Einrichten einer DLP-Strategie

  • Artikel

Richtlinien zur Verhinderung von Datenverlust (Verhinderung von Datenverlust, DLP) fungieren als Leitplanken, um zu verhindern, dass Benutzer unbeabsichtigt Organisationsdaten preisgeben, und um die Informationssicherheit im Mandant zu schützen. DLP-Richtlinien setzen Regeln durch, für die Konnektoren für jede Umgebung aktiviert sind und die Konnektoren zusammen verwendet werden können. Konnektoren werden entweder als nur Geschäftsdaten, keine Geschäftsdaten erlaubt oder gesperrt klassifiziert. Ein Konnektor in der Unternehmensgruppe „Nur Geschäftsdaten“ kann nur mit anderen Konnektoren aus dieser Gruppe in derselben App oder demselben Flow verwendet werden. Weitere Informationen: Verwalten Sie Microsoft Power Platform: Richtlinien zur Verhinderung von Datenverlust

Die Einrichtung Ihrer DLP-Richtlinien geht Hand in Hand mit Ihrer Umgebungsstrategie.

Kurze Fakten

  • Verhinderung von Datenverlust (DLP) Richtlinien fungieren als Leitplanken, um zu verhindern, dass Benutzer unbeabsichtigt Daten preisgeben.
  • DLP-Richtlinien können auf Umgebungs- und Mandant-Ebene definiert werden und bieten so die Flexibilität, Richtlinien zu erstellen, die sinnvoll sind und hohe Produktivität nicht blockieren.
  • DLP-Umgebungsrichtlinien können keinen mandantenweite DLP-Richtlinien überschreiben.
  • Wenn mehrere Richtlinien für eine Umgebung konfiguriert sind, gilt die restriktivste Richtlinie für die Kombination von Konnektoren.
  • Standardmäßig werden im Mandant keine DLP-Richtlinien implementiert.
  • Richtlinien können nicht auf Benutzerebene angewendet werden, sondern nur auf Umgebungs- oder Mandantenebene.
  • DLP-Richtlinien sind Konnektoren bekannt, kontrollieren aber nicht die Verbindungen, die über den Konnektor hergestellt werden - mit anderen Worten, DLP-Richtlinien wissen nicht, ob Sie den Konnektor verwenden, um eine Verbindung zu einer Entwicklungs-, Test- oder Produktionsumgebung herzustellen.
  • PowerShell- und Admin-Konnektoren können Richtlinien verwalten.
  • Benutzer von Ressourcen in Umgebungen können geltende Richtlinien einsehen.

Connector-Klassifizierung

Geschäftliche und nicht-geschäftliche Klassifikationen ziehen Grenzen um die Konnektoren, die in einer bestimmten App oder einem bestimmten Flow zusammen verwendet werden können. Konnektoren können mit Hilfe von DLP-Richtlinien in die folgenden Gruppen klassifiziert werden:

  • Geschäftlich: Eine bestimmte Power App oder Power Automate-Ressource kann einen oder mehrere Konnektoren einer Unternehmensgruppe verwenden. Wenn eine Power Apps oder Power Automate-Ressource einen Business-Konnektor verwendet, kann sie keinen Nicht-Business-Konnektor verwenden.
  • Nicht geschäftlich: Eine bestimmte Power Apps oder Power Automate-Ressource kann einen oder mehrere Konnektoren aus einer nicht geschäftlichen Unternehmensgruppe verwenden. Wenn eine Power Apps oder Power Automate-Ressource einen nicht geschäftlichen Konnektor verwendet, kann sie keinen geschäftlichen Konnektor verwenden.
  • Blockiert: Keine Power App oder Power Automate-Ressource kann einen Konnektor aus einer blockierten Gruppe verwenden. Alle Microsoft-eigenen Premium-Konnektoren und Konnektoren von Drittanbietern (Standard und Premium) können blockiert werden. Alle im Besitz von Microsoft befindlichen Standard-Konnektoren und Common Data Service-Konnektoren können nicht blockiert werden.

Die Namen „geschäftlich“ und „nicht geschäftlich“ haben keine besondere Bedeutung, es handelt sich lediglich um Beschriftungen. Die Gruppierung der Konnektoren selbst ist von Bedeutung, nicht der Name der Gruppe, in der sie sich befinden.

Weitere Informationen: Verwalten Sie Microsoft Power Platform: Klassifizierung von Konnektoren

Strategien zum Erstellen von DLP-Richtlinien

Für einen Administrator, der eine Umgebung übernimmt oder der mit der Unterstützung der Verwendung von Power Apps und Power Automate beginnt, sollte eine der ersten Handlungen darin bestehen, DLP-Richtlinien einzurichten. Auf diese Weise wird sichergestellt, dass ein Basissatz an Richtlinien vorhanden ist. Anschließend können Sie sich auf die Behandlung von Ausnahmen und die Erstellung zielgerichteter DLP-Richtlinien konzentrieren, die diese Ausnahmen nach der Genehmigung implementieren.

