連接器分類
資料群組是在資料外洩防護 (DLP) 原則中分類連接器的簡單方式。 可用的三個資料群組包括業務資料群組、非業務資料群組和封鎖資料群組。
將連接器分類的一個好方法,是依據它們在組織環境中相關的服務是業務中心或個人使用中心,把它們加入不同的群組中。 承載業務使用資料的連接器應歸類為商務,而存有個人使用資料的連接器應分類為非商務。 任何您完全不想要在一或多個環境中被使用到的連接器,都必須分類為封鎖。
新原則建立時,預設會將所有連接器放在非業務群組中。 從那裡您可以依您的喜好,將它們移至業務或封鎖。 當您從系統管理中心建立或修改 DLP 原則的內容時,便可以管理資料群組中的連接器。 請參閱 建立防止資料外洩(DLP) 原則。 您也可以透過編輯您的 DLP 原則來變更連接器的初始分類。 其他資訊:編輯 DLP 原則
Note
到目前為止,某些 HTTP 連接器仍無法透過 DLP 原則 UI 或 PowerShell,來設定 DLP 原則。 但 2020 年 5 月後,下列的 HTTP 連接器:HTTP、HTTP Webhook,以及收到 HTTP 要求的時間一樣,也可以像其他 Power Platform 連接器一樣,使用 DLP 原則 UI 和 PowerShell 來分類。 如果使用新的 DLP UI 更新舊版 DLP 原則,系統會顯示一則警告訊息,指示這三個 HTTP 連接器現在已新增至 DLP 預覽,並應確保這些連接器已放在正確的 DLP 群組中。
因為子流程與 HTTP 連接器共用內部相依性,所以在 DLP 原則中為 HTTP 連接器選擇的群組可能會影響在該環境或租用戶中執行子流程的能力。 請確定 HTTP 連接器已分類到適當的群組,子流程才能正常運作。 如果在共用環境 (例如預設環境) 中,將連接器分類為商務,我們建議您將其分類為非商務或封鎖它。 然後,建立可使用 HTTP 連接器的專用環境,但限制製造商清單,讓您可以解除封鎖製造商的子流程。
內容轉換連接器是 Microsoft Power Platform 中不可或缺的功能 ,用來將 HTML 檔案轉換成純文字。 它可同時套用至業務和 非業務案例,而且不會儲存任何透過它轉換之內容的資料上下文;因此,無法透過 DLP 原則來進行分類。
如何在資料群組之間共用資料
不同群組的連接器間無法共用資料。 例如,如果您將 SharePoint 和 Salesforce 連接器放在業務群組中,而將 Gmail 放在非業務群組中,則製作者將無法建立同時使用 SharePoint 和 Gmail 連接器來建立應用程式或流程。 這會限制這兩個服務在 Microsoft Power Platform中的資料流程。
雖然資料無法在不同群組的服務之間共用,但您可以在特定群組內的服務之間共用資料。 在先前的範例中,因為 SharePoint 和 salesforce 被放在相同的資料群組中,所以製作者可以建立同時使用 SharePoint 和 Salesforce 連接器的應用程式或流程。 這會開放這兩個服務在 Microsoft Power Platform中共用資料流程。
關鍵點是相同群組中的連接器可以在 Microsoft Power Platform 中共用資料,而不同群組中的連接線無法共用資料。
被封鎖資料群組的影響
透過將該連接器標示為封鎖,即可完全封鎖此特定服務的資料流程 。 例如,如果您把 Facebook 放在封鎖群組中,則製作者將無法使用 Facebook 連接器建立應用程式或流程。 這會限制此服務在 Microsoft Power Platform 中的資料流程。
所有協力廠商連接器都可以封鎖。 所有 Microsoft 擁有的進階連接器(除了 Microsoft Dataverse)均可封鎖。
無法封鎖的連接器清單
所有的連接器都是核心 Microsoft Power Platform 功能 (例如 Dataverse,核准和通知),除了支持核心 Office 自訂方案 (例如 Microsoft Enterprise Plan 標準連接器) 的連接器外,這些連接器將保持不可封鎖,以確保核心使用者方案保持完整功能。
但是,這些不可封鎖的連接器可以被分為商務或非商務的資料群組。 這些連接器廣泛分為下列幾類:
- Microsoft Enterprise Plan 標準連接器 (無額外授權含意)。
- Microsoft Power Platform– 為平台基本功能的特定連接器。 在此之中,Dataverse 連接器是唯一不可封鎖的進階連接器,這是因為 Dataverse 是 Microsoft Power Platform 的組成部分。
下列連接器無法使用 DLP 原則封鎖。
| Microsoft Enterprise Plan 標準連接器 | Power Platform 核心連接器 |
|---|---|
| 適用於雲端應用程式的 Defender | 核准 |
| Dynamics 365 Customer Voice | Notifications |
| Excel Online (Business) | Dataverse |
| Kaizala | Dataverse (current environment) |
