Connector-Klassifizierung
Datengruppen sind eine einfache Möglichkeit zum Kategorisieren von Connectors im Rahmen einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP). Die drei verfügbaren Datengruppen sind die Datengruppen Geschäftlich, Nicht geschäftlich und Blockiert.
Eine gute Möglichkeit, Connectors zu kategorisieren, besteht darin, sie in Gruppen einzuteilen, die auf den geschäftszentrierten oder personenbezogenen Diensten basieren, mit denen sie im Kontext Ihrer Organisation verbunden sind. Connectors, die Geschäftsnutzungsdaten hosten, sollten als Geschäftlich klassifiziert werden, und Connectors, die Daten für den persönlichen Gebrauch hosten, sollten als Nicht geschäftlich klassifiziert werden. Alle Connectors, deren Verwendung Sie in einer oder mehreren Umgebungen komplett unterbinden möchten, sollten als Gesperrt klassifiziert werden.
Wenn eine neue Richtlinie erstellt wird, werden standardmäßig alle Connectors in der Gruppe Nicht geschäftlich platziert. Von dort können sie basierend auf Ihrer Präferenz nach Geschäftlich oder Blockiert verschoben werden. Sie verwalten die Connectors in einer Datengruppe, wenn Sie die Eigenschaften einer DLP-Richtlinie vom Admin Center aus erstellen oder bearbeiten. Weitere Informationen finden Sie unter Datenrichtlinien verwalten. Sie können auch die anfängliche Klassifizierung von Connectors ändern, indem Sie Ihre DLP-Richtlinie bearbeiten. Weitere Informationen: Eine Datenrichtlinie bearbeiten
Anmerkung
Bis vor kurzem waren einige HTTP-Connectors für die DLP-Richtlinienkonfiguration mithilfe der DLP-Richtlinien-Benutzeroberfläche oder PowerShell nicht ohne weiteres verfügbar. Ab Mai 2020 können die folgenden HTTP-Konnektoren wie jeder andere Power Platform Konnektor mithilfe der DLP-Richtlinien-Benutzeroberfläche und PowerShell klassifiziert werden: HTTP, HTTP-Webhook und Wenn eine HTTP-Anforderung empfangen wird. Wenn ältere DLP-Richtlinien mithilfe der neuen DLP-Benutzeroberfläche aktualisiert werden, wird den Administratoren eine Warnmeldung angezeigt. Sie weist die Administratoren darauf hin, dass diese drei HTTP-Connectors jetzt dem DLP-Zuständigkeitsbereich hinzugefügt werden und sie sicherstellen sollten, dass diese Connectors in der richtigen DLP-Gruppierung platziert werden.
Da untergeordnete Flows eine interne Abhängigkeit mit dem HTTP-Connector teilen, kann sich die Gruppierung, die Administratoren für HTTP-Connectors in einer DLP-Richtlinie auswählen, auf die Möglichkeit auswirken, untergeordnete Flows in dieser Umgebung oder diesem Mandanten auszuführen. Stellen Sie sicher, dass Ihre HTTP-Konnektoren in der entsprechenden Gruppe klassifiziert sind, damit Ihre untergeordneten Flows funktionieren. Bei Bedenken hinsichtlich der Klassifizierung des Connectors als Geschäftlich in freigegebenen Umgebungen, beispielsweise in der Standardumgebung, empfehlen wir, sie als Nicht geschäftlich zu klassifizieren oder zu blockieren. Erstellen Sie anschließend dedizierte Umgebungen, in denen Hersteller HTTP-Connectors verwenden können, aber beschränken Sie die Herstellerliste, damit Sie die Blockierung von Herstellern für das Erstellen von untergeordneten Flows aufheben können.
Der Connector Inhaltskonvertierung ist ein wesentliches Merkmal von Microsoft Power Platform, das verwendet wird, um ein HTML-Dokument in einfachen Text zu konvertieren. Dies gilt sowohl für die Szenarien Geschäftlich und Nicht geschäftlich und es wird kein Datenkontext des durch ihn konvertierten Inhalts gespeichert; Daher kann sie nicht über DLP-Richtlinien klassifiziert werden.
