Dispor em camadas políticas de prevenção contra perda de dados

  • 10 minutos

O módulo Introdução à segurança e governança do Microsoft Power Platform apresentou as políticas DLP (prevenção contra perda de dados), que restringem os conectores que podem ser usados juntos no mesmo fluxo ou aplicativo. O módulo também apresentou o escopo de aplicação de uma política DLP. Por exemplo, você pode criar uma política DLP que se aplique somente a um ambiente. Você também pode criar uma política DLP aplicável ao locatário inteiro. Isso significa que, quando novos ambientes são criados, eles herdam automaticamente essa política DLP do locatário.

As seções a seguir abordam a disposição das políticas DLP em camadas. Uma organização pode implementar uma abordagem em camadas que permita cenários específicos, mas bloqueie outros. Quando há políticas em conflito, a Microsoft ainda aplica a política mais restritiva.

Cenário 1: Microsoft 365 Outlook e OneDrive

Neste caso de uso, um departamento de TI deseja permitir que as pessoas copiem automaticamente os anexos de email para a conta delas do Microsoft OneDrive. Como resultado, um administrador de ambiente cria uma política DLP que inclui os conectores Office 365 Outlook e OneDrive no grupo de dados Comercial e deixa os conectores restantes no grupo de dados Não comercial.

Captura de tela da política de prevenção contra perda de dados.

Após salvar essa política DLP, os criadores de app podem criar fluxos que permitem copiar os anexos de email no OneDrive.

Captura de tela do exemplo de fluxo com a ação Aplicar a cada aberta.

Quando os criadores salvam um fluxo, as políticas DLP são aplicadas. Se o seu fluxo estiver habilitado ou no estado ativado, você saberá que não violou políticas. Você verá o comportamento de um fluxo que viola uma política DLP posteriormente neste módulo.

Captura de tela do fluxo do Power Automate habilitado.

Cenário 2: SharePoint e Teams

O segundo cenário envolve a publicação de notificações em um canal do Microsoft Teams sempre que um novo item é criado em uma lista no SharePoint. Para habilitar esse cenário, você cria outra política DLP. Neste cenário, você só tem os conectores SharePoint e Microsoft Teams no grupo de dados Comercial. Todos os conectores restantes são colocados no grupo de dados Não comercial.

Captura de tela da configuração da política de prevenção contra perda de dados.

Depois de salvar essa política DLP, você poderá criar um fluxo para implementar sua funcionalidade projetada, incluindo a postagem de uma mensagem em um canal do Teams sempre que um item é criado em uma lista nas Listas da Microsoft.

Captura de tela do exemplo de fluxo do Power Automate.

Ao salvar esse fluxo, você descobre que ele foi habilitado, o que significa que está em conformidade com as políticas DLP.

Captura de tela do fluxo de habilitação do Power Automate.

Cenário 3: Microsoft 365 Outlook e SharePoint

Neste cenário, você descobre o que acontece quando há políticas DLP em conflito. Esse cenário inclui o registro em log de emails de entrada nas Listas da Microsoft para que você possa rastrear os itens de ação dessa caixa de correio.

Atualmente, você tem políticas DLP exclusivas que incluem esses conectores nos grupos de dados Comercial. No entanto, esses conectores estão distribuídos entre duas políticas DLP diferentes. Lembre-se de que, no primeiro cenário, você incluiu os conectores Office 365 Outlook e OneDrive. No segundo cenário, você incluiu os conectores SharePoint e Microsoft Teams na mesma política. No momento, não existe política que permita a inclusão dos conectores Office 365 Outlook e SharePoint no mesmo fluxo ou aplicativo.

Você pode criar uma terceira política DLP para incluir os conectores Office 365 Outlook e SharePoint no grupo de dados Comercial. Todos os outros conectores são colocados no ambiente do grupo de dados Não comercial.

Captura de tela da página Políticas de dados do Power Automate.

Agora você criará um fluxo com um gatilho do Office 365 Outlook e uma ação do SharePoint.

Captura de tela do exemplo de fluxo do Power Automate com o SharePoint.

Ao salvar esse fluxo, você verá o erro a seguir, indicando que violou uma política DLP e, como resultado, o fluxo foi suspenso.

Captura de tela do erro de prevenção contra perda de dados.

Você se pergunta por que esse erro ocorreu, considerando que criou uma política DLP que permite explicitamente a inclusão dos conectores Office 365 Outlook e SharePoint no mesmo fluxo. Embora você tenha criado essa política DLP, a Microsoft ainda impõe a política mais restritiva. A Microsoft não permite que você ignore as políticas DLP anteriores com a inclusão de novas políticas. Caso contrário, poderá ocorrer vazamento não intencional de dados à medida que as organizações incluírem novas políticas DLP.

Sendo assim, você pode se perguntar como permitir que o Office 365 Outlook se comunique com o SharePoint. Nesse caso, você precisa atualizar as políticas existentes para incluir esses conectores nos grupos de dados Comercial. Depois de concluir essa tarefa, você precisará habilitar explicitamente os fluxos que estão suspensos no momento por suas políticas DLP.