Megosztás a következőn keresztül:

DLP-stratégia létrehozása

  • Cikk

Az adatvesztés-megelőzési (DLP) házirendek védőkorlátként működhetnek, hogy megakadályozzák, hogy a felhasználók akaratlanul szervezeti adatokat adjanak ki, és védik a bérlő adatainak biztonságát. A DLP-házirendek szabályai meghatározzák, hogy az egyes környezetekhez milyen összekötők vannak engedélyezve, és hogy mely összekötők használhatók együtt. Az összekötők besorolása lehet Csak üzleti adatok, Üzleti adatok nem engedélyezettek, illetve Letiltva. A Csak üzleti adatok csoportban lévő összekötők csak ugyanabban az alkalmazásban vagy folyamatban lévő csoport többi összekötőjével használhatók. További információk: A Microsoft Power Platform felügyelete: adatvesztés-megelőzési irányelvek

A DLP-házirendek létrehozása kéz a kézben jár a környezeti stratégiával.

Gyors tények

  • Az adatvesztés-megelőzési (DLP) házirendek védőkorlátként működnek, hogy megakadályozzák, hogy a felhasználók akaratlanul adatokat adjanak ki.
  • A DLP-házirendek lehetnek környezetszintű és bérlői szintű hatókörűek, így rugalmasan biztosítható az olyan értelmes politikák kialakítása, és nem gátolja a hatékony fejlesztést.
  • A környezeti DLP-házirendek nem bírálhatják felül a bérlői szintű DLP-házirendeket.
  • Ha egy környezethez több házirend van konfigurálva, az összekötők kombinációjára a legszigorúbb irányelv alkalmazandó.
  • Alapértelmezés szerint a bérlő nem hajt végre DLP-házirendet.
  • A házirendeket nem lehet felhasználói szinten alkalmazni, csak a környezet vagy a bérlő szintjén.
  • A DLP-házirendek az összekötő-érzékenyek, de nem szabályozzák az összekötő használatával végrehajtott kapcsolatokat – más szóval a DLP-házirendek nincsenek tudatában annak, hogy az összekötő segítségével kapcsolódik-e a fejlesztési, a tesztelési vagy az éles környezethez.
  • A házirendeket a PowerShell és a rendszergazdai összekötők kezelhetik.
  • A környezetekben lévő erőforrások felhasználói megtekinthetik az alkalmazandó házirendeket.

Összekötők osztályozása

Az üzleti és a nem üzleti besorolások olyan határokat húznak meg, amelyek körül az összekötők egy adott alkalmazásban vagy folyamatban használhatók. Az összekötők a következő csoportokba sorolhatók a DLP-házirendek használatával:

  • Üzleti : Egy adott Power App- vagy Power Automate-erőforrás egy vagy több összekötőt használhat egy üzleti csoportból. Ha egy Power App vagy Power Automate erőforrás üzleti összekötőt használ, nem használhat nem üzleti összekötőt.
  • Nem üzleti : Egy adott Power App- vagy Power Automate-erőforrás egy vagy több összekötőt használhat egy nem üzleti csoportból. Ha egy Power App vagy Power Automate erőforrás nem üzleti összekötőt használ, akkor nem használhat üzleti összekötőt.
  • Letiltva : Egyetlen Power App- vagy Power Automate-erőforrás sem használhat egy letiltott csoportból származó összekötőt. A Microsoft tulajdonában lévő összes prémium összekötő és külső gyártótól származó összekötő (szabványos és prémium) letiltható. A Microsoft tulajdonában lévő szabványos összekötők és Common Data Service-összekötők nem tilthatók le.

Az „üzleti” és a „nem üzleti” nevek nem rendelkeznek különleges jelentéssel – egyszerűen csak címkék. Az összekötők csoportosítása a fontos, nem pedig annak a csoportnak a neve, amelybe bekerülnek.

További információk: A Microsoft Power Platform felügyelete: Összekötők osztályozása

Stratégiák a DLP-irányelvek létrehozására

Ha Ön rendszergazda, aki Power Apps és Power Automate alkalmazásokat használó környezetet vesz át vagy ilyen támogatását kezdi meg, a DLP-irányelveket az elsők között állítsa be. Miután elkészült az alapszintű házirendkészlet, a kivételek kezelésére és célzott DLP-házirendek létrehozására összpontosíthat, amelyek jóváhagyás után megvalósítják ezeket a kivételeket.

