Skapa en DLP-policy (dataförlustskydd)

För att skydda data i din organisation kan du använda Power Apps för att skapa och framtvinga policyer som definierar vilka kundanslutningsprogram som specifika verksamhetsdata får delas med. Dessa policyer kallas dataförlustskydds(DLP)-policyer. DLP-policyer säkerställer att data hanteras på ett enhetligt sätt i hela organisationen och att viktiga verksamhetsdata inte publiceras av misstag i anslutningar, t. ex. webbplatser för sociala medier.

DLP-policyer kan skapas på klientorganisationsnivå eller på miljönivå, och hanteras från administrationscentret för Power Platform.

Förutsättningar

Klientorganisationsnivå

Policyer för klientorganisationsnivå kan definieras i syfte att omfatta eller exkludera specifika miljöer. Om du vill följa de steg som beskrivs i denna artikel för policyer på klientorganisationsnivå krävs en av följande behörigheter:

• Microsoft Power Platform-administratörsbehörigheter
• Global administratörsbehörighet för Microsoft 365

I denna artikel benämns dessa roller genomgående som klientorganisationsadministratörer. Mer information: Använd tjänsteadministratörsroller för att hantera din klientorganisation

Miljönivå

Du behöver behörighet för miljöadministratör för Power Apps om du vill följa stegen i policyerna för miljönivå. För miljöer med en Dataverse databas måste du tilldelas rollen Systemadministratör i stället.

Hitta och visa DLP-policyer

Se Hitta och visa DLP-policyer om du vill hitta och visa DLP-policyer.

DLP-policyprocessen

Härnäst följer de steg som du följer när du skapar en DLP-policy:

1. Tilldela policyn ett namn.
2. Klassificera anslutningsprogram.
3. Definiera omfånget för policyn. Detta steg gäller inte för policyer på miljönivå.
4. Välj miljöer.
5. Inställningar för förhandsversion.

Dessa tas upp i nästa avsnitt.

Genomgång: Skapa en DLP-policy

I det här exemplet ska vi skapa en DLP-policy på klientorganisationsnivå. Vi ska lägga till SharePoint och Salesforce i datagruppen Verksamhet tillhörande en DLP-policy. Vi kommer också att lägga till Facebook och Twitter i datagruppen Spärrade. De återstående anslutningsprogrammen lämnas kvar i datagruppen Icke-verksamhet. Vi kommer sedan att utesluta testmiljöer från den här policyns omfattning och tillämpa policyn på återstående miljöer, till exempel standard- och produktionsmiljöer i klientorganisationen.

När den här policyn har sparats kan varje Power Apps -eller Power Automate-utvecklare som ingår i DLP-policyns miljö skapa en app eller ett flöde som delar data mellan SharePoint och Salesforce. Alla Power Apps- eller Power Automate-resurser som innehåller en befintlig anslutning med ett anslutningsprogram i en Icke-verksamhets-datagrupp får inte upprätta anslutningar med anslutningsprogram för SharePoint eller Salesforce, och vice versa. Dessa utvecklare kan heller inte lägga till Facebook- eller Twitter-anslutningsprogram i någon Power Apps- eller Power Automate-resurs.

1. I administrationscentret för Power Platform väljer du Datapolicyer > Ny policy.

   

   Om det inte finns några policyer i klientorganisationen visas följande sida.

   

2. Ange ett policynamn och välj sedan Nästa.

3. Granska de olika attribut och inställningar du kan göra på sidan Tilldela anslutningsprogram.

   

   Attribut
   
   

   Attribut	Beskrivning
   Namn	Namnet på anslutningsprogrammet.
   Kan blockeras	Anslutningsprogram som kan spärras. En lista över kopplingar som inte kan spärras finns i Lista över anslutningsprogram som inte kan spärras.
   Type	Huruvida användningen av anslutningsprogrammet kräver en Premium-licens eller om den ingår i bas-/standardlicensen för Microsoft Power Platform.
   Utgivare	Företaget som publicerar anslutningsprogrammet. Värdet kan skilja sig åt från tjänstens ägare. Microsoft kan till exempel vara utgivaren av Salesforce-anslutningsprogrammet, men den underliggande tjänsten ägs av Salesforce, inte Microsoft.
   Om	Markera URL-adressen om du vill ha mer information om anslutningsprogrammet.

