Prevenzione della perdita dei dati

  • 5 minuti

I criteri di prevenzione della perdita dei dati (DLP) consentono di evitare che gli utenti espongano involontariamente i dati dell'organizzazione e proteggono la sicurezza delle informazioni nel tenant. I criteri prevenzione della perdita dei dati (DLP) applicano regole che stabiliscono quali connettori saranno abilitati per ogni ambiente e quali connettori possono essere usati contemporaneamente.

I criteri DLP impediscono l'accesso non autorizzato ai dati e la perdita di dati da Microsoft Power Platform. In qualità di Architetto di soluzioni, è necessario tenere conto dei criteri DLP poiché:

  • Garantiscono un corretto flusso di dati in un'organizzazione seguendo i criteri dell'organizzazione.
  • Possono impedire a una soluzione sviluppata di funzionare correttamente, qualora il loro uso non sia previsto nei piani.
  • Possono interrompere il funzionamento della soluzione dopo la distribuzione, qualora vengano aggiunti in un secondo momento.

Fatti chiave

Fatti chiave sui criteri di prevenzione della perdita dei dati (DLP):

  • I criteri DLP applicano regole che determinano quali i connettori possono essere usati contemporaneamente.
  • I connettori sono classificati in gruppi.
  • Un connettore in un gruppo può essere usato solo con altri connettori dello stesso gruppo in un'app o in un flusso.
  • Gli amministratori del tenant possono definire i criteri che si applicano a tutti gli ambienti.
  • Per impostazione predefinita, i criteri DLP non vengono implementati nel tenant.

I connettori sono classificati in base alle seguenti categorie: solo dati aziendali, dati aziendali consentiti o bloccato. Un connettore in un gruppo relativo ai soli dati aziendali può essere usato esclusivamente con altri connettori dello stesso gruppo nella stessa app o nello stesso flusso. I nomi "aziendale" e "non aziendale" non hanno un significato specifico, ma sono semplicemente etichette. Ciò che è importante è il raggruppamento dei connettori, non il nome del gruppo in cui sono inseriti. I connettori bloccati non possono essere usati.

Screenshot dei criteri di prevenzione della perdita dei dati.

Nota

I connettori Dataverse non possono essere bloccati.

Criteri di prevenzione della perdita dei dati (DLP) e ambienti

I criteri DLP possono essere definiti a livello di tenant e a livello di ambiente.

Screenshot dell'ambito dei criteri di prevenzione della perdita dei dati.

È possibile applicare più criteri DLP a un ambiente. In fase di progettazione e di esecuzione, tutti i criteri applicabili all'ambiente in cui risiede l'app o il flusso vengono valutati insieme per decidere se la risorsa rispetta o viola i criteri DLP. Se per un ambiente sono configurati più criteri, alla combinazione di connettori vengono applicati quelli più restrittivi.

Nota

I criteri DLP dell'ambiente non possono sostituire i criteri DLP a livello di tenant.

L'Architetto di soluzioni deve cercare di definire un numero minimo di criteri ed evitare di applicare più criteri a un ambiente, se possibile.

È consigliabile usare il seguente approccio durante la creazione di criteri:

  1. Creare criteri validi per tutti gli ambienti in grado di bloccare tutti i connettori non Microsoft non supportati e che classifichino tutti i connettori Microsoft come dati aziendali.
  2. Creare criteri per l'ambiente predefinito e altri ambienti di training in grado di limitare ulteriormente i connettori Microsoft classificati come dati aziendali.
  3. Creare altri criteri o escludere gli ambienti dai criteri precedenti, consentendo l'uso di determinati connettori per ambienti specifici.

Diagramma dei livelli dei criteri di prevenzione della perdita dei dati.

Distribuzione dei criteri

Gli architetti di soluzioni devono considerare i seguenti fattori relativi ai criteri di prevenzione della perdita dei dati:

  • È meglio definire prima criteri predefiniti e poi assegnare eccezioni in un secondo momento.
  • Restrizioni nuove e aggiornate possono disabilitare app e flussi esistenti.
  • Possono essere necessari alcuni minuti affinché le modifiche abbiano effetto.
  • I criteri non possono essere applicati a livello di utente, ma solo a livello di tenant o ambiente.
  • Microsoft PowerShell e i connettori di amministrazione possono gestire i criteri.
  • Gli utenti delle risorse negli ambienti possono visualizzare i criteri applicabili.

Durante la distribuzione a un tenant esistente, gli architetti di soluzioni devono collaborare con altri gruppi IT per:

  • Confermare che i criteri di prevenzione della perdita dei dati siano configurati per supportare il risultato finale.
  • Conoscere il lead time richiesto per ottenere l'approvazione e l'implementazione delle modifiche.
  • Conoscere le operazioni di cui è possibile occuparsi e quelle la cui esecuzione deve essere affidata ad altri gruppi.
  • Usare gruppi di sicurezza di Microsoft Entra ID per controllare l'accesso ad ambienti e risorse.