数据丢失防护策略分层
Microsoft Power Platform 安全与治理简介模块介绍数据丢失防护 (DLP) 策略,该策略限制可在相同的流或应用中使用的连接器。 该模块还介绍 DLP 策略适用的范围。 例如可以创建仅应用于环境的 DLP 策略。 此外,还可以创建应用于整个租户的 DLP 策略,这意味着在新建环境时自动继承本租户范围的 DLP 策略。
以下各节讨论如何对 DLP 策略进行分层。 组织可能选择实施支持特定应用场景,同时阻止其他应用场景的分层方法。 存在冲突的策略时,Microsoft 仍将应用限制性最强的策略。
应用场景 1:Microsoft 365 Outlook 和 OneDrive for Business
在本用例中,IT 部门希望允许用户将其电子邮件附件自动复制到 Microsoft OneDrive for Business 帐户中。 因此,环境管理员将创建包括业务数据组中的 Office 365 Outlook 和 OneDrive for Business 连接器的 DLP 策略并将所有剩余连接器留在非业务数据组中。
保存本 DLP 策略后,应用开发者可以创建允许将电子邮件附件复制到 OneDrive 的流。
开发者保存流后,将强制实施 DLP 策略。 流已启用或处于开启状态表明您未违反任何策略。 您将在本模块稍后部分遇到违反 DLP 策略的流的行为。
应用场景 2:SharePoint 和 Teams
第二个应用场景涉及在 Microsoft Lists 列表中创建新项时,在 Microsoft Teams 渠道中发布通知。 要启用本应用场景,需创建另一个 DLP 策略。 在本应用场景中,业务数据组中仅包括 SharePoint 和 Microsoft Teams 连接器。 所有其余连接器都放在非业务数据组中。
保存本 DLP 策略后,可以创建流实施设计的功能,包括在 Microsoft Lists 列表中创建新项时在 Teams 渠道中发布消息。
保存此流时,您将发现流已启用,这意味着流符合 DLP 策略。
应用场景 3:Microsoft 365 Outlook 和 SharePoint
在本应用场景中,您将了解 DLP 策略相互冲突时发生的情况。 本应用场景包括在 Microsoft Lists 中记录入站电子邮件,以便跟踪该邮箱的操作项。
目前,您拥有独特的 DLP 策略,包括业务数据组中的连接器。 但这些连接器分布在两个不同的 DLP 策略中。 回顾第一个应用场景,您加入了Office 365 Outlook和OneDrive for Business连接器。 在第二个应用场景中,您在相同的策略包括SharePoint和Microsoft Teams连接器。 目前不存在允许在相同的流或应用中同时包括Office 365 Outlook和SharePoint连接器的策略。
您可以创建第三个 DLP 策略,包括业务数据组中的 Office 365 Outlook 和 SharePoint 连接器。 所有其他连接器都放在非业务数据组环境中。
现在,您将构建包括 Office 365 Outlook 触发器和 SharePoint 操作的流。
保存此流时将遇到以下错误,指示您违反了 DLP 策略,因此流已暂停。
鉴于已创建明确允许相同的流中同时包括Office 365 Outlook和SharePoint连接器的 DLP 策略,您可能想知道为什么会发生此错误。 尽管确实创建了本 DLP 策略,但 Microsoft 仍将强制实施限制性最强的策略。 Microsoft 将不允许通过引入新策略来绕过以前的 DLP 策略。 否则可能因组织包括新的 DLP 策略而发生意外数据泄漏。
因此,您可能想知道如何支持 Office 365 Outlook 与 SharePoint 通信。 在这种情况下,您需要更新现有策略,将这些连接器包括在业务数据组中。 完成本任务后,需要显式启用 DLP 策略当前暂停的流。