Criar uma política de Prevenção de Perda de Dados (DLP)

  • Artigo

Para proteger os dados da sua organização, tem de usar Power Apps para criar e impor políticas que definem os conectores de consumidor com os quais os dados empresariais específicos podem ser partilhados. Estas políticas são chamadas políticas de prevenção de perda de dados (DLP). As políticas DLP asseguram que os dados são geridos de forma uniforme em toda a sua organização, sendo que impedem a publicação acidental de dados de negócio para conectores como, por exemplo, sites de redes sociais.

As políticas DLP podem ser criadas a nível do inquilino ou a nível do ambiente, e são geridas a partir do centro de administração do Power Platform.

Pré-requisitos

Nível de inquilino

As políticas de nível de inquilino podem ser definidas para incluir ou eliminar ambientes específicos. Para seguir os passos descritos neste artigo para políticas a nível do inquilino, é necessária uma das seguintes permissões:

  • Permissões de administrador do Microsoft Power Platform
  • Permissões de admin Global do Microsoft 365

Referimos estas funções ao longo deste artigo como Administradores de inquilino. Mais informações: Utilizar funções de administrador de serviço para gerir o seu inquilino

Nível de ambiente

Para seguir os passos de políticas a nível do ambiente, é necessário ter Power Apps Permissões de administrador de ambiente. Para ambientes com uma base de dados do Dataverse, é necessário atribuir-lhe a função de Administrador de Sistema.

Nota

Se utilizar o parâmetro SingleEnvironment EnvironmentType ao utilizar o PowerShell para criar uma política DLP, a conta de utilizador utilizada para criar a política DEVE ter Nível de ambiente e NÃO DEVE ter Permissões de inquilino tal como acima descrito, ou será devolvido um erro de Pedido Mau e a política não será criada.

Localizar e ver políticas DLP

Para localizar e ver políticas de DLP, consulte Localizar e ver políticas DLP.

O processo de política de DLP

Deve seguir os passos seguintes para criar uma política de DLP:

  1. Atribuir um nome à política.
  2. Classificar conectores.
  3. Definir o âmbito da política. Este passo não se aplica a políticas a nível do ambiente.
  4. Selecionar ambientes.
  5. Avaliar definições.

Estes são abrangidos na secção seguinte.

Procedimento: criar uma política DLP

Neste exemplo de procedimento, vamos criar uma política DLP de nível de inquilino. Vamos adicionar SharePoint e Salesforce ao grupo de dados de negócio de uma política DLP. Também adicionaremos Facebook e o Twitter ao grupo de dados bloqueados. Vamos deixar os conectores restantes no grupo de dados não empresariais. Em seguida, vamos eliminar ambientes de teste a partir do âmbito desta política e aplicar a diretiva aos ambientes restantes, tais como ambientes de produção e predefinição no inquilino.

Depois de esta política ser guardada, qualquer fabricante Power Apps ou Power Automate que faça parte do ambiente da política DLP poderá criar uma aplicação ou um fluxo que partilha dados entre o SharePoint ou o Salesforce. Qualquer recurso Power Apps ou Power Automate que inclua uma ligação existente com um conector no grupo de dados de grupo não empresariais não poderá estabelecer ligações com conectores SharePoint ou Salesforce e vice-versa. Além disso, estes criadores não poderão adicionar conectores Facebook ou Twitter ou a nenhum recurso Power Apps ou Power Automate.

  1. No centro de administração do Power Platform, selecione Políticas>Políticas de dados>Nova política.

    Se não existirem políticas no inquilino, irá ver a página seguinte.

    Sem visualização de políticas.

  2. Introduza um nome de política e, em seguida, selecione Seguinte.

  3. Verifique os vários atributos e definições que pode efetuar na página Atribuir conectores.

    Atribuir conectores.

    Atributos

    Atributo Description
    Name O nome do conector.
    Bloqueável Conectores que podem ser bloqueados. Para obter uma lista de conectores que não podem ser bloqueados, consulte a Lista de conectores que não podem ser bloqueados.
    Tipo Se a utilização do conector requer uma licença Premium ou se está incluído na licença base/Standard para o Microsoft Power Platform.
    Editor A empresa que publica o conector. Este valor pode ser diferente do proprietário do serviço. Por exemplo, a Microsoft pode ser o fabricante do conector da Salesforce, mas o serviço subjacente é propriedade da Salesforce e não da Microsoft.
    Acerca de Selecione o URL para mais informações sobre o conector.

