创建数据丢失防护 (DLP) 策略

  • 项目

要保护组织中的数据,您可以使用 Power Apps 创建和强制策略,该策略定义可以共享特定业务数据的客户连接器。 这些策略称为数据丢失防护 (DLP) 策略。 DLP 策略可确保在整个组织中以统一的方式管理数据,并且可防止重要的业务数据意外发布到社交媒体网站等连接器。

DLP 策略可以在租户级别或环境级别创建,通过 Power Platform 管理中心管理。

先决条件

租户级别

租户级别策略可以定义为包含或排除特定环境。 要按照本文中介绍的租户级别策略的步骤操作,需要以下权限之一

  • Microsoft Power Platform 管理员权限
  • Microsoft 365 全局管理员权限

在本文全文中,我们将这些角色称为租户管理员。 详细信息:使用服务管理员角色来管理您的租户

环境级别

若要按照环境级别策略的步骤进行操作,您需要具有 Power Apps 环境管理员权限。 对于具有 Dataverse 数据库的环境,您需要被分配系统管理员角色。

备注

如果在使用 PowerShell 创建 DLP 策略时使用 SingleEnvironment EnvironmentType 参数,用于创建策略的用户帐户必须具有环境级别权限,不能租户级别权限,如上所述,否则将返回“错误请求”错误,不会创建策略。

查找并查看 DLP 策略

若要查找和查看 DLP 策略,请参阅查找和查看 DLP 策略

DLP 策略流程

以下是创建 DLP 策略时要遵循的步骤:

  1. 为策略分配名称。
  2. 将连接器分类。
  3. 定义策略的范围。 此步骤不适用于环境级别的策略。
  4. 选择环境。
  5. 查看设置。

这些将在下一节中介绍。

演练:创建 DLP 策略

在此示例演练中,我们将创建一个租户级 DLP 策略。 我们将 SharePoint 和 Salesforce 添加到 DLP 策略的业务数据组中。 我们还会将 Facebook 和 Twitter 添加到已阻止数据组中。 我们将其余连接器保留在非业务数据组中。 然后,我们将从此策略的范围中排除测试环境,将策略应用于其余环境,如租户中的默认环境和生产环境。

保存此策略后,属于 DLP 策略环境的任何 Power Apps 或 Power Automate 开发者都可以创建在 SharePoint 或 Salesforce 之间共享数据的应用或流。 对于包含在非业务数据组中有连接器的现有连接的任何 Power Apps 或 Power Automate 资源,不允许其建立与 SharePoint 或 Salesforce 连接器的连接,反之亦然。 此外,这些开发者将无法将 Facebook 或 Twitter 连接器添加到任何 Power Apps 或 Power Automate 资源。

  1. 在 Power Platform 管理中心,选择策略>数据策略>新建策略

    如果租户中不存在任何策略,您将看到以下页面。

    无策略视图。

  2. 输入策略名称,然后选择下一步

  3. 查看您可以在分配连接器页面开发的各个属性和设置。

    分配连接器。

    属性

    属性 说明
    客户 连接器的名称。
    可阻止 可以阻止的连接器。 要获取无法阻止的连接器的列表,请参阅无法阻止的连接器列表
    Type 使用连接器是需要高级许可证,还是在 Microsoft Power Platform 的基本/标准许可证中包括。
    发布程序 发布连接器的公司。 此值可能不同于服务所有者。 例如,Microsoft 可能是 Salesforce 连接器的发布商,但是基础服务归 Salesforce 而非 Microsoft 所有。
    关于 选择此 URL 可以获取有关连接器的详细信息。

    列表

    数据透视 描述
    业务 (n) 用于业务敏感数据的连接器。 此组中的连接器无法与其他组中的连接器共享数据。
    非业务/
    默认 (n)    		 用于非业务数据(如个人使用数据)的连接器。 此组中的连接器无法与其他组中的连接器共享数据。
    已阻止 (n) 无法在应用此策略的位置使用已阻止的连接器。

    操作

    操作​​ 描述
    设置默认组 DLP 策略创建,映射由 Microsoft Power Platform 添加的所有新连接器的组。 详细信息:新连接器的默认数据组
    搜索连接器 搜索一长串连接器来查找要分类的特定连接器。 您可以在连接器列表视图中的任何字段上进行搜索,如名称可阻止类型发布者

    您可以执行以下操作:

    分配连接器操作。

    说明
    1 在连接器分类组中分配一个或多个连接器
    2 连接器分类组数据透视表
    3 跨属性(如名称可阻止类型发布商)查找连接器的搜索栏
    4 DLP 策略创建,映射由 Microsoft Power Platform 添加的所有新连接器的连接器分类组。
    5 选择、多选或批量选择要在组之间移动的连接器
    6 跨各个列按字母顺序排序的功能
    7 夸连接器分类组分配各个连接器的操作按钮

  4. 选择一个或多个连接器。 对于本演练,选择 SalesForce 和 SharePoint 连接器,然后从顶部菜单栏中选择移到业务。 您也可以使用连接器名称右侧的省略号 (省略号。)。

