Creați o politică de prevenire a pierderilor de date (DLP)

  • Articol

Pentru a proteja datele din organizația dvs., puteți utiliza Power Apps pentru a crea și pune în aplicare politici care definesc conectorii consumatorilor cu care se pot partaja anumite date de afaceri Aceste politici sunt denumite politici pentru prevenirea pierderilor de date (DLP). Politicile DLP se asigură că datele sunt gestionate într-o manieră uniformă în întreaga organizație și împiedică publicarea accidentală a datelor importante cu conectorii, precum site-urile de socializare.

Politicile DLP pot fi create la nivel de entitate găzduită sau la nivel de mediu și sunt gestionate din centrul de administrare Power Platform.

Cerințe preliminare

Nivelul de entitate găzduită

Politicile la nivel de entitate găzduită pot fi definite pentru a include sau exclude medii specifice. Pentru a urma pașii descriși în acest articol pentru politicile la nivel de entitate găzduită, una dintre următoarele permisiuni este necesară:

  • Permisiuni de administrator Microsoft Power Platform
  • Permisiuni globale de administrator Microsoft 365

Ne referim la aceste roluri în acest articol ca administratori entitate găzduită. Informații suplimentare: Utilizarea rolurilor de administrator de serviciu pentru a administra entitatea găzduită

Nivelul mediului

Pentru a urma pașii pentru politicile la nivel de mediu, trebuie să aveți Permisiunile de administrare a mediului Power Apps. Pentru medii cu o bază de date Dataverse, trebuie să vi se atribuie rolul de administrator de sistem.

Notă

Dacă utilizați parametrul SingleEnvironment EnvironmentType atunci când utilizați PowerShell pentru a crea o politică DLP, contul de utilizator utilizat pentru a crea politica TREBUIE SĂ aibă permisiunile la nivel de mediu și NU TREBUIE SĂ aibă permisiunile la nivel de entitate găzduită descrise mai sus, altfel va fi returnată o eroare de solicitare greșită și politica nu va fi creată.

Găsiți și vizualizați politicile DLP

Pentru a găsi și vizualiza politicile DLP, consultați Găsiți și vizualizați politicile DLP.

Procesul politicii DLP

În continuare prezentăm pașii de urmat pentru a crea o politică DLP:

  1. Atribuiți un nume politicii.
  2. Clasificați conectorii.
  3. Definiți domeniul de aplicare al politicii. Acest pas nu se aplică politicilor la nivel de mediu.
  4. Selectați mediile.
  5. Revizuiți setările.

Acestea sunt prezentate în secțiunea următoare.

Prezentarea rapidă: Crearea unei politici DLP

În această prezentare rapidă exemplu, vom crea o politică DLP la nivel de entitate găzduită. Vom adăuga SharePoint și Salesforce la grupul de date Business al unei politici DLP. Vom adăuga și Facebook și Twitter la grupul de date Blocat. Vom lăsa restul de conectori în grupul de date Non-Business. Vom exclude apoi mediile de testare din domeniul de aplicare al acestei politici și vom aplica politica la mediile rămase, cum ar fi mediile implicite și cele de producție din entitate găzduită.

După salvarea acestei politici, oricare producător Power Apps sau Power Automate care face parte din mediul politicii DLP poate crea o aplicație sau un flux care partajează date între SharePoint sau Salesforce. Orice resursă Power Apps sau Power Automate care include o conexiune existentă cu un conector în grupul de date Non-business nu va avea voie să stabilească conexiuni cu SharePoint sau conectori Salesforce, și invers. De asemenea, acești producători nu vor putea adăuga conectori Facebook sau Twitter la oricare resursă Power Apps sau Power Automate.

  1. În centrul de administrare Power Platform, selectați Politici>Politici de date>Politică nouă.

    Dacă nu există politici în entitatea găzduită, veți vedea pagina următoare.

    Nicio vizualizare a politicilor.

  2. Introduceți un nume de politică și apoi selectați Următorul.

  3. Examinați diferitele atribute și setări pe care le puteți face pe pagina Alocare conectori.

    Atribuiți conectori.

    Atribute

    Atribut Descriere
    Nume Numele conectorului.
    Blocabil Conectori care pot fi blocați. Pentru o listă de conectori care nu pot fi blocați, consultați Lista de conectori care nu pot fi blocați.
    Tip Dacă utilizarea conectorului necesită o licență Premium sau este inclusă în licența de bază/standard pentru Microsoft Power Platform.
    Editor Compania care asigură publicarea conectorului. Această valoare poate fi diferită de proprietarul serviciului. De exemplu, Microsoft poate fi editorul conectorului Salesforce, dar serviciul de bază este deținut de Salesforce, nu de Microsoft.
    Despre Selectați adresa URL pentru mai multe informații despre conector.