So werden Daten zwischen Datengruppen geteilt
Daten können nicht zwischen Connectors geteilt werden, die sich in verschiedenen Gruppen befinden. Wenn Sie SharePoint- und Salesforce-Connectors in der Gruppe Geschäftlich und Gmail in der Gruppe Nicht geschäftlich platzieren, können Hersteller keine Apps oder Flows verwenden, die SharePoint- und Gmail-Connectors verwenden. Dies schränkt wiederum den Datenfluss zwischen diesen beiden Diensten in Microsoft Power Platform ein.
Zwar ist es nicht möglich, Daten aus Diensten in unterschiedlichen Gruppen gemeinsam zu nutzen, jedoch können Daten aus Diensten innerhalb einer bestimmten Gruppe gemeinsam genutzt werden. Da im vorherigen Beispiel SharePoint und Salesforce in derselben Datengruppe platziert wurden, können Hersteller Apps oder Flows erstellen, die sowohl SharePoint- als auch Salesforce-Connectors verwenden. Dies ermöglicht wiederum den Datenfluss zwischen diesen beiden Diensten in Microsoft Power Platform.
Der entscheidende Punkt ist, dass Connectors in derselben Gruppe Daten Microsoft Power Platform gemeinsam nutzen können, während Connectors in verschiedenen Gruppen keine Daten gemeinsam nutzen können.
Die Auswirkung der Datengruppe „Blockiert“
Der Datenfluss zu einem bestimmten Dienst kann vollständig blockiert werden, indem dieser Connector als Blockiert markiert wird. Wenn Sie beispielsweise Facebook in der Gruppe Blockiert platzieren, können Hersteller keine Apps oder Flows erstellen, die den Facebook-Connector verwenden. Dies wiederum schränkt den Datenfluss zu diesem Dienst in Microsoft Power Platform ein.
Alle Connectors von Drittanbietern können blockiert werden. Alle Microsofteigenen Premium-Konnektoren (außer Microsoft Dataverse) können blockiert werden.
Liste der Connectors, die nicht blockiert werden können
Alle Konnektoren, die die Kernfunktionen Microsoft Power Platform antreiben (wie DataverseGenehmigungen und Benachrichtigungen), sowie Konnektoren, die zentrale Office-Anpassungsszenarien ermöglichen, wie Microsoft Enterprise Plan-Standardkonnektoren, können weiterhin nicht blockiert werden, um sicherzustellen, dass die wichtigsten Benutzerszenarien voll funktionsfähig bleiben.
Diese nicht blockierbaren Connectors können jedoch als Geschäftlich oder Nicht geschäftlich klassifiziert werden. Diese Connectors fallen allgemein in die folgenden Kategorien:
- Microsoft Standard-Konnektoren des Enterprise-Plans (ohne zusätzliche Lizenzierungsauswirkungen).
- Spezifische Microsoft Power Platform-Connectors, die Teil der Funktionen der Basisplattform sind. Hier sind Dataverse-Connectors die einzigen Premium-Connectors, die nicht blockiert werden können, weil Dataverse ein wesentlicher Bestandteil von Microsoft Power Platform ist.
Die folgenden Connectors können nicht mithilfe von DLP-Richtlinien blockiert werden.
