Споделяне чрез

Създаване на правила за защита от загуба на данни (DLP)

  • Статия

Данните на организацията са от решаващо значение за нейния успех. Неговите данни трябва да бъдат лесно достъпни за вземане на решения, но в същото време защитени, така че да не се споделят с аудитория, която не трябва да има достъп до тях. За да защитите вашите бизнес данни, Power Automate ви дава възможност да създавате и налагате политики, които определят кои конектори могат да имат достъп и да ги споделят. Правилата, които определят как могат да се споделят данни, се наричат политики за предотвратяване на загуба на данни (DLP).

Администраторите контролират DLP политиките. Ако DLP правила блокират изпълнението на потоците ви, свържете се с администратора си.

Научете повече за защитата на вашите данни с Power Platform правилата за защита от загуба на данни (DLP).

Защита от загуба на данни за потоци на работния плот

Power Automate ви позволява да създавате и прилагате DLP правила, които класифицират модулите на потока за работен плот и действията на отделните модули като бизнес, небизнес или блокирани. Тази категоризация не позволява на производителите да комбинират модули и действия от различни категории в поток за работен плот или между поток за облак и настолните потоци, които използва.

Важно

  • Прилагането на DLP правилата е достъпно само за Управлявани среди . От септември 2024 г. само потоците на работния плот, които се намират в Управлявани среди, ще бъдат оценявани от DLP правила.
  • DLP за потоци на работния плот е наличен за версии на Power Automate за настолен компютър 2.14.173.21294 или по-нови. Ако използвате по-стара версия, деинсталирайте я и актуализирайте до най-новата версия.

Преглед на групи за действие на поток за работен плот

По подразбиране групите за действие на поток за работен плот не се появяват, когато създавате DLP правила. Трябва да включите настройката Показване на действията на потока за работен плот в DLP правилата в настройките на клиента.

Ако сте избрали публичен преглед, действията за поток за работен плот в настройката DLP вече са активирани и не могат да бъдат променени.

  1. Влезте в центъра за администриране на Power Platform.

  2. В левия страничен панел изберете Настройки.

  3. На страницата Настройки на клиента изберете поток за работен плот действия в DLP.

  4. Включете Показване на действията на потока за работен плот в DLP правила и след това изберете Запиши.

    Екранна снимка на настройката DLP за потоци на работния плот в центъра за администриране Power Platform .

Вече можете да класифицирате групи за действие на поток за работен плот, когато създавате правила за данни.

Създаване на DLP правило с ограничения на потока за работен плот

Когато администраторите редактират или създават правила, групите за действие на потока на работния плот се добавят към групата по подразбиране и правилата се прилагат, след като бъдат записани. Правилото се спира, ако групата по подразбиране е зададена на Блокирана и потоците на работния плот се изпълняват в целевите среди.

Можете да управлявате вашите DLP правила за потоци на работния плот по същия начин, по който управлявате конекторите и действията на поток за облак. Модулите за поток за работен плот са групи от подобни действия, както е показано в Power Automate потребителския интерфейс за работния плот. Модулът е подобен на конекторите, които се използват в облачни потоци. Можете да дефинирате DLP политика, която управлява както модулите за поток за работен плот, така и конекторите за поток за облак. Някои основни модули, като променливи, не могат да се управляват в обхвата на DLP политиката, тъй като почти всички потоци на работния плот трябва да ги използват. Научете повече за основите на DLP политиките и как да ги създадете.

Когато вашият клиент е включен в потребителското изживяване в Power Platform, вашите администратори автоматично виждат новите модули за поток за работен плот в групата данни по подразбиране на DLP политиката, която създават или актуализират.

Екранна снимка на DLP политика в процес на изграждане в центъра за администриране Power Platform .

Предупреждение

Когато модулите за поток за работен плот се добавят към DLP правилата, потоците на работния плот на вашия клиент се оценяват спрямо тях и се спират, ако не съответстват. Ако вашият администратор създаде или актуализира DLP правилата, без да забележи новите модули, потоците на работния плот могат да бъдат неочаквано спрени.

Управление на потоци на работния плот извън DLP

Подробният контрол върху използването на потоци на работния плот на всички машини, както е описано в предишните раздели, се прилага само за Управлявани среди. Имате и други опции за управление на потоците на работния плот.

  • Възможност за управление на оркестрацията на поток за работен плот: Конекторът за поток за работен плот може да се управлява във вашите правила като всеки друг конектор във всички среди.

  • Възможност за управление на използването на Power Automate за настолен компютър: Можете да управлявате Power Automate потоци за работен плот чрез GPO. Това управление ви позволява да включвате или изключвате потоци на работния плот за действия като ограничаване до набор от среди или региони, ограничаване на използването на типове акаунти и ограничаване на ръчните актуализации.

