Создание политики защиты от потери данных (DLP)

Статья
03/27/2023

Чтобы защитить данные в организации, можно использовать Power Apps для создания и применить политики, определяющие, каким пользовательским соединителям предоставляется общий доступ к конкретным бизнес-данным. Эти политики называются политики защиты от потери данных (DLP). Политики DLP обеспечивают единообразное управление данными во всей организации и предотвращают случайную публикацию важных бизнес-данных на соединителях, таких как сайты социальных сетей.

Политики защиты от потери данных могут создаваться на уровне клиента или на уровне среды и управляться из Центр администрирования Power Platform.

Предварительные условия

На уровне клиента

Политики уровня клиента могут быть определены для включения или исключения определенных сред. Чтобы выполнить действия, описанные в этой статье для политик уровня клиента, одно из следующих разрешений требуется:

Разрешения администратора Microsoft Power Platform
Разрешения глобального администратора Microsoft 365

Мы упоминаем эти роли в этой статье как администраторы клиента. Дополнительные сведения: Использование ролей администратора службы для управления клиентом

На уровне среды

Чтобы выполнить шаги для политик уровня среды, вам необходимо иметь разрешения администратора среды Power Apps. Для сред с базой данных Dataverse вместо этого вам должна быть назначена роль системного администратора.

Заметка

При использовании параметр SingleEnvironment EnvironmentType при использовании PowerShell для создания политики DLP, учетная запись пользователя, используемая для создания политики ДОЛЖНА иметь разрешения На уровне среды и НЕ ДОЛЖНА иметь разрешения На уровне клиента, как описано выше, иначе будет возвращена ошибка неверного запроса и политика не будет создана.

Поиск и просмотр политик защиты от потери данных

Чтобы найти и просмотреть политики защиты от потери данных, см. Найти и просмотреть политики защиты от потери данных.

Процесс политики защиты от потери данных

Ниже приведены шаги, которые вы выполните для создания политики защиты от потери данных:

Назначить политике имя.
Классификация соединителей.
Определите сферу действия политики. Этот шаг не относится к политикам уровня среды.
Выберите среды.
Просмотр параметров

Они рассматриваются в следующем разделе.

Пошаговое руководство: создание политики защиты от потери данных

В этом примере мы создадим политику защиты от потери данных уровня клиента. Мы добавим SharePoint и Salesforce для группа данных Бизнес политики защиты от потери данных. Мы также добавим Facebook и Twitter для группа данных блокированный. Оставим остальные соединители в группа данных Не бизнес. Затем мы исключим тестовые среды из области действия этой политики и применим политику к остальным средам, таким как стандартные и рабочие среды в клиенте.

После сохранения этой политики любой разработчик Power Apps или Power Automate, который является частью среды политики защиты от потери данных, может создать приложение или поток, который обменивается данными между SharePoint или Salesforce. Любой ресурс Power Apps или Power Automate, который включает в себя существующее подключение с соединитель в группе данных Не бизнес не сможет устанавливать связи с соединителями SharePoint или Salesforce, и наоборот. Кроме того, эти разработчики не смогут добавить соединители Facebook или Twitter к любому ресурсу Power Apps или Power Automate.

В Центре администрирования Power Platform выберите Политики>Политики данных>Новая политика.

Если в клиенте отсутствуют политики, вы увидите следующую страницу.
Введите имя политики, а затем нажмите Далее.

Просмотрите различные атрибуты и параметры, которые вы можете установить на странице Назначить соединители.

Назначить соединители.

Атрибуты

Атрибут	Описание:
Полное имя	Имя соединителя.
Можно заблокировать	Соединители, которые можно заблокировать. Список соединителей, которые нельзя заблокировать, см. в разделе Список соединителей, которые нельзя заблокировать.
Тип	Требуется ли для использования соединителя лицензия Premium или он включен в базовую/стандартную лицензию для Microsoft Power Platform.
Издатель	Компания, которая публикует соединитель. Это значение может отличаться от владельца службы. Например, Microsoft может быть издателем соединителя Salesforce, но базовая служба принадлежит Salesforce, а не Microsoft.
Сведения	Выберите URL-адрес для получения дополнительной информации о соединителе.