Microsoft Standard-Konnektoren des Enterprise-Plans | Grundlegende Power Platform-Connectors |
---|---|
Defender für Cloud-Apps | Zulassungen |
Dynamics 365 Customer Voice | Benachrichtigungen |
Excel Online (Business) | Dataverse (Vermächtnis) |
Kaizala | Dataverse |
Microsoft 365-Gruppen | Power Apps Benachrichtigungen (v1 und v2) |
Microsoft 365 Gruppen-E-Mail (Vorschauversion) | Microsoft Copilot Studio |
Microsoft 365 Outlook | |
Microsoft 365-Benutzer | |
Microsoft Teams | |
Microsoft Aufgaben (Geschäft) | |
OneDrive for Business | |
OneNote (Business) | |
Planner | |
Power BI | |
SharePoint | |
Shifts | |
Skype for Business Online | |
Yammer |
Notiz
Befindet sich bereits ein derzeit nicht blockierbarer Connector in der Gruppe Blockiert (weil er beispielsweise bei anderen geltenden Einschränkungen blockiert wurde), bleibt er in derselben Gruppe, bis Sie die Richtlinie bearbeiten. Sie erhalten eine Fehlermeldung, die das Speichern der Richtlinie verhindert, bis Sie den nicht blockierbaren Connector in eine Gruppe Geschäftlich oder Nicht geschäftlich verschieben.
Anzeigen der Klassifizierung von Connectors
Beim Bearbeiten von DLP-Richtlinien im Power Platform Admin Center werden alle verfügbaren und sichtbaren Connectors angezeigt, unabhängig davon, ob sie in einer Richtlinie klassifiziert wurden. Beim Anzeigen einer DLP-Richtlinie in PowerShell oder über den Power Platform for Admins-Connector sehen Sie nur die Connectors, die explizit in den Kategorien „Geschäftlich“, „Nicht geschäftlich“ oder „Gesperrt“ klassifiziert wurden. DLP-Richtlinien, die von PowerShell oder dem Power Platform for Admins-Connector angezeigt werden, können veraltete Verweise auf Connectors enthalten, die nicht mehr verfügbar oder sichtbar sind.
Im Allgemeinen kann die Liste von Power Platform-Connectors je nachdem, wo Sie sie anzeigen lassen, unterschiedlich sein. Dafür gibt es mehrere Gründe. Für einige Connectors ist möglicherweise eine spezielle Lizenz erforderlich. Wenn Ihre Lizenz diese nicht enthält, sind sie nicht sichtbar. Aufgrund von Compliance- und behördlichen Anforderungen können in unterschiedlichen Umgebungen auch unterschiedliche Connectors verfügbar sein. Microsoft veröffentlicht möglicherweise Aktualisierungen für Konnektoren, die möglicherweise nicht sofort für alle Power Platform Komponenten verfügbar sind. Einige Connectors sind möglicherweise nur in Power Automate und nicht drin Power Apps verfügbar. Je nach Ihrer Rolle und Ihren Berechtigungen haben Sie möglicherweise nicht Zugriff auf alle Connectors.
Klassifizierung von benutzerdefinierten Connectors
DLP-Richtlinien auf Umgebungsebene
Umgebungsadministratoren finden jetzt alle benutzerdefinierten Connectors in ihren Umgebungen zusammen mit den vorgefertigten Connectors auf der Seite Connectors in Datenrichtlinien. Ähnlich wie bei vorgefertigten Connectors können Sie benutzerdefinierte Connectors als Blockiert, Geschäftlich oder Nicht geschäftlich klassifizieren. Benutzerdefinierte Connectors, die nicht explizit klassifiziert sind, werden der Standardgruppe zugeordnet (oder der Kategorie Nicht geschäftlich, wenn von den Administratoren keine Standardgruppeneinstellung explizit ausgewählt wurde).
Sie können auch PowerShell-Befehle für die DLP-Richtlinien verwenden, um benutzerdefinierte Connectors auf die Gruppen Geschäftlich, Nicht geschäftlich und Blockiert zu verteilen. Weitere Informationen: Befehle zur Richtlinie zur Verhinderung von Datenverlust (DLP)
DLP-Richtlinien auf Mandantenebene
Das Power Platform Admin Center unterstützt auch Mandantenadministratoren, um benutzerdefinierte Connectors nach ihren Host-URL-Endpunkten zu klassifizieren, indem ein Musterübereinstimmungkonstrukt für DLP-Richtlinien auf Mandantenebene verwendet wird. Da der Umfang benutzerdefinierter Connectors umgebungsspezifisch ist, werden diese Connectors nicht auf der Seite Connectors zur Klassifizierung angezeigt. Stattdessen gibt es eine neue Seite in Datenrichtlinien namens Benutzerdefinierte Connectors, auf der Sie für benutzerdefinierte Connectors eine sortierte Liste von URL-Mustern zum Zulassen und Ablehnen angeben können.
