Erstellen einer Richtlinie für die Verhinderung von Datenverlust (DLP-Richtlinie)
Um die Daten in Ihrer Organisation zu schützen, können Sie mit Power Apps Richtlinien erstellen und durchsetzen, die die Konnektoren für Verbraucher definieren, mit denen bestimmte Geschäftsdaten ausgetauscht werden können. Diese Richtlinien werden Datenverlustprävention (DLP) Richtlinien genannt. DLP-Richtlinien stellen sicher, dass die Daten in Ihrem Unternehmen auf einheitliche Weise verwaltet werden, und verhindern, dass wichtige Geschäftsdaten versehentlich auf Konnektoren wie Social Media-Websites veröffentlicht werden.
DLP-Richtlinien können auf der Ebene des Mandants oder der Umgebung erstellt werden und werden vom Admin-Zentrum Power Platform aus verwaltet.
Voraussetzungen
Mandanten-Ebene
Richtlinien auf Mandantenebene können definiert werden, um bestimmte Umgebungen ein- oder auszuschließen. Um die in diesem Artikel beschriebenen Schritte für Richtlinien auf Mandantenebene durchzuführen, ist eine der folgenden Berechtigungen erforderlich:
- Microsoft Power Platform-Administratorberechtigungen
- Globale Microsoft 365-Administratorberechtigungen
Diese Rollen werden in diesem Artikel als Mandantenadministratoren bezeichnet. Weitere Informationen: Verwenden Sie Service-Admin-Rollen zur Verwaltung Ihres Mandants
Umgebungsebene
Um den Schritten für Richtlinien auf Umgebungsebene folgen zu können, benötigen Sie Power Apps Umgebungs-Admin-Berechtigungen. Für Umgebungen mit einer Dataverse-Datenbank muss Ihnen stattdessen die Rolle des Systemadministrators zugewiesen werden.
Notiz
Wenn der SingleEnvironment-EnvironmentType-Parameter bei Verwendung von PowerShell zum Erstellen einer DLP-Richtlinie verwendet wird, MUSS das zur Erstellung der Richtlinie verwendete Benutzerkonto wie oben beschrieben über Berechtigungen auf Umgebungsebene verfügen und DARF NICHT über Berechtigungen auf Mandantenebene verfügen, oder es wird ein Fehler „Ungültige Anforderung“ zurückgegeben, und die Richtlinie wird nicht erstellt.
Suchen und Anzeigen von DLP-Richtlinien
Um DLP-Richtlinien zu finden und anzuzeigen, gehen Sie zu DLP-Richtlinien finden und anzeigen.
Der DLP-Richtlinienprozess
Im Folgenden sind die Schritte aufgeführt, die Sie zur Erstellung einer DLP-Richtlinie befolgen müssen:
- Weisen Sie der Richtlinie einen Namen zu.
- Klassifizieren Sie Konnektoren.
- Definieren Sie den Geltungsbereich der Richtlinie. Dieser Schritt gilt nicht für Richtlinien auf Umgebungsebene.
- Wählen Sie Umgebungen aus.
- Überprüfen Sie die Einstellungen.
Diese werden im nächsten Abschnitt behandelt.
Komplettlösung: Erstellen einer DLP-Richtlinie
In dieser exemplarischen Komplettlösung erstellen wir eine DLP-Richtlinie auf Mandantenebene. Wir fügen SharePoint und Salesforce zu der Datengruppe Geschäft einer DLP-Richtlinie hinzu. Außerdem fügen wir Facebook und Twitter zur Datengruppe Blockiert hinzu. Die übrigen Konnektoren belassen wir in der Datengruppe Nicht geschäftlich. Dann schließen wir Testumgebungen aus dem Geltungsbereich dieser Richtlinie aus und wenden die Richtlinie auf die verbleibenden Umgebungen an, z.B. Standard- und Produktionsumgebungen im Mandant.
Nachdem diese Richtlinie gespeichert wurde, kann jeder Ersteller von Power Apps oder Power Automate, der Teil der Umgebung der DLP-Richtlinie ist, eine App oder einen Fluss erstellen, der Daten zwischen SharePoint oder Salesforce austauscht. Jede Power Apps- oder Power Automate-Ressource, die eine bestehende Verbindung mit einem Konnektor in der Datengruppe Nicht geschäftlich enthält, darf keine Verbindungen mit SharePoint- oder Salesforce-Konnektoren herstellen und umgekehrt. Außerdem können diese Ersteller keine Facebook- oder Twitter-Konnektoren zu einer Power Apps- oder Power Automate-Ressource hinzufügen.
