การจำแนกประเภทตัวเชื่อมต่อ
กลุ่มข้อมูลคือวิธีง่ายๆ ในการจัดประเภทตัวเชื่อมต่อภายในนโยบายการป้องกันการสูญหายของข้อมูล (DLP) กลุ่มข้อมูลสามกลุ่มที่มีอยู่ คือ กลุ่มข้อมูล ธุรกิจ กลุ่มข้อมูล ที่ไม่ใช่ธุรกิจ และกลุ่มข้อมูล ถูกบล็อก
วิธีที่ดีในการจัดหมวดหมู่ตัวเชื่อมต่อคือ การวางไว้ในกลุ่มตามบริการที่มีศูนย์กลางอยู่ในธุรกิจหรือใช้งานส่วนตัวที่พวกเขาเชื่อมต่อในบริบทขององค์กรของคุณ ตัวเชื่อมต่อที่โฮสต์ข้อมูลการใช้งานทางธุรกิจควรถูกจัดประเภทเป็น ธุรกิจ และตัวเชื่อมต่อที่โฮสต์ข้อมูลการใช้งานส่วนตัวควรถูกจัดประเภทเป็น ไม่ใช่ธุรกิจ ตัวเชื่อมต่อใดๆ ที่คุณไม่ต้องการให้มีการใช้งานเลยในสภาพแวดล้อมหนึ่งรายการขึ้นไป ควรถูกจัดประเภทเป็น ถูกบล็อก
เมื่อมีการสร้างนโยบายใหม่ โดยค่าเริ่มต้นตัวเชื่อมต่อทั้งหมดจะอยู่ในกลุ่ม ที่ไม่ใช่ธุรกิจ จากนั้นจะสามารถย้ายไปที่ ธุรกิจ หรือ ถูกบล็อก ตามความต้องการของคุณ คุณสามารถจัดการการเชื่อมต่อในกลุ่มข้อมูล เมื่อคุณสร้างหรือปรับเปลี่ยนคุณสมบัติของนโยบาย DLP จากศูนย์การจัดการ See จัดการนโยบายข้อมูล คุณสามารถเปลี่ยนการจัดประเภทเริ่มต้นของตัวเชื่อมต่อได้โดยแก้ไขนโยบาย DLP ของคุณ ข้อมูลเพิ่มเติม: แก้ไขนโยบายข้อมูล
หมายเหตุ
จนกระทั่งเมื่อเร็วๆนี้ ตัวเชื่อมต่อ HTTP บางตัวไม่พร้อมใช้งานสำหรับการกำหนดค่านโยบาย DLP โดยใช้ UI นโยบาย DLP หรือ PowerShell ตั้งแต่เดือนพฤษภาคม 2020 เป็นต้นไป ตัวเชื่อมต่อ HTTP ต่อไปนี้สามารถจำแนกได้โดยใช้ UI นโยบาย DLP และ PowerShell เช่นเดียวกับ Power Platform ตัวเชื่อมต่ออื่นๆ: HTTP, HTTP Webhook และ เมื่อได้รับคำขอ HTTP หากมีการอัปเดตนโยบาย DLP แบบดั้งเดิมโดยใช้ UI ของ DLP ใหม่ ข้อความเตือนจะแสดงต่อผู้ดูแลระบบโดยระบุว่าขณะนี้มีการเพิ่มตัวเชื่อมต่อ HTTP สามรายการในพรีวิวของ DLP และควรตรวจสอบให้แน่ใจว่าตัวเชื่อมต่อเหล่านี้อยู่ในการจัดกลุ่ม DLP ที่ถูกต้อง
เนื่องจากโฟลว์ย่อยแชร์การขึ้นต่อกันภายในกับตัวเชื่อมต่อ HTTP การจัดกลุ่มที่ผู้ดูแลระบบเลือกสำหรับตัวเชื่อมต่อ HTTP ในนโยบาย DLP อาจส่งผลต่อความสามารถในการเรียกใช้โฟลว์ย่อยในสภาพแวดล้อมหรือผู้เช่านั้น ตรวจสอบให้แน่ใจว่าตัวเชื่อมต่อ HTTP ของคุณอยู่ในกลุ่มที่เหมาะสมสำหรับโฟลว์รองที่จะทำงาน หากมีข้อกังวลใดๆ ในการจัดประเภทตัวเชื่อมต่อเป็น ธุรกิจ ในสภาพแวดล้อมที่ใช้ร่วมกัน เช่น สภาพแวดล้อมเริ่มต้น คำแนะนำของเราคือการจัดประเภทเป็น ไม่ใช่ธุรกิจ หรือบล็อก จากนั้น สร้างสภาพแวดล้อมเฉพาะที่ผู้สร้างสามารถใช้ตัวเชื่อมต่อ HTTP ได้ แต่จำกัดรายชื่อผู้สร้าง เพื่อให้คุณสามารถยกเลิกการบล็อกผู้สร้างจากการสร้างโฟลว์ย่อยได้
