DLP-strategian laatiminen
Tietojen menetyksen estämisen (DLP) käytännöt toimivat varmistuksina, joilla estetään käyttäjiä paljastamasta organisaation tietoja tahattomasti ja suojataan tietoturvaa vuokraajassa. DLP-käytännöt panevat täytäntöön sääntöjä siitä, mitkä yhdistimet otetaan käyttöön kullekin ympäristölle ja mitä yhdistimiä käytetään yhdessä. Yhdistimet luokitellaan seuraavasti: vain liiketoimintatiedot, ei liiketoimintatietoja tai estetty. Vain liiketoimintatietojen ryhmän yhdistintä voi käyttää vain muiden saman ryhmän yhdistimien kanssa samassa sovelluksessa tai työnkulussa. Lisätietoja: Microsoft Power Platformin hallinta: Tietojen menetyksen estämiskäytännöt
DLP-käytäntöjen luominen käy käsi kädessä ympäristöstrategian kanssa.
Pikatietoja
- Tietojen menetyksen estämisen (DLP) käytännöt toimivat suojakaiteina, jotka auttavat estämään käyttäjiä paljastamasta tietoja tahattomasti.
- DLP-käytäntöjä voidaan määrittää ympäristötasolla ja vuokraajatasolla, millä saavutetaan joustavuus, joka sallii sellaisten järkevien käytäntöjen luomisen, jotka eivät estä korkeaa tuottavuutta.
- Ympäristön DLP-käytännöt eivät voi ohittaa vuokraajakohtaisia DLP-käytäntöjä.
- Jos yhdelle ympäristölle määritetään useita käytäntöjä, yhdistinyhdistelmään sovelletaan rajoittavinta käytäntöä.
- Oletusarvoisesti vuokraajalla ei sovelleta DLP-käytäntöjä.
- Käytäntöjä ei voi soveltaa käyttäjätasolla, vaan vain ympäristön tai vuokraajan tasolla.
- DLP-käytännöissä otetaan yhdistimet huomioon, mutta niillä ei ohjata yhdistimillä luotuja yhteyksiä. Toisin sanoen DLP-käytännöt eivät ota huomioon, käytetäänkö yhdistintä kehitys-, testi- vai tuotantoympäristöön yhdistämiseen.
- PowerShell- ja järjestelmänvalvojayhdistimet voivat hallita käytäntöjä.
- Ympäristöjen resurssien käyttäjät voivat tarkastella sovellettavia käytäntöjä.
Yhdistimen luokittelu
Liiketoiminnalliset ja muut kuin liiketoiminnalliset luokitukset luovat rajat sille, mitä yhdistimiä voi käyttää yhdessä kulloisessakin sovelluksessa tai työnkulussa. DLP-käytäntöjen avulla yhdistimet voidaan luokitella seuraaviin ryhmiin:
- Liiketoiminta: Tietty Power App tai Power Automate resurssi voi käyttää yhtä tai useampaa liiketoimintaryhmän yhdistintä. Jos Power App- tai Power Automate -resurssi käyttää liiketoimintayhdistintä, se ei voi käyttää muuta kuin liiketoimintayhdistintä.
- Ei-liiketoiminta: Tietty Power App tai Power Automate resurssi voi käyttää yhtä tai useampaa yhdistintä muusta kuin liiketoimintaryhmästä. Jos Power App- tai Power Automate -resurssi käyttää muuta kuin liiketoimintayhdistintä, se ei voi käyttää muuta kuin liiketoimintayhdistintä.
- Estetty: Mikään Power App tai Power Automate resurssi ei voi käyttää estetyn ryhmän yhdistintä. Kaikki Microsoft omistamat premium-liittimet ja kolmannen osapuolen liittimet (vakio ja premium) voidaan estää. Kaikkien Microsoft omistamia vakioliittimiä ja Common Data Service yhdistimiä ei voi estää.
Määritteillä "liiketoiminta" ja "muu kuin liiketoiminta" ei ole erityistä merkitystä. Ne ovat vain selitteitä. Itse yhdistimien ryhmittelyllä on merkitystä, mutta ei sillä ryhmällä, johon ne on luokiteltu.
Lisätietoja: Microsoft Power Platformin hallinta: Yhdistinten luokittelu
DLP-käytäntöjen luontistrategiat
Jos järjestelmänvalvoja, joka ottaa ympäristön hallintaansa tai aloittaa Power Appsin ja Power Automaten käytön, DLP-käytäntöjen määrittäminen on yksi ensimmäisenä tehtävistä määrityksistä. Kun peruskäytännöt ovat käytössä, voit sitten keskittyä poikkeusten hallintaan ja sellaisten kohdistettujen DLP-käytäntöjen luontiin, jotka toteuttavat nämä poikkeukset hyväksynnän jälkeen.
