Création de la stratégie de protection contre la perte de données (DLP)
Les données d’une organisation sont essentielles à sa réussite. Elles doivent être disponibles à tout moment pour permettre de prendre des décisions, mais doivent également être protégées afin d’éviter qu’elles soient partagées avec des personnes qui ne devraient pas y avoir accès. Pour protéger vos données métiers, Power Automate vous offre la possibilité de créer et d’appliquer des stratégies qui définissent les connecteurs autorisés à accéder aux données métiers et à les partager. Les stratégies qui définissent la façon dont les données peuvent être partagées sont appelées stratégies de protection contre la perte de données.
Les administrateurs contrôlent les stratégies DLP. Si une stratégie DLP empêche l’exécution de vos flux, contactez votre administrateur.
Protection contre la perte de données pour les flux de bureau
Power Automate vous permet de créer et d’appliquer des stratégies DLP qui classent les modules de flux de bureau et les actions de module individuel en catégories commerciales, non commerciales ou bloquées. Cette catégorisation empêche les créateurs de combiner des modules et des actions de différentes catégories dans un flux de bureau, ou entre un flux de cloud et les flux de bureau qu’il utilise.
Important
- L’application des stratégies DLP n’est disponible que pour les Environnements gérés. À compter de janvier 2025, seuls les flux de bureau présents dans les environnements gérés seront évalués par les stratégies DLP.
- La protection contre la perte de données pour les flux de bureau est disponible pour les versions de Power Automate pour ordinateur de bureau 2.14.173.21294 ou ultérieure. Si vous utilisez une version antérieure, désinstallez-la et mettez-la à jour vers la version la plus récente.
Afficher les groupes d’actions de flux de bureau
Par défaut, les groupes d’actions de flux de bureau n’apparaissent pas lorsque vous créez une stratégie DLP. Vous devez activer le paramètre Afficher les actions de flux de bureau dans les stratégies DLP dans les paramètres de votre client.
Si vous avez opté pour la version préliminaire publique, le paramètre Actions de flux de bureau dans DLP est déjà activé et ne peut pas être modifié.
Connectez-vous au centre d’administration Power Platform.
Dans le volet de gauche, sélectionnez Paramètres.
Sur la page Paramètres du client, sélectionnez Actions de flux de bureau dans DLP.
Activez Afficher les actions de flux de bureau dans les stratégies DLP, puis sélectionnez Enregistrer.
Vous pouvez désormais classer les groupes d’actions de flux de bureau lorsque vous créez une stratégie de données.
Créer une stratégie DLP avec des restrictions de flux de bureau
Lorsque les administrateurs modifient ou créent une stratégie, des groupes d’actions de flux de bureau sont ajoutés au groupe par défaut et la stratégie est appliquée une fois enregistrée. La stratégie est suspendue si le groupe par défaut est défini sur Bloqué et les flux de bureau sont en cours d’exécution dans les environnements cibles.
Vous pouvez gérer vos stratégies DLP pour les flux de bureau de la même manière que vous gérez les connecteurs et les actions de flux de cloud. Les modules de flux de bureau sont des groupes d’actions similaires à celles affichées dans l’interface utilisateur de Power Automate pour le bureau. Un module est similaire aux connecteurs utilisés dans les flux de cloud. Vous pouvez définir une stratégie DLP qui gère à la fois les modules de flux de bureau et les connecteurs de flux de cloud. Certains modules de base, tels que les Variables, ne peuvent pas être gérés dans le cadre de la stratégie DLP, car presque tous les flux de bureau doivent les utiliser. En savoir plus sur les principes fondamentaux des stratégies DLP et sur la manière de les créer.
Lorsque votre locataire est inscrit à l’expérience utilisateur dans Power Platform, vos administrateurs voient automatiquement les nouveaux modules du flux de bureau dans le groupe de données par défaut de la stratégie de protection contre la perte des données qu’ils créent ou mettent à jour.
