สร้างนโยบายการป้องกันการสูญหายของข้อมูล (DLP)

เพื่อปกป้องข้อมูลในองค์กรของคุณ คุณสามารถใช้ Power Apps สร้างและบังคับใช้นโยบาย ที่กำหนดว่าสามารถแชร์ข้อมูลทางธุรกิจเฉพาะกับตัวเชื่อมต่อผู้บริโภคใดได้บ้าง นโยบายเหล่านี้เรียกว่านโยบาย การป้องกันการสูญหายของข้อมูล (DLP) นโยบาย DLP ช่วยให้มั่นใจได้ว่าข้อมูลได้รับการจัดการอย่างสม่ำเสมอทั่วทั้งองค์กรของคุณ และป้องกันไม่ให้ข้อมูลทางธุรกิจที่สำคัญถูกเผยแพร่โดยไม่ตั้งใจไปยังตัวเชื่อมต่อ เช่น ไซต์โซเชียลมีเดีย

นโยบาย DLP สามารถสร้างในระดับผู้เช่า หรือระดับสภาพแวดล้อม และจัดการจากศูนย์จัดการ Power Platform

ข้อกำหนดเบื้องต้น

ระดับผู้เช่า

นโยบายระดับผู้เช่าสามารถกำหนดให้รวมหรือไม่รวมสภาพแวดล้อมที่เฉพาะเจาะจง เมื่อต้องการทำตามขั้นตอนที่อธิบายไว้ในบทความนี้ สำหรับนโยบายระดับผู้เช่า จำเป็นต้องมี หนึ่ง การอนุญาตต่อไปนี้:

• สิทธิ์ของผู้ดูแลระบบ Microsoft Power Platform
• สิทธิ์ระดับผู้ดูแลระบบ Microsoft 365 ส่วนกลาง

เราอ้างถึงบทบาทเหล่านี้ใบบทความนี้ว่า ผู้ดูแลระบบผู้เช่า ข้อมูลเพิ่มเติม ใช้บทบาทผู้ดูแลระบบบริการเพื่อจัดการผู้เช่าของคุณ

ระดับสภาพแวดล้อม

ในการทำตามขั้นตอนสำหรับนโยบายระดับสภาพแวดล้อม คุณต้องมีสิทธิ์ผู้ดูแลระบบสภาพแวดล้อม Power Apps สำหรับสภาพแวดล้อมที่มีฐานข้อมูล Dataverse คุณต้องได้รับการกำหนดทบาทผู้ดูแลระบบแทน

ค้นหาและดูนโยบาย DLP

ในการค้นหาและดูนโยบาย DLP โปรดดู ค้นหาและดูนโยบาย DLP.

กระบวนการนโยบาย DLP

ต่อไปนี้ เป็นขั้นตอนที่คุณทำตามเพื่อสร้างนโยบาย DLP:

1. ระบุชื่อนโยบาย
2. จัดประเภทตัวเชื่อมต่อ
3. กำหนดขอบเขตของนโยบาย ขั้นตอนนี้ใช้ไม่ได้กับนโยบายระดับสภาพแวดล้อม
4. เลือก สภาพแวดล้อม
5. ตรวจสอบการตั้งค่า

สิ่งเหล่านี้จะพูดถึงในหัวข้อถัดไป

การฝึกปฏิบัติ: สร้างนโยบาย DLP

ในตัวอย่างนี้เราจะสร้างนโยบาย DLP ระดับผู้เช่า เราจะเพิ่ม SharePoint และ Salesforce ให้กับกลุ่มข้อมูล ธุรกิจ ของนโยบาย DLP เราจะเพิ่ม Facebook และ Twitter ไปยังกลุ่มข้อมูลที่ถูก บล็อก ด้วย เราจะปล่อยให้ตัวเชื่อมต่อที่เหลืออยู่ในกลุ่มข้อมูลที่ ไม่ใช่ธุรกิจ จากนั้นเราจะยกเว้นสภาพแวดล้อมการทดสอบจากขอบเขตของนโยบายนี้ และนำนโยบายไปใช้กับสภาพแวดล้อมที่เหลืออยู่ เช่นสภาพแวดล้อมเริ่มต้นและสภาพแวดล้อมการผลิตในผู้เช่า

