecem o conector, mas não controlam as conexões feitas usando o conector - em outras palavras, as políticas DLP não sabem se você usa o conector para se conectar a um ambiente de desenvolvimento, teste ou produção.
• O PowerShell e os conectores de administração podem gerenciar políticas.
• Os usuários de recursos em ambientes podem visualizar as políticas aplicáveis.

Classificação do conector

As classificações corporativas e não corporativas estabelecem limites sobre quais conectores podem ser usados juntos em um determinado aplicativo ou fluxo. Os conectores podem ser classificados nos seguintes grupos usando políticas DLP:

• Corporativo: um determinado recurso do Power App ou Power Automate pode usar um ou mais conectores de um grupo corporativo. Se um recurso do Power App ou Power Automate usar um conector corporativo, ele não poderá usar um conector não corporativo.
• Não corporativo: um determinado recurso do Power App ou Power Automate pode usar um ou mais conectores de um grupo não corporativo. Se um recurso do Power App ou Power Automate usar um conector não corporativo, ele não poderá usar um conector corporativo.
• Bloqueado: nenhum recurso do Power App ou Power Automate pode usar um conector de um grupo bloqueado. Todos os conectores premium de propriedade da Microsoft e conectores de terceiros (padrão e premium) podem ser bloqueados. Nenhum conector padrão de propriedade da Microsoft e conector do Common Data Service pode ser bloqueado.

Os nomes "corporativo" e "não corporativo" não têm qualquer significado especial, eles são simplesmente rótulos. O agrupamento dos próprios conectores é importante, e não o nome do grupo em que estão colocados.

Mais Informações: Administrar Microsoft Power Platform: classificação do conector

Estratégias para criar políticas DLP

Como administrador que assume um ambiente ou começa a oferecer suporte ao uso do Power Apps e Power Automate, as políticas DLP devem ser uma das primeiras coisas a serem configuradas. Isso garante que um conjunto básico de políticas esteja em vigor. Além disso, você poderá se concentrar no tratamento de exceções e na criação de políticas DLP direcionadas que implementam essas exceções depois de aprovadas.

Recomendamos o seguinte ponto de partida para políticas DLP para ambientes de produtividade compartilhados por usuários e equipes:

• Crie uma política abrangendo todos os ambientes, exceto aqueles selecionados (por exemplo, seus ambientes de produção), mantenha os conectores disponíveis nesta política limitados ao Office 365 e outros microsserviços padrão, e bloqueie o acesso a todo o resto. Esta política será aplicada ao ambiente padrão e aos ambientes de treinamento que você possui para a execução de eventos de treinamento internos. Além disso, esta política também será aplicada a quaisquer novos ambientes que forem criados.
• Crie políticas DLP adequadas e mais permissivas para o seu ambientes de produtividade compartilhados por usuários e equipes. Essas políticas podem permitir que os criadores usem conectores como os serviços do Azure, além dos serviços do Office 365. Os conectores disponíveis nesses ambientes dependerão de sua organização e de onde sua organização armazena dados corporativos.

Recomendamos o seguinte ponto de partida para políticas DLP para ambientes de produção (unidade de negócios e projeto):

• Exclua esses ambientes das políticas de produtividade compartilhadas por usuários e equipes.
• Trabalhe com a unidade de negócios e o projeto para estabelecer quais conectores e combinações de conectores eles usarão e crie uma política de locatário para incluir apenas os ambientes selecionados.
• Os administradores de ambiente desses ambientes podem usar políticas de ambiente para categorizar conectores personalizados apenas como dados corporativos, se necessário.

Além do mencionado acima, também recomendamos:

• Criar um número mínimo de políticas por ambiente. Não há uma hierarquia restritiva entre as políticas de locatário e ambiente e, no design e no tempo de execução, todas as políticas aplicáveis ao ambiente no qual o aplicativo ou fluxo reside são avaliadas juntas para decidir se o recurso está em conformidade ou violação das políticas DLP. Várias políticas DLP aplicadas a um só ambiente fragmentará seu espaço de conector de maneiras complicadas e pode dificultar o entendimento dos problemas que seus criadores estão enfrentando.
• Gerenciar centralmente as políticas DLP usando políticas de nível de locatário e usando políticas de ambiente apenas para categorizar conectores personalizados ou em casos de exceção.

