Criar uma política de prevenção de perda de dados (DLP)

  • Artigo

Para proteger os dados em sua organização, você pode usar o Power Apps para criar e impor políticas que definem com quais conectores do consumidor dados corporativos específicos podem ser compartilhados. Essas políticas são chamadas de políticas DLP (prevenção contra perda de dados). As políticas DLP garantem que os dados sejam gerenciados de maneira uniforme em toda a organização e impedem que dados corporativos importantes sejam publicados acidentalmente em conectores, como sites de mídia social.

As políticas DLP podem ser criadas no nível do locatário ou no ambiente e são gerenciadas do centro de administração do Power Platform.

Pré-requisitos

Nível do locatário

As políticas no nível do locatário podem ser definidas para incluir ou excluir ambientes específicos. Para seguir as etapas descritas neste artigo para políticas no nível d locatário, uma das seguintes permissões é necessária:

  • Permissões de administrador do Microsoft Power Platform
  • Permissões de administrador do Microsoft 365 Global

Nós nos referimos a essas funções ao longo deste artigo como administradores de locatários. Mais informações: Usar as funções de administrador do serviço para gerenciar seu locatário

Nível do ambiente

Para seguir as etapas das políticas no nível do ambiente, será necessário ter permissões de Administrador de Ambiente do Power Apps. Para ambientes com um banco de dados do Dataverse, você precisa ter a função Administrador do sistema.

Nota

Se estiver usando o parâmetro EnvironmentType SingleEnvironment ao usar o PowerShell para criar uma política DLP, a conta de usuário usada para criar a política MUST tem Nível do ambiente e MUST NOT tem permissões Nível de locatário conforme descrito acima ou um erro Bad Request será retornado e a política não será criada.

Localizar e exibir políticas DLP

Para localizar e exibir políticas DLP, consulte Localizar e exibir políticas DLP.

O processo da política DLP

A seguir, as etapas a seguir para criar uma política DLP:

  1. Atribua um nome à política.
  2. Classifique conectores.
  3. Defina o escopo da política. Esta etapa não se aplica a políticas no nível do ambiente.
  4. Selecione ambientes.
  5. Configurações de revisão.

Essas opções serão abordadas na próxima seção.

Passo a passo: Criar uma política DLP

Neste passo a passo de exemplo, criaremos uma política DLP no nível do locatário. Vamos adicionar o SharePoint e o Salesforce ao grupo de dados Empresarial de uma política DLP. Também adicionaremos o Facebook e o Twitter ao grupo de dados Bloqueado. Deixaremos os conectores restantes no grupo de dados Não Empresarial. Em seguida, excluiremos os ambientes de teste do escopo desta política e aplicaremos a política aos ambientes restantes, como ambientes padrão e de produção no locatário.

Depois que essa política for salva, qualquer criador do Power Apps ou do Power Automate que faça parte do ambiente da política DLP poderá criar um aplicativo ou um fluxo que compartilhe dados entre o SharePoint ou o Salesforce. Qualquer recurso do Power Apps ou do Power Automate que inclua uma conexão existente com um conector no grupo de dados Não empresarial não poderá estabelecer conexões com os conectores do SharePoint ou do Salesforce e vice-versa. Além disso, esses criadores não poderão adicionar conectores do Facebook ou do Twitter a qualquer recurso do Power Apps ou do Power Automate.

  1. No centro de administração do Power Platform, selecione Políticas>Políticas de dados>Nova política.

    Se não houver políticas no locatário, você verá a página a seguir.

    Nenhuma exibição de políticas.

  2. Insira o nome da política e então selecione Avançar.

  3. Revise os diversos atributos e configurações que você pode criar na página Atribuir Conectores.

    Atribua conectores.

    Atributos

    Atributo Description
    Name O nome do conector.
    Bloqueável Os conectores que podem ser bloqueados. Para obter uma lista de conectores que não podem ser bloqueados, consulte Lista de conectores que não podem ser bloqueados.
    Digitar Se o uso do conector exigir uma licença Premium ou se estiver incluída na licença base/Padrão para o Microsoft Power Platform.
    Fornecedor A empresa que publica o conector. Esse valor pode ser diferente do proprietário do serviço. Por exemplo, a Microsoft pode ser a editora do conector do Salesforce, mas o serviço subjacente pertence à Salesforce, não à Microsoft.
    Sobre Selecione a URL para obter mais informações sobre o conector.