Wählen Sie in Power Platform Admin Center Richtlinien>Datenrichtlinien>Neue Richtlinie.
Falls im Mandant keine Richtlinien existieren, sehen Sie die folgende Seite.
Geben Sie den Namen einer Richtlinie ein und wählen Sie dann Weiter.
Prüfen Sie die verschiedenen Attribute und Einstellungen, die Sie auf der Seite Konnektoren zuweisen vornehmen können.
Attribute
Attribute Beschreibung Name des Dataflows Der Name des Konnektors. Blockierbar Konnektoren, die blockiert werden können. Eine Liste der Konnektoren, die nicht blockiert werden können, finden Sie unter Liste der Konnektoren, die nicht blockiert werden können. Typ Unabhängig davon, ob für die Verwendung des Konnektors eine Premium-Lizenz erforderlich ist oder ob er in der Basis-/Standardlizenz für Microsoft Power Platform enthalten ist. Herausgeber Das Unternehmen, das den Konnektor veröffentlicht. Dieser Wert kann sich vom Besitzer des Dienstes unterscheiden. Beispielsweise kann Microsoft der Herausgeber des Salesforce-Konnektors sein, aber der zugrunde liegende Dienst gehört Salesforce und nicht Microsoft. Info Wählen Sie die URL für weitere Informationen über den Konnektor. Listen
Pivot Beschreibung Geschäftlich (n) Konnektoren für geschäftskritische Daten. Konnektoren in dieser Gruppe können keine Daten mit Konnektoren in anderen Gruppen austauschen. Nicht geschäftlich/
Standard (n)Konnektoren für nicht geschäftliche Daten, wie z.B. Daten zum persönlichen Gebrauch. Konnektoren in dieser Gruppe können keine Daten mit Konnektoren in anderen Gruppen austauschen. Blockiert (n) Blockierte Konnektoren können nicht verwendet werden, wenn diese Richtlinie angewendet wird. Aktionen
Aktion Beschreibung Standardgruppe festlegen Die Gruppe, die alle neuen Konnektoren abbildet, die durch Microsoft Power Platform nach Ihrer DLP-Richtlinie hinzugefügt werden, wird erstellt. Weitere Informationen: Standarddatengruppe für neue Konnektoren Connectors suchen Durchsuchen Sie eine lange Liste von Konnektoren, um bestimmte zu klassifizierende Konnektoren zu finden. Sie können in jedem Feld in der Listenansicht des Konnektors suchen, z. B. Name, Blockierbar, Typ oder Herausgeber. Sie können die folgenden Aktionen durchführen:
Beschreibung 1 Weisen Sie einen oder mehrere Konnektoren über Konnektor-Klassifizierungsgruppen hinweg zu 2 Pivot-Tabellen zur Klassifizierung von Konnektoren 3 Suchleiste, um Konnektoren über Eigenschaften wie Name, Blockierbar, Typ oder Herausgeber zu finden 4 Es wird eine Konnektor-Klassifizierungsgruppe erstellt, die alle neuen Konnektoren abbildet, die durch Microsoft Power Platform nach Ihrer DLP-Richtlinie hinzugefügt werden. 5 Wählen Sie Konnektoren zum Verschieben zwischen Gruppen aus, wählen Sie sie mehrfach aus oder wählen Sie sie im Voraus aus 6 Alphabetische Sortierfähigkeit über einzelne Spalten hinweg 7 Aktionsschaltflächen zur Zuweisung einzelner Konnektoren über Konnektor-Klassifizierungsgruppen Wählen Sie einen oder mehrere Konnektoren aus. Wählen Sie für diese exemplarische Vorgehensweise die Konnektoren SalesForce und SharePoint aus und wählen Sie dann in der oberen Menüleiste Geschäftlich. Sie können auch die Ellipse (
) rechts neben dem Namen des Konnektors verwenden.
Die Konnektoren erscheinen in der Datengruppe Geschäftlich.
