مشاركة عبر

إنشاء استراتيجية DLP

  • مقالة

تعمل سياسات تفادي فقدان البيانات (DLP) كحواجز حماية للمساعدة على منع المستخدمين من عرض بيانات المؤسسة من دون قصد ولحماية أمان المعلومات في المستأجر. تعمل سياسات DLP على فرض القواعد التي تم تمكين الموصلات لها لكل بيئة، والموصلات التي يمكن استخدامها معًا. يتم تصنيف الموصلات على أنها بيانات العمل فقط أو لا يُسمح ببيانات العمل أو محظورة. يمكن استخدام موصل في مجموعة بيانات العمل فقط مع موصلات أخرى من هذه المجموعة في التطبيق أو سير المهام نفسه. مزيد من المعلومات: إدارة Microsoft Power Platform: سياسات تفادي فقدان البيانات

تتماشى عملية إنشاء نُهج DLP مع استراتيجيتك البيئية.

حقائق سريعة

  • تعمل سياسات منع فقدان البيانات (DLP) كحواجز حماية للمساعدة في منع المستخدمين من عرض البيانات عن غير قصد.
  • يمكن تحديد نطاق سياسات DLP على مستوى البيئة ومستوى المستأجر، مما يوفر مرونة صياغة سياسات تعتبر حساسة ولا تمنع الإنتاجية العالية.
  • لا يمكن لسياسات تفادي فقدان البيانات (DLP) الخاصة بالبيئة تجاوز سياسات تفادي فقدان البيانات (DLP) على مستوى المستأجر.
  • إذا تم تكوين سياسات متعددة لبيئة واحدة، سيتم تطبيق أكثر السياسات تقييدًا على مجموعة من الموصلات.
  • بشكل افتراضي، لا يتم تطبيق أي سياسات DLP في المستأجر.
  • لا يمكن تطبيق السياسات علي مستوى المستخدم، بل فقط على مستوى البيئة أو المستأجر.
  • تدرك سياسات DLP الموصلات، ولكنها لا تتحكم في الاتصالات التي يتم اجراؤها باستخدام الموصل — بمعنىً آخر، لا تدرك سياسات DLP ما إذا كنت تستخدم الموصل للاتصال ببيئة تطوير أو اختبار أو إنتاج.
  • بإمكان موصلات PowerShell والمسؤول إدارة السياسات.
  • بإمكان مستخدمي الموارد في البيئات عرض السياسات التي تنطبق.

تصنيف الموصلات

تعمل تصنيفات الأعمال وغير الأعمال على رسم حدود حول الموصلات التي يمكن استخدامها معًا في تطبيق أو سير مهام محدد. يمكن تصنيف الموصلات عبر المجموعات التالية باستخدام سياسات DLP:

  • الأعمال: يمكن لتطبيق Power App أو Power Automate مورد معين استخدام موصل واحد أو أكثر من مجموعة أعمال. إذا كان مورد Power App أو مورد Power Automate يستخدم موصل عمل، فلا يمكنه استخدام أي موصل ليس موصل عمل.
  • غير متعلقة بالأعمال: يمكن ل Power App أو Power Automate مورد معين استخدام موصل واحد أو أكثر من مجموعة غير تجارية. إذا كان مورد Power App أو مورد Power Automate يستخدم موصلاً ليس موصل عمل، فلا يمكنه استخدام أي موصل عمل.
  • محظور: لا يمكن لأي تطبيق أو Power Automate مورد Power استخدام موصل من مجموعة محظورة. يمكن حظر الموصلات المتميزة المملوكة بالكامل Microsoft وموصلات الجهات الخارجية (القياسية والمتميزة). لا يمكن حظر الموصلات Microsoftوالموصلات القياسية المملوكة بالكامل Common Data Service .

ليس للأسماء "الأعمال" و"غير خاصة بالأعمال" أي معنى خاص، إنها تسميات بكل بساطة. يكتسب تجميع الموصلات بحد ذاتها دلالة، وليس اسم المجموعة حيث تم وضعها.

مزيد من المعلومات: إدارة Microsoft Power Platform: تصنيف الموصلات

استراتيجيات إنشاء سياسات DLP

وكمسؤول يتولى بيئة ما أو يبدأ في دعم استخدام Power Apps وPower Automate، يجب أن تكون سياسات DLP أحد أهم الأشياء التي تقوم بإعدادها. بعد إنشاء مجموعة أساسية من النهج، يمكنك التركيز على معالجه الاستثناءات وإنشاء نُهج DLP مستهدفه تقوم بتنفيذ هذه الاستثناءات بمجرد الموافقة.