Tendo aplicado esse método, planeje como lidar com as exceções. Você pode:

• Negue a solicitação.
• Adicione o conector à política DLP padrão.
• Adicione os ambientes à lista Todos exceto para o DLP padrão global e crie uma política DLP específica do caso de uso com a exceção incluída.

Exemplo: estratégia de DLP da Contoso

Vejamos como a Contoso Corporation, nossa organização de exemplo para esta orientação, configurou suas políticas DLP. A configuração de suas políticas DLP está intimamente ligada à sua estratégia de ambiente.

Os administradores da Contoso desejam oferecer suporte a cenários de produtividade de usuários e equipes e aplicativos de negócios, além do gerenciamento de atividades do Centro de Excelência (CoE).

O ambiente e a estratégia de DLP que os administradores da Contoso aplicaram aqui consistem em:

1. Uma política DLP restritiva para todo o locatário que se aplica a todos os ambientes no locatário, exceto alguns ambientes específicos que foram excluídos do escopo da política. Os administradores pretendem manter os conectores disponíveis nesta política limitados ao Office 365 e outros microsserviços padrão, bloqueando o acesso a todo o resto. Esta política também será aplicada ao ambiente padrão.

2. Os administradores da Contoso criaram outro ambiente compartilhado para que os usuários criem aplicativos para casos de uso de produtividade do usuário e da equipe. Este ambiente tem uma política DLP de nível de locatário associada que não é tão cuidadosa com riscos quanto uma política padrão e permite que os fabricantes usem conectores como os serviços do Azure, além do serviços do Office 365. Como este é um ambiente não padrão, os administradores podem controlar ativamente a lista de criadores de ambiente para ele. Esta é uma abordagem em camadas para o ambiente de produtividade compartilhado por usuários e equipes e as configurações de DLP associadas.

3. Além disso, para que as unidades de negócios criem aplicativos de linha de negócios, eles criaram ambientes de desenvolvimento, teste e produção para suas subsidiárias fiscais e de auditoria em vários países/regiões. O acesso do criador de ambiente a esses ambientes é cuidadosamente gerenciado, e conectores próprios e de terceiros apropriados são disponibilizados usando políticas DLP de nível de locatário em consulta com os participantes da unidade de negócios.

4. Da mesma forma, os ambientes de desenvolvimento/teste/produção são criados para que a TI central use para desenvolver e implementar aplicativos relevantes ou corretos. Esses cenários de aplicativos de negócios geralmente têm um conjunto bem definido de conectores que precisam ser disponibilizados para os criadores, testadores e usuários nesses ambientes. O acesso a esses conectores é gerenciado usando uma política de nível de locatário dedicada.

5. A Contoso também tem um ambiente de propósito especial dedicado às atividades do Centro de Excelência. Na Contoso, a política DLP para o ambiente de propósito especial permanecerá em alta devido à natureza experimental do livro de equipes de teoria. Nesse caso, os administradores de locatários delegaram o gerenciamento de DLP para este ambiente diretamente a um administrador de ambiente confiável da equipe de CoE e o excluíram de uma escola de todas as políticas de nível de locatário. Este ambiente é gerenciado apenas pela política DLP de nível de ambiente, que é uma exceção e não a regra da Contoso.

Conforme esperado, todos os novos ambientes criados na Contoso serão mapeados para a política original de todos os ambientes.

Essa configuração de políticas DLP centradas no locatário não impede que os administradores de ambiente criem suas próprias políticas DLP de nível de ambiente, caso queiram introduzir restrições adicionais ou classificar conectores personalizados.

Configurar políticas de dados

1. Criar sua política no centro de administração do Power Platform. Mais informações: Gerenciar políticas de dados

2. Use o SDK DLP para adicionar conectores personalizados a uma política DLP.

Comunique claramente as políticas DLP aos criadores

Configure um site ou wiki do SharePoint que comunique claramente:

• As políticas DLP de nível do locatário e nível do ambiente principal (por exemplo, ambiente padrão, ambiente de teste) aplicadas na organização, incluindo listas de conectores classificados como corporativos, não corporativos e bloqueados.
• O ID de email do seu grupo de administração para que os criadores possam fazer contato em cenários de exceção. Por exemplo, os administradores podem ajudar os criadores a voltar à conformidade editando uma política DLP existente, movendo a solução para um ambiente diferente, criando um novo ambiente e uma nova política DLP e movendo o criador e o recurso para este novo ambiente.

Além disso, comunique claramente a estratégia de ambiente da sua organização para os criadores.