Crear una directiva de prevención de pérdida de datos (DLP)
Para proteger los datos de la organización, puede usar Power Apps para crear y aplicar directivas que los conectores de consumidor qué datos profesionales específicos pueden compartirse. Estas políticas se llaman políticas de prevención de pérdida de datos (DLP). Las directivas DLP garantizan que los datos se administran de forma uniforme en toda la organización e impiden que los datos empresariales importantes se publiquen accidentalmente a conectores como sitios de redes sociales.
Las políticas de DLP se pueden crear a nivel de inquilino o a nivel de entorno, y se administran desde el Centro de administración de Power Platform.
Requisitos previos
Nivel de inquilino
Las políticas a nivel de inquilino se pueden definir para incluir o excluir entornos específicos. Para seguir los pasos descritos en este artículo para las políticas a nivel de inquilino, se requiere uno de los siguientes permisos:
- Permisos de administrador de Microsoft Power Platform
- Permisos de administrador global de Microsoft 365
Nos referimos a estos roles a lo largo de este artículo como administradores de inquilinos. Más información: Uso de roles de administrador de servicios para administrar el inquilino
Nivel de entorno
Para seguir los pasos para las políticas a nivel de entorno, debe tener permisos de administración del entorno de Power Apps. Para entornos con una base de datos de Dataverse, debe tener asignado el rol System Administrador en su lugar.
Nota
Si usa el parámetro de EnvironmentType SingleEnvironment cuando se usa PowerShell para crear una directiva DLP, la cuenta de usuario utilizada para crear la directiva DEBE tener el nivel de entorno y NO DEBE tener permisos de nivel de inquilino como se describe anteriormente, o se devolverá un error de solicitud incorrecta y no se creará la directiva.
Buscar y ver directivas DLP
Para buscar y ver las directivas de DLP, vea Encontrar y ver las directivas de DLP.
El proceso de la directiva DLP
Los siguientes son los pasos que debe seguir para crear una directiva DLP:
- Asigne un nombre a la directiva.
- Clasifique conectores.
- Defina el ámbito de la directiva. Este paso no se aplica a las políticas a nivel de entorno.
- Seleccione entornos.
- Revisión de configuración.
Esto se cubre en la siguiente sección.
Tutorial: Crear una directiva DLP
En este tutorial de ejemplo, crearemos una directiva DLP a nivel de inquilino. Agregaremos SharePoint y Salesforce al grupo de datos Negocio de una directiva DLP. También agregaremos Facebook y Twitter al grupo de datos Bloqueado. Dejaremos los conectores restantes en el grupo de datos No comercial. Luego excluiremos los entornos de prueba del alcance de esta directiva y aplicaremos la directiva a los entornos restantes, como los entornos predeterminados y de producción en el inquilino.
Después de guardar esta directiva, cualquier fabricante de Power Apps o Power Automate que forma parte del entorno de la directiva DLP puede crear una aplicación o un flujo que comparta datos entre SharePoint o Salesforce. Cualquier recurso de Power Apps o Power Automate que incluye una conexión existente con un conector en el grupo de datos No comercial no podrá establecer conexiones con SharePoint o conectores de Salesforce, y viceversa. Además, estos creadores no podrán agregar conectores de Facebook o Twitter a ningún recurso de Power Apps o Power Automate.
En el centro de administración de Power Platform, seleccione Directivas>Directivas de datos>Nueva directiva.
Si no existen directivas en el inquilino, verá la siguiente página.
Escriba un nombre de directiva y seleccione Siguiente.
Revise los diversos atributos y configuraciones que puede realizar en la página Asignar conectores.