Die Regel für das Platzhalterzeichen (*
) ist immer der letzte Eintrag in der Liste, die für alle benutzerdefinierten Connectors gilt. Administratoren können das *
-Muster mit Blockiert, Geschäftlich, Nicht geschäftlich oder Ignorieren taggen. Standardmäßig ist das Muster für neue DLP-Richtlinien auf Ignorieren festgelegt.
Ignorieren ignoriert die DLP-Klassifizierung für alle Konnektoren in dieser Richtlinie auf Mandantenebene und verschiebt die Auswertung eines Musters auf andere Umgebungen oder Richtlinien auf Mandantenebene, um sie je nach Bedarf der Gruppierung Geschäftlich, Nicht geschäftlich oder Blockiert zuzuordnen. Wenn für die benutzerdefinierten Connectors keine spezifische Regel existiert, ermöglicht eine Regel Ignorieren * die Verwendung von benutzerdefinierten Connectors mit den Connector-Gruppierungen Geschäftlich und Nicht geschäftlich. Mit Ausnahme des letzten Eintrags in der Liste wird Ignorieren als Aktion für kein anderes URL-Muster unterstützt, das den benutzerdefinierten Connector-Musterregeln hinzugefügt wird.
Sie können weitere Regeln hinzufügen, indem Sie Connector-Muster hinzufügen auf der Seite Benutzerdefinierte Connectors auswählen.
Hierdurch wird ein Seitenbereich geöffnet, in dem Sie benutzerdefinierte Connector-URL-Muster hinzufügen und klassifizieren können. Neue Regeln werden am Ende der Musterliste hinzugefügt (als vorletzte Regel, weil *
immer der letzte Eintrag in der Liste ist). Sie können die Reihenfolge jedoch aktualisieren, während Sie ein neues Muster hinzufügen.
Sie können die Reihenfolge der Muster auch aktualisieren, indem Sie die Dropdownliste Reihenfolge verwenden oder die Optionen Nach oben oder Nach unten auswählen.
Nachdem ein Muster hinzugefügt wurde, können Sie diese Muster bearbeiten oder löschen, indem Sie eine bestimmte Zeile auswählen und die Optionen Bearbeiten oder Löschen verwenden.
Standarddatengruppe für neue Connectors
Eine Datengruppe muss als Standardgruppe festgelegt werden, um alle neu hinzugefügten Connectors automatisch zu klassifizieren, die zu Microsoft Power Platform hinzugefügt wurden, nachdem Ihre Richtlinie erstellt wurde. Anfangs ist die Gruppe Nicht geschäftlich die Standardgruppe für neue Connectors und alle Dienste. Das Ändern der Standarddatengruppe zur Gruppe Geschäftlich oder Blockiert ist möglich, wird jedoch nicht empfohlen
Alle neuen Dienste, die zu Apps hinzugefügt werden, werden in der festgelegten Standardgruppe platziert. Aus diesem Grund wird empfohlen, Nicht geschäftlich als Standardgruppe beizubehalten und der Gruppe Geschäftlich oder Blockiert Dienste manuell hinzuzufügen, nachdem das Unternehmen beurteilt hat, welche Auswirkungen die Freigabe von Geschäftsdaten für den neuen Dienst mit sich bringt.
Notiz
Microsoft 365-Unternehmenslizenz-Connectors und ein paar grundlegende Microsoft Power Platform-Connectors sind nicht als Blockiert gekennzeichnet und können nur als Geschäftlich oder Nicht geschäftlich klassifiziert werden. Wenn Sie Microsoft neue Konnektoren hinzufügen, die nicht blockiert werden können, und die Standardgruppe für die DLP-Richtlinie auf Blockiert festgelegt haben, werden diese Konnektoren automatisch als Nicht geschäftlich anstatt als Blockiert gekennzeichnet.