หลังจากบันทึกนโยบายนี้แล้วผู้สร้าง Power Apps หรือ Power Automate ใด ๆ ที่เป็นส่วนหนึ่งของสภาพแวดล้อมของนโยบาย DLP สามารถสร้างแอปหรือโฟลว์ที่แชร์ข้อมูลระหว่าง SharePoint หรือ Salesforce ได้ ทรัพยากร Power Apps หรือ Power Automate ใด ๆ ที่มีการเชื่อมต่อที่มีอยู่กับตัวเชื่อมต่อในกลุ่มข้อมูล ไม่ใช่ธุรกิจ จะไม่ได้รับอนุญาตให้สร้างการเชื่อมต่อด้วย SharePoint หรือตัวเชื่อมต่อ Salesforce และในทางกลับกันด้วย นอกจากนี้ผู้สร้างเหล่านี้จะไม่สามารถเพิ่มตัวเชื่อมต่อ Facebook หรือ Twitter ไปยังทรัพยากร Power Apps หรือ Power Automate ใด ๆ ได้

1. ในศูนย์การจัดการ Power Platform เลือก นโยบายข้อมูล > นโยบายใหม่

   

   หากไม่มีนโยบายในผู้เช่า คุณจะเห็นหน้าต่อไปนี้

   

2. ป้อนชื่อนโยบาย และจากนั้นเลือก ต่อไป

3. ตรวจสอบคุณลักษณะและการตั้งค่าต่าง ๆ ที่คุณสามารถทำได้ในหน้า กำหนดตัวเชื่อมต่อ

   

   แอตทริบิวต์
   
   

   แอตทริบิวต์	รายละเอียด
   ชื่อ	ชื่อของตัวเชื่อมต่อ
   สามารถบล็อกได้	ตัวเชื่อมต่อที่สามารถบล็อกได้ สำหรับรายการตัวเชื่อมต่อที่ไม่สามารถบล็อกได้ให้ดู รายการตัวเชื่อมต่อที่ไม่สามารถบล็อกได้
   ชนิด	การใช้งานตัวเชื่อมต่อต้องใช้สิทธิ์ใช้งานแบบพรีเมียมหรือไม่ หรือรวมอยู่ในสิทธิ์การใช้งานพื้นฐาน/มาตรฐาน Microsoft Power Platform
   ผู้เผยแพร่	บริษัทที่เผยแพร่ตัวเชื่อมต่อ ค่านี้อาจแตกต่างกันตามเจ้าของบริการ ตัวอย่างเช่น Microsoft สามารถเป็นผู้เผยแพร่ของตัวเชื่อมต่อ Salesforce แต่บริการพื้นฐานนั้นเป็นของ Salesforce ไม่ใช่ Microsoft
   เกี่ยวกับ	เลือก URL สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเชื่อมต่อ

   รายการ
   
   

   Pivot	คำอธิบาย
   ธุรกิจ (n)	ตัวเชื่อมต่อสำหรับข้อมูลที่อ่อนไหวทางธุรกิจ ตัวเชื่อมต่อในกลุ่มนี้ไม่สามารถแบ่งปันข้อมูลกับตัวเชื่อมต่อในกลุ่มอื่นได้
   ที่ไม่ใช่ทางธุรกิจ/ ค่าเริ่มต้น: (n)	ตัวเชื่อมต่อสำหรับข้อมูลที่ไม่ใช่ธุรกิจ เช่น ข้อมูลการใช้งานส่วนตัว ตัวเชื่อมต่อในกลุ่มนี้ไม่สามารถแบ่งปันข้อมูลกับตัวเชื่อมต่อในกลุ่มอื่นได้
   ถูกบล็อก (n)	ไม่สามารถใช้ตัวเชื่อมต่อที่ถูกบล็อก เมื่อมีการนำนโยบายนี้ไปใช้

   การดำเนินการ
   
   

   การดำเนินการ	คำอธิบาย
   ตั้งค่ากลุ่มเริ่มต้น	กลุ่มที่แมปตัวเชื่อมต่อใหม่ใด ๆ ที่เพิ่มโดย Microsoft Power Platform หลังจาก นโยบาย DLP ของคุณถูกสร้างขึ้น ข้อมูลเพิ่มเติม: กลุ่มข้อมูลเริ่มต้นสำหรับตัวเชื่อมต่อใหม่
   ค้นหาตัวเชื่อมต่อ	ค้นหารายการตัวเชื่อมต่อ เพื่อค้นหาตัวเชื่อมต่อเฉพาะเพื่อจัดประเภท คุณสามารถค้นหาในฟิลด์ใดก็ได้ในมุมมองรายการตัวเชื่อมต่อ เช่น ชื่อ สามารถบล็อกได้ ชนิด หรือ ผู้เผยแพร่

