Creació de la norma de prevenció de pèrdua de dades (DLP)

Les dades d'una organització són importants per al seu èxit. Les seves dades han d'estar fàcilment disponibles per a la presa de decisions, però al mateix temps, les dades s'han de protegir perquè no es comparteixin amb públics que no hi haurien de tenir accés. Per protegir les vostres dades empresarials, Power Automate us ofereix la possibilitat de crear i aplicar polítiques que defineixen quins connectors poden accedir-hi i compartir-hi. Les normes que defineixen com es poden compartir les dades s'anomenen polítiques de prevenció de pèrdua de dades (DLP).

Els administradors controlen les polítiques DLP. Si una norma DLP bloqueja l'execució dels fluxos, poseu-vos en contacte amb l'administrador.

Obteniu més informació sobre com podeu protegir les vostres dades a Power Platform les polítiques de prevenció de pèrdua de dades (DLP).

Prevenció de pèrdua de dades per a fluxos d'escriptori

Power Automate us permet crear i aplicar polítiques DLP que classifiquen els mòduls de flux d'escriptori i les accions de mòduls individuals com a empresarials, no empresarials o bloquejats. Aquesta categorització impedeix que els creadors combinin mòduls i accions de diferents categories en un flux d'escriptori o entre un flux de núvol i els fluxos d'escriptori que utilitza.

Important

  • L'aplicació de polítiques DLP per als fluxos d'escriptori està disponible en tots els entorns.
  • DLP per a fluxos d'escriptori està disponible per a versions de Power Automate per a escriptori 2.14.173.21294 o posteriors. Si utilitzeu una versió anterior, desinstal·leu-la i actualitzeu-la a la versió més recent.

Visualitzar grups d'accions de flux d'escriptori

Per defecte, els grups d'accions de flux d'escriptori no apareixen quan creeu una norma DLP. Heu d'activar la configuració Mostra les accions de flux d'escriptori a les normes DLP a la configuració de l'inquilí.

Si heu optat per la visualització prèvia pública, la configuració Accions de flux d'escriptori a DLP ja està habilitada i no es pot canviar.

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. Al tauler lateral esquerre, seleccioneu Configuració.

  3. A la pàgina Configuració de l'inquilí , seleccioneu Accions de flux d'escriptori a DLP .

  4. Activeu Mostra les accions de flux d'escriptori a les normes DLP i, a continuació, seleccioneu Desa.

    Captura de pantalla de la configuració DLP per als fluxos d'escriptori al centre d'administració Power Platform .

Ara podeu classificar els grups d'accions de flux d'escriptori quan creeu una política de dades.

Crear una norma DLP amb restriccions de flux d'escriptori

Quan els administradors editen o creen una política, els grups d'accions de flux d'escriptori s'afegeixen al grup per defecte i la norma s'aplica després de desar-la. La norma se suspèn si el grup per defecte està definit com a Bloquejat i els fluxos d'escriptori s'executen als entorns de destinació.

Podeu administrar les polítiques DLP per als fluxos d'escriptori de la mateixa manera que administreu els connectors i les accions de flux al núvol. Els mòduls de flux d'escriptori són grups d'accions similars que es mostren a la interfície d'usuari de l'escriptori Power Automate . Un mòdul és similar als connectors que s'utilitzen en fluxos de núvol. Podeu definir una política DLP que administri tant els mòduls de flux d'escriptori com els connectors de flux de núvol. Alguns mòduls bàsics, com ara les variables, no es poden administrar en l'àmbit de la política DLP perquè gairebé tots els fluxos d'escriptori els han d'utilitzar. Obteniu més informació sobre els fonaments de les normes DLP i com crear-les.

Quan l'inquilí opta per l'experiència d'usuari a la Power Platform, els administradors veuen automàticament els nous mòduls de flux d'escriptori al grup de dades per defecte de la norma DLP que estan creant o actualitzant.

Captura de pantalla d'una norma DLP en construcció al centre d'administració Power Platform .

Advertiment

Quan s'afegeixen mòduls de flux d'escriptori a les normes DLP, els fluxos d'escriptori de l'inquilí s'avaluen en funció d'ells i se suspenen si no compleixen. Si l'administrador crea o actualitza la norma DLP sense adonar-se dels mòduls nous, els fluxos d'escriptori es poden suspendre inesperadament.

Governar els fluxos d'escriptori fora de DLP

Teniu altres opcions per controlar els fluxos d'escriptori.

  • Capacitat per governar l'orquestració del flux d'escriptori: el connector de flux d'escriptori es pot governar a les vostres polítiques com qualsevol altre connector en tots els entorns.

  • Capacitat de controlar l'ús de per a l'escriptori Power Automate : podeu governarels fluxos d'escriptori mitjançant objectes d'estratègia de Power Automate grup (GPO). Aquesta governança us permet activar o desactivar els fluxos d'escriptori per a accions com ara restringir a un conjunt d'entorns o regions, limitar l'ús de tipus de comptes i restringir les actualitzacions manuals.

