Directivas de prevención de pérdida de datos (DLP).

Las directivas de prevención de pérdida de datos ayudan a proteger los datos de la organización al evitar que se compartan con una lista de conectores que se definen.

Definición de la directiva de prevención de pérdida de datos

Los datos de una organización son cruciales para su éxito. Sus datos deben estar disponibles para la toma de decisiones, pero deben ser protegidos para que no se compartan con público que no deben tener acceso a ellos. Para proteger estos datos, Power Automate ofrece la posibilidad de crear y aplicar directivas que definen qué conectores pueden acceder a los datos empresariales y compartirlos. Las directivas que definen cómo se pueden compartir los datos se conocen como directivas de prevención de pérdida de datos (DLP).

Para obtener más información sobre cómo proteger sus datos, vaya a Directivas de prevención de pérdida de datos en la guía de administración de Microsoft Power Platform.

Importante

Los administradores controlan las directivas de prevención de pérdida de datos. Comuníquese con su administrador si una directiva de prevención de pérdida de datos bloquea la ejecución de sus flujos.

Prevención de pérdida de datos (DLP) para flujos de escritorio (versión preliminar)

Importante

La prevención de pérdida de datos para flujos de escritorio es una característica en versión preliminar gratuita. Cuando esta característica esté disponible de forma general (primer semestre de 2023), estará disponible únicamente para entornos gestionados.

Power Automate proporciona la capacidad de crear y aplicar directivas DLP que clasifiquen los módulos de flujos de escritorio (o acciones de módulos individuales) en las categorías comercial, no comercial o bloqueado. Esta categorización evita que los fabricantes combinen módulos y acciones de diferentes categorías en un flujo de escritorio, o entre un flujo de nube y los flujos de escritorio que utiliza.

Importante

La prevención de pérdida de datos para flujos de escritorio está disponible para versiones de Power Automate de escritorio 2.14.173.21294 o más recientes. Si está utilizando una versión anterior, desinstale y actualice a la última versión.

Disponibilidad

La prevención de pérdida de datos (DLP) para flujos de escritorio ahora está disponible para todos los clientes en versión preliminar pública sin costo alguno. Los administradores pueden configurar sus directivas de DLP y aplicarlas en los flujos de escritorio con PowerShell.

Advertencia

• Sus administradores también pueden clasificar los nuevos módulos de flujo de escritorio en sus directivas DLP directamente en el centro de administración de Power Platform, pero deben participar creando un ticket de soporte.
• Es posible que su arrendatario ya tenga acceso a los nuevos módulos de flujo de escritorio en la experiencia de DLP.

Compatibilidad con PowerShell

A continuación se muestra un script de PowerShell que puede usar para agregar todos los módulos de flujo de escritorio al grupo "bloqueado" de una política de DLP.

# Step #1: Retrieve a DLP policy named ‘My DLP Policy’ 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Desktop Flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the ‘blocked’ category of ‘My DLP Policy’ 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

A continuación se muestra un script de PowerShell que puede usar para agregar dos módulos de flujo de escritorio específicos al grupo de datos predeterminados de una directiva DLP.

# Step #1: Retrieve a DLP policy named ‘My DLP Policy’ 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the ‘Active Directory’ and ‘Workstation’ modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of ‘My DLP Policy’ 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

A continuación se muestra la lista de módulos de flujo de escritorio que están actualmente disponibles en DLP:

• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sesión CMD
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Portapapeles
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compresión
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografía
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Base de datos
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correo electrónico
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Archivo
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Carpeta
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitivo
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Bandejas de mensajes
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse and keyboard
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Ejecutar flujo
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripts
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatización de UI
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servicios de Windows
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Estación de trabajo
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Nota

Si sus usuarios no tienen la última versión de Power Automate de escritorio, experimentarán aplicaciones limitadas de la directiva de prevención de pérdida de datos. Los usuarios no verán los mensajes de error en el momento de diseño cuando intenten ejecutar, depurar desde Power Automate de escritorio o guarde los flujos de escritorio que infrinjan las directivas de prevención de pérdida de datos. Tendremos trabajos en segundo plano que analizarán periódicamente los flujos de escritorio en el entorno y suspenderán automáticamente aquellos flujos de escritorio que infrinjan las directivas de prevención de pérdida de datos. Los usuarios no podrán ejecutar flujos de escritorio desde un flujo de nube si el flujo de escritorio infringe alguna directiva de prevención de pérdida de datos.

Crear una directiva de prevención de pérdida de datos (DLP) con restricciones de flujos de escritorio en el centro de administración de Power Platform

Importante

Cuando los administradores editan o crean directivas, se agregarán nuevos conectores de flujo de escritorio al grupo predeterminado y las directivas se aplicarán una vez que se guarden. Si el grupo predeterminado está configurado como "Bloqueado" y tiene flujos de escritorio ejecutándose en los entornos de destino, estos se suspenderán.

