Creare un criterio di prevenzione della perdita dei dati (DLP)

  • Articolo

Per proteggere i dati dell'organizzazione, puoi utilizzare Power Apps per creare e applicare criteri che definiscono i connettori consumer con cui è possibile condividere dati aziendali specifici. Questi criteri sono denominati criteri di prevenzione della perdita dei dati (DLP). I criteri DLP assicurano che i dati siano gestiti in modo uniforme nell'organizzazione e impediscono che importanti dati aziendali vengano accidentalmente pubblicati in connettori quali siti di social media.

I criteri DLP possono essere creati a livello di tenant o a livello di ambiente e sono gestiti mediante l'interfaccia di amministrazione di Power Platform.

Prerequisiti

Criteri a livello di tenant

È possibile definire criteri a livello di tenant per includere o escludere ambienti specifici. Per seguire i passaggi descritti in questo articolo per i criteri a livello di tenant, è necessaria una delle seguenti autorizzazioni:

  • Autorizzazioni di amministratore Microsoft Power Platform
  • Autorizzazioni di amministratore globale di Microsoft 365

In questo articolo, tali ruoli sono denominati amministratori di tenant. Ulteriori informazioni: Utilizzare i ruoli di amministratore del servizio per gestire il tenant

Criteri a livello di ambiente

Per seguire i passaggi per i criteri a livello di ambiente, devi disporre delle autorizzazioni di Amministratore di ambiente di Power Apps. Per ambienti con un database Dataverse, devi invece essere assegnato al ruolo Amministratore di sistema.

Nota

Se usi il parametro SingleEnvironment EnvironmentType quando usi PowerShell per creare criteri DLP, l'account utente usato per creare i criteri DEVE avere autorizzazioni a livello di ambiente e NON DEVE avere autorizzazioni a livello di tenant come descritto in precedenza. In caso contrario, verrà restituito un errore di Richiesta non valida e i criteri non verranno creati.

Trovare e visualizzare criteri DLP

Per trovare e visualizzare i criteri DLP, vedi Trovare e visualizzare i criteri DLP .

Processo di creazione di criteri DLP

Di seguito sono riportati i passaggi per la creazione di un criterio DLP:

  1. Assegnare un nome al criterio.
  2. Classificare i connettori.
  3. Definire lo scopo del criterio. Questo passaggio non si applica ai criteri a livello di ambiente.
  4. Selezionare gli ambienti.
  5. Verificare le impostazioni.

Questi passaggi sono descritti nella sezione successiva.

Procedura dettagliata: creare un criterio DLP

In questa procedura dettagliata di esempio, creeremo un criterio DLP a livello di tenant. Aggiungeremo SharePoint e Salesforce al gruppo di dati Aziendali di un criterio DLP. Inoltre aggiungeremo Facebook e Twitter al gruppo di dati Bloccati. Lasceremo i connettori rimanenti nel gruppo di dati Non aziendali. Escluderemo quindi gli ambienti di test dall'ambito di questo criterio e applicheremo il criterio agli ambienti rimanenti, come gli ambienti predefiniti e di produzione nel tenant.

Dopo aver salvato questo criterio, nessun creatore Power Apps o Power Automate che fa parte dell'ambiente del criterio DLP può creare un'app o un flusso che condivide i dati tra SharePoint o Salesforce. A qualsiasi risorsa Power Apps o Power Automate che include una connessione esistente con un connettore nel gruppo di dati Non aziendali non sarà consentito stabilire connessioni con i connettori SharePoint o Salesforce e viceversa. Inoltre, questi autori non saranno in grado di aggiungere connettori Facebook o Twitter a qualsiasi risorsa Power Apps o Power Automate.

  1. Nell'interfaccia di amministrazione di Power Platform, seleziona Criteri>Criteri dati>Nuovo criterio.

    Se nel tenant non esistono criteri, verrà visualizzata la pagina seguente.

    Visualizzazione senza criteri.

  2. Immetti un nome di criterio e seleziona Avanti.

  3. Esamina i vari attributi e le impostazioni che puoi effettuare nella pagina Assegna connettori.

    Assegna connettori.

    Attributi

    Attributo Description
    Name Il nome del connettore.
    Bloccabile I connettori che possono essere bloccati. Per un elenco di connettori che non possono essere bloccati, vedi Elenco di connettori che non possono essere bloccati.
    Tipo Se l'utilizzo del connettore richiede una licenza Premium o è incluso nella licenza base/standard di Microsoft Power Platform.
    Editore La società che pubblica il connettore. Questo valore può essere diverso dal proprietario del servizio. Ad esempio, Microsoft può essere l'autore del connettore Salesforce, ma il servizio sottostante è di proprietà di Salesforce, non di Microsoft.
    Informazioni Seleziona l'URL per ulteriori informazioni sul connettore.

