Tietojen menetyksen estämiskäytännön luominen

  • Artikkeli

Organisaation tiedot ovat olennaisia menestymisen kannalta. Sen tietojen on oltava käytettävissä päätöksentekoa varten, mutta tiedot on myös suojattava, jotta niitä ei jaeta sellaisten yleisöjen kanssa, joilla ei pitäisi olla kyseisten tietojen käyttöoikeutta. Yritystietojen suojaamiseksi voit Power Automatessa luoda ja soveltaa käytäntöjä sen määrittämiseksi, mitkä liittimet voivat käsitellä ja jakaa näitä tietoja. Näihin tietojen jakamistavan määrittäviin käytäntöihin viitataan tietojen menetyksen estämisen (DLP) käytäntöinä.

Järjestelmänvalvojat valvovat DLP-käytäntöjä. Ota yhteyttä järjestelmänvalvojaan, jos tietojen menetyksen estämiskäytäntö (DLP) estää työnkulkujen suorittamisen.

Lue lisätietoja tietojen suojaamisesta tietojen menetyksen estämisen käytäntöjen avulla.

Tietojen menetyksen estäminen työpöytätyönkuluissa

Power Automatessa voit luoda ja ottaa käyttöön DLP-käytäntöjä, jotka luokittelevat työpöytätyönkulkujen moduuleita ja yksittäisiä moduulien toimintoja Liiketoiminta-, Ei-liiketoiminta- ja Estetty-luokkiin. Tämä luokitteleminen estää tekijöitä yhdistämästä eri luokkien moduuleja ja toimintoja työpöytätyönkulkuun tai sen käyttämän pilvityönkulun ja työpöytätyönkulun välillä.

Tärkeää

  • DLP-käytäntöjen soveltaminen on käytettävissä vain hallituissa ympäristöissä. Syyskuusta 2024 alkaen DLP-käytännöt arvioivat vain työpöytätyönkulut, jotka sijaitsevat hallituissa ympäristöissä.
  • DLP työpöytätyönkuluille on saatavilla Power Automate -työpöytäsovelluksen versiolle 2.14.173.21294 ja sitä myöhemmälle. Jos käytössä on vanhempi versio, poista se ja päivitä uusimpaan versioon.

Työpöytätyönkulun toimintoryhmien tarkasteleminen

Oletusarvoisesti työpöytätyönkulkujen toimintoryhmät eivät tule näkyviin luotaessa DLP-käytäntöä. Järjestelmänvalvojana sinun on otettava Näytä työpöytätyönkulkujen toiminnot DLP-käytännöissä -asetus käyttöön vuokraaja-asetuksissa.

Työpöytätyönkulkujen toiminnot DLP:ssä asetus on jo käytössä eikä sitä voi muuttaa, jos olet rekisteröitynyt julkista esiversiota varten.

  1. Kirjaudu Power Platform -hallintakeskukseen.

  2. Valitse vasemmanpuoleisessa sivupaneelissa Asetukset.

  3. Valitse Vuokraajan asetukset -sivulla Työpöytätyönkulkujen toiminnot DLP:ssä.

  4. Ota Näytä työpöytätyönkulun toiminnot DLP-käytännöissä -asetus käyttöön ja valitse Tallenna.

    Näyttökuva työpöytätyönkulkujen DLP-asetuksesta Power Platform -hallintakeskuksessa.

Nyt voit luokitella työpöytätyönkulkujen toimintoryhmät, kun luot tietokäytännön.

Luo DLP-käytäntö, jossa on työpöytävirran rajoitukset

Kun järjestelmänvalvojat muokkaavat tai luovat käytäntöä, työpöytätyönkulun toimintoryhmät lisätään oletusryhmään, ja käytäntö otetaan käyttöön, kun se on tallennettu. Käytännön soveltaminen keskeytetään, jos oletusryhmäksi määritetään Estetty ja työnpöytätyönkulkuja suoritetaan kohdeympäristöissä.

Voit hallita DLP-käytäntöjä työpöytätyönkulkuja varten samalla tavalla kuin pilvityönkulkujen yhdistimiä ja toimintoja. Työpöytätyönkulkujen moduulit ovat Power Automate -työpöytäsovelluksen käyttöliittymässä näkyvien samankaltaisten toimintojen ryhmiä. Moduuli muistuttaa pilvityönkuluissa käytettyä yhdistintä. Voit määrittää DLP-käytännön, joka hallitsee sekä työpöytätyönkulkujen moduuleja että pilvityönkulkujen yhdistimiä. Joitakin perusmoduuleja, kuten muuttujia, ei voi hallita DLP-käytännön mukaisesti, koska lähes kaikkien työpöytätyönkulkujen on käytettävä niitä. Lisätietoja DLP-käytäntöjen perusteista ja niiden luomisesta.

