Ustanawianie strategii DLP
Zasady zapobiegania utracie danych (DLP) działają jak zabezpieczenia, które pomagają zapobiegać niezamierzonemu ujawnianiu danych organizacji przez użytkowników i chronią bezpieczeństwo informacji w dzierżawie. Zasady DLP wymuszają reguły, dla których są włączone łączniki dla poszczególnych środowisk oraz które złącza mogą być używane razem. Łączniki są klasyfikowane wyłącznie dane biznesowe, żadne dane biznesowe nie są dozwolone lub zablokowane. Łącznik w grupie "tylko dane biznesowe" może być używany z innymi łącznikami z tej grupy w ramach tej samej aplikacji lub przepływu. Więcej informacji: Administracja Microsoft Power Platform: Zasady ochrony przed utratą danych
Ustalenie zasad DLP będzie teraz dostępne wraz z strategią w dziedzinie środowiska.
Szybkie fakty
- Zasady ochrony przed utratą danych (DLP) działają jak bariery ochronne, które pomagają zapobiegać niezamierzonemu ujawnieniu danych przez użytkowników.
- Zasady DLP można określać na poziomie środowiska i na poziomie dzierżawcy, oferując elastyczność tworzenia zasad, które są rozsądne i nie blokują wysokiej produktywności.
- Należy zauważyć, że zasady DLP środowiska nie mogą zastępować zasad DLP dzierżawy.
- Jeśli dla jednego ze środowisk jest skonfigurowanych wiele zasad, najrestrykcyjnymi zasadami stosuje się w połączeniu z łącznikami.
- Domyślnie w dzierżawie nie są zaimplementowane żadne zasady DLP.
- Zasad nie można stosować na poziomie użytkownika, tylko na poziomie środowiska lub dzierżawcy.
- Zasady DLP są oparte na łącznikach, ale nie kontrolują połączeń wykonywanych za pomocą tego łącznika — innymi słowy, zasady DLP nie są oparte na tym, czy łącznik jest używany do łączenia się ze środowiskiem projektowania, testu lub produkcji.
- Program PowerShell i łączniki administracyjne mogą zarządzać zasadami.
- Użytkownicy zasobów w środowiskach mogą wyświetlać zasady, które mają zastosowanie.
Klasyfikacja łącznika
Sektory biznesu i innych firm są rysowane na wszystkich łącznikach, które mogą być używane razem z daną aplikacją lub przepływem. W ramach zasad DLP łączniki mogą być klasyfikowane do następujących grup:
- Biznes: dana aplikacja Power App lub Power Automate zasób może korzystać z co najmniej jednego łącznika z grupy biznesowej. Jeśli aplikacja Power App lub zasób zaawansowany Power Automate korzysta z programu Business Connector, nie może korzystać z łącznika innego niż biznesowego.
- Niebiznesowe: dana aplikacja Power App lub Power Automate zasób może korzystać z co najmniej jednego łącznika z grupy niebiznesowej. Jeśli aplikacja Power App lub zasób zaawansowany Power Automate korzysta z łącznika niebiznesowego, nie może korzystać z łącznika biznesowego.
- Zablokowane: Żadna aplikacja Power App ani Power Automate zasób nie może używać łącznika z zablokowanej grupy. Wszystkie Microsoft należące do nas łączniki premium i łączniki innych firm (standardowe i premium) mogą być blokowane. Nie można blokować wszystkich Microsoft należących do nich standardowych łączników i Common Data Service łączników.
Nazwy „biznesowy” i „niebiznesowy” nie mają żadnego specjalnego znaczenia — ale są to zwykłe etykiety. Zgrupowanie samych łączników ma znaczenie, a nie nazwa grupy, w której się znajdują.
Więcej informacji: Administrowanie Microsoft Power Platform: Klasyfikacja łącznika
Strategie tworzenia zasad DLP
Jako Administrator przejmujący środowisko lub rozpoczynający korzystanie z Power Apps i Power Automate jedną z pierwszych czynności, jaką powinieneś wykonać jest skonfigurowania zasad DLP. Gwarantuje to, że istnieje podstawowy zestaw zasad i można skupić się na obsłudze wyjątków i tworzeniu docelowych zasad DLP, które będą implementować te wyjątki po zatwierdzeniu.
