Membangun strategi DLP

Kebijakan pencegahan kehilangan data (DLP) bertindak sebagai pengaman untuk membantu mencegah pengguna secara tidak sengaja mengekspos data organisasi dan untuk melindungi keamanan informasi dalam penyewa. Kebijakan DLP menegakkan aturan untuk pengaktifan konektor untuk setiap lingkungan, dan konektor yang dapat digunakan bersama-sama. Konektor diklasifikasikan sebagai hanya data bisnis, tidak ada data bisnis yang diizinkanatau diblokir. Konektor di grup hanya data bisnis hanya dapat digunakan dengan konektor lain dari grup tersebut di aplikasi atau aliran yang sama. Informasi lebih lanjut, Kelola Microsoft Power Platform: kebijakan mencegah kehilangan Data

Menetapkan kebijakan DLP Anda berjalan seiring dengan strategi lingkungan Anda.

Fakta singkat

• Kebijakan pencegahan kehilangan data (DLP) bertindak sebagai pengaman untuk membantu mencegah pengguna secara tidak sengaja mengekspos data.
• Kebijakan DLP dapat tercakup pada tingkat lingkungan dan tingkat penyewa, menawarkan fleksibilitas untuk membuat kebijakan yang masuk akal dan tidak memblokir produktivitas tinggi.
• Kebijakan DLP lingkungan tidak dapat menggantikan kebijakan DLP di seluruh penyewa.
• Jika beberapa kebijakan dikonfigurasi untuk satu lingkungan, kebijakan yang paling ketat berlaku untuk kombinasi konektor.
• Secara default, tidak ada kebijakan DLP diimplementasikan dalam penyewa.
• Kebijakan tidak dapat diterapkan pada tingkat pengguna, hanya pada tingkat lingkungan atau penyewa.
• Kebijakan DLP adalah sadar konektor, tetapi tidak mengontrol sambungan yang dibuat menggunakan konektor—dengan kata lain, DLP kebijakan tidak mengetahui apakah Anda menggunakan konektor untuk menyambung ke pengembangan, pengujian, atau lingkungan produksi.
• Konektor PowerShell dan admin dapat mengelola kebijakan.
• Pengguna sumber daya di lingkungan dapat melihat kebijakan yang berlaku.

Klasifikasi konektor

Klasifikasi bisnis dan non-bisnis menarik batas sekitar konektor yang dapat digunakan bersama di aplikasi atau alur tertentu. Konektor dapat diklasifikasikan di grup berikut menggunakan kebijakan DLP:

• Bisnis: Power App atau sumber daya Power Automate tertentu dapat menggunakan satu atau beberapa konektor dari grup bisnis. Jika Power App atau sumber daya menggunakan konektor bisnis, Power App tidak Power Automate dapat menggunakan konektor non-bisnis.
• Non-Bisnis: Power App atau sumber daya Power Automate tertentu dapat menggunakan satu atau beberapa konektor dari grup non-bisnis. Jika Power App atau sumber daya menggunakan konektor non-bisnis, Power App tidak Power Automate dapat menggunakan konektor bisnis apa pun.
• Diblokir: tidak ada Power App atau sumber daya Power Automate yang dapat menggunakan konektor dari grup yang diblokir. Semua konektor Premium milik Microsoft dan konektor pihak ketiga (standar dan Premium) dapat diblokir. Semua Common Data Service connector dan konektor standar Microsoft tidak dapat diblokir.

Nama "bisnis" dan "non-bisnis" tidak memiliki arti khusus—semua hanya label. Pengelompokan konektor sendiri memiliki signifikansi, bukan nama grup tempat mereka.

Informasi selengkapnya: mengelola Microsoft Power Platform: klasifikasi konektor

Strategi untuk membuat kebijakan DLP

Sebagai administrator yang mengambil alih lingkungan atau mulai mendukung penggunaan Power Apps dan Power Automate, kebijakan DLP harus menjadi salah satu hal pertama yang Anda konfigurasikan. Setelah serangkaian kebijakan dasar diterapkan, Anda kemudian dapat fokus pada penanganan pengecualian dan membuat kebijakan DLP bertarget yang menerapkan pengecualian ini setelah disetujui.

