Jagamisviis:

Andmelekketõkestuse (DLP) poliitika loomine

  • Artikkel

Organisatsiooni andmed on selle eduks kriitilise tähtsusega. Selle andmed peavad olema otsuste tegemiseks hõlpsasti kättesaadavad, kuid samal ajal kaitstud, et neid ei jagataks vaatajaskondadega, kellel ei tohiks neile juurdepääsu olla. Äriandmete kaitsma saate luua ja jõustada poliitikaid, mis määratlevad, Power Automate millised konnektorid neile juurde pääsevad ja neid ühiskasutusse saavad. Poliitikaid, mis määratlevad, kuidas andmeid saab jagada, nimetatakse andmelekketõkestuse (DLP) poliitikateks.

Administraatorid kontrollivad DLP-poliitikaid. Kui DLP-poliitika takistab voogude käivitamist, võtke ühendust administraatoriga.

Lugege lisateavet selle kohta, kuidas kaitsta oma andmeid andmelekketõkestuse (DLP) poliitikatega Power Platform .

Andmelekketõkestus töölauavoogude puhul

Power Automate võimaldab teil luua ja jõustada DLP-poliitikaid, mis klassifitseerivad töölauavoog moodulid ja üksikud moodulitoimingud äri-, mitteäritoiminguteks või blokeeritud. See kategoriseerimine takistab tegijatel kombineerida erinevate kategooriate mooduleid ja toiminguid töölauavoog või pilvevoog ja selle kasutatavate töölauavoogude vahel.

Oluline

  • DLP-poliitikate jõustamine on saadaval ainult hallatavad keskkonnad jaoks . Alates 2025. aasta jaanuarist hinnatakse DLP-poliitikate alusel ainult hallatavad keskkonnad asuvaid töölauavooge.
  • DLP töölauavoogude jaoks on saadaval töölaua Power Automate 2.14.173.21294 või uuemate versioonide jaoks. Kui kasutate varasemat versiooni, desinstallige see ja värskendage uusimale versioonile.

Töölauavoog tegevusrühmade kuvamine

Vaikimisi ei kuvata DLP-poliitika loomisel töölauavoog toimingurühmi. Peate rentniku sätetes sisse lülitama toimingu Kuva töölauavoog DLP poliitikates .

Kui olete avalik eelversioon valinud, on töölauavoog toimingud DLP-s juba lubatud ja neid ei saa muuta.

  1. Logige sisse Power Platformi halduskeskusesse.

  2. Tehke vasakpoolsel külgpaneelil valik Seaded.

  3. Valige lehel Rentnikusätted töölauavoog toimingud DLP-s.

  4. Lülitage sisse valik Kuva töölauavoog toimingud DLP poliitikates ja seejärel valige Salvesta.

    Kuvatõmmis halduskeskuse sättest Power Platform DLP töölauavoogude jaoks.

Nüüd saate andmepoliitika loomisel klassifitseerida töölauavoog tegevusgrupid.

Töölauavoog piirangutega DLP-poliitika loomine

Kui administraatorid poliitikat redigeerivad või loovad, lisatakse töölauavoog toimingurühmad vaikerühma ja poliitika rakendatakse pärast selle salvestamist. Poliitika peatatakse, kui vaikerühma väärtuseks on seatud Blokeeritud ja töölauavood töötavad sihtkeskkondades.

Saate hallata oma töölauavoogude DLP-poliitikaid samamoodi nagu pilvevoog konnektoreid ja toiminguid. Töölauavoog moodulid on sarnaste toimingute rühmad, mis kuvatakse töölaua kasutajaliideses Power Automate . Moodul sarnaneb pilvevoogudes kasutatavate konnektoritega. Saate määratleda DLP-poliitika, mis haldab nii töölauavoog mooduleid kui ka pilvevoog konnektoreid. Mõnda põhimoodulit, näiteks muutujaid, ei saa DLP-poliitika ulatuses hallata, kuna peaaegu kõik töölauavood peavad neid kasutama. Lisateave DLP-poliitikate põhialuste ja nende loomise kohta.

Kui teie rentnik on kasutajakogemusega Power Platform liitunud, näevad administraatorid uusi töölauavoog mooduleid automaatselt loodava või värskendatava DLP-poliitika vaikeandmerühmas.

Kuvatõmmis halduskeskuses koostatavast DLP-poliitikast Power Platform .

Hoiatus

Kui DLP-poliitikatesse lisatakse töölauavoog moodulid, hinnatakse teie rentniku töölauavooge nende suhtes ja need peatatakse, kui need ei vasta nõuetele. Kui administraator loob või värskendab DLP-poliitikat uusi mooduleid märkamata, võidakse töölauavood ootamatult peatada.

Töölauavoogude reguleerimine väljaspool DLP-d

Üksikasjalik kontroll töölauavoogude kasutamise üle kõigis masinates, nagu on kirjeldatud eelmistes jaotistes, kehtib ainult hallatavad keskkonnad kohta. Töölauavoogude haldamiseks on teil ka muid võimalusi.