Научете повече за управлението в Power Automate.

поток за работен плот модули в DLP

Следните модули за поток за работен плот са налични в DLP:

  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebАвтоматизация Автоматизация на браузъра
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD сесия
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Клипборд
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Компресия
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Криптография
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • доставчици/Microsoft.ProcessSimple/operationGroups/База данни DesktopFlow.Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Имейл
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File файл
  • доставчици/Microsoft.ProcessSimple/operationGroups/Папка DesktopFlow.Folder
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Показване на полета за съобщения
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Мишка и клавиатура
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Поток на изпълнение
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Емулация на терминал
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIАавтоматизация на потребителския интерфейс
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Услуги на Windows
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Поддръжка на PowerShell за модули за работен плот

Ако не искате да включвате настройката Показване на действията на потока за работен плот в DLP правила , можете да използвате следния скрипт на PowerShell, за да добавите всички модули на поток за работен плот към групата Блокирани на DLP правила. Ако вече сте включили настройката, не е необходимо да използвате този скрипт.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Следният скрипт на PowerShell добавя два конкретни модула за поток за работен плот към групата данни по подразбиране на DLP правила.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Скрипт на PowerShell за отказ от потоци на работния плот

Ако не искате да използвате функцията DLP за потоци на работния плот, можете да използвате следния скрипт на PowerShell, за да се откажете.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

След като правилата са активирани

Ако потребителите ви не разполагат с най-новите Power Automate данни за компютри, прилагането на правилата за защита от достъп е ограничено. Те не виждат съобщения за грешки по време на проектиране, когато се опитват да изпълнят, отстранят грешки или запишат потоци на работния плот, които нарушават DLP правилата. Заданията във фонов режим периодично сканират потоци на работния плот в средата и автоматично спират всички, които нарушават DLP правилата. Потребителите не могат да изпълняват потоци на работния плот от поток за облак, ако потокът за работен плот нарушава правилата за предотвратяване на загуба на данни.

Производителите, които разполагат с най-новите Power Automate версии за настолни компютри, не могат да отстраняват грешки, да изпълняват или записват потоци на работния плот, които нарушават правилата за DLP. Те също така не могат да изберат поток за работен плот, който е в нарушение на DLP политика от поток за облак стъпка.

Прилагане и спиране на DLP

  1. Когато създавате или редактирате поток, Power Automate го оценява спрямо текущия набор от DLP правила.
    1. Прилагането на потоци без дъщерен поток, което е 99% от потоците, е синхронно и се случва в реално време.
    2. Прилагането на поток с дъщерен поток е асинхронно, тъй като дъщерните потоци също трябва да бъдат оценени и се случват в рамките на 24 часа.
  2. Когато създавате или променяте DLP правила, фонова задача сканира всички активни потоци в средата, оценява ги и след това спира потоците, които нарушават правилата. Прилагането е асинхронно и се извършва в рамките на 24 часа. Ако възникне промяна на DLP правилата, когато се оценява предишната DLP политика, тогава оценката се рестартира, за да се увери, че най-новите правила са приложени.
  3. Всяка седмица фонова задача извършва проверка на последователността на всички активни потоци в средата спрямо DLP правилата, за да потвърди, че проверка на DLP правилата не е пропусната.

Повторно активиране на DLP

Ако заданието за прилагане на DLP намери поток за работен плот, който вече не нарушава никакви DLP правила, тогава фоновата задача автоматично премахва спирането. Въпреки това, заданието за прилагане на DLP не отменя автоматично потоците в облака.

Процес на промяна на прилагането на DLP

Периодично прилагането на DLP трябва да се променя, тъй като се въвеждат нови DLP възможности или корекция на грешки или се запълва пропуск в прилагането. Когато промените могат да засегнат съществуващи потоци, приложете следния поетапен процес за управление на промените в прилагането на DLP:

  1. Разследване: Потвърдете необходимостта от промяна в прилагането на DLP и проучете спецификата на промяната.

  2. Учене: Приложете промяната и съберете данни за обхвата на ефектите от промяната. Документирайте промените в прилагането на DLP, за да обясните обхвата на промяната. Ако данните показват, че клиентите ще бъдат силно засегнати, тогава може да бъде изпратено съобщение до тези клиенти, за да ги уведоми, че предстои промяна. Ако промяната има широко въздействие върху съществуващите потоци, тогава на по-късен етап от фазата на обучение, когато фоновата задача за прилагане на DLP установи нарушение в съществуващ поток, Power Automate уведомява собствениците на потока, че потокът ще бъде спрян, така че те да имат повече време да реагират.

