Capas de directivas de prevención de pérdida de datos

  • 10 minutos

En el módulo Introducción a la gobernanza y seguridad de Microsoft Power Platform se presentaron las directivas de prevención de pérdida de datos (DLP), que restringen los conectores que se pueden usar en conjunto dentro del mismo flujo o la misma aplicación. En el módulo también se presentó el ámbito al que se aplicará una directiva DLP. Por ejemplo, puede crear una directiva DLP que solo se aplique a un entorno. Además, puede crear una directiva DLP que se aplique a todo el inquilino, lo que significa que, cuando se creen entornos nuevos, heredarán automáticamente esta directiva DLP para todo el inquilino.

En las secciones siguientes se describe cómo establecer capas de directivas DLP. Una organización puede optar por implementar un enfoque en capas que habilite escenarios específicos, pero bloquee otros. Cuando haya directivas en conflicto, Microsoft seguirá aplicando la directiva más restrictiva.

Escenario 1: Microsoft 365 Outlook y OneDrive para la Empresa

En este caso de uso, un departamento de TI desea permitir que los usuarios copien automáticamente los datos adjuntos de correo electrónico en su cuenta de Microsoft OneDrive para la Empresa. Como resultado, el administrador de un entorno creará una directiva DLP que incluye conectores de Office 365 Outlook y OneDrive para la Empresa en el grupo de datos Empresariales y deja todos los demás conectores en el grupo de datos No empresariales.

Captura de pantalla de la directiva de Prevención de pérdida de datos.

Una vez que se guarda esta directiva DLP, los creadores de aplicaciones pueden crear flujos que les permitan copiar los datos adjuntos de correo electrónico en OneDrive.

Captura de pantalla del ejemplo de flujo con Aplicar a cada acción abierto.

Cuando los responsables guardan un flujo, se aplican las directivas DLP. Si el flujo está habilitado o tiene el estado activado, sabrá que no ha infringido ninguna directiva. Experimentará el comportamiento de un flujo que infringe una directiva DLP más adelante en este módulo.

Captura de pantalla del flujo Power Automate activado.

Escenario 2: SharePoint y Teams

El segundo escenario trata de la publicación de notificaciones en un canal de Microsoft Teams cada vez que se crea un elemento en una lista de Listas Microsoft. Para habilitar este escenario, creará otra directiva DLP. En este escenario, solo tendrá los conectores de SharePoint y Microsoft Teams en el grupo de datos Empresariales. Todos los conectores restantes se colocarán en el grupo de datos No empresariales.

Captura de pantalla de configuración de la directiva de Prevención de pérdida de datos.

Una vez que haya guardado esta directiva DLP, podrá crear un flujo que implemente la funcionalidad designada, que incluye registrar un mensaje en un canal de Teams cada vez que se cree un elemento en una lista de Listas Microsoft.

Captura de pantalla del flujo de ejemplo de Power Automate.

Cuando guarde este flujo, detectará que se ha habilitado, lo que significa que cumple las directivas DLP.

Captura de pantalla del flujo de habilitación de Power Automate.

Escenario 3: Microsoft 365 Outlook y SharePoint

En este escenario, verá qué ocurre cuando algunas directivas DLP entran en conflicto entre sí. En este escenario se incluye el registro de correos electrónicos entrantes en Listas Microsoft para que pueda hacer el seguimiento de los elementos de acción de ese buzón.

Actualmente, tiene directivas DLP únicas que incluyen estos conectores en los grupos de datos Empresariales. Sin embargo, estos conectores se reparten en dos directivas DLP distintas. Si lo recuerda, en el primero escenario se incluyeron los conectores de Office 365 Outlook y OneDrive para la Empresa. En el segundo escenario, se incluyeron los conectores de SharePoint y Microsoft Teams con la misma directiva. Actualmente, no hay ninguna directiva que permita incluir tanto los conectores de Office 365 Outlook como los de SharePoint en el mismo flujo o en la misma aplicación.

Puede crear una tercera directiva DLP que sí incluya los conectores de Office 365 Outlook y SharePoint en el grupo de datos Empresariales. Todos los demás conectores se colocan en el entorno del grupo de datos No empresariales.

Captura de pantalla de la página de directivas de datos de Power Automate.

Ahora creará un flujo que incluya un desencadenador de Office 365 Outlook y una acción de SharePoint.

Captura de pantalla del flujo de ejemplo de Power Automate con SharePoint.

Cuando guarde este flujo, encontrará el error siguiente que indica que infringió una directiva DLP y que, como resultado, se suspendió el flujo.

Captura de pantalla del error de Prevención de pérdida de datos.

Es posible que se pregunte por qué se produjo este error, considerando que creó una directiva DLP que permite explícitamente que tanto los conectores de Office 365 Outlook como los de SharePoint se incluyan en el mismo flujo. Si bien efectivamente creó esta directiva DLP, Microsoft seguirá aplicando la directiva más restrictiva. Microsoft no le permitirá omitir las directivas DLP anteriores mediante la introducción de directivas nuevas. De lo contrario, se podría producir una pérdida no deseada de datos a medida que las organizaciones incluyan directivas DLP nuevas.

Por lo tanto, es posible que se pregunte cómo puede admitir la capacidad que Office 365 Outlook tiene para comunicarse con SharePoint. En este caso, deberá actualizar las directivas existentes para incluir estos conectores en los grupos de datos Empresariales. Una vez que complete esta tarea, deberá habilitar explícitamente los flujos que actualmente están suspendidos debido a las directivas DLP.