A következő kezdőpontot javasoljuk a megosztott felhasználói és csapattermelékenységi környezetek esetében a DLP-házirendekhez:

  • Hozzon létre egy olyan házirendet, amely a kiválasztottak kivételével minden környezetre kiterjed (például az éles környezetekre), a házirendben rendelkezésre álló összekötőket korlátozza az Office 365 és a többi szabványos mikroszolgáltatásra, és blokkolja az összes többihez való hozzáférést. Ez a házirend az alapértelmezett környezetre és a belső képzési események futtatásához használt képzési környezetekre vonatkozik. Ezenkívül ez a házirend minden újonnan létrehozott környezetre is vonatkozik.
  • Hozzon létre megfelelő és megengedőbb DLP-házirendeket a megosztott felhasználói és csapathatékonyság-növelő környezetekhez. Ezekkel a házirendekkel a döntéshozók az Azure szolgáltatásaihoz hasonló összekötőket is használhatnak az Office 365 szolgáltatásain kívül. Az ezekben a környezetekben elérhető összekötők a szervezettől és attól függnek, hogy a szervezet hol tárolja az üzleti adatokat.

A következő kezdőpontot javasoljuk a termelési (részlet és projekt) környezetek esetében a DLP-házirendekhez:

  • Kizárja ezeket a környezeteket a megosztott felhasználói és csoporttermelékenységi házirendekből.
  • A részleg és a projekt segítségével megtudhatja, hogy mely összekötők és összekötőkombinációkat használnak, és létrehozhat egy bérlői házirendet, amely kizárólag a kijelölt környezeteket tartalmazza.
  • Az ilyen környezetek környezeti rendszergazdái környezeti szabályzatok használatával szükség esetén csak üzleti adatként kategorizálhatják az egyéni összekötőket.

Javasoljuk továbbá:

  • Minimális számú házirend létrehozása környezetenként. Nincs szigorú hierarchia a bérlői és a környezeti szabályzatok között, és a tervezéskor és a futásidőben az alkalmazást vagy folyamatot tartalmazó környezetre vonatkozó összes szabályzatot együtt értékelik ki annak eldöntéséhez, hogy az erőforrás megfelel-e a DLP-házirendeknek, vagy megsérti-e azokat. Az egyetlen környezetre alkalmazott több DLP-házirend bonyolult módon tagolja az összekötői teret, és megnehezítheti a készítők problémáinak megértését.
  • A DLP-házirendek a bérlői szintű házirendek segítségével történő központi kezelése és a környezeti házirendek használata csak az egyéni összekötők és a kivételes esetek kategorizálása céljából.

Ha van egy alapstratégiája, tervezze meg a kivételek kezelését. Ilyen lehetőségek a következők:

  • Elutasítja a kérést.
  • Adja hozzá a csatlakozót az alapértelmezett DLP-házirendhez.
  • Vegye fel a környezeteket az Összes, kivéve listára a globális alapértelmezett DLP-hez, és hozzon létre egy alkalmazásieset-specifikus DLP-házirendet a benne foglalt kivétellel.

Példa: a Contoso DLP-stratégiája

Nézzük meg, hogyan állítja be a mintaszervezetünk, a Contoso Corporation ebben az útmutatóban a DLP-házirendjét. DLP-politikáik kialakítása szorosan kapcsolódik környezetvédelmi stratégiájukhoz.

A Contoso-rendszergazdák a kiválósági központ (CoE) tevékenységének kezelésén túl támogatni szeretnék a felhasználói és a csoporttermelékenységi forgatókönyveket és üzleti alkalmazásokat.

Az itt alkalmazott Contoso-rendszergazdák által alkalmazott környezet és DLP-stratégia a következőkből áll:

  1. Bérlői szintű korlátozó DLP-házirend, amely a bérlő összes környezetére vonatkozik, kivéve néhány olyan környezetet, amelyet kizártak a szabályzat hatóköréből. A rendszergazdák szeretnék a házirendben rendelkezésre álló összekötőket az Office 365 szolgáltatásaira és más standard mikroszolgáltatásokra korlátozni azzal, hogy minden máshoz meggátolják a hozzáférést. Ez a házirend az alapértelmezett környezetre is vonatkozik.

