Creazione di più livelli di criteri di prevenzione della perdita dei dati

Completato

Il modulo Introduzione alla sicurezza e alla governance di Microsoft Power Platform ha introdotto i criteri di prevenzione della perdita dei dati, che limitano i connettori utilizzabili insieme nello stesso flusso o nella stessa app. Il modulo ha anche introdotto l'ambito a cui vengono applicati i criteri di prevenzione della perdita dei dati. È ad esempio possibile creare un criterio applicabile solo a un ambiente. È anche possibile creare un criterio di prevenzione della perdita dei dati applicabile all'intero tenant. Questo significa che, quando vengono creati nuovi ambienti, questi ereditano automaticamente il criterio di prevenzione della perdita dei dati a livello dell'intero tenant.

Le sezioni seguenti illustrano la disposizione su più livelli dei criteri di prevenzione della perdita dei dati. Un'organizzazione può scegliere di implementare un approccio su più livelli che consenta scenari specifici ma ne blocchi altri. Se esistono criteri in conflitto, Microsoft applica comunque i criteri più restrittivi.

Scenario 1: Microsoft 365 Outlook e OneDrive for Business

In questo caso d'uso, un reparto IT desidera consentire agli utenti di copiare automaticamente gli allegati e-mail nel proprio account Microsoft OneDrive for Business. Un amministratore dell'ambiente crea quindi un criterio di prevenzione della perdita dei dati che include i connettori Office 365 Outlook e OneDrive for Business nel gruppo di dati Aziendali e lascia tutti i connettori rimanenti nel gruppo di dati Non aziendali.

Screenshot dei criteri di prevenzione della perdita di dati.

Dopo il salvataggio di questo criterio, gli autori di app sono in grado di creare flussi con cui possono copiare gli allegati di posta elettronica nell'account OneDrive personale.

Screenshot dell'esempio di flusso con l'azione Applica a ogni aperta.

Dopo che gli autori hanno salvato un flusso, vengono applicati i criteri di prevenzione della perdita dei dati. Se il flusso è abilitato o si trova in stato attivo, significa che non è stato violato alcun criterio. Più avanti in questo modulo si vedrà il comportamento di un flusso che viola i criteri di prevenzione della perdita dei dati.

Screenshot del flusso di Power Automate abilitato.

Scenario 2: SharePoint e Teams

Il secondo scenario prevede la pubblicazione di notifiche in un canale Microsoft Teams ogni volta che viene creato un nuovo elemento in un elenco in Elenchi Microsoft. Per abilitare questo scenario, si creeranno altri criteri DLP. In questo scenario, si dispone solo dei connettori SharePoint e Microsoft Teams nel gruppo di dati Aziendali. Tutti i connettori rimanenti vengono inseriti nel gruppo di dati Non aziendali.

Screenshot dell'impostazione dei criteri di prevenzione della perdita di dati.

Dopo il salvataggio di questo criterio, è possibile creare un flusso che implementi la funzionalità progettata, la quale prevede la registrazione di un messaggio in un canale Teams ogni volta che viene creato un nuovo elemento in un elenco in Elenchi Microsoft.

Screenshot del flusso di esempio di Power Automate.

Quando si salva questo flusso, si noterà che è stato abilitato. Ciò significa che è conforme ai criteri di prevenzione della perdita dei dati.

Screenshot del flusso di Power Automate abilitato.

Scenario 3: Microsoft 365 Outlook e SharePoint

In questo scenario si scoprirà che cosa accade in presenza di un conflitto tra i criteri di prevenzione della perdita dei dati. Questo scenario include la registrazione di messaggi e-mail in arrivo in Elenchi Microsoft in modo che sia possibile tenere traccia delle attività dalla cassetta postale corrispondente.

I criteri di prevenzione della perdita dei dati attuali sono univoci e includono questi connettori nei gruppi di dati Aziendali. Questi connettori, tuttavia, sono distribuiti tra due criteri diversi. Come si ricorderà, nel primo scenario sono stati inclusi i connettori Office 365 Outlook e OneDrive for Business. Nel secondo scenario, i connettori SharePoint e Microsoft Teams sono stati inclusi nello stesso criterio. Non esiste attualmente alcun criterio che consenta l'inclusione dei connettori Office 365 Outlook e SharePoint nello stesso flusso o nella stessa app.

È possibile creare un terzo criterio di prevenzione della perdita dei dati che includa i connettori Office 365 Outlook e SharePoint nel gruppo di dati Aziendali. Tutti gli altri connettori sono inseriti nell'ambiente del gruppo di dati Non aziendali.

Screenshot della pagina Criteri dati di Power Automate.

Si creerà ora un flusso che include un trigger Office 365 Outlook e un'azione di SharePoint.

Screenshot del flusso di esempio di Power Automate con SharePoint.

Quando si salva il flusso, verrà visualizzato l'errore seguente, che indica che si è verificata una violazione dei criteri di prevenzione della perdita dei dati e che, di conseguenza, il flusso è stato sospeso.

Screenshot dell'errore relativo ai criteri di prevenzione della perdita di dati.

Ci si potrebbe chiedere perché si sia verificato questo errore, dato che è stato creato un criterio di prevenzione della perdita dei dati che consente esplicitamente di includere entrambi i connettori Office 365 Outlook e SharePoint nello stesso flusso. Nonostante questo criterio, Microsoft applica comunque il criterio più restrittivo e non consente di ignorare i criteri DLP precedenti attraverso l'introduzione di nuovi criteri. In caso contrario, includendo nuovi criteri, le organizzazioni potrebbero subire una perdita di dati imprevista.

Ci si potrebbe chiedere quindi come fare per consentire a Office 365 Outlook di comunicare con SharePoint. In questo caso, è necessario aggiornare i criteri esistenti in modo da includere questi connettori nei gruppi di dati Aziendali. Dopo aver completato questa attività, è necessario abilitare in modo esplicito i flussi attualmente messi in sospeso dai criteri di prevenzione della perdita dei dati.