Oprettelse af politik til forebyggelse af datatab (DLP)
En organisations data er vigtige for at opnå succes. Dataene skal være tilgængelige, så de nemt kan bruges som grundlag i beslutningsprocesser, men de skal samtidig være beskyttet, så de ikke deles med målgrupper, der ikke skal have adgang til dataene. Som en hjælp til at beskytte dataene gør Power Automate det muligt at oprette og gennemtvinge politikker, som definerer, hvilke forbrugerforbindelser der kan få adgang til og dele forretningsdata. Disse politikker, som definerer, hvordan data kan deles, kaldes politikker til forebyggelse af datatab.
Administratorer kontrollerer DLP-politikker. Kontakt din administrator, hvis en DLP-politik blokerer for kørsel af dine flows.
I Power Automate kan du oprette og gennemtvinge DLP-politikker, der klassificerer moduler for skrivebordsflow og individuelle modulhandlinger som virksomhed, ikke-virksomhed eller blokerede. Denne kategorisering forhindrer udviklere i at kombinere moduler og handlinger fra forskellige kategorier i et skrivebordsflow eller mellem et cloudflow og de skrivebordsflow, som det bruger.
Vigtigt
- Håndhævelse af DLP-politikker er kun tilgængelig i administrerede miljøer. Med virkning fra start januar 2025 er det kun skrivebordsflow, der er placeret i administrerede miljøer, der evalueres af DLP-politikker.
- DLP til skrivebordsflow er tilgængelig for versioner af Power Automate til skrivebord 2.14.173.21294 eller nyere. Hvis du bruger en ældre version, skal du fjerne og opdatere til den nyeste version.
Handlingsgrupper for skrivebordsflow vises som standard ikke, når der oprettes en ny DLP-politik. Du skal slå indstillingen Vis skrivebordsflow i DLP-politikker til i lejerindstillingerne.
Hvis du har valgt den offentlige forhåndsversion, er indstillingen Handlinger for skrivebordsflow i DLP allerede aktiveret og kan ikke ændres.
Log på Power Platform Administration.
Vælg Indstillinger i venstre sidepanel.
Vælg Handlinger til skrivebordsflow i DLP under Lejerindstillinger.
Aktivér handlingen Vis skrivebordsflow i DLP-politikker, og vælg Gem.
Du kan nu klassificere handlingsgrupper til skrivebordsflow, når du opretter en datapolitik.
Når administratorer redigerer eller opretter en politik, føjes handlingsgrupper for skrivebordsflow til standardgruppen, og politikken anvendes, når den er gemt. Politikken suspenderes, hvis standardgruppen er angivet til Blokeret, og der kører skrivebordsflow i målmiljøer.
De kan administrere DLP-politikker på samme måde, som du administrerer connectorer og handlinger i cloudflowet. Moduler til skrivebordsflow er grupper af lignende handlinger, som vises på brugergrænsefladen i Power Automate til skrivebord. Et modul svarer til connectorer, der bruges i cloudflow. Du kan definere en DLP-politik, der administrerer både moduler til skrivebordsflow og connectorer til cloudflow. Nogle grundlæggende moduler, f.eks. Variabler, kan ikke administreres inden for DLP-politikken, da næsten alle skrivebordsflows skal bruge dem. Få mere at vide om de grundlæggende principper for DLP-politikker, og hvordan du konfigurerer dem.
Når lejeren er tilmeldt Power Platform-brugeroplevelsen, kan administratorerne automatisk se de nye skrivebordsflowmoduler i standarddatagruppen for den DLP-politik, de opretter eller opdaterer.
Advarsel!
Når skrivebordsflowmoduler føjes til DLP-politikker, evalueres din lejers skrivebordsflow i forhold til de pågældende DLP-politikker, og de afbrydes, hvis de ikke er kompatible. Hvis din administrator opretter eller opdaterer DLP-politikken uden at bemærke de nye moduler, kan skrivebordsflow blive uventet afbrudt.
Finmasket kontrol over brugen af skrivebordsflow på alle maskiner som beskrevet i ovenstående afsnit er kun for Administrerede miljøer. Der er andre muligheder for at styre skrivebordsflowet.
Mulighed for at styre orkestrering af skrivebordsflow: Connectoren til skrivebordsflow kan stadig styres i dine politikker som enhver anden connector i alle miljøer.
Mulighed for at styre brugen af Power Automate til skrivebord: Du kan styre Power Automate til skrivebordsflow via gruppepolitikobjekter. Med denne styring kan du slå brugen af til skrivebordsforløb til eller fra for handlinger for f.eks. at begrænse til et sæt miljøer eller områder, begrænse brugen af firmatyper og begrænse manuelle opdateringer.
