Comparteix a través de

Establir una estratègia de DLP

  • Article

Les normes de prevenció de pèrdua de dades (DLP) actuen com a barrera de protecció per evitar que els usuaris exposin involuntàriament dades de l'organització i protegir la seguretat de la informació a l'inquilí. Les normes de DLP apliquen regles per als connectors que estan habilitats per a cada entorn i quins connectors es poden utilitzar conjuntament. Els connectors es classifiquen com a Només dades empresarials, No es permeten les dades empresarials o Bloquejats. Un connector del grup Només dades empresarials només es pot utilitzar amb altres connectors d'aquest grup a la mateixa aplicació o flux. Més informació: Administrar el Microsoft Power Platform: normes de prevenció de pèrdua de dades

L'establiment de les vostres polítiques DLP va de la mà de la vostra estratègia d'entorn.

Dades ràpides

  • Les polítiques de prevenció de pèrdua de dades (DLP) actuen com a barreres de seguretat per ajudar a evitar que els usuaris exposin dades sense voler.
  • Les normes de DLP es poden aplicar a l'àmbit de l'entorn i l'inquilí, i ofereixen flexibilitat per crear normes confidencials i que no bloquegin la productivitat alta.
  • Les polítiques DLP de l'entorn no poden substituir les polítiques DLP de tot l'inquilí.
  • Si es configuren diverses normes per a un entorn, la norma més restrictiva s'aplica a la combinació de connectors.
  • Per defecte, no s'implementen les normes de DLP a l'inquilí.
  • Les normes no es poden aplicar a l'usuari, només a l'entorn o l'inquilí.
  • Les normes de DLP són compatibles amb el connector, però no controlen les connexions que s'hagin fet amb el connector; és a dir, les normes de DLP no saben si utilitzeu el connector per connectar-vos a un entorn de desenvolupament, prova o producció.
  • El PowerShell i els connectors d'administració poden administrar les normes.
  • Els usuaris dels recursos dels entorns poden visualitzar les normes que s'apliquen.

Classificació dels connectors

Les classificacions empresarials i no empresarials dibuixen els límits en els connectors que es poden utilitzar junts en una aplicació o un flux determinat. Els connectors es poden classificar en tots els grups següents mitjançant les normes de DLP:

  • Empresa: un Power App o Power Automate un recurs determinat pot utilitzar un o més connectors d'un grup d'empreses. Si un Power App o Power Automate un recurs utilitza un connector empresarial, no pot utilitzar cap connector que no sigui empresarial.
  • No empresarial: un Power App o Power Automate un recurs determinat pot utilitzar un o més connectors d'un grup no empresarial. Si un Power App o Power Automate un recurs utilitza un connector no empresarial, no pot utilitzar cap connector empresarial.
  • Bloquejat: cap Power App orecurs pot utilitzar un connector d'un grup bloquejat Power Automate . Es poden bloquejar tots els connectors de tercers (estàndard i Premium) i Premium de Microsoft. No es pot bloquejar cap connector del Common Data Service ni estàndard de Microsoft.

Els noms "empresarials" i "no empresarials" no tenen cap significat especial; només són etiquetes. L'agrupament dels connectors és l'aspecte important, no el nom del grup en el qual se situen.

Més informació: Administrar el Microsoft Power Platform: classificació dels connectors

Estratègies per crear normes DLP

Com a administrador que pren el control sobre un entorn o comença a admetre l'ús del Power Apps i el Power Automate, les normes DLP haurien de ser un dels primers aspectes per configurar. Un cop establert un conjunt base de normes, podeu centrar-vos en la gestió d'excepcions i crear polítiques DLP dirigides que implementin aquestes excepcions un cop aprovades.

Us recomanem el punt d'inici següent per a les normes de DLP per a entorns de productivitat d'usuari i equip compartits:

  • Creeu una norma que abasti tots els entorns excepte els seleccionats (per exemple, els entorns de producció), mantingueu els connectors disponibles en aquesta norma limitada a l'Office 365 i altres microserveis estàndard i bloquegeu-ne l'accés a tota la resta. Aquesta norma s'aplica a l'entorn per defecte i als entorns d'entrenament que teniu per executar esdeveniments d'entrenament interns. A més, aquesta política també s'aplica a qualsevol entorn nou que es creï.
  • Creeu polítiques DLP adequades i més permissives per als vostres entorns de productivitat compartits d'usuaris i equips. Aquestes normes poden permetre als creadors utilitzar connectors com els serveis de l'Azure, a banda dels serveis de l'Office 365. Els connectors disponibles en aquests entorns depenen de la vostra organització i d'on emmagatzema les dades empresarials.

Us recomanem el punt d'inici següent per a les normes de DLP per a entorns de producció (projecte i unitat de negoci):

  • Podeu excloure aquests entorns de les normes de productivitat d'usuari i equip compartits.
  • Treballeu amb la unitat de negoci i el projecte per establir els connectors i les combinacions de connectors que utilitzaran i creeu una norma d'inquilins per incloure només els entorns seleccionats.
  • Els administradors de l'entorn d'aquests entorns poden utilitzar les polítiques d'entorn per classificar els connectors personalitzats només com a dades empresarials, si cal.

