Ler en inglés

Compartir por

Creación da política de prevención de perda de datos (DLP)

  • Artigo

Os datos dunha organización son críticos para o seu éxito. Os seus datos deben estar dispoñibles para a toma de decisións, pero ao mesmo tempo, os datos deben estar protexidos para que non se compartan con públicos que non deberían ter acceso a eles. Para protexer os datos da túa empresa, Power Automate ofrece a posibilidade de crear e facer cumprir políticas que definen que conectores poden acceder a eles e compartilos. As políticas que definen como se poden compartir os datos denomínanse políticas de prevención de perda de datos (DLP).

Os administradores controlan as políticas DLP. Se unha política de DLP está a bloquear a execución dos teus fluxos, ponte en contacto co teu administrador.

Obtén máis información sobre como protexer os teus datos con Power Platform en políticas de prevención de perda de datos (DLP).

Prevención da perda de datos para fluxos de escritorio

Power Automate permítelle crear e facer cumprir políticas DLP que clasifican os módulos fluxo de escritorio e as accións de módulos individuais como Empresas, Non empresarial ou Bloqueado. Esta categorización impide que os creadores combinen módulos e accións de diferentes categorías nun fluxo de escritorio ou entre un fluxo de nube e os fluxos de escritorio que usa.

Importante

  • A aplicación da política DLP para os fluxos de escritorio está dispoñible en todos os ambientes.
  • DLP para fluxos de escritorio está dispoñible para versións de Power Automate para escritorio 2.14.173.21294 ou posteriores. Se estás a usar unha versión anterior, desinstálaa e actualízaa á última versión.

Consulta os grupos de acción fluxo de escritorio

De forma predeterminada, os grupos de acción fluxo de escritorio non aparecen cando estás a crear unha política de DLP. Debes activar a configuración Mostrar accións fluxo de escritorio nas políticas de DLP na configuración do inquilino.

Se optou pola opción versión preliminar pública, as accións fluxo de escritorio na configuración DLP xa están activadas e non se poden cambiar.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. No panel lateral esquerdo, selecciona Configuración.

  3. Na páxina Configuración do inquilino , seleccione Accións fluxo de escritorio en DLP.

  4. Activa Mostrar accións fluxo de escritorio nas políticas DLP e, a continuación, selecciona Gardar.

    Captura de pantalla da configuración de DLP para fluxos de escritorio no Power Platform centro de administración.

Agora podes clasificar os grupos de acción fluxo de escritorio cando crees unha política de datos.

Crea unha política de DLP coas restricións fluxo de escritorio

Cando os administradores editan ou crean unha política, os grupos de acción fluxo de escritorio engádense ao grupo predeterminado e a política aplícase despois de gardala. Suspendese a política se o grupo predeterminado se define como Bloqueado e os fluxos do escritorio están a executarse nos contornos de destino.

Podes xestionar as túas políticas de DLP para fluxos de escritorio do mesmo xeito que xestionas os conectores e as accións fluxo de nube. Os módulos fluxo de escritorio son grupos de accións similares que se mostran na interface de usuario Power Automate para escritorio. Un módulo é semellante aos conectores que se usan nos fluxos de nube. Pode definir unha política DLP que xestione os módulos fluxo de escritorio e os conectores fluxo de nube. Algúns módulos básicos, como Variables, non se poden xestionar no ámbito da política DLP porque case todos os fluxos de escritorio precisan utilizalos. Obtén máis información sobre os fundamentos das políticas DLP e como crealas.

Cando o seu inquilino opta pola experiencia de usuario en Power Platform, os seus administradores ven automaticamente os novos módulos fluxo de escritorio no grupo de datos predeterminado da política DLP que están a crear ou actualizar.

Captura de pantalla dunha política de DLP en construción no Power Platform centro de administración.

Aviso

Cando se engaden módulos fluxo de escritorio ás políticas de DLP, os fluxos do escritorio do inquilino avalíanse en función deles e suspéndense se non son conformes. Se o teu administrador crea ou actualiza a política DLP sen notar os novos módulos, os fluxos do escritorio poden suspenderse de forma inesperada.

Goberna os fluxos de escritorio fóra de DLP

O control granular sobre o uso de fluxos de escritorio en todas as máquinas, como se describe nas seccións anteriores, só se aplica a Ambientes xestionados. Tes outras opcións para gobernar os fluxos do escritorio.

  • Capacidade para gobernar a orquestración fluxo de escritorio: o conector fluxo de escritorio pódese gobernar nas túas políticas como calquera outro conector en todos os ambientes.

  • Capacidade para gobernar o uso de Power Automate para escritorio: pode gobernar Power Automate o fluxo de escritorio a través de obxectos de política de grupo (GPO). Este goberno permítelle activar ou desactivar os fluxos de escritorio para accións como restrinxir a un conxunto de ambientes ou rexións, limitar o uso de tipos de conta e restrinxir as actualizacións manuais.

