Политики защиты от потери данныхData loss prevention (DLP) policies

В этом документе представлены политики предотвращения потери данных, которые помогают защитить данные организации от совместного использования списком соединителей, определенным вами.This document introduces you to data loss prevention policies, which help protect your organizational data from being shared with a list of connectors that you define.

Что такое политика защиты от потери данных?What's a data loss prevention policy?

Для успеха организации данные крайне важны.An organization's data is critical to its success. Данные организации должны быть доступны для принятия решений, но их необходимо защищать, чтобы неуполномоченные пользователи не имели к ним доступа.Its data needs to be readily available for decision-making, but it needs to be protected so that it isn't shared with audiences that shouldn't have access to it. Чтобы защитить эти данные, Microsoft Flow позволяет создавать и применять политики, определяющие, какие соединители потребителей могут получать доступ к бизнес-данными и совместно использовать их.To protect this data, Microsoft Flow provides you with the ability to create, and enforce policies that define which consumer connectors can access and share business data. Эти политики, определяющие доступ к данным, называются политиками защиты от потери данных.These policies that define how data can be shared are referred to as data loss prevention (DLP) policies.

Зачем создавать политику защиты от потери данных?Why create a DLP policy?

Политика защиты от потери данных создается для того, чтобы четко определить, какие соединители потребителей могут получать доступ к бизнес-данным и совместно использовать их.You create DLP policy to clearly define which consumer connectors may access and share your business data. Например, организация, использующая Microsoft Flow, не хочет, чтобы бизнес-данные, хранящиеся в SharePoint, автоматически публиковались в ее веб-канале Twitter.For example, an organization that uses Microsoft Flow may not want its business data in SharePoint to be automatically published to its Twitter feed. Для этого можно создать политику защиты от потери данных, которая блокирует использование данных SharePoint в качестве источника твитов.To prevent this, you create a DLP policy that blocks SharePoint data from being used as the source for tweets.

Преимущества политики защиты от потери данныхBenefits of a DLP policy

  • Обеспечение единообразного управления данными во всей организации.Ensures that data is managed in a uniform manner across the organization.
  • Предотвращение случайной публикации важных бизнес-данных в соединителях, таких как социальные сети.Prevents important business data from being accidentally published to connectors such as social media sites.

Управление политиками защиты от потери данныхManaging DLP policies

Необходимые условия для управления политиками защиты от потери данныхPrerequisites for managing DLP policies

Создание политики защиты от потери данныхCreate a DLP policy

Необходимые условия для создания политик защиты от потери данныхPrerequisites for creating DLP policies

Для создания политики защиты от потери данных необходимо иметь разрешения по крайней мере на одну среду.To create a DLP policy, you must have permissions to at least one environment.

Чтобы создать политику защиты от потери данных, предотвращающую публикацию в Twitter данных, хранящихся на сайте SharePoint компании, выполните следующие действия.Follow these steps to create a DLP policy that prevents data in your company’s SharePoint site from being published to Twitter:

  1. Войдите в Центр администрирования Microsoft Flow (Центр администрирования).Sign into the Microsoft Flow Admin center (Admin center).

  2. Перейдите на вкладку политик данных и щелкните ссылку New policy (Создать политику).Select the Data Policies tab, and then select the New policy link:

    Кнопка входа

  3. Перейдите на вкладку Data groups (Группы данных).Select the Data groups tab.

  4. В верхней части страницы в поле Data Policy Name (Имя политики данных) введите Secure Data Access for Contoso (Безопасный доступ к данным для Contoso) в качестве имени политики защиты от потери данных.Enter the name of the DLP policy as Secure Data Access for Contoso in the Data Policy Name label at the top of the page:

    Кнопка входа

  5. Выберите среду на вкладке Environments (Среды).Select the environment on the Environments tab.

    Примечание

    В качестве администратора среды вы можете создавать политики, применяемые только к одной среде.As an environment admin, you can create policies that apply to only a single environment. В качестве администратора клиента вы можете создавать политики, применяемые к любой комбинации сред.As a tenant admin, you can create policies that apply to any combination of environments:

    Выбор среды

  6. Выберите вкладку Группы данных.Select the Data groups tab:

    выбор групп данных

  7. Нажмите ссылку Add (Добавить), расположенную в поле группы Business data only (Только бизнес-данные):Select the Add link located inside the Business data only group box:

    Нажмите "Добавить"

  8. На странице Add connectors (Добавление соединителей) выберите соединители SharePoint и Salesforce.Select the SharePoint and Salesforce connectors from the Add connectors page:

    выбор соединителей

  9. Нажмите кнопку Add connectors (Добавить соединители), чтобы добавить соединители, которые могут совместно использовать бизнес-данные.Select the Add connectors button to add the connectors that can share business data.

  10. Нажмите кнопку Save Policy (Сохранить политику) в верхнем правом углу экрана.Select Save Policy in the top right corner of the screen.

  11. Через несколько секунд новая политика защиты от потери данных отобразится в соответствующем списке.After a few moments, your new DLP policy will be displayed in the data loss prevention policies list:

    Список политик защиты от потери данных

  12. Необязательно. Отправьте сообщение электронной почты или другим способом сообщите своей команде, что новая политика защиты от потери данных теперь доступна.Optional Send an email or other communication to your team, alerting them that a new DLP policy is now available.