   Listor
   
   

   Fästpunkt	Beskrivning
   Verksamhet (n)	Anslutningsprogram för verksamhetskänsliga data. Anslutningsprogram i den här gruppen kan inte dela data med anslutningsprogram i andra grupper.
   Icke-verksamhet/ Standard (n)	Anslutningsprogram för icke-verksamhetsdata, till exempel personliga användningsdata. Anslutningsprogram i den här gruppen kan inte dela data med anslutningsprogram i andra grupper.
   Spärrade (n)	Blockerade anslutningsprogram kan inte användas där den här policyn tillämpas.

   Åtgärder
   
   

   Åtgärd	Beskrivning
   Ange standardgrupp	Gruppen som mappar eventuella nya anslutningsprogram som läggs till av Microsoft Power Platform efter det att DLP-policyn har skapats. Mer information: Förvald datagrupp för nya anslutningar
   Sök efter anslutningsprogram	Sök efter en lång lista med anslutningsprogram för att hitta specifika anslutningsprogram att klassificera. Du kan söka i valfritt fält i vyn över anslutningslistor, t.ex Namn, Spärrbar, Typ eller Utgivare.

   Du kan vidta följande åtgärder:

   

   		Beskrivning
   1		Tilldela en eller flera anslutningsprogram över klassificeringsgrupper för anslutningsprogram
   2		Fästpunkttabeller för klassificeringsgrupper för anslutningsprogram
   3		Sökfält för att hitta anslutningsprogram över egenskaper som exempelvis Namn, Spärrbar, Typ eller Utgivare
   4		Klassificeringsgrupp för anslutningsprogram som mappar eventuella nya anslutningsprogram som läggs till av Microsoft Power Platform efter det att DLP-policyn har skapats.
   5		Markera, markera flera stycken eller massmarkera anslutningsprogram som du vill förflytta mellan olika grupper
   6		Alfabetisk sorteringsfunktion i enskilda kolumner
   7		Åtgärdsknappar för att tilldela enskilda anslutningsprogram över klassificeringsgrupper för anslutningsprogram

4. Välj ett eller flera anslutningsprogram. I den här genomgången väljer du anslutningsprogram för SalesForce och SharePoint innan du väljer Flytta till verksamhet från den översta menyraden. Du kan också använda ellipsen () till höger om anslutarnamnet.

   

   Kopplingar kan endast finnas i en datagrupp åt gången. Genom att flytta SharePoint- och Salesforce-anslutningsprogrammen till datagruppen Verksamhet hindrar du användare från att skapa flöden och appar som kombinerar dessa båda anslutningsprogram med något av anslutningsprogrammen i grupperna Icke-verksamhet och Spärrad.

   För anslutningsprogram som inte kan spärras, exempelvis SharePoint, kommer åtgärden Spärra att tonas ut i grått, och en varning visas.

5. Granska och ändra standardgruppinställningen för nya anslutningsprogram, om så behövs. Vi rekommenderar att du behåller standardinställningen som Icke-verksamhet för att mappa alla nya anslutningsprogram som läggs till i Microsoft Power Platform som standard. Icke-verksamhet s-kopplingar kan tilldelas manuellt till Verksamhet eller Spärrade senare genom att du redigerar DLP-policyn efter det att du haft chans att granska och tilldela dem. Om den nya inställningen för anslutningsprogram är Spärrade mappas alla nya anslutningar som kan spärras till Spärrade, precis som förväntat. Alla nya anslutningsprogram som är blockerade mappas emellertid till Icke-verksamhet eftersom de är utformade så att de inte kan spärras.

   Välj Ange standardgrupp i det övre högre hörnet.

   

   När du har slutfört alla tilldelningar för anslutningsprogram i grupperna Verksamhet/Icke-verksamhet/Spärrade och angett standardgruppen för nya anslutningsprogram väljer du Nästa.

6. Välj omfånget för DLP- policyn. Det här steget är inte tillgängligt för policyer på miljönivå, detta eftersom de alltid är avsedda för en enda miljö.

   

   I samband med den här genomgången kommer du att utesluta testmiljöer från denna policy. Markera Uteslut vissa miljöer och på sidan Lägg till miljöer väljer du Nästa.

