Prevención de pérdida de datos

  • 5 minutos

Las directivas de prevención de pérdida de datos (DLP) pueden actuar como medidas de seguridad para ayudar a evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información del suscriptor. Las directivas DLP imponen reglas que establecen los conectores que estarán habilitados para cada entorno y qué conectores se pueden usar juntos.

Las directivas de DLP evitan el acceso no autorizado a los datos y las fugas desde Microsoft Power Platform. Como arquitecto de soluciones, debe abordar las directivas DLP, ya que:

  • Garantizan el flujo de datos adecuado en una organización, siguiendo las directivas de la organización.
  • Pueden impedir que una solución ya desarrollada funcione correctamente, si no las ha incluido en sus planes.
  • Pueden estropear su solución después de la implementación, si se agregan más tarde.

Hechos clave

Los hechos clave sobre las directivas de prevención de pérdida de datos (DLP) son los siguientes:

  • Las directivas DLP imponen reglas sobre los conectores que se pueden usar conjuntamente.
  • Los conectores se clasifican en grupos.
  • Un conector en un grupo solo se puede utilizar con otros conectores de ese mismo grupo en una aplicación o un flujo.
  • Los administradores de inquilinos pueden definir directivas que se apliquen a todos los entornos.
  • De forma predeterminada, no se implementan directivas de DLP en el inquilino.

Los conectores se clasifican como solo datos comerciales, no se permiten datos comerciales o bloqueados. Un conector del grupo de solo datos comerciales solo se puede usar con otros conectores de ese grupo en la misma aplicación o el mismo flujo. Los nombres "comercial" y "no comercial" no tienen ningún significado especial; se trata, simplemente, de etiquetas. Lo significativo es la agrupación de los conectores, y no el nombre del grupo en el que se encuentran. Los conectores que están bloqueados no se pueden utilizar.

Captura de pantalla de la directiva de prevención de pérdida de datos

Nota

Los conectores de Dataverse no se pueden bloquear.

Directivas de DLP y entornos

Las directivas de DLP pueden estar pensadas para el nivel de inquilino y para el nivel de entorno.

Captura de pantalla del ámbito de las directiva de prevención de pérdida de datos.

Pueden aplicarse varias directivas DLP a un entorno. En el diseño y el runtime, todas las directivas que sean aplicables al entorno en el que reside la aplicación o el flujo se evalúan conjuntamente para decidir si el recurso cumple o infringe las directivas DLP. Si se configuran varias directivas para un entorno, se aplica la directiva más restrictiva a la combinación de conectores.

Nota

Las directivas DLP del entorno no pueden anular las directivas DLP en el nivel de todo el suscriptor.

El objetivo del arquitecto de soluciones debe ser definir el número mínimo de directivas y evitar, si es posible, que se apliquen varias directivas a un entorno.

Se recomienda el siguiente enfoque al crear directivas:

  1. Cree una directiva que abarque todos los entornos y que bloquee todos los conectores no compatibles que no sean de Microsoft y que clasifique todos los conectores de Microsoft como datos empresariales.
  2. Cree una directiva para el entorno predeterminado (y otros entornos de entrenamiento) que restrinja aún más qué conectores de Microsoft se clasifican como datos empresariales.
  3. Cree otras directivas, o excluya esos entornos de las directivas anteriores, para permitir que determinados conectores se utilicen en entornos específicos.

Diagrama de las capas de las directivas de prevención de pérdida de datos.

Implementar directivas

Los arquitectos de soluciones deberían tener en cuenta los siguientes factores en relación con las directivas de prevención de pérdida de datos:

  • Es mejor establecer una directiva predeterminada al principio y después conceder excepciones.
  • Las restricciones nuevas y actualizadas pueden deshabilitar aplicaciones y flujos existentes.
  • Los cambios pueden tardar unos minutos en aplicarse.
  • Las directivas no se pueden aplicar en el nivel de usuario, sino solo en el nivel de suscriptor o entorno.
  • Los conectores de administración y de Microsoft PowerShell pueden administrar directivas.
  • Los usuarios de recursos en entornos pueden ver las directivas que se aplican.

Al implementar en un suscriptor existente, los arquitectos de soluciones deben enlazar con otros grupos de TI para lo siguiente:

  • Confirmar que las directivas DLP están configuradas para admitir el resultado a entregar.
  • Conocer el tiempo de espera necesario para que los cambios se aprueben e implementen.
  • Saber lo que puede hacer y lo que necesita que hagan otros grupos.
  • Usar los grupos de seguridad de Microsoft Entra ID para controlar el acceso a entornos y recursos.