连接器分类
数据组是对数据丢失防护 (DLP) 策略中的连接器进行分类的一种简单方式。 业务数据组、非业务数据组和已阻止数据组是三个可用的数据组。
对连接器进行分类的一种好方法是:根据连接器在组织环境中连接到的以业务为中心或以个人用途为中心的服务,将连接器分组放置。 托管业务用途数据的连接器应归类为业务,而托管个人用途数据的连接器应归类为非业务。 您希望完全避免在一个或多个环境中使用的任何连接器都应分类为已阻止。
在创建新策略时,默认情况下所有连接器都位于非业务组中。 可以根据您的偏好将其移至业务或已阻止组中。 通过管理中心创建或修改 DLP 策略的属性时,可以管理数据组中的连接器。 请参阅管理数据策略。 您也可以通过编辑您的 DLP 策略来更改连接器的初始分类。 详细信息:编辑数据策略
备注
直到最近,一些 HTTP 连接器仍无法通过 DLP 策略 UI 或 PowerShell 用于 DLP 策略配置。 自 2020 年 5 月起,就像对任何其他 Power Platform 连接器进行分类一样,现在可以使用 DLP 策略 UI 和 PowerShell 对以下 HTTP 连接器进行分类:HTTP、HTTP Webhook 和当收到 HTTP 请求时。 如果旧 DLP 策略在使用新 DLP UI 更新,将向管理员显示警告消息,指示这三个 HTTP 连接器现在正在被添加到 DLP 范围,他们应该确保这些连接器被放入正确的 DLP 分组。
由于子流与 HTTP 连接器共享内部依赖关系,管理员在 DLP 策略中为 HTTP 连接器选择的分组可能会影响在该环境或租户中运行子流的能力。 请确保在相应组中为您的 HTTP 连接器分类,以便子流可以运行。 如果对于在共享环境(如默认环境)中将连接器分类为业务有任何担心,我们建议将其分类为非业务或阻止它。 然后,创建专用环境,让制作者可以使用 HTTP 连接器,但限制制作者列表,以便您可以解除对制作者生成子流的阻止。
内容转换连接器是 Microsoft Power Platform 不可或缺的功能,用于将 HTML 文档转换为纯文本。 它既适用于业务方案,也适用于非业务方案,但不存储通过它转换的内容的任何数据上下文;因此,无法通过 DLP 策略对其进行分类。
数据在数据组之间的共享方式
不能在位于不同组中的连接器之间共享数据。 例如,如果您将 SharePoint 和 Salesforce 连接器放在业务组中,并将 Gmail 放在非业务组中,则创建者无法创建同时使用 SharePoint 和 Gmail 连接器的应用或流。 反过来,这会在 Microsoft Power Platform 中限制这两个服务之间的数据流。
尽管无法在不同组中的服务之间共享数据,但可以在特定组中的服务之间共享数据。 在前面的示例中,由于 SharePoint和 Salesforce 放在了同一数据组中,因此,创建者可以创建一起使用 SharePoint 连接器和 Salesforce 连接器的应用或流。 反过来,这会在 Microsoft Power Platform 中允许这两个服务之间的数据流。
关键是同一组中的连接器可以在 Microsoft Power Platform 中共享数据,而不同组中的连接器则不能共享数据。
已阻止数据组的影响
通过将该连接器标记为已阻止,可以完全阻止进入特定服务的数据流。 例如,如果将 Facebook 放在已阻止组中,则创建者无法创建一个使用 Facebook 连接器的应用或流。 反过来,这会在 Microsoft Power Platform 中限制进入该服务的数据流。
所有第三方连接器都可能会被阻止。 所有 Microsoft 拥有的高级连接器(Microsoft Dataverse 除外)都可能会被阻止。
无法阻止的连接器列表
除了支持核心 Office 自定义场景(如 Microsoft 企业计划标准连接器)的连接器外,所有驱动核心 Microsoft Power Platform 功能(如 Dataverse、审批和通知)的连接器都仍然不可阻止,以确保核心用户场景能够完全正常运行。
但是,可以将这些不可阻止连接器分类为业务或非业务数据组。 这些连接器大致分为以下类别:
- Microsoft Enterprise Plan 标准连接器(不含其他任何许可含义)。
- Microsoft Power Platform 特定连接器(是基础平台功能的一部分)。 在其中,Dataverse 连接器是唯一不能阻止的连接器,因为 Dataverse 是 Microsoft Power Platform 的主要部分。
无法使用 DLP 策略阻止以下连接器。
| Microsoft Enterprise 计划标准连接器 | 核心 Power Platform 连接器 |
|---|---|
| Defender for Cloud Apps | 审批 |
| Dynamics 365 Customer Voice | 通知 |
| Excel Online (Business) | Dataverse |
| Kaizala | Dataverse(当前环境) |