Kun vuokraaja on antanut suostumuksen Power Platformin käyttökokemukselle, järjestelmänvalvojat näkevät automaattisesti uudet työpöytätyönkulkumoduulit DLP-käytännön oletustietoryhmässä, jota he luovat tai päivittävät.

Näyttökuva DLP-käytännöstä, jota luodaan Power Platform -hallintakeskuksessa.

Varoitus

Kun työpöytätyönkulkumoduulit lisätään DLP-käytäntöihin, vuokraajan työpöytätyönkulut ja nämä DLP-käytännöt arvioidaan ja keskeytetään, jos ne eivät ole yhteensopivia. Jos järjestelmänvalvoja luo tai päivittää DLP-käytännön niin, että uusia moduuleja ei oteta huomioon, työpöytätyönkulut keskeytetään odottamatta.

Työpöytätyönkulkujen hallinnointi DLP:n ulkopuolella

Yksityiskohtainen työpöytätyönkulkujen käytön hallinta kaikilla koneilla (joka kuvataan edellisissä osissa) tulee käyttöön vain hallittujen ympäristöjen osalta. Työnpöytätyönkulkuja voi hallinnoida myös muilla tavoilla.

  • Mahdollisuus hallita työpöytätyönkulkujen orkestrointia: työpöytätyönkulkujen yhdistintä voidaan hallinnoida käytännöissä samalla tavalla kuin muita yhdistimiä kaikissa muissa ympäristöissä.

  • Mahdollisuus hallinnoida Power Automate -työpöytäsovelluksen käyttöä: voit hallinnoida Power Automate -työpöytäsovellusta ryhmäkäytäntöobjekteilla. Tämä hallinnointi mahdollistaa työpöytätyönkulkujen käyttöön ottamisen ja käytöstä poistamisen esimerkiksi ympäristö- tai aluejoukkoon rajoittamisen, käytettävissä olevien tilityyppien rajoittamisen ja manuaalisen päivityksen rajoittamisen kaltaisten toimintojen osalta.

Lisätietoja hallinnoinnista Power Automatessa.

DLP:n työpöytätyönkulkumoduulit

DLP:ssä on käytettävissä seuraavat työpöytätyönkulkumoduulit:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Selaimen automatisointi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD -istunto
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Leikepöytä
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Pakkaus
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Salaus
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Tietokanta
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Sähköposti
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Tiedosto
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Kansio
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Googlen kognitiivinen
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM:n kognitiivinen
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Sanomaruudut
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoftin kognitiivinen
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Hiiri ja näppäimistö
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Suorita työnkulku
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Komentosarja
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Järjestelmä
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Pääte-emulointi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Käyttöliittymäautomaatio
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-palvelut
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Työasema
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-tuki työpöytätyönkulkujen moduuleille

Jos et halua ottaa ominaisuutta Näytä työpöytätyönkulun toiminnot DLP-käytännöissä -asetusta käyttöön hallintakeskuksessa, voit lisätä kaikki työpöytätyönkulkujen moduulit DLP-käytännön Estetty-ryhmään käyttämällä seuraavaa PowerShell-komentosarjaa. Jos olet jo ottanut asetuksen käyttöön, sinun ei tarvitse käyttää tätä komentosarjaa.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Seuraavan PowerShell-komentosarjan avulla voit lisätä kaksi tiettyä työpöytätyönkulkumoduulia DLP-käytännön oletustietoryhmään.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell-komentosarja työpöytätyönkulkujen käytöstä poistamiseen

Jos et halua käyttää työpöytätyönkulkujen DLP-ominaisuutta, voit poistaa sen käytöstä seuraavan PowerShell-komentosarjan avulla.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Kun käytäntö on otettu käyttöön

Jos käyttäjilläsi ei ole uusinta Power Automate -työpöytäsovelluksen versiota, DLP-käytännön pakotus on rajoitettu. Käyttäjät eivät näe suunnitteluajan virhesanomia, kun he yrittävät suorittaa työnkulkuja, tehdä niille virheenetsintää tai tallentaa työpöytätyönkulkuja, jotka rikkovat DLP-käytäntöjä. Taustatyöt tarkistavat säännöllisesti työpöytätyönkulkuja ympäristössä, ja ne työpöytätyönkulut, jotka rikkovat DLP-käytäntöjä, keskeytetään automaattisesti. Käyttäjät eivät voi suorittaa työpöytätyönkulkuja pilvityönkulusta, jos työpöytätyönkulku rikkoo tietojen menetyksen estämiskäytäntöä.