Suosittelemme seuraavaa aloituskohtaa jaettujen käyttäjien ja ryhmien tuottavuusympäristöjen DLP-käytännöille:
- Luo käytäntö, joka kattaa muut kuin valitut ympäristöt (kuten tuotantoympäristösi), pidä tämän käytännön käytettävissä olevat yhdistimet rajoitettuna Office 365:lle ja muille vakiomuotoisille mikropalveluille ja estä pääsy kaikkeen muuhun. Tätä käytäntöä sovelletaan oletusympäristöön sekä koulutusympäristöihin, jotka sinulla on sisäisten koulutustapahtumien suorittamista varten. Lisäksi tätä käytäntöä sovelletaan myös kaikkiin uusiin luotuihin ympäristöihin.
- Luo sopivia ja sallivampia DLP-käytäntöjä jaetuille käyttäjien ja ryhmien tuottavuusympäristöille Näillä käytännöillä voi sallia tekijöiden käyttää Azure-palvelujen kaltaisia yhdistimiä Office 365 -palvelujen lisäksi. Näissä ympäristöissä käytettävissä olevat yhdistimet määräytyvät organisaation mukaan ja sen mukaan, mihin organisaatio tallentaa liiketoimintatietoja.
Suosittelemme seuraavaa aloituskohtaa tuotantoympäristöjen (liiketoimintayksikköjen ja projektien) DLP-käytännöille:
- Sulje kyseiset ympäristöt pois jaettujen käyttäjien ja ryhmien tuottavuuskäytännöistä.
- Tee yhteistyötä liiketoimintayksikön ja projektin kanssa sen selvittämiseksi, mitä yhdistimiä ja yhdistinyhdistelmiä ne käyttävät, ja luo vuokraajakäytäntö, joka sisältää vain valitut ympäristöt.
- Näiden ympäristöjen ympäristöjärjestelmänvalvojat voivat tarvittaessa käyttää ympäristökäytäntöjä luokitellakseen mukautettuja yhdistimiä vain liiketoimintatietoja varten.
Suosittelemme myös:
- Luodaan mahdollisimman pieni määrä käytäntöjä ympäristöä kohden. Vuokraaja- ja ympäristökäytäntöjen välillä ei ole tarkkaa hierarkiaa ja suunnittelu- ja suoritusvaiheessa kaikki käytännöt, joita sovelletaan sovelluksen tai työnkulun sisältävään ympäristöön, arvioidaan yhdessä sen määrittämiseksi, noudattaako vai rikkooko resurssi DLP-käytäntöjä. Yhdessä ympäristössä käytetyt useat DLP-käytännöt pirstovat liitintilaa monimutkaisilla tavoilla ja saattavat vaikeuttaa tekijöiden kohtaamien ongelmien ymmärtämistä.
- Hallitse DLP-käytäntöjä keskitetysti käyttämällä vuokraajatason käytäntöjä ja käytä ympäristökäytäntöjä vain mukautettujen yhdistimien luokitteluun ja erityistapauksissa.
Kun perusstrategia on tehty, suunnittele poikkeuksien käsitteleminen. Voit tehdä seuraavia toimintoja:
- Hylkää pyyntö.
- Lisää yhdistin DLP-oletuskäytäntöön.
- Lisää ympäristöt yleisen oletus-DLP:n Kaikki paitsi -luetteloon ja luo käyttötapauskohtainen DLP-käytäntö, joka sisältää poikkeuksen.
Esimerkki: Contoson DLP-strategia
Seuraavassa tarkastellaan, miten Contoso Corporation eli tämän opastuksen esimerkkiorganisaatio määritti DLP-käytäntönsä. Sen DLP-käytäntöjen määritys on tiukasti sidoksissa sen ympäristöstrategiaan.
Contoson järjestelmänvalvojat haluavat tukea käyttäjien ja ryhmien tuottavuusskenaarioita ja yrityssovelluksia sekä osaamiskeskuksen (CoE) aktiviteettien hallintaa.
Contoson järjestelmänvalvojien tässä soveltama DLP-strategia koostuu seuraavasta:
Vuokraajanlaajuinen rajoittava DLP-käytäntö, jota sovelletaan kaikkiin vuokraajan ympäristöihin, lukuun ottamatta tiettyjä ympäristöjä, jotka on poistettu käytännön soveltamisalasta. Järjestelmänvalvojat aikovat rajata tämän käytännön käytettävissä olevat liittimet Office 365:een ja muihin vakiomuotoisiin mikropalveluihin estämällä kaiken muun käytön. Tätä käytäntöä sovelletaan myös oletusympäristöön.