   คุณสามารถทำการดำเนินการต่อไปนี้ได้:

   

   		รายละเอียด
   1		กำหนดหนึ่งหรือมากกว่าหนึ่งตัวเชื่อมต่อ ข้ามกลุ่มการจัดประเภทของตัวเชื่อมต่อ
   2		การจำแนกประเภทตัวเชื่อมต่อ ตารางควบคุมการแสดงผลอย่างสั้น
   3		แถบค้นหาเพื่อค้นหาตัวเชื่อมต่อข้ามคุณสมบัติเช่น ชื่อ บล็อกได้ ชนิด หรือ สำนักพิมพ์
   4		กลุ่มการจำแนกประเภทตัวเชื่อมต่อที่แมปตัวเชื่อมต่อใหม่ใด ๆ ที่เพิ่มโดย Microsoft Power Platform หลังจาก นโยบาย DLP ของคุณถูกสร้างขึ้น
   5		เลือก เลือกแบบหลายครั้ง หรือเลือกแบบกลุ่มเพื่อย้ายข้ามกลุ่ม
   6		ความสามารถในการจัดเรียงตามตัวอักษรในแต่ละคอลัมน์
   7		ปุ่มคำสั่งเพื่อกำหนดตัวเชื่อมต่อข้ามกลุ่มการจัดประเภทของตัวเชื่อมต่อ

4. เลือกตัวเชื่อมต่ออย่างน้อยหนึ่งรายการ สำหรับขั้นตอนนี้ให้เลือกตัวเชื่อมต่อ SalesForce และ SharePoint แล้วเลือก ย้ายไปยังธุรกิจ จากแถบเมนูด้านบน คุณยังสามารถใช้จุดไข่ปลา () ทางด้านขวาของชื่อตัวเชื่อมต่อ

   

   ตัวเชื่อมต่อสามารถอยู่ในกลุ่มข้อมูลได้ครั้งละหนึ่งกลุ่มเท่านั้น ในการย้ายตัวเชื่อมต่อ SharePoint และ Salesforce ไปยังกลุ่ม ธุรกิจ คุณกำลังป้องกันไม่ให้ผู้ใช้สร้างโฟลว์และแอป ที่รวมตัวเชื่อมต่อสองตัวนี้ด้วยตัวเชื่อมต่อในกลุ่ม ไม่ใช่ธุรกิจ หรือ ถูกบล็อก

   สำหรับการเชื่อมต่อเช่น SharePoint ที่ไม่สามารถบล็อกได้การ บล็อก จะเป็นสีเทาและจะมีคำเตือนปรากฏขึ้น

5. ตรวจสอบและเปลี่ยนการตั้งค่ากลุ่มเริ่มต้นสำหรับตัวเชื่อมต่อใหม่หากคุณต้องการ เราขอแนะนำให้คงการตั้งค่าเริ่มต้นไว้เป็น ที่ไม่ใช่ธุรกิจ เพื่อแมปตัวเชื่อมต่อใหม่ใด ๆ ที่เพิ่มเข้าไปยัง Microsoft Power Platform เป็นค่าเริ่มต้น ตัวเชื่อมต่อ ที่ไม่ใช่ธุรกิจ สามารถกำหนดได้ด้วยตนเองเป็น ธุรกิจ หรือ ถูกบล็อก ในภายหลังโดยการแก้ไขนโยบาย DLP หลังจากคุณมีโอกาสตรวจสอบและกำหนดแล้ว หากการตั้งค่าตัวเชื่อมต่อใหม่นั้น ถูกบล็อก ตัวเชื่อมต่อใหม่ใด ๆ ที่สามารถบล็อกได้จะถูกแมปเป็น ถูกบล็อก อย่างที่คาดไว้ อย่างไรก็ตามตัวเชื่อมต่อใหม่ที่ไม่สามารถบล็อกได้จะถูกแมปเป็น ที่ไม่ใช่ธุรกิจ เพราะจากการออกแบบแล้วจะไม่สามารถบล็อกได้