Tekijät, joilla on uusin Power Automate -työpöytäsovelluksen versio, eivät voi tehdä virheenkorjausta, suorittaa tai tallentaa työpöytävirtoja, jotka rikkovat DLP-käytäntöä. He eivät myöskään voi valita pilvityönkulkuvaiheesta työpöytäpöytätyönkulkua, joka rikkoo DLP-käytäntöä.

DLP:n pakotus ja keskeyttäminen

Kun luot työnkulun tai muokkaat sellaista, Power Automate tarkastaa, noudattaako se nykyisiä DLP-käytäntöjä. Pakotus on asynkroninen ja tapahtuu 24 tunnin kuluessa.

Kun luot DLP-käytäntöä tai muokkaat sellaista, taustatyö tarkistaa kaikki ympäristön aktiiviset työnkulut ja keskeyttää sitten päivitettyä käytäntöä rikkovat työnkulut. Pakotus on asynkroninen ja tapahtuu 24 tunnin kuluessa. Jos DLP-käytännön muutos tapahtuu, kun edeltävää DLP-käytäntöä arvioidaan, arviointi käynnistetään uudelleen, jotta voidaan varmistaa, että uusimmat käytännöt pakotetaan.

Taustatyö tarkistaa kaikki ympäristön aktiiviset työnkulut viikoittain DLP-käytäntöjen mukaisesti varmistaakseen, ettei DLP-käytännön tarkistusta jätetty välistä.

DLP:n uudelleenaktivointi

Jos DLP:n soveltamisen taustatyö löytää työpöytätyönkulun, joka ei enää riko DLP-käytäntöä, taustatyö poistaa keskeytyksen automaattisesti. DLP:n soveltamisen taustatyö ei kuitenkaan poista pilvityönkulkujen keskeytystä automaattisesti.

DLP:n soveltamisen muutosprosessi

DLP:n pakotuksen on aika ajoin muututtava, koska uudet DLP-toiminnot tai vikojen korjaukset otetaan käyttöön tai pakotuksen puute on täytetty. Kun muutokset voivat vaikuttaa olemassa oleviin työnkulkuihin, käytä seuraavaa vaiheittaista DLP-soveltamisen muutoksenhallintaprosessia:

  1. Tutkinta: Vahvista DLP:n soveltamista koskevan muutoksen tarve ja selvitä muutoksen erityispiteet.

  2. Oppiminen: Ota muutos käyttöön ja kerää tietoja muutoksen vaikutuksista. Dokumentoi DLP:n soveltamisen muutokset muutoksen laajuuden selittämiseksi. Jos tietojen mukaan vaikutus vaikuttaa joihinkin asiakkaisiin paljon, asiakkaille voidaan lähettää viesti, jossa kerrotaan, että muutos on tulossa. Jos muutoksella on laaja vaikutus aiemmin luotuihin työnkulkuihin, myöhemmässä oppimisvaiheessa, jolloin taustalla toimiva DLP-pakotustyö havaitsee rikkomuksia aiemmin luodussa työnkulussa, Power Automate ilmoittaa työnkulun omistajille, että työnkulku keskeytyy, jotta heillä on enemmän aikaa reagoida.

  3. Vain ilmoitus: Ota sähköposti-ilmoitukset käyttöön vain DLP-rikkomuksille, jotta olemassa olevien työnkulkujen omistajille ilmoitetaan tulevasta DLP:n soveltamismuutoksesta. Kun taustalla toimiva DLP-soveltamisen työ löytää rikkomuksia aiemmin luodusta työnkulusta, ilmoita työnkulun omistajille, että työnkulku keskeytyy. Tämä mekanismi suoritetaan viikoittain.

  4. Suunnittelun aikainen valvonta: Ota suunnittelun aikaisten DLP-rikkomusten valvonta käyttöön. Tällä tavoin aiemmin luotujen työnkulkujen omistajat saavat ilmoituksen tulevasta DLP:n valvonnan muutoksesta. DLP-käytäntö puolestaan arvioidaan suunnittelun aikana niissä työnkuluissa, joissa tehdään muutoksia. Tätä kutsutaan myös pehmeäksi valvonnaksi.

    • Suunnittelun aikainen: kun työnkulku päivitetään ja tallennetaan, päivitetty DLP-valvonta voi keskeyttää työnkulun tarvittaessa, jotta tekijä saa heti tiedon valvonnasta.

    • Taustaprosessi: Kun taustalla toimiva DLP-soveltamisen työ löytää rikkomuksia työnkulusta, ilmoita työnkulun omistajille, että työnkulku keskeytyy. Tämä mekanismi sisältää DLP-käytäntöön tehdyt luonnit tai muutokset sekä yhdenmukaisuuden tarkistukset.