| Microsoft 365 组 | Power Apps 通知(v1 和 v2) |
| Microsoft 365 Groups Mail(预览版) | |
| Microsoft 365 Outlook | |
| Microsoft 365 用户 | |
| Microsoft Teams | |
| Microsoft To-Do (Business) | |
| OneDrive for Business | |
| OneNote (Business) | |
| Planner | |
| Power BI | |
| SharePoint | |
| 班组 | |
| Skype for Business Online | |
| Yammer |
备注
如果当前不可阻止的连接器已经在已阻止组中(例如,因为限制不同被阻止),它将保留在同一组中,直到您编辑策略。 在您将不可阻止的连接器移至业务或非业务组之前,您将收到一条错误消息,阻止您保存策略。
查看连接器分类
在 Power Platform 管理中心编辑 DLP 策略时,会显示所有可用和可见的连接器,无论它们是否已在策略中分类。 但是,当在 PowerShell 中或通过 Power Platform for Admins 连接器查看 DLP 策略时,您只能看到已明确分类为“业务”、“非业务”或“阻止”类别的连接器。 从 PowerShell 或 Power Platform for Admins 连接器查看的 DLP 策略可能包括对不再可用或可见的连接器的过时引用。
通常,Power Platform 连接器列表可能会因您查看它们的位置而异,这有几个原因。 有些连接器可能需要特定许可,如果您的许可证不包括这些连接器,这些连接器将不可见。 由于合规和监管要求,不同的环境也可以具有不同的连接器。 Microsoft 可能会发布连接器的更新,这些更新可能不会立即在所有 Power Platform 组件中可用。 有些连接器可能仅在 Power Automate 中可用,在 Power Apps 中不可用。 根据您的角色和权限,您可能无权访问所有连接器。
自定义连接器分类
环境级 DLP 策略
环境管理员现在可以在数据策略中的连接器页上找到其环境中的所有自定义连接器以及预构建的连接器。 与预构建连接器类似,您可以将自定义连接器分为已阻止、业务或非业务类别。 未明确分类的自定义连接器将置于默认组(或非业务,如果管理员未明确选择默认组设置)下。
您还可以使用 DLP 策略 PowerShell 命令将自定义连接器设置为业务、非业务和已阻止组。 详细信息:数据丢失防护 (DLP) 策略命令
租户级 DLP 策略
Power Platform 管理中心还支持租户管理员使用租户级 DLP 策略的模式匹配构造按主机 URL 终结点对自定义连接器进行分类。 由于自定义连接器的范围是特定于环境的,因此这些连接器不会显示在连接器页上供您分类。 您将在数据策略中看到一个名为自定义连接器的新页面,您可以使用该页面指定自定义连接器的允许和拒绝 URL 模式的已排序列表。
通配符 (*) 的规则将始终是列表中的最后一个条目,将应用于所有自定义连接器。 管理员可以将 * 模式标记为已阻止、业务、非业务或忽略。 默认情况下,新 DLP 策略的这个模式设置为忽略。
忽略将忽略此租户级策略中所有连接器的 DLP 分类,并将模式评估推迟到其他环境或租户级策略以视情况将它们归入业务、非业务或已阻止分组。 如果自定义连接器不存在特定规则,忽略 *规则将允许自定义连接器同时用于业务和非业务连接器分组。 除了列表中的最后一个条目,添加到自定义连接器模式规则的任何其他 URL 模式都不支持将忽略作为操作。
您可以通过在自定义连接器页上选择添加连接器模式来进一步添加新规则。
这将打开一个侧面板,您可以在其中添加自定义连接器 URL 模式并对它们进行分类。 新规则将被添加到模式列表的末尾(作为倒数第二个规则,因为 * 始终是列表中的最后一个条目)。 但是,您可以在添加新模式时更新订单。
您还可以通过使用顺序下拉列表或选择上移或下移来更新模式的顺序。
添加模式后,您可以通过选择特定行并选择编辑或删除来编辑或删除这些模式。
新连接器的默认数据组
必须将一个数据组指定为默认组,才能对创建策略后添加到 Microsoft Power Platform 的任何新连接器进行自动分类。 最初,非业务组是新连接器和所有服务的默认组。 您可以更改默认数据组,使其成为业务或已阻止数据组,但我们不建议您这么做。
添加到应用的所有新服务都将被置于指定的默认组中。 为此,我们建议将非业务保留为默认组,在组织已评估允许与新服务共享业务数据所造成的影响后,手动将服务添加到业务或已阻止组中。
备注
Microsoft 365 企业许可证连接器和一些核心 Microsoft Power Platform 连接器可以免除被标记为已阻止,并且只能分类为业务或非业务。 如果 Microsoft 添加了任何无法阻止的新连接器,并且您已将 DLP 策略的默认组设置为已阻止,这些连接器将自动标记为非业务,而不是已阻止。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