Oprettelse af politik til forebyggelse af datatab (DLP)

En organisations data er vigtige for at opnå succes. Dataene skal være umiddelbart tilgængelige til beslutningstagning, men de skal beskyttes, så de ikke deles med målgrupper, der ikke bør have adgang til dem. Som en hjælp til at beskytte dataene gør Power Automate det muligt at oprette og gennemtvinge politikker, som definerer, hvilke forbrugerforbindelser der kan få adgang til og dele forretningsdata. Disse politikker, som definerer, hvordan data kan deles, kaldes politikker til forebyggelse af datatab.

Administratorer kontrollerer DLP-politikker. Kontakt din administrator, hvis en DLP-politik blokerer for kørsel af dine flows.

Få mere at vide om at beskytte dine data med Power Platform DLP-politikker (forebyggelse af tab af data.

Forebyggelse af datatab for skrivebordsflow

I Power Automate kan du oprette og gennemtvinge DLP-politikker, der klassificerer moduler for skrivebordsflow og individuelle modulhandlinger som virksomhed, ikke-virksomhed eller blokerede. Denne kategorisering forhindrer udviklere i at kombinere moduler og handlinger fra forskellige kategorier i et skrivebordsflow eller mellem et cloudflow og de skrivebordsflow, som det bruger.

Vigtigt

• Håndhævelse af DLP-politikker er kun tilgængelig i administrerede miljøer. Med virkning fra start januar 2025 er det kun skrivebordsflow, der er placeret i administrerede miljøer, der evalueres af DLP-politikker.
• DLP til skrivebordsflow er tilgængelig for versioner af Power Automate til skrivebord 2.14.173.21294 eller nyere. Hvis du bruger en ældre version, skal du fjerne og opdatere til den nyeste version.

Vise handlingsgrupper for skrivebordsflow

Handlingsgrupper for skrivebordsflow vises som standard ikke, når der oprettes en ny DLP-politik. Du skal slå indstillingen Vis skrivebordsflow i DLP-politikker til i lejerindstillingerne.

Handlingerne for skrivebordsflow i DLP er allerede aktiveret og kan ikke ændres, hvis du har valgt den offentlige forhåndsversion.

1. Log på Power Platform Administration.

2. På venstre sidepanel skal du vælge Indstillinger.

3. Vælg Handlinger til skrivebordsflow i DLP under Lejerindstillinger.

4. Aktivér handlingen Vis skrivebordsflow i DLP-politikker, og vælg Gem.

   

Du kan nu klassificere handlingsgrupper til skrivebordsflow, når du opretter en datapolitik.

Oprette en DLP-politik med begrænsninger for skrivebordsflow

Når administratorer redigerer eller opretter en politik, føjes handlingsgrupper for skrivebordsflow til standardgruppen, og politikken anvendes, når den er gemt. Politikken suspenderes, hvis standardgruppen er angivet til Blokeret, og der kører skrivebordsflow i målmiljøer.

De kan administrere DLP-politikker på samme måde, som du administrerer connectorer og handlinger i cloudflowet. Moduler til skrivebordsflow er grupper af lignende handlinger, som vises på brugergrænsefladen i Power Automate til skrivebord. Et modul svarer til connectorer, der bruges i cloudflow. Du kan definere en DLP-politik, der administrerer både moduler til skrivebordsflow og connectorer til cloudflow. Nogle grundlæggende moduler, f.eks. Variabler, kan ikke administreres inden for DLP-politikken, da næsten alle skrivebordsflows skal bruge dem. Få mere at vide om de grundlæggende principper for DLP-politikker, og hvordan du konfigurerer dem.

Når lejeren er tilmeldt Power Platform-brugeroplevelsen, kan administratorerne automatisk se de nye skrivebordsflowmoduler i standarddatagruppen for den DLP-politik, de opretter eller opdaterer.

Advarsel!

Når skrivebordsflowmoduler føjes til DLP-politikker, evalueres din lejers skrivebordsflow i forhold til de pågældende DLP-politikker, og de afbrydes, hvis de ikke er kompatible. Hvis din administrator opretter eller opdaterer DLP-politikken uden at bemærke de nye moduler, kan skrivebordsflow blive uventet afbrudt.

Styre skrivebordsflow uden for DLP

Finmasket kontrol over brugen af skrivebordsflow på alle maskiner som beskrevet i ovenstående afsnit er kun for Administrerede miljøer. Der er andre muligheder for at styre skrivebordsflowet.

• Mulighed for at styre orkestrering af skrivebordsflow: Desktop Flow Connector kan stadig styres i dine politikker som enhver anden connector i alle miljøer.

• Mulighed for at styre brugen af Power Automate til skrivebord: Du kan styre Power Automate til skrivebordsflow via et gruppepolitikobjekt. Med denne styring kan du slå brugen af til skrivebordsforløb til eller fra for handlinger for f.eks. at begrænse til et sæt miljøer eller områder, begrænse brugen af firmatyper og begrænse manuelle opdateringer.