Obtén máis información sobre o goberno en Power Automate.

Fluxo de escritorio módulos en DLP

Os seguintes módulos fluxo de escritorio están dispoñibles en DLP:

  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatización do explorador
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD sesión
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Portapapeis
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correo electrónico
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitivo
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Caixas de mensaxes
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitivo
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Rato e teclado
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variables secretas
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Fluxo de execución
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulación de terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatización da interface de usuario
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servizos de Windows
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Soporte PowerShell para módulos fluxo de escritorio

Se non queres activar a configuración Mostrar accións fluxo de escritorio nas políticas de DLP , podes utilizar o seguinte script PowerShell para engadir todos os módulos fluxo de escritorio ao Grupo bloqueado dunha política DLP. Se xa activaches a configuración, non necesitas usar este script.

PowerShell 
# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modulesin$desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName$dlpPolicy.name -classification Blocked -Verbose

O seguinte script PowerShell engade dous módulos específicos fluxo de escritorio ao grupo de datos predeterminado dunha política DLP.

PowerShell 
# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName$dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script PowerShell para desactivar os fluxos de escritorio

Se non queres utilizar a función DLP para fluxos de escritorio, podes utilizar o seguinte script PowerShell para desactivar a función.

PowerShell 
# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Despois de activar a política

Se os teus usuarios non teñen a última Power Automate para escritorio, a aplicación da política de DLP é limitada. Non ven mensaxes de erro en tempo de deseño cando tentan executar, depurar ou gardar fluxos de escritorio que infrinxen as políticas DLP. Os traballos en segundo plano analizan periodicamente os fluxos do escritorio no contorno e suspenden automaticamente os que infrinxen as políticas DLP. Os usuarios non poden executar fluxos de escritorio desde un fluxo de nube se o fluxo de escritorio infrinxe calquera política de prevención da perda de datos.

Os fabricantes que teñan o último Power Automate para escritorio non poden depurar, executar nin gardar fluxos de escritorio que infrinxen a política DLP. Tampouco poden seleccionar un fluxo de escritorio que infrinxa unha política de DLP dun fluxo de nube paso.

Aplicación e suspensión do DLP

  1. Cando creas ou editas un fluxo, Power Automate avalíao en función do conxunto actual de políticas DLP.
    1. A aplicación dos fluxos sen fluxo secundario, que é o 99 % dos fluxos, é sincrónica e prodúcese en tempo real.
    2. A aplicación dun fluxo cun fluxo secundario é asíncrona, xa que tamén hai que avaliar os fluxos fillos e ocorre nun prazo de 24 horas.
  2. Cando crea ou cambia unha política DLP, un traballo en segundo plano analiza todos os fluxos activos do contorno, avalíaos e, a continuación, suspende os fluxos que infrinxen a política. A aplicación é asíncrona e prodúcese nun prazo de 24 horas. Se se produce un cambio de política de DLP cando se está a avaliar a política de DLP anterior, a avaliación reiniciarase para asegurarse de que se aplican as políticas máis recentes.
  3. Semanalmente, un traballo en segundo plano realiza unha comprobación de coherencia de todos os fluxos activos do contorno contra as políticas de DLP para confirmar que non se perdeu unha comprobación de políticas de DLP.

Reactivación DLP

Se o traballo en segundo plano de aplicación de DLP atopa un fluxo de escritorio que xa non infrinxe ningunha política de DLP, entón o traballo en segundo plano elimina automaticamente a suspensión. Non obstante, o traballo en segundo plano de aplicación de DLP non anula automaticamente a suspensión dos fluxos na nube.

Proceso de cambio de aplicación de DLP

Periódicamente, a aplicación de DLP debe cambiar porque se implementan novas capacidades de DLP ou unha corrección de erros ou se cubre un oco de aplicación. Cando os cambios poidan afectar os fluxos existentes, aplique o seguinte proceso de xestión de cambios de aplicación de DLP por etapas:

  1. Investigando : Confirme a necesidade dun cambio de aplicación de DLP e investigue os detalles específicos do cambio.

  2. Aprendizaxe : Implementar o cambio e recompilar datos sobre a amplitude dos efectos do cambio. Documentar os cambios de aplicación de DLP para explicar o alcance do cambio. Se os datos suxiren que os clientes se verán moi afectados, é posible que se envíe unha comunicación a eses clientes para informarlles de que se aveciña un cambio. Se o cambio ten un impacto amplo nos fluxos existentes, nunha fase posterior da fase de aprendizaxe, cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo existente, Power Automate notifica aos propietarios do fluxo que o fluxo será suspendido, para que teñan máis tempo para responder.

