Condividi tramite

Stabilire una strategia DLP

  • Articolo

I criteri di prevenzione della perdita dei dati (DLP) sono misure di protezione che impediscono agli utenti di esporre involontariamente i dati dell'organizzazione e che proteggono la sicurezza delle informazioni nel tenant. I criteri DLP applicano regole che definiscono i connettori abilitati per ogni ambiente e i connettori che possono essere usati insieme. I connettori sono classificati come Solo dati aziendali, Dati aziendali non consentiti o Bloccati. Un connettore nel gruppo Solo dati aziendali può essere utilizzato solo con altri connettori di quel gruppo nella stessa app o nello stesso flusso. Ulteriori informazioni: Amministrare Microsoft Power Platform: criteri di prevenzione della perdita dei dati

I criteri DLP devono essere stabiliti congiuntamente con la strategia ambientale.

In breve

  • I criteri di prevenzione della perdita dei dati (DLP) sono misure di protezione che impediscono agli utenti di esporre involontariamente i dati dell'organizzazione.
  • L'ambito dei criteri DLP può essere a livello di ambiente e di tenant, offrendo flessibilità per definire criteri adeguati e che non bloccano l'alta produttività.
  • I criteri DLP dell'ambiente non possono sostituire i criteri DLP a livello di tenant.
  • Se più criteri sono configurati per un ambiente, il criterio più restrittivo si applica alla combinazione di connettori.
  • Per impostazione predefinita, nessun criterio DLP è implementato nel tenant.
  • I criteri non possono essere applicati a livello di utente, solo a livello di ambiente o tenant.
  • I criteri DLP riconoscono il connettore, ma non controllano le connessioni effettuate utilizzando il connettore; in altre parole, i criteri DLP non sanno se il connettore è utilizzato per la connessione a un ambiente di sviluppo, test o produzione.
  • I connettori di amministrazione e PowerShell possono gestire i criteri.
  • Gli utenti delle risorse negli ambienti possono visualizzare i criteri applicabili.

Classificazione dei connettori

Le classificazioni aziendali e non aziendali determinano quali connettori possono essere utilizzati insieme in una determinato flusso o app. I connettori possono essere classificati nei seguenti gruppi utilizzando i criteri DLP:

  • Aziendali: una determinata risorsa Power App o Power Automate può utilizzare uno o più connettori di un gruppo aziendale. Se una risorsa Power Automate o Power App usa un connettore aziendale, non può usare alcun connettore non aziendale.
  • Non aziendali: una determinata risorsa Power App o Power Automate può utilizzare uno o più connettori di un gruppo non aziendale. Se una risorsa Power Automate o Power App usa un connettore non aziendale, non può usare alcun connettore aziendale.
  • Bloccati: nessuna risorsa Power App o Power Automate può utilizzare un connettore di un gruppo bloccato. Tutti i connettori premium di proprietà di Microsoft e i connettori di terze parti (standard e premium) possono essere bloccati. Nessun connettore standard di proprietà di Microsoft e connettore Common Data Service può essere bloccato.

I termini "aziendale" e "non aziendale" non hanno alcun significato speciale: sono semplicemente etichette. Il raggruppamento dei connettori è importante, non il nome del gruppo in cui sono inseriti.

Maggiori informazioni: Amministrare Microsoft Power Platform: classificazione dei connettori

Strategie per la creazione dei criteri DLP

In veste di amministratore, prendere il controllo di un ambiente o iniziare a supportare l'uso dei criteri DLP di Power Apps e Power Automate è una delle prime cose che dovresti fare. Una volta implementata l'applicazione di una serie di criteri di base, di modo che tu possa dedicarti alla gestione delle eccezioni e alla creazione di criteri DLP mirati che implementano tali eccezioni una volta approvate.

Si consiglia di procedere come descritto di seguito per i criteri DLP relativi ad ambienti di produttività condivisi per utenti e team:

  • Crea criteri che coprono tutti gli ambienti tranne quelli selezionati (ad esempio, gli ambienti di produzione), mantieni i connettori disponibili in questo criterio limitati a Office 365 e ad altri microservizi standard e blocca l'accesso a tutto il resto. Questi criteri si applicano all'ambiente predefinito e agli ambienti di formazione disponibili per l'esecuzione di eventi di formazione interni. Inoltre, questi criteri si applicano anche a tutti i nuovi ambienti che verranno creati.
  • Crea criteri DLP appropriati e più permissivi per gli ambienti di produttività condivisi per utenti e team. Questi criteri potrebbero consentire ai creatori di usare connettori come i servizi di Azure oltre ai servizi di Office 365. I connettori disponibili in questi ambienti dipenderanno dall'organizzazione e dalla posizione in cui l'organizzazione archivia i dati aziendali.

Si consiglia di procedere come descritto di seguito per i criteri DLP relativi ad ambienti di produzione (business unit e progetto):

  • Escludi questi ambienti dai criteri di produttività condivisi per team e utenti.
  • In base alla business unit e al progetto, stabilisci quali connettori e combinazioni di connettori utilizzeranno e crea criteri per tenant per includere solo gli ambienti selezionati.
  • Gli amministratori di questi ambienti possono usare i criteri dell'ambiente per classificare i connettori personalizzati come solo dati aziendali, se necessario.

