建立防止資料遺失 (DLP) 原則
為了保護貴組織內的資料,您可以使用 Power Apps 建立和強制執行各項原則,它們定義指明可共享商業資料的消費者連接器。 這些原則稱為 資料遺失防護 (DLP) 原則。 DLP 原則可確保在整個組織中能夠以統一的方式管理資料,並防止重要的業務資料意外發佈至如社交媒體網站等連接器。
DLP 原則可在用戶層級或環境層級建立,接著從 Power Platform 系統管理中心管理。
先決條件
租用戶層級
租用戶層級原則可被定義成包括或排除特定環境。 若要遵循本文所述的租用戶層級原則策步驟,下列權限之一為必要項目:
- Microsoft Power Platform 管理員權限
- Microsoft 365 全域管理員權限
我們將本文的這些角色稱為租用戶管理員。 其他資訊:使用服務管理員角色管理您的租用戶
環境層級
若要跟隨環境層級原則步驟,您必須具備 Power Apps 環境管理權限。 若是具有 Dataverse 資料庫的環境,則必須改為將系統管理員角色指派給您
Note
當使用 POWERSHELL 建立 DLP 原則時,如果使用 SingleEnvironment EnvironmentType 參數,則用來建立原則的使用者帳戶必須具備環境等級,而且不得具有上述所述的租用戶層級權限,否則無法建立原則。
尋找與觀看防止遺失資料(DLP)原則
若要尋找及檢視 DLP 原則,請參閱 尋找及檢視 DLP 原則。
DLP 原則流程
以下是建立 DLP 原則所需遵循的步驟:
- 指派原則名稱。
- 分類連接器。
- 定義原則的範圍。 此步驟不適用環境層級原則。
- 選取環境。
- 評論設定。
這些將涵蓋在下節中。
點收:建立 DLP 原則
在點收本範例中,我們將建立租用戶層級的 DLP 原則。 我們將新增 SharePoint 和 Salesforce 到 DLP 原則的 商業 資料群組。 我們也會新增 Facebook和 Twitter 到 封鎖的 資料群組。 我們將留下 非商業 資料群組的其餘連接器。 接著我們將測試環境從此原則範圍排除,並將原則套用到其餘的環境,例如租用戶中的預設和生產環境。
儲存此原則之後,任何 Power Apps 或 Power Automate 屬於 DLP 原則環境的決策者都可建立在或 SharePoint 或 Salesforce 之間共用資料的應用程式或流程。 任何 Power Apps 或 Power Automate 資源,包括與 非業務 資料群組中連接器的現有連接,都將不允許建立與 SharePoint 或 Salesforce 連接器的連接,反之亦然。 而且這些決策者將無法新增 Facebook 或 Twitter 連接器到任何 Power Apps 或 Power Automate 資源。
在 Power Platform 系統管理中心中選取 原則>資料原則>新原則。
如果租用戶中不存在任何原則,您將會看到下列頁面。
輸入原則名稱,然後選取 下一個。
請評論您可以在 指派連接器 頁面上制訂的各種屬性和設定。
屬性
屬性 描述 姓名 連接器名稱。 可封鎖 會被封鎖的連接器。 如需不會封鎖的連接器清單,請參閱 不會封鎖的連接器清單。 類型 不論連接器的使用是否需要進階授權或已包含在 Microsoft Power Platform 的基礎/標準授權中。 發行者 公佈連接器的公司。 此值會與服務擁有者不同。 例如,Microsoft 會是 Salesforce 連接器的發行商,但是基礎服務是由 Salesforce 擁有,而不是 Microsoft 擁有。 關於 選取 URL 以取得有關連接器的詳細資訊。 清單
Pivot 描述 商業 (n) 適用商業敏感性資料的連接器。 此群組中的連接器無法與其他群組中的連接器分享資料。 非商業/
預設值 (n)非商商資料的連接器,例如個人使用資料。 此群組中的連接器無法與其他群組中的連接器分享資料。 已封鎖 (n) 套用此原則的位置無法使用被封鎖的連接器。 動作
動作 描述 設定預設群組 Microsoft Power Platform 建立您的 DLP 政策後,所新增的任何新連接器對應的群組。 其他資訊:新連接器的預設資料群組 搜尋連接器 搜尋連接器長清單尋找要分類的特定連接器。 您可以搜尋連接器清單視圖中的任何欄位,例如 名稱、可封鎖的、類型或 發行商。 您可以採取下列行動:
描述 1 指派跨連接器分類群組的一個或多個連接器 2 連接器分類群組樞紐分析表 3 搜尋列可跨屬性如 名稱、可封鎖的、類型 或 發行商 尋找連接器。 4 Microsoft Power Platform 建立您的 DLP 政策 後,所新增的任何新連接器對應的連接器分類群組。 5 選取、多重選取或大量選取連接器,以便跨群組移動 6 跨各欄位的字母排序功能 7 將各連接器進行跨連接器分類群組指派的動作按鈕 選取一個或多個連接器。 在點收過程中,請選取 SalesForce 和 SharePoint連接器,然後從頂端功能表列選取 移往商業。 您也可以使用刪節號到 () 連接器名稱的右邊。
