Teilen über


Einrichten einer DLP-Strategie

Richtlinien zur Verhinderung von Datenverlust (Verhinderung von Datenverlust, DLP) fungieren als Leitplanken, um zu verhindern, dass Benutzer unbeabsichtigt Organisationsdaten preisgeben, und um die Informationssicherheit im Mandant zu schützen. DLP-Richtlinien setzen Regeln durch, für die Konnektoren für jede Umgebung aktiviert sind und die Konnektoren zusammen verwendet werden können. Konnektoren werden entweder als nur Geschäftsdaten, keine Geschäftsdaten erlaubt oder gesperrt klassifiziert. Ein Konnektor in der Unternehmensgruppe „Nur Geschäftsdaten“ kann nur mit anderen Konnektoren aus dieser Gruppe in derselben App oder demselben Flow verwendet werden. Weitere Informationen: Verwalten Sie Microsoft Power Platform: Richtlinien zur Verhinderung von Datenverlust

Die Einrichtung Ihrer DLP-Richtlinien geht Hand in Hand mit Ihrer Umgebungsstrategie.

Kurze Fakten

  • Datenschutzrichtlinien (DLP) fungieren als Schutzplanken, um zu verhindern, dass Benutzer unbeabsichtigt Daten preisgeben.
  • DLP-Richtlinien können auf Umgebungs- und Mandant-Ebene definiert werden und bieten so die Flexibilität, Richtlinien zu erstellen, die sinnvoll sind und hohe Produktivität nicht blockieren.
  • Umgebungs-DLP-Richtlinien können mandantenweite DLP-Richtlinien nicht überschreiben.
  • Wenn mehrere Richtlinien für eine Umgebung konfiguriert sind, gilt die restriktivste Richtlinie für die Kombination von Konnektoren.
  • Standardmäßig werden im Mandant keine DLP-Richtlinien implementiert.
  • Richtlinien können nicht auf Benutzerebene angewendet werden, sondern nur auf Umgebungs- oder Mandantenebene.
  • DLP-Richtlinien sind Konnektoren bekannt, kontrollieren aber nicht die Verbindungen, die über den Konnektor hergestellt werden - mit anderen Worten, DLP-Richtlinien wissen nicht, ob Sie den Konnektor verwenden, um eine Verbindung zu einer Entwicklungs-, Test- oder Produktionsumgebung herzustellen.
  • PowerShell- und Admin-Konnektoren können Richtlinien verwalten.
  • Benutzer von Ressourcen in Umgebungen können geltende Richtlinien einsehen.

Connector-Klassifizierung

Geschäftliche und nicht-geschäftliche Klassifikationen ziehen Grenzen um die Konnektoren, die in einer bestimmten App oder einem bestimmten Flow zusammen verwendet werden können. Konnektoren können mit Hilfe von DLP-Richtlinien in die folgenden Gruppen klassifiziert werden:

  • Geschäft: Eine bestimmte Power App oder Power Automate Ressource kann einen oder mehrere Konnektoren aus einer Geschäftsgruppe verwenden. Wenn eine Power App bzw. Power Automate-Ressource einen Geschäftskonnektor verwendet, kann sie keinen Nicht-Geschäftskonnektor verwenden.
  • Nicht geschäftlich: Eine bestimmte Power App oder Power Automate Ressource kann einen oder mehrere Konnektoren aus einer nicht geschäftlichen Gruppe verwenden. Wenn eine Power App bzw. Power Automate-Ressource einen Nicht-Geschäftskonnektor verwendet, kann sie keinen Geschäftskonnektor verwenden.
  • Blockiert: Keine Power App oder Power Automate Ressource kann einen Connector aus einer blockierten Gruppe verwenden. Alle Microsofteigenen Premium-Konnektoren und Drittanbieter-Konnektoren (Standard und Premium) können blockiert werden. Alle Microsofteigenen Standard-Konnektoren und Common Data Service Konnektoren können nicht blockiert werden.

Die Namen „geschäftlich“ und „nicht geschäftlich“ haben keine besondere Bedeutung, es handelt sich lediglich um Beschriftungen. Die Gruppierung der Konnektoren selbst ist von Bedeutung, nicht der Name der Gruppe, in der sie sich befinden.

Weitere Informationen: Verwalten Sie Microsoft Power Platform: Klassifizierung von Konnektoren

Strategien zum Erstellen von DLP-Richtlinien

Für einen Administrator, der eine Umgebung übernimmt oder der mit der Unterstützung der Verwendung von Power Apps und Power Automate beginnt, sollte eine der ersten Handlungen darin bestehen, DLP-Richtlinien einzurichten. Sobald ein Basissatz an Richtlinien vorhanden ist, können Sie sich auf die Behandlung von Ausnahmen und die Erstellung zielgerichteter DLP-Richtlinien konzentrieren, die diese Ausnahmen nach der Genehmigung implementieren.