    Elenchi

    Pivot Descrizione
    Aziendali (n) I connettori per dati aziendali sensibili. I connettori in questo gruppo non possono condividere dati con i connettori di altri gruppi.
    Non aziendali/
    Predefinito (n)    		 I connettori per dati non aziendali, come dati sull'uso personale. I connettori in questo gruppo non possono condividere dati con i connettori di altri gruppi.
    Bloccati (n) I connettori bloccati non possono essere utilizzati dove viene applicato questo criterio.

    Azioni

    Azione Descrizione
    Imposta gruppo predefinito Il gruppo che mappa tutti i nuovi connettori aggiunti da Microsoft Power Platform dopo la creazione del criterio DLP. Maggiori informazioni: Gruppo di dati predefinito per nuovi connettori
    Cerca connettori Cerca in un lungo elenco di connettori per trovare connettori specifici da classificare. Puoi cercare in qualsiasi campo nella visualizzazione elenco dei connettori, ad esempio Nome, Bloccabile, Tipo o Autore.

    Puoi effettuare le seguenti azioni:

    Azioni in Assegna connettori.

    Description
    1 Assegnare uno o più connettori nei gruppi di classificazione dei connettori
    2 Tabelle pivot del gruppo di classificazione dei connettori
    3 Barra di ricerca per trovare connettori in proprietà come Nome, Bloccabile, Tipo o Autore
    4 Il gruppo di classificazione dei connettori che mappa tutti i nuovi connettori aggiunti da Microsoft Power Platform dopo la creazione del criterio DLP.
    5 Selezione, selezione multipla o selezione in blocco dei connettori da spostare nei gruppi
    6 Funzionalità di ordinamento alfabetico nelle singole colonne
    7 Pulsanti di azione per assegnare singoli connettori nei gruppi di classificazione dei connettori

  4. Seleziona uno o più connettori. Per questa procedura dettagliata, seleziona i connettori SalesForce e SharePoint, quindi seleziona Passa a Aziendali nella barra dei menu in alto. Puoi anche usare i puntini di sospensione (ellisse.) a destra del nome del connettore.

    Assegnare più connettori.

    I connettori appariranno nel gruppo di dati Aziendali.

    Gruppo di dati Aziendali.

    I connettori possono risiedere in un solo gruppo di dati alla volta. Spostando i connettori SharePoint e Salesforce nel gruppo di dati Aziendali, impedisci agli utenti di creare flussi e app che combinano questi due connettori con i connettori presenti nei gruppi Non aziendali o Bloccati.

    Per i connettori come SharePoint che non sono bloccabili, l'azione Blocca verrà disattivata e verrà visualizzato un avviso.

  5. Esamina e modifica l'impostazione di gruppo predefinita per i nuovi connettori, se necessario. Ti consigliamo di mantenere l'impostazione predefinita Non aziendali per mappare eventuali nuovi connettori aggiunti a Microsoft Power Platform per impostazione predefinita. I connettori Non aziendali possono essere assegnati manualmente ai gruppi Aziendali o Bloccati successivamente modificando il criterio DLP, dopo aver avuto la possibilità di esaminarli e assegnarli. Se la nuova impostazione per i connettori è Bloccati, tutti i nuovi connettori che sono bloccabili verranno mappati a Bloccati, come previsto. Tuttavia, tutti i nuovi connettori non bloccabili verranno mappati a Non aziendali in quanto non possono essere bloccati.

    Seleziona Imposta gruppo predefinito nell'angolo in alto a destra.

    Imposta gruppo predefinito.

    Dopo aver completato tutte le assegnazioni dei connettori nei gruppi Aziendali/Non aziendali/Bloccati e aver impostato il gruppo predefinito per i nuovi connettori, seleziona Avanti.

  6. Scegli l'ambito del criterio DLP. Questo passaggio non è disponibile per i criteri a livello di ambiente, poiché questi sono destinati sempre a un singolo ambiente.

    Definire l'ambito.

    Ai fini di questa procedura dettagliata, escluderai gli ambienti di test da questo criterio. Seleziona Escludi determinati ambienti e nella pagina Aggiungi ambienti, seleziona Avanti.

  7. Esamina i vari attributi e impostazioni nella pagina Aggiungi ambienti. Per i criteri a livello di tenant, questo elenco mostrerà all'amministratore a livello di tenant tutti gli ambienti nel tenant. Per i criteri a livello di ambiente, questo elenco mostrerà solo il sottoinsieme di ambienti nel tenant gestiti dall'utente che ha effettuato l'accesso come amministratore dell'ambiente o come amministratore di sistema per gli ambienti con database Dataverse.

    Aggiungi ambienti.