ตัวเชื่อมต่อ การแปลงเนื้อหา เป็นคุณสมบัติที่สำคัญของ Microsoft Power Platform ที่ใช้สำหรับแปลงเอกสาร HTML เป็นข้อความธรรมดา ใช้ได้ทั้งกับสถานการณ์ ธุรกิจ และ ที่ไม่ใช่ธุรกิจ และไม่เก็บบริบทข้อมูลใดๆของเนื้อหาที่ถูกแปลง ดังนั้นจึงไม่สามารถจัดประเภทผ่านนโยบาย DLP ได้
ข้อมูลถูกแชร์ระหว่างกลุ่มข้อมูลได้อย่างไร
ไม่สามารถแชร์ข้อมูลระหว่างตัวเชื่อมต่อที่อยู่ในกลุ่มที่แตกต่างออกไปได้ ตัวอย่างเช่น ถ้าคุณวาง SharePoint และตัวเชื่อมต่อ Salesforce ในกลุ่ม ธุรกิจ และคุณวาง Gmail ไว้ในกลุ่ม ที่ไม่ใช่ธุรกิจ ผู้สร้างจะไม่สามารถสร้างแอปหรือโฟลว์ที่ใช้ทั้ง SharePoint และตัวเชื่อมต่อของ Gmail สิ่งนี้เป็นการจำกัดโฟล์วของข้อมูลระหว่างสองบริการนี้ใน Microsoft Power Platform
ถึงแม้ว่าจะไม่สามารถแชร์ข้อมูลระหว่างบริการในกลุ่มต่างๆได้ คุณสามารถแชร์ข้อมูลระหว่างบริการภายในกลุ่มที่ระบุได้ จากตัวอย่างก่อนหน้านี้ เพราะ SharePoint และ Salesforce อยู่ในกลุ่มข้อมูลเดียวกัน ผู้สร้างสามารถสร้างแอปหรือโฟลว์ที่ใช้ทั้ง SharePoint และตัวเชื่อมต่อ Salesforce พร้อมกันได้ สิ่งนี้เป็นการยินยอมโฟล์วของข้อมูลระหว่างสองบริการนี้ใน Microsoft Power Platform
จุดสำคัญคือตัวเชื่อมต่อในกลุ่มเดียวกันสามารถแบ่งปันข้อมูลได้ใน Microsoft Power Platform ในขณะที่ตัวเชื่อมต่อในกลุ่มอื่นๆที่ต่างออกไปไม่สามารถแบ่งปันข้อมูลได้
ผลกระทบของกลุ่มข้อมูลที่ถูกบล็อก
โฟล์วของข้อมูลไปยังบริการที่เฉพาะเจาะจงสามารถถูกปิดกั้นพร้อมกันโดยทำเครื่องหมายตัวเชื่อมต่อว่า ถูกบล็อก ตัวอย่างเช่น ถ้าคุณวาง Facebook ในกลุ่ม ถูกบล็อก ผู้สร้างจะไม่สามารถสร้างแอปหรือโฟลว์ที่ใช้ตัวเชื่อมต่อ Facebook ได้ สิ่งนี้จะจำกัดโฟล์วของข้อมูลไปยังบริการนี้ใน Microsoft Power Platform
ตัวเชื่อมต่อจากภายนอกทั้งหมดสามารถถูกบล็อกได้ ตัวเชื่อมต่อพรีเมียมทั้งหมดที่ Microsoft เป็นเจ้าของ (ยกเว้น Microsoft Dataverse) สามารถถูกบล็อกได้
รายการของตัวเชื่อมต่อที่ไม่สามารถบล็อกได้
ตัวเชื่อมต่อทั้งหมดที่ขับเคลื่อนฟังก์ชัน Microsoft Power Platform หลัก (เช่น Dataverse, การอนุมัติ และการแจ้งเตือน) นอกเหนือจากตัวเชื่อมต่อที่เปิดใช้งานสถานการณ์การแก้ไข/ปรับปรุงตามคำสั่งของ Office หลัก เช่น ตัวเชื่อมต่อมาตรฐาน Microsoft Enterprise Plan จะยังคงไม่สามารถบล็อกได้ เพื่อให้แน่ใจว่าสถานการณ์ผู้ใช้หลักยังคงทำงานได้อย่างสมบูรณ์
