DLP straategia loomine

Andmelekketõkestuse (DLP) poliitikad toimivad piiretena, mis aitavad vältida kasutajate organisatsiooni andmete tahtmatut paljastamist ja tagada teabe turvalisus rentnikus. DLP poliitikad jõustavad reeglid, mille korral on konnektorid iga keskkonna jaoks lubatud ja mille korral saab konnektoreid koos kasutada. Konnektorid on klassifitseeritud järgmiselt: ainult äriandmed, äriandmed on keelatud või blokeeritud. Ainult äriandmete rühma konnektorit saab kasutada ainult sama rakenduse või voo teiste selle rühma konnektoritega. Lisateave: Microsoft Power Platformi haldamine: andmelekketõkestuse poliitikad

DLP-poliitikate kehtestamine käib käsikäes teie keskkonnastrateegiaga.

Lühiülevaade

• Andmelekketõkestuse (DLP) poliitikad toimivad piiretena, mis takistavad kasutajatel andmeid tahtmatut paljastada.
• DLP poliitikaid saab rakendada keskkonna- ja rentnikutasemel, pakkudes paindlikkust selliste poliitikate loomisel, mis on mõistlikud ega takista suurt tulemuslikkust.
• Keskkonna DLP-poliitikad ei saa alistada rentnikuüleseid DLP-poliitikaid.
• Kui ühe keskkonna jaoks on konfigureeritud mitu poliitikat, kehtib konnektorite kombinatsioonile kõige piiravam poliitika.
• Vaikimisi ei rakendata DLP poliitikaid rentnikus.
• Poliitikaid ei saa rakendada kasutajatasemel, rakendamine on võimalik ainult keskkonna- või rentnikutasemel.
• DLP poliitikad on konnektoriteadlikud, kuid ei kontrolli ühendusi, mis on loodud konnektori abil – teisisõnu pole DLP poliitikad teadlikud sellest, kas kasutate konnektorit ühenduse loomiseks arendus-, test- või töökeskkonnaga.
• Poliitikaid on võimalik hallata PowerShelli ja administraatori konnektorite abil.
• Keskkondade ressursside kasutajad saavad vaadata rakendatavaid poliitikaid.

Konnektori klassifikatsioon

Äri- ja mitte-äriklassifikatsioonid määravad selle, milliseid konnektoreid saab antud rakenduses või voos koos kasutada. Konnektoreid saab klassifitseerida järgmistesse rühmadesse, kasutades DLP poliitikaid.

• Äri: antud Power Appi või Power Automate'i ressurss saab kasutada ühte või mitut ärirühma konnektorit. Kui Power App või Power Automate ressurss kasutab Business Connectorit, ei saa see kasutada ühtegi ärivälist konnektorit.
• Mitte-äri: antud Power Appi või Power Automate'i ressurss saab kasutada ühte või mitut mitte-ärirühma konnektorit. Kui Power App või Power Automate ressurss kasutab mitteärilist konnektorit, ei saa see kasutada ühtegi Business Connectorit.
• Blokeeritud: ükski Power Appi või Power Automate'i ressurss ei saa kasutada rühma Blokeeritud konnektorit. Blokeerida saab kõiki Microsofti omanduses olevaid premium-taseme konnektoreid ja kolmanda osapoole konnektoreid (standard ja premium). Microsofti omanduses olevaid standardseid konnektoreid ja Common Data Service'i konnektoreid ei saa blokeerida.

Nimed „Äri” ja „Mitte-äri” ei oma mingit erilist tähendust - need on lihtsalt nimed. Konnektorite rühmitamine on oluline, mitte selle rühma nimi, kuhu nad on paigutatud.

Lisateavet: Microsoft Power Platformi haldamine: konnektorite klassifikatsioon

DLP poliitikate loomise strateegiad

Keskkonna üle võtva või Power Appsi ja Power Automate'i kasutamise toega alustava administraatorina peaksite DLP poliitikad seadistama esimeste seas. Kui poliitikate baaskomplekt on paigas, saate keskenduda erandite käsitlemisele ja sihitud DLP-poliitikate loomisele, mis rakendavad neid erandeid, kui need on heaks kiidetud.