Få mere at vide om styring i Power Automate.

Moduler til skrivebordsflow i DLP

Følgende skrivebordsflowmoduler er tilgængelige i DLP:

• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browserautomatisering
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google Cognitive
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft Cognitive
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mus og tastatur
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulering
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-understøttelse af moduler til skrivebordsflow

Hvis du ikke vil slå funktionen Vis skrivebordsflow i DLP-politikker til, kan du bruge følgende PowerShell-script til at føje alle skrivebordsflowmoduler til gruppen Blokeret i en DLP-politik. Hvis du allerede har slået funktionen til, behøver du ikke at bruge dette script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Nedenfor vises et PowerShell-script, som du kan bruge til at føje to specifikke skrivebordsflowmoduler til standarddatagruppen i en DLP-politik.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

PowerShell-script til at framelde skrivebordsflow

Hvis du ikke vil bruge funktionen DLP til skrivebordsflow, kan du framelde med følgende PowerShell-script.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Når politikken er aktiveret

Hvis dine brugere ikke har den nyeste Power Automate til skrivebord, er håndhævelsen af DLP-politik begrænset. De kan ikke se fejlmeddelelser om designtid, når de forsøger at køre, rette fejl i eller gemme skrivebordsflow, der er i strid med DLP-politikker. Baggrundsjob scanner jævnligt skrivebordsflow i miljøet og ophæver automatisk de skrivebordsflow, der overtræder DLP-politikker. Brugere kan ikke køre skrivebordsflow fra et cloudflow, hvis skrivebordsflowet overtræder politikker til forebyggelse af datatab.

Udviklere, der har det nyeste Power Automate til skrivebord, kan ikke fore fejlfinding, kørsel eller lagring af skrivebordsflow, der overtræder DLP-politik. De kan heller ikke vælge et skrivebordsflow, der er i strid med en DLP-politik, fra et cloudflowtrin.

Håndhævelse og suspension af DLP

1. Når du opretter eller redigerer et flow, evaluerer Power Automate det i forhold til det aktuelle sæt af DLP-politikker.
   1. Håndhævelse af flow uden et underordnet flow, som er 99 % af flowet, er synkront og sker i realtid.
   2. Håndhævelse af et flow med et underordnet flow er asynkront, da de underordnede flow også skal evalueres og indtræffer inden for 24 timer.
2. Når du opretter eller ændrer en DLP-politik, scannes alle aktive flow i miljøet via et baggrundsjob, evaluerer dem og afbryder de flows, der overtræder den opdaterede politik. Håndhævelsen er asynkron og sker inden for 24 timer. Hvis DLP-politikken ændres, mens den tidligere DLP-politik evalueres, genstartes evalueringen for at sikre, at de nyeste politikker håndhæves.
3. Ugentligt kontrollerer et baggrundsjob alle aktive flow i miljøet i forhold til DLP-politikkerne for at bekræfte, at en DLP-politikkontrol ikke overses.

Genaktivering af DLP

Hvis baggrundsjobbet for DLP-håndhævelse finder et skrivebordsflow, der ikke længere overtræder nogen DLP-politik, aktiveres det automatisk af baggrundsopgaven. Baggrundsopgaven til DLP-håndhævelse genaktiverer dog ikke cloudflow automatisk.

Ændringsproces for DLP-håndhævelse

Jævnligt skal håndhævelsen af LP ændres, fordi nye DLP-funktioner eller en fejlrettelse udrulles, eller fordi der er udfyldt et håndhævelseshul. Når ændringer kan påvirke eksisterende flows, anvendes følgende gradvise styring af ændringer i forbindelse med DLP-håndhævelse:

1. Undersøgelse: Bekræft, at der er behov for en ændring af DLP-håndhævelsen, og undersøg de specifikke forhold i ændringen.

2. Læring: Implementer ændringen, og indsaml data om, hvor effektiv ændringen har været. Ændringer af DLP-håndhævelse dokumenteres for at forklare ændringens omfang. Hvis dataene indikerer, at nogle af kunderne vil blive påvirket meget, får disse kunder en meddelelse om, at der kommer en ændring. Hvis en ændring får større betydning for nuværende flow, vil Power Automate senere i læringsfasen, når håndhævelsesopgaven, der kører i baggrunden, finder en overtrædelse af et nuværende flow, give flowejerne besked om, at flowet afbrydes, så de får mere tid til at reagere.

3. Giv kun besked: Aktivér kun mails for DLP-overtrædelser, så ejere af nuværende flow får besked om den kommende ændring af DLP-håndhævelse. Når der i baggrundsjobbet finder et brud på DLP-håndhævelse i et eksisterende flow, skal du give flowejerne besked om, at flowet afbrydes. Denne mekanisme kører ugentligt.