อย่างไรก็ตาม ตัวเชื่อมต่อที่ไม่สามารถบล็อกได้เหล่านี้สามารถแบ่งประเภทออกเป็นกลุ่มข้อมูล ธุรกิจ หรือ ไม่ใช่ธุรกิจ ตัวเชื่อมต่อเหล่านี้จัดอยู่ในประเภทต่อไปนี้อย่างแพร่หลาย:
- ตัวเชื่อมต่อมาตรฐาน Microsoft Enterprise Plan (โดยไม่มีผลกระทบต่อการให้สิทธิการใช้งานเพิ่มเติม)
- ตัวเชื่อมต่อเฉพาะ Microsoft Power Platform ที่เป็นส่วนหนึ่งของความสามารถของแพลตฟอร์มพื้นฐาน ภายในรายการนี้ ตัวเชื่อมต่อ Dataverse เป็นตัวเชื่อมต่อระดับพรีเมียมเพียงตัวเดียวที่ไม่สามารถบล็อกได้ เนื่องจาก Dataverse เป็นส่วนหนึ่งของ Microsoft Power Platform
ตัวเชื่อมต่อต่อไปนี้ไม่สามารถบล็อกได้โดยใช้นโยบาย DLP
| ตัวเชื่อมต่อมาตรฐาน Microsoft Enterprise Plan | ตัวเชื่อมต่อ Power Platform หลัก |
|---|---|
| Defender สำหรับแอประบบคลาวด์ | การอนุมัติ |
| Dynamics 365 Customer Voice | การแจ้งเตือน |
| Excel Online (Business) | Dataverse (มรดก) |
| Kaizala | Dataverse |
| กลุ่ม Microsoft 365 | Power Apps การแจ้งเตือน (v1 และ v2) |
| จดหมายของกลุ่ม Microsoft 365 (พรีวิว) | Microsoft Copilot Studio |
| Microsoft 365 Outlook | |
| ผู้ใช้ Microsoft 365 | |
| Microsoft Teams | |
| Microsoft To-Do (Business) | |
| OneDrive for Business | |
| OneNote (Business) | |
| Planner | |
| Power BI | |
| SharePoint | |
| Shifts | |
| Skype for Business Online | |
| Yammer |
หมายเหตุ
หากในขณะนี้ตัวเชื่อมต่อที่ไม่สามารถบล็อกได้อยู่ในกลุ่ม ถูกบล็อก แล้ว (ตัวอย่างเช่น เนื่องจากถูกบล็อกเมื่อมีข้อจำกัดต่างกัน) จะยังคงอยู่ในกลุ่มเดียวกันจนกว่าคุณจะแก้ไขนโยบาย คุณจะได้รับข้อความแสดงข้อผิดพลาดที่ห้ามไม่ให้คุณบันทึกนโยบายจนกว่าคุณจะย้ายตัวเชื่อมต่อที่ไม่สามารถบล็อกได้ไปที่กลุ่ม ธุรกิจ หรือ ไม่ใช่ธุรกิจ
การดูการจัดประเภทของตัวเชื่อมต่อ
เมื่อแก้ไขนโยบาย DLP ในศูนย์จัดการ Power Platform ตัวเชื่อมต่อที่มีอยู่และมองเห็นได้ทั้งหมดจะแสดงขึ้น โดยไม่คำนึงว่าจะถูกจัดประเภทไว้ในนโยบายหรือไม่ อย่างไรก็ตาม เมื่อดูนโยบาย DLP ใน PowerShell หรือผ่านตัวเชื่อมต่อ Power Platform for Admins คุณจะเห็นเฉพาะตัวเชื่อมต่อที่ได้รับการจัดประเภทอย่างชัดเจนในประเภทธุรกิจ ไม่ใช่ธุรกิจ หรือประเภทที่ถูกบล็อก นโยบาย DLP ที่ดูจาก PowerShell หรือตัวเชื่อมต่อ Power Platform for Admins อาจมีการอ้างอิงที่ไม่อัปเดตไปยังตัวเชื่อมต่อที่ไม่พร้อมใช้งานหรือมองเห็นได้อีกต่อไป