Soovitame kasutaja ja meeskonna jagatud tööviljakuse keskkondade DLP poliitikate jaoks järgmist lähtepunkti.

• Saate luua poliitika, mis hõlmab kõiki keskkondi peale valitud keskkondade (nt teie töökeskkonnad). Tehke selle poliitika saadaolevad konnektorid kättesaadavaks ainult Office 365 ja muude standardsete mikroteenuste jaoks ning blokeerige juurdepääsu kõigele muule. See poliitika kehtib vaikekeskkonnale ja koolituskeskkondadele, mis teil on sisekoolituste korraldamiseks. Lisaks kehtivad need eeskirjad ka kõigile uutele loodavatele keskkondadele.
• Looge sobivad ja lubavamad DLP-poliitikad oma jagatud kasutajate ja meeskonna tööviljakuskeskkondade jaoks. Need poliitikad võimaldavad koostajatel lisaks Office 365 teenustele kasutada ka selliseid konnektoreid nagu Azure'i teenused. Nendes keskkondades saadaolevad konnektorid sõltuvad teie organisatsioonist ja sellest, kus teie organisatsioon äriandmeid talletab.

Soovitame töökeskkondade (äriüksus ja projekt) DLP poliitikate jaoks järgmist lähtepunkti.

• Välistage need keskkonnad kasutaja ja meeskonna jagatud tööviljakuse poliitikatest.
• Saate äriüksuse ja projektiga töötada, et teha kindlaks, milliseid konnektoreid ja konnektorite kombinatsioone nad kasutavad, ning luua rentniku poliitika ainult valitud keskkondade kaasamiseks.
• Nende keskkondade keskkonnaadministraatorid saavad vajaduse korral kasutada keskkonnapoliitikaid kohandatud konnektorite liigitamiseks ainult äriandmeteks.

Samuti soovitame:

• Minimaalse hulga poliitikate loomist keskkonna kohta. Rentniku- ja keskkonnapoliitikate vahel pole ranget hierarhiat ning kujunduse ja käitusaja ajal hinnatakse kõiki poliitikaid, mis kehtivad keskkonnale, kus rakendus või voog asub, koos, et otsustada, kas ressurss vastab DLP-poliitikatele või rikub neid. Mitu DLP poliitikat, mis on rakendatud ühele keskkonnale, fragmendib teie konnektoriruumi keerulisel viisil ja see võib raskendada teie koostajatel probleemide mõistmist.
• DLP poliitikate keskne haldamine rentnikutaseme poliitikate abil ja keskkonnapoliitikate kasutamine ainult kohandatud konnektorite kategoriseerimiseks või erandjuhtudel.

Kui baasstrateegia on paigas, planeerige, kuidas eranditega toime tulla. Saate teha järgmist.

• Taotluse tagasilükkamine.
• Konnektori lisamine andmelekketõkestuse vaikepoliitikasse.
• Lisage vaikimisi üld-DLP jaoks keskkonnad loendisse „Kõik, välja arvatud” ja looge kasutusjuhtumipõhine DLP poliitika koos erandiga.

Näide: Contoso DLP strateegia

Vaatame, kuidas Contoso Corporation, meie selle juhendi näidisorganisatsioon, oma DLP poliitikaid seadistab. Nende DLP-poliitikate seadistamine on tihedalt seotud nende keskkonnastrateegiaga.

Contoso administraatorid soovivad lisaks kompetentsikeskuse (CoE) tegevuste haldamisele toetada kasutaja ja meeskonna tööviljakuse stsenaariume ja ärirakendusi.

Siin rakendatud keskkond ja DLP-strateegia Contoso administraatorid koosnevad järgmistest osadest.

1. Rentnikuülene piirav DLP-poliitika, mis rakendub rentniku kõigile keskkondadele, v.a mõned konkreetsed keskkonnad, mille nad poliitika ulatusest välja jätsid. Administraatorid püüavad teha selles poliitikas saadaolevad konnektorid kättesaadavaks ainult Office 365 ja muude standardsete mikroteenuste jaoks, blokeerides juurdepääsu kõigele muule. See poliitika kehtib ka vaikekeskkonnale.