També recomanem:

  • Creeu un nombre mínim de normes per entorn. No hi ha una jerarquia estricta entre les polítiques d'inquilí i d'entorn i, en el disseny i en temps d'execució, totes les polítiques aplicables a l'entorn on resideix l'aplicació o el flux s'avaluen juntes per decidir si el recurs compleix o infringeix les polítiques DLP. Diverses polítiques DLP aplicades a un entorn fragmentaran l'espai del connector de maneres complicades i poden dificultar la comprensió dels problemes als quals s'enfronten els vostres creadors.
  • Administreu de forma centralitzada les normes de DLP mitjançant normes d'inquilí i utilitzeu normes d'entorns només per categoritzar els connectors personalitzats o els casos d'excepció.

Amb una estratègia base, planifiqueu com gestionar les excepcions. Podeu:

  • Denegar la sol·licitud.
  • Afegir el connector a la norma DLP per defecte.
  • Afegiu els entorns a la llista "Tot excepte" de la norma de DLP per defecte global i creeu una norma de DLP específica del cas d'ús amb l'excepció inclosa.

Exemple: estratègia de DLP de Contoso

Vegem com Contoso Corporation, la nostra organització d'exemple d'aquesta guia, va configurar les normes de DLP. La configuració de les seves polítiques DLP es relaciona estretament amb la seva estratègia ambiental.

Els administradors de Contoso volen donar suport als escenaris de productivitat d'equip i usuari i a les aplicacions empresarials, a banda de l'administració d'activitats del Centre d'excel·lència (CoE).

L'entorn i l'estratègia DLP Contoso administradors aplicats aquí consta de:

  1. Una norma DLP restrictiva de tot l'inquilí que s'aplica a tots els entorns de l'inquilí, excepte alguns entorns específics que han exclòs de l'àmbit de la política. Els administradors tenen la intenció de mantenir els connectors disponibles d'aquesta norma limitats a l'Office 365 i altres microserveis estàndard en bloquejar l'accés a tota la resta. Aquesta norma també s'aplica a l'entorn per defecte.

  2. Contoso administradors van crear un altre entorn compartit perquè els usuaris creïn aplicacions per a casos d'ús de productivitat d'usuaris i equips. Aquest entorn té una norma de DLP d'inquilí associada menys propensa a riscos que una norma per defecte i permet als creadors utilitzar connectors, com ara els serveis de l'Azure, a banda dels serveis de l'Office 365. Com que aquest entorn no és predeterminat, els administradors poden controlar-ne activament la llista de creadors de l'entorn. Es tracta d'un mètode per nivells per a l'entorn de productivitat d'usuari i equip compartits i la configuració de DLP associada.

  3. A més, perquè les unitats de negoci creessin aplicacions de línia de negoci, van crear entorns de desenvolupament, prova i producció per a les seves filials fiscals i d'auditoria a diversos països / regions. L'accés del creador d'entorns a aquests entorns s'administra amb cura i estan disponibles connectors propis i de tercers adients mitjançant les normes de DLP d'inquilí després de consultar-ho a les parts interessades de la unitat de negoci.

  4. De la mateixa manera, els entorns de desenvolupament, prova o producció es creen perquè la TI central els utilitzi per crear desenvolupar i desplegar aplicacions pertinents o adequades. Aquests escenaris d'aplicacions empresarials normalment tenen un conjunt ben definit de connectors que cal que estiguin disponibles per als creadors, provadors i usuaris d'aquests entorns. L'accés a aquests connectors es gestiona mitjançant una norma de l'inquilí dedicada.

  5. Contoso també té un entorn dedicat especialment a les activitats del Centre d'excel·lència. A Contoso, la política DLP per a l'entorn de propòsit especial segueix sent d'alt toc donada la naturalesa experimental del llibre dels equips de teoria. En aquest cas, els administradors d'inquilins van delegar l'administració de DLP per a aquest entorn directament a un administrador de l'entorn de confiança de l'equip del CoE i el van excloure d'un centre de totes les polítiques de nivell d'inquilí. Només la norma de DLP de l'entorn administra aquest entorn, la qual cosa és una excepció i no la norma de Contoso.

Com era d'esperar, tots els entorns nous que es creïn a Contoso s'assignen a la norma original de tots els entorns.

Aquesta configuració de polítiques DLP centrades en l'inquilí no impedeix que els administradors de l'entorn creïn les seves pròpies polítiques DLP a nivell d'entorn, si volen introduir més restriccions o classificar connectors personalitzats.

Com Contoso configurar la seva política DLP.

Configurar polítiques de dades

  1. Creeu una norma al Centre d'administració del Power Platform. Més informació: Gestionar les polítiques de dades

  2. Utilitzeu l'SDK de DLP per afegir connectors personalitzats a una norma de DLP.

Comuniqueu clarament les normes de DLP de l'organització als fabricants

Configurar un lloc o wiki del SharePoint que comuniqui clarament el següent:

  • Normes de DLP clau de l'inquilí o l'entorn (per exemple, entorn per defecte o entorn de prova) aplicades a l'organització, que incloguin una llista dels connectors classificats com a empresarials, no empresarials i bloquejats.
  • L'ID de correu electrònic del grup d'administradors perquè els creadors s'hi pugin posar en contacte si hi ha cap excepció. Per exemple, els administradors poden ajudar els creadors a recuperar el compliment si editen una norma de DLP existent, desplacen la solució a un entorn diferent, creen un nou entorn i una nova norma de DLP, i desplacen el creador i el recurs a aquest nou entorn.

També comuniqueu clarament l'estratègia ambiental de la vostra organització als creadors.