Classification des connecteurs
Les groupes de données sont une façon simple de classer les connecteurs au sein d’une stratégie de protection contre la perte de données (DLP). Les trois groupes de données disponibles sont le groupe de données Métier, le groupe de données Hors métier et le groupe de données Bloqué.
Un bon moyen de catégoriser les connecteurs consiste à les placer dans des groupes en fonction des services centrés sur l’entreprise ou à usage personnel auxquels ils se connectent dans le contexte de votre organisation. Les connecteurs qui hébergent des données à usage professionnel doivent être classés comme Métier et les connecteurs qui hébergent des données à usage personnel doivent être classés comme Hors métier. Tous les connecteurs que vous ne souhaitez pas utiliser dans un ou plusieurs environnements doivent être classés comme Bloqué.
Lorsqu’une stratégie est créée, par défaut, tous les connecteurs sont placés dans le groupe Hors métier. De là, ils peuvent être déplacés vers Métier ou Bloqué en fonction de vos préférences. Vous pouvez gérer les connecteurs dans un groupe de données lorsque vous créez ou modifiez les propriétés d’une stratégie DLP à partir du centre d’administration. Voir Gérer les stratégies de données. Vous pouvez également modifier la classification initiale des connecteurs en modifiant votre stratégie DLP. Plus d’informations : Modifier une stratégie de données
Note
Jusqu’à récemment, certains connecteurs HTTP n’étaient pas facilement disponibles pour la configuration de stratégie DLP à l’aide de l’interface utilisateur de stratégie DLP ou de PowerShell. Depuis mai 2020, les connecteurs HTTP suivants peuvent désormais être classés à l’aide de l’interface utilisateur de la politique DLP et de PowerShell, comme tout autre connecteur : Power Platform HTTP ,Webhook HTTP etLorsqu’une requête HTTP est reçue . Si les stratégies DLP héritées sont mises à jour à l’aide de la nouvelle interface utilisateur DLP, les administrateurs recevront un message d’avertissement indiquant que ces trois connecteurs HTTP sont maintenant ajoutés à la portée de DLP et ils devront s’assurer que ces connecteurs sont placés dans le groupe DLP approprié.
Étant donné que les flux enfants partagent une dépendance interne avec le connecteur HTTP, le groupe choisi par les administrateurs pour les connecteurs HTTP dans une stratégie DLP peut affecter la capacité à exécuter des flux enfants dans cet environnement ou ce client. Assurez-vous que vos connecteurs HTTP sont classés dans le groupe approprié pour que vos flux enfants fonctionnent. En cas de doute sur la classification du connecteur comme Métier dans les environnements partagés tels que l’environnement par défaut, notre conseil est de le classer comme Hors métier ou de le bloquer. Ensuite, créez des environnements dédiés dans lesquels les créateurs peuvent utiliser les connecteurs HTTP, mais restreignez la liste de créateurs afin de pouvoir débloquer la création de flux enfants.
Le connecteur Conversion de contenu fait partie intégrante de Microsoft Power Platform, utilisé pour convertir un document HTML en texte brut. Elle s’applique à la fois aux scénarios Métier et Hors métier et ne stocke aucun contexte de données du contenu converti à travers celui-ci ; par conséquent, il n’est pas disponible pour la classification via les stratégies DLP.
Partage des données parmi les groupes de données
Les données ne peuvent pas être partagées entre des connecteurs situés dans différents groupes. Par exemple, si vous placez SharePoint et les connecteurs Salesforce dans le groupe Métier et vous placez Gmail dans le groupe Hors métier, les créateurs ne peuvent pas créer une application ou un flux qui utilise les connecteurs SharePoint et Gmail. Cela restreint à son tour les flux de données entre ces deux services dans Microsoft Power Platform.
Bien que les données ne puissent pas être partagées entre des services situés dans des groupes différents, elles peuvent être partagées entre des services situés au sein d’un groupe spécifique. Dans l’exemple précédent, du fait que SharePoint et Salesforce ont été placés dans le même groupe de données, les créateurs peuvent créer une application ou un flux qui utilise les connecteurs SharePoint et Salesforce ensemble. Cela autorise à son tour les flux de données entre ces deux services dans Microsoft Power Platform.
Le point clé est que les connecteurs du même groupe peuvent partager des données dans Microsoft Power Platform, tandis que les connecteurs de différents groupes ne peuvent pas partager de données.