Zaleca się, aby w ramach zasad DLP dla współdzielone środowiska produktywności użytkowników i zespołów:
- Utwórz zasady obejmujące wszystkie środowiska poza wybranymi (na przykład środowiska produkcyjne), ogranicz dostępne łączniki w tej zasadzie do pakietu Office 365 i innych standardowych mikrousług oraz zablokuj dostęp do wszystkich innych. Te zasady będą dotyczyć środowiska domyślnego oraz środowiska szkoleniowego, które będzie używane do uruchamiania wewnętrznych zdarzeń szkoleniowych. Ponadto te zasady będą obowiązywały również w nowych środowiskach, które zostaną utworzone.
- Tworzenie odpowiednich i bardziej zażądanych zasad DLP dla współdzielone środowiska produktywności użytkowników i zespołów. Te zasady umożliwiają przystawianie użytkownikom łączników, takich jak usługi platformy Azure, oraz korzystanie z usług Office 365. Łączniki dostępne w tych środowiskach będą zależeć od organizacji i miejsca, w którym organizacja przechowuje dane biznesowe.
Zaleca się, aby w ramach zasad DLP dla środowiska produkcyjne (jednostka biznesowa i projekt):
- Wyklucz te środowiska z zasad pracy udostępnionych użytkowników i zespołów.
- Należy pracować z jednostką biznesową i projektem w celu ustalenia, które łączniki i kombinacje łączników będą używane, i utworzyć zasadę dzierżawy w celu dołączenia tylko wybranych środowisk.
- Administratorzy środowiska w tych środowiskach mogą używać zasad środowiska do kategoryzowania łączników niestandardowych jako danych biznesowych, jeśli jest to wymagane.
Zalecane jest również:
- Tworzenie minimalnej liczby zasad dla każdego środowiska. Nie ma ścisłej hierarchii między zasadami dzierżawy i środowiska, a podczas projektowania i wykonywania wszystkie zasady mające zastosowanie do środowiska, w którym znajduje się aplikacja lub przepływ, są oceniane razem, aby zdecydować, czy zasób jest zgodny z zasadami DLP, czy też je narusza. Wiele zasad DLP zastosowanych do jednego środowiska spowoduje fragmentację przestrzeni łącznika w skomplikowany sposób i może utrudnić zrozumienie problemów, z którymi borykają się twórcy.
- Centralne zarządzanie zasadami DLP przy użyciu zasad na poziomie dzierżawy i korzystanie z zasad środowiska tylko do kategoryzowania łączników niestandardowych lub wyjątków.
Z tą strategią w miejscu zaplanuj sposób obsługi wyjątków. Masz następujące możliwości:
- Odrzuć żądanie.
- Dodawanie łącznika do domyślnych zasad DLP.
- Dodaj środowiska do listy All Except dla globalnego domyślnego DLP i utwórz zasady DLP specyficzne dla przypadku użycia z dołączonym wyjątkiem.
Przykład: strategia DLP firmy Contoso
Przyjrzyjmy się, jak firma Contoso Corporation, nasza przykładowa organizacja dla tych wskazówek, skonfigurowała swoje zasady DLP. Konfigurowanie swoich polityki DLP jest ściśle powiązane ze strategią środowiskową.
Administratorzy firmy Contoso chcą obsługiwać scenariusze produktywności użytkowników i zespołów oraz aplikacje biznesowe, oprócz zarządzania działaniami Centrum doskonałości (CoE).
Środowisko i strategia DLP, którą zastosowali administratorzy firmy Contoso, składają się z:
Restrykcyjne zasady DLP dotyczące całej dzierżawy, które mają zastosowanie do wszystkich środowisk w dzierżawie, z wyjątkiem niektórych określonych środowisk, które zostały wykluczone z zakresu zasad. Administratorzy zamierzają utrzymać dostępne łączniki tej zasady w zakresie programu Office 365 i innych mikrodostępów standardowych, blokując dostęp do wszystkich innych usług. Ta zasada będzie miała również zastosowanie do środowiska domyślnego.
