Richtlinien zur Verhinderung von Datenverlusten auf verschiedenen Ebenen

  • 10 Minuten

Das Modul „Einführung in Sicherheit und Governance für Microsoft Power Platform“ führte Richtlinien zur Verhinderung von Datenverlust (DLP) ein, die die Konnektoren einschränken, die innerhalb desselben Flows oder derselben App zusammen verwendet werden können. Das Modul hat auch den Geltungsbereich vorgestellt, für den eine DLP-Richtlinie gelten soll. Sie können zum Beispiel eine DLP-Richtlinie erstellen, die nur für eine Umgebung gilt. Außerdem können Sie eine DLP-Richtlinie erstellen, die für den gesamten Mandanten gilt (wenn neue Umgebungen erstellt werden, erben sie automatisch diese mandantenweite DLP-Richtlinie).

In den folgenden Abschnitten wird die Staffelung von DLP-Richtlinien erläutert. Eine Organisation könnte sich für die Implementierung eines mehrschichtigen Ansatzes entscheiden, der bestimmte Szenarien ermöglicht, andere jedoch verhindert. Wenn es widersprüchliche Richtlinien gibt, wendet Microsoft die restriktivste Richtlinie an.

Szenario 1: Microsoft 365 Outlook und OneDrive

In diesem Anwendungsfall möchte eine IT-Abteilung den Mitarbeitern ermöglichen, ihre E-Mail-Anhänge automatisch in ihr Microsoft OneDrive-Konto zu kopieren. Daher erstellt ein Administrator der Umgebung eine DLP-Richtlinie, die die Konnektoren Office 365 Outlook und OneDrive in die Datengruppe Geschäftlich aufnimmt und alle übrigen Konnektoren in der Datengruppe Nicht geschäftlich belässt.

Screenshot der Richtlinie zur Verhinderung von Datenverlust

Nachdem diese DLP-Richtlinie gespeichert wurde, können App-Ersteller Flows erstellen, die es ihnen ermöglichen, ihre E-Mail-Anhänge in ihr OneDrive zu kopieren.

Screenshot des Flowbeispiels mit „Anwenden“ auf jede geöffnete Aktion

Wenn Ersteller einen Flow gespeichert haben, werden die DLP-Richtlinien erzwungen. Wenn Ihr Flow aktiviert ist oder sich im Status Ein befindet, dann wissen Sie, dass Sie gegen keine Richtlinien verstoßen haben. Das Verhalten eines Flows, der gegen eine DLP-Richtlinie verstößt, werden Sie später in diesem Modul kennenlernen.

Screenshot des aktivierten Power Automate-Flows

Szenario 2: SharePoint und Teams

Das zweite Szenario betrifft die Veröffentlichung von Benachrichtigungen in einem Microsoft Teams-Kanal, wenn ein neues Element in einer Liste in SharePoint erstellt wird. Um dieses Szenario zu aktivieren, werden Sie eine weitere DLP-Richtlinie erstellen. In diesem Szenario werden Sie nur die Konnektoren SharePoint und Microsoft Teams in der Datengruppe Geschäftlich verwenden. Alle übrigen Konnektoren werden in der Datengruppe Nicht geschäftlich platziert.

Screenshot der Einrichtung der Richtlinie zur Verhinderung von Datenverlust

Nachdem diese DLP-Richtlinie gespeichert wurde, können Sie einen Flow erstellen, der die von Ihnen entworfene Funktionalität implementiert, die das Senden einer Nachricht in einem Teams-Kanal beinhaltet, sobald ein neues Element in Microsoft Listen erstellt wird.

Screenshot des Power Automate-Beispielflows

Wenn Sie diesen Flow speichern, werden Sie feststellen, dass er aktiviert wurde. Dies bedeutet, dass er mit Ihren DLP-Richtlinien konform ist.

Screenshot des aktivierten Power Automate-Flows

Szenario 3: Microsoft 365 Outlook und SharePoint

In diesem Szenario erfahren Sie, was passiert, wenn Sie DLP-Richtlinien haben, die in Konflikt zueinander stehen. Dieses Szenario umfasst die Protokollierung eingehender E-Mails in Microsoft Listen, damit Sie Aktivitätselemente aus diesem Postfach verfolgen können.

Derzeit haben Sie eindeutige DLP-Richtlinien, die diese Konnektoren in die Geschäftlich-Datengruppen einbeziehen. Allerdings sind diese Konnektoren auf zwei verschiedene DLP-Richtlinien verteilt. Wie Sie sich erinnern, haben Sie im ersten Szenario die Konnektoren Office 365 Outlook und OneDrive verwendet. Im zweiten Szenario haben Sie die Konnektoren SharePoint und Microsoft Teams in dieselbe Richtlinie einbezogen. Gegenwärtig gibt es keine Richtlinie, die es erlaubt, sowohl die Office 365 Outlook- als auch die SharePoint-Konnektoren in denselben Flow oder dieselbe App einzubeziehen.

Sie können eine dritte DLP-Richtlinie erstellen, die die Konnektoren Office 365 Outlook und SharePoint in die Geschäftlich-Datengruppe einbezieht. Alle andere Konnektoren werden in die Datengruppenumgebung Nicht geschäftlich platziert.

Screenshot der Seite „Power Automate-Datenrichtlinien“

Sie erstellen nun einen Flow, der einen Office 365 Outlook-Trigger und eine SharePoint-Aktivität enthält.

Screenshot des Power Automate-Beispielflows mit SharePoint

Wenn Sie diesen Flow speichern, erhalten Sie die folgende Fehlermeldung, die darauf hinweist, dass Sie gegen eine DLP-Richtlinie verstoßen haben und Ihr Flow deshalb ausgesetzt wurde.

Screenshot des Fehlers bei der Verhinderung von Datenverlust

Sie fragen sich vielleicht, warum dieser Fehler aufgetreten ist, wenn man bedenkt, dass Sie eine DLP-Richtlinie erstellt haben, die explizit erlaubt, dass beide Konnektoren, Office 365 Outlook und SharePoint, in denselben Datenfluss einbezogen werden. Obwohl Sie diese DLP-Richtlinie erstellt haben, wird Microsoft dennoch die restriktivste Richtlinie durchsetzen. Microsoft wird Ihnen nicht erlauben, frühere DLP-Richtlinien durch die Einführung neuer Richtlinien zu umgehen. Andernfalls könnte es zu unbeabsichtigten Datenlecks kommen, wenn Unternehmen neue DLP-Richtlinien einführen.

Daher fragen Sie sich vielleicht, wie Sie die Fähigkeit von Office 365 Outlook zur Kommunikation mit SharePoint unterstützen können. In diesem Fall müssen Sie Ihre bestehenden Richtlinien aktualisieren, um diese Konnektoren in die Geschäftlich-Datengruppen aufzunehmen. Nachdem Sie diese Aufgabe erledigt haben, müssen Sie Ihre Flows, die derzeit von Ihren DLP-Richtlinien gesperrt sind, explizit aktivieren.