  • Võimalus juhtida töölauavoog orkestreerimist: töölauavoog-konnektorit saab teie poliitikates juhtida nagu mis tahes muud konnektorit kõigis keskkondades.

  • Võimalus reguleerida töölaua Power Automate kasutamist: saate reguleerida Power Automate töölauavooge GPO kaudu. See korraldus võimaldab teil töölauavooge sisse või välja lülitada toimingute jaoks, näiteks piirata keskkondade või piirkondade kogumit, piirata kontotüüpide kasutamist ja piirata käsitsi värskendamist.

Lisateavet juhtimise kohta leiate teemast Power Automate

Töölauavoog moodulid DLP-s

DLP-s on saadaval järgmised töölauavoog moodulid:

  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation brauseri automatiseerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD seanss
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Lõikelaud Lõikelaud
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Krüptograafia
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Andmebaas
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Meil
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder kaust
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleKognitiivne Google’i kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Teatekastid
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Hiir ja klaviatuur
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System süsteem
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminali emuleerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomationi kasutajaliidese automatiseerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windowsi teenused
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShelli tugi töölauavoog moodulitele

Kui te ei soovi sätet Kuva töölauavoog toimingud DLP poliitikates sisse lülitada, saate kõigi töölauavoog moodulite lisamiseks DLP-poliitika rühma Blokeeritud kasutada järgmist PowerShelli skripti. Kui olete sätte juba sisse lülitanud, ei pea te seda skripti kasutama.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Järgmine PowerShelli skript lisab DLP-poliitika vaikeandmerühma kaks konkreetset töölauavoog moodulit.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShelli skript töölauavoogudest loobumiseks

Kui te ei soovi kasutada DLP töölauavoogude funktsiooni, saate sellest loobumiseks kasutada järgmist PowerShelli skripti.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Pärast poliitika lubamist

Kui teie kasutajatel pole uusimat Power Automate töölauaversiooni, on DLP eeskirjade jõustamine piiratud. Nad ei näe disainiaja tõrketeateid, kui nad üritavad käivitada, siluda või salvestada töölauavooge, mis rikuvad DLP eeskirju. Taustatööd skannivad keskkonnas regulaarselt töölauavooge ja peatavad automaatselt kõik, mis rikuvad DLP eeskirju. Kasutajad ei saa käivitada töölauavooge pilvevoog, kui töölauavoog rikub mis tahes andmelekketõkestuse poliitikat.

Loojad, kellel on töölaua jaoks uusim versioon Power Automate , ei saa DLP-eeskirju rikkuvaid töölauavooge siluda, käivitada ega salvestada. Samuti ei saa nad pilvevoog samm valida töölauavoog, mis rikub DLP-eeskirju.

DLP jõustamine ja peatamine

  1. Voo Power Automate loomisel või redigeerimisel hinnatakse seda praeguse DLP-poliitikate kogumi suhtes.
    1. Voogude jõustamine ilma tütarvoog, mis moodustab 99% voogudest, on sünkroonne ja toimub reaalajas.
    2. Voolu jõustamine tütarvoog-ga on asünkroonne, kuna tuleb hinnata ka tütar voolu ja see toimub 24 tunni jooksul.
  2. DLP-poliitika loomisel või muutmisel skannib tausttöö kõiki aktiivseid vooge keskkonnas, hindab neid ja peatab seejärel eeskirju rikkuvad vood. Jõustamine on asünkroonne ja toimub 24 tunni jooksul. Kui DLP-poliitika muutmine toimub eelmise DLP-poliitika hindamisel, algab hindamine uuesti, et veenduda, et uusimad poliitikad on jõustatud.
  3. Igal nädalal kontrollib taustatöö kõigi keskkonna aktiivsete voogude järjepidevust DLP-poliitikate suhtes, et veenduda, et DLP-poliitika kontroll ei jäänud vahele.

DLP taasaktiveerimine

Kui DLP jõustamise tausttöö leiab töölauavoog, mis ei riku enam ühtegi DLP-poliitikat, eemaldab taustatöö peatamise automaatselt. Kuid DLP jõustamise taustatöö ei vabasta pilvevooge automaatselt.

DLP jõustamise muutmise protsess

Perioodiliselt peab DLP jõustamine muutuma, kuna kasutusele võetakse uued DLP-võimalused või veaparandus või täidetakse jõustamislünk. Kui muudatused võivad mõjutada olemasolevaid vooge, rakendage järgmine etapiviisiline DLP jõustamise muudatuste haldamise protsess.

  1. Uurimine: kinnitage DLP jõustamismuudatuse vajalikkust ja uurige muudatuse üksikasju.

  2. Õppimine: Rakendage muudatus ja koguge andmeid muudatuse mõjude ulatuse kohta. Dokumenteerige DLP jõustamise muudatused, et selgitada muudatuse ulatust. Kui andmed viitavad sellele, et see mõjutab kliente oluliselt, võidakse neile klientidele saata teatis, et anda neile teada, et muudatus on tulemas. Kui muudatusel on ulatuslik mõju olemasolevatele voogudele, siis õppefaasi hilisemas etapis, kui DLP tausta jõustamistöö leiab olemasolevas voos rikkumise, Power Automate teatab voo omanikele, et voog peatatakse, nii et neil on rohkem aega reageerida.