Avertissement
Lorsque des modules de flux de bureau sont ajoutés aux stratégies DLP, les flux de bureau de votre locataire sont évalués par rapport à celles-ci, et ils sont suspendus s’ils ne sont pas conformes. Si votre administrateur crée ou met à jour la stratégie DLP sans tenir compte des nouveaux modules, les flux de bureau peuvent être suspendus de manière inattendue.
Gérer les flux de bureau en dehors de DLP
Le contrôle granulaire de l’utilisation de flux de bureau sur toutes les machines, comme décrit dans les sections précédentes, ne s’applique qu’aux environnements gérés. D’autres options sont disponibles pour gérer les flux de bureau.
Capacité à gérer l’orchestration du flux de bureau : le connecteur de flux de bureau peut toujours être géré dans vos stratégies comme n’importe quel autre connecteur dans tous les environnements.
Capacité à gérer l’utilisation de Power Automate pour le bureau : vous pouvez gérer les flux Power Automate pour le bureau via les objets de stratégie de groupe (GPO). Cette gouvernance vous permet d’activer ou de désactiver des flux de bureau pour des actions comme restreindre à un ensemble d’environnements ou de régions, limiter l’utilisation de types de compte et restreindre les mises à jour manuelles.
En savoir plus sur la gouvernance dans Power Automate.
Modules de flux de bureau dans DLP
Les modules de flux de bureau suivants sont disponibles dans DLP :
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatisation du navigateur
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Chiffrement
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Base de données
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Courrier électronique
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Fichier
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Dossier
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitif
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Zones de message
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitif
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Souris et clavier
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variables secrètes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Flux d’exécution
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Script
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Système
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Émulation de terminal
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatisation d’interface utilisateur
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Services Windows
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Station de travail
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Prise en charge de PowerShell pour les modules de flux de bureau
Si vous ne souhaitez pas activer le paramètre Afficher les actions de flux de bureau dans les stratégies DLP, vous pouvez utiliser le script PowerShell suivant pour ajouter tous les modules de flux de bureau au groupe Bloqué d’une stratégie DLP. Si vous avez déjà activé le paramètre, il n’est pas nécessaire d’utiliser ce script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Le script PowerShell suivant ajoute deux modules de flux de bureau spécifiques au groupe de données par défaut d’une stratégie DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script PowerShell pour désactiver les flux de bureau
Si vous ne souhaitez pas utiliser la fonctionnalité DLP pour les flux de bureau, vous pouvez utiliser le script PowerShell suivant pour la désactiver.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Une fois la stratégie activée
Si vos utilisateurs ne disposent pas de la version la plus récente de Power Automate pour le bureau, l’application de la stratégie DLP est limitée. Ils ne voient pas les messages d’erreur à la conception lorsqu’ils essaient d’exécuter, de déboguer ou d’enregistrer des flux de bureau qui enfreignent les stratégies DLP. Des tâches en arrière-plan analysent périodiquement les flux de bureau dans l’environnement et suspendent automatiquement ceux qui enfreignent les stratégies DLP. Les utilisateurs ne peuvent pas exécuter de flux de bureau à partir d’un flux de cloud si le flux de bureau enfreint une quelconque stratégie de protection contre la perte de données.
Les créateurs qui disposent de la version la plus récente de Power Automate pour le bureau ne peuvent pas déboguer, exécuter ni enregistrer les flux de bureau qui enfreignent la stratégie DLP. Ils ne peuvent pas non plus sélectionner un flux de bureau qui enfreint une stratégie DLP à partir d’une étape de flux de cloud.
Application de la protection contre la perte de données et suspension
- Lorsque vous créez ou modifiez un flux, Power Automate l’évalue par rapport à l’ensemble actuel de stratégies DLP.
- L’application de flux sans flux enfant, qui représente 99 % des flux, est synchrone et se produit en temps réel.
