Eine Data Loss Prevention-Richtlinie in der Power Platform teilt jeden Connector in eine von drei Gruppen: Business, Non-Business oder Blocked. Connectoren aus unterschiedlichen Gruppen dürfen nicht im selben Flow/derselben App kombiniert werden. Klingt simpel – wird aber bei 400+ Connectoren zur strategischen Aufgabe: Zu streng, und die Fachbereiche können nicht arbeiten. Zu locker, und schützenswerte Daten fließen in Consumer-Dienste ab.
Nicht Connector für Connector – sondern nach Datenklasse
Der Fehler ist, sich durch die alphabetische Connector-Liste zu arbeiten. Tragfähig wird es, wenn man zuerst die Datenklassen und Vertrauensstufen definiert und dann Connectoren dagegen einsortiert:
- Interne, freigegebene Microsoft-/Unternehmensdienste (SharePoint, Outlook, Teams, Dataverse) → Business.
- Dienste mit legitimem, aber begrenztem Einsatzzweck → bewusst in eine eigene, kontrollierte Gruppe.
- Consumer-/Social-/nicht geprüfte Dritt-Connectoren → Blocked, bis ein Bedarf geprüft und freigegeben ist.
Entscheidungsbäume machen es wiederholbar
Ein dokumentierter Entscheidungsbaum („Verarbeitet der Connector personenbezogene/schützenswerte Daten? Ist der Anbieter geprüft? Gibt es einen Fachbedarf?") sorgt dafür, dass auch neue Connectoren – und es kommen laufend welche dazu – nach denselben Kriterien eingeordnet werden. Governance ist erst dann nachhaltig, wenn die Einordnung nicht am Wissen einer einzelnen Person hängt.
Dokumentation ist Teil der Richtlinie
Eine DLP-Richtlinie ohne begleitende Dokumentation der Einordnungslogik ist ein Blackbox-Regelwerk, das beim ersten Einspruch eines Fachbereichs zusammenbricht. Die Kategorisierung von 400+ Connectoren wird nur dann zum belastbaren Governance-Baustein, wenn Kriterien, Entscheidungsbäume und Ausnahmen schriftlich hinterlegt sind.