Establir una norma per evitar la pèrdua de dades

  • Article

Les dades d'una organització són importants per al seu èxit. Les seves dades han d'estar fàcilment disponibles per a la presa de decisions, però alhora protegides perquè no es comparteixin amb públics que no hi haurien de tenir accés. Per protegir les dades de la vostra empresa, Power Automate us ofereix la possibilitat de crear i aplicar polítiques que defineixin quins connectors hi poden accedir i compartir-les. Les polítiques que defineixen com es poden compartir les dades s'anomenen polítiques de prevenció de pèrdua de dades (DLP).

Els administradors controlen les polítiques DLP. Si una norma DLP impedeix que els fluxos s'executin, contacteu amb l'administrador.

Obteniu més informació sobre com podeu protegir les vostres dades amb les polítiques de prevenció de pèrdua de dades.

Prevenció de pèrdua de dades per a fluxos d'escriptori

Power Automate us permet crear i fer complir polítiques DLP que classifiquen els mòduls de flux d'escriptori i les accions de mòduls individuals com a Empresarial, No empresarial o Bloquejat. Aquesta categorització evita que els creadors combinin mòduls i accions de diferents categories en un flux d'escriptori o entre un flux de núvol i els fluxos d'escriptori que utilitza.

Important

  • L'aplicació de les normes DLP només està disponible per a entorns administrats. A partir del setembre de 2024, les polítiques DLP avaluaran només els fluxos d'escriptori ubicats en entorns administrats.
  • El DLP per a fluxos d'escriptori està disponible per a versions d'escriptori Power Automate 2.14.173.21294 o posteriors. Si fas servir una versió anterior, desinstal·la-la i actualitza-la a la versió més recent.

Veure grups d'accions de flux d'escriptori

Per defecte, els grups d'accions del flux d'escriptori no apareixen quan creeu una norma DLP. Heu d'activar l'opció Mostra les accions de flux d'escriptori a la configuració de les normes DLP a la configuració de l'inquilí.

Si heu optat per la visualització prèvia pública, les accions del flux d'escriptori a la configuració DLP ja estan habilitades i no es poden canviar.

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. A la subfinestra lateral esquerra, seleccioneu Configuració.

  3. A la pàgina Configuració de l'inquilí , seleccioneu Accions de flux d'escriptori a DLP .

  4. Activeu Mostra les accions de flux d'escriptori a les normes DLP i, a continuació, seleccioneu Desa.

    Captura de pantalla de la configuració DLP per als fluxos d'escriptori al centre d'administració Power Platform .

Ara podeu classificar els grups d'acció del flux d'escriptori quan creeu una norma de dades.

Crear una política DLP amb restriccions de flux d'escriptori

Quan els administradors editen o creen una política, els grups d'accions de flux d'escriptori s'afegeixen al grup per defecte i la política s'aplica després de desar-la. La norma se suspèn si el grup per defecte està definit com a Bloquejat i els fluxos d'escriptori s'executen als entorns de destinació.

Podeu administrar les normes DLP per als fluxos d'escriptori de la mateixa manera que administreu els connectors i les accions del flux al núvol. Els mòduls de flux d'escriptori són grups d'accions similars a les que es mostren a la interfície d'usuari per a l'escriptori Power Automate . Un mòdul és similar als connectors que s'utilitzen en fluxos de núvols. Podeu definir una política DLP que gestioni tant els mòduls de flux d'escriptori com els connectors de flux al núvol. Alguns mòduls bàsics, com ara Variables, no es poden gestionar en l'àmbit de la política DLP perquè gairebé tots els fluxos d'escriptori necessiten utilitzar-los. Obteniu més informació sobre els fonaments de les polítiques DLP i sobre com podeu crear-los.

Quan el vostre inquilí s'activa a l'experiència d'usuari a la Power Platform, els administradors veuran automàticament els nous mòduls de flux d'escriptori al grup de dades per defecte de la norma DLP que estan creant o actualitzant.

Captura de pantalla d'una política de DLP en construcció al centre d'administració Power Platform .

Advertiment

Quan s'afegeixen mòduls de flux d'escriptori a les normes DLP, els fluxos d'escriptori de l'inquilí s'avaluen i se suspenen si no compleixen els requisits. Si l'administrador crea o actualitza la norma DLP sense adonar-se dels mòduls nous, els fluxos d'escriptori es poden suspendre inesperadament.

Governar els fluxos d'escriptori fora de DLP

El control granular sobre l'ús de fluxos d'escriptori a totes les màquines tal com es descriu a les seccions anteriors només s'aplica als entorns administrats. Teniu altres opcions per governar els fluxos d'escriptori.

  • Capacitat per governar l'orquestració del flux d'escriptori: El connector de flux d'escriptori es pot regir a les vostres polítiques com qualsevol altre connector en tots els entorns.