โดยทั่วไป รายการตัวเชื่อมต่อ Power Platform อาจแตกต่างกันไปขึ้นอยู่กับตำแหน่งที่คุณดู และมีเหตุผลหลายประการสำหรับสิ่งนี้ ตัวเชื่อมต่อบางตัวอาจต้องการการให้สิทธิการใช้งานเฉพาะ และหากสิทธิการใช้งานของคุณไม่รวมอยู่ในนั้น ก็จะมองไม่เห็น สภาพแวดล้อมที่แตกต่างกันสามารถมีตัวเชื่อมต่อที่แตกต่างกันได้เนื่องจากเป็นไปตามข้อกำหนดและข้อบังคับ Microsoft อาจเผยแพร่การอัปเดตสำหรับตัวเชื่อมต่อ ซึ่งอาจไม่สามารถใช้งานทันทีในทุกรายการส่วนประกอบ Power Platform ตัวเชื่อมต่อบางตัวอาจใช้ได้เฉพาะใน Power Automate และใช้ไม่ได้ใน Power Apps คุณอาจไม่มีสิทธิ์เข้าถึงตัวเชื่อมต่อทั้งหมด ทั้งนี้ขึ้นอยู่กับบทบาทและสิทธิ์ของคุณ
การจำแนกประเภทตัวเชื่อมต่อที่กำหนดเอง
นโยบาย DLP ระดับสภาพแวดล้อม
ขณะนี้ผู้ดูแลระบบสภาพแวดล้อมสามารถค้นหาตัวเชื่อมต่อที่กำหนดเองทั้งหมดในสภาพแวดล้อมของตนควบคู่ไปกับตัวเชื่อมต่อที่สร้างไว้ล่วงหน้าบนหน้า ตัวเชื่อมต่อ ใน นโยบายข้อมูล ซึ่งคล้ายกับตัวเชื่อมต่อที่สร้างไว้ล่วงหน้า คุณสามารถจำแนกตัวเชื่อมต่อแบบกำหนดเองเป็นประเภท ถูกบล็อกธุรกิจ หรือ ไม่ใช่ธุรกิจ ตัวเชื่อมต่อแบบกำหนดเองที่ไม่ได้ถูกจัดประเภทอย่างชัดแจ้งจะอยู่ภายใต้กลุ่มเริ่มต้น (หรือ ไม่ใช่ธุรกิจ หากไม่มีการเลือกการตั้งค่ากลุ่มเริ่มต้นอย่างชัดเจนโดยผู้ดูแลระบบ)
นอกจากนี้ คุณยังสามารถใช้คำสั่ง PowerShell ของนโยบาย DLP เพื่อตั้งค่าตัวเชื่อมต่อที่กำหนดเองเป็นกลุ่ม ธุรกิจไม่ใช่ธุรกิจ และ ถูกบล็อก ข้อมูลเพิ่มเติม: คำสั่งนโยบายการป้องกันการสูญหายของข้อมูล (DLP)
นโยบาย DLP ระดับผู้เช่า
ศูนย์การจัดการ Power Platform ยังมีการสนับสนุนสำหรับผู้ดูแลระบบผู้เช่าเพื่อจัดประเภทตัวเชื่อมต่อที่กำหนดเองตามปลายทาง URL ของโฮสต์ โดยใช้โครงสร้างการจับคู่รูปแบบสำหรับนโยบาย DLP ระดับผู้เช่า เนื่องจากขอบเขตของตัวเชื่อมต่อแบบกำหนดเองนั้นเป็นแบบเฉพาะสำหรับสภาพแวดล้อม ตัวเชื่อมต่อเหล่านี้จะไม่แสดงบนหน้า ตัวเชื่อมต่อ ให้คุณจัดประเภท แต่คุณจะเห็นหน้าใหม่ใน นโยบายข้อมูล ที่ชื่อว่า ตัวเชื่อมต่อแบบกำหนดเอง ซึ่งคุณสามารถใช้เพื่อระบุรายการที่มีการจัดลำดับของรูปแบบ URL อนุญาตและปฏิเสธสำหรับตัวเชื่อมต่อที่กำหนดเอง
กฎสำหรับอักขระตัวแทน (*) จะเป็นส่วนท้ายในรายการเสมอ ซึ่งใช้กับตัวเชื่อมต่อแบบกำหนดเองทั้งหมด แอดมินสามารถแท็กรูปแบบ * เป็น ถูกบล็อก, ธุรกิจ, ไม่ใช่ธุรกิจ หรือ ละเว้น โดยค่าเริ่มต้น รูปแบบจะถูกตั้งค่าเป็น ละเว้น สำหรับนโยบาย DLP ใหม่