Sebaiknya lakukan langkah awal untuk kebijakan DLP untuk lingkungan produktivitas pengguna dan tim bersama:

• Buat kebijakan yang mencakup semua lingkungan kecuali yang dipilih (misalnya, lingkungan produksi), jaga konektor yang tersedia dalam kebijakan ini terbatas pada Office 365 dan layanan mikro standar lainnya, serta blokir akses ke hal lain. Kebijakan ini berlaku untuk lingkungan default, dan untuk lingkungan pelatihan yang Anda miliki untuk menjalankan acara pelatihan internal. Selain itu, kebijakan ini juga berlaku untuk setiap lingkungan baru yang dibuat.
• Buat kebijakan DLP yang sesuai dan lebih permisif untuk lingkungan produktivitas pengguna dan tim bersama Anda. Kebijakan ini dapat memungkinkan pembuat menggunakan konektor seperti layanan Azure selain layanan Office 365. Konektor yang tersedia di lingkungan ini bergantung pada organisasi Anda, dan tempat organisasi Anda menyimpan data bisnis.

Sebaiknya lakukan langkah awal untuk kebijakan DLP untuk lingkungan produksi (proyek dan unit bisnis):

• Kecualikan lingkungan tersebut dari kebijakan produktivitas tim dan pengguna bersama.
• Bekerja dengan unit bisnis dan proyek untuk menetapkan kombinasi konektor dan konektor yang akan digunakan dan membuat kebijakan penyewa untuk mencakup lingkungan yang dipilih saja.
• Admin lingkungan dari lingkungan tersebut dapat menggunakan kebijakan lingkungan untuk mengategorikan konektor kustom sebagai data bisnis saja, jika perlu.

Kami juga menyarankan:

• Membuat jumlah minimal kebijakan per lingkungan. Tidak ada hierarki yang ketat antara kebijakan penyewa dan lingkungan, dan pada desain dan runtime, semua kebijakan yang berlaku untuk lingkungan tempat aplikasi atau alur berada dievaluasi bersama untuk memutuskan apakah sumber daya mematuhi atau melanggar kebijakan DLP. Beberapa kebijakan DLP diterapkan ke satu lingkungan akan fragmen Ruang konektor Anda dengan cara yang rumit, dan mungkin menyulitkan untuk memahami masalah yang dihadapi pembuat Anda.
• Kebijakan DLP dg manajemen terpusat menggunakan kebijakan tingkat penyewa, dan menggunakan kebijakan lingkungan hanya untuk mengkategorikan konektor kustom atau dalam kasus pengecualian.

Dengan strategi dasar di tempat, rencanakan bagaimana menangani pengecualian. Anda bisa:

• Tolak permintaan.
• Tambahkan konektor ke kebijakan DLP default.
• Tambahkan lingkungan ke daftar Semua Kecuali untuk DLP default global dan buat kebijakan penggunaan kasus khusus DLP dengan pengecualian yang tercakup.

Contoh: strategi DLP Aswono

Lihat cara Aswono Corporation, organisasi sampel kami untuk panduan ini, menyiapkan kebijakan DLP mereka. Pengaturan kebijakan DLP mereka terkait erat dengan strategi lingkungan mereka.

Admin Aswono ingin mendukung skenario produktivitas pengguna dan tim dan aplikasi bisnis, selain manajemen aktivitas Pusat Keunggulan (CoE).

Lingkungan dan strategi DLP admin Contoso yang diterapkan di sini terdiri dari:

1. Kebijakan DLP restriktif di seluruh penyewa yang berlaku untuk semua lingkungan di penyewa kecuali beberapa lingkungan tertentu yang mereka keluarkan dari cakupan kebijakan. Admin bermaksud untuk menjaga konektor yang tersedia dalam kebijakan ini terbatas pada Office 365 dan layanan mikro standar lainnya dengan memblokir akses ke segala sesuatu yang lain. Kebijakan ini juga berlaku untuk lingkungan default.