Consigliamo inoltre:

  • Creare un numero minimo di criteri per ambiente. Non esiste una gerarchia rigida tra i criteri tenant e ambiente e, in fase di progettazione ed esecuzione, tutti i criteri applicabili all'ambiente in cui risiede l'app o il flusso vengono valutati insieme per decidere se la risorsa rispetta o viola i criteri DLP. L'applicazione di più criteri DLP a un ambiente provocherà la frammentazione dello spazio del connettore a tal punto da rendere difficile la comprensione dei problemi che i produttori devono affrontare.
  • Gestire centralmente i criteri DLP utilizzando criteri a livello di tenant e di ambiente solo per classificare i connettori personalizzati o in casi eccezionali.

Con una strategia di base, pianifica il modo in cui gestire le eccezioni. È possibile:

  • Rifiutare la richiesta.
  • Aggiungere il connettore ai criteri DLP predefiniti.
  • Aggiungere gli ambienti all'elenco Tutti tranne per i criteri DLP predefiniti globali e creare criteri DLP specifici per il caso d'uso con l'eccezione inclusa.

Esempio: strategia DLP di Contoso

Diamo un'occhiata a come Contoso Corporation, la nostra organizzazione di esempio per queste linee guida, ha impostato i propri criteri DLP. La configurazione dei criteri DLP di Contoso è strettamente legata alla strategia ambientale dell'organizzazione.

Gli amministratori di Contoso desiderano supportare scenari di produttività per utenti e team e applicazioni aziendali, oltre alla gestione delle attività del Center of Excellence (CoE).

La strategia DLP e ambientale che gli amministratori di Contoso hanno applicato include:

  1. Criteri DLP restrittivi a livello di tenant applicabile a tutti gli ambienti nel tenant ad eccezione di alcuni ambienti specifici che sono stati esclusi dall'ambito dei criteri. Gli amministratori intendono mantenere i connettori disponibili in questi criteri limitati a Office 365 e ad altri microservizi standard bloccando l'accesso a tutto il resto. Questi criteri si applicano anche all'ambiente predefinito.

  2. Gli amministratori di Contoso hanno creato un altro ambiente condiviso in cui gli utenti possono creare app per casi d'uso di produttività di utenti e team. Questo ambiente ha criteri DLP a livello di tenant associati che non sono avversi al rischio come i criteri predefiniti e consente ai creatori di utilizzare connettori come i servizi di Azure oltre ai servizi di Office 365. Poiché si tratta di un ambiente non predefinito, gli amministratori possono controllare attivamente l'elenco dei creatori dell'ambiente. Si tratta di un approccio a livelli all'ambiente di produttività condiviso per team e utenti e alle impostazioni DLP associate.

  3. Inoltre, affinché le Business Unit possano creare applicazioni line-of-business, sono stati creati ambienti di sviluppo, test e produzione per le affiliate fiscali e di revisione in vari paesi/aree geografiche. L'accesso dei creatori dell'ambiente a questi ambienti è gestito con attenzione e vengono resi disponibili connettori appropriati di prima parte e terze parti utilizzando criteri DLP a livello di tenant in collaborazione con le parti interessate della business unit.

  4. Analogamente, ambienti di sviluppo/test/produzione vengono creati per consentire all'IT centrale di sviluppare applicazioni pertinenti o appropriate e di eseguirne il rollout. Questi scenari di applicazioni aziendali in genere hanno un set ben definito di connettori che devono essere resi disponibili per creatori, tester e utenti in questi ambienti. L'accesso a questi connettori viene gestito utilizzando criteri a livello di tenant dedicati.

  5. Contoso ha anche un ambiente per scopi speciali dedicato alle attività del Center of Excellence. In Contoso, i criteri DLP per l'ambiente per scopi speciali rimarrà high-touch data la natura sperimentale del libro dei team teorici. In questo caso, gli amministratori di tenant hanno delegato la gestione DLP per questo ambiente direttamente a un amministratore dell'ambiente affidabile del team CoE e l'hanno escluso da un gruppo di tutti i criteri a livello di tenant. Questo ambiente è gestito solo dai criteri DLP a livello di ambiente, che è un'eccezione anziché la regola in Contoso.

Come previsto, tutti i nuovi ambienti creati in Contoso verranno mappati ai criteri originali per tutti gli ambienti.

La configurazione dei criteri DLP orientati al tenant non impedisce agli amministratori di ambienti di elaborare propri criteri DLP a livello di ambiente, se vogliono introdurre ulteriori restrizioni o classificare connettori personalizzati.

Come Contoso ha impostato i propri criteri DLP.

Configurare criteri dati

  1. Crea i tuoi criteri nell'interfaccia di amministrazione di Power Platform. Ulteriori informazioni: Gestire i criteri dati

  2. Usa il kit SDK DLP per aggiungere connettori personalizzati a criteri DLP.

Comunicare chiaramente i criteri DLP dell'organizzazione ai creatori

Crea un sito o un wiki SharePoint che comunica chiaramente:

  • I criteri DLP a livello di tenant e di ambiente chiave (ad esempio, ambiente predefinito, ambiente di prova) applicati nell'organizzazione, inclusi elenchi di connettori classificati come aziendali, non aziendali e bloccati.
  • L'ID e-mail del tuo gruppo di amministratori di modo che i creatori possano contattarlo per scenari di eccezione. Ad esempio, gli amministratori possono aiutare i creatori a ristabilire la conformità modificando criteri DLP esistenti, spostando la soluzione in un ambiente diverso, creando un nuovo ambiente e nuovi criteri DLP e spostando il creatore e la risorsa in questo nuovo ambiente.

Comunica chiaramente anche la strategia ambientale dell'organizzazione ai creatori.