    Listas

    Pivô Descrição
    Empresarial (n) Conectores para dados confidenciais da empresa. Os conectores deste grupo não podem compartilhar dados com conectores de outros grupos.
    Não Empresarial/
    Padrão (n)    		 Conectores para dados não empresariais, como dados de uso pessoal. Os conectores deste grupo não podem compartilhar dados com conectores de outros grupos.
    Bloqueado (n) Os conectores bloqueados não podem ser usados onde esta política for aplicada.

    Ações

    Ação Descrição
    Definir grupo padrão O grupo que mapeia quaisquer novos conectores adicionados pelo Microsoft Power Platform depois que sua política DLP é criada. Mais informações: Grupo de dados padrão para novos conectores
    Pesquisar conectores Pesquise uma longa lista de conectores para encontrar conectores específicos a serem classificados. Você pode pesquisar em qualquer campo na exibição de lista de conectores, como Nome, Bloqueável, Tipo ou Editor.

    Você pode tomar as seguintes ações:

    Atribua ações de conectores.

    Description
    1 Atribuir um ou mais conectores nos grupos de classificação de conectores
    2 Tabelas dinâmicas do grupo de classificação do conector
    3 Barra de pesquisa para encontrar conectores em propriedades como Nome, Bloqueável, Tipo ou Editor
    4 O grupo de classificação de conector que mapeia quaisquer novos conectores adicionados pelo Microsoft Power Platform depois que sua política DLP é criada.
    5 Conectores de seleção, seleção múltipla ou seleção em massa para mover-se pelos grupos
    6 Recurso de classificação alfabética em colunas individuais
    7 Botões de ação para atribuir conectores individuais nos grupos de classificação de conectores

  4. Selecione um ou mais conectores. Para este passo a passo, selecione os conectores do SalesForce e do SharePoint e selecione Mover para Empresarial na barra de menus superior. Você também pode usar as reticências (Reticências.) à direita do nome do conector.

    Atribua vários conectores.

    Os conectores aparecerão no grupo de dados Empresarial.

    Grupo de dados corporativos.

    Os conectores podem residir em apenas um grupo de dados por vez. Movendo os conectores do SharePoint e do Salesforce para o grupo de dados Empresarial, você estará impedindo que os usuários criem fluxos e aplicativos que combinem esses dois conectores com um dos conectores dos grupos Não Empresarial ou Bloqueado.

    Para conectores como o do SharePoint que não seja bloqueável, a ação Bloquear estará esmaecida e um aviso será exibido.

  5. Revise e altere a configuração de grupo padrão para novos conectores, se necessário. Recomendamos manter a configuração padrão como Não Empresarial para mapear quaisquer novos conectores adicionados ao Microsoft Power Platform por padrão. Os conectores não empresariais podem ser manualmente atribuídos a Empresarial ou Bloqueado posteriormente, por meio de edição da política DLP, depois de você ter a chance de revisá-las e atribuí-las. Se a nova configuração do conector for Bloqueado, quaisquer novos conectores bloqueáveis serão mapeados para Bloqueado, como esperado. No entanto, quaisquer novos conectores desbloqueáveis serão mapeados para Não Empresarial porque, por design, eles não podem ser bloqueados.

    No canto superior direito, selecione Definir grupo padrão.

    Definir grupo padrão.

    Depois de concluir todas as atribuições de conectores nos grupos Empresarial/Não Empresarial/Bloqueado e defina o grupo padrão para novos conectores, selecione Avançar.

  6. Escolha o escopo da política DLP. Esta etapa não está disponível para políticas no nível do ambiente, porque elas sempre são destinadas a um único ambiente.

    Defina o escopo.

    Para os fins desta explicação passo a passo, você excluirá os ambientes de teste desta política. Selecione Excluir determinados ambientes e, na página Adicionar Ambientes, selecione Avançar.

  7. Revise os diversos atributos e configurações na página Adicionar Ambientes. Para políticas no nível de locatário, esta lista mostrará ao administrador no nível de locatário todos os ambientes no locatário. Para políticas de nível de ambiente, esta lista mostrará apenas o subconjunto de ambientes no locatário que são gerenciados pelo usuário que se conectou como Administrador do ambiente ou Administrador do sistema para ambientes com o banco de dados do Dataverse.