Los administradores pueden crear directivas de prevención de pérdida de datos desde https://admin.powerplatform.microsoft.com. Pueden administrar la directiva de prevención de pérdida de datos para los flujos de escritorio de la misma manera que administran los conectores y las acciones del flujo de nube. Los módulos de flujos de escritorio son grupos de acciones similares a las que se muestran en la interfaz de usuario de Power Automate de escritorio. Un módulo es similar a los conectores que se utilizan en los flujos de nube. Puede definir una directiva de prevención de pérdida de datos que administre tanto los módulos de flujos de escritorio como los conectores de flujos de nube. También hay módulos básicos como "Variables" que no se pueden administrar en el ámbito de la directiva de prevención de pérdida de datos porque casi todos los flujos de escritorio necesitan usar esos módulos. Puede obtener más información sobre los fundamentos de las políticas de DLP y cómo crearlas en la sección Directivas de prevención de pérdida de datos.

Cuando su inquilino participa en la experiencia de usuario en Power Platform, sus administradores verán automáticamente los nuevos módulos de flujo de escritorio en el grupo de datos predeterminado de la directiva DLP que están creando o actualizando.

Advertencia

Cuando se agregan módulos de flujo de escritorio a las directivas de DLP, los flujos de escritorio existentes de su arrendatario se evaluarán con respecto a esas políticas de DLP y se suspenderán si no cumplen. Por lo tanto, si su Administrador crea o actualiza la directiva DLP sin tener en cuenta los nuevos módulos, los flujos de escritorio pueden suspenderse inesperadamente.

Una vez habilitada la directiva

• Los creadores con la última versión de Power Automate de escritorio no podrán depurar, ejecutar ni guardar flujos de escritorio que tengan infracciones de la directiva de prevención de pérdida de datos.
• Los creadores no podrán seleccionar un flujo de escritorio que infrinja una directiva de prevención de pérdida de datos desde un paso de flujo de nube.

Nota

Si sus usuarios no tienen la última versión de Power Automate de escritorio, experimentarán aplicaciones limitadas de la directiva de prevención de pérdida de datos. Los usuarios no verán los mensajes de error en el momento de diseño cuando intenten ejecutar, depurar desde Power Automate de escritorio o guarde los flujos de escritorio que infrinjan las directivas de prevención de pérdida de datos. Tendremos trabajos en segundo plano que analizarán periódicamente los flujos de escritorio en el entorno y suspenderán automáticamente aquellos flujos de escritorio que infrinjan las directivas de prevención de pérdida de datos. Los usuarios no podrán ejecutar flujos de escritorio desde un flujo de nube si el flujo de escritorio infringe alguna directiva de prevención de pérdida de datos.

Aplicación de DLP

• Aplicación y suspensión
  • Cuando crea o edita un flujo, Power Automate lo evalúa contra el conjunto actual de políticas de DLP. Si es necesario, la ejecución es asíncrona y se produce en 24 horas.
  • Cuando crea o cambia una directiva DLP, un trabajo en segundo plano analiza todos los flujos activos en el entorno, los evalúa y luego suspende los flujos que infringen la directiva. La a ejecución es asíncrona y se produce en 24 horas. Si se produce un cambio en la política de DLP cuando se está evaluando la política de DLP anterior, la evaluación se reinicia para garantizar que se apliquen las políticas más recientes.
  • Semanalmente, un trabajo en segundo plano realiza una verificación de coherencia de todos los flujos activos en el entorno con respecto a las directivas DLP para confirmar que no se pasó por alto una verificación de directiva DLP.
• Reactivación: si el trabajo en segundo plano de cumplimiento de DLP encuentra un flujo de escritorio que ya no infringe ninguna directiva DLP, el trabajo en segundo plano anula la suspensión automáticamente. Sin embargo, el trabajo en segundo plano de cumplimiento de DLP no anulará automáticamente la suspensión de los flujos de nube.

Proceso de cambio del cumplimiento de DLP

Regularmente, se necesitan cambios en el cumplimiento de DLP. Estos cambios pueden deberse a nuevas funciones de DLP, una carencia en el cumplimiento que se está subsanando o una corrección de errores. Cuando los cambios puedan afectar a los flujos existentes, se utiliza el siguiente proceso de administración de cambios de cumplimiento de DLP por etapas.

1. Investigación: confirme la necesidad de un cambio de aplicación de DLP e investigue los detalles del cambio.

2. Aprendizaje: implemente el cambio y recopile datos sobre la amplitud de los efectos del cambio. Los cambios del cumplimiento de DLP se documentan para explicar el alcance del cambio. Si los datos sugieren que los clientes se verán muy afectados, puede que se envíe una notificación a esos clientes para informarles de que se avecina un cambio. Si el cambio tiene un impacto amplio en los flujos ya existentes, en una etapa posterior de la fase de aprendizaje, cuando el trabajo de cumplimiento de DLP en segundo plano encuentre una infracción en un flujo existente, Power Automate notificará a los propietarios del flujo que el flujo se suspenderá para que tengan más tiempo para responder.

