Was ist eine DLP-Richtlinie (Data Loss Prevention)?

Die Daten eines Unternehmens sind entscheidend für dessen Erfolg. Seine Daten müssen für Entscheidungsfindungsprozesse direkt verfügbar und gleichzeitig geschützt sein, sodass sie nicht für Personen zugänglich sind, die nicht darauf zugreifen dürfen. Zum Schützen dieser Daten können Sie mit Microsoft Flow Richtlinien erstellen und erzwingen, die festlegen, welche Endverbraucher-Services-/Connector-spezifischen Geschäftsdaten gemeinsam genutzt werden dürfen. Diese Richtlinien, durch die festgelegt wird, auf welche Weise Daten gemeinsam genutzt werden können, werden als DLP-Richtlinien (Data Loss Prevention) bezeichnet.

Weshalb muss eine DLP-Richtlinie erstellt werden?

Sie erstellen eine DLP-Richtlinie, um eindeutig zu definieren, welche Geschäftsdaten aus Services für Endverbraucher freigegeben werden können. Beispiel: In einem Unternehmen, das mit Flow arbeitet, sollen die in SharePoint gespeicherten Geschäftsdaten nicht automatisch in seinem Twitter-Feed veröffentlicht werden. Um dies zu verhindern, können Sie eine DLP-Richtlinie erstellen, die verhindert, dass SharePoint-Daten als Quelle für Tweets verwendet werden.

Vorteile einer DLP-Richtlinie

  • Damit wird sichergestellt, dass Daten in der gesamten Organisation einheitlich verwaltet werden.
  • Damit wird verhindert, dass wichtige Geschäftsdaten versehentlich in Diensten wie Websites von sozialen Netzwerken veröffentlicht werden.

Verwalten von DLP-Richtlinien

Voraussetzungen
Zum Erstellen, Bearbeiten oder Löschen von DLP-Richtlinien wird Folgendes benötigt: - Entweder Umgebungsadministrator- oder Mandantenadministrator-Berechtigungen. Weitere Informationen zu Berechtigungen finden Sie im Thema zu Umgebungen.
- Eine Flow P2-Lizenz.

Erstellen einer DLP-Richtlinie

Voraussetzungen
Zum Erstellen einer DLP-Richtlinie müssen Sie über Berechtigungen für mindestens eine Umgebung verfügen.

Führen Sie die folgenden Schritte aus, um eine DLP-Richtlinie zu erstellen, die verhindert, dass in SharePoint gespeicherte Daten Ihres Unternehmen in Twitter veröffentlicht werden:
1. Wählen Sie auf der Registerkarte „Data Policies“ (Datenrichtlinien) den Link Neue Richtlinie aus:
Anmelden
2. Geben Sie als Name der DLP-Richtlinie im Feld Data Policy Name (Name der Datenrichtlinie) der geöffneten Seite Secure Data Access for Contoso ein:
Anmelden
3. Wählen Sie die Umgebung auf der Registerkarte Gilt für aus.
Hinweis: Als Umgebungsadministrator können Sie Richtlinien erstellen, die nur auf eine einzige Umgebung angewendet werden. Als Mandantenadministrator können Sie eine Richtlinie erstellen, die auf alle Umgebungen, eine oder mehrere ausgewählte Umgebungen oder alle Umgebungen mit Ausnahme bestimmter Umgebungen angewendet werden:
Anmelden
4. Wählen Sie die Registerkarte Data Groups (Datengruppen) aus:
Anmelden
5. Wählen Sie den Link + Hinzufügen im Gruppenfeld Business data only (Nur Geschäftsdaten) aus:
Anmelden
6. Wählen Sie auf der Seite Dienste hinzufügen die Dienste SharePoint und Salesforce aus:
Anmelden
7. Klicken Sie auf die Schaltfläche Dienste hinzufügen, um die Dienste hinzuzufügen, für die das Freigeben von Geschäftsdaten gestattet werden soll:
Anmelden
8. Wählen Sie Richtlinie speichern aus:
Anmelden
9. Nach einigen Augenblicken wird die neue DLP-Richtlinie in der Liste der DLP-Richtlinien (Data Loss Prevention) angezeigt:
Anmelden
10. Optional Senden Sie eine E-Mail oder eine sonstige Mitteilung an die Mitglieder Ihres Teams, um sie zu benachrichtigen, dass nun eine neue DLP-Richtlinie verfügbar ist.

Sie haben nun eine DLP-Richtlinie erstellt, die der App die gemeinsame Verwendung von Daten für SharePoint und Salesforce ermöglicht, wobei die Freigabe von Daten für andere Dienste gesperrt wird.