  • Capacitat per governar l'ús de per a l'escriptori Power Automate : Podeu governarels fluxos d'escriptori a través de Power Automate GPO. Aquesta governança us permet activar o desactivar els fluxos d'escriptori per a accions com ara restringir a un conjunt d'entorns o regions, limitar l'ús de tipus de comptes i restringir les actualitzacions manuals.

Obteniu més informació sobre la governança en Power Automate.

Mòduls de flux d'escriptori en DLP

Els següents mòduls de flux d'escriptori estan disponibles en DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatització del navegador
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sessió CMD
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Porta-retalls
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compressió
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Criptografia
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Correu electrònic
  • Proveïdors / Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleGoogle cognitiu
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitiu
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Quadres de missatge
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Ratolí i teclat
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • Proveïdors / Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Executar flux
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • Proveïdors / Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation emulació de terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serveis del Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Compatibilitat amb el PowerShell per a mòduls de flux d'escriptori

Si no voleu activar l'opció Mostra les accions de flux de l'escriptori a la configuració Normes DLP, podeu utilitzar l'script del PowerShell següent per afegir tots els mòduls de flux d'escriptori al grup Bloquejat d'una norma DLP. Si ja heu activat aquesta opció de configuració, no cal que utilitzeu aquesta seqüència.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

El següent script del PowerShell afegeix dos mòduls de flux d'escriptori específics al grup de dades per defecte d'una norma DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script del PowerShell per desactivar els fluxos d'escriptori

Si no voleu utilitzar la característica DLP per a fluxos d'escriptori, podeu utilitzar la següent seqüència del PowerShell per desactivar-la.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Un cop activada la política

Si els usuaris no tenen les últimes novetats Power Automate per a ordinadors, l'aplicació de les polítiques DLP és limitada. No veuen missatges d'error en temps de disseny quan intenten executar, depurar o desar fluxos d'escriptori que infringeixen les polítiques DLP. Els treballs en segon pla escanegen periòdicament els fluxos d'escriptori de l'entorn i suspenen automàticament qualsevol que infringeixi les polítiques de DLP. Els usuaris no poden executar fluxos d'escriptori des d'un flux de núvol si el flux d'escriptori infringeix qualsevol norma de prevenció de pèrdua de dades.

Els creadors que tenen les últimes novetats Power Automate per a l'escriptori no poden depurar, executar ni desar fluxos d'escriptori que infringeixin la política DLP. Tampoc no poden seleccionar un flux d'escriptori que infringeixi una norma DLP d'un pas de flux de núvol.

Aplicació i suspensió de DLP

Quan creeu o editeu un flux, Power Automate l'avalua amb el conjunt actual de polítiques DLP. L'aplicació és asíncrona i es produeix en un termini de 24 hores.

Quan creeu o canvieu una norma DLP, una feina en segon pla analitza tots els fluxos actius de l'entorn, els avalua i, a continuació, suspèn els fluxos que infringeixen la política. L'aplicació és asíncrona i es produeix en un termini de 24 hores. Si es produeix un canvi en la política de DLP quan s'està avaluant la política DLP anterior, es reinicia l'avaluació per assegurar-se que s'apliquen les polítiques més recents.

Setmanalment, una feina d'antecedents fa una comprovació de coherència de tots els fluxos actius de l'entorn amb les polítiques de DLP per confirmar que no s'ha perdut una comprovació de la política DLP.

Reactivació del DLP

Si la feina de fons d'aplicació DLP troba un flux d'escriptori que ja no infringeix cap política de DLP, la feina en segon pla elimina automàticament la suspensió. Tanmateix, la feina de fons d'aplicació de DLP no suspèn automàticament els fluxos de núvols.

Procés de canvi d'aplicació de DLP

Periòdicament, l'aplicació del DLP ha de canviar perquè s'implementen noves capacitats DLP o una correcció d'errors o s'omple un buit d'aplicació. Quan els canvis puguin afectar els fluxos existents, apliqueu el procés de gestió de canvis d'aplicació del DLP per etapes següent:

  1. Investigar: confirmeu la necessitat d'un canvi d'aplicació del DLP i investigueu els detalls del canvi.

  2. Aprenentatge: Implementar el canvi i recollir dades sobre l'amplitud dels efectes del canvi. Documenteu els canvis d'aplicació de DLP per explicar l'abast del canvi. Si les dades suggereixen que els clients es veuran molt afectats, es pot enviar una comunicació a aquests clients per fer-los saber que s'acosta un canvi. Si el canvi té un ampli impacte en els fluxos existents, en una etapa posterior de la fase d'aprenentatge, quan el treball d'aplicació del DLP en segon pla troba una infracció en un flux existent, Power Automate notifica als propietaris del flux que el flux se suspendrà, de manera que tinguin més temps per respondre.