Wir empfehlen den folgenden Ausgangspunkt für DLP-Richtlinien für gemeinsame Benutzer- und Teamproduktivitätsumgebungen:

  • Erstellen Sie eine Richtlinie, die alle Umgebungen mit Ausnahme ausgewählter Umgebungen (z.B. Ihre Produktionsumgebungen) umfasst, halten Sie die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste beschränkt und blockieren Sie den Zugriff auf alles andere. Diese Richtlinie gilt auch für die Standardumgebung und für Schulungsumgebungen, die Sie für die Durchführung interner Schulungsveranstaltungen haben. Darüber hinaus gilt diese Richtlinie auch für alle neuen Umgebungen, die erstellt werden.
  • Erstellen Sie angemessene und freizügigere DLP-Richtlinien für Ihre gemeinsame Benutzer- und Teamproduktivitäts-Umgebungen. Diese Richtlinien könnten es Makers ermöglichen, zusätzlich zu den Office 365-Diensten Konnektoren wie Azure-Dienste zu verwenden. Welche Konnektoren in diesen Umgebungen verfügbar sind, hängt von Ihrer Organisation ab und davon, wo Ihre Organisation Geschäftsdaten speichert.

Wir empfehlen den folgenden Ausgangspunkt für DLP-Richtlinien für Produktionsumgebungen (Geschäftseinheit und Projekt):

  • Schließen Sie diese Umgebungen von den Richtlinien für gemeinsame Benutzer- und Teamproduktivität aus.
  • Arbeiten Sie mit der Geschäftseinheit und dem Projekt zusammen, um festzulegen, welche Konnektoren und Konnektorkombinationen sie verwenden werden, und erstellen Sie eine Richtlinie für den Mandant, die nur die ausgewählten Umgebungen umfasst.
  • Admins dieser Umgebungen können bei Bedarf mithilfe von Richtlinien für Umgebungen benutzerdefinierte Konnektoren nur als Geschäftsdaten kategorisieren.

Zusätzlich zu den obigen Ausführungen empfehlen wir ebenfalls:

  • Erstellen einer minimalen Anzahl von Richtlinien pro Umgebung. Es gibt keine strikte Hierarchie zwischen Mandant und Richtlinien für die Umgebung, und bei Design und Laufzeit werden alle Richtlinien, die für die Umgebung gelten, in der sich die App oder der Flow befindet, gemeinsam bewertet, um zu entscheiden, ob die Ressource den DLP-Richtlinien entspricht oder gegen sie verstößt. Mehrfache DLP-Richtlinien, die auf eine Umgebung angewendet werden, fragmentieren Ihren Konnektorbereich auf komplizierte Weise und erschweren möglicherweise das Verständnis der Probleme, mit denen Ihre Makers konfrontiert sind.
  • Zentrale Verwaltung von DLP-Richtlinien unter Verwendung von Richtlinien auf Mandantenebene und unter Verwendung von Umgebungsrichtlinien nur zur Kategorisierung benutzerdefinierter Konnektoren oder in Ausnahmefällen.

Planen Sie, wie Ausnahmen behandelt werden sollen, wenn dies eingerichtet ist. Folgende Möglichkeiten stehen Ihnen zur Verfügung:

  • Die Anforderung ablehnen.
  • Den Konnektor der Standard-DLP-Richtlinie hinzufügen.
  • Fügen Sie die Umgebungen zur Liste Alle Ausnahmen für das globale Standard-DLP hinzu und erstellen Sie eine nutzungsfallbezogene DLP-Richtlinie mit der enthaltenen Ausnahme.

Beispiel: Die DLP-Strategie von Contoso

Schauen wir uns an, wie die Contoso Corporation, unsere Beispielorganisation für diese Anleitung, ihre DLP-Richtlinien eingerichtet hat. Die Einrichtung ihrer DLP-Richtlinien hängt eng mit ihrer Umgebungsstrategie zusammen.

Die Admins von Contoso wollen neben dem Aktivitätsmanagement des Center of Excellence (CoE) auch Benutzer- und Teamproduktivitätsszenarien und Unternehmensanwendungen unterstützen.

Die Umgebung und DLP-Strategie, die Contoso-Admins hier angewandt haben, besteht aus:

  1. Eine mandantenweite restriktive DLP-Richtlinie, die für alle Umgebungen im Mandant gilt, mit Ausnahme einiger spezifischer Umgebungen, die sie aus dem Geltungsbereich der Richtlinie ausgeschlossen haben. Admins beabsichtigen, die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste zu beschränken, indem sie den Zugriff auf alles andere blockieren. Diese Richtlinie gilt auch für die Standardumgebung.