   ที่มุมขวาบนให้เลือก ตั้งค่ากลุ่มเริ่มต้น

   

   หลังจากที่คุณได้มอบหมายการเชื่อมต่อทั้งหมดให้เสร็จสิ้นกลุ่ม ธุรกิจ/ที่ไม่ใช่ธุรกิจ/ถูกบล็อก และตั้งกลุ่มเริ่มต้นสำหรับตัวเชื่อมต่อใหม่ เลือก ต่อไป

6. เลือกขอบเขตของนโยบาย DLP ขั้นตอนนี้ไม่สามารถใช้ได้สำหรับนโยบายระดับสภาพแวดล้อม เพราะมีไว้สำหรับสภาพแวดล้อมเดียวเสมอ

   

   สำหรับวัตถุประสงค์ของคำแนะนำนี้ คุณจะยกเว้นสภาพแวดล้อมการทดสอบจากนโยบายนี้ เลือก ยกเว้นบางสภาพแวดล้อม และบนหน้า เพิ่มสภาพแวดล้อม ให้เลือก ต่อไป

7. ตรวจสอบคุณลักษณะและการตั้งค่าต่าง ๆ บนหน้า เพิ่มสภาพแวดล้อม สำหรับนโยบายระดับผู้เช่า รายการนี้จะแสดงทุกสภาพแวดล้อมในผู้เช่าให้ผู้ดูแลระบบระดับผู้เช่า สำหรับนโยบายระดับสภาพแวดล้อม รายการนี้จะแสดงเฉพาะชุดย่อยของสภาพแวดล้อมในผู้เช่าที่จัดการโดยผู้ใช้ที่ลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบสภาพแวดล้อมหรือในฐานะผู้ดูแลระบบสำหรับสภาพแวดล้อมที่มีฐานข้อมูล Dataverse

   

   แอตทริบิวต์
   
   

   แอตทริบิวต์	รายละเอียด
   ชื่อ	ชื่อของสภาพแวดล้อม
   ชนิด	ประเภทของสภาพแวดล้อม: ทดลองใช้ การผลิต Sandbox ค่าเริ่มต้น
   ภูมิภาค	ภูมิภาคที่เกี่ยวข้องกับสภาพแวดล้อม
   สร้างโดย	ผู้ใช้ที่สร้างสภาพแวดล้อม
   สร้าง (เมื่อ)	วันที่ ที่ภาพแวดล้อมถูกสร้าง

   รายการ
   
   

   Pivot	คำอธิบาย
   พร้อมใช้งาน (n)	สภาพแวดล้อมที่ไม่ได้รวมหรือแยกออกอย่างชัดเจนในขอบเขตนโยบาย สำหรับนโยบายระดับสภาพแวดล้อมและนโยบายระดับผู้เช่าที่กำหนดขอบเขตเป็น เพิ่มหลายสภาพแวดล้อม รายการนี้แสดงชุดย่อยของสภาพแวดล้อมที่ไม่รวมอยู่ในขอบเขตนโยบาย สำหรับนโยบายระดับผู้เช่าที่กำหนดขอบเขตเป็น ไม่รวมถึงบางสภาพแวดล้อม Pivot นี้แสดงชุดของสภาพแวดล้อมที่รวมอยู่ในขอบเขตนโยบาย
   เพิ่มไปยังนโยบาย (n)	สำหรับนโยบายระดับสภาพแวดล้อมและนโยบายระดับผู้เช่าที่กำหนดขอบเขตเป็น เพิ่มหลายสภาพแวดล้อม Pivot นี้แสดงชุดย่อยของสภาพแวดล้อมที่อยู่ในขอบเขตนโยบาย สำหรับนโยบายระดับผู้เช่าที่กำหนดขอบเขตเป็น ไม่รวมถึงบางสภาพแวดล้อม Pivot นี้แสดงชุดย่อยของสภาพแวดล้อมที่ไม่รวมอยู่ในขอบเขตนโยบาย

   การดำเนินการ
   
   