- L’application d’un flux avec un flux enfant est asynchrone, puisque les flux enfants doivent également être évalués et se produit dans les 24 heures.
- Lorsque vous créez ou modifiez une stratégie DLP, une tâche en arrière-plan analyse tous les flux actifs dans l’environnement, les évalue, puis suspend les flux qui enfreignent la stratégie. L’application est asynchrone et se produit dans les 24 heures. Si un changement de stratégie DLP se produit pendant l’évaluation de la stratégie DLP précédente, l’évaluation redémarre pour s’assurer que les stratégies les plus récentes sont appliquées.
- Chaque semaine, une tâche en arrière-plan effectue une vérification de la cohérence de tous les flux actifs dans l’environnement par rapport aux stratégies DLP pour confirmer qu’aucune vérification de stratégie DLP n’a été manquée.
Réactivation DLP
Si la tâche en arrière-plan d’application de la stratégie DLP détecte qu’un flux de bureau n’enfreint plus aucune stratégie DLP, la tâche en arrière-plan annule automatiquement la suspension. Toutefois, la tâche en arrière-plan d’application de la stratégie DLP n’annule pas automatiquement la suspension des flux de cloud.
Processus de modification de l’application de la DLP
Périodiquement, l’application de la stratégie DLP doit être modifiée, car de nouvelles fonctionnalités DLP ou une correction de bogue sont déployées ou une lacune dans l’application est comblée. Lorsque les modifications peuvent affecter les flux existants, appliquez le processus ci-dessous de gestion étagée des modifications de l’application de la stratégie DLP :
Investigations : vérifiez la nécessité de modifier l’application de la protection DLP et étudiez les spécificités de cette modification.
Apprentissage : mettez en œuvre la modification et recueillez des données sur l’étendue de ses effets. Documentez les modifications de l’application de la stratégie DLP pour expliquer la portée du changement. Si les données suggèrent que les clients seront fortement affectés, une communication peut être envoyée aux clients pour les informer qu’une modification va intervenir. Si cette modification a un impact important sur les flux existants, à une étape ultérieure de la phase d’apprentissage, quand la tâche d’application de la stratégie DLP en arrière-plan détecte une violation dans un flux existant, Power Automate informe les propriétaires du flux de sa suspension prochaine afin de leur laisser plus de temps pour réagir.
Notifier uniquement : activez les notifications par e-mail uniquement pour les violations de protection DLP afin que les propriétaires des flux existants soient informés de la prochaine modification de l’application de la protection DLP. Lorsque la tâche en arrière-plan d’application de la DLP détecte une violation dans un flux existant, informez les propriétaires du flux que le flux sera suspendu. Ce mécanisme s’exécute chaque semaine.
Application au moment de la conception : activez l’application au moment de la conception des violations de protection DLP afin que les propriétaires des flux existants soient informés de la modification prochaine de l’application de la protection DLP, mais tous les flux modifiés obtiennent une évaluation complète de la stratégie DLP au moment de la conception. Celle-ci est également appelée application temporaire.
Au moment de la conception : quand un flux est mis à jour et enregistré, utilisez l’application mise à jour de la protection DLP et suspendez le flux si nécessaire afin que le créateur soit immédiatement informé de l’application.
Processus en arrière-plan : quand la tâche d’application de la stratégie DLP en arrière-plan détecte une violation dans un flux, informez les propriétaires du flux que ce dernier sera suspendu. Ce mécanisme inclut la création ou les modifications de la stratégie DLP et les vérifications de cohérence.
Application complète : activez l’application complète des violations DLP, afin que les stratégies DLP soient pleinement appliquées sur tous les flux existants et nouveaux. Les stratégies DLP sont pleinement appliquées lorsque les flux sont enregistrés lors de l’évaluation de la tâche en arrière-plan d’application de la stratégie DLP. Celle-ci est également appelée application définitive.
