Bereitstellungen sichern
Ein Schlüsselelement bei der Verwaltung der Power Platform-Bereitstellung ist die Sicherheit zu berücksichtigen. Sicherheit ist entscheidend, um sicherzustellen, dass jeder nur auf die Daten zugreifen kann, die er benötigt, aber auch um sicherzugehen, dass Personen oder Anwendungen, die keinen Zugriff darauf haben sollten, nicht auf Daten zugreifen können.
Eine DLP-Strategie einrichten
Eines der ersten Dinge, die Sie bei der Bereitstellung einer Power Platform-Lösung berücksichtigen sollten, ist, eine Strategie zur Verhinderung von Verlusten (DLP) einzurichten. (DLP)-Richtlinien dienen als Anleitung, um zu verhindern, dass Benutzer unbeabsichtigt Organisationsdaten preisgeben und zum Schutz von Informationssicherheit im Mandanten. DLP-Richtlinien erzwingen Regeln dafür, welche Konnektoren für jede Umgebung aktiviert sind und welche Konnektoren zusammen verwendet werden können. Konnektoren werden entweder für „Nur Geschäftsdaten“, „Keine Geschäftsdaten zulässig“ oder „Blockiert“ klassifiziert. Wenn Sie einen Konnektor in die Gruppe „Nur Geschäftsdaten“ aufnehmen, kann er in derselben App oder demselben Flow nur zusammen mit anderen Konnektoren dieser Gruppe verwendet werden. Zum Beispiel möchte jemand eine Anwendung erstellen, die den Microsoft Dataverse‑ und einem Drittanbieter-Konnektor verwendet. Wenn Sie den Microsoft Dataverse-Konnektor als Geschäftsdaten-Konnektor klassifizieren, können Sie den Drittanbieter-Konnektor nur anwenden, wenn er auch als Geschäftsdaten-Konnektor klassifiziert ist.
Das Einrichten Ihrer DLP-Richtlinien geht Hand in Hand mit Ihrer Umgebungsstrategie.
Konnektorklassifizierung
Geschäftliche und nicht geschäftliche Klassifizierungen ziehen Grenzen dazu, wie Konnektoren zusammen in einer bestimmten App oder einem Flow verwendet werden können. Konnektoren können mit DLP-Richtlinien in die folgenden Gruppen eingeteilt werden:
Geschäft: Eine gegebene Power App bzw. Power Automate-Ressource kann einen oder mehrere Konnektoren aus einer Unternehmensgruppe verwenden. Wenn eine Power App bzw. Power Automate-Ressource einen Geschäftskonnektor verwendet, kann sie keinen Nicht-Geschäftskonnektor verwenden.
Nicht geschäftlich: Eine gegebene Power App bzw. Power Automate-Ressource kann einen oder mehrere Konnektoren aus einer Nicht-Unternehmensgruppe verwenden. Wenn eine Power App bzw. Power Automate-Ressource einen Nicht-Geschäftskonnektor verwendet, kann sie keinen Geschäftskonnektor verwenden.
Gesperrt: Keine Power App bzw. Power Automate-Ressource kann einen Konnektor aus einer gesperrten Gruppe nutzen. Alle Microsoft-eigenen Premium-Konnektoren und Konnektoren von Drittanbietern (Standard und Premium) können gesperrt werden. Alle Microsoft-eigenen Standardkonnektoren und Common Data Service-Konnektoren können nicht gesperrt werden.
Strategien zum Erstellen von DLP-Richtlinien
Als Administrator, der eine Umgebung übernimmt oder mit der Unterstützung der Nutzung von Power Apps und Power Automate beginnt, sollten, wie bereits erwähnt, DLP-Richtlinien eines der ersten Dinge sein, die Sie einrichten. So wird sichergestellt, dass ein Basissatz von Richtlinien vorhanden ist, und Sie können sich dann auf die Behandlung von Ausnahmen und die Erstellung gezielter DLP-Richtlinien konzentrieren, die diese Ausnahmen nach der Genehmigung implementieren.