    Liste

    Pivot Descriere
    Business (n) Conectori pentru date sensibile de business. Conectorii din acest grup nu pot partaja date cu conectorii din alte grupuri.
    Non-Business/
    Implicit (n)    		 Conectori pentru date non-business, cum ar fi datele de utilizare personală. Conectorii din acest grup nu pot partaja date cu conectorii din alte grupuri.
    Blocat (n) Conectorii blocați nu pot fi utilizați acolo unde se aplică această politică.

    Acțiuni

    Acțiune Descriere
    Setare grup implicit Grupul care mapează orice conectori noi adăugați de Microsoft Power Platform după ce politica dvs. DLP este creată. Informații suplimentare: Grup de date implicit pentru conectori noi
    Căutați conectori Căutați pe o listă lungă de conectori pentru a găsi conectorii specifici pentru clasificare. Puteți căuta pe orice câmp din vizualizarea listei de conectori, cum ar fi Nume, Blocabil, Tip, sau Editor.

    Puteți efectua următoarele acțiuni:

    Atribuiți acțiuni pentru conectori.

    Descriere
    1 Alocați unul sau mai mulți conectori pentru grupuri de clasificare a conectorilor
    2 Tabelele pivot ale grupului de clasificare a conectorilor
    3 Bară de căutare pentru a găsi conectorii în funcție de proprietăți, cum ar fi Nume, Blocabil, Tip, sau Editor
    4 Grupul de clasificare a conectorilor care mapează orice conectori noi adăugați de Microsoft Power Platform după ce politica dvs. DLP este creată.
    5 Selectare, multi-selectare sau selectare vrac pentru conectori pentru a vă deplasa prin grupuri
    6 Capacitate de sortare alfabetică pe coloane individuale
    7 Butoane de acțiune pentru a atribui conectorii individuali pe grupuri de clasificare a conectorilor

  4. Selectați unul sau mai mulți conectori. Pentru această prezentare rapidă, selectați conectori SalesForce și SharePoint, apoi selectați Mutare la business din bara de meniu superioară. De asemenea, puteți utiliza punctele de suspensie (elipse.) din dreapta numelui conectorului.

    Alocați mai mulți conectori.

    Conectorii vor apărea în grupul de date Business.

    Grup de date comerciale.

    Conectorii se pot afla doar într-un singur grup de date simultan. Prin mutarea conectorilor SharePoint și Salesforce la grupul de date Business, împiedicați utilizatorii să creeze fluxuri și aplicații care combină acești doi conectori cu oricare dintre conectorii din grupurile Non-Business sau Blocat.

    Pentru conectori precum SharePoint care nu sunt blocabili, acțiunea Blocare devine gri și va apărea un avertisment.

  5. Examinați și schimbați setările implicite pentru grupuri pentru conectori noi, dacă este necesar. Vă recomandăm să păstrați setarea implicită ca fiind Non-Business pentru a mapa toți conectorii noi adăugați la Microsoft Power Platform în mod implicit. Conectorii Non-business pot fi alocați manual la Business sau la Blocat ulterior, prin editarea politicii DLP, după ce ați avut ocazia să îi revizuiți și să îi atribuiți. Dacă noua setare a conectorului este Blocat, orice conectori noi care sunt blocabili vor fi mapați la Blocat, cum era de așteptat. Cu toate acestea, orice conector nou care nu poate fi blocat va fi mapat la Non-Business deoarece prin proiectare nu poate fi blocat.

    În colțul din dreapta sus, selectați Setați grupul implicit.

    Setați grupul implicit.

    După ce ați finalizat toate atribuirile de conectori din toate grupurile Business/Non-Business/Blocat și setați grupul implicit pentru conectori noi, selectați Următorul.

  6. Alegeți domeniul de aplicare al politicii DLP. Acest pas nu este disponibil pentru politicile la nivel de mediu, deoarece acestea sunt întotdeauna destinate unui singur mediu.

    Definiți domeniul de aplicare.

    Pe parcursul acestei prezentări rapide, veți exclude mediile de testare din această politică. Selectați Exclude anumite medii, și din pagina Adăugare medii, selectați Următorul.

  7. Examinați diferitele atribute și setări de pe pagina Adăugare medii. Pentru politicile la nivel de entitate găzduită, această listă va arăta administratorul la nivel de entitate găzduită toate mediile din entitatea găzduită. Pentru politicile la nivel de mediu, această listă va afișa doar subsetul de medii din entitatea găzduită care sunt gestionate de utilizatorul care s-a conectat ca administrator de mediu sau ca administrator de sistem pentru medii cu bază de date Dataverse.