Liste de modifications de l’application de la DLP
Le tableau suivant répertorie les modifications apportées à l’application de la stratégie DLP et la date à laquelle les modifications ont été appliquées.
Date | Description | Motif de la modification | Phase | Disponibilité de l’application au moment de la conception* | Disponibilité totale de l’application* |
---|---|---|---|---|---|
Mai 2022 | Application des tâches d’arrière-plan d’autorisation déléguée | Les stratégies DLP sont appliquées aux flux qui utilisent l’autorisation déléguée pendant que le flux est en cours d’enregistrement, mais pas pendant l’évaluation de la tâche en arrière-plan. | Complet | 2 juin 2022 | 21 juillet 2022 |
Mai 2022 | Demander l’application du déclencheur apiConnection | Les règles DLP n’étaient pas appliquées correctement pour certains déclencheurs. Les déclencheurs concernés ont type=Request et kind=apiConnection. La plupart des déclencheurs concernés sont des déclencheurs instantanés, qui sont utilisés dans des flux instantanés ou déclenchés manuellement. Les déclencheurs concernés incluent les déclencheurs suivants. - Power BI : bouton Power BI sélectionné - Teams : à partir de la zone de composition (V2) - OneDrive Entreprise : pour un fichier sélectionné - Dataverse : lorsqu’une étape du flux est exécutée à partir d’un flux de processus métier - Dataverse (hérité) : quand un enregistrement est sélectionné - Excel Online (Business) : pour une ligne sélectionnée - SharePoint : pour un élément sélectionné - Microsoft Copilot Studio : lorsque Copilot Studio appelle un flux (V2) |
Complet | 2 juin 2022 | 25 août 2022 |
Juillet 2022 | Appliquer les stratégies DLP sur les flux enfants | Activez l’application des stratégies DLP pour inclure les flux enfants. Si une violation est trouvée n’importe où dans l’arborescence des flux, le flux parent est suspendu. Une fois que le flux enfant est modifié et enregistré pour supprimer la violation, les flux parents peuvent être réenregistrés ou réactivés pour exécuter à nouveau l’évaluation de la stratégie DLP. Une modification visant à ne plus bloquer les flux enfants quand le connecteur HTTP est bloqué sera déployée avec l’application complète des stratégies DLP sur les flux enfants. Une fois que l’application des règles complète est disponible, l’application inclut les flux de bureau enfants. | Totale | 14 février 2023 | Mars 2023 |
Janvier 2023 | Appliquer les stratégies DLP sur les flux de bureau enfants | Activez l’application des stratégies DLP pour inclure les flux de bureau enfants. Si une violation est trouvée n’importe où dans l’arborescence des flux, le flux de bureau parent est suspendu. Une fois le flux de bureau enfant modifié et enregistré pour supprimer la violation, les flux de bureau parents sont automatiquement réactivés. | Totale | - | Août 2023 |
October 2024 | Appliquer le contrôle d’action du connecteur sur les déclencheurs et les actions internes | Étendez l’application du contrôle d’action du connecteur pour vous assurer que les déclencheurs et les actions internes sont couverts. Répertoriez-les dans le Centre d’administration Power Platform et imposez leur blocage s’ils sont référencés individuellement dans les stratégies DLP ou si la stratégie DLP ne les inclut pas comme autorisés. | Apprentissage | Janvier 2025 | Février 2025 |
*Le programme de disponibilité peut changer et dépend du déploiement.
Suspension du flux pour violation DLP
Les flux suspendus s’affichent comme suspendus dans Power Automate Maker Portal et le centre d’administration Power Platform. Lorsqu’un flux est renvoyé via une API, PowerShell ou l’action Répertorier les flux en tant qu’administrateur du connecteur de gestion de Power Automate, le flux a State=Suspended, FlowSuspensionReason=CompanyDlpViolation et une valeur FlowSuspensionTime indiquant que le flux a été suspendu.
Limitations connues
En savoir plus sur les problèmes connus de la DLP.