Del via

Oprettelse af en DLP-strategi

  • Artikel

Politikker for forebyggelse af datatab (DLP) fungerer som retningslinjer, der skal forhindre, at brugere utilsigtet eksponerer organisationsdata, og beskytte informtionssikkerheden i lejeren. DLP-politikker håndhæver regler for, hvilke forbindelser der er aktiveret for hvert miljø, og hvilke forbindelser der kan bruges sammen. Forbindelser klassificeres enten som kun firmadata, ingen forretningsdata tilladt eller blokeret. En forbindelse r i gruppen kun for forretningsdata kan kun bruges sammen med andre forbindelser fra denne gruppe i samme app eller flow. Flere oplysninger: Administrer Microsoft Power Platform: Politikker for forebyggelse af datatab

Oprettelse af DLP-politikker kombineres med din miljøstrategi.

Hurtige fakta

  • DLP-politikker (forebyggelse af tab af data fungerer som et rækværk for at forhindre brugere i utilsigtet at eksponere data.
  • DLP-politikker kan udformes på miljøniveau og lejerniveau, hvilket giver en fleksibilitet til at udforme fornuftige politikker og ikke forhindre høj produktivitet.
  • DLP-miljøpolitikker kan ikke tilsidesætte DLP-politikker for hele lejeren.
  • Hvis der er konfigureret flere politikker for ét miljø, gælder den mest restriktive politik for kombinationen af forbindelser.
  • Der er som standard ikke implementeret DLP-politikker i lejeren.
  • Politikker kan ikke anvendes på brugerniveau, kun på miljø- eller lejerniveau.
  • DLP-politikker er forbindelsesorienterede, men styrer ikke de forbindelser, der er oprettet ved hjælp af forbindelsen. DLP-politikker er med andre ord ikke opmærksom på, om du bruger forbindelsen til at oprette forbindelse til et udviklings-, test- eller produktionsmiljø.
  • PowerShell- og admininistratorforbindelser kan administrere politikker.
  • Brugere af ressourcer i miljøer kan se de politikker, der gælder.

Connector-klassificering

Virksomheds- og ikke-virksomhedsklassificeringer afgrænser, hvilke forbindelser der kan bruges sammen i en given app eller et givent flow. Forbindelser kan klassificeres på tværs af følgende grupper ved hjælp af DLP-politikker:

  • Forretning: En given Power App eller Power Automate ressource kan bruge en eller flere connectorer fra en forretningsgruppe. Hvis en Power App eller en Power Automate-ressource bruger en virksomheds-connector, kan den ikke bruge en hvilken som helst ikke-virksomheds-connector.
  • Ikke-forretningsmæssig: En given Power App eller Power Automate ressource kan bruge en eller flere connectorer fra en ikke-forretningsgruppe. Hvis en Power App- eller en Power Automate-ressource bruger en ikke-virksomheds-connector, kan den ikke bruge en hvilken som helst virksomheds-connector.
  • Blokeret: Ingen Power App eller Power Automate ressource kan bruge en connector fra en blokeret gruppe. Premium-connectorer, der ejes Microsoft alle, og tredjepartsconnectorer (standard og premium) kan blokeres. Standardstik og Microsoftstik, der ejes alle Common Data Service , kan ikke blokeres.

Navnene "virksomhed" og "ikke-virksomhed" har ikke nogen særlig betydning for – de blot er etiketter. Selve grupperingen af forbindelserne har betydning og ikke navnet på den gruppe, de er placeret i.

Flere oplysninger: Administrer Microsoft Power Platform: Klassificering af forbindelser

Strategier for oprettelse af DLP-politikker

Når en administrator overtager et miljø eller begynder at understøtte brug af Power Apps og Power Automate, skal DLP-politikker være noget af det første, du konfigurerer. Når en række grundlæggende politikker, og du kan derefter fokusere på håndtering af undtagelser og oprette målrettede DLP-politikker, der implementerer disse undtagelser, når de er godkendt.

Vi anbefaler følgende udgangspunkt for DLP-politikker til delte produktivitetsmiljøer for brugere og teams:

  • Opret en politik, der omfatter alle miljøer, undtagen de valgte (f.eks. produktionsmiljøer), begræns de tilgængelige forbindelser i denne politik til Office 365 og andre standardmikrotjenester, og bloker adgangen til alt andet. Denne politik gælder for standardmiljøet og de uddannelsesmiljøer, du har til kørsel af interne uddannelsesbegivenheder. Derudover gælder denne politik også for eventuelle nye miljøer, der oprettes.
  • Opret relevante og mere åbne DLP-politikker til dine delte produktivitetsmiljøer for brugere og teams. Disse politikker kan give udviklere mulighed for at bruge forbindelser som f.eks. Azure-services ud over Office 365-tjenesterne. De connectorer, der er tilgængelige i disse miljøer, afhænger af din organisation, og hvor din organisation gemmer virksomhedsdata.

Vi anbefaler følgende udgangspunkt for DLP-politikker til produktionsmiljøer (afdeling og projekt):

  • Udeluk disse miljøer fra delte produktivitetspolitikker for brugere og teams.
  • Arbejd med afdelingen og projektet for at fastlægge, hvilke forbindelser og forbindelseskombinationer de skal bruge, og opret en lejerpolitik, der omfatter de valgte miljøer.
  • Miljøadministratorer i disse miljøer kan bruge miljøpolitikker til at kategorisere brugerdefinerede forbindelser alene som virksomhedsdata, hvis det er nødvendigt.