  3. Només notificacions: activa les notificacions per correu electrònic només per a les infraccions de DLP perquè els propietaris de fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP. Quan el treball d'aplicació DLP en segon pla trobi una infracció en un flux existent, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme té una periodicitat setmanal.

  4. Aplicació en temps de disseny: activeu l'aplicació en temps de disseny de les infraccions de DLP perquè els propietaris de fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP, però tots els fluxos que es modifiquin rebran una avaluació completa de la política DLP en el moment del disseny. Això també es coneix com a aplicació suau.

    • Temps de disseny: Quan un flux s'actualitza i es desa, utilitzeu l'aplicació DLP actualitzada i suspeneu el flux si cal perquè el fabricant sigui immediatament conscient de l'aplicació.

    • Procés en segon pla: quan el treball d'aplicació del DLP en segon pla trobi una infracció en un flux, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme inclou la creació o canvis en la política de DLP i els controls de consistència.

  5. Aplicació completa: activa l'aplicació completa de les infraccions de DLP perquè les polítiques de DLP s'apliquin plenament a tots els fluxos existents i nous. Les polítiques de DLP s'apliquen completament quan es guarden fluxos durant l'avaluació de llocs de treball d'antecedents d'aplicació de DLP. Això també es coneix com a aplicació dura.

Llista de canvis d'aplicació de DLP

La taula següent enumera els canvis en l'aplicació del PDL i la data en què els canvis van ser efectius.

Date Descripció Motiu del canvi Fase Disponibilitat d'aplicació del temps de disseny* Disponibilitat total per a les nostres forces*
Maig 2022 Autorització delegada antecedents aplicació del lloc de treball Les polítiques de DLP s'apliquen als fluxos que utilitzen autorització delegada mentre es desa el flux, però no durant l'avaluació del treball en segon pla. Complet 2 de juny de 2022 21 de juliol de 2022
Maig 2022 Sol·licitar l'aplicació de l'activador d'apiConnection Les polítiques de DLP no es van aplicar correctament per a alguns activadors. Els disparadors afectats tenen type=Request i kind=apiConnection. Molts dels desencadenants afectats són disparadors instantanis, que s'utilitzen en fluxos instantanis o desencadenats manualment. Els desencadenants afectats inclouen els següents.
- Power BI: Power BI botó clicat
- Equips: Des de la caixa de composició (V2)
- OneDrive for Business: per a un fitxer seleccionat
- Dataverse: Quan s'executa un pas de flux des d'un flux del procés de negoci
- Dataverse (llegat): quan se selecciona un registre
- Excel Online (Business): per a una fila seleccionada
- SharePoint: per a un element seleccionat
- Microsoft Copilot Studio: Quan Copilot Studio crida a un flux (V2)		 Complet 2 de juny de 2022 25 d'agost del 2022
Juliol del 2022 Aplicar les polítiques DLP sobre els fluxos secundaris Permetre l'aplicació de polítiques de DLP per incloure els fluxos secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de flux, el flux pare se suspèn. Després d'editar i desar el flux secundari per eliminar la infracció, els fluxos principals es poden tornar a desar o reactivar per tornar a executar l'avaluació de la norma DLP. Un canvi per deixar de bloquejar els fluxos secundaris quan el connector HTTP està bloquejat s'implementarà juntament amb l'aplicació completa de les polítiques DLP sobre els fluxos secundaris. Un cop estigui disponible l'aplicació completa, l'aplicació inclourà els fluxos d'escriptori secundaris. Complet 14 de febrer de 2023 Març de 2023
Gener de 2023 Aplicar polítiques DLP als fluxos d'escriptoris secundaris Habiliteu l'aplicació de polítiques DLP per incloure fluxos d'escriptori secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de fluxos, el flux principal de l'escriptori se suspendrà. Després d'editar i desar el flux d'escriptori secundari per eliminar la infracció, els fluxos d'escriptori pare es reactiven automàticament. Aprenentatge - Agost 2023

* El calendari de disponibilitat pot canviar i depèn del llançament.

Suspensió de flux per violació de DLP

Els fluxos suspesos es mostren com a suspesos al Power Automate portal del fabricant i al centre d'administració Power Platform . Quan un flux es retorna a través d'una API, PowerShell o la llista de connectors d'administració Power Automate flueix "com a acció d'administrador", el flux té State=Suspended,FlowSuspensionReason=CompanyDlpViolation i un valor FlowSuspensionTime que indica quan s'ha suspès el flux.

Limitacions conegudes

Obteniu informació sobre els problemes coneguts de DLP.

Consulteu també

Més informació sobre els entorns
Més informació sobre Power Automate
Més informació sobre el centre d'administració