Deli z drugimi prek

Vzpostavitev strategije pravilnika o preprečevanju izgube podatkov (DLP)

  • Članek

Pravilniki o preprečevanju izgube podatkov (DLP) uporabnikom preprečujejo nenamerno izpostavljanje podatkov organizacije in ščitijo varnost podatkov v najemniku. Pravilniki o preprečevanju izgube podatkov uveljavljajo pravila za povezovalnike: kateri povezovalniki so omogočeni za posamezno okolje in kateri se lahko uporabljajo skupaj. Povezovalniki so razvrščeni v skupino Samo poslovni podatki, Dovoljeni niso nobeni poslovni podatki, ali Blokirano. Povezovalnik v skupini »Samo poslovni podatki« je mogoče uporabiti samo z drugimi priključki iz te skupine v isti aplikaciji ali toku. Več informacij: Upravljanje platforme Microsoft Power Platform: pravilniki o preprečevanju izgube podatkov

Vzpostavitev vaših pravilnikov DLP gre z roko v roki z vašo okoljsko strategijo.

Hitra dejstva

  • Pravilniki o preprečevanju izgube podatkov (DLP) delujejo kot zaščitne ograje, ki uporabnikom preprečujejo nenamerno razkrivanje podatkov.
  • Pravilniki o preprečevanju izgube podatkov so na ravni okolja in najemnika in ponujajo prilagodljivost pri oblikovanju pravilnikov, ki so smiselni in ne zavirajo visoke produktivnosti.
  • Pravilniki DLP okolja ne morejo preglasiti pravilnikov DLP za celotnega najemnika.
  • Če je za eno okolje konfiguriranih več pravilnikov, za kombinacijo povezovalnikov velja najbolj omejevalni pravilnik.
  • Pravilniki o preprečevanju izgube podatkov v najemniku privzeto niso na voljo.
  • Pravilnikov ni mogoče uporabiti na ravni uporabnika, ampak samo na ravni okolja ali najemnika.
  • Pravilniki o preprečevanju izgube podatkov temeljijo na povezovalnikih, ampak ne upravljajo povezav, vzpostavljenih s povezovalnikom – z drugimi besedami, pravilniki o preprečevanju izgube podatkov ne vedo, ali povezovalnik uporabljate za povezavo z razvojnim, preskusnim ali produkcijskim okoljem.
  • Priključki lupine PowerShell in skrbnika lahko upravljajo pravilnike.
  • Uporabniki virov v okoljih si lahko ogledajo veljavne pravilnike.

Razvrščanje povezovalnikov

Poslovne in neposlovne razvrstitve za povezovalnike določajo meje glede skupne uporabe povezovalnikov v določeni aplikaciji ali toku. S pravilniki o preprečevanju izgube podatkov lahko povezovalnike razvrstimo v naslednje skupine:

  • Posel: dani Power App ali Power Automate vir lahko uporablja enega ali več povezovalnikov iz poslovne skupine. Če Power App ali Power Automate vir uporablja poslovni povezovalnik, ne more uporabljati nobenega neposlovnega povezovalnika.
  • Neposlovni: dani Power App ali Power Automate vir lahko uporablja enega ali več povezovalnikov iz neposlovne skupine. Če Power App ali Power Automate vir uporablja neposlovni povezovalnik, ne more uporabljati nobenega poslovnega povezovalnika.
  • Blokirano: Nobena aplikacija Power ali Power Automate vir ne more uporabljati konektorja iz blokirane skupine. Vse Microsoftpremijske priključke in priključke tretjih oseb (standardne in premium) je mogoče blokirati. Vseh Microsoftstandardnih konektorjev in Common Data Service konektorjev ni mogoče blokirati.

Imeni »poslovno« in »neposlovno« nimata posebnega pomena – sta samo oznaki. Pomembno je združevanje samih povezovalnikov, ne pa imena skupine, v kateri so.

Več informacij: Upravljanje platforme Microsoft Power Platform: razvrstitev povezovalnika

Strategije za ustvarjanje pravilnikov o preprečevanju izgube podatkov

Če ste skrbnik, ki prevzema okolje ali začne podpirati uporabo storitev Power Apps in Power Automate, bi morali biti pravilniki za preprečevanje izgube podatkov ena prvih stvari, ki jih nastavite. Ko je vzpostavljen osnovni nabor pravilnikov, se lahko osredotočite na obravnavanje izjem in ustvarjanje ciljnih pravilnikov DLP, ki izvajajo te izjeme, ko so odobrene.