  2. A Contoso rendszergazdái létrehoztak egy másik megosztott környezetet a felhasználók számára, hogy alkalmazásokat hozzanak létre a felhasználók és a csapat hatékonyságnövelő használati eseteihez. Ez a környezet egy olyan, bérlői szintű DLP-házirenddel rendelkezik, amely nem annyira kockázatkerülő alapértelmezett házirendként, és lehetővé teszi a készítők számára, hogy az Office 365-szolgáltatásokon kívül egyéb összekötőket is használjanak, mint például az Azure szolgáltatásait. Mivel ez a környezet nem alapértelmezett környezet, a rendszergazdák aktívan szabályozhatják a környezetfejlesztő listáját. Ez a megosztott felhasználói és csoporttermelékenységi környezet és a kapcsolódó DLP-beállítások többszintű megközelítése.

  3. Emellett ahhoz, hogy az üzleti egységek üzletági alkalmazásokat hozhassanak létre, fejlesztési, tesztelési és termelési környezeteket hoztak létre adó- és könyvvizsgálati leányvállalataik számára különböző országokban/régiókban. A környezetkészítők ezen környezetekhez való hozzáférését gondosan felügyelik, és a megfelelő első és külső gyártótól származó összekütőket a bérlői szintű DLP-házirendek segítségével teszik elérhetővé a részleg érdekelt feleivel folytatott konzultációt követően.

  4. Hasonlóképpen fejlesztői/tesztelési/éles környezeteket hoznak létre a központi IT számára, hogy kialakítsák és kiépítsék a releváns vagy megfelelő alkalmazásokat. Ezek az üzleti alkalmazási forgatókönyvek általában jól meghatározott összekötőkészlettel rendelkeznek, amelyeket elérhetővé kell tenni a készítők, a tesztelők és a felhasználók számára ezekben a környezetekben. Az ilyen összekötőkhöz való hozzáférést egy dedikált, bérlői szintű házirend segítségével kezelik.

  5. A Contoso egy speciális célú környezetet is tartalmaz, amely a kiválósági központ tevékenységeivel foglalkozik. A Contosóban a speciális célú környezet DLP-szabályzata továbbra is magas szintű az elméleti csapatok könyvének kísérleti jellege miatt. Ebben az esetben a bérlői rendszergazdák közvetlenül a CoE-csapat megbízható környezeti rendszergazda delegálták a környezet DLP-kezelését, és kizárták azt az összes bérlői szintű házirend iskolájából. Ezt a környezetet csak a környezeti szintű DLP-házirend kezeli, ami kivételnek számít, nem pedig szabálynak a Contoso esetében.

Ahogy az várható volt, a Contosóban létrehozott új környezetek az eredeti összes környezetre vonatkozó szabályzatra vannak leképezve.

A bérlőközpontú DLP-házirendek ezen beállítása nem akadályozza meg a környezeti rendszergazdákat abban, hogy saját környezetszintű DLP-szabályzatokat hozzanak létre, ha további korlátozásokat szeretnének bevezetni, vagy egyéni összekötőket szeretnének osztályozni.

Hogyan állította be a Contoso a DLP-házirendjét.

Adatszabályzatok beállítása

  1. Hozzon létre saját házirendet a Power Platform felügyeleti központban. További információ: Adatirányelvek kezelése

  2. A DLP SDK használatával egyéni összekötőket adhat hozzá egy DLP-házirendhez.

A szervezet DLP-házirendjeinek egyértelmű közlése a készítőkkel

Állítson be olyan SharePoint-webhelyet vagy wikit, amely egyértelműen kommunikálja a következőket:

  • Bérlői szintű és a legfontosabb környezet szintjén (például alapértelmezett környezet, próbakörnyezet) végrehajtott DLP-házirendek a szervezetben, beleértve az üzleti, nem üzleti és letiltott összekötők listáját.
  • A felügyeleti csoport e-mail-azonosítója, hogy a készítők kapcsolatba léphessenek a kivételes forgatókönyvek ügyében. Például az adminisztrátorok segítséget nyújthatnak a készítőknek egy meglévő DLP-házirendnek való megfelelőség szerkesztésében, a megoldás másik környezetbe való áthelyezésében, új környezet és új DLP-házirend létrehozásában, valamint a készítő és az erőforrás ezen új környezetbe való áthelyezésében.

Világosan kommunikálja a szervezet környezeti stratégiáját a döntéshozók felé.