Vi anbefaler også:

  • Oprettelse af et minimalt antal politikker pr. miljø. Der er intet strengt hierarki mellem politikker for lejer og miljø og ved design og kørsel kan alle politikker, der gælder for det miljø, hvor appen eller flowet er placeret, evalueres for at afgøre, om ressourcen er i stemmer overens med eller overtræder DLP-politikkerne. Flere DLP-politikker , der anvendes på ét miljø, fragmenterer dit connector-område på komplicerede måder og kan gøre det vanskeligt at forstå problemer, som dine udviklere står over for.
  • Central administration af DLP-politikker ved hjælp af politikker for lejerniveau og kun ved hjælp af miljøpolitikker til kategorisering af brugerdefinerede forbindelser eller i undtagelsestilfælde.

Med en basisstrategi på plads, skal du planlægge, hvordan undtagelser skal håndteres. Du kan:

  • Afvis anmodningen.
  • Føje connectoren til DLP-standardpolitikken.
  • Føj miljøerne til listen Alle undtagen for den globale standard-DLP, og opret en use sagsspecifik DLP-politik med undtagelsen inkluderet.

Eksempel: Contosos DLP-strategi

Lad os se på, hvordan Contoso Corporation, vores eksempelorganisation til denne vejledning, konfigurerer DLP-politikker. Konfigurationen af deres DLP-politikker er tæt forbundet med deres miljøstrategi.

Contoso-administratorer vil understøtte scenarier for bruger- og teamproduktivitet og virksomhedsapplikationer, ud over CoE-aktivitetsstyring (Center of Excellence).

Contoso-administratorer for miljø- og DLP-strategi, der er anvendt her, er:

  1. En restriktiv DLP-politik for hele lejeren, der gælder for alle miljøer i lejeren, undtagen bestemte miljøer, som de har udeladt i politikomfanget. Administratorer har tænkt sig at begrænse de tilgængelige forbindelser i denne politik Office 365 og andre micro-standardtjenester ved at blokere adgangen til alt andet. Denne politik gælder også for standardmiljøet.

  2. Contoso-administratorer har oprettet et andet delt miljø, hvor brugere kan oprette apps til scenarier for bruger- og teamproduktivitet. Dette miljø har en tilknyttet DLP-politik på lejerniveau, der ikke er så streng som standardpolitikken, og som giver producenter mulighed for at bruge forbindelser som f.eks. Azure-services ud over Office 365-services. Da dette miljø er et ikke-standardmiljø, kan administratorer styre listen over miljøudviklere for det. Dette er en lagdelt fremgangsmåde for et delt produktivitetsmiljø for brugere og teams og tilknyttede DLP-indstillinger.

  3. For at afdelinger kan oprette brancheprogrammer, har de oprettet udviklings-, test-og produktionsmiljøer til deres datterselskaber med henblik på skat og revision på tværs af flere lande/områder. Miljøudviklerens adgang til disse miljøer bliver omhyggeligt administreret, og de tilhørende første- og tredjepartsforbindelser gøres tilgængelige ved hjælp af DLP-politikker på lejerniveau i samråd med de involverede parter i afdelingen.

  4. På samme måde oprettes der udvikler-, test- eller produktionsmiljøer til den centrale it-afdeling til udvikling og implementering af relevante eller korrekte applikationer. Disse scenarier for virksomhedsapplikationer har som regel et veldefineret sæt forbindelser, der skal gøres tilgængelige for udviklere, testere og brugere i disse miljøer. Adgang til disse forbindelser administreres ved hjælp af en dedikeret politik på lejerniveau.

  5. Contoso har også et miljø til særlige formål, der er dedikeret til deres CoE-aktiviteter. I Contoso vil DLP-politikken for miljøet til særlige formål fortsat være omfattet af stor opmærksomhed på grund af teamteoribogens eksperimentelle natur. I dette tilfælde har lejeradministratorerne uddelegeret DLP-administrationen for dette miljø direkte til en miljøadministrator for CoE-teamet, der er tillid til, og udelukket dem fra en skole med alle politikker på lejerniveau. Dette miljø administreres kun af DLP-politikken på miljøniveau, hvilket er en undtagelse fra reglen hos Contoso.

Som forventet knyttes alle nye miljøer, der oprettes i Contoso, til den oprindelige politik for alle miljøer.

Denne konfiguration af lejerdefinerede DLP-politikker forhindrer ikke miljøadministratorer i at udforme deres egne DLP-politikker på miljøniveau, hvis de vil indføre yderligere begrænsninger eller klassificere brugerdefinerede connectorer.

Sådan konfigurerer Contoso deres DLP-politik.

Konfigurere datapolitikker

  1. Opret din politik i Power Platform Administration. Flere oplysninger: Administrerer datapolitikker

  2. Brug DLP SDK til at føje brugerdefinerede forbindelser til en DLP-politik.

Kommuniker organisationens DLP-politikker tydeligt ud til udviklere

Opret et SharePoint-websted eller en wiki , der kommunikerer tydeligt om:

  • DLP-politikker på lejerveau og nøglemiljøniveau (f.eks. standardmiljø, testmiljø) håndhæves i organisationen, herunder lister over forbindelser, der er klassificeret som virksomhedsrelaterede, ikke-virksomhedsrelaterede og blokerede.
  • Din administratorgruppes mail-id, så udviklerne kan kontakt dem i undtagelsestilfælde. Administratorer kan f.eks. hjælpe udviklere med at sikre overholdelse af angivne standarder ved at redigere en eksisterende DLP-politik, flytte løsningen til et andet miljø, oprette et nyt miljø og en ny DLP-politik og flytte udvikleren og ressourcen til det nye miljø.

Kommuniker også tydeligt omkring organisationens miljøstrategi til udviklere.