Списки

Сводка	Описание
Бизнес (n)	Соединители для бизнес-чувствительных данных. Соединители в этой группе не могут обмениваться данными с соединителями в других группах.
Отличные от бизнес/ По умолчанию (n)	Соединители для отличных от бизнес данных, таких как данные личного пользования. Соединители в этой группе не могут обмениваться данными с соединителями в других группах.
Заблокировано (n)	Заблокированные соединители невозможно использовать, если применена эта политика.

Действия

Действие	Описание
Задать группу по умолчанию	Группа, которая отображает любые новые соединители, добавленные Microsoft Power Platform после создания вашей политики защиты от потери данных. Дополнительные сведения: Группа данных по умолчанию для новых соединителей
Поиск соединителей	Поиск длинный список соединителей, чтобы найти конкретные соединители для классификации. Вы можете выполнить поиск по любому полю в представлении списка соединителей, например имя, Блокируемый, Тип, или издатель.

Действие

Описание

Задать группу по умолчанию

Группа, которая отображает любые новые соединители, добавленные Microsoft Power Platform после создания вашей политики защиты от потери данных. Дополнительные сведения: Группа данных по умолчанию для новых соединителей

Поиск соединителей

Поиск длинный список соединителей, чтобы найти конкретные соединители для классификации. Вы можете выполнить поиск по любому полю в представлении списка соединителей, например имя, Блокируемый, Тип, или издатель.

Можно выполнять следующие действия:

Действия по назначению соединителей.

	Описание:
1	Назначьте один или несколько соединителей по группам классификации соединителей
2	Сводные таблицы группы классификации соединителей
3	Строка поиска, чтобы найти соединители по свойствам, таким как имя, Блокируемый, Тип, или издатель
4	Группа классификации соединителя, которая отображает любые новые соединители, добавленные Microsoft Power Platform после создания вашей политики защиты от потери данных.
5	Соединители для выбора, выбора нескольких вариантов или группового выбора для перемещения по группам
6	Возможность сортировки по алфавиту по отдельным столбцам
7	Функциональные кнопки для назначения отдельных соединителей по группам классификации соединителей

Выберите один или несколько соединителей. Для этого пошагового руководства выберите соединители SalesForce и SharePoint, а затем выберите Перейти в бизнес из верхней строки меню. Вы также можете использовать многоточие () справа от названия соединителя.

Соединители появятся в группа данных Бизнес.

Соединители могут одновременно находиться только в одной группе данных. Переместив соединители SharePoint и Salesforce в группу данных Бизнес, вы запрещаете пользователям создавать потоки и приложения, которые объединяют два этих соединителя в группах Отличные от бизнес и Заблокированные.

Для соединителей, таких как SharePoint, которые не блокируются, действие блок становится серым, и появится предупреждение.
При необходимости просмотрите и измените параметры группы по умолчанию для новых соединителей. Мы рекомендуем оставить параметры по умолчанию как Отличные от бизнес для сопоставления любых новых соединителей, добавленных в Microsoft Power Platform по умолчанию. Соединители Отличные от бизнес могут быть назначены вручную на Бизнес или Заблокированный позже, отредактировав политику защиты от потери данных, после того, как у вас будет возможность просмотреть и назначить их. Если параметр нового соединителя Заблокированный, любые новые блокируемые соединители будут сопоставлены с Заблокированный, как и ожидалось. Однако любые новые соединители, которые не могут быть заблокированы, будут сопоставлены с Отличные от бизнес, потому что по замыслу они не могут быть заблокированы.

Выберите Установить группу по умолчанию в правом верхнем углу.

После того, как вы выполнили все назначения соединителей в группах Бизнес/Отличные от бизнес/Заблокированные и установили группу по умолчанию для новых соединителей, выберите Далее.
Выберите сферу действия политики защиты от потери данных. Этот шаг недоступен для политик уровня среды, поскольку они всегда предназначены для одной среды.

В этом пошаговом руководстве вы исключите тестовые среды из этой политики. Выбрать Исключить определенные среды и на странице Добавить среды выберите Далее.

Просмотрите различные атрибуты и параметры на странице Добавить среды. Для политик уровня клиента этот список покажет администратору уровня клиента все среды в клиенте. Для политик уровня среды в этом списке будет отображаться только подмножество сред в клиенте, которыми управляет пользователь, вошедший в систему как администратор среды или как системный администратор для сред с базой данных Dataverse.

Добавить среды.

