Teilen über

DLP für benutzerdefinierte Connectors

  • Artikel

Mit Power Platform können Hersteller benutzerdefinierte Connectors erstellen und freigeben. Sie können benutzerdefinierte Connectors für Richtlinien zur Verhinderung von Datenverlust (DLP) auf Mandanten- und Umgebungsebene verwalten. Speziell:

  1. Umgebungsadministrierende können das Power Platform Admin Center nutzen, um einzelne benutzerdefinierte Connectors nach Namen für Datenrichtlinien auf Umgebungsebene zu klassifizieren.
  2. Mandantenadministrierende können das Power Platform Admin Center und PowerShell verwenden, um benutzerdefinierte Connectors nach ihren Host-URL-Endpunkten zu klassifizieren, indem ein Musterübereinstimmungkonstrukt für Datenrichtlinien auf Mandantenebene verwendet wird.

Anmerkung

DLP für benutzerdefinierte Connectors ist jetzt allgemein verfügbar.

Klassifizierung von benutzerdefinierten Connectors

Datenrichtlinien auf Umgebungsebene

Umgebungsadministrierende finden alle benutzerdefinierten Connectors in ihren Umgebungen zusammen mit den vorgefertigten Connectors auf der Seite Connectors in Datenrichtlinien. Ähnlich wie bei vorgefertigten Connectors können Sie benutzerdefinierte Connectors als Blockiert, Geschäftlich oder Nicht geschäftlich klassifiziert. Benutzerdefinierte Connectors, die nicht explizit klassifiziert sind, werden der Standardgruppe zugeordnet (oder der Kategorie Nicht geschäftlich, wenn von den Administrierenden keine Standardgruppeneinstellung explizit ausgewählt wurde).

Umgebungsadministrierende finden jetzt alle benutzerdefinierten Connectors in ihren Umgebungen zusammen mit den vorgefertigten Connectors auf der Seite **Connectors** in den Datenrichtlinien.

Sie können auch PowerShell-Befehle für die Datenrichtlinien verwenden, um benutzerdefinierte Connectors auf die Gruppen Geschäftlich, Nicht geschäftlich und Blockiert festzulegen. Weitere Informationen: Befehle zur Richtlinie zur Verhinderung von Datenverlust (DLP)

Datenrichtlinien auf Mandantenebene

Das Power Platform Admin Center unterstützt auch Mandantenadministrierende, um benutzerdefinierte Connectors nach ihren Host-URL-Endpunkten zu klassifizieren, indem ein Musterübereinstimmungkonstrukt für Datenrichtlinien auf Mandantenebene verwendet wird. Da der Umfang benutzerdefinierter Connectors umgebungsspezifisch ist, werden diese Connectors nicht auf der Seite Connectors zur Klassifizierung angezeigt. Stattdessen gibt es eine neue Seite in Datenrichtlinien namens Benutzerdefinierte Connectors, auf der Sie für benutzerdefinierte Connectors eine sortierte Liste von URL-Mustern zum Zulassen und Ablehnen angeben können.

Die Regel für das Platzhalterzeichen (*) ist immer der letzte Eintrag in der Liste, die für alle benutzerdefinierten Connectors gilt. Administratoren können das *-Muster mit Blockiert, Geschäftlich, Nicht geschäftlich oder Ignorieren taggen. Standardmäßig ist das Muster für neue Datenrichtlinien auf Ignorieren festgelegt.

Ignorieren ignoriert die DLP-Klassifizierung für alle Connectors in dieser Richtlinie auf Mandantenebene und verschiebt die Auswertung eines Musters zu anderen Umgebungen oder Richtlinien auf Mandantenebene, um sie, je nach Bedarf, der Gruppierung Geschäftlich, Nicht geschäftlich oder Blockiert zuzuweisen. Wenn für die benutzerdefinierten Connectors keine spezifische Regel existiert, ermöglicht eine Regel * ignorieren die Verwendung von benutzerdefinierten Connectors mit den Connector-Gruppierungen Geschäftlich und Nicht geschäftlich. Mit Ausnahme des letzten Eintrags in der Liste wird Ignorieren als Aktion für kein anderes URL-Muster unterstützt, das den benutzerdefinierten Connector-Musterregeln hinzugefügt wird.

Die Regel „Ignorieren“ in einer Liste von Regeln.

Sie können weitere Regeln hinzufügen, indem Sie Connector-Muster hinzufügen auf der Seite Benutzerdefinierte Connectors auswählen.

Wählen Sie „Connector-Muster hinzufügen“ aus.

