Prevenzione della perdita dei dati
I criteri di prevenzione della perdita dei dati (DLP) consentono di evitare che gli utenti espongano involontariamente i dati dell'organizzazione e proteggono la sicurezza delle informazioni nel tenant. I criteri prevenzione della perdita dei dati (DLP) applicano regole che stabiliscono quali connettori saranno abilitati per ogni ambiente e quali connettori possono essere usati contemporaneamente.
I criteri DLP impediscono l'accesso non autorizzato ai dati e la perdita di dati da Microsoft Power Platform. In qualità di Architetto di soluzioni, è necessario tenere conto dei criteri DLP poiché:
- Garantiscono un corretto flusso di dati in un'organizzazione seguendo i criteri dell'organizzazione.
- Possono impedire a una soluzione sviluppata di funzionare correttamente, qualora il loro uso non sia previsto nei piani.
- Possono interrompere il funzionamento della soluzione dopo la distribuzione, qualora vengano aggiunti in un secondo momento.
Fatti chiave
Fatti chiave sui criteri di prevenzione della perdita dei dati (DLP):
- I criteri DLP applicano regole che determinano quali i connettori possono essere usati contemporaneamente.
- I connettori sono classificati in gruppi.
- Un connettore in un gruppo può essere usato solo con altri connettori dello stesso gruppo in un'app o in un flusso.
- Gli amministratori del tenant possono definire i criteri che si applicano a tutti gli ambienti.
- Per impostazione predefinita, i criteri DLP non vengono implementati nel tenant.
I connettori sono classificati in base alle seguenti categorie: solo dati aziendali, dati aziendali consentiti o bloccato. Un connettore in un gruppo relativo ai soli dati aziendali può essere usato esclusivamente con altri connettori dello stesso gruppo nella stessa app o nello stesso flusso. I nomi "aziendale" e "non aziendale" non hanno un significato specifico, ma sono semplicemente etichette. Ciò che è importante è il raggruppamento dei connettori, non il nome del gruppo in cui sono inseriti. I connettori bloccati non possono essere usati.
Nota
I connettori Dataverse non possono essere bloccati.
Criteri di prevenzione della perdita dei dati (DLP) e ambienti
I criteri DLP possono essere definiti a livello di tenant e a livello di ambiente.
È possibile applicare più criteri DLP a un ambiente. In fase di progettazione e di esecuzione, tutti i criteri applicabili all'ambiente in cui risiede l'app o il flusso vengono valutati insieme per decidere se la risorsa rispetta o viola i criteri DLP. Se per un ambiente sono configurati più criteri, alla combinazione di connettori vengono applicati quelli più restrittivi.
Nota
I criteri DLP dell'ambiente non possono sostituire i criteri DLP a livello di tenant.
L'Architetto di soluzioni deve cercare di definire un numero minimo di criteri ed evitare di applicare più criteri a un ambiente, se possibile.
È consigliabile usare il seguente approccio durante la creazione di criteri:
- Creare criteri validi per tutti gli ambienti in grado di bloccare tutti i connettori non Microsoft non supportati e che classifichino tutti i connettori Microsoft come dati aziendali.
- Creare criteri per l'ambiente predefinito e altri ambienti di training in grado di limitare ulteriormente i connettori Microsoft classificati come dati aziendali.
- Creare altri criteri o escludere gli ambienti dai criteri precedenti, consentendo l'uso di determinati connettori per ambienti specifici.
Distribuzione dei criteri
Gli architetti di soluzioni devono considerare i seguenti fattori relativi ai criteri di prevenzione della perdita dei dati:
- È meglio definire prima criteri predefiniti e poi assegnare eccezioni in un secondo momento.
- Restrizioni nuove e aggiornate possono disabilitare app e flussi esistenti.
- Possono essere necessari alcuni minuti affinché le modifiche abbiano effetto.
- I criteri non possono essere applicati a livello di utente, ma solo a livello di tenant o ambiente.
- Microsoft PowerShell e i connettori di amministrazione possono gestire i criteri.
- Gli utenti delle risorse negli ambienti possono visualizzare i criteri applicabili.
Durante la distribuzione a un tenant esistente, gli architetti di soluzioni devono collaborare con altri gruppi IT per:
- Confermare che i criteri di prevenzione della perdita dei dati siano configurati per supportare il risultato finale.
- Conoscere il lead time richiesto per ottenere l'approvazione e l'implementazione delle modifiche.
- Conoscere le operazioni di cui è possibile occuparsi e quelle la cui esecuzione deve essere affidata ad altri gruppi.
- Usare gruppi di sicurezza di Microsoft Entra ID per controllare l'accesso ad ambienti e risorse.