Obteniu més informació sobre la governança a Power Automate.

Mòduls de flux d'escriptori a DLP

Els mòduls de flux d'escriptori següents estan disponibles a DLP:

  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatització del navegador
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sessió CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Porta-retalls del porta-retalls
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compressió
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Criptografia
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Base de dades
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correu electrònic
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Carpeta
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitiu Google cognitiu
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitiu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display quadres de missatge
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Ratolí i teclat
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PDF PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variables secretes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Flux d'execució
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulació del terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatització de la interfície d'usuari
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serveis del Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Suport del PowerShell per als mòduls de flux d'escriptori

Si no voleu activar la configuració Mostra les accions de flux d'escriptori a les polítiques DLP, podeu utilitzar l'script del PowerShell següent per afegir tots els mòduls de flux d'escriptori al grup Bloquejat d'una norma DLP. Si ja heu activat la configuració, no cal que utilitzeu aquest script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

El següent script del PowerShell afegeix dos mòduls de flux d'escriptori específics al grup de dades per defecte d'una norma DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script del PowerShell per desactivar els fluxos d'escriptori

Si no voleu utilitzar la característica DLP per als fluxos d'escriptori, podeu utilitzar l'script del PowerShell següent per desactivar-lo.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Després d'habilitar la norma

Si els usuaris no tenen la versió més recent Power Automate per a l'ordinador, l'aplicació de la norma DLP és limitada. No veuen missatges d'error en temps de disseny quan intenten executar, depurar o desar fluxos d'escriptori que infringeixen les normes DLP. Les feines en segon pla analitzen periòdicament els fluxos d'escriptori a l'entorn i suspenen automàticament els que infringeixin les polítiques DLP. Els usuaris no poden executar fluxos d'escriptori des d'un flux de núvol si el flux d'escriptori infringeix alguna norma de prevenció de pèrdua de dades.

Els creadors que tenen l'última versió Power Automate per a escriptori no poden depurar, executar ni desar fluxos d'escriptori que infringeixin la política DLP. Tampoc poden seleccionar un flux d'escriptori que infringeixi una norma DLP d'un pas de flux al núvol.

Aplicació i suspensió de DLP

  1. Quan creeu o editeu un flux, Power Automate l'avaluarà amb el conjunt actual de normes DLP.
    1. L'aplicació de fluxos sense un flux secundari, que és el 99% dels fluxos, és síncrona i es produeix en temps real.
    2. L'aplicació d'un flux amb un flux secundari és asíncrona, ja que els fluxos secundaris també s'han d'avaluar i es produeix en un termini de 24 hores.
  2. Quan creeu o canvieu una norma DLP, una feina en segon pla analitza tots els fluxos actius de l'entorn, els avalua i, a continuació, suspèn els fluxos que infringeixen la norma. L'aplicació és asíncrona i es produeix en 24 hores. Si es produeix un canvi de norma DLP quan s'està avaluant la norma DLP anterior, l'avaluació es reinicia per assegurar-se que s'apliquen les normes més recents.
  3. Setmanalment, una feina en segon pla fa una comprovació de coherència de tots els fluxos actius de l'entorn amb les polítiques DLP per confirmar que no s'ha perdut una comprovació de la norma DLP.

Reactivació DLP

Si la feina en segon pla d'aplicació de DLP troba un flux d'escriptori que ja no infringeix cap norma DLP, la feina en segon pla suprimeix automàticament la suspensió. Tanmateix, la feina en segon pla d'aplicació de DLP no anul·la automàticament la suspensió dels fluxos de núvol.

Procés de canvi d'aplicació de DLP

Periòdicament, l'aplicació de DLP ha de canviar perquè es llancen noves capacitats DLP o es corregeix un error o s'omple un buit d'aplicació. Quan els canvis puguin afectar els fluxos existents, apliqueu el següent procés d'administració de canvis d'aplicació DLP per etapes:

  1. Investigació: confirmeu la necessitat d'un canvi d'aplicació de DLP i investigueu els detalls del canvi.

  2. Aprenentatge: Implementeu el canvi i recopileu dades sobre l'amplitud dels efectes del canvi. Documenteu els canvis d'aplicació de DLP per explicar l'abast del canvi. Si les dades suggereixen que els clients es veuran molt afectats, es pot enviar una comunicació a aquests clients per fer-los saber que s'acosta un canvi. Si el canvi té un impacte ampli en els fluxos existents, en una etapa posterior de la fase d'aprenentatge, quan la feina d'aplicació de DLP en segon pla troba una infracció en un flux existent, Power Automate notifica als propietaris del flux que el flux se suspendrà, de manera que tinguin més temps per respondre.