L’effet du groupe de données Bloqué
Le flux de données vers un service spécifique peut être complètement bloqué en marquant ce connecteur comme Bloqué. Par exemple, si vous placez Facebook dans le groupe Bloqué, les créateurs ne peuvent pas créer une application ou un flux qui utilise le connecteur Facebook. Cela restreint à son tour les flux de données vers ce service dans Microsoft Power Platform.
Tous les connecteurs tiers peuvent être bloqués. Tous les connecteurs premium possédés (sauf Microsoft) peuvent être bloqués. Microsoft Dataverse
Liste des connecteurs qui ne peuvent pas être bloqués
Tous les connecteurs pilotant les fonctionnalités principales (telles que les approbations et les notifications), en plus des connecteurs qui permettent les scénarios de personnalisation Office principaux tels que les connecteurs standard du plan Entreprise, resteront non bloquants pour garantir que les scénarios utilisateur principaux restent entièrement fonctionnels. Microsoft Power Platform Dataverse Microsoft
Cependant, ces connecteurs non bloquables peuvent être classés en groupes de données Métier ou Hors métier. Ces connecteurs entrent généralement dans les catégories suivantes :
- Microsoft Connecteurs standard du plan Entreprise (sans implications de licence supplémentaires).
- Connecteurs spécifiques Microsoft Power Platform qui font partie des capacités de la plateforme de base. Les connecteurs Dataverse sont alors les seuls connecteurs premium qui ne peuvent pas être bloqués, car Dataverse fait partie intégrante de Microsoft Power Platform.
Les connecteurs suivants ne peuvent pas être bloqués à l’aide de stratégies DLP.
Microsoft Connecteurs standards du plan Entreprise | Connecteurs Power Platform de base |
---|---|
Defender pour les applications de cloud | Approbations |
Dynamics 365 Customer Voice | Notifications |
Excel Online (Business) | Dataverse (héritage) |
Kaizala | Dataverse |
Groupes Microsoft 365 | Power Apps Notifications (v1 et v2) |
Microsoft 365 Groups Mail (version préliminaire) | Microsoft Copilot Studio |
Microsoft 365 Outlook | |
Utilisateurs Microsoft 365 | |
Microsoft Teams | |
Microsoft À faire (entreprise) | |
OneDrive for Business | |
OneNote (Business) | |
Planner | |
Power BI | |
SharePoint | |
Shifts | |
Skype for Business Online | |
Yammer |
Note
Si un connecteur actuellement non bloquable se trouve déjà dans le groupe Bloqué (par exemple, parce qu’il a été bloqué lorsque les restrictions étaient différentes), il restera dans le même groupe jusqu’à ce que vous modifiez la stratégie. Vous obtiendrez un message d’erreur vous empêchant d’enregistrer la stratégie jusqu’à ce que vous déplaciez le connecteur non bloquable vers un groupe Métier ou Hors métier.
Visualisation du classement des connecteurs
Lors de la modification des stratégies DLP dans le Power Platform centre d’administration, tous les connecteurs disponibles et visibles sont affichés, qu’ils aient ou non été classés dans une stratégie. Toutefois, lors de l’affichage d’une stratégie DLP dans PowerShell ou via le Power Platform for Admins connecteur, vous ne voyez que les connecteurs qui ont été explicitement classés dans les catégories Professionnel, Non professionnel ou Bloqué. Stratégies DLP affichées à partir de PowerShell ou du Power Platform for Admins connecteur peut inclure des références obsolètes à des connecteurs qui ne sont plus disponibles ou visibles.
En général, la liste des Power Platform connecteurs peuvent différer selon l’endroit où vous les visualisez, et il y a plusieurs raisons à cela. Certains connecteurs peuvent nécessiter une licence spécifique, et si votre licence ne les inclut pas, ils ne sont pas visibles. Différents environnements peuvent également avoir différents connecteurs disponibles en raison de la conformité et des exigences réglementaires. Microsoft peut publier des mises à jour des connecteurs, qui peuvent ne pas être immédiatement disponibles sur tous les composants. Power Platform Certains connecteurs peuvent n’être disponibles que dans Power Automate et non dans Power Apps. Selon votre rôle et vos autorisations, vous n’aurez peut-être pas accès à tous les connecteurs.
Classification des connecteurs personnalisés
Stratégies DLP au niveau de l’environnement
Les administrateurs d’environnement peuvent maintenant trouver tous les connecteurs personnalisés dans leurs environnements ainsi que les connecteurs prédéfinis sur la page Connecteurs des Stratégies de données. Comme pour les connecteurs prédéfinis, vous pouvez classer les connecteurs personnalisés en catégories Bloqué, Métier ou Hors métier. Les connecteurs personnalisés qui ne sont pas explicitement classés seront placés dans le groupe par défaut (ou Hors métier, si aucun paramètre de groupe par défaut n’est explicitement choisi par les administrateurs).