Hinweis: Wenn Sie einen Dienst zu einer Datengruppe hinzufügen, wird er automatisch aus der anderen Datengruppe entfernt. Wenn sich Twitter z.B. derzeit in der Datengruppe business data only (Nur Geschäftsdaten) befindet und Sie nicht zulassen möchten, dass Geschäftsdaten auf Twitter geteilt werden, fügen Sie den Twitter-Dienst einfach der Datengruppe no business data allowed (Keine Geschäftsdaten zulässig) hinzu. Hiermit wird Twitter aus der Datengruppe „business data only“ (Nur Geschäftsdaten) entfernt.

Datenfreigabeverletzung

Angenommen, Sie haben die DLP-Richtlinie wie oben beschrieben erstellt. Wenn ein Benutzer jetzt einen Flow erstellt, der Daten gemeinsam mit Salesforce (aus der Datengruppe Business data only (Nur Geschäftsdaten)) und Twitter (aus der Datengruppe No business data allowed (Keine Geschäftsdaten zulässig)) verwendet, erhält der Benutzer die Meldung, dass der Flow aufgrund eines Konflikts mit der von Ihnen erstellten DLP-Richtlinie angehalten wurde.
Flow erstellen

Wenn Sie von Ihren Benutzern hören, dass ihre Flows angehalten wurden, beachten Sie Folgendes:

  1. Wenn es einen triftigen Grund für die gemeinsame Verwendung von Daten mit SharePoint und Twitter im genannten Beispiel gibt, können Sie die DLP-Richtlinie bearbeiten.
  2. Bitten Sie den Benutzer, den Flow so zu ändern, dass er der DLP-Richtlinie entspricht.
  3. Bitten Sie den Benutzer, den Flow so lange im angehaltenen Zustand zu belassen, bis eine Entscheidung hinsichtlich der gemeinsamen Verwendung von Daten durch diese beiden Entitäten getroffen wurde.

Suchen einer DLP-Richtlinie

Administratoren

Administratoren können mithilfe der Suchfunktion im Admin Center nach bestimmten DLP-Richtlinien suchen.

HINWEIS Administratoren sollten alle DLP-Richtlinien so veröffentlichen, dass Benutzern in der Organisation die Richtlinien vor dem Erstellen von Flows bekannt sind.

Ersteller

Wenn Sie über keine Administratorberechtigungen verfügen und mehr über die DLP-Richtlinien in der Organisation erfahren möchten, wenden Sie sich an Ihren Administrator. Weitere Informationen hierzu finden Sie im Thema zu Umgebungen für Ersteller

HINWEIS DLP-Richtlinien können nur von Administratoren bearbeitet oder gelöscht werden.

Bearbeiten einer DLP-Richtlinie

  1. Rufen Sie „https://admin.flow.microsoft.com“ auf, um auf das Admin Center zuzugreifen.
  2. Klicken Sie im geöffneten Admin Center links auf den Link Data Policies (Datenrichtlinien).
    Anmelden
  3. Durchsuchen Sie die Liste der vorhandenen DLP-Richtlinien, und klicken Sie neben der zu bearbeitenden Richtlinie auf die Schaltfläche „Bearbeiten“:
    Anmelden
  4. Nehmen Sie die gewünschten Änderungen vor. Sie können beispielsweise die Umgebung oder die Dienste in den Datengruppen ändern.
  5. Wählen Sie zum Speichern der vorgenommenen Änderungen Richtlinie speichern aus:
    Anmelden

Die Richtlinie wurde nun aktualisiert. Sie können sich vergewissern, dass die Richtlinie geändert wurde, indem Sie in der Liste der DLP-Richtlinien danach suchen und ihre Eigenschaften überprüfen.

Hinweis Von Mandantenadministratoren erstellte DLP-Richtlinien können von Umgebungsadministratoren angezeigt, jedoch nicht bearbeitet werden.

Löschen einer DLP-Richtlinie

  1. Rufen Sie „https://admin.flow.microsoft.com“ auf, um auf das Admin Center zuzugreifen.
  2. Klicken Sie im geöffneten Admin Center links auf den Link Data Policies (Datenrichtlinien).
    Anmelden
  3. Durchsuchen Sie die Liste der vorhandenen DLP-Richtlinien, und klicken Sie neben der zu löschenden Richtlinie auf die Schaltfläche „Löschen“:
    Anmelden
  4. Bestätigen Sie, dass die Richtlinie wirklich gelöscht werden soll, indem Sie auf die Schaltfläche Löschen klicken:
    Anmelden

Die Richtlinie wurde nun gelöscht. Sie können sich vergewissern, dass sie nicht mehr in der Liste der DLP-Richtlinien aufgeführt wird, indem Sie links auf den Link Data Policies (Datenrichtlinien) klicken und die Liste der Richtlinien durchsehen.

Berechtigungen für DLP-Richtlinien

Nur Mandanten- und Umgebungsadministratoren können DLP-Richtlinien erstellen und ändern. Weitere Informationen zu Berechtigungen erhalten Sie im Thema zu Umgebungen.

Weitere Schritte