2. Contoso administraatorid lõid kasutajatele veel ühe jagatud keskkonna, et luua rakendusi kasutajate ja meeskonna tööviljakuse kasutusjuhtumite jaoks. Sellel keskkonnal on seotud rentnikutaseme DLP poliitika, mis pole nii riskantne kui vaikepoliitika ja võimaldab koostajatel lisaks Office 365 teenustele kasutada ka selliseid konnektoreid nagu Azure'i teenused. Kuna see keskkond pole vaikekeskkond, saavad administraatorid selle keskkonna koostaja loendit aktiivselt juhtida. See on mitmekihiline lähenemine kasutaja ja meeskonna jagatud tööviljakuse keskkonnale ning sellega seotud DLP sätetele.

3. Lisaks lõid nad äriüksuste jaoks ärivaldkonna rakenduste loomiseks arendus-, testimis- ja tootmiskeskkonnad oma maksu- ja auditiettevõtete jaoks erinevates riikides/regioonides. Keskkonna koostaja juurdepääsu nendele keskkondadele hallatakse hoolikalt ning asjakohased esimese ja kolmanda osapoole konnektorid tehakse kättesaadavaks rentnikutasemel DLP poliitikate abil, konsulteerides äriüksuse huvirühmadega.

4. Samuti luuakse keskse IT-osakonna jaoks arendus- / test-/ töökeskkonnad asjakohaste või õigete rakenduste väljatöötamiseks ja kasutuselevõtuks. Nendel ärirakenduste stsenaariumidel on tavaliselt täpselt määratletud konnektorite kogum, mis tuleb nende keskkondade koostajatele, testijatele ja kasutajatele kättesaadavaks teha. Juurdepääsu nendele konnektoritele hallatakse spetsiaalse rentnikutaseme poliitika abil.

5. Contosol on ka eriotstarbeline keskkond, mis on mõeldud nende kompetentsikeskuse tegevuste jaoks. Contosos on eriotstarbelise keskkonna DLP-poliitika endiselt kõrge, arvestades teooriameeskondade raamatu eksperimentaalset olemust. Sel juhul delegeerisid rentnikuadministraatorid selle keskkonna DLP-halduse otse tippkeskuste meeskonna usaldusväärsele keskkonna administraator ja välistasid selle kõigi rentnikutaseme poliitikate koolist. Seda keskkonda haldab ainult keskkonnataseme DLP poliitika, mis on Contoso korral pigem erand.

Nagu oodatud, vastendatakse kõik Contosos loodud uued keskkonnad algse kõigi keskkondade poliitikaga.

See rentnikukesksete DLP-poliitikate seadistus ei takista keskkonnaadministraatoritel välja tulemast oma keskkonnataseme DLP-poliitikatega, kui nad soovivad kehtestada rohkem piiranguid või klassifitseerida kohandatud konnektoreid.

Andmepoliitikate seadistamine

1. Looge oma poliitika Power Platformi halduskeskuses. Lisateave: Andmepoliitikate haldamine

2. DLP SDK abil saate lisada kohandatud konnektoreid DLP poliitikasse.

Organisatsiooni DLP-poliitikate tutvustamine koostajatele

Seadistage SharePointi sait või viki, mis teavitab järgmisest.

• Organisatsioonis kohaldatavad peamised rentniku- ja keskkonnatasemel (nt vaikekeskkond, testkeskkond) DLP-poliitikad, mis sisaldavad äri, mitte-äri ja blokeeritud konnektorite loendeid.
• Teie administraatorite rühma meiliaadressi ID, nii et koostajad saaksid luua kontakti erandlike stsenaariumite jaoks. Näiteks saavad administraatorid aidata koostajatel jõuda tagasi vastavusse olemasoleva DLP poliitika redigeerimisega, teisaldada lahendust mõnda muusse keskkonda, luua uut keskkonda ja uut DLP poliitikat ning teisaldada koostaja ja ressursi sellesse uude keskkonda.

Samuti teavitage tegijaid selgelt oma organisatsioonikeskkonnastrateegiast.