3. Solo notificar: active las notificaciones por correo electrónico solo para las infracciones de DLP, para que los propietarios de los flujos existentes reciban una notificación sobre el próximo cambio de aplicación de DLP. Cuando el trabajo de cumplimiento de DLP en segundo plano encuentre una infracción en un flujo existente, notifique a los propietarios del flujo que se suspenderá el flujo en el futuro. Este mecanismo funciona semanalmente.

4. Cumplimiento de tiempo de diseño: active el cumplimiento de tiempo de diseño de las infracciones de DLP, para que los propietarios de los flujos existentes reciban una notificación sobre el próximo cambio de cumplimiento de DLP, pero cualquier flujo que se modifique obtiene una evaluación completa de la directiva de DLP en el momento del diseño. También se conoce como cumplimiento flexible.

   1. Tiempo de diseño: cuando se actualiza y guarda un flujo, use el cumplimiento de DLP actualizado y suspenda el flujo si es necesario, para que el creador conozca de inmediato el cumplimiento.

   2. Proceso en segundo plano: cuando la tarea de aplicación de DLP en segundo plano encuentre una infracción en un flujo existente, notifique a los propietarios del flujo que el flujo se suspenderá en el futuro. Este mecanismo incluye la creación o los cambios en la directiva DLP y las comprobaciones de coherencia.

5. Cumplimiento estricto: active el cumplimiento estricto de las infracciones de DLP, de modo que las directivas DLP se apliquen por completo en todos los flujos existentes y nuevos. Las políticas DLP se aplicarán íntegramente cuando los flujos se guarden durante la evaluación del trabajo en segundo plano de cumplimiento de DLP. También se conoce como cumplimiento estricto.

Lista de cambio del cumplimiento de DLP

La siguiente es una lista de cambios en el cumplimiento de DLP y la fecha en que entraron en vigor los cambios.

Date	Description	Razón del cambio	Fase	ETA de cumplimiento de tiempo de diseño*	ETA de cumplimiento estricto*
Mayo de 2022	Aplicación de trabajo en segundo plano de autorización delegada	Las políticas DLP vigentes se aplican a los flujos que usan autorización delegada mientras se guarda el flujo, pero no durante la evaluación del trabajo en segundo plano.	Completo	2 de Junio de 2022	21 de Julio de 2022
Mayo de 2022	Solicitar el cumplimiento del desencadenador de apiConnection	Las directivas de DLP no se aplicaron correctamente para algunos desencadenadores. Los desencadenadores afectados tienen type=Request y kind=apiConnection. Muchos de los desencadenadores afectados son desencadenadores instantáneos que se utilizan en flujos instantáneos (activados manualmente). Los desencadenadores afectados incluyen los siguientes. - Power BI: botón de Power BI presionado - Teams: desde el cuadro de redacción (V2) - OneDrive para la Empresa: para un archivo seleccionado - Dataverse: cuando se ejecuta un paso de flujo desde un flujo de proceso de negocio - Dataverse (heredado): cuando se selecciona un registro - Excel Online (Empresa): para una fila seleccionada - SharePoint: para un elemento seleccionado - Power Virtual Agents: cuando Power Virtual Agents llama a un flujo (V2)	Completo	2 de Junio de 2022	25 de agosto de 2022
Julio de 2022	Aplicar políticas de DLP en flujos secundarios	Habilite la aplicación de directivas DLP para incluir flujos secundarios. Si se encuentra una infracción en cualquier parte del árbol de flujo, se suspende el flujo primario. Después de editar y guardar el flujo secundario para eliminar la infracción, los flujos primarios se pueden volver a guardar o reactivar para ejecutar la evaluación de la directiva DLP nuevamente. Se implementará un cambio para dejar de bloquear los flujos secundarios cuando el conector HTTP esté bloqueado simultáneamente al cumplimiento estricto de las directivas DLP en los flujos secundarios. Una vez que se disponga del pleno cumplimiento, este incluirá los flujos de escritorio secundarios.	Tiempo de diseño	14 de febrero de 2023	Marzo de 2023
Enero de 2023	Aplicar políticas de DLP en flujos de escritorio secundarios	Habilite la aplicación de directivas DLP para incluir flujos de escritorio secundarios. Si se encuentra una infracción en cualquier parte del árbol de flujo, se suspende el flujo de escritorio primario. Después de editar y guardar el flujo de escritorio secundario para eliminar la infracción, los flujos de escritorio principales se reactivan automáticamente.	Aprender	-	Marzo de 2023

*ETA está sujeta a cambios y depende de la programación de lanzamiento. ETA es para el inicio del lanzamiento a producción. La emisión a la estación 1 de versión preliminar es aproximadamente cinco días después. La emisión a la estación 5 de NAM/US es aproximadamente tres semanas después.

Limitaciones conocidas

Más información sobre los problemas conocidos de DLP

Consulte también

• Más información sobre entornos
• Obtener más información acerca de Power Automate
• Más información sobre el Centro de administración