Bereitstellungen sichern

  • 10 Minuten

Ein Schlüsselelement bei der Verwaltung der Power Platform-Bereitstellung ist es, die Sicherheit zu berücksichtigen. Sicherheit ist entscheidend, um sicherzustellen, dass jeder nur auf die Daten zugreifen kann, die er benötigt, aber auch um sicherzugehen, dass Personen oder Anwendungen, die keinen Zugriff darauf haben sollten, nicht auf Daten zugreifen können.

Eine DLP-Strategie einrichten

Eines der ersten Dinge, die Sie bei der Bereitstellung einer Power Platform-Lösung berücksichtigen sollten, ist, eine Richtlinie zur Verhinderung von Datenverlust (DLP) einzurichten. (DLP)-Richtlinien dienen als Anleitung, um zu verhindern, dass Benutzer unbeabsichtigt Organisationsdaten preisgeben und zum Schutz von Informationssicherheit im Mandanten. DLP-Richtlinien steuern, ob ein Konnektor in jeder Umgebung aktiviert ist und welche Konnektoren zusammen verwendet werden können. Konnektoren werden entweder für „Nur Geschäftsdaten“, „Keine Geschäftsdaten zulässig“ oder „Blockiert“ klassifiziert. Ein Konnektor in der Gruppe „Nur Geschäftsdaten“ kann nur in einer App oder einem Flow mit anderen Konnektoren aus der Gruppe „Geschäftsdaten“ verwendet werden. Zum Beispiel möchten Sie eine Anwendung erstellen, die den Microsoft Dataverse‑ und einen Drittanbieter-Konnektor verwendet. Wenn Sie den Microsoft Dataverse-Konnektor als Geschäftsdaten-Konnektor klassifizieren, können Sie den Drittanbieter-Konnektor in der gleichen App nur anwenden, wenn er auch als Geschäftsdaten-Konnektor klassifiziert ist.

Das Einrichten Ihrer DLP-Richtlinien geht Hand in Hand mit Ihrer Umgebungsstrategie.

Konnektorklassifizierung

Geschäftliche und nicht geschäftliche Klassifizierungen ziehen Grenzen dazu, wie und welche Konnektoren zusammen in einer bestimmten App oder einem Flow verwendet werden können. Konnektoren können mit DLP-Richtlinien in die folgenden Gruppen eingeteilt werden:

  • Geschäft: Eine Power App bzw. ein Power Automate-Flow kann einen oder mehrere Konnektoren aus einer Unternehmensgruppe verwenden. Wenn eine Power App bzw. ein Power Automate-Flow einen Geschäftskonnektor verwendet, kann sie keinen Nicht-Geschäftskonnektor verwenden.

  • Nicht geschäftlich: Eine gegebene Power App bzw. ein Power Automate-Flow kann einen oder mehrere Konnektoren aus einer Nicht-Unternehmensgruppe verwenden. Wenn eine Power App bzw. ein Power Automate-Flow einen Geschäftskonnektor verwendet, kann sie keinen Nicht-Geschäftskonnektor verwenden.

  • Gesperrt: Keine Power App bzw. kein Power Automate-Flow kann einen gesperrten Konnektor verwenden. Alle Microsoft-eigenen Premium-Konnektoren und Konnektoren von Drittanbietern (Standard und Premium) können gesperrt werden. Microsoft-eigene Standardkonnektoren und Common Data Service-Konnektoren können nicht gesperrt werden.

Strategien zum Erstellen von DLP-Richtlinien

Als Administrator, der eine Umgebung übernimmt oder mit der Unterstützung der Nutzung von Power Apps und Power Automate beginnt, sollten, wie bereits erwähnt, DLP-Richtlinien eines der ersten Dinge sein, die Sie einrichten. Dadurch wird sichergestellt, dass ein Basissatz von Richtlinien vorhanden ist. Anschließend können Sie sich auf die Behandlung von Ausnahmen und die Erstellung gezielter DLP-Richtlinien konzentrieren, die genehmigte Ausnahmen implementieren.