Priporočamo naslednje izhodišče za pravilnike o preprečevanju izgube podatkov za okolja za storilnost uporabnika in ekipe v skupni rabi:

  • Ustvarite pravilnik, ki obsega vsa okolja, razen izbranih (na primer vašega produkcijskega okolja), poskrbite, da bodo razpoložljivi povezovalniki v tem pravilniku omejeni na Office 365 in druge standardne mikrostoritve ter blokirajte dostop do vsega drugega. Ta pravilnik velja za privzeto okolje in okolja za usposabljanje, ki jih imate za izvajanje notranjih izobraževalnih dogodkov. Poleg tega ta pravilnik velja tudi za vsa nova okolja, ki so ustvarjena.
  • Ustvarite ustrezne in bolj permisivne pravilnike DLP za vaša deljena okolja produktivnosti uporabnikov in skupin. Ti pravilniki bi lahko ustvarjalcem omogočili, da poleg storitve Office 365 uporabljajo povezovalnike storitve Azure. Konektorji, ki so na voljo v teh okoljih, so odvisni od vaše organizacije in od tega, kje vaša organizacija shranjuje poslovne podatke.

Priporočamo naslednje izhodišče za pravilnike o preprečevanju izgube podatkov za produkcijska okolja (poslovna enota in projekt):

  • Ta okolja izključite iz pravilnikov o storilnosti uporabnika in ekipe v skupni rabi.
  • Sodelujte s poslovno enoto in projektom, da ugotovite, kateri povezovalnike in kombinacije povezovalnikov bodo uporabljeni, in ustvarite pravilnik najemnika, ki bo vključeval samo izbrana okolja.
  • Skrbniki okolja teh okolij lahko po potrebi uporabijo okoljske pravilnike za kategorizacijo povezovalnikov po meri samo kot poslovne podatke.

Priporočamo tudi:

  • Ustvarjanje minimalnega števila pravilnikov na okolje. Med pravilniki o najemnikih in okoljih ni stroge hierarhije, pri načrtovanju in izvajanju pa se vsi pravilniki, ki veljajo za okolje, v katerem je aplikacija ali tok, skupaj ocenijo, da se odloči, ali je vir v skladu s pravilniki DLP ali jih krši. Več pravilnikov DLP uporabljenih v enem okolju bo razdrobilo vaš konektorski prostor na zapletene načine in lahko otežilo razumevanje težav, s katerimi se soočajo vaši izdelovalci.
  • Centralno upravljanje pravilnikov o preprečevanju izgube podatkov s pravilniki na ravni najemnika in pravilniki okolja samo za kategorizacijo povezovalnikov po meri ali v izjemnih primerih.

Z vzpostavljeno osnovno strategijo načrtujte, kako obravnavati izjeme. Naredite lahko to:

  • Zavrnite zahtevo.
  • Dodajte povezovalnik v privzeti pravilnik o preprečevanju izgube podatkov.
  • Za globalno privzeti pravilnik o preprečevanju izgube podatkov dodajte okolja na seznam »Vsi razen« in ustvarite pravilnik o preprečevanju izgube podatkov za posamezen primer z vključeno izjemo.

Primer: strategija pravilnika o preprečevanju izgube podatkov podjetja Contoso

Poglejmo, kako je korporacija Contoso, naša vzorčna organizacija za te smernice, nastavila svoje pravilnike o preprečevanju izgube podatkov. Nastavitev njihovih pravilnikov DLP je tesno povezana z njihovo okoljsko strategijo.

Skrbniki za podjetje Contoso želijo poleg upravljanja dejavnosti centra odličnosti (CoE) podpirati scenarije storilnosti uporabnika in ekipe ter poslovne aplikacije.

Okolje in strategijo DLP, ki jo skrbniki Contoso uporabljajo tukaj, sestavljajo:

  1. Omejevalni pravilnik DLP za celotnega najemnika, ki velja za vsa okolja v najemniku, razen za nekatera posebna okolja, ki so jih izključili iz obsega pravilnika. Skrbniki nameravajo razpoložljive povezovalnike v tem pravilniku omejiti na Office 365 in druge standardne mikrostoritve tako, da blokirajo dostop do vsega drugega. Ta pravilnik velja tudi za privzeto okolje.