Wir empfehlen den folgenden Startpunkt für DLP-Richtlinien für Umgebungen mit gemeinsamer Benutzer‑ und Teamproduktivität:
Erstellen Sie eine Richtlinie, die sich über alle Umgebungen mit Ausnahme ausgewählter Umgebungen erstreckt (z. B. Ihre Produktionsumgebungen), beschränken Sie die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 sowie andere Standard-Microservices, und sperren Sie den Zugriff auf alles andere. Diese Richtlinie gilt für die Standard‑ und für Schulungsumgebungen, die Sie zum Ausführen interner Schulungsveranstaltungen haben. Darüber hinaus gilt diese Richtlinie auch für alle Umgebungen, die neu erstellt wurden.
Erstellen Sie geeignete und freizügigere DLP-Richtlinien für Ihre gemeinsam genutzten Benutzer‑ und Teamproduktivitätsumgebungen. Diese Richtlinien können es Herstellern ermöglichen, zusätzlich zu den Office 365-Services Konnektoren wie Azure-Dienste zu verwenden. Die in diesen Umgebungen verfügbaren Konnektoren sind von Ihrer Organisation davon, wo Ihre Organisation Geschäftsdaten speichert, abhängig.
Wir empfehlen den folgenden Startpunkt für DLP-Richtlinien für Produktionsumgebungen (Konzernmandant und Projekt):
Exkludieren Sie diese Umgebungen von gemeinsamen Benutzer‑ und Teamproduktivitätsrichtlinien.
Arbeiten Sie mit dem Konzernmandanten und dem Projekt zusammen, um festzulegen, welche Konnektoren und Konnektorkombinationen sie verwenden, und erstellen Sie eine Mandantenrichtlinie, um nur die ausgewählten Umgebungen einzubeziehen.
Umgebungsadministratoren dieser Umgebungen können Umgebungsrichtlinien verwenden, um benutzerdefinierte Konnektoren bei Bedarf ausschließlich als Geschäftsdaten zu kategorisieren.
Zusätzlich zum oben genannten empfehlen wir auch:
Eine minimale Anzahl von Richtlinien pro Umgebung erstellen Es gibt keine strenge Hierarchie zwischen Mandanten‑ und Umgebungsrichtlinien, bei Design und Laufzeit werden alle Richtlinien, die für die Umgebung gelten, in der sich die App oder der Flow befindet, zusammen ausgewertet, um zu entscheiden, ob die Ressource den DLP-Richtlinien entspricht oder gegen diese verstößt. Mehrere DLP-Richtlinien, die auf eine Umgebung angewendet werden, fragmentieren Ihren Konnektorbereich auf komplizierte Weise und können es schwierig machen, Probleme zu verstehen, mit denen Ihre Ersteller konfrontiert sind.
Zentrales Verwalten von DLP-Richtlinien mithilfe von Richtlinien auf Mandantenebene und Verwenden von Umgebungsrichtlinien nur zum Kategorisieren benutzerdefinierter Konnektoren oder in Ausnahmefällen.
Planen Sie in diesem Fall den Umgang mit Ausnahmen. Sie können Folgendes ausführen:
Die Anfrage verweigern
Den Konnektor der Standard-DLP-Richtlinie hinzufügen
Die Umgebungen zur Liste „Alle außer“ für das globale Standard-DLP hinzufügen und eine anwendungsfallspezifische DLP-Richtlinie mit der eingeschlossenen Ausnahme erstellen.
Beispiel: Contoso-DLP-Strategie
Sehen wir uns an, wie die Contoso Corporation, unser Beispielunternehmen für diese Anleitung, ihre DLP-Richtlinien eingerichtet hat. Das Einrichten ihrer DLP-Richtlinien ist eng mit ihrer Umgebungsstrategie verknüpft. Contoso-Administratoren möchten zusätzlich zur Aktivitätsverwaltung des Kompetenzzentrums (CoE) Benutzer‑ und Teamproduktivitätsszenarien und Geschäftsanwendungen unterstützen.