Wir empfehlen den folgenden Startpunkt für DLP-Richtlinien für Umgebungen mit gemeinsamer Benutzer‑ und Teamproduktivität:

  • Erstellen Sie ein DLP, das sich über alle Umgebungen mit Ausnahme ausgewählter Umgebungen erstreckt (z. B. Ihre Produktionsumgebungen). Beschränken Sie mit dieser DLP die verfügbaren Konnektoren auf Office 365 sowie andere Standard-Microservices und blockieren Sie den Zugriff auf alle anderen Konnektoren. Wenden Sie dieses DLP auf die Standardschulungsumgebungen und alle neu erstellten Umgebungen an.

  • Erstellen Sie für Ihre Organisation geeignete und freizügigere DLP-Richtlinien für Ihre gemeinsam genutzten Benutzer‑ und Teamproduktivitätsumgebungen. Diese DLPs können es Herstellern ermöglichen, zusätzlich zu den Office 365-Services Konnektoren wie Azure-Dienste zu verwenden. Die in diesen Umgebungen verfügbaren Konnektoren sind von Ihrer Organisation davon, wo Geschäftsdaten gespeichert werden, abhängig.

Wir empfehlen den folgenden Startpunkt für DLP-Richtlinien für Produktionsumgebungen (Konzernmandant und Projekt):

  • Exkludieren Sie diese Umgebungen von Ihren gemeinsamen Benutzer‑ und Teamproduktivitäts-DLP-Richtlinien.

  • Arbeiten Sie mit den Konzernmandanten zusammen, um festzulegen, welche Konnektoren und Konnektorkombinationen sie verwenden, und erstellen Sie eine Mandantenrichtlinie, um nur die ausgewählten Umgebungen einzubeziehen.

  • Umweltadministratoren können DLP-Richtlinien für die Umwelt verwenden, um benutzerdefinierte Konnektoren ausschließlich bei Bedarf als Geschäftsdaten zu kategorisieren.

Darüber hinaus empfehlen wir auch:

  • Eine minimale Anzahl von DLP-Richtlinien pro Umgebung erstellen Es gibt keine strenge Hierarchie zwischen Mandanten‑ und Umgebungsrichtlinien. Bei Design und Laufzeit werden alle DLP-Richtlinien für die Umgebung einer App oder eines Flows zusammen ausgewertet, um festzustellen, ob die App oder der Flow den DLP-Richtlinien entspricht. Mehrere DLP-Richtlinien, die auf eine Umgebung angewendet werden, fragmentieren Ihren Konnektorbereich auf komplizierte Weise und können es schwierig machen, Probleme zu verstehen, mit denen Ihre Ersteller konfrontiert sind.

  • Die Verwendung von DLP-Richtlinien auf Mandantenebene für die zentrale Verwaltung: Wo immer dies möglich ist. Verwendung von Umgebungsrichtlinien nur zur Kategorisierung benutzerdefinierter Konnektoren oder in Ausnahmefällen.

Legen Sie dann fest, wie Sie mit Ausnahmen umgehen möchten. Sie können Folgendes:

  • Die Anfrage verweigern

  • Den Konnektor der Standard-DLP-Richtlinie hinzufügen

  • Die Umgebung der Liste „Alle außer“ für das globale Standard-DLP hinzufügen und eine anwendungsfallspezifische DLP-Richtlinie mit der eingeschlossenen Ausnahme erstellen.

Beispiel: Contoso-DLP-Strategie

Sehen wir uns an, wie die Contoso Corporation, ein Beispielunternehmen, ihre DLP-Richtlinien eingerichtet hat. Die Einrichtung der DLP-Richtlinie für Contoso ist eng mit der Umweltstrategie des Unternehmens verknüpft. Contoso-Administratoren möchten zusätzlich zur Aktivitätsverwaltung des Center of Excellences (CoE) Benutzer‑ und Teamproduktivitätsszenarien und Geschäftsanwendungen unterstützen.