Få mere at vide om styring i Power Automate.
Følgende skrivebordsflowmoduler er tilgængelige i DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browserautomatisering
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google Cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft Cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mus og tastatur
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Hemmelige variabler
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulering
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Hvis du ikke vil slå funktionen Vis skrivebordsflow i DLP-politikker til, kan du bruge følgende PowerShell-script til at føje alle skrivebordsflowmoduler til gruppen Blokeret i en DLP-politik. Hvis du allerede har slået funktionen til, behøver du ikke at bruge dette script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Nedenfor vises et PowerShell-script, som du kan bruge til at føje to specifikke skrivebordsflowmoduler til standarddatagruppen i en DLP-politik.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Hvis du ikke vil bruge funktionen DLP til skrivebordsflow, kan du framelde med følgende PowerShell-script.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Hvis dine brugere ikke har den nyeste Power Automate til skrivebord, er håndhævelsen af DLP-politik begrænset. De kan ikke se fejlmeddelelser om designtid, når de forsøger at køre, rette fejl i eller gemme skrivebordsflow, der er i strid med DLP-politikker. Baggrundsjob scanner jævnligt skrivebordsflow i miljøet og ophæver automatisk de skrivebordsflow, der overtræder DLP-politikker. Brugere kan ikke køre skrivebordsflow fra et cloudflow, hvis skrivebordsflowet overtræder politikker til forebyggelse af datatab.
Udviklere, der har det nyeste Power Automate til skrivebord, kan ikke fore fejlfinding, kørsel eller lagring af skrivebordsflow, der overtræder DLP-politik. De kan heller ikke vælge et skrivebordsflow, der er i strid med en DLP-politik, fra et cloudflowtrin.
- Når du opretter eller redigerer et flow, evaluerer Power Automate det i forhold til det aktuelle sæt af DLP-politikker.
- Håndhævelse af flow uden et underordnet flow, som er 99 % af flowet, er synkront og sker i realtid.
- Håndhævelse af et flow med et underordnet flow er asynkront, da de underordnede flow også skal evalueres og indtræffer inden for 24 timer.
- Når du opretter eller ændrer en DLP-politik, scannes alle aktive flow i miljøet via et baggrundsjob, evaluerer dem og afbryder de flows, der overtræder den opdaterede politik. Håndhævelsen er asynkron og sker inden for 24 timer. Hvis DLP-politikken ændres, mens den tidligere DLP-politik evalueres, genstartes evalueringen for at sikre, at de nyeste politikker håndhæves.
- Ugentligt kontrollerer et baggrundsjob alle aktive flow i miljøet i forhold til DLP-politikkerne for at bekræfte, at en DLP-politikkontrol ikke overses.
Hvis baggrundsjobbet for DLP-håndhævelse finder et skrivebordsflow, der ikke længere overtræder nogen DLP-politik, aktiveres det automatisk af baggrundsopgaven. Baggrundsopgaven til DLP-håndhævelse genaktiverer dog ikke cloudflow automatisk.
Jævnligt skal håndhævelsen af LP ændres, fordi nye DLP-funktioner eller en fejlrettelse udrulles, eller fordi der er udfyldt et håndhævelseshul. Når ændringer kan påvirke eksisterende flows, anvendes følgende gradvise styring af ændringer i forbindelse med DLP-håndhævelse:
Undersøgelse: Bekræft, at der er behov for en ændring af DLP-håndhævelsen, og undersøg de specifikke forhold i ændringen.
Læring: Implementer ændringen, og indsaml data om, hvor effektiv ændringen har været. Ændringer af DLP-håndhævelse dokumenteres for at forklare ændringens omfang. Hvis dataene indikerer, at nogle af kunderne vil blive påvirket meget, får disse kunder en meddelelse om, at der kommer en ændring. Hvis en ændring får større betydning for nuværende flow, vil Power Automate senere i læringsfasen, når håndhævelsesopgaven, der kører i baggrunden, finder en overtrædelse af et nuværende flow, give flowejerne besked om, at flowet afbrydes, så de får mere tid til at reagere.
Giv kun besked: Aktivér kun mails for DLP-overtrædelser, så ejere af nuværende flow får besked om den kommende ændring af DLP-håndhævelse. Når der i baggrundsjobbet finder et brud på DLP-håndhævelse i et eksisterende flow, skal du give flowejerne besked om, at flowet afbrydes. Denne mekanisme kører ugentligt.
Håndhævelse på designtidspunkt: Aktivér håndhævelse på designtidspunkt af DLP-overtrædelser, så ejere af nuværende flow får besked om den kommende ændring af DLP-håndhævelse, men alle de flow, der ændres, får en fuldstændig DLP-politikevaluering på designtidspunktet. Dette kaldes også blød håndhævelse.