Konnektoren können sich jeweils nur in einer Datengruppe befinden. Wenn Sie die SharePoint Konnektoren und Salesforce in die Datengruppe Geschäftlich verschieben, verhindern Sie, dass Benutzer Flüsse und Apps erstellen, die diese beiden Konnektoren mit einem der Konnektoren in den Gruppen Nicht geschäftlich oder Blockiert kombinieren.
Für Konnektoren wie SharePoint, die nicht blockierbar sind, wird die Aktion Blockieren ausgegraut und eine Warnung angezeigt.
Überprüfen und ändern Sie die Standardgruppeneinstellung für neue Konnektoren, falls erforderlich. Wir empfehlen, die Standardeinstellung als Nicht geschäftlich beizubehalten, um alle neuen Konnektoren, die standardmäßig zu Microsoft Power Platform hinzugefügt werden, abzubilden. Nicht geschäftliche Konnektoren können später manuell Geschäftlich oder Blockiert zugewiesen werden, indem Sie die DLP-Richtlinie bearbeiten, nachdem Sie die Gelegenheit hatten, sie zu überprüfen und zuzuweisen. Wenn die neue Konnektor-Einstellung Blockiert lautet, werden alle neuen Konnektoren, die blockierbar sind, erwartungsgemäß Blockiert zugeordnet. Alle neuen Konnektoren, die nicht blockiert werden können, werden jedoch nicht geschäftlich zugeordnet, da sie vom Design her nicht blockiert werden können.
Wählen Sie in der oberen rechten Ecke Standardgruppe festlegen.
Nachdem Sie alle Konnektor-Zuweisungen in den Gruppen Geschäftlich/Nicht geschäftlich/Blockiert durchgeführt und die Standardgruppe für neue Konnektoren festgelegt haben, wählen Sie Weiter.
Wählen Sie den Geltungsbereich der DLP-Richtlinie. Dieser Schritt steht nicht für Richtlinien auf Umgebungsebene zur Verfügung, da diese immer für eine einzelne Umgebung gedacht sind.
Für die Zwecke dieser exemplarischen Vorgehensweise schließen Sie Testumgebungen von dieser Richtlinie aus. Wählen Sie Bestimmte Umgebungen ausschließen und auf der Seite Umgebungen hinzufügen wählen Sie Weiter.
Prüfen Sie die verschiedenen Attribute und Einstellungen auf der Seite Umgebungen hinzufügen. Bei Richtlinien auf Mandantenebene zeigt diese Liste dem Admin auf Mandantenebene alle Umgebungen im Mandant an. Bei Richtlinien auf Umgebungsebene zeigt diese Liste nur die Teilmenge der Umgebungen im Mandant an, die von dem Benutzer verwaltet werden, der sich als Environment Admin oder als System Administrator für Umgebungen mit einer Dataverse Datenbank angemeldet hat.
Attribute
Attribute Beschreibung Name des Dataflows Der Name der Umgebung. Typ Die Art der Umgebung: Versuch, Produktion, Sandbox, Standard Region Die Region im Zusammenhang mit der Umgebung. Erstellt von Der Benutzer, der die Umgebung erstellt hat. Erstellungszeitpunkt (Ein) Das Datum, an dem die Umgebung erstellt wurde. Listen
Pivot Beschreibung Verfügbar (n) Umgebungen, die nicht ausdrücklich in den Geltungsbereich der Richtlinie einbezogen oder ausgeschlossen sind. Bei Richtlinien auf Umgebungsebene und Richtlinien auf Mandant-Ebene, deren Geltungsbereich als Mehrere Umgebungen hinzufügen definiert ist, stellt diese Liste die Untergruppe von Umgebungen dar, die nicht in den Geltungsbereich der Richtlinie fallen. Bei Richtlinien auf Mandantenebene mit einem Geltungsbereich, der als Bestimmte Umgebungen ausschließen definiert ist, stellt dieser Pivot den Satz von Umgebungen dar, die in den Geltungsbereich der Richtlinie fallen. Zur Richtlinie hinzugefügt (n) Bei Richtlinien auf Umgebungebene und Richtlinien auf Mandant-Ebene mit dem Geltungsbereich Mehrere Umgebungen hinzufügen stellt diese Liste die Untergruppe von Umgebungen dar, die in den Geltungsbereich der Richtlinie fallen. Bei Richtlinien auf Mandantenebene mit einem Geltungsbereich, der als Ausschluss bestimmter Umgebungen definiert ist, stellt dieser Drehpunkt die Teilmenge der Umgebungen dar, die vom Richtlinienbereich ausgeschlossen sind. Aktionen
Aktion Beschreibung Zu Richtlinie hinzufügen Umgebungen in der Kategorie Verfügbar können mit dieser Aktion in die Kategorie Hinzufügen zu Richtlinie verschoben werden. Aus Richtlinie entfernen Umgebungen in der Kategorie Hinzufügen zu Richtlinie können mit dieser Aktion in die Kategorie Verfügbar verschoben werden. Wählen Sie eine oder mehrere Umgebungen aus. Sie können die Suchleiste verwenden, um die interessierenden Umgebungen schnell zu finden. Für diese exemplarische Vorgehensweise suchen wir nach Testumgebungen - geben Sie Sandbox ein. Nachdem wir die Sandbox-Umgebungen ausgewählt haben, weisen wir sie dem Richtlinienbereich zu, indem wir Zu Richtlinie hinzufügen in der oberen Menüleiste verwenden.
