安全部署

  • 10 分钟

实施 Power Platform 部署的一个关键要素是考虑安全性。 安全性对于确保每个人仅访问所需数据,同时确保避免人员或应用程序访问不应访问的业务数据至关重要。

制定 DLP 策略

部署 Power Platform 解决方案时首先应考虑的一个事项是制定数据丢失防护 (DLP) 策略。 DLP 策略作为防护措施,帮助防止用户意外公开组织数据并保护租户中的信息安全。 DLP 策略控制是否在每个环境中启用连接器以及可以同时使用哪些连接器。 连接器分类为仅业务数据、不允许业务数据或阻止。 仅业务数据组中的连接器只能在应用或流中与业务数据组中的其他连接器结合使用。 例如,您可能想要创建使用 Microsoft Dataverse 连接器和第三方连接器的应用程序。 如果将 Microsoft Dataverse 连接器分类为业务数据连接器,您将只能在同一应用中使用也分类为业务数据连接器的第三方连接器。

制定 DLP 策略与环境策略密切相关。

连接器分类

业务和非业务分类围绕连接器创建边界并定义可在给定应用或流中同时使用的连接器。 可使用 DLP 策略将连接器分类为以下组:

  • 业务:Power App 或 Power Automate 流可以使用来自业务组的一个或多个连接器。 如果 Power App 或 Power Automate 流使用业务连接器,则无法使用任何非业务连接器。

  • 非业务:Power App 或 Power Automate 流可以使用来自非业务组的一个或多个连接器。 如果 Power App 或 Power Automate 流使用非业务连接器,则无法使用任何业务连接器。

  • 阻止:Power App 或 Power Automate 流可以使用阻止的连接器。 可阻止所有 Microsoft 拥有的高级连接器和第三方连接器(标准和高级)。 但是,无法阻止 Microsoft 拥有的标准连接器和 Common Data Service 连接器。

用于创建 DLP 策略的战略

如前所述,管理员接管环境或开始支持使用 Power Apps 和 Power Automate 时,应先设置 DLP 策略。 这可确保制定一组基本策略。 然后,您可以专注于处理例外情况并创建实施已批准例外情况的有针对性的 DLP 策略。

我们建议通过以下切入点制定面向共享用户和团队工作效率环境的 DLP 策略:

  • 创建涵盖除所选环境(例如生产环境)以外的所有环境的 DLP。 通过本 DLP,限制到 Office 365 和其他标准微服务的可用连接器,并阻止对所有其他连接器的访问权限。 将本 DLP 应用于默认训练环境以及创建的所有新环境。

  • 为共享用户和团队工作效率环境创建适用于您的组织的更宽松的 DLP 策略。 这些 DLP 允许制作者在 Office 365 服务之外使用 Azure 服务等连接器。 这些环境中的可用连接器取决于组织及其存储业务数据的位置。

我们建议通过以下切入点制定面向生产(业务单位和项目)环境的 DLP 策略:

  • 从共享用户和团队工作效率 DLP 策略中排除这些环境。

  • 与业务单位合作,确定要使用的连接器和连接器组合并创建仅包括选定环境的租户策略。

  • 环境管理员在必要时使用环境 DLP 策略将自定义连接器归类为仅业务数据连接器。

此外,我们还建议:

  • 尽量减少为每个环境创建的 DLP 策略数量。 租户和环境策略之间没有严格的层次结构。 在设计和运行时,应用或流环境的所有 DLP 策略会放在一起评估,以确定应用或流是否符合 DLP 策略。 应用于一个环境的多个 DLP 策略会以复杂的方式划分连接器空间,可能使您难以理解制作者面临的问题。

  • 尽可能使用租户级别 DLP 策略进行集中管理;仅使用环境策略分类自定义连接器,例外情况除外。

制定上述策略后,确定如何处理例外情况。 您可以:

  • 拒绝申请。

  • 将连接器添加到默认 DLP 策略。

  • 将环境添加到全局默认 DLP 的“例外情况”列表并创建包含例外情况的用例特定 DLP 策略。

示例:Contoso 的 DLP 策略

让我们来研究示例组织 Contoso Corporation 如何设置其 DLP 策略。 Contoso 的 DLP 策略设置与环境策略紧密相关。 Contoso 管理员希望支持用户和团队工作效率应用场景和业务应用程序,并管理 Center of Excellence (CoE) 活动。

Contoso 的环境和 DLP 策略包括以下内容来创建分层方法:

  • 租户范围的限制性 DLP 策略,适用于租户中的所有环境,但不包括已排除的某些特定环境。 此策略也应用于默认环境。 Contoso 管理员将此策略中的可用连接器限制为 Office 365 和其他标准微服务;他们阻止对所有其他连接器的访问权限。

  • Contoso 管理员创建了一个共享环境,用户可以在其中为用户和团队工作效率用例创建应用。 此环境包含不像默认策略那样限制严格的关联租户级别 DLP 策略;它允许制作者在 Office 365 服务之外使用 Azure 服务等连接器。 这是非默认环境,因此管理员可以主动控制谁有权访问环境。

  • 此外,为了支持业务单位创建业务线应用程序,他们已为不同国家/地区的税务和审计子公司创建开发、测试和生产环境。 谨慎管理环境创建者对这些环境的访问权限,经与业务单位利益干系人协商,使用租户级别 DLP 策略提供适当的第一方和第三方连接器。

  • 同样,为中央 IT 创建开发/测试/生产环境以开发和推出应用程序。 这些商业应用程序应用场景通常具有一组明确定义的连接器,这些连接器需要提供给这些环境中的制作者、测试人员和用户。 使用专门的租户级别策略管理这些连接器的访问权限。

  • Contoso 还为 CoE 活动提供专用环境。 鉴于理论团队工作的实验特性,此环境的 DLP 策略将保持高度触及。 租户管理员已将此环境的 DLP 管理直接委托给 CoE 团队中的可信环境管理员,从而将其从所有租户级别策略中排除。 此环境仅由环境级别的 DLP 策略管理,这是例外情况而非 Contoso 规则。

与预期一样,Contoso 中创建的所有新环境都映射到原始的所有环境策略。

如果环境管理员想要引入其他限制或对自定义连接器进行分类,这种以租户为中心的 DLP 策略设置不阻止环境管理员制定自己的环境级别 DLP 策略。

您可以在此处了解有关创建 DLP 策略的详细信息:计划和管理 Microsoft Power Platform 环境。