Atributos
Attribute Description Name El nombre del conector. Bloqueable Conectores que pueden bloquearse. Para obtener una lista de los conectores que no se pueden bloquear, consulte la Lista de conectores que no se pueden bloquear.. Escribir Si el uso del conector requiere una licencia Premium o está incluido en la licencia básica / estándar para Microsoft Power Platform. Editor La empresa que publica el conector. Este valor puede ser diferente del propietario del servicio. Por ejemplo, Microsoft puede ser el editor del conector de Salesforce, pero el servicio subyacente es propiedad de Salesforce, no de Microsoft. Acerca de la aplicación Seleccione la URL para obtener más información sobre el conector. Listas
Pivot Descripción Empresa (n) Conectores para datos confidenciales de negocios. Los conectores de este grupo no pueden compartir datos con conectores de otros grupos. No empresariales/
Predeterminado (n)Conectores para datos no comerciales, como datos de uso personal. Los conectores de este grupo no pueden compartir datos con conectores de otros grupos. Bloqueados (n) Los conectores bloqueados no se pueden usar cuando se aplica esta directiva. Acciones
Acción Descripción Establecer grupo predeterminado El grupo que asigna cualquier conector nuevo agregado por Microsoft Power Platform después de crear su directiva DLP. Más información: Grupo de datos predeterminado para nuevos conectores Conectores de búsqueda Busque en una larga lista de conectores para encontrar conectores específicos para clasificar. Puede buscar en cualquier campo en la vista de lista de conectores, como Nombre, Bloqueable, Tipo o Editor. Puede realizar las siguientes acciones:
Description 1 Asigne uno o más conectores a través de grupos de clasificación de conectores 2 Tablas pivote del grupo de clasificación de conectores 3 Barra de búsqueda para buscar conectores en propiedades como Nombre, Bloqueable, Tipo o Editor 4 Grupo de clasificación de conector que asigna cualquier conector nuevo agregado por Microsoft Power Platform después de crear su directiva DLP. 5 Conectores de selección, selección múltiple o selección masiva para moverse entre grupos 6 Capacidad de clasificación alfabética en columnas individuales 7 Botones de acción para asignar conectores individuales a través de grupos de clasificación de conectores Seleccione uno o más conectores. Para este tutorial, seleccione los conectores SalesForce y SharePoint, y luego seleccione Mover a Negocios desde la barra de menú superior. También puede usar los puntos suspensivos (
) a la derecha del nombre del conector.
Los conectores aparecerán en el grupo de datos Profesional.
Los conectores pueden residir en un solo grupo de datos a la vez. Al mover los conectores SharePoint y Salesforce al grupo de datos Profesional impedirá que los usuarios creen flujos y aplicaciones que combinen estos dos conectores en cualquiera de los grupos de conectores No profesional o Bloqueado.
Para conectores como SharePoint que no son bloqueables, la acción Bloquear se atenuará y aparecerá una advertencia.
Revise y cambie la configuración de grupo predeterminada para los nuevos conectores, si es necesario. Recomendamos mantener la configuración predeterminada como No comercial para asignar cualquier conector nuevo agregado a Microsoft Power Platform por defecto. Los conectores no comerciales se pueden asignar manualmente a Negocio o Bloqueado más tarde editando la directiva DLP, después de que haya tenido la oportunidad de revisarlos y asignarlos. Si la nueva configuración del conector es Bloqueado, cualquier conector nuevo que sea bloqueable se asignará a Bloqueado, como se esperaba. Sin embargo, cualquier conector nuevo que no se pueda bloquear se asignará a No comercial porque por diseño no se pueden bloquear.
Seleccione el icono Establecer grupo predeterminado en la esquina superior derecha.
Después de completar todas las asignaciones de conectores en los grupos Negocio/No comercial/Bloqueado y establecer el grupo predeterminado para nuevos conectores, seleccione Siguiente.
Elija el ámbito de la directiva DLP. Este paso no está disponible para directivas de nivel de entorno, porque siempre están destinadas a un único entorno.
Para los fines de este tutorial, excluirá los entornos de prueba de esta directiva. Seleccione Excluir ciertos entornos y en la página Agregar entornos, seleccione Siguiente.
Revise los diversos atributos y configuraciones en la página Agregar entornos. Para las directivas de nivel de inquilino, esta lista mostrará al administrador de nivel de inquilino todos los entornos del inquilino. Para las directivas de nivel de entorno, esta lista solo mostrará el subconjunto de entornos en el inquilino que se administran por el usuario que inició sesión como Administrador de entornos o como Administrador del sistema para entornos con bases de datos de Dataverse.