اننا نوصي بنقطة البداية التالية لسياسات DLP لبيئات إنتاجية المستخدم والفريق المشتركة:

  • إنشاء سياسة تشمل كافة البيئات باستثناء تلك المحددة (على سبيل المثال، بيئات الإنتاج)، وإبقاء الموصلات المتوفرة في هذه السياسة مقتصرة على Office 365 والخدمات المصغرة القياسية الأخرى وحظر الوصول إلى أي شيء آخر. ينطبق هذا النهج على البيئة الافتراضية وبيئات التدريب لديك لتشغيل أحداث تدريب داخلية. بالإضافة إلى ذلك، ينطبق هذا النهج أيضًا على أي بيئات جديدة يتم إنشاؤها.
  • إنشاء سياسات مناسبة وأكثر تسامحًا لبيئات إنتاجية المستخدم والفريق المشتركة‬‏‫. قد تسمح هذه السياسات للمنشئين باستخدام موصلات مثل خدمات Azure بالإضافة إلى خدمات Office 365. تعتمد الموصلات المتوفرة في هذه البيئات على مؤسستك، وعلى المكان الذي تقوم فيه مؤسستك بتخزين بيانات الأعمال.

اننا نوصي بنقطة البداية التالية لسياسات DLP لبيئات الإنتاج (وحدة العمل والمشروع):

  • استبعاد تلك البيئات من سياسات إنتاجية المستخدم والفريق المشتركة.
  • العمل مع وحدة العمل والمشروع لإنشاء الموصلات ومجموعات الموصلات التي سيتم استخدامها وإنشاء سياسة المستأجر لتضمين البيئات المحددة فقط.
  • يمكن لمسؤولي البيئة لهذه البيئات استخدام سياسات البيئة لتصنيف الموصلات المخصصة كبيانات عمل فقط، عند الضرورة.

نوصي أيضًا بما يلي:

  • إنشاء أقل عدد من السياسات لكل بيئة. لا يوجد تدرج هرمي صارم بين سياسات المستأجر والبيئة، وعند التصميم وفي وقت التشغيل، يتم تقييم كافة السياسات التي تنطبق على البيئة والتي يوجد فيها التطبيق أو التدفق مع بعضها لتقرير ما إذا كان المورد متوافقاً مع سياسات تفادي فقدان البيانات (DLP) أو مخالفاً لها. ستؤدي نهج DLP المتعددة المطبقة على بيئة واحدة إلى تجزئة مساحة الموصل بطرق معقدة، وقد تجعل من الصعب فهم المشكلات التي يواجهها المنشئون.
  • إدارة سياسات DLP بشكل مركزي باستخدام السياسات على مستوى المستأجر، واستخدام سياسات البيئة فقط لتصنيف الموصلات المخصصة أو في حالات استثناء.

مع وضع استراتيجية أساسية، خطط لطريقة معالجة الاستثناءات. بإمكانك:

  • رفض الطلب.
  • إضافة الموصل إلى سياسة DLP الافتراضية.
  • إضافة البيئات إلى قائمة "الكل باستثناء" لسياسة DLP الافتراضية العمومية وإنشاء سياسة DLP خاصة بالحالة مع تضمين استثناء.

مثال: استراتيجية DLP في Contoso

هيا نلقي نظرة على كيفية قيام Contoso Corporation، مؤسستنا النموذجية لهذه الإرشادات، بإعداد سياسات DLP الخاصة بها. يرتبط إعداد سياسات DLP فيها بطريقة وثيقة مع استراتيجية بيئتها.

يريد مسؤولو Contoso دعم سيناريوهات إنتاجية الفريق والمستخدم وتطبيقات الأعمال، بالإضافة إلى إدارة نشاط مركز التميز (CoE).

تتكون الاستراتيجية البيئية ونهج DLP الذي قام مسؤولو Contoso بتطبيقه هنا من:

  1. نهج DLP تقييدي على مستوى المستأجر ينطبق على جميع البيئات في المستأجر باستثناء بعض البيئات المحددة التي قاموا باستبعادها من نطاق النهج. يهدف المسؤولون إلى إبقاء الموصلات المتوفرة في هذه السياسة مقتصرة على Office 365 والخدمات المصغرة القياسية الأخرى، من خلال حظر الوصول إلي أي شيء آخر. ينطبق هذا النهج أيضًا على البيئة الافتراضية.

