DLP Policy für Power Platform Services erstellen

Über Data Loss Prevention (DLP) Policies kann ein Administrator regeln mit welchen externen Diensten Mitarbeiter in Power Platform Services (Power Automate, Power Apps und Logic Apps) Daten austauschen dürfen. Eine Anleitung wie solche Policies im Admin Center und via PowerShell erstellt werden.

---

Im Power Platform Admin Center

• Zur Erstellung einer neuen DLP Policy benötigt ein Account die Rolle Global Admin, Power Platform Admin oder Dynamics 365 Admin.
• Im Power Platform Admin Center findest du die DLP Policies unter “Data policies”.
• Dort kannst du eine neue Policy anlegen, bestehende bearbeiten oder löschen.

• Erstellst du eine neue Policy vergibst du einen Namen.
• Danach wählst du einen oder mehrere Connectors aus die für deine Policy relevant sind und definierst in welchen Abschnitt dieser Connector soll.

• Standardmässig sind alle Connectors in Non-Business. Du kannst den Connector nach Business verschieben, oder blockieren. Als Beispiel könntest du in der Policy SharePoint und Salesforce in den Abschnitt Business verschieben, Outlook.com im Abschnitt Non-Business belassen und Twitter blockieren. Das Ergebnis ist SharePoint könnte Daten mit Salesforce austauschen, jedoch keine Daten mit Outlook.com, und alles mit Twitter wäre gänzlich blockiert.

• Im nächsten Schritt definierst du für welche Umgebungen die Policy gilt. Eine DLP Policy bindet man entweder an alle Umgebungen, mehrere definierte Umgebungen oder alle ausser bestimmte Umgebungen.

• Wurde alles ausgewählt zeigt der Assistent eine kurze Zusammenfassung und du kannst die Policy erstellen.
• In der Übersicht aller Policies findest du deine neue Policy mit kurzen Details.

---

Via PowerShell

Die oben beschriebenen Schritte können genauso via PowerShell durchgeführt werden.

• Im Tenant benötigt der Account die Rolle Global Admin oder Dynamics 365 Admin um per PowerShell eine Verbindung herzustellen.
• Für die Administration ist das PowerShell Modul Microsoft.PowerApps.Administration.PowerShell erforderlich.
• Du baust mit Add-PowerAppsAccount eine Verbindung zu deinem Tenant auf. Es wird dich nach deinen Anmeldedaten fragen.

Add-PowerAppsAccount

• Mit Get-DlpPolicy kannst du alle bestehenden Policies abrufen.
  Hinweis: Solltest du in der PowerShell Instanz noch ein Exchange Online Module einsetzen solltest du vorsichtig sein. Es gibt auch dort ein Command Get-DlpPolicy.

• Im PowerShell Ergebnis siehst du die Policy inkl. den Abschnitten Business (= Confidential), Non-Business (= General) und Blocked.
• Mit New-DlpPolicy kannst du eine neue DLP Policy anlegen.
  Hinweis: Damit es einfacher ist die Connectors via PowerShell auszulesen sollte es zumindest eine Policy geben bei der in Non-Business alle verfügbaren Connectors aufgelistet sind. Die Guid der Policy benötigst du.
  
  
• Eine neue DLP Policy wird in 4 Schritten angelegt.
  1. Eine neue, leere Policy erstellen.
  2. Die Connectors für Business, Non-Business und Blocked vorbereiten.
  3. Optional: Falls die Policy nur einzelnen Umgebung zugeordnet wird die Umgebungen definieren.
  4. Die leere Policy mit den Connectors (und Umgebungen) aktualisieren.

Im aufgeführten Beispiel lege ich eine Policy an die eine Kommunikation zwischen SharePoint, OneDrive und Exchange Online erlaubt, keine Non-Business Connectors inkludiert und den Connector von Facebook blockiert. Die Policy Guid musst du mit der oben erwähnten Guid ersetzen.

• War alles erfolgreich findest du in den DLP Policies neu zwei Einträge mit den definierten Connectors. 👍