Wir empfehlen den folgenden Ausgangspunkt für DLP-Richtlinien für gemeinsame Benutzer- und Teamproduktivitätsumgebungen:

  • Erstellen Sie eine Richtlinie, die alle Umgebungen mit Ausnahme ausgewählter Umgebungen (z.B. Ihre Produktionsumgebungen) umfasst, halten Sie die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste beschränkt und blockieren Sie den Zugriff auf alles andere. Diese Richtlinie gilt auch für die Standardumgebung und für Schulungsumgebungen, die Sie für die Durchführung interner Schulungsveranstaltungen haben. Darüber hinaus gilt diese Richtlinie auch für alle neuen Umgebungen, die erstellt werden.
  • Erstellen Sie angemessene und freizügigere DLP-Richtlinien für Ihre gemeinsame Benutzer- und Teamproduktivitäts-Umgebungen. Diese Richtlinien könnten es Makers ermöglichen, zusätzlich zu den Office 365-Diensten Konnektoren wie Azure-Dienste zu verwenden. Die in diesen Umgebungen verfügbaren ConnectorS sind von Ihrer Organisation und davon, wo Ihre Organisation Geschäftsdaten speichert, abhängig.

Wir empfehlen den folgenden Ausgangspunkt für DLP-Richtlinien für Produktionsumgebungen (Geschäftseinheit und Projekt):

  • Schließen Sie diese Umgebungen von den Richtlinien für gemeinsame Benutzer- und Teamproduktivität aus.
  • Arbeiten Sie mit der Geschäftseinheit und dem Projekt zusammen, um festzulegen, welche Konnektoren und Konnektorkombinationen sie verwenden werden, und erstellen Sie eine Richtlinie für den Mandant, die nur die ausgewählten Umgebungen umfasst.
  • Umgebungsadministratoren dieser Umgebungen können Umgebungsrichtlinien verwenden, um benutzerdefinierte Konnektoren bei Bedarf ausschließlich als Geschäftsdaten zu kategorisieren.

Wir empfehlen Ihnen außerdem:

  • Erstellen einer minimalen Anzahl von Richtlinien pro Umgebung. Es gibt keine strenge Hierarchie zwischen Mandanten‑ und Umgebungsrichtlinien, bei Design und Laufzeit werden alle Richtlinien, die für die Umgebung gelten, in der sich die App oder der Flow befindet, zusammen ausgewertet, um zu entscheiden, ob die Ressource den DLP-Richtlinien entspricht oder gegen diese verstößt. Die Anwendung mehrerer DLP-Richtlinien auf ein Umgebung fragmentiert Ihren Connector-Bereich auf komplizierte Weise und erschwert möglicherweise das Verständnis der Probleme, mit denen Ihre Hersteller konfrontiert sind.
  • Zentrale Verwaltung von DLP-Richtlinien unter Verwendung von Richtlinien auf Mandantenebene und unter Verwendung von Umgebungsrichtlinien nur zur Kategorisierung benutzerdefinierter Konnektoren oder in Ausnahmefällen.

Planen Sie, wie mit Ausnahmen umgegangen werden sollen, sobald Sie eine Basisstrategie eingerichtet haben. Sie können Folgendes ausführen:

  • Die Anforderung ablehnen.
  • Den Konnektor der Standard-DLP-Richtlinie hinzufügen.
  • Fügen Sie die Umgebungen zur Liste Alle Ausnahmen für das globale Standard-DLP hinzu und erstellen Sie eine nutzungsfallbezogene DLP-Richtlinie mit der enthaltenen Ausnahme.

Beispiel: Die DLP-Strategie von Contoso

Schauen wir uns an, wie die Contoso Corporation, unsere Beispielorganisation für diese Anleitung, ihre DLP-Richtlinien eingerichtet hat. Die Einrichtung ihrer DLP-Richtlinien hängt eng mit ihrer Umgebungsstrategie zusammen.

Die Admins von Contoso wollen neben dem Aktivitätsmanagement des Center of Excellence (CoE) auch Benutzer- und Teamproduktivitätsszenarien und Unternehmensanwendungen unterstützen.

Die Umgebung und DLP-Strategie, die Contoso-Administrierende hier angewandt haben, besteht aus:

  1. Einer mandantenweiten restriktiven DLP-Richtlinie, die für alle Umgebungen im Mandanten gültig ist, mit Ausnahme einiger spezifischer Umgebungen, die sie aus dem Richtlinienbereich ausgeschlossen haben. Admins beabsichtigen, die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste zu beschränken, indem sie den Zugriff auf alles andere blockieren. Diese Richtlinie gilt auch für die Standardumgebung.