Vous pouvez également utiliser les commandes PowerShell de la stratégie DLP pour définir les connecteurs personnalisés dans les groupes Métier, Hors métier et Bloqué. Pour plus d’informations, voir Commandes de la stratégie de protection contre la perte de données (DLP)
Stratégies DLP au niveau du client
Le centre d’administration Power Platform permet également aux administrateurs de client de classer les connecteurs personnalisés selon les points de terminaison de leur URL hôte en utilisant une construction de correspondance de modèles pour les stratégies DLP au niveau du client. Étant donné que la portée des connecteurs personnalisés est propre à l’environnement, ces connecteurs ne s’afficheront pas sur la page Connecteurs pour que vous puissiez les classer. À la place, vous verrez une nouvelle page dans Stratégies de données nommée Connecteurs personnalisés, que vous pouvez utiliser pour spécifier une liste triée de modèles d’URL Autoriser et Refuser pour les connecteurs personnalisés.
La règle pour le caractère générique (*
) sera toujours la dernière entrée de la liste, qui s’applique à tous les connecteurs personnalisés. Les administrateurs peuvent marquer le modèle *
sur Bloqué, Métier, Hors métier ou Ignorer. Par défaut, le modèle est défini comme Ignorer pour les nouvelles stratégies DLP.
Ignorer ignore la classification DLP pour tous les connecteurs de cette politique au niveau du locataire et diffère l’évaluation d’un modèle vers d’autres environnements ou politiques au niveau du locataire pour les attribuer au groupement Entreprise, Non-Entreprise ou Bloqué , selon le cas. S’il n’existe aucune règle spécifique pour les connecteurs personnalisés, une règle Ignorer * permettra d’utiliser les connecteurs personnalisés avec les deux groupes de connecteur Métier et Hors métier. Excepté pour la dernière entrée de la liste, Ignorer en tant qu’action n’est pas pris en charge pour tout autre modèle d’URL ajouté aux règles du modèle de connecteur personnalisé.
Vous pouvez ajouter de nouvelles règles en sélectionnant Ajouter un modèle de connecteur dans la page Connecteurs personnalisés.
Cela ouvre un volet latéral dans lequel vous pouvez ajouter des modèles d’URL de connecteurs personnalisés et les classer. De nouvelles règles sont ajoutées à la fin de la liste de modèles (en tant qu’avant-dernière règle, car *
sera toujours la dernière entrée de la liste). Cependant, vous pouvez mettre à jour l’ordre tout en ajoutant un nouveau modèle.
Vous pouvez également mettre à jour l’ordre des modèles en utilisant la liste déroulante Ordre ou en sélectionnant Déplacer vers le haut ou Déplacer vers le bas.
Une fois qu’un modèle a été ajouté, vous pouvez modifier ou supprimer ces modèles en sélectionnant une ligne spécifique et en sélectionnant Modifier ou Supprimer.
Groupe de données par défaut pour les nouveaux connecteurs
Un groupe de données doit être désigné comme groupe par défaut pour classer automatiquement les nouveaux connecteurs ajoutés à Microsoft Power Platform une fois votre stratégie créée. Initialement, le groupe Hors métier est le groupe par défaut pour les nouveaux connecteurs et tous les services. Vous pouvez modifier le groupe de données par défaut sur le groupe de données Métier ou Bloqué, mais nous vous déconseillons de le faire.
Les nouveaux services ajoutés aux applications seront placés dans le groupe désigné par défaut. Pour cette raison, nous vous recommandons de conserver le groupe Hors métier comme groupe par défaut et d’ajouter manuellement des services dans le groupe Métier ou Bloqué une fois que votre organisation a évalué l’impact d’autoriser le partage des données métier avec le nouveau service.
Note
Les connecteurs de licence d’entreprise Microsoft 365 et quelques connecteurs Microsoft Power Platform de base ne sont pas marqués comme Bloqué et peuvent uniquement être classés comme Métier ou Hors métier. Si Microsoft ajoute de nouveaux connecteurs qui ne peuvent pas être bloqués et que vous avez défini le groupe par défaut pour la politique DLP sur Bloqué, ces connecteurs seront automatiquement marqués comme Non professionnels au lieu de Bloqués.