   การดำเนินการ	คำอธิบาย
   เพิ่มไปยังนโยบาย	สภาพแวดล้อมในหมวดหมู่ พร้อมใช้งาน สามารถย้ายหมวดหมู่ไปยังหมวดหมู่ เพิ่มไปยังนโยบาย โดยใช้การกระทำนี้
   นำออกจากนโยบาย	สภาพแวดล้อมในหมวดหมู่ เพิ่มไปยังนโยบายแล้ว สามารถย้ายหมวดหมู่ไปยังหมวดหมู่ พร้อมใช้งาน โดยใช้การกระทำนี้

8. เลือกสภาพแวดล้อมอย่างน้อยหนึ่งรายการ คุณสามารถใช้แถบค้นหาในเพื่อค้นหาสภาพแวดล้อมที่สนใจ สำหรับการฝึกปฏิบัตินี้ เราจะค้นหาสภาพแวดล้อมการทดสอบ - พิมพ์ sandbox หลังจากที่เราเลือกสภาพแวดล้อม sandbox เรากำหนดให้กับขอบเขตนโยบายโดยใช้ เพิ่มไปยังนโยบาย จากแถบเมนูด้านบน

   

   เนื่องจากขอบเขตนโยบายถูกเลือกในครั้งแรกเป็น ยกเว้นบางสภาพแวดล้อม สภาพแวดล้อมการทดสอบเหล่านี้จะถูกแยกออกจากขอบเขตนโยบาย และการตั้งค่านโยบาย DLP จะถูกนำไปใช้กับสภาพแวดล้อ, (พร้อมใช้งาน) ส่วนที่เหลือทั้งหมด สำหรับนโยบายระดับสภาพแวดล้อม คุณสามารถเลือกได้สภาพแวดล้อมเดียวจากรายการของสภาพแวดล้อมที่มีอยู่

   หลังจากทำการเลือกสำหรับสภาพแวดล้อมให้เลือก ต่อไป

9. ตรวจสอบการตั้งค่านโยบายแล้วเลือก สร้างนโยบาย

   

นโยบายถูกสร้างและปรากฏในรายการนโยบาย DLP อันเป็นผลมาจากนโยบายนี้ SharePoint และแอป Salesforce สามารถแบ่งปันข้อมูลในสภาพแวดล้อมที่ไม่ใช่การทดสอบ—เช่น สภาพแวดล้อมการผลิต—เพราะทั้งคู่อยู่ในกลุ่มข้อมูล ธุรกิจ ส่วนเดียวกัน อย่างไรก็ตามตัวเชื่อมต่อใด ๆ ที่อยู่ในกลุ่มข้อมูล ที่ไม่ใช่ธุรกิจ —เช่น Outlook.com—จะไม่แชร์ข้อมูลกับแอปและโฟลว์โดยใช้ SharePoint หรือตัวเชื่อมต่อ Salesforce ตัวเชื่อมต่อ Facebook และ Twitter ถูกบล็อกจากการใช้งานในแอปพลิเคชั่นหรือโฟลว์ในสภาพแวดล้อมที่ไม่ใช่การทดสอบ เช่นการผลิตหรือสภาพแวดล้อมเริ่มต้น

เป็นแนวทางปฏิบัติที่ดีสำหรับผู้ดูแลระบบที่จะแชร์รายการนโยบาย DLP กับองค์กรของพวกเขา เพื่อให้ผู้ใช้ตระหนักถึงนโยบายก่อนที่จะสร้างแอป

ตารางนี้อธิบายว่านโยบาย DLP ที่คุณสร้าง มีผลต่อการเชื่อมต่อข้อมูลในแอปและโฟลว์อย่างไร

เนื่องจากไม่มีการใช้นโยบาย DLP ในสภาพแวดล้อมการทดสอบ แอป และโฟลว์จึงสามารถใช้ชุดตัวเชื่อมต่อใด ๆ ร่วมกันในสภาพแวดล้อมเหล่านี้

ใช้คำสั่ง DLP PowerShell

ดู คำสั่งนโยบายการป้องกันการสูญหายของข้อมูล (DLP)

ดูเพิ่มเติม

นโยบายการป้องกันการสูญหายของข้อมูล
จัดการนโยบายการป้องกันการสูญหายของข้อมูล (DLP)
คำสั่งนโยบายการป้องกันการสูญหายของข้อมูล (DLP)
SDK การป้องกันการสูญหายของข้อมูล Power Platform (DLP)