Administratorzy Contoso utworzyli kolejne udostępnione środowisko dla użytkowników, w którym będą tworzyć aplikacje służące do obsługi spraw w aplikacjach dla użytkowników i zespołów. W tym środowisku są skojarzone zasady DLP na poziomie dzierżawy, które nie są tak averse jako domyślne i umożliwiają przystawer korzystanie z łączników, takich jak usługi platformy Azure, a także do usług Office 365. Ponieważ jest to środowisko inne niż domyślne, administratorzy mogą aktywnie kontrolować jego listę twórców środowiska. Jest to wielopoziomowe podejście do współużytkowanego środowiska produktywności użytkownika i zespołu oraz powiązanych ustawień DLP.
Ponadto, aby jednostki biznesowe mogły tworzyć aplikacje biznesowe, stworzyły środowiska programistyczne, testowe i produkcyjne dla swoich filii podatkowych i kontrolnych w różnych krajach/regionach. Dostęp twórcy środowiska do tych środowisk jest starannie zarządzany, a odpowiednie łączniki własne i innych firm są udostępniane przy użyciu zasad DLP na poziomie dzierżawcy w porozumieniu z interesariuszami jednostki biznesowej.
Podobnie, środowiska deweloperskie / testowe / produkcyjne są tworzone na potrzeby centralnego działu IT do opracowywania i wdrażania odpowiednich lub właściwych aplikacji. Te scenariusze aplikacji biznesowych zazwyczaj mają dobrze zdefiniowany zestaw łączników, które muszą być dostępne dla twórców, testerów i użytkowników w tych środowiskach. Dostęp do tych łączników jest zarządzany przy użyciu dedykowanych zasad na poziomie dzierżawy.
Firma Contoso ma również specjalne środowisko dedykowane działaniom Centrum Doskonałości. W firmie Contoso zasady DLP dla środowiska specjalnego przeznaczenia pozostaną na wysokim poziomie, biorąc pod uwagę eksperymentalny charakter książki zespołów teorii. W tym przypadku administratorzy dzierżawy delegowali zarządzanie DLP dla tego środowiska bezpośrednio do zaufanego administratora środowiska zespołu Centrum doskonałości i wykluczali je ze szkoły wszystkich zasad na poziomie dzierżawy. To środowisko jest zarządzane tylko przez zasady DLP na poziomie środowiska, co jest wyjątkiem, a nie regułą w firmie Contoso.
Zgodnie z oczekiwaniami wszystkie nowe środowiska w Contoso zostaną zamapowanie na pierwotne zasady dotyczące środowisk wszystkich środowisk.
Ta konfiguracja zasad DLP ukierunkowanych na dzierżawę nie uniemożliwia administratorom środowiska tworzenia własnych zasad DLP na poziomie środowiska, jeśli chcą wprowadzić dodatkowe ograniczenia lub sklasyfikować łączniki niestandardowe.
Konfigurowanie zasad dotyczących danych
Utwórz swoje zasady w centrum administracyjnym Power Platform. Więcej informacji: Zarządzanie zasadami danych
Użyj zestawu DLP SDK, aby dodać niestandardowe złącza do zasad DLP.
Jasno poinformuj twórców o zasadach DLP w swojej organizacji
Konfigurowanie witryny lub wiki SharePoint, które jasno przedstawia:
- Zasady DLP na poziomie dzierżawcy i kluczowe środowisko (na przykład środowisko domyślne, środowisko próbne) egzekwowane w organizacji, w tym listy łączników sklasyfikowanych jako biznesowe, niebiznesowe i zablokowane.
- Identyfikator e-mail grupy administratorów, aby twórcy mogli kontaktować się w przypadku wyjątków. Na przykład administratorzy mogą pomóc twórcom w powrocie do edycji istniejącej polityki DLP pod kątem zgodności, przeniesienia rozwiązania do innego środowiska, utworzenia nowego środowiska i nowej polityki DLP oraz przeniesienia producenta i zasobu do tego nowego środowiska.
Dobrze jest również wyjasniać strategię środowiskową organizacji twórcom.