| Microsoft 365 Groups | Power Apps Notifications (v1 and v2) |
| Microsoft 365 Groups Mail (Preview) | |
| Microsoft 365 Outlook | |
| Microsoft 365 Users | |
| Microsoft Teams | |
| Microsoft To-Do (Business) | |
| OneDrive for Business | |
| OneNote (Business) | |
| Planner | |
| Power BI | |
| SharePoint | |
| Shifts | |
| 商務用 Skype Online | |
| Yammer |
Note
如果目前不可封鎖的連接器已存在於已封鎖群組中 (例如,由於限制不同而被封鎖),則在您編輯該原則前,仍會保留在相同的群組中。 您將會收到錯誤訊息,讓您在將非封鎖連接器移至商務或非商務群組之前,停止儲存原則。
查看連接器的分類
在 Power Platform 系統管理中心中編輯 DLP 原則時,所有可用的及可見的連接器都會顯示,不論它們是否已在原則中分類。 但是,當您在 PowerShell 或透過 Power Platform for Admins 連接器查看 DLP 原則時,只能看到已明確分類為 [業務]、[非業務] 或 [已封鎖] 類別的連接器。 從 PowerShell 或 Power Platform for Admins 連接器中查看的 DLP 原則可能包括不再可用或不可見的連接器失效參考。
一般來說,Power Platform 連接器的清單可能會有所不同,具體取決於您查看它們的位置,造成這種情況的原因有多種。 某些連接器可能需要特定授權,如果您的授權不包含這些連接器,就看不到它們。 根據合規性和監管需求,不同的環境也會有不同的連接器可用。 Microsoft 可能會發佈連接器更新內容,而這些更新內容可能不會立即在 Power Platform 元件上可用。 有些連接器只能在與 Power Automate 中使用,而不可以在 Power Apps 中使用。 根據您的角色和權限,您可能無法存取所有的連接器。
自訂連接器分類
環境等級 DLP 原則
環境管理員現在可以在其環境中找到所有自訂連接器,並在資料原則的連接器頁面上,預先建立的連接器。 與預先建立的連接器類似,您可以將自訂連接器歸為封鎖、商務或非商務類別。 未明確分類的自訂連接器將放在預設群組 (或非商務,如果系統管理員未明確選取預設群組設定的話)。
您也可以使用 DLP 原則 PowerShell 命令,將自訂連接器設定為商務、非商務和封鎖群組。 其他資訊:資料遺失防護原則 (DLP) 命令
租戶層級 DLP 原則
Power Platform系統管理中心也支援租用戶系統管理員使用租用戶層級 DLP 原則的模式匹配構造,來將自訂連接器分類。 因為自訂連接器的範圍是特定於環境,所以這些連接器不會顯示在連接器頁面上讓您分類。 相反地,您會在資料原則中看到名為自訂連接器的新頁面,您可以用它來指定自訂連接器的允許和拒絕 URL 模式順序清單。
萬用字元 (*) 的規則將永遠會成為清單中的最後一個項目,此清單會套用至所有自訂連接器。 系統管理員可以將 * 模式標記為已封鎖、商業、非商務或忽略。 根據預設,新的 DLP 原則將模式設定為忽略。
Ignore 會忽略此租用戶層級原則中所有連接器的 DLP 分類,並將模式評估至其他環境或租用戶層級原則,並視需要將它們屬性轉換為商務、非商務或封鎖群組。 如果自訂的連接器不存在特定規則,則忽略 * 規則將允許將自訂連接器用於商業和非商業連接器群組。 除了清單中的最後一個項目之外,自訂連接器模式規則中新增的任何其他 URL 模式都不支援 Ignore 動作。
您可以選取自訂連接器頁面上的新增連接器模式來進一步新增規則。
這會打開側面板,您可以在其中新增自訂連接器 URL 模式並加以分類。 新規則會新增至模式清單結尾 (作為最新規則,因為 * 將永遠為清單中的最後一項)。 不過,您可以在新增新模式時更新順序。
您也可以使用順序下拉式清單或選取上移或下移來更新模式順序。
新增模式之後,您可以選取特定列並選取編輯或刪除,以編輯或刪除這些模式。
新連接器的預設資料群組
您的原則一旦建立後,您必須指定一個資料群組當預設群組,以自動分類所有加到 Microsoft Power Platform 上的新連接器。 非業務群組是新連接器和所有服務的初始預設群組。 您可以 變更預設資料群組 為業務或封鎖資料群組,但我們不建議您這樣做。
任何新增至應用程式的新服務都會放在指定的預設群組中。 基於這個理由,建議您保留不允許任何非資料做為預設群組。當貴組織已經評估將商務資料與新服務共用的影響後,再手動將服務新增到商務或封鎖資料。
Note
Microsoft 365 企業授權連接器和一些核心 Microsoft Power Platform 連接器會無法被標記為封鎖,而且只能分類為業務或非業務。 如果 Microsoft 新增了任何無法封鎖的新連接器,且您已將 DLP 原則的預設組設定為封鎖,則這些連接器將會自動標示為非商務,而不是封鎖。