Споделяне чрез

Установяване на DLP стратегия

  • Статия

Политиките за предотвратяване на загуба на данни (DLP) действат като мантинели, за да предотвратят потребителите от неволно излагане на организационни данни и за защита на информационната сигурност в клиента. DLP политиките налагат правила, за които съединителите са разрешени за всяка среда и кои съединители могат да се използват заедно. Съединителите са класифицирани както само бизнес данни, не се допускат бизнес данни или блокиран. Съединител в групата само за бизнес данни може да се използва само с други съединители от тази група в същото приложение или поток. Още информация: Администриране на Microsoft Power Platform: политики за предотвратяване на загуба на данни

Създаването на вашите DLP политики ще върви ръка за ръка с вашата стратегия на среда.

Бързи факти

  • Предотвратяване на загуба на данни (DLP) политиките действат като мантинели, за да предотвратят потребителите от неволно излагане на данни.
  • DLP политиките могат да бъдат обхванати на ниво среда и ниво клиент, предлагайки гъвкавост при създаването на политики, които са разумни и не блокират висока производителност.
  • Правилата за DLP за среди не могат да заместят правилата за DLP, дефинирани за клиенти.
  • Ако за една среда са конфигурирани множество политики, най-ограничителната политика се прилага за комбинацията от съединители.
  • По подразбиране в клиента не се прилагат DLP политики.
  • Правилата не могат да се прилагат на ниво потребител, само на ниво среда или клиент.
  • DLP политиките са запознати с конектора, но не контролират връзките, направени с помощта на конектора - с други думи, DLP политиките не са наясно дали използвате конектора за свързване към среда за разработка, тестване или производство.
  • Конекторите PowerShell и администратор могат да управляват политики.
  • Потребителите на ресурси в среди могат да преглеждат приложимите политики.

Класификация на конекторите

Бизнес и нефинансовите класификации очертават граници около това кои съединители могат да се използват заедно в дадено приложение или поток. Съединителите могат да бъдат класифицирани в следните групи, използвайки DLP политики:

  • Бизнес: Даден Power App или Power Automate ресурс може да използва един или повече конектори от бизнес група. Ако Power App или Power Automate ресурс използва бизнес конектор, той не може да използва никакъв не-бизнес конектор.
  • Различно от бизнес: Даден Power App или Power Automate ресурс може да използва един или повече конектори от небизнес група. Ако Power App или Power Automate ресурс използва не-бизнес конектор, той не може да използва никакъв не-бизнес конектор.
  • Блокиран: Няма Power App или Power Automate ресурс може да използва съединител от блокирана група. Всички собствени на Microsoft премиум конектори и конектори на трети страни (стандартни и първокласни) могат да бъдат блокирани. Всички притежавани от Microsoft стандартни конектори и Common Data Service конектори не могат да бъдат блокирани.

Наименованията "бизнес" и "небизнес" нямат никакво специално значение - те са просто етикети. Групирането на самите конектори е от значение, а не името на групата, в която са поставени.

Повече информация: Администрирайте Microsoft Power Platform: Класификация на конектор

Стратегии за създаване на DLP политики

Като администратор, поемането на средата или началото на поддръжката на използването на правила за DLP в Power Apps и Power Automate трябва да са сред първите неща, които настройвате. Това гарантира, че е наличен основен набор от правила и вече можете да се съсредоточите върху обработката на изключения и създаването на целеви правила за DLP, които прилагат тези изключения след одобрение.

Препоръчваме следната отправна точка за DLP политики за споделени среди за производителност на потребители и екип:

  • Създайте политика, обхващаща всички среди с изключение на избраните (например производствените ви среди), поддържайте наличните съединители в тази политика ограничени до Office 365 и други стандартни микроуслуги и блокират достъпа до всичко останало. Тази политика ще се прилага за средата по подразбиране и за средите за обучение, които имате за провеждане на вътрешни събития за обучение. Освен това тази политика ще се прилага и за всяка нова среда, която ще бъде създадена.
  • Създайте подходящи и по-разрешителни DLP политики за вашата споделена среда за производителност на потребители и екип. Тези политики могат да позволят на производителите да използват конектори като услуги на Azure в допълнение към услуги на Office 365. Наличните съединители в тези среди ще зависят от вашата организация и къде вашата организация съхранява бизнес данни.

Препоръчваме следната отправна точка за DLP политики за производствени среди (бизнес единица и проект):

  • Изключете тези среди от споделените правила за производителност на потребители и екип.
  • Работете с бизнес звеното и проекта, за да установите кои съединители и комбинации от съединители ще използват и да създадете политика за клиенти, която да включва само избраните среди.
  • Администраторите на средата от тези среди могат да използват политики за средата, за да категоризират персонализираните конектори само като бизнес данни, ако е необходимо.