    分配多个连接器。

    连接器将出现在业务数据组中。

    业务数据组。

    连接器一次只能位于一个数据组中。 通过将 SharePoint 和 Salesforce 连接器移至业务数据组,将阻止用户创建将这两个连接器与非业务已阻止组中的任何连接器合并在一起的流和应用。

    对于不可阻止的连接器(如 SharePoint),阻止操作将灰显,并显示警告。

  5. 如果需要,查看并更改新连接器的默认组设置。 我们建议保留默认设置非业务,以映射默认添加到 Microsoft Power Platform 的所有新连接器。 在有机会查看和分配之后,以后可以通过编辑 DLP 策略将非业务连接器手动分配到业务已阻止。 如果新连接器设置为已阻止,任何可以阻止的新连接器都将按预期映射到已阻止。 但是,任何不能阻止的新连接器都将映射到非业务,因为按照设计,它们无法被阻止。

    在右上角,选择设置默认组

    设置默认组。

    完成业务/非业务/已阻止组中的所有连接器分配并为新连接器设置默认组后,选择下一步

  6. 选择 DLP 策略的范围。 此步骤不可用于环境级别策略,因为它们始终只用于单个环境。

    定义范围。

    出于本演练的目的,您将从此策略中排除测试环境。 选择排除特定环境,然后在添加环境页上,选择下一步

  7. 添加环境页上查看各个属性和设置。 对于租户级别策略,此列表将显示租户中所有环境的租户级别管理员。 对于环境级策略,此列表将仅显示租户中那些由作为具有 Dataverse 数据库的环境的环境管理员或系统管理员登录的用户管理的环境子集。

    添加环境。

    属性

    属性 说明
    客户 环境的名称。
    Type 环境的类型:试用、生产、沙盒、默认
    地区 与环境关联的区域。
    创建者 创建环境的用户。
    创建日期 创建环境的日期。

    列表

    数据透视 描述
    可用 (n) 未在策略范围内明确包含或排除的环境。 对于范围定义为添加多个环境的环境级别策略和租户级别策略,此列表表示策略范围中未包括的环境的子集。 对于范围定义为排除特定环境的租户级别策略,此数据透视表示策略范围中包括的环境集。
    已添加到策略 (n) 对于范围定义为添加多个环境的环境级别策略和租户级别策略,此数据透视表示在策略范围内的环境的子集。 对于范围定义为排除特定环境的租户级别策略,此数据透视表示从策略范围排除的环境的子集。

    操作

    操作​​ 描述
    添加到策略 可以使用此操作将可用类别中的环境移到已添加到策略类别中。
    从策略中删除 可以使用此操作将已添加到策略类别中的环境移到可用类别中。

  8. 选择一个或多个环境。 您可以使用搜索栏快速查找感兴趣的环境。 在本演练中,我们将搜索测试环境 - 键入沙盒。 选择沙盒环境后,我们通过使用顶部菜单栏中的添加到策略将其分配到策略范围。

    分配策略。

    由于最初将策略范围选择为排除特定环境,因此现在这些测试环境将被从策略范围中排除,DLP 策略设置将应用于所有其余(可用)环境。 对于环境级别策略,您只能从可用环境列表中选择一个环境。

    在选择环境后,选择下一步

  9. 查看策略设置,然后选择创建策略

    查看新策略。

策略已创建并显示在 DLP 策略列表中。 由于此策略,SharePoint 和 Salesforce 应用可以在非测试环境(如生产环境)中共享数据,因为它们都属于同一个业务数据组。 但是,位于非业务数据组中的任何连接器(如 Outlook.com)都不会使用 SharePoint 或 Salesforce 连接器与应用和流共享数据。 Facebook 和 Twitter 连接器完全被阻止,不能在非测试环境(如生产环境或默认环境)的任何应用或流中使用。

这是一种管理员与组织共享 DLP 策略列表使得用户在创建应用前注意策略的好方法。

此表介绍您所创建的 DLP 策略如何影响应用和流中的数据连接。

连接器矩阵 SharePoint(业务) Salesforce(业务) Outlook.com(非业务) Facebook(已阻止) Twitter(已阻止)
SharePoint(业务) 允许 允许 拒绝 拒绝 拒绝
Salesforce(业务) 允许 允许 拒绝 拒绝 拒绝
Outlook.com(非业务) 拒绝 拒绝 允许 拒绝 拒绝
Facebook(已阻止) 拒绝 拒绝 拒绝 拒绝 拒绝
Twitter(已阻止) 拒绝 拒绝 拒绝 拒绝 拒绝

由于未对测试环境应用 DLP 策略,因此应用和流可以在这些环境中将任意一组连接器一起。

使用 DLP PowerShell 命令

请参阅数据丢失防护 (DLP) 策略命令

另请参阅

数据丢失防护政策
管理数据丢失防护 (DLP) 策略
数据丢失防护 (DLP) 策略命令
Power Platform 数据丢失防护 (DLP) SDK