Атрибуты

Атрибут	Описание:
Полное имя	Имя среды.
Тип	Тип среды: пробная, рабочая, песочница, по умолчанию
Регион	Регион связан с средой.
Кем создано:	Пользователь , создавший среду.
(Когда) создано	Дата создания среды.

Списки

Сводка	Описание
Доступные (n)	Среды, которые явно не включены или не исключены из области действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Добавить несколько сред, этот список представляет подмножество сред, которые не включены в область действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Исключить определенные среды, эта сводка представляет набор сред, которые включены в область действия политики.
Добавлено в политику (n)	Для политик уровня среды и политик уровня клиента с областью действия, определенной как Добавить несколько сред, эта сводка представляет подмножество сред, которые включены в область действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Исключить определенные среды, эта сводка представляет подмножество сред, которые исключены из области действия политики.

Сводка

Описание

Доступные (n)

Среды, которые явно не включены или не исключены из области действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Добавить несколько сред, этот список представляет подмножество сред, которые не включены в область действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Исключить определенные среды, эта сводка представляет набор сред, которые включены в область действия политики.

Добавлено в политику (n)

Для политик уровня среды и политик уровня клиента с областью действия, определенной как Добавить несколько сред, эта сводка представляет подмножество сред, которые включены в область действия политики. Для политик уровня среды и политик уровня клиента с областью действия, определенной как Исключить определенные среды, эта сводка представляет подмножество сред, которые исключены из области действия политики.

Действия

Действие	Описание
Добавить в политику	Среды в категория Доступные может быть перемещены в категория Добавлено в политику с помощью этого действия.
Удалить из политики	Среды в категория Добавлено в политику может быть перемещены в категория Доступные с помощью этого действия.

Выберите один или несколько сред. Можно использовать строку поиска, чтобы быстро найти интересующие вас среды. Для этого пошагового руководства мы будем искать тестовые среды — типа песочница. После выбора сред песочницы мы назначаем их области действия политики с помощью Добавить в политику из верхней строки меню.

Поскольку область действия политики изначально была выбрана как Исключить определенные среды, эти тестовые среды теперь будут исключены из области действия политики, а параметры политики защиты от потери данных будут применены ко всем остальным средам (Доступные). Для политики уровня среды вы можете выбрать только одну среду из списка доступных сред.

Сделав выбор для сред, выберите далее.
Просмотрите параметры политики и выберите Создать политику.

Политика создана и появляется в списке политик защиты от потери данных. В результате этой политики приложения SharePoint и Salesforce могут обмениваться данными в отличных от тестовых средах, — таких как рабочие среды, — потому что они оба являются частью одной и той же группы данных Бизнес. Тем не менее, любой соединитель, который находится в группа данных Отличные от бизнес — такие как Outlook.com — не будет делиться данными с приложениями и потоками с помощью соединителей SharePoint или Salesforce. Соединители Facebook и Twitter заблокированы от использования в любом приложении или потоке в отличных от тестовых средах, таких как рабочая среда или среда по умолчанию.

Администраторам рекомендуется делиться списком политик защиты от потери данных внутри организации, чтобы пользователи знали о них еще до создания приложений.

В этой таблице описывается, как созданная вами политика защиты от потери данных влияет на подключения к данным в приложениях и потоках.

Матрица соединителей	SharePoint (Бизнес)	Salesforce (Бизнес)	Outlook.com (Отличные от бизнес)	Facebook (Заблокировано)	Twitter (заблокировано)
SharePoint (Бизнес)	Допустимо	Допустимо	Отклонено	Отклонено	Отклонено
Salesforce (Бизнес)	Допустимо	Допустимо	Отклонено	Отклонено	Отклонено
Outlook.com (Отличные от бизнес)	Отклонено	Отклонено	Допустимо	Отклонено	Отклонено
Facebook (Заблокировано)	Отклонено	Отклонено	Отклонено	Отклонено	Отклонено
Twitter (заблокировано)	Отклонено	Отклонено	Отклонено	Отклонено	Отклонено

Поскольку никакая политика защиты от потери данных не была применена к тестовым средам, приложения и потоки могут использовать любой набор соединителей вместе в этих средах.

Используйте команды DLP PowerShell

См. Команды политики защиты от потери данных (DLP).

См. также

Политики защиты от потери данных
Управление политиками защиты от потери данных (DLP)
Команды политики защиты от потери данных (DLP)
Защита от потери данных (SDK) Power Platform