ละเว้น ละเว้นการจำแนกประเภท DLP สำหรับตัวเชื่อมต่อทั้งหมดในนโยบายระดับผู้เช่านี้ และเลื่อนการประเมินรูปแบบไปยังสภาพแวดล้อมอื่นหรือในนโยบายระดับผู้เช่าเพื่อนำนโยบายเหล่านั้นไปจัดกลุ่มเป็น ธุรกิจ, ไม่ใช่ธุรกิจ หรือ ถูกบล็อก ตามความเหมาะสม หากไม่มีกฎเฉพาะสำหรับตัวเชื่อมต่อแบบกำหนดเอง กฎ การละเว้น* จะอนุญาตให้ใช้ตัวเชื่อมต่อที่กำหนดเองกับการจัดกลุ่มตัวเชื่อมต่อทั้ง ธุรกิจ และ ไม่ใช่ธุรกิจ ยกเว้นส่วนสุดท้ายในรายการ ละเว้น เนื่องจากไม่รองรับการดำเนินการสำหรับรูปแบบ URL อื่นๆ ที่เพิ่มลงในกฎรูปแบบตัวเชื่อมต่อที่กำหนดเอง
คุณสามารถเพิ่มกฎใหม่เพิ่มเติมได้โดยเลือก เพิ่มรูปแบบตัวเชื่อมต่อ บนหน้า ตัวเชื่อมต่อแบบกำหนดเอง
ซึ่งจะเปิดแผงด้านข้างที่ซึ่งคุณสามารถเพิ่มรูปแบบ URL ของตัวเชื่อมต่อที่กำหนดเองและจัดประเภทได้ กฎใหม่จะถูกเพิ่มที่ส่วนท้ายของรายการรูปแบบ (เป็นกฎที่สองจากสุดท้าย เนื่องจาก * จะเป็นรายการสุดท้ายในรายการเสมอ) อย่างไรก็ตาม คุณสามารถอัปเดตลำดับ ในขณะที่เพิ่มรูปแบบใหม่ได้
นอกจากนี้ คุณสามารถอัปเดตลำดับของรูปแบบได้โดยใช้รายการแบบเลื่อนลง ลำดับ หรือเลือก เลื่อนขึ้น หรือ เลื่อนลง
หลังจากเพิ่มรูปแบบแล้ว คุณสามารถแก้ไขหรือลบรูปแบบเหล่านี้ได้โดยการเลือกแถวที่ต้องการ และเลือก แก้ไข หรือ ลบ
กลุ่มข้อมูลเริ่มต้นสำหรับตัวเชื่อมต่อใหม่
กลุ่มข้อมูลหนึ่งกลุ่มจะถูกกำหนดให้เป็นกลุ่มเริ่มต้นเพื่อจัดประเภทการเชื่อมต่อใหม่ที่เพิ่มเข้าไปยัง Microsoft Power Platform โดยอัตโนมัติ หลังจากสร้างนโยบายของคุณแล้ว เริ่มแรกนั้น กลุ่ม ที่ไม่ใช่ธุรกิจ คือกลุ่มเริ่มต้นสำหรับตัวเชื่อมต่อใหม่และบริการทั้งหมด คุณสามารถ เปลี่ยนกลุ่มข้อมูลเริ่มต้น ไปเป็นกลุ่มข้อมูล ธุรกิจ หรือ ถูกบล็อก แต่เราไม่แนะนำให้คุณทำเช่นนั้น
บริการใหม่ใดๆ ที่ถูกเพิ่มไปยังแอป จะถูกวางลงในกลุ่มเริ่มต้นที่กำหนด ด้วยเหตุผลนี้ เราแนะนำให้คุณเก็บ ไม่ใช่ธุรกิจ เป็นกลุ่มเริ่มต้น และเพิ่มบริการด้วยตนเองลงในกลุ่ม ธุรกิจ หรือ ถูกบล็อก หลังจากที่องค์กรของคุณได้ประเมินผลกระทบของการอนุญาตให้ข้อมูลทางธุรกิจถูกแชร์กับบริการใหม่
หมายเหตุ
ตัวเชื่อมต่อสิทธิการใช้งาน Microsoft 365 ระดับองค์กรและตัวเชื่อมต่อ Microsoft Power Platform หลักสองสามรายการได้รับการยกเว้นจากการทำเครื่องหมายเป็น ถูกบล็อก และสามารถจัดประเภทได้เฉพาะเป็น ทางธุรกิจ หรือ ไม่ใช่ทางธุรกิจ หาก Microsoft เพิ่มตัวเชื่อมต่อใหม่ใดๆ ที่ไม่สามารถถูกบล็อกได้ และคุณได้ตั้งค่ากลุ่มเริ่มต้นสำหรับนโยบาย DLP เป็น ถูกบล็อก ตัวเชื่อมต่อเหล่านี้จะถูกทำเครื่องหมายโดยอัตโนมัติเป็น ไม่ใช่ธุรกิจ แทน ถูกบล็อก