  5. Täysimääräinen valvonta: DLP-rikkomusten täydellinen valvonta otetaan käyttöön, jolloin kaikkien aiemmin luotujen ja uusien työnkulkujen DLP-käytäntöjä valvotaan täysimääräisesti. DLP-käytäntöjä sovelletaan täysimääräisesti, kun työnkulut tallennetaan DLP:n soveltamisen taustatyön arvioinnin aikana. Tätä kutsutaan myös kovaksi valvonnaksi.

DLP:n soveltamisen muutosluettelo

Seuraavassa taulukossa on luettelo DLP:n soveltamisen muutoksista ja muutosten voimaantulopäivämääristä.

Päivä Kuvaus Muutoksen syy Vaihe Suunnitteluajan soveltamisen käytettävyys* Täysi soveltamisen käytettävyys*
Toukokuu 2022 Delegoidun valtuutuksen taustatöiden sovellus Työnkuluilla, jotka käyttävät delegoitua valtuutusta, on sovellettuina DLP-käytännöt, kun työnkulku tallennetaan, mutta ei taustatyön arvioinnin aikana. Täydellinen 2. kesäkuuta 2022 21. heinäkuuta 2022
Toukokuu 2022 apiConnection-käynnistimen valvontapyyntö Joidenkin käynnistimien DLP-käytäntöjä ei pakotettu oikein. Vaikutusalueella olevat käynnistimet ovat tyyppiä type=Request ja kind=apiConnection. Monet vaikutusalueella olevat käynnistimet ovat pikakäynnistimiä, joita käytetään välittömissä tai manuaalisesti käynnistetyissä työnkuluissa. Vaikutusalueella olevat käynnistimet sisältävät seuraavat tiedot.
- Power BI: Power BI -painiketta napsautettu
- Teams: Luo-ruudusta (V2)
- OneDrive for Business: Valitulle tiedostolle
- Dataverse: Kun työnkulun vaihe suoritetaan liiketoimintaprosessin työnkulusta
- Dataverse (vanha): Kun tietue valitaan
- Excel Online (Business): valitulle riville
- SharePoint: valitulle nimikkeelle
- Microsoft Copilot Studio: Kun Copilot Studio kutsuu työnkulkua (V2)		 Täydellinen 2. kesäkuuta 2022 25. elokuuta 2022
Heinäkuu 2022 DLP-käytäntöjen käytön valvominen alityönkuluissa Ota käyttöön DLP-käytäntöjen soveltaminen alityönkulkujen sisällyttämistä varten. Jos työnkulkupuun jossakin kohtaa löytyy rikkomus, päätyönkulku keskeytyy. Kun alityönkulkua muokataan ja se tallennetaan rikkomuksen poistamiseksi, päätyönkulut voidaan tallentaa uudelleen tai aktivoida uudelleen, jotta DLP-käytännön arviointi voidaan suorittaa uudelleen. Kun DLP-käytäntöjen valvonta otetaan täysimääräisesti käyttöön, niiden mukana julkaistaan muutos, joka ei enää estä alityönkulkuja, kun HTTP-yhdistin estetään. Kun täysimääräinen valvonta on saatavana, valvonta sisältää alityöpöytätyönkulut. Täydellinen 14. helmikuu 2023 Maaliskuu 2023
Tammikuu 2023 DLP-käytäntöjen käytön valvominen alityöpöytätyönkuluissa Ota käyttöön DLP-käytäntöjen soveltaminen alityöpöytätyönkulkujen sisällyttämistä varten. Jos työnkulkupuun jossakin kohtaa löytyy rikkomus, päätyöpöytätyönkulku keskeytyy. Kun alityöpöytätyönkulkua muokataan ja tallennetaan rikkomuksia varten, päätyöpöytätyönkulut aktivoidaan automaattisesti uudelleen. Oppiminen - Elokuu 2023

*Käytettävyysaikataulu voi muuttua, ja se määräytyy käyttöönoton mukaan.

Työnkulun keskeytys DLP-rikkomusten vuoksi

Keskeytetyt työnkulut näkyvät keskeytettyinä Power Automate Maker Portalissa ja Power Platformin hallintakeskuksessa. Kun työnkulku palautetaan API:n, PowerShellin tai Power Automate -hallinnan yhdistimen työnkulkuluettelon kautta järjestelmänvalvojan toimintona, työnkulun tila on State=Suspended, ja sillä on FlowSuspensionReason=CompanyDlpViolation- ja FlowSuspensionTime-arvot, jotka kertovat milloin työnkulku keskeytettiin.

Tunnetut rajoitukset

Tietoja DLP:hen liittyvistä tunnetuista ongelmista.

Katso myös

Lisätietoja ympäristöistä
Lisätietoja Power Automatesta
Lue lisätietoja hallintakeskuksesta