  2. Contoso skrbniki so ustvarili drugo okolje v skupni rabi za uporabnike za ustvarjanje aplikacij za primere uporabe produktivnosti uporabnikov in skupin. To okolje ima povezan pravilnik o preprečevanju izgube podatkov na ravni najemnika, ki ni tako nenaklonjen tveganju kot privzeti pravilnik in ki ustvarjalcem omogoča, da poleg storitev Office 365 uporabljajo povezovalnike storitve Azure. Ker to okolje ni privzeto okolje, lahko skrbniki zanj aktivno nadzorujejo seznam ustvarjalec okolja. To je večplasten pristop k okolju za storilnost uporabnika in ekipe v skupni rabi ter s tem povezanimi nastavitvami pravilnika o preprečevanju izgube podatkov.

  3. Poleg tega so poslovne enote ustvarile razvojno, testno in produkcijsko okolje za ustvarjanje poslovnih aplikacij za svoje davčne in revizijske podružnice v različnih državah/regijah. Dostop ustvarjalca okolja do teh okolij se skrbno upravlja, na voljo pa so tudi ustrezni povezovalniki izdelovalca in povezovalniki drugih izdelovalcev z uporabo pravilnikov o preprečevanju izgube podatkov na ravni najemnika po posvetovanju z zainteresiranimi skupinami poslovne enote.

  4. Podobno so ustvarjena okolja za razvoj ter preskusna in produkcijska okolja, ki jih osrednji IT uporablja za razvoj in uvajanje ustreznih ali pravih aplikacij. Ti scenariji poslovnih aplikacij imajo običajno dobro določen nabor povezovalnikov, ki morajo biti v teh okoljih na voljo izdelovalcem, preskuševalcem in uporabnikom. Dostop do teh povezovalnikov upravljajo z namenskim pravilnikom na ravni najemnika.

  5. Podjetje Contoso ima tudi okolje za posebne namene, ki je namenjeno njihovim dejavnostim v centru odličnosti. V podjetju Contoso politika DLP za okolje s posebnim namenom ostaja zelo pomembna glede na eksperimentalno naravo knjige teoretskih skupin. V tem primeru so skrbniki najemnikov delegirali upravljanje DLP za to okolje neposredno zaupanja vrednemu skrbnik okolja skupine CoE in ga izključili iz šole vseh pravilnikov na ravni najemnikov. To okolje upravlja samo pravilnik o preprečevanju izgube podatkov na ravni okolja, kar je v podjetju Contoso prej izjema kot pravilo.

Kot je bilo pričakovano, se vsa nova okolja, ustvarjena v Contosu, preslikajo v prvotni pravilnik o vseh okoljih.

Ta nastavitev pravilnikov DLP, osredotočenih na najemnika, skrbnikom okolja ne preprečuje, da bi pripravili lastne pravilnike DLP na ravni okolja, če želijo uvesti več omejitev ali razvrstiti priključke po meri.

Kako je Contoso nastavil svojo politiko DLP.

Nastavite pravilnike o podatkih

  1. Ustvarite svoj pravilnik v skrbniškem središču za Power Platform. Več informacij: Upravljanje politik podatkov

  2. Če želite pravilniku o preprečevanju izgube podatkov dodati povezovalnik po meri, uporabite komplet za razvoj programske opreme za pravilnik o preprečevanju izgube podatkov.

Jasna predstavitev pravilnikov o preprečevanje izgube podatkov za ustvarjalce

Nastavite mesto SharePoint ali wiki, ki jasno pojasnjuje:

  • pravilnike o preprečevanju izgube podatkov na ravni najemnika in na ravni ključnega okolja (na primer privzeto okolje, preskusno okolje), ki se uporabljajo v organizaciji, vključno s seznami povezovalnikov, ki so razvrščeni v skupine »poslovno«, »neposlovno« in »blokirano«.
  • ID e-pošte vašega skrbnika skupine, tako da lahko ustvarjalci vzpostavijo stik za scenarije izjem. Skrbniki lahko ustvarjalcem pomagajo zagotoviti skladnost z urejanjem obstoječega pravilnika o preprečevanju izgube podatkov, premikom rešitve v drugo okolje, ustvarjanjem novega okolja in novega pravilnika o preprečevanju izgube podatkov ter premikom ustvarjalca in vira v to novo okolje.

Prav tako jasno sporočite okoljsko strategijo vaše organizacije ustvarjalcem.