    Adicione ambientes.

    Atributos

    Atributo Description
    Name O nome do ambiente.
    Digitar O tipo de ambiente: avaliação, produção, área restrita, padrão
    Região A região associada ao ambiente.
    Criado(a) por O usuário que criou o ambiente.
    Criada (Em) A data na qual o ambiente foi criado.

    Listas

    Pivô Descrição
    Disponível (n) Os ambientes que não são explicitamente incluídos ou excluídos no escopo da política. Para políticas no nível do ambiente e políticas no nível de locatário com escopo definido como Adicione vários ambientes, esta lista representa o subconjunto de ambientes que não estão incluídos no escopo da política. Para políticas no nível do locatário com escopo definido como Excluir determinados ambientes, este item dinâmico representa o conjunto de ambientes incluídos no escopo da política.
    Adicionado à política (n) Para políticas no nível do ambiente e políticas no nível de locatário com escopo definido como Adicione vários ambientes, este item dinâmico representa o subconjunto de ambientes incluídos no escopo da política. Para políticas no nível do locatário com escopo definido como Excluir determinados ambientes, este item dinâmico representa o subconjunto de ambientes excluídos do escopo da política.

    Ações

    Ação Descrição
    Adicionar à política Os ambientes na categoria Disponível podem ser movidos para a categoria Adicionado à política usando esta ação.
    Remover da política Os ambientes na categoria Adicionado à política podem ser movidos para a categoria Disponível usando esta ação.

  8. Selecione um ou mais ambientes. Você pode usar a barra de pesquisa para rapidamente encontrar os ambientes de interesse. Para este passo a passo, procuraremos ambientes de teste - tipo área restrita. Depois de selecionar os ambientes de área restrita, nós os atribuímos ao escopo da política usando Adicionar à política na barra de menus superior.

    Atribua uma política.

    Como o escopo da política foi selecionado inicialmente como Excluir determinados ambientes, esses ambientes de teste agora serão excluídos do escopo da política e as configurações da política DLP serão aplicadas a todos os demais ambientes (Disponível). Para a política no nível do ambiente, você pode selecionar apenas um único ambiente na lista de ambientes disponíveis.

    Depois de fazer seleções para ambientes, selecione Avançar.

  9. Revise as configurações de política e selecione Criar Política.

    Analise a nova política.

A política é criada e aparece na lista de políticas DLP. Como resultado desta política, os aplicativos do SharePoint e do Salesforce podem compartilhar dados em ambientes que não são de teste, como ambientes de produção, já que ambos fazem parte do mesmo grupo de dados Empresarial. No entanto, qualquer conector que resida no grupo de dados Não Empresarial, como Outlook.com, não compartilhará dados com aplicativos e fluxos usando o SharePoint ou os conectores do Salesforce. Os conectores do Facebook e do Twitter são totalmente impedidos de serem usados em qualquer aplicativo ou fluxo em ambientes que não sejam de teste, como ambientes de produção ou padrão.

É uma boa prática para os administradores compartilharem a lista de políticas DLP com sua organização, de modo que os usuários estejam cientes das políticas antes de criarem aplicativos.

Esta tabela descreve como a política DLP que você criou afeta as conexões de dados em aplicativos e fluxos.

Matriz de conectores SharePoint (Empresarial) Salesforce (Empresarial) Outlook.com (Não Empresarial) Facebook (Bloqueado) Twitter (Bloqueado)
SharePoint (Empresarial) Permitido Permitido Negado Negado Negado
Salesforce (Empresarial) Permitido Permitido Negado Negado Negado
Outlook.com (Não Empresarial) Negado Negado Permitido Negado Negado
Facebook (Bloqueado) Negado Negado Negado Negado Negado
Twitter (Bloqueado) Negado Negado Negado Negado Negado

Como nenhuma política DLP foi aplicada aos ambientes de teste, aplicativos e fluxos podem usar qualquer conjunto de conectores juntos nesses ambientes.

Usar comandos do PowerShell da DLP

Consulte comandos da política de prevenção contra perda de dados (DLP).

Consulte também

Políticas de prevenção contra a perda de dados
Gerenciar políticas de prevenção de perda de dados
Comandos da política de prevenção contra perda de dados (DLP)
SDK de prevenção contra a perda de dados da Power Platform