  2. Die Admins von Contoso haben eine weitere gemeinsame Umgebung für Benutzer geschaffen, um Apps für Anwendungsfälle der Benutzer- und Teamproduktivität zu erstellen. Dieser Umgebung ist eine DLP-Richtlinie auf Mandantenebene zugeordnet, die nicht so risikoscheu ist wie eine Standard-Richtlinie und es Makers ermöglicht, zusätzlich zu den Office 365-Diensten Konnektoren wie Azure-Dienste zu verwenden. Da es sich hierbei um eine nicht standardmäßige Umgebung handelt, können Admins die Liste der Environment-Maker dafür aktiv kontrollieren. Dies ist ein abgestufter Ansatz für eine gemeinsame Umgebung für Benutzer- und Teamproduktivität und damit verbundene DLP-Einstellungen.

  3. Zudem haben die Geschäftsbereiche zur Erstellung von Branchenanwendungen Entwicklungs‑, Test‑ und Produktionsumgebungen für ihre Steuer‑ und Wirtschaftsprüfungsniederlassungen in verschiedenen Ländern/Regionen erstellt. Der Zugriff des Environment Makers auf diese Umgebungen wird sorgfältig verwaltet, und geeignete Erst- und Drittkonnektoren werden unter Verwendung von DLP-Richtlinien auf Mandantenebene in Absprache mit den Interessenvertretern des Geschäftsbereichs zur Verfügung gestellt.

  4. In ähnlicher Weise werden Entwicklungs-/Test-/Produktionsumgebungen für die zentrale IT-Abteilung erstellt, um relevante oder richtige Anwendungen zu entwickeln und einzuführen. Diese Unternehmensanwendungsszenarien verfügen in der Regel über einen gut definierten Satz von Konnektoren, die für Maker, Tester und Benutzer in diesen Umgebungen zur Verfügung gestellt werden müssen. Der Zugriff auf diese Konnektoren wird über eine dedizierte Richtlinie auf Mandantenebene verwaltet.

  5. Contoso verfügt auch über eine spezielle Umgebung, die den Aktivitäten des Center of Excellence (CoE) gewidmet ist. In Contoso wird die DLP-Richtlinie für die spezielle Umgebung aufgrund des experimentellen Charakters des Buches für Theorieteams weiterhin einen hohen Stellenwert haben. In diesem Fall haben Mandant-Admins die DLP-Verwaltung für diese Umgebung direkt an einen vertrauenswürdigen Umgebungs-Admin des CoE-Teams delegiert und sie von einer Schule aller Richtlinien auf Mandantenebene ausgeschlossen. Diese Umgebung wird nur durch die DLP-Richtlinie auf Umgebungsebene verwaltet, die bei Contoso eher eine Ausnahme als die Regel darstellt.

Wie erwartet, werden alle neuen Umgebungen, die in Contoso erstellt werden, der ursprünglichen Richtlinie für alle Umgebungen zugeordnet.

Dieser Aufbau von mandantenzentrierten DLP-Richtlinien hindert Umgebungsadministratoren nicht daran, ihre eigenen DLP-Richtlinien auf Umgebungsebene zu entwickeln, wenn sie zusätzliche Einschränkungen einführen oder benutzerdefinierte Connectors klassifizieren möchten.

Wie Contoso seine DLP-Richtlinie einrichtete.

Einrichten von DLP-Richtlinien

  1. Erstellen Sie Ihre Richtlinie im Power Platform Admin Center. Weitere Informationen: Erstellen einer DLP-Richtlinie

  2. Verwenden Sie das DLP SDK, um benutzerdefinierte Konnektoren zu einer DLP-Richtlinie hinzuzufügen.

Kommunizieren der DLP-Richtlinien Ihrer Organisation klar und deutlich an die Maker

Richten Sie eine SharePoint-Site oder ein Wiki ein, das klar kommuniziert:

  • DLP-Richtlinien, die in der Organisation durchgesetzt werden, einschließlich Listen von Konnektoren, die als geschäftlich, nicht geschäftlich und blockiert eingestuft werden, auf der Ebene des Mandants und wichtiger Umgebungen (z. B. Standardumgebung, Testumgebung).
  • Die E-Mail-ID Ihrer Admin-Gruppe, damit Maker Kontakt für Ausnahmeszenarien aufnehmen können. Beispielsweise können Admins den Herstellern dabei helfen, die Einhaltung der Richtlinien wieder herzustellen, eine bestehende DLP-Richtlinie zu bearbeiten, die Lösung in eine andere Umgebung zu verschieben, eine neue Umgebung und eine neue DLP-Richtlinie zu erstellen und den Maker und die Ressource in diese neue Umgebung zu verschieben.

Kommunizieren Sie auch klar die Umgebungstrategie Ihrer Organisation an die Maker.