Designtidspunkt: Når et flow opdateres og gemmes, skal du bruge den opdaterede DLP-håndhævelse og afbryde flowet, hvis det er nødvendigt, så udvikleren straks gøres opmærksom på håndhævelsen.
Baggrundsproces: Når DLP-håndhævelsesopgaven, der kører i baggrunden, opdager en overtrædelse i et flow, skal du give flowejerne besked om, at flowet afbrydes. Denne mekanisme omfatter oprettelse eller ændringer af DLP-politikken og ensartede kontroller.
Hård håndhævelse: Slå hård håndhævelse af DLP-brud til, så DLP-politikker håndhæves fuldt ud på alle eksisterende og nye flows. DLP-politikkerne håndhæves fuldt ud, når flow gemmes under evaluering af baggrundsjobbet til DLP-håndhævelse. Dette kaldes også hård håndhævelse.
Følgende er en liste over ændringer i DLP-håndhævelsen og den dato, ændringerne trådte i kraft.
Dato | Beskrivelse | Årsag til ændring | Trin | Tilgængelighed af designtidshåndhævelse* | Tilgængelighed af fuld håndhævelse* |
---|---|---|---|---|---|
Maj 2022 | Baggrundsjob til håndhævelse af uddelegeret godkendelse | Flows, der bruger uddelegeret godkendelse, har DLP-politikker håndhævet, mens flowet gemmes, men ikke under evaluering af baggrundsjob. | Komplet | 2. juni 2022 | 21. juli 2022 |
Maj 2022 | Anmod om håndhævelse af apiConnection-udløser | DLP-politikker blev ikke håndhævet korrekt for visse udløsere. De påvirkede udløsere har type=Request og kind=apiConnection. Mange af de påvirkede udløsere er øjeblikkelige udløsere, der bruges i øjeblikkelige eller manuelt udlæste flows. De påvirkede udløsere omfatter følgende. - Power BI: Power BI-knap, der er klikket på - Teams: fra oprettelsesfeltet (V2) - OneDrive for Business: for en valgt fil - Dataverse: Når et flowtrin køres fra et forretningsprocesforløb - Dataverse (ældre): Når en post er valgt - Excel Online (Business): for en række, der er valgt - SharePoint: for et markeret element - Microsoft Copilot Studio: Når Copilot Studio kalder et flow (V2) |
Komplet | 2. juni 2022 | 25. august 2022 |
Juli 2022 | Gennemtvinge DLP-politikker på underordnede flows | Aktivér håndhævelsen af DLP-politikker for at medtage underordnede flows. Hvis der findes en overtrædelse et vilkårligt sted i flowtræet, afbrydes det overordnede flow. Når det underordnede flow er redigeret og gemt for at fjerne overtrædelse, kan de overordnede flow gemmes igen, eller de kan aktiveres igen, så DLP-politik evalueres igen. En ændring, hvor underordnede flow ikke længere blokeres, når HTTP-connectoren er blokeret, udrulles sammen med en fuld håndhævelse af DLP-politikker for underordnede flow. Når fuld håndhævelse er tilgængelig, omfatter håndhævelsen underordnede skrivebordsflow. | Komplet | 14. februar 2023 | Marts 2023 |
Januar 2023 | Gennemtvinge DLP-politikker på underordnede skrivebordsflows | Aktivér håndhævelsen af DLP-politikker for at medtage underordnede skrivebordsflows. Hvis der findes en overtrædelse et vilkårligt sted i flowtræet, afbrydes det overordnede skrivebordsflow. Når det underordnede skrivebordsflow redigeres og gemmes for at fjerne overtrædelse, genaktiveres de overordnede skrivebordsflows automatisk. | Komplet | - | August 2023 |
October 2024 | Gennemtving handlingskontrol for connectorer på udløsere og interne handlinger | Udvid håndhævelsen af handlingskontrol for connectorer for at sikre, at udløsere og interne handlinger er dækket. Angiv dem i Power Platform Administration, og håndhæv blokering af dem, hvis der henvises individuelt til dem i DLP-politikker, eller hvis DLP-politikken ikke inkluderer dem som tilladt. | Læring | Januar 2025 | Februar 2025 |
*Tilgængelighedsplanen kan ændres og afhænger af udrulningen.
Suspenderede flows vises som suspenderet i Power Automate Maker Portal og Power Platform Administration. Når et flow returneres via API, PowerShell eller listen Power Automate-administrationsconnector køres som en administratorhandling, har flowet State=Afbrudt FlowSuspensionReason=CompanyDlpViolation og FlowSuspensionTime, der angiver, at flowet er suspenderet.