Contoson järjestelmänvalvojat ovat luoneet toisen jaetun ympäristön käyttäjille sovellusten luomiseksi käyttäjien ja ryhmien tuottavuuden käyttötapauksia varten. Tälle ympäristölle on määritetty vuokraajatason DLP-käytäntö, joka ei ole yhtä riskejä välttelevä kuin oletuskäytäntö ja sallii tekijöiden käyttää Azure-palvelujen kaltaisia yhdistimiä Office 365 -palvelujen lisäksi. Koska tämä ei ole oletusympäristö, järjestelmänvalvojat voivat aktiivisesti hallita sen ympäristöntekijöiden luetteloa. Tämä on tasokohtainen lähestymistapa käyttäjien ja ryhmien tuottavuusympäristöihin ja niihin liittyviin DLP-asetuksiin.
Lisäksi, jotta liiketoimintayksiköt voivat luoda liiketoiminta-aluesovelluksia, järjestelmänvalvojat ovat luoneet kehitys-, testi- ja tuotantoympäristöjä vero- ja auditointitytäryhtiöille eri maissa/alueilla. Ympäristöntekijän käyttöoikeuksia näihin ympäristöihin hallitaan huolellisesti ja asianmukaiset ensimmäisen ja kolmannen osapuolen yhdistimet annetaan käyttöön vuokraajatason DLP-käytäntöjen perusteella kuullen liiketoimintayksikön sidosryhmiä.
Lisäksi kehitys-/testi-/tuotantoympäristöjä luodaan keskitetyn IT-osaston käyttöön olennaisten tai oikeiden sovellusten kehittämistä ja käyttöönottoa varten. Näissä yrityssovellusskenaarioissa on yleensä tarkoin määritelty yhdistinjoukko, joka on näissä ympäristöissä annettava tekijöiden, testaajien ja käyttäjien käyttöön. Näiden yhdistimien käyttöoikeuksia hallitaan käyttämällä erillistä vuokraajatason käytäntöä.
Contosolla on myös erityisympäristö nimenomaisesti osaamiskeskusaktiviteettejaan varten. Contosolla erityistarkoitusten ympäristön DLP-käytäntö pysyy käyttäjäläheisenä, koska teoriaryhmän kirja on kokeellinen. Tässä tapauksessa vuokraajan järjestelmänvalvojat ovat delegoineet tämän ympäristön DLP-hallinnan suoraan osaamiskeskuksen luotetulle ympäristön järjestelmänvalvojalle ja sulkeneet sen pois joukosta koko vuokraajan tason käytäntöjä. Ympäristöä hallitsee vain ympäristötason DLP-käytäntö, mikä on enemmän poikkeus kuin sääntö Contosolla.
Odotetusti kaikki Contosossa luodut uudet ympäristöt liittyvät alkuperäiseen kaikkia ympäristöjä koskevaan käytäntöön.
Tämä vuokralaiskeskeinen DLP-käytäntöjen määritys ei estä ympäristön järjestelmänvalvojia kehittämästä omia ympäristötason DLP-käytäntöjään, jos he haluavat ottaa käytäntöön lisärajoituksia tai luokitella mukautettuja yhdistimiä.
Tietokäytäntöjen määrittäminen
Luo käytäntö Power Platformin hallintakeskuksessa. Lisätietoja: Tietokäytäntöjen hallinta
DLP SDK:n avulla voit lisätä mukautettuja yhdistimiä DLP-käytäntöön.
Ilmaise organisaatiosi DLP-käytännöt tekijöille selkeästi
Luo SharePoint-sivusto tai wiki, joka ilmaisee selkeästi seuraavat asiat:
- Organisaatiossa sovellettavat vuokraajatason ja keskeiset ympäristötason (kuten oletusympäristön tai kokeiluympäristön) DLP-käytännöt sekä luokkiin liiketoiminta, muu kuin liiketoiminta ja estetty luokitellut yhdistimet.
- Järjestelmänvalvojaryhmän sähköpostitunnus, jotta tekijät voivat ottaa siihen yhteyttä poikkeustilanteissa. Järjestelmänvalvojat voivat esimerkiksi auttaa tekijöitä palaamaan vaatimustenmukaisuuden piiriin muokkaamalla olemassa olevaa DLP-käytäntöä, siirtämällä ratkaisun eri ympäristöön, luomalla uuden ympäristön ja uuden DLP-käytännön ja siirtämällä tekijän ja resurssin tähän uuteen ympäristöön.
Ilmaise tekijöille myös ympäristöstrategiasi selkeästi.