連接器將出現在 業務 資料群組中。
連接器一次只能駐留在一個資料群組中。 藉由將 SharePoint 和 Salesforce 連接器移至 商業資料群組,您可預防使用者建立流程和應用程式合併這兩個連接器與 非商業 或 被封鎖 群組中的任何連接器。
對於像並非可封鎖的 SharePoint 連接器,封鎖 動作將會變灰,而且將顯示警告。
如有需要,請評論並變更新連接器的預設群組設定。 我們建議您保留預設設定為 非商業,以對應預設會新增到 Microsoft Power Platform 的任何新連接器。 在您已機會評論與指派之後,您可以藉由編輯 DLP 政策稍候手動將 非商業 連接器指派給 商業 或 已封鎖。 如果新連接器設定被 封鎖,任何可封鎖的新連接器將會如預期對應到 已封鎖。 不過,任何不可封鎖的新連接器都會對應到 非業務,因為按設計,它們無法封鎖。
在右上角選取 設定預設群組。
在完成跨 業務/非業務/已封鎖 群組的所有連接器指派並且設定新連接器的預設群組後,請選取 下一步。
選擇 DLP 原則的範圍。 此步驟不適用環境層級原則,因為它們始終適用單一環境。
基於此點收的目的,您將從此原則中排除測試環境。 選取 排除特定環境,然後在 新增環境 頁面上選取 下一步。
請評論 新增環境 頁面上的各種屬性和設定。 對於租用戶層級原則,此清單會顯示租用戶層級管理租用戶中的所有環境。 對於環境層級的原則,此清單將僅顯示租用戶中由以環境管理員或系統管理員身份登入之使用者管理的環境子集,以使用 Dataverse 資料庫的環境。
屬性
屬性 描述 姓名 環境的名稱。 類型 環境類型:試用、生產、沙箱、預設 區域 與環境相關聯的地區。 建立者: 建立環境的使用者。 建立 (時間) 建立環境的日期。 清單
Pivot 描述 可用的 (n) 在原則範圍中未明確納入或排除的環境。 針對環境層級原則及範圍定義為 新增多個環境的租戶層級原則,此清單代表未包含在原則範圍中的環境子集。 針對範圍定義為 排除特定環境的租戶層級原則,此樞紐分析表代表包含在原則範圍內的環境集。 新增至原則 (n) 針對環境層級原則及範圍定義為 新增多個環境的租戶層級原則,此樞紐分析表代表已在原則範圍內的環境子集。 針對範圍定義為 排除特定環境的租戶層級原則,此樞紐分析表代表排除在原則範圍之外的環境子集。 動作
動作 描述 新增至原則 可用 類別中的環境可以使用此動作移至 新增至原則 類別。 從原則移除 在 新增至原則 類別中的環境可以使用此動作移至 可用 類別。 選取一個或多個環境。 您可以使用搜尋列快速尋找相關環境。 在點收過程中,我們將搜尋測試環境 - 類型沙箱。 選取沙箱環境之後,我們會使用 新增至原則 從頂端功能表列將它們指派給原則範圍。
因為原則範圍最初是選取為 排除某些環境,所以這些測試環境現在會從原則範圍中排除,而且 DLP 原則設定將會套用到所有剩餘 (可用) 的環境。 根據環境層級原則,您只能從可用環境清單中選取單一環境。
在為環境進行選取之後,請選取 下一步。
評論原則設定,然後選取 建立原則。
此原則即會建立並出現在 DLP 原則清單中。 由於這個原則,SharePoint 和 Salesforce 應用程式可在非測試環境 ( 例如生產環境) 中分享資料,因為它們都是同一個商業資料群組的一部分。 但是,位於非商業資料群組的所有連接器 (例如 Outlook.com) 將不會使用 SharePoint 或 Salesforce 連接器與應用程式和流程分享資料。 Facebook 和 Twitter 連接器一起被封鎖,無法在非測試環境如生產或預設環境中的任何應用程式或流程中使用。
讓管理員與其組織分享 DLP 原則清單是不錯的實務做法,可讓使用者在建立應用程式之前提早知道這些原則。
此表格描述您建立的 DLP 原則如何影響應用程式和流程中的資料連線。
連接器矩陣 | SharePoint (商務) | Salesforce (商務) | Outlook.com (非商務) | Facebook (已封鎖) | Twitter (已封鎖) |
---|---|---|---|---|---|
SharePoint (商務) | 允許 | 允許 | 拒絕 | 拒絕 | 拒絕 |
Salesforce (商務) | 允許 | 允許 | 拒絕 | 拒絕 | 拒絕 |
Outlook.com (非商務) | 拒絕 | 拒絕 | 允許 | 拒絕 | 拒絕 |
Facebook (已封鎖) | 拒絕 | 拒絕 | 拒絕 | 拒絕 | 拒絕 |
Twitter (已封鎖) | 拒絕 | 拒絕 | 拒絕 | 拒絕 | 拒絕 |
因為尚未將 DLP 原則套用到測試環境,所以應用程式和流程可以在這些環境中同時使用任何連接器集。
使用 DLP PowerShell 命令
請參閱
防止遺失資料原則
管理防止資料遺失 \(DLP\) 原則
資料外洩防護 (DLP) 原則命令
Power Platform 資料外洩防護 (DLP) SDK