Поздравляем, вы создали политику защиты от потери данных, позволяющую приложению распределять данные между SharePoint и Salesforce, а также блокировать обмен данными с другими службами.Congratulations, you've now created a DLP policy that allows app to share data between SharePoint and Salesforce and blocks the sharing of data with any other services.

Примечание

При добавлении службы в одну группу данных она автоматически удаляется из другой группы данных.Adding a service to one data group automatically removes it from the other data group. Например, если сейчас служба Twitter находится в группе Business data only (Только бизнес-данные), но вы не хотите совместно использовать бизнес-данные через Twitter, просто добавьте эту службу в группу данных No business data allowed (Бизнес-данные не разрешены).For example, if Twitter is currently located in the business data only data group, and you don't want to allow business data to be shared with Twitter, simply add the Twitter service to the no business data allowed data group. Служба Twitter будет удалена из группы данных Business data only (Только бизнес-данные).This will remove Twitter from the business data only data group.

Нарушение совместного доступа к даннымData sharing violations

Предположим, вы создали политику защиты от потери данных, как описано выше. Теперь, если пользователь создаст последовательность, которая публикует данные из Salesforce (принадлежит к группе данных, предназначенной только для бизнес-данных) в Twitter (принадлежит к группе данных, предназначенной только для данных, не связанных с бизнесом), появится сообщение, что работа последовательности приостановлена из-за конфликта с созданной вами политикой защиты от потери данных.Assuming you've created the DLP policy outlined above, if a user creates a flow that shares data between Salesforce (which is in the business data only data group) and Twitter (which is in the no business data allowed data group), the user will be informed that the flow is suspended due to a conflict with the data loss prevention policy you created.

создание последовательности

Вот несколько вариантов действий на случай, если к вам обратится пользователь с жалобой на неработающую последовательность:If your users contact you about suspended flows, here a few things to consider:

  1. Что касается этого примера, при наличии обоснованной причины для публикации бизнес-данных из SharePoint в Twitter можно изменить политику защиты от потери данных.In this example, if there's a valid business reason to share business data between SharePoint and Twitter, you can edit the DLP policy.

  2. Попросите пользователя изменить последовательность так, чтобы соответствовала требованиям политики.Ask the user to edit the flow to comply with the DLP policy.

  3. Попросите пользователя оставить последовательность в приостановленном состоянии, пока не будет принято решение о целесообразности передачи данных между этими двумя сущностями.Ask the user to leave the flow in the suspended state until a decision is made regarding the sharing of data between these two entities.

Поиск политики защиты от потери данныхFind a DLP policy

АдминистраторыAdmins

Чтобы найти конкретные политики защиты от потери данных, администраторы могут использовать функцию поиска в Центре администрирования.Admins can use the search feature from the Admin center to find specific DLP policies.

Примечание

Администраторам следует публиковать все политики защиты от потери данных, чтобы пользователи организации знали о них до создания последовательностей.Admins should publish all DLP policies so that users in the organization are aware of the policies prior to creating flows.

СоздателиMakers

Если у вас нет прав администратора и вы хотите узнать больше о политиках защиты от потери данных в организации, обратитесь к администратору.If you don't have admin permissions and you wish to learn more about the DLP policies in your organization, contact your administrator. Дополнительные сведения см. в статье о средах создателей.You can also learn more from the maker environments article

Примечание

Изменять или удалять политики защиты от потери данных могут только администраторы.Only admins can edit or delete DLP policies.

Изменение политики защиты от потери данныхEdit a DLP policy

  1. Запустите Центр администрирования.Launch the Admin center.

  2. В Центре администрирования щелкните слева ссылку Data polices (Политики данных).In the Admin center that launches, select the Data polices link on the left side.

    выбор политик данных

  3. Просмотрите список имеющихся политик защиты от потери данных и нажмите кнопку редактирования рядом с политикой, которую требуется изменить.Search the list of existing DLP policies and select the edit button next to the policy you intend to edit.

  4. Внесите в политику необходимые изменения.Make the necessary changes to the policy. Например, вы можете изменить среду или службы в группах данных.You can modify the environment or the services in the data groups, for example.

  5. Для сохранения изменений нажмите Save Policy (Сохранить политику).Select Save Policy to save your changes.

Примечание

Администраторы среды могут просматривать политики защиты от потери данных, созданные администраторами клиента, но не могут изменять их.DLP policies created by tenant admins can be viewed by environment admins but cannot be edited by environment admins.

Удаление политики защиты от потери данныхDelete a DLP policy

  1. Запустите Центр администрирования.Launch the Admin center.

  2. Перейдите на вкладку Data polices (Политики данных) с левой стороны.Select the Data polices tab on the left side.

    выбор вкладки политик данных

  3. Просмотрите список имеющихся политик защиты от потери данных и нажмите кнопку удаления рядом с политикой, которую требуется удалить.Search the list of existing DLP policies, and then select the delete button next to the policy you intend to delete:

    Нажатие кнопки удаления

  4. Подтвердите, что вы действительно хотите удалить политику, нажав кнопку Удалить.Confirm that you really want to delete the policy by selecting the Delete button:

    подтверждение удаления политики

Разрешения политик защиты от потери данныхDLP policy permissions

Только администраторы клиента и среды могут создавать и изменять политики защиты от потери данных.Only tenant and environment admins can create and modify DLP policies. Дополнительные сведения о разрешениях см. в статье о средах.Learn more about permissions in the environments article.

Дальнейшие действияNext steps