    Attributi

    Attributo Description
    Name Il nome dell'ambiente.
    Tipo Il tipo di ambiente: valutazione, produzione, sandbox, predefinito
    Area geografica L'area geografica associata all'ambiente.
    Autore: L'utente che ha creato l'ambiente.
    Data creazione La data in cui l'ambiente è stato creato.

    Elenchi

    Pivot Descrizione
    Disponibili (n) Ambienti che non sono esplicitamente inclusi o esclusi nell'ambito del criterio. Per il criterio a livello di ambiente e i criteri a livello di tenant il cui ambito è Aggiungi più ambienti, questo elenco rappresenta il sottoinsieme di ambienti non inclusi nell'ambito del criterio. Per i criteri a livello di tenant il cui ambito è Escludi determinati ambienti, questo pivot rappresenta l'insieme di ambienti inclusi nell'ambito del criterio.
    Aggiunti a criterio ( n) Per il criterio a livello di ambiente e i criteri a livello di tenant il cui ambito è Aggiungi più ambienti, questo pivot rappresenta il sottoinsieme di ambienti nell'ambito del criterio. Per i criteri a livello di tenant il cui ambito è Escludi determinati ambienti, questo pivot rappresenta il sottoinsieme di ambienti esclusi dall'ambito del criterio.

    Azioni

    Azione Descrizione
    Aggiungi a criteri Gli ambienti nella categoria Disponibili possono essere spostati nella categoria Aggiunti a criterio utilizzando questa azione.
    Rimuovi da criteri Gli ambienti nella categoria Aggiunti a criterio possono essere spostati nella categoria Disponibili utilizzando questa azione.

  8. Seleziona una o più ambienti. Puoi utilizzare la barra di ricerca per trovare rapidamente gli ambienti. Per questa procedura dettagliata, cercheremo ambienti di test. Digita sandbox. Dopo aver selezionato gli ambienti sandbox, li assegniamo all'ambito del criterio utilizzando Aggiungi a criterio nella barra dei menu in alto.

    Assegnare al criterio.

    Poiché l'ambito del criterio è stato inizialmente selezionato come Escludi determinati ambienti, questi ambienti di test verranno ora esclusi dall'ambito del criterio e le impostazioni del criterio DLP verranno applicate a tutti gli altri ambienti (Disponibili). Per il criterio a livello di ambiente, è possibile selezionare un solo ambiente nell'elenco degli ambienti disponibili.

    Dopo aver effettuato le selezioni per gli ambienti, seleziona Avanti.

  9. Esamina le impostazioni del criterio, quindi seleziona Crea criterio.

    Esaminare il nuovo criterio.

Il criterio viene creato e appare nell'elenco dei criteri DLP. Come risultato di questo criterio, le app SharePoint e Salesforce possono condividere dati in ambienti non di test, come gli ambienti di produzione, poiché fanno entrambi parte dello stesso gruppo di dati Aziendali. Tuttavia, qualsiasi connettore che risiede nel gruppo di dati Non aziendali, come Outlook.com, non condividerà i dati con app e flussi utilizzando i connettori SharePoint o Salesforce. I connettori Facebook e Twitter sono bloccati e non possono essere utilizzati in qualsiasi app o flusso negli ambienti non di test come gli ambienti di produzione o predefiniti.

È consigliabile che gli amministratori condividano l'elenco di criteri DLP con la propria organizzazione di modo che gli utenti siano al corrente dei criteri prima di creare app.

Questa tabella descrive in che modo il criterio DLP creato influenza le connessioni dati nelle app e nei flussi.

Matrice connettore SharePoint (Aziendali) Salesforce (Aziendali) Outlook.com (Non aziendali) Facebook (Bloccati) Twitter (Bloccati)
SharePoint (Aziendali) Consentito Consentito Non consentito Non consentito Non consentito
Salesforce (Aziendali) Consentito Consentito Non consentito Non consentito Non consentito
Outlook.com (Non aziendali) Non consentito Non consentito Consentito Non consentito Non consentito
Facebook (Bloccati) Non consentito Non consentito Non consentito Non consentito Non consentito
Twitter (Bloccati) Non consentito Non consentito Non consentito Non consentito Non consentito

Poiché non è stata applicato alcun criterio DLP ad ambienti di test, app e flussi possono utilizzare qualsiasi set di connettori insieme in questi ambienti.

Utilizzare i comandi PowerShell DLP

Vedi Comandi dei criteri di prevenzione della perdita dei dati (DLP).

Vedi anche

Criteri di prevenzione della perdita dei dati
Gestire i criteri di prevenzione della perdita dei dati (DLP)
Comandi dei criteri di prevenzione della perdita dei dati (DLP)
SDK di prevenzione della perdita dei dati di Power Platform