7. Granska de olika attributen och inställningarna på sidan Lägg till miljöer. För policyer på klientorganisationsnivå visar den här listan alla miljöer i klientorganisationen för administratören på klientorganisationsnivå. För policyer på miljönivå visar den här listan endast delmängden av miljöer i klientorganisationen som hanteras av användaren som har loggat in som miljöadministratör eller som systemadministratör för miljöer med Dataverse databas.

   

   Attribut
   
   

   Attribut	Beskrivning
   Namn	Namnet på miljön.
   Type	Mljötyp: utvärdering, produktion, sandbox-miljö, standard
   Region	Den region som är associerad med miljön.
   Skapat	Den användare som skapade miljön.
   Skapades den	Det datum då miljön skapades.

   Listor
   
   

   Fästpunkt	Beskrivning
   Tillgänglig (n)	Miljöer som inte uttryckligen ingår i eller exkluderas av policyomfattningen. För policy på miljö- och klientorganisationsnivå med ett omfång definierat som Lägg till flera miljöer utgör denna lista en delmängd av miljöer som inte omfattas av policyomfånget. För policyer på klientorganisationsnivå med ett omfång definierat som Exkluderade miljöer representerar denna fästpunkt den miljöuppsättning som medföljer policyomfattningen.
   Tillagt i policyn (n)	För policyer på miljö- och klientorganisationsnivå med ett omfång definierat som Lägg till flera miljöer utgör denna fästpunkt en delmängd av miljöer som omfattas av policyomfånget. För policyer på klientorganisationsnivå med ett omfång definierat som Exkludera vissa miljöer representerar denna fästpunkt den miljödelmängd som är exkluderad från policyomfattningen.

   Åtgärder
   
   

   Åtgärd	Beskrivning
   Lägg till i policy	Miljöer i kategorin Tillgänglig kan flyttas till kategorin Tillagd i policy med hjälp av den här åtgärden.
   Ta bort från policy	Miljöer i kategorin Tillagd i policy kan flyttas till kategorin Tillgänglig med hjälp av den här åtgärden.

8. Välj en eller flera miljöer. Du kan använda sökfältet för att snabbt hitta den miljö som intressera dig. I den här genomgången söker vi efter testmiljöer – av typen sandbox-miljö. När vi har valt sandbox-miljöerna kan vi tilldela dem till policyomfattningen genom att använda Lägg till i policy från den översta menyraden.

   

   Eftersom policyomfattningen först valdes som Exkludera vissa miljöer kommer dessa testmiljöerna nu att exkluderas från policyomfattningen, och DLP-policyns inställningar tillämpas på alla återstående (tillgängliga) miljöer. Om du vill använda policyer på miljönivå kan du bara välja en enda miljö från listan med tillgängliga miljöer.

   När du har gjort val för miljöer väljer du Nästa.

9. Granska policyinställningarna och välj sedan Skapa policy.

   

Policyn skapas och visas i listan med DLP-policyer. Som ett resultat av den här policyn kan SharePoint- och Salesforce-appar dela data i miljöer som inte är testmiljöer—, t. ex produktionsmiljöer—eftersom de båda ingår i samma Verksamhets-datagrupp. Alla anslutningsprogram som finns i datagruppen Icke-verksamhet—, till exempel Outlook.com,—kommer emellertid då inte att dela data med appar och flöden med hjälp av SharePoint- eller Salesforce-anslutningsprogram. Facebook- och Twitter-anslutningsprogram är helt blockerade från att användas i alla appar eller flöden i miljöer som inte är testmiljöer, t. ex produktions- eller standardmiljöer.

En bra rutin för administratörer är att dela en lista med DLP-policyer med organisationen, så att användarna är medvetna om policyerna innan de börjar skapa appar.

I den här tabellen beskrivs hur DLP-policyn du skapat påverkar dataanslutningar i appar och flöden.

Eftersom ingen DLP-policy har tillämpats på testmiljöer kan appar och flöden använda alla uppsättningar med anslutningsprogram tillsammans i de här miljöerna.

Använda DLP PowerShell-kommandon

Se Policykommandon för dataförlustskydd (DLP).

Se även

Policyer för dataförlustskydd
Hantera policyer för att förhindra dataförlust (DLP)
Kommandon för DLP-policy (dataförlustskydd)
Power Platform dataförlustskydd (DLP) SDK