4. Design-time håndhævelse: Aktivér design-time håndhævelse af DLP-overtrædelser, så ejere af nuværende flow får besked om den kommende ændring af DLP-håndhævelse, men alle de flow, der ændres, får en fuldstændig DLP-politikevaluering på designtidspunktet. Dette kaldes også blød håndhævelse.

   • Designtid: Når et flow opdateres og gemmes, skal du bruge den opdaterede DLP-håndhævelse og afbryde flowet, hvis det er nødvendigt, så udvikleren straks gøres opmærksom på håndhævelsen.

   • Baggrundsproces: Når DLP-håndhævelsesopgaven, der kører i baggrunden, opdager en overtrædelse i et flow, skal du give flowejerne besked om, at flowet afbrydes. Denne mekanisme omfatter oprettelse eller ændringer af DLP-politikken og ensartede kontroller.

5. Hård håndhævelse: Slå hård håndhævelse af DLP-brud til, så DLP-politikker håndhæves fuldt ud på alle eksisterende og nye flows. DLP-politikkerne håndhæves fuldt ud, når flow gemmes under evaluering af baggrundsjobbet til DLP-håndhævelse. Dette kaldes også hård håndhævelse.

Ændringsliste for DLP-håndhævelse

Følgende er en liste over ændringer i DLP-håndhævelsen og den dato, ændringerne trådte i kraft.

Dato	Beskrivelse	Årsag til ændring	Trin	Tilgængelighed af designtidshåndhævelse*	Tilgængelighed af fuld håndhævelse*
Maj 2022	Baggrundsjob til håndhævelse af uddelegeret godkendelse	Flows, der bruger uddelegeret godkendelse, har DLP-politikker håndhævet, mens flowet gemmes, men ikke under evaluering af baggrundsjob.	Komplet	2. juni 2022	21. juli 2022
Maj 2022	Anmod om håndhævelse af apiConnection-udløser	DLP-politikker blev ikke håndhævet korrekt for visse udløsere. De påvirkede udløsere har type=Request og kind=apiConnection. Mange af de påvirkede udløsere er øjeblikkelige udløsere, der bruges i øjeblikkelige eller manuelt udlæste flows. De påvirkede udløsere omfatter følgende. - Power BI: Power BI-knap, der er klikket på - Teams: Fra oprettelsesfeltet (V2) - OneDrive til Business: For en valgt fil - Dataverse: Når et flowtrin køres fra et forretningsprocesforløb - Dataverse (ældre): Når en post er valgt - Excel Online (Business): For en række, der er valgt - SharePoint: For et valgt element - Microsoft Copilot Studio: Når Copilot Studio kalder et flow (V2)	Komplet	2. juni 2022	25. august 2022
Juli 2022	Gennemtvinge DLP-politikker på underordnede flows	Aktivér håndhævelsen af DLP-politikker for at medtage underordnede flows. Hvis der findes en overtrædelse et vilkårligt sted i flowtræet, afbrydes det overordnede flow. Når det underordnede flow er redigeret og gemt for at fjerne overtrædelse, kan de overordnede flow gemmes igen, eller de kan aktiveres igen, så DLP-politik evalueres igen. En ændring, hvor underordnede flow ikke længere blokeres, når HTTP-connectoren er blokeret, udrulles sammen med en fuld håndhævelse af DLP-politikker for underordnede flow. Når fuld håndhævelse er tilgængelig, omfatter håndhævelsen underordnede skrivebordsforløb.	Komplet	14. februar 2023	Marts 2023
Januar 2023	Gennemtvinge DLP-politikker på underordnede skrivebordsflows	Aktivér håndhævelsen af DLP-politikker for at medtage underordnede skrivebordsflows. Hvis der findes en overtrædelse et vilkårligt sted i flowtræet, afbrydes det overordnede skrivebordsflow. Når det underordnede skrivebordsflow redigeres og gemmes for at fjerne overtrædelse, genaktiveres de overordnede skrivebordsflows automatisk.	Komplet	-	August 2023

*Tilgængelighedsplanen kan ændres og afhænger af udrulningen.

Flowsuspension for DLP-overtrædelse

Suspenderede flows vises som suspenderet i Power Automate Maker Portal og Power Platform Administration. Når et flow returneres via API, PowerShell eller listen Power Automate-administrationsconnector køres som en administratorhandling, har flowet State=Afbrudt FlowSuspensionReason=CompanyDlpViolation og FlowSuspensionTime, der angiver, at flowet er suspenderet.

Kendte begrænsninger

Få mere at vide om kendte problemer med DLP.

Relaterede oplysninger

• Power Platform DLP-politikker
• Få mere at vide om miljøer
• Få mere at vide om Power Automate
• Få mere at vide om administratorcenteret