Atributos
Attribute Description Name Nombre del entorno. Escribir El tipo de entorno: prueba, producción, espacio aislado, predeterminado Región La región asociada al entorno. Autor Usuario que creó el entorno. Fecha de creación La fecha en la que se creó el entorno. Listas
Pivot Descripción Disponible (n) Entornos que no están explícitamente incluidos o excluidos en el ámbito de la directiva. Para directivas de nivel de entorno y directivas de nivel de inquilino con alcance definido como Agregar múltiples entornos, esta lista representa el subconjunto de entornos que no están incluidos en el ámbito de la directiva. Para directivas de nivel de inquilino con ámbito definido como Excluir ciertos entornos, este pivot representa el conjunto de entornos que están incluidos en el ámbito de la directiva. Agregado a la directiva (n) Para directivas de nivel de entorno y directivas de nivel de inquilino con alcance definido como Agregar múltiples entornos, este pivot representa el subconjunto de entornos que están incluidos en el ámbito de la directiva. Para directivas de nivel de inquilino con ámbito definido como Excluir ciertos entornos, este pivot representa el subconjunto de entornos que están excluidos del ámbito de la directiva. Acciones
Acción Descripción Agregar a directiva Los entornos en la categoría Disponible se puede mover a la categoría Agregado a la directiva mediante el uso de esta acción. Quitar de directiva Los entornos en la categoría Agregado a la directiva se pueden mover a la categoría Disponible mediante el uso de esta acción. Seleccione uno o más entornos. Puede usar la barra de búsqueda para encontrar rápidamente los entornos de interés. Para este tutorial, buscaremos entornos de prueba: escriba espacio aislado. Después de seleccionar los entornos de espacio aislado, los asignamos al ámbito de la directiva utilizando Agregar a la directiva desde la barra de menú superior.
Debido a que el alcance de la directiva se seleccionó inicialmente como Excluir ciertos entornos, estos entornos de prueba ahora se excluirán del alcance de la directiva y la configuración de la directiva DLP se aplicará a todo el resto de entornos (Disponible). Para la directiva de nivel de entorno, solo puede seleccionar un entorno único de la lista de entornos disponibles.
Después de hacer selecciones para entornos, seleccione Siguiente.
Revise la configuración de la directiva y luego seleccione Crear directiva.
La directiva se crea y aparece en la lista de directivas DLP. Como resultado de esta directiva, las aplicaciones de SharePoint y Salesforce pueden compartir datos en entornos que no sean de pruebatales como entornos de producciónporque ambos son parte del mismo grupo de datos Negocio. Sin embargo, cualquier conector que reside en el grupo de datos No comercial, como Outlook.com, no compartirá datos con aplicaciones y flujos utilizando conectores de SharePoint o Salesforce. Los conectores de Facebook y Twitter están totalmente bloqueados para su uso en cualquier aplicación o flujo en entornos que no sean de prueba, como los entornos de producción o los entornos predeterminados.
Se recomienda que los administradores compartan la lista de directivas DLP con su organización para que los usuarios sean conscientes de las directivas antes de crear aplicaciones.
Esta tabla describe cómo la directiva DLP que creó afecta las conexiones de datos en aplicaciones y flujos.
| Matriz de conector | SharePoint (Business) | Salesforce (Negocios) | Outlook.com (No comercial) | Facebook (Bloqueado) | Twitter (Bloqueado) |
|---|---|---|---|---|---|
| SharePoint (Business) | Permitido | Permitido | Denegado | Denegado | Denegado |
| Salesforce (Negocios) | Permitido | Permitido | Denegado | Denegado | Denegado |
| Outlook.com (No comercial) | Denegado | Denegado | Permitido | Denegado | Denegado |
| Facebook (Bloqueado) | Denegado | Denegado | Denegado | Denegado | Denegado |
| Twitter (Bloqueado) | Denegado | Denegado | Denegado | Denegado | Denegado |
Debido a que no se ha aplicado una directiva DLP a los entornos de prueba, las aplicaciones y los flujos pueden usar cualquier conjunto de conectores en estos entornos.
Utilizar los comandos de DLP de PowerShell
Vea Comandos de directiva de prevención de pérdida de datos (DLP).
Vea también
Directivas de prevención de pérdida de datos
Administrar directivas de prevención de pérdida de datos (DLP)
Comandos de directiva de prevención de pérdida de datos (DLP)
SDK de prevención de pérdida de datos (DLP) de Power Platform