    Adăugați medii.

    Atribute

    Atribut Descriere
    Nume Numele mediului.
    Tip Tipul mediului: versiune de încercare, producție, sandbox, implicit
    Regiune Regiunea asociată cu mediul.
    Creat de Utilizatorul care a creat mediul.
    Data creării (Creat pe) Data la care a fost creat mediul.

    Liste

    Pivot Descriere
    Disponibil (n) Mediile care nu sunt incluse sau excluse în mod explicit în domeniul de aplicare a politicii. Pentru politici la nivel de mediu și politici la nivel de entitate găzduită, cu domeniul de aplicare definit ca Adăugați multiple medii, această listă reprezintă subsetul de medii care nu sunt incluse în domeniul de aplicare al politicii. Pentru politici la nivel de entitate găzduită, cu domeniul de aplicare definit ca Exclude anumite medii, acest pivot reprezintă subsetul de medii care sunt incluse în domeniul de aplicare al politicii.
    Adăugat la politică (n) Pentru politici la nivel de mediu și politici la nivel de entitate găzduită, cu domeniul de aplicare definit ca Adăugați multiple medii, acest pivot reprezintă subsetul de medii care sunt incluse în domeniul de aplicare al politicii. Pentru politici la nivel de entitate găzduită, cu domeniul de aplicare definit ca Exclude anumite medii, acest pivot reprezintă subsetul de medii care sunt excluse din domeniul de aplicare al politicii.

    Acțiuni

    Acțiune Descriere
    Adăugați la politică Mediile din categoria Disponibil pot fi mutate în categoria Adăugat la politică folosind această acțiune.
    Eliminați din politică Mediile din categoria Adăugat la politică pot fi mutate în categoria Disponibil folosind această acțiune.

  8. Selectați unul sau mai multe medii. Puteți utiliza bara de căutare pentru a găsi rapid mediile dorite. Pentru această prezentare rapidă, vom căuta mediile de testare - tip sandbox. După ce selectăm mediile sandbox, le atribuim domeniului de politică folosind Adăugați la politică din bara de meniu superioară.

    Atribuiți o politică.

    Deoarece domeniul de aplicare al politicii a fost inițial selectat ca Excludeți anumite medii, aceste medii de testare vor fi acum excluse din domeniul de aplicare al politicii și setările politicii DLP vor fi aplicate tuturor mediilor (Disponibil) rămase. Pentru politica la nivel de mediu, puteți selecta un singur mediu din lista mediilor disponibile.

    După efectuarea selecțiilor pentru medii, selectați Următorul.

  9. Examinați setările politicii, apoi selectați Creare politică.

    Examinați noua politică.

Politica este creată și apare în lista de politici DLP. Ca urmare a acestei politici, aplicațiile SharePoint și Salesforce pot partaja date în medii non-test, cum ar fi mediile de producție, pentru că ambele fac parte din același grup de date Business. Cu toate acestea, orice conector care se află în grupul de date Non-Business, cum ar fi Outlook.com, nu va partaja datele cu aplicațiile și fluxurile folosind conectori SharePoint sau Salesforce. Conectorii Facebook și Twitter sunt în totalitate blocați de la utilizare în orice aplicație sau flux în medii non-test, cum ar fi mediile de producție sau implicite.

Este o practică bună ca administratorii să partajeze lista de politici DLP cu organizația lor, astfel încât utilizatorii să cunoască politicile înainte de a crea aplicații.

Acest tabel descrie modul în care politica DLP creată de dvs. afectează conexiunile de date din aplicații și fluxuri.

Matrice conector SharePoint (Business) Salesforce (Business) Outlook.com (Non-Business) Facebook (Blocat) Twitter (Blocat)
SharePoint (Business) Permis Permis Refuzat Refuzat Refuzat
Salesforce (Business) Permis Permis Refuzat Refuzat Refuzat
Outlook.com (Non-Business) Refuzat Refuzat Permis Refuzat Refuzat
Facebook (Blocat) Refuzat Refuzat Refuzat Refuzat Refuzat
Twitter (Blocat) Refuzat Refuzat Refuzat Refuzat Refuzat

Deoarece nu s-a aplicat nicio politică DLP la mediile de testare, aplicațiile și fluxurile pot utiliza orice set de conectori împreună în aceste medii.

Utilizați comenzile DLP PowerShell

Consultați comenzile politicii de Prevenire a pierderilor de date (DLP).

Consultați și

Politici de prevenire a pierderilor de date
Gestionarea politicilor de prevenire a pierderilor de date (DLP)
Comenzile politicii de prevenire a pierderilor de date (DLP)
Power Platform - SDK pentru prevenirea pierderilor de date (DLP)