  2. لقد أنشأ مسؤولو Contoso بيئة مشتركة أخرى للمستخدمين لإنشاء تطبيقات لحالات استخدام إنتاجية المستخدم والفريق. تتضمن هذه البيئة سياسة DLP مقترنة على مستوى المستأجر، وهي ليست محجِمة عن المخاطِر كالسياسة الافتراضية وتسمح للمنشئين باستخدام الموصلات مثل خدمات Azure بالإضافة إلى خدمات Office 365. ولأن هذه البيئة هي غير افتراضية، فبإمكان المسؤولين التحكم بشكل فعال بقائمة منشئي البيئة الخاصة بها. هذا أسلوب مصنف لبيئة إنتاجية المستخدم والفريق المشتركة وإعدادات DLP المقترنة.

  3. بالإضافة إلى ذلك، بالنسبة لوحدات العمل لإنشاء تطبيقات خط أعمال، أنشأوا بيئات التطوير، والاختبار، والتشغيل للشركات التابعة لهم المنوطة بالتدقيق والضرائب عبر بلدان/مناطق متنوعة. يُدار وصول منشئ البيئة إلى هذه البيئة بطريقة متأنية، ويتم توفير الموصلات المناسبة التابعة للطرف الأول والثالث باستخدام سياسات DLP على مستوى المستأجر بالتشاور مع المساهمين في وحدة العمل.

  4. بطريقة مماثلة، يتم إنشاء بيئات التطوير/الاختبار/الإنتاج لاستخدام تكنولوجيا المعلومات المركزية من أجل تطوير التطبيقات الملائمة أو المناسبة ونشرها. لدى سيناريوهات تطبيقات العمل هذه عادةً مجموعة من الموصلات محددة بطريقة جيدة يجب جعلها متوفرة للمنشئين والمختبرين والمستخدمين في هذه البيئات. يُدار الوصول إلى هذه الموصلات باستخدام سياسة مخصصة على مستوى المستأجر.

  5. يوجد أيضًا لدى شركة Contoso بيئة ذات غرض خاص مخصصة لأنشطة مركز التميز. في شركة Contoso، سيبقى نهج DLP لبيئة الأغراض الخاصة ذات أهمية كبيرة نظرًا للطبيعة التجريبية لكتاب الفرق النظرية. في هذه الحالة، قام مسؤولو المستأجر بتفويض إدارة DLP لهذه البيئة مباشرة إلى مسؤول البيئة الموثوق به لفريق مركز التميز واستثنوها من مدرسة لجميع النُهح على مستوى المستأجر. تُدار هذه البيئة فقط بواسطة سياسة DLP على مستوى البيئة، وهذا عبارة عن استثناء بدلاً من أن يكون قاعدة في Contoso.

كما هو متوقع، فإن أي بيئات جديدة تم إنشاؤها في Contoso سيتم تعيينها إلى نهج جميع البيئات الأصلية.

لا يمنع هذا الإعداد لنُهج DLP التي تركز على المستأجر مسؤولي البيئة من إنشاء نُهج DLP الخاصة بهم على مستوى البيئة، إذا كانوا يريدون تقديم قيود إضافية أو تصنيف الموصلات المخصصة.

كيفية قيام Contoso بإعداد سياسة DLP.

إعداد سياسات البيانات

  1. أنشئ سياستك في مركز إدارة Power Platform. مزيد من المعلومات إدارة سياسات البيانات.

  2. استخدم DLP SDK لإضافة موصلات مخصصة إلى سياسة DLP.

إبلاغ المنشئين عن سياسات DLP المتبعة في مؤسستك بشكل واضح

قم إعداد موقع SharePoint أو wiki يقوم بالتبليغ بشكل واضح عن:

  • سياسات DLP على مستوى المستأجر ومستوى البيئة الرئيسية (على سبيل المثال، البيئة الافتراضية، والبيئة التجريبية) التي تم فرضها في المؤسسة، بما في ذلك قوائم الموصلات المصنفة كموصلات خاصة بالأعمال وغير خاصة بالأعمال ومحظورة.
  • معرف البريد الإلكتروني الخاص بمجموعة المسؤولين لتمكين المنشئين من إنشاء الاتصال لسيناريوهات الاستثناء. على سبيل المثال، يمكن للمسؤولين مساعدة المنشئين على العودة إلى التوافق من خلال تحرير سياسة DLP موجودة، ونقل الحل إلى بيئة مختلفة، وإنشاء بيئة جديدة وسياسة DLP جديدة، ونقل المنشئ والمورد إلى هذه البيئة.

علاوةً على ذلك، يجب عليك تبليغ المنشئين عن إستراتيجية البيئة في مؤسستك.