    Listas

    Pivô Descrição
    Negócio (n) Conectores para dados sensíveis dos negócios. Os conectores neste grupo não podem partilhar dados com conectores noutros grupos.
    Não empresarial/
    Predefinição (n)    		 Conectores para dados não empresariais, tais como dados de utilização pessoal. Os conectores neste grupo não podem partilhar dados com conectores noutros grupos.
    Bloqueado (n) Não é possível utilizar os conectores bloqueados onde esta política é aplicada.

    Acções

    Ação Descrição
    Predefinir grupo O grupo que mapeia quaisquer novos conectores adicionados pelo Microsoft Power Platform após a criação da sua política DLP. Mais informações: grupo de dados predefinido para novos conectores
    Procurar Conectores Procure uma longa lista de conectores para localizar conectores específicos a classificar. Pode efetuar uma pesquisa em qualquer campo na vista de lista de conectores, tal como Nome, Bloqueável, Tipo ou Editor.

    Pode realizar as seguintes ações:

    Atribuir ações a conectores.

    Description
    1 Atribuir um ou mais conectores nos grupos de classificação de conector
    2 Tabelas pivô de grupos de classificação de conector
    3 Barra de pesquisa para localizar conectores em propriedades como Nome, Bloqueável, Tipo ou Editor
    4 Grupo de classificação do conector que mapeia quaisquer novos conectores adicionados por Microsoft Power Platform após a criação da sua política DLP.
    5 Seleção, seleção múltipla ou seleção em massa de conectores para mover pelos grupos
    6 Capacidade de ordenação alfabética em colunas individuais
    7 Botões de ação para atribuir conectores individuais em grupos de classificação de conector

  4. Selecione um ou mais conectores. Para este passo-a-passo, selecione a SalesForce e os SharePoint conectores e, em seguida, selecione Mover para negócio a partir da barra de menu superior. Também pode utilizar as reticências (reticências.) à direita do nome do conector.

    Atribuir múltiplos conectores.

    Os conectores serão apresentados no grupo de dados de Negócio.

    Grupo de dados de negócio.

    Os conectores só podem residir num grupo de dados de cada vez. Ao mover o os conectores SharePoint e Salesforce para o grupo de Negócio, está a impedir os utilizadores de criarem de fluxos e aplicações que combinam estes dois conectores com qualquer um dos conectores nos grupos não empresariais ou bloqueados.

    Para conectores como o SharePoint que não são bloqueáveis, a ação de bloqueio ficará acinzentada e será apresentado um aviso.

  5. Reveja e altere a configuração de grupo predefinida para novos conectores, se for necessário. Recomendamos manter a predefinição predefinida como Não empresarial para mapear quaisquer novos conectores adicionados a Microsoft Power Platform por predefinição. Os conectores não empresariais podem ser manualmente atribuídos ao negócio ou bloqueados mais tarde através da edição da política DLP, depois de ter tido a oportunidade de os verificar e atribuir. Se a definição do novo conector estiver bloqueada, todos os novos conectores bloqueados serão mapeados para bloqueado, conforme esperado. No entanto, todos os novos conectores que são não bloqueáveis serão mapeados para não empresariais porque, por predefinição, não é possível bloqueá-los.

    No canto superior direito, selecione Definir grupo predefinido.

    Predefinir grupo.

    Depois de ter concluído todas as atribuições de conector nos grupos Empresarial/Não Empresarial/Bloqueados e definido o grupo predefinido para novos conectores, selecione Seguinte.

  6. Escolha o âmbito da política DLP. Este passo não está disponível para políticas a nível do ambiente, uma vez que estão sempre direcionados para um único ambiente.

    Definir âmbito.

    Para a finalidade deste passo-a-passo, irá eliminar ambientes de teste desta política. Selecione Eliminar determinados ambientes e, na página Adicionar ambientes, selecione Seguinte.

  7. Reveja os vários atributos e definições na página Adicionar ambientes. Para políticas a nível de inquilino, esta lista mostra ao administrador a nível de inquilino todos os ambientes no inquilino. Para políticas ao nível do ambiente, esta lista apenas mostrará o subconjunto de ambientes no inquilino que são geridos pelo utilizador que iniciou sessão como Admin do Ambiente ou como um Administrador de Sistema para ambientes com base de dados do Dataverse.