Die Umgebung‑ und DLP-Strategie von Contoso besteht aus Folgendem, um einen mehrstufigen Ansatz zu schaffen:

  • Eine mandantenweite restriktive DLP-Richtlinie, die für alle Umgebungen im Mandanten gültig ist, mit Ausnahme einiger spezifischer Umgebungen, die sie ausgeschlossen haben. Diese Richtlinie gilt zudem auch für die Standardumgebung. Contoso-Administratoren beabsichtigen, die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste zu begrenzen, indem der Zugriff auf alle anderen Konnektoren gesperrt wird.

  • Contoso-Administratoren haben eine freigegebene Umgebung für Benutzer erstellt, um so Apps für Anwendungsfälle zur Benutzer‑ und Teamproduktivität zu erstellen. Diese Umgebung verfügt über eine zugehörige DLP-Richtlinie auf Mandantenebene, die nicht so restriktiv ist wie eine Standardrichtlinie und es Herstellern ermöglicht, Konnektoren wie Azure-Dienste zusätzlich zu den Office 365-Services zu verwenden. Administratoren können aktiv steuern, wer auf die Umgebung zugreifen kann, da es sich um eine nicht standardmäßige Umgebung handelt.

  • Zudem haben die Geschäftsbereiche zur Erstellung von Branchenanwendungen Entwicklungs‑, Test‑ und Produktionsumgebungen für ihre Steuer‑ und Wirtschaftsprüfungsniederlassungen in verschiedenen Ländern erstellt. Der Zugriff des Umgebungsherstellers auf diese Umgebungen wird genau verwaltet, und geeignete Konnektoren von Erst‑ und Drittanbietern werden mithilfe von DLP-Richtlinien auf Mandantenebene in Absprache mit den Interessenvertretern der Geschäftseinheit verfügbar gemacht.

  • Ähnlich werden Entwicklungs-/Test-/Produktionsumgebungen für die Verwendung durch die zentrale IT erstellt, um Anwendungen zu entwickeln und einzuführen. Diese Geschäftsanwendungsszenarien verfügen in der Regel über einen genau festgelegten Satz von Konnektoren, die Herstellern, Testern und Benutzern in diesen Umgebungen zur Verfügung gestellt werden müssen. Der Zugriff auf diese Konnektoren wird mit einer dedizierten Richtlinie auf Mandantenebene verwaltet.

  • Contoso verfügt zudem über eine spezielle Zweckumgebung, die den CoE-Aktivitäten gewidmet ist. Die DLP-Richtlinie für diese Umgebung bleibt aufgrund des experimentellen Charakters der Arbeit des Theorieteams sehr berührungsintensiv. Mandantenadministratoren haben die DLP-Verwaltung für diese Umgebung direkt an einen vertrauenswürdigen Umgebungsadministrator des CoE-Teams delegiert und ihn von der Schule aller Richtlinien auf Mandantenebene ausgeschlossen. Diese Umgebung wird nur von der DLP-Richtlinie auf Umgebungsebene verwaltet, was bei Contoso eher eine Ausnahme ist.

Wie erwartet werden alle in Contoso neu erstellten Umgebungen der ursprünglichen Richtlinie für alle Umgebungen zugeordnet.

Diese Einrichtung mandantenzentrierter DLP-Richtlinien verhindert nicht, dass Umgebungsadministratoren ihre eigenen DLP-Richtlinien auf Umgebungsebene entwickeln, wenn sie andere Einschränkungen einführen oder benutzerdefinierte Konnektoren klassifizieren möchten.

Hier erfahren Sie mehr über das Erstellen von DLP-Richtlinien: Ihre Microsoft Power Platform-Umgebung planen und verwalten