Hierdurch wird ein Seitenbereich geöffnet, in dem Sie benutzerdefinierte Connector-URL-Muster hinzufügen und klassifizieren können. Neue Regeln werden am Ende der Musterliste hinzugefügt (als vorletzte Regel, weil * immer der letzte Eintrag in der Liste ist). Sie können die Reihenfolge jedoch aktualisieren, während Sie ein neues Muster hinzufügen.

Fügen Sie benutzerdefinierte Connector-URL-Muster hinzu und klassifizieren Sie sie.

Sie können die Reihenfolge der Muster auch aktualisieren, indem Sie die Dropdownliste Reihenfolge verwenden oder die Optionen Nach oben oder Nach unten auswählen.

Aktualisieren Sie die Reihenfolge der Muster, indem Sie die Dropdownliste „Reihenfolge“ verwenden oder die Optionen „Nach oben“ oder „Nach unten“ auswählen.

Nachdem ein Muster hinzugefügt wurde, können Sie diese Muster bearbeiten oder löschen, indem Sie eine bestimmte Zeile auswählen und die Optionen Bearbeiten oder Löschen verwenden.

Bearbeiten oder löschen Sie benutzerdefinierte Muster.

Powershell-Unterstützung für benutzerdefinierte Connector-URL-Muster

Das Objekt, das benutzerdefinierte Connector-URL-Musterregeln für eine Richtlinie enthält, hat die folgende Struktur:

$UrlPatterns = @{ 
  rules = @(
    @{  
      order # integer (starting at 1)
      customConnectorRuleClassification # supported values: General | Confidential | Blocked | Ignore
      pattern # string
    } 
  )
}

Notiz

In den folgenden Cmdlets bezieht sich PolicyName auf die eindeutige GUID. Sie können die DLP-GUID abrufen, indem Sie das Get-DlpPolicy-Cmdlet ausführen.

Vorhandene URL-Muster des benutzerdefinierten Connectors für eine URL-Richtlinie abrufen

Get-PowerAppPolicyUrlPatterns -TenantId -PolicyName

Erstellen Sie benutzerdefinierte Connector-URL-Muster für eine Richtlinie

New-PowerAppPolicyUrlPatterns -TenantId -PolicyName -NewUrlPatterns

Entfernen Sie benutzerdefinierte Connector-URL-Muster von eine Richtlinie

Remove-PowerAppPolicyUrlPatterns -TenantId -PolicyName

Beispiel

Ziel:

$UrlPatterns = @{
  rules = @(
    @{  
      order = 1
      customConnectorRuleClassification = “Confidential”
      pattern = “https://www.mycompany.com*”
    },
    @{  
      order = 2
      customConnectorRuleClassification = “General”
      pattern = “https://www.bing.com*”
    },
    @{  
      order = 3
      customConnectorRuleClassification = “Blocked”
      pattern = “*”
    }
  )
}
New-PowerAppPolicyUrlPatterns -TenantId $TenantId -PolicyName $PolicyId -NewUrlPatterns $UrlPatterns

Bekannte Einschränkungen

  • Die Verwendung benutzerdefinierter Connectors wird von DLP in Apps, die zuletzt vor Oktober 2020 veröffentlicht wurden, nicht erzwungen.
  • Wenn Umgebungsadministrierende eine Datenrichtlinie auf Umgebungsebene erstellen oder aktualisieren, können sie nur benutzerdefinierte Connectors anzeigen, deren Besitzende sie sind oder die für sie freigegeben wurden.
  • Wenn ein benutzerdefinierter Connector namentlich zu einer Richtlinie auf Mandantenebene hinzugefügt wurde (mithilfe von PowerShell-Cmdlets), werden die URL-Musterregeln für benutzerdefinierte Connectors durch die vorhandene Klassifizierung für den Connector nach Namen ersetzt. Verwenden Sie das Cmdlet Remove-DlpPolicy, um die benutzerdefinierten Connectors aus der Richtlinie zu entfernen, damit diese Regeln wirksam werden. Es wird empfohlen, für Richtlinien auf Mandantenebene nur benutzerdefinierte Connector-Host-URL-Muster zu verwenden. Verwalten Sie benutzerdefinierte Connectors in Richtlinien auf Mandantenebene nicht nach ihren Namen, da der Geltungsbereich einzelner benutzerdefinierter Connectors auf die Umgebungsgrenze beschränkt ist und der Name eines benutzerdefinierten Connectors auf Mandantenebene keine Bedeutung hat.