  2. Contoso-Administrierende haben eine weitere gemeinsame Umgebung für Benutzende erstellt, in der Apps für Anwendungsfälle zur Produktivität von Benutzenden und Teams erstellt werden können. Dieser Umgebung ist eine DLP-Richtlinie auf Mandantenebene zugeordnet, die nicht so risikoscheu ist wie eine Standard-Richtlinie und es Makers ermöglicht, zusätzlich zu den Office 365-Diensten Konnektoren wie Azure-Dienste zu verwenden. Da es sich hierbei um eine nicht standardmäßige Umgebung handelt, können Administrierende die Liste der Umgebungserstellenden dafür aktiv kontrollieren. Dies ist ein abgestufter Ansatz für eine gemeinsame Umgebung für Benutzer- und Teamproduktivität und damit verbundene DLP-Einstellungen.

  3. Zudem haben die Geschäftsbereiche zur Erstellung von Branchenanwendungen Entwicklungs‑, Test‑ und Produktionsumgebungen für ihre Steuer‑ und Wirtschaftsprüfungsniederlassungen in verschiedenen Ländern/Regionen erstellt. Der Zugriff des Environment Makers auf diese Umgebungen wird sorgfältig verwaltet, und geeignete Erst- und Drittkonnektoren werden unter Verwendung von DLP-Richtlinien auf Mandantenebene in Absprache mit den Interessenvertretern des Geschäftsbereichs zur Verfügung gestellt.

  4. In ähnlicher Weise werden Entwicklungs-/Test-/Produktionsumgebungen für die zentrale IT-Abteilung erstellt, um relevante oder richtige Anwendungen zu entwickeln und einzuführen. Diese Unternehmensanwendungsszenarien verfügen in der Regel über einen gut definierten Satz von Konnektoren, die für Maker, Tester und Benutzer in diesen Umgebungen zur Verfügung gestellt werden müssen. Der Zugriff auf diese Konnektoren wird über eine dedizierte Richtlinie auf Mandantenebene verwaltet.

  5. Contoso verfügt auch über eine spezielle Umgebung, die den Aktivitäten des Center of Excellence (CoE) gewidmet ist. In Contoso bleibt die DLP-Richtlinie für die Umgebung für spezielle Zwecke angesichts des experimentellen Charakters des Buchs der Theorieteams aktuell. In diesem Fall haben Mandantenadministrierende die DLP-Verwaltung für diese Umgebung direkt an eine vertrauenswürdige Fachkraft für die Umgebungsadministration des CoE-Teams delegiert und sie von der Schule aller Richtlinien auf Mandantenebene ausgeschlossen. Diese Umgebung wird nur durch die DLP-Richtlinie auf Umgebungsebene verwaltet, die bei Contoso eher eine Ausnahme als die Regel darstellt.

Alle neuen in Contoso erstellten Umgebungen werden erwartungsgemäß der ursprünglichen Richtlinie für alle Umgebungen zugeordnet.

Diese Einrichtung mandantenzentrierter DLP-Richtlinien verhindert nicht, dass Umgebungsadministrierende ihre eigenen DLP-Richtlinien auf Umgebungsebene entwickeln, wenn sie mehr Einschränkungen einführen oder benutzerdefinierte Connectors klassifizieren möchten.

Wie Contoso seine DLP-Richtlinie einrichtete.

Datenrichtlinien einrichten

  1. Erstellen Sie Ihre Richtlinie im Power Platform Admin Center. Weitere Informationen: Datenrichtlinien verwalten

  2. Verwenden Sie das DLP SDK, um benutzerdefinierte Konnektoren zu einer DLP-Richtlinie hinzuzufügen.

Kommunizieren der DLP-Richtlinien Ihrer Organisation klar und deutlich an die Maker

Richten Sie eine SharePoint-Site oder ein Wiki ein, das klar kommuniziert:

  • DLP-Richtlinien, die in der Organisation durchgesetzt werden, einschließlich Listen von Konnektoren, die als geschäftlich, nicht geschäftlich und blockiert eingestuft werden, auf der Ebene des Mandants und wichtiger Umgebungen (z. B. Standardumgebung, Testumgebung).
  • Die E-Mail-ID Ihrer Admin-Gruppe, damit Maker Kontakt für Ausnahmeszenarien aufnehmen können. Beispielsweise können Admins den Herstellern dabei helfen, die Einhaltung der Richtlinien wieder herzustellen, eine bestehende DLP-Richtlinie zu bearbeiten, die Lösung in eine andere Umgebung zu verschieben, eine neue Umgebung und eine neue DLP-Richtlinie zu erstellen und den Maker und die Ressource in diese neue Umgebung zu verschieben.

Verdeutlichen Sie den Erstellern auch die Umgebungsstrategie Ihrer Organisation.