  3. Само известия: Включете известията по имейл само за нарушения на DLP, така че собствениците на съществуващи потоци да получават известия за предстоящата промяна в прилагането на DLP. Когато заданието за прилагане на DLP във фонов режим открие нарушение в съществуващ поток, уведомете собствениците на потока, че потокът ще бъде спрян. Този механизъм работи ежеседмично.

  4. Прилагане по време на проектиране: Включете прилагането по време на проектиране на нарушения на DLP, така че собствениците на съществуващи потоци да бъдат уведомявани за предстоящата промяна в прилагането на DLP, но всички потоци, които се променят, получават пълна оценка на DLP правилата по време на проектирането. Това е известно още като меко прилагане.

    • Време за проектиране: Когато потокът се актуализира и запази, използвайте актуализираното DLP прилагане и спрете потока, ако е необходимо, така че производителят да е незабавно наясно с прилагането.

    • Фонов процес: Когато заданието за прилагане на DLP във фонов режим открие нарушение в поток, уведомете собствениците на потока, че потокът ще бъде спрян. Този механизъм включва създаване или промени в DLP политиката и проверките за съгласуваност.

  5. Пълно прилагане: Включете пълното прилагане на нарушенията на DLP, така че правилата за DLP да се прилагат изцяло за всички съществуващи и нови потоци. DLP политиките се прилагат напълно, когато потоците се записват по време на оценка на заданието във фонов режим за прилагане на DLP. Това е известно още като твърдо прилагане.

Списък за промени в прилагането на DLP

Таблицата по-долу изброява промените в прилагането на DLP и датата, на която промените са влезли в сила.

Данни Описание Причина за промяна Етап Наличност по време на проектиране* Пълна наличност на принудително изпълнение*
Май 2022 г. Прилагане на работа на фона на делегирано упълномощаване DLP политиките се прилагат върху потоци, които използват делегирано упълномощаване, докато потокът се записва, но не и по време на оценка на заданието във фонов режим. Пълен 2 юни 2022 г. 21 юли 2022 г.
Май 2022 г. Заявка за принудително задействане на apiConnection DLP политиките не са приложени правилно за някои тригери. Засегнатите тригери имат type=Request и kind=apiConnection. Много от засегнатите тригери са незабавни тригери, които се използват в незабавни или ръчно задействани потоци. Засегнатите тригери включват следното.
- Power BI: Power BI бутон щракнат
- Отбори: От кутията за съставяне (V2)
- OneDrive за фирми: За избран файл
- Dataverse: Когато стъпка на потока се изпълнява от поток на бизнес процес
- Dataverse (наследен): Когато е избран запис
- Excel Online (бизнес): За избран ред
- SharePoint: За избран елемент
- Microsoft Copilot Studio: Когато Copilot Studio извиква поток (V2)		 Пълен 2 юни 2022 г. 25 август 2022 г.
Юли 2022 г. Налагане на DLP правила за дъщерни потоци Разрешете прилагането на DLP политики, за да включите дъщерни потоци. Ако се открие нарушение някъде в дървото на потока, родителски поток се спира. След като дъщерен поток бъде редактиран и записан, за да се премахне нарушението, родителските потоци могат да бъдат записани отново или активирани, за да се изпълни отново оценката на DLP правилата. Промяната, за да не се блокират вече дъщерните потоци, когато HTTP конекторът е блокиран, ще се разгърне заедно с пълно прилагане на DLP правилата върху дъщерните потоци. След като е налице пълно прилагане, принудителното изпълнение ще включва потоци на дъщерния работен плот. Пълен 14 февруари 2023 Март 2023 г.
януари 2023 Налагане на DLP правила в потоци на дъщерния работен плот Разрешете прилагането на DLP правила, за да включите потоци на дъщерния работен плот. Ако се открие нарушение някъде в дървото на потока, родителски поток на работния плот се спира. След като дъщерният поток за работен плот бъде редактиран и записан, за да се отстрани нарушението, родителските потоци на работния плот автоматично се активират отново. Пълен - Август 2023 г.

*Графикът за наличност може да се промени и зависи от пускането.

Спиране на потока за нарушение на DLP

Спрените потоци се показват като спрени в портала за Power Automate създаване и центъра за Power Platform администриране. Когато поток се връща чрез действие на API, PowerShell или списъка с потоци на Power Automate конектора за управление "като администратор", потокът има State=Suspended,FlowSuspensionReason =CompanyDlpViolation и стойност FlowSuspensionTime , показваща кога потокът е спрян.

Известни ограничения

Научете за известните проблеми с DLP.