    Adicionar ambientes.

    Atributos

    Atributo Description
    Name O nome do ambiente.
    Tipo O tipo de ambiente: avaliação, produção, sandbox, predefinição
    Região A região associada ao ambiente.
    Criado por O utilizador que criou o ambiente.
    Criado (Ativado) A data de criação do ambiente.

    Listas

    Pivô Descrição
    Disponível (n) Ambientes que não são incluídos ou eliminados explicitamente no âmbito da política. Para políticas a nível do ambiente e de nível de inquilino com âmbito definido como Adicionar vários ambientes, esta lista representa o subconjunto de ambientes que não estão incluídos no âmbito da política. Para políticas a nível de inquilino com âmbito definido como Excluir certos ambientes, este pivô representa o conjunto de ambientes que estão incluídos no âmbito da política.
    Adicionado à política (n) Para políticas a nível do ambiente e de nível de inquilino com âmbito definido como Adicionar vários ambientes, este pivô representa o subconjunto de ambientes que estão incluídos no âmbito da política. Para políticas a nível de inquilino com âmbito definido como Excluir certos ambientes, este pivô representa o subconjunto de ambientes que estão excluídos do âmbito da política.

    Acções

    Ação Descrição
    Adicionar a política Os ambientes na categoria Disponível podem ser movidos para a categoria de Adicionado a política utilizando esta ação.
    Remover da política Os ambientes na categoria Adicionado a política podem ser movidos para a categoria de Disponível utilizando esta ação.

  8. Selecione um ou mais ambientes. Pode utilizar a barra de pesquisa para procurar rapidamente os ambientes de pesquisa. Para este procedimento, vamos pesquisar os ambientes de teste - de tipo sandbox. Depois de selecionar os ambientes de sandbox, atribuímos os mesmos ao âmbito da política utilizando Adicionar à política a partir da barra de menu superior.

    Atribuir política.

    Uma vez que o âmbito da política foi inicialmente selecionado como Excluir certos ambientes, estes ambientes de teste serão agora eliminados do âmbito da política e as definições da política DLP serão aplicadas a todos os restantes ambientes (disponíveis). Para uma política de nível de ambiente, só pode selecionar um único ambiente a partir da lista de ambientes disponíveis.

    Depois de fazer seleções para ambientes, selecione Seguinte.

  9. Reveja as definições de política e, em seguida, selecione Criar política.

    Verificar a nova política.

A política é criada e aparece na lista de políticas DLP. Como consequência desta política, as aplicações SharePoint e Salesforce podem partilhar dados em ambientes de não teste, tais como ambientes de produção, porque fazem ambas parte do mesmo grupo de dados Comerciais. No entanto, qualquer conector que resida no grupo de dados Não comerciais, como o Outlook.com, não partilha dados com aplicações e fluxos através da utilização de conectores do SharePoint ou do Salesforce. Os conectores Facebook e Twitter são totalmente impedidos de serem utilizados em qualquer aplicação ou fluxo em ambientes sem teste, tais como ambientes de produção ou predefinidos.

Recomenda-se que os administradores partilhem a lista das políticas DLP com as respetivas organizações, para que os utilizadores conheçam as políticas antes de criarem aplicações.

Esta tabela descreve como a política DLP que criou afeta ligações de dados em aplicações e fluxos.

Matriz de conector SharePoint (Negócio) Salesforce (negócio) Outlook.com (Não empresarial) Facebook (Bloqueado) Twitter (Bloqueado)
SharePoint (Negócio) Permitido Permitido Negado Negado Negado
Salesforce (Negócio) Permitido Permitido Negado Negado Negado
Outlook.com (Não empresarial) Negado Negado Permitido Negado Negado
Facebook (Bloqueado) Negado Negado Negado Negado Negado
Twitter (Bloqueado) Negado Negado Negado Negado Negado

Uma vez que não foi aplicada uma política DLP a ambientes de teste, as aplicações e fluxos podem utilizar qualquer conjunto de conectores em conjunto nesses ambientes.

Utilizar comandos DLP do PowerShell

Consulte Comandos da política de Prevenção de Perda de Dados (DLP).

Consulte também

Políticas de prevenção de perda de dados
Gerir políticas de prevenção de perda de dados (DLP)
Comandos da política de prevenção de perda de dados (DLP)
Prevenção de perda de dados (DLP) SDK do Power Platform