  3. Ainult teavitamine: lülitage meiliteatised sisse ainult DLP rikkumiste korral, et olemasolevate voogude omanikke teavitataks eelseisvast DLP jõustamise muudatusest. Kui tausta DLP jõustamistöö leiab olemasolevas voos rikkumise, teavitage voo omanikke, et voog peatatakse. See mehhanism töötab kord nädalas.

  4. Disainiaja jõustamine: lülitage sisse DLP rikkumiste kavandamisaegne jõustamine, et olemasolevate voogude omanikke teavitataks eelseisvast DLP jõustamise muudatusest, kuid kõik muudetud vood saavad kavandamise ajal täieliku DLP poliitika hindamise. Seda nimetatakse ka pehmeks jõustamiseks.

    • Projekteerimisaeg: kui voog on värskendatud ja salvestatud, kasutage värskendatud DLP jõustamist ja peatage vajadusel voog, et tegija oleks jõustamisest kohe teadlik.

    • Taustprotsess: kui DLP tausta jõustamistöö leiab voos rikkumise, teavitage voo omanikke, et voog peatatakse. See mehhanism hõlmab DLP poliitika loomist või muutmist ja järjepidevuse kontrolli.

  5. Täielik jõustamine: lülitage sisse DLP rikkumiste täielik jõustamine, nii et DLP eeskirjad jõustatakse täielikult kõigi olemasolevate ja uute voogude puhul. DLP-poliitikad jõustatakse täielikult, kui vood salvestatakse DLP jõustamise taustatöö hindamise ajal. Seda nimetatakse ka rangeks jõustamiseks .

DLP jõustamise muudatuste loend

Järgmises tabelis on loetletud DLP jõustamise muudatused ja muudatuste jõustumise kuupäev.

Date Kirjeldus Muutuse põhjus Etapp Kavandamisaegne jõustamise kättesaadavus* Jõustamise täielik kättesaadavus*
Mai 2022 Delegeeritud volituse taust töö jõustamine DLP-poliitikad jõustatakse voogudele, mis kasutavad delegeeritud volitust voo salvestamise ajal, kuid mitte tausttöö hindamise ajal. Täielik 2. juuni 2022 21. juuli 2022
Mai 2022 Taotlus apiConnection trigger enforcement Mõne päästiku puhul ei jõustatud DLP-eeskirju õigesti. Mõjutatud päästikutel on type=Request ja kind=apiConnection. Paljud mõjutatud päästikud on kohesed päästikud, mida kasutatakse kohestes või käsitsi käivitatud voogudes. Mõjutatud päästikud on järgmised.
- Power BI: Power BI nuppu klõpsates
- Meeskonnad: koostamiskastist (V2)
- OneDrive ettevõtte jaoks: valitud faili jaoks
- Dataverse: Kui voolu samm juhitakse äriprotsessi voog
- Dataverse (pärand): kui kirje on valitud
- Excel Online (äri): valitud rea jaoks
- SharePoint: Valitud üksuse jaoks
- Microsoft Copilot Studio: Kui Copilot Studio kutsub voolu (V2)		 Täielik 2. juuni 2022 25. august 2022
Juuli 2022 DLP-poliitikate jõustamine tütar voogudele Lubage DLP-poliitikate jõustamine tütar voogude kaasamiseks. Kui voolupuus leitakse rikkumine, peatatakse emavoog. Pärast seda, kui tütarvoog on rikkumise kõrvaldamiseks redigeeritud ja salvestatud, saab ema vood uuesti salvestada või uuesti aktiveerida, et DLP poliitika hindamine uuesti käivitada. Muudatus, mis ei blokeeri enam tütar vooge, kui HTTP-konnektor on blokeeritud, käivitub koos DLP-poliitikate täieliku jõustamisega tütar voogudes. Kui täielik jõustamine on võimalik, hõlmab jõustamine tütar töölauavooge. Täielik 14. veebruar 2023 Märts 2023
Jaanuar 2023 DLP-poliitikate jõustamine töölauavoogude tütar Lubage DLP-poliitikate jõustamine tütar töölauavoogude kaasamiseks. Kui voolupuus leitakse rikkumine, peatatakse töölaua emavoog. Pärast seda, kui tütar töölauavoog on rikkumise kõrvaldamiseks redigeeritud ja salvestatud, aktiveeritakse töölauavoogude ema automaatselt. Täielik - August 2023

* Saadavuse ajakava võib muutuda ja sõltub levitamisest.

Voolu peatamine DLP rikkumise korral

Peatatud vood kuvatakse koostaja portaalis Power Automate ja Power Platform halduskeskuses peatatuna. Kui voog tagastatakse API, PowerShelli või Power Automate halduskonnektorite loendi voogude toimingu "administraatorina" kaudu, on vool olek = peatatud, FlowSuspensionReason = CompanyDlpViolation ja FlowSuspensionTime väärtus, mis näitab, millal voog peatati.

Teadaolevad piirangud

Lisateave DLP teadaolevate probleemide kohta.