В допълнение към горното, ние също препоръчваме:

  • Създаване на минимален брой политики за среда. Няма строга йерархия между политиките за клиенти и среда, а при проектирането и изпълнението всички политики, приложими за средата, в която се намира приложението или потока, се оценяват заедно, за да се реши дали ресурсът съответства или нарушава DLP политиките. Множество DLP политики приложено към една среда ще фрагментира пространството на съединителя ви по сложни начини и може да затрудни разбирането на проблемите, пред които са изправени вашите производители.
  • Централизирано управление на DLP политики с помощта на политики на ниво клиент и използване на политики на средата само за категоризиране на персонализирани конектори или в случаи на изключение.

С това на място планирайте как да се справите с изключенията. Можете да:

  • Отхвърляне на заявката.
  • Добавяне на конектора към правилата по подразбиране за DLP.
  • Добавете обкръженията към списъка All Except за глобалния DLP по подразбиране и създайте специфична за конкретния случай DLP политика с включено изключение.

Пример: DLP стратегията на Contoso

Нека да разгледаме как Contoso Corporation, нашата примерна организация за това ръководство, е създала своите DLP политики. Настройката на техните DLP политики е тясно свързана с тяхната стратегия за среда.

Администраторите на Contoso искат да поддържат сценарии за производителност на потребители и екип и бизнес приложения, в допълнение към управлението на дейността на Центъра за върхови постижения (CoE).

Средата и DLP стратегията, които администраторите Contoso са приложили тук, се състои от:

  1. Ограничителна DLP политика за клиента, която се прилага за всички среди в клиента, с изключение на някои специфични среди, които те са изключили от обхвата на политиката. Администраторите възнамеряват да ограничат наличните съединители в тази политика до Office 365 и други стандартни микроуслуги, като блокират достъпа до всичко останало. Тази политика ще се прилага и за средата по подразбиране.

  2. Администраторите на Contoso създадоха друга споделена среда за потребителите да създават приложения за случаи на използване на производителността на потребители и екип. Тази среда има свързана DLP политика на ниво клиент, която не е толкова неблагоприятна като политиката по подразбиране и позволява на производителите да използват конектори като Azure услуги в допълнение към услуги на Office 365. Тъй като това не е среда по подразбиране, администраторите могат активно да контролират списъка на създателите на среда за нея. Това е диференциран подход към споделената среда за производителност на потребители и екип и свързаните с това DLP настройки.

  3. В допълнение, за да могат бизнес единиците да създават бизнес приложения, те са създали среда за разработка, тестване и производство за своите данъчни и одиторски дъщерни дружества в различни страни/региони. Достъпът на създателя на средата до тези среди се управлява внимателно и се предоставят подходящи конектори на първа и трета страна, като се използват DLP политики на ниво клиент в консултация със заинтересованите страни в бизнес звеното.

  4. По същия начин са създадени среди за разработка / тестване / производство за използване на Central IT за разработване и внедряване на подходящи или правилни приложения. Тези сценарии за бизнес приложения обикновено имат добре дефиниран набор от съединители, които трябва да бъдат предоставени на производителите, тестерите и потребителите в тези среди. Достъпът до тези съединители се управлява чрез специална политика на ниво клиент.

  5. Contoso също има среда със специално предназначение, посветена на техните дейности за Център за върхови постижения. В Contoso политиката на DLP за средата със специално предназначение ще остане силно докосната, като се има предвид експерименталния характер на книгата на теоретичните екипи. В този случай администраторите на клиенти са делегирали управлението на DLP за тази среда директно на доверен администратор на екипа на CoE и са го изключили от училище на всички политики на ниво клиент. Тази среда се управлява само от DLP политика на ниво среда, която е по-скоро изключение, отколкото правилото в Contoso.

Както се очаква, всяка нова среда, създадена в Contoso, ще се свърже с оригиналната политика за всички среди.

Тази настройка на DLP политики, ориентирани към клиенти, не пречи на администраторите на средата да измислят свои собствени DLP политики на ниво среда, ако искат да въведат допълнителни ограничения или да класифицират персонализирани конектори.

Как Contoso създаде своята DLP политика.

Настройване на правила за данни

  1. Създайте своята политика в център за администрация на Power Platform. Повече информация: Управление на правилата за данни

  2. Използвайте DLP SDK, за да добавите персонализирани конектори към DLP политика.

Ясно съобщавайте DLP политиките на създателите на организацията си

Настройте сайт или уики на SharePoint, който ясно комуникира:

  • На ниво клиент и ключово ниво на средата (например среда по подразбиране, пробна среда) DLP политики, наложени в организацията, включително списъци с конектори, класифицирани като бизнес, нестопански и блокирани.
  • Идентификационният номер на имейл адреса на вашата администраторска група, така че производителите да могат да осъществяват контакт за сценарии на изключения. Например администраторите могат да помогнат на производителите да се върнат в съответствие, като редактират съществуваща DLP политика, преместват решението в различна среда, създават нова среда и нова DLP политика и преместват създателя и ресурса в тази нова среда.

Освен това ясно съобщавайте на производителите на стратегията за среда на вашата организация.