  3. Només notifica: activeu les notificacions per correu electrònic només per a infraccions de DLP perquè els propietaris de fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP. Quan la feina d'aplicació de DLP en segon pla trobi una infracció en un flux existent, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme s'executa setmanalment.

  4. Aplicació en temps de disseny: activeu l'aplicació en temps de disseny de les infraccions de DLP perquè els propietaris dels fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP, però els fluxos que es canviïn rebin una avaluació completa de la norma DLP en temps de disseny. Això també es coneix com a aplicació suau.

    • En temps de disseny: quan s'actualitza i es desa un flux, utilitzeu l'aplicació DLP actualitzada i suspengueu el flux si cal perquè el creador sigui immediatament conscient de l'aplicació.

    • Procés en segon pla: quan la feina d'aplicació de DLP en segon pla trobi una infracció en un flux, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme inclou la creació o canvis a la norma DLP i comprovacions de coherència.

  5. Aplicació completa: activeu l'aplicació completa de les infraccions de DLP, de manera que les polítiques de DLP s'apliquin completament a tots els fluxos existents i nous. Les normes DLP s'apliquen completament quan els fluxos es desen durant l'avaluació de la feina en segon pla d'aplicació DLP. Això també es coneix com a aplicació dura.

Llista de canvis d'aplicació de DLP

A la taula següent s'enumeren els canvis d'aplicació de DLP i la data d'entrada en vigor dels canvis.

Date Descripció Motiu del canvi Fase Disponibilitat d'aplicació en temps de disseny* Disponibilitat completa de l'aplicació*
Maig 2022 Aplicació de treballs en segon pla d'autorització delegada Les normes DLP s'apliquen als fluxos que utilitzen autorització delegada mentre es desa el flux, però no durant l'avaluació de la feina en segon pla. Complet 2 de juny de 2022 21 de juliol de 2022
Maig 2022 Sol·licitar l'aplicació de l'activador apiConnection Les polítiques DLP no s'han aplicat correctament per a alguns triggers. Els triggers afectats tenen type=Request i kind=apiConnection. Molts dels desencadenants afectats són disparadors instantanis, que s'utilitzen en fluxos instantanis o manuals. Els desencadenants afectats inclouen els següents.
- Power BI: Power BI s'ha fet clic al botó
- Equips: Des del quadre de redacció (V2)
- OneDrive per a empreses: per a un fitxer seleccionat
- Dataverse: Quan s'executa un pas de flux des d'un flux de procés de negoci
- Dataverse (heretat): quan se selecciona un registre
- Excel Online (Business): per a una fila seleccionada
- SharePoint: Per a un element seleccionat
- Microsoft Copilot Studio: Quan Copilot Studio crida un flux (V2)		 Complet 2 de juny de 2022 25 d'agost del 2022
Juliol del 2022 Aplicar les normes DLP als fluxos secundaris Habiliteu l'aplicació de les polítiques DLP per incloure fluxos secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de flux, el flux principal se suspèn. Després d'editar i desar el flux secundari per eliminar la infracció, els fluxos principals es poden tornar a desar o reactivar per tornar a executar l'avaluació de la norma DLP. Un canvi per deixar de bloquejar els fluxos secundaris quan el connector HTTP està bloquejat es desplegarà juntament amb l'aplicació completa de les polítiques DLP als fluxos secundaris. Un cop l'aplicació completa estigui disponible, l'aplicació inclou fluxos d'escriptori secundaris. Complet 14 de febrer de 2023 Març de 2023
Gener de 2023 Aplicar polítiques DLP als fluxos d'escriptori secundaris Habiliteu l'aplicació de les polítiques DLP per incloure fluxos d'escriptori secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de flux, el flux principal de l'escriptori se suspèn. Després d'editar i desar el flux d'escriptori secundari per eliminar la infracció, els fluxos d'escriptori principal es reactiven automàticament. Complet - Agost 2023
Octubre 2024 Aplicar el control de l'acció del connector als activadors i a les accions internes Ampliar l'aplicació del control d'acció del connector per garantir que els activadors i les accions internes estiguin coberts. Enumereu-los al Power Platform centre d'administració i apliqueu el bloqueig si es fa referència individualment a les normes DLP o si la norma DLP no els inclou com es permet. Informació 27 de gener de 2025 10 de febrer de 2025

*El calendari de disponibilitat pot canviar i depèn del llançament.

Suspensió del flux per infracció de DLP

Els fluxos suspesos es mostren com a suspesos al portal del Power Automate creador i al centre d'administració Power Platform . Quan es retorna un flux a través d'una API, el PowerShell o l'acció de la llista de connectors d'administració Power Automate "com a administrador", el flux téState=Suspended,FlowSuspensionReason =CompanyDlpViolation i unvalor FlowSuspensionTime que indica quan es va suspendre el flux.

Limitacions conegudes

Obteniu informació sobre els problemes coneguts de DLP.

  • Last updated on