Informationen zu Richtlinien für die Verhinderung von Datenverlust (Data Loss Prevention, DLP)

Nächstes Thema

Wiederholung des vierten Abschnitts

Weiter

Noch einmal ansehen

Da immer mehr Dienste zum Erstellen von Workflows mit Microsoft Flow verfügbar sind, müssen Sie vertrauliche oder kritische Geschäftsdaten schützen, die in Unternehmensdiensten wie SharePoint oder Salesforce gespeichert sind. Möglicherweise muss in Ihrer Organisation eine Richtlinie erstellt werden, um sicherzustellen, dass sensible Unternehmensdaten nicht in Diensten für Endverbraucher veröffentlicht werden, z.B. in Twitter oder Facebook. Mit Microsoft Flow können Sie problemlos Richtlinien für die Verhinderung von Datenverlust (Data Loss Prevention, DLP) erstellen, um genau zu steuern, für welche Dienste für Endverbraucher Ihre Geschäftsdaten freigegeben werden können, wenn die Benutzer Flows erstellen.

Begriffe, mit denen Sie vertraut sein sollten

Begriff Beschreibung
DLP Dies ist eine Abkürzung für Data Loss Prevention, d.h. Verhinderung von Datenverlust. DLP-Richtlinien werden erstellt, um die Freigabe von Daten zwischen Diensten zu verwalten.
Dienste Dienste sind Anwendungen, z.B. Salesforce, SharePoint und Twitter. Mit diesen und anderen Diensten werden Flows erstellt.
Datengruppe Eine logische Gruppierung von Diensten. Dienste, die Daten freigeben dürfen, werden in der gleichen Datengruppe zusammengefasst. Es sind zwei Datengruppen verfügbar: Business data only (Nur Geschäftsdaten) und No business data allowed (Keine Geschäftsdaten zulässig).
Umgebung Eine DLP-Richtlinie wird auf eine Umgebung angewendet. Eine Umgebung enthält Benutzer.
Benutzer Benutzer sind Mitglieder Ihrer Organisation, auf die eine DLP-Richtlinie angewendet wird, abhängig von ihrer Mitgliedschaft in einer Umgebung.
Flow Ein Flow ist eine Workflow-App, die eine beliebige Kombination der verfügbaren Dienste verwendet.

Funktionsweise von DLP-Richtlinien

Eine DLP-Richtlinie ist einfach eine benannte Regel, die jeden Dienst in einer von zwei sich gegenseitig ausschließenden Datengruppen platziert. Diese Regel wird dann auf eine Umgebung angewendet. Eine Umgebung ist eine logische Gruppierung von Benutzern. Benutzer dürfen keine Flows erstellen, die Daten zwischen Diensten in unterschiedlichen Datengruppen freigeben. Ihre Benutzer können also nur Flows erstellen, die Daten zwischen den Diensten innerhalb einer einzelnen Datengruppe freigeben. Die Freigabe über verschiedene Datengruppen hinweg ist nicht zulässig.

Name der Datengruppe Beschreibung der Datengruppe
Business data only (Nur Geschäftsdaten) Alle Dienste in dieser Gruppe können Daten untereinander freigeben. Sie können keine Daten für die Gruppe „no business data allowed“ (Keine Geschäftsdaten zulässig) freigeben.
No Business data allowed (Keine Geschäftsdaten zulässig) Alle Dienste in dieser Gruppe können Daten untereinander freigeben. Sie können keine Daten für die Gruppe „business data only“ (Nur Geschäftsdaten) freigeben.

Hinweis: Wenn Sie einen Dienst zu einer Datengruppe hinzufügen, wird er automatisch aus der anderen Datengruppe entfernt. Wenn sich Twitter z.B. derzeit in der Datengruppe business data only (Nur Geschäftsdaten) befindet und Sie nicht zulassen möchten, dass Geschäftsdaten auf Twitter geteilt werden, fügen Sie den Twitter-Dienst einfach der Datengruppe no business data allowed (Keine Geschäftsdaten zulässig) hinzu. Hiermit wird Twitter aus der Datengruppe „business data only“ (Nur Geschäftsdaten) entfernt.

Voraussetzungen zum Erstellen einer DLP-Richtlinie

  • Zugriff auf das Flow Admin Center
  • Ein Konto mit der Rolle „environment admin“ (Umgebungsadministrator)
  • Eine Umgebung mit zugewiesenen Benutzern

Erstellen einer DLP-Richtlinie

Kurze Übersicht zum Erstellen einer DLP-Richtlinie:

  1. Benennen der Richtlinie
  2. Auswählen der Umgebung, auf die die Richtlinie angewendet wird
  3. Hinzufügen der Dienste zu einer der beiden Datengruppen Beachten Sie, dass nur Dienste in einer bestimmten Gruppe Daten freigeben können. Daher wird jeder Flow, der zum Freigeben von Daten zwischen Diensten in den zwei Datengruppen erstellt wird, automatisch blockiert, wenn der Ersteller ihn speichert.

Es gibt auch eine ausführliche schrittweise Anleitung zu DLP-Richtlinien.

Beispiele

  • Wenn Sie eine Richtlinie erstellen, die Flows darauf einschränkt, Geschäftsdaten nur zwischen SharePoint, Benutzern von Office 365, Office 365 Outlook, OneDrive for Business, Dynamics 365, SQL Server und Salesforce freizugeben, sieht diese wie folgt aus:

  • Das folgende Beispiel zeigt eine Richtlinie, mit der kein Mitglied einer bestimmten Umgebung einen Flow erstellen darf, der SharePoint-Daten freigibt. Beachten Sie, dass SharePoint der einzige Dienst in der Datengruppe business data only (Nur Geschäftsdaten) ist:
    business data only (Nur Geschäftsdaten)

Weitere Schritte