Da der Richtlinienbereich ursprünglich als Bestimmte Umgebungen ausschließen gewählt wurde, werden diese Testumgebungen nun vom Richtlinienbereich ausgeschlossen und die DLP-Richtlinieneinstellungen werden auf alle verbleibenden (Verfügbar) Umgebungen angewendet. Bei Richtlinien auf Umgebungebene können Sie nur eine einzige Umgebung aus der Liste der verfügbaren Umgebungen auswählen.
Nach der Auswahl von Umgebungen wählen Sie Weiter.
Prüfen Sie die Richtlinieneinstellungen und wählen Sie dann Richtlinie erstellen.
Die Richtlinie wird erstellt und erscheint in der Liste der DLP-Richtlinien. Als Ergebnis dieser Richtlinie können SharePoint und Salesforce Apps Daten in Nicht-Testumgebungenwie z. B. Produktionsumgebungengemeinsam nutzen, da sie beide Teil derselben Business Datengruppe sind. Ein Konnektor, der sich in der Datengruppe Nicht geschäftlich, wie Outlook.com, befindet, gibt jedoch keine Daten an Apps und Flows unter Verwendung von SharePoint- oder Salesforce-Konnektoren frei. Facebook- und Twitter-Konnektoren sind insgesamt für die Verwendung in Apps oder Flüssen in Nicht-Testumgebungen wie Produktions- oder Standardumgebungen gesperrt.
Es ist eine gute Praxis für Admins, die Liste der DLP-Richtlinien mit ihrer Organisation zu teilen, damit die Benutzer die Richtlinien kennen, bevor sie Apps erstellen.
Diese Tabelle beschreibt, wie sich die von Ihnen erstellte DLP-Richtlinie auf die Datenverbindungen in Apps und Flüssen auswirkt.
| Konnektor-Matrix | SharePoint (Business) | Salesforce (Unternehmen) | Outlook.com (nicht geschäftlich) | Facebook (blockiert) | Twitter (blockiert) |
|---|---|---|---|---|---|
| SharePoint (Business) | Zulässig | Zulässig | Verweigert | Verweigert | Verweigert |
| Salesforce (Unternehmen) | Zulässig | Zulässig | Verweigert | Verweigert | Verweigert |
| Outlook.com (nicht geschäftlich) | Verweigert | Verweigert | Zulässig | Verweigert | Verweigert |
| Facebook (blockiert) | Verweigert | Verweigert | Verweigert | Verweigert | Verweigert |
| Twitter (blockiert) | Verweigert | Verweigert | Verweigert | Verweigert | Verweigert |
Da keine DLP-Richtlinie auf Testumgebungen angewendet wurde, können Apps und Flüsse in diesen Umgebungen einen beliebigen Satz von Konnektoren zusammen verwenden.
DLP PowerShell-Befehle verwenden
Siehe Data Loss Prevention (DLP)-Richtlinienbefehle.
Siehe auch
Richtlinien zur Verhinderung von Datenverlust
Richtlinien für die Verhinderung von Datenverlust (DLP-Richtlinien)
Befehle der Richtlinie zur Verhinderung von Datenverlusten (DLP)
Power Platform SDK zur Verhinderung von Datenverlust (DLP)