Die Umgebungs‑ und DLP-Strategie, die Contoso-Administratoren hier angewendet haben, besteht aus Folgendem:
Eine mandantenweite restriktive DLP-Richtlinie, die für alle Umgebungen im Mandanten gültig ist, mit Ausnahme einiger spezifischer Umgebungen, die sie aus dem Richtlinienbereich ausgeschlossen haben. Administratoren beabsichtigen, die verfügbaren Konnektoren in dieser Richtlinie auf Office 365 und andere Standard-Mikrodienste zu begrenzen, indem der Zugriff auf alles andere gesperrt wird. Diese Richtlinie gilt zudem auch für die Standardumgebung.
Contoso-Administratoren haben eine weitere freigegebene Umgebung für Benutzer erstellt, um so Apps für Anwendungsfälle zur Benutzer‑ und Teamproduktivität zu erstellen. Diese Umgebung verfügt über eine zugehörige DLP-Richtlinie auf Mandantenebene, die nicht so risikoscheu ist wie eine Standardrichtlinie und es Herstellern ermöglicht, Konnektoren wie Azure-Dienste zusätzlich zu den Office 365-Services zu verwenden. Administratoren können die Umgebungsherstellerliste dafür aktiv steuern, da es sich um eine nicht standardmäßige Umgebung handelt. Dies ist ein abgestufter Ansatz für eine gemeinsam genutzte Benutzer‑ und Teamproduktivitätsumgebung sowie die zugehörigen DLP-Einstellungen.
Zudem haben die Geschäftsbereiche zur Erstellung von Branchenanwendungen Entwicklungs‑, Test‑ und Produktionsumgebungen für ihre Steuer‑ und Wirtschaftsprüfungsniederlassungen in verschiedenen Ländern erstellt. Der Zugriff des Umgebungsherstellers auf diese Umgebungen wird genau verwaltet, und geeignete Konnektoren von Erst‑ und Drittanbietern werden mithilfe von DLP-Richtlinien auf Mandantenebene in Absprache mit den Interessenvertretern der Geschäftseinheit verfügbar gemacht.
Ähnlich werden Entwicklungs-/Test-/Produktionsumgebungen für die Verwendung durch die zentrale IT erstellt, um relevante oder richtige Anwendungen zu entwickeln und einzuführen. Diese Geschäftsanwendungsszenarien verfügen in der Regel über einen genau festgelegten Satz von Konnektoren, die Herstellern, Testern und Benutzern in diesen Umgebungen zur Verfügung gestellt werden müssen. Der Zugriff auf diese Konnektoren wird mit einer dedizierten Richtlinie auf Mandantenebene verwaltet.
Contoso verfügt zudem über eine spezielle Zweckumgebung, die den Kompetenzzentrum-Aktivitäten gewidmet ist. In Contoso bleibt die DLP-Richtlinie für die Umgebung für spezielle Zwecke angesichts des experimentellen Charakters des Buchs der Theorieteams aktuell. In diesem Fall haben Mandantenadministratoren die DLP-Verwaltung für diese Umgebung direkt an einen vertrauenswürdigen Umgebungsadministrator des CoE-Teams delegiert und ihn von der Schule aller Richtlinien auf Mandantenebene ausgeschlossen. Diese Umgebung wird nur von der DLP-Richtlinie auf Umgebungsebene verwaltet, was bei Contoso eher eine Ausnahme ist.
Wie erwartet werden alle in Contoso neu erstellten Umgebungen der ursprünglichen Richtlinie für alle Umgebungen zugeordnet.
Diese Einrichtung mandantenzentrierter DLP-Richtlinien verhindert nicht, dass Umgebungsadministratoren ihre eigenen DLP-Richtlinien auf Umgebungsebene entwickeln, wenn sie andere Einschränkungen einführen oder benutzerdefinierte Konnektoren klassifizieren möchten.
Hier erfahren Sie mehr über das Erstellen von DLP-Richtlinien: Ihre Microsoft Power Platform-Umgebung planen und verwalten