2. Admin Contoso menciptakan lingkungan bersama lain bagi pengguna untuk membuat aplikasi untuk kasus penggunaan produktivitas pengguna dan tim. Lingkungan ini memiliki kebijakan DLP tingkat penyewa terkait yang tidak menghindari risiko sebagai kebijakan default dan memungkinkan pembuat menggunakan konektor seperti layanan Azure selain layanan Office 365. Karena lingkungan ini adalah lingkungan non-default, admin dapat secara aktif mengontrol daftar pembuat lingkungan untuk itu. Ini adalah pendekatan berjenjang untuk lingkungan produktivitas tim dan pengguna bersama dan pengaturan DLP terkait.

3. Selain itu, bagi unit bisnis untuk membuat aplikasi lini bisnis, mereka menciptakan lingkungan pengembangan, pengujian, dan produksi untuk anak perusahaan pajak dan audit mereka di berbagai negara / wilayah. Akses pembuat lingkungan ke lingkungan ini dikelola dengan cermat, dan konektor pihak pertama dan pihak ketiga yang sesuai dibuat tersedia menggunakan kebijakan DLP tingkat penyewa dalam konsultasi dengan pemangku kepentingan unit bisnis.

4. Demikian pula, dev/Test/lingkungan produksi dibuat untuk penggunaan sentral untuk mengembangkan dan menggelar aplikasi yang relevan atau tepat. Skenario aplikasi bisnis ini biasanya memiliki rangkaian konektor terdefinisi baik yang harus disediakan untuk pembuat, penguji, dan pengguna di lingkungan ini. Akses ke konektor ini dikelola menggunakan kebijakan tingkat penyewa khusus.

5. Aswono juga memiliki lingkungan tujuan khusus yang didedikasikan untuk aktivitas pusat keunggulan. Di Contoso, kebijakan DLP untuk lingkungan tujuan khusus tetap sentuhan tinggi mengingat sifat eksperimental dari buku tim teori. Dalam hal ini, admin penyewa mendelegasikan manajemen DLP untuk lingkungan ini langsung ke admin lingkungan tepercaya dari tim CoE dan mengecualikannya dari sekolah semua kebijakan tingkat penyewa. Lingkungan ini dikelola hanya oleh kebijakan DLP tingkat lingkungan, yang merupakan pengecualian dan bukan aturan di Aswono.

Seperti yang diharapkan, setiap lingkungan baru yang dibuat di peta Contoso ke kebijakan semua lingkungan asli.

Penyiapan kebijakan DLP yang berpusat pada penyewa ini tidak mencegah admin lingkungan membuat kebijakan DLP tingkat lingkungan mereka sendiri, jika mereka ingin memperkenalkan lebih banyak batasan atau untuk mengklasifikasikan konektor kustom.

Menyiapkan kebijakan data

1. Buat kebijakan Anda di Pusat admin Power Platform. Informasi selengkapnya: Mengelola kebijakan data

2. Gunakan SDK DLP untuk menambahkan konektor kustom ke kebijakan DLP.

Sampaikan dengan jelas kebijakan DLP organisasi Anda ke pembuat

Mengkonfigurasi wiki atau situs SharePoint yang mengomunikasikan dengan jelas:

• Tingkat penyewa dan tingkat lingkungan utama (misalnya, lingkungan default, lingkungan uji coba) kebijakan DLP yang diberlakukan di organisasi, termasuk daftar konektor yang diklasifikasikan sebagai bisnis, non-bisnis, dan diblokir.
• ID email grup admin Anda agar pembuat dapat melakukan kontak untuk skenario pengecualian. Contohnya, admin dapat membantu pembuat kembali ke pengeditan kepatuhan kebijakan DLP yang ada, memindahkan solusi ke lingkungan yang berbeda, membuat lingkungan baru dan kebijakan DLP baru, serta memindahkan pembuat dan sumber daya ke lingkungan baru ini.

Juga komunikasikan dengan jelas strategi lingkungan organisasi Anda kepada pembuat.