  3. Notificar só : Active as notificacións por correo electrónico só para infraccións de DLP para que os propietarios dos fluxos existentes reciban notificacións sobre o próximo cambio de aplicación de DLP. Cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo existente, notifique aos propietarios do fluxo que o fluxo se suspenderá. Este mecanismo funciona semanalmente.

  4. Aplicación en tempo de deseño : Active a aplicación de infraccións de DLP no momento do deseño para que os propietarios dos fluxos existentes reciban notificacións sobre o próximo cambio de aplicación de DLP, pero os fluxos que se modifiquen obteñan unha avaliación completa da política de DLP no momento do deseño. Isto tamén se coñece como aplicación suave.

    • Tempo de deseño : Cando se actualice e gárdase un fluxo, use a aplicación DLP actualizada e suspenda o fluxo se é necesario para que o creador teña coñecemento inmediatamente da aplicación.

    • Proceso de fondo : Cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo, notifique aos propietarios do fluxo que o fluxo se suspenderá. Este mecanismo inclúe a creación ou cambios na política de DLP e comprobacións de coherencia.

  5. Aplicación total : activa a aplicación total das infraccións de DLP, polo que as políticas de DLP aplícanse plenamente a todos os fluxos existentes e novos. As políticas de DLP aplícanse plenamente cando se gardan os fluxos durante a avaliación do traballo en segundo plano da aplicación de DLP. Isto tamén se coñece como aplicación dura.

Lista de cambios de aplicación de DLP

A seguinte táboa enumera os cambios de aplicación de DLP e a data en que os cambios entraron en vigor.

Date Descripción Motivo do cambio Fase Dispoñibilidade de aplicación en tempo de deseño* Dispoñibilidade total de aplicación*
Maio 2022 Autorización delegada antecedentes execución do traballo As políticas DLP aplícanse aos fluxos que usan a autorización delegada mentres se garda o fluxo, pero non durante a avaliación do traballo en segundo plano. Completo 2 de xuño de 2022 21 de xullo de 2022
Maio 2022 Solicitar a aplicación do activador de apiConnection As políticas de DLP non se aplicaron correctamente para algúns activadores. Os activadores afectados teñen type=Request e kind=apiConnection. Moitos dos disparadores afectados son disparadores instantáneos, que se usan en fluxos instantáneos ou desencadeados manualmente. Os desencadenantes afectados inclúen os seguintes.
- Power BI: Power BI premer no botón
- Equipos: dende a caixa de redacción (V2)
- OneDrive for Business: para un ficheiro seleccionado
- Dataverse: Cando se executa un fluxo paso desde un fluxo do proceso de negocio
- Dataverse (herdado): cando se selecciona un rexistro
- Excel Online (empresa): para unha fila seleccionada
- SharePoint: Para un elemento seleccionado
- Microsoft Copilot Studio: cando Copilot Studio chama a un fluxo (V2)		 Completo 2 de xuño de 2022 25 de agosto de 2022
Xullo 2022 Aplicar as políticas de DLP nos fluxos fillos Activa a aplicación das políticas de DLP para incluír fluxos secundarios. Se se atopa unha infracción en calquera lugar da árbore de fluxo, o fluxo principal suspenderase. Despois de editar e gardar o fluxo secundario para eliminar a infracción, pódense volver gardar ou reactivar os fluxos principais para executar de novo a avaliación da política DLP. Un cambio para deixar de bloquear os fluxos secundarios cando se bloquea o conector HTTP implementarase xunto coa aplicación total das políticas DLP nos fluxos secundarios. Unha vez que estea dispoñible a aplicación completa, a aplicación inclúe fluxos de escritorio fillos. Completo 14 de febreiro de 2023 Marzo 2023
Xaneiro 2023 Aplicar políticas de DLP nos fluxos de escritorios fillos Activa a aplicación das políticas de DLP para incluír fluxos de escritorio fillos. Se se atopa unha infracción en calquera lugar da árbore de fluxo, o escritorio fluxo principal suspenderase. Despois de que o fillo fluxo de escritorio sexa editado e gardado para eliminar a infracción, os fluxos do escritorio principal reactiváronse automaticamente. Completo - Agosto 2023
Outubro 2024 Aplicar o control de acción do conector nos disparadores e accións internas Amplía a aplicación do control de accións do conector para garantir que se cubran os disparadores e as accións internas. Enuméreos no Power Platform centro de administración e impígaos o bloqueo se se fai referencia individual nas políticas de DLP ou se a política de DLP non os inclúe como se permite. Aprendizaxe 27 de xaneiro de 2025 10 de febreiro de 2025

*O calendario de dispoñibilidade pode cambiar e depende do lanzamento.

Suspensión de fluxo por infracción de DLP

Os fluxos suspendidos móstranse como suspendidos no Power Automate portal do creador e no Power Platform centro de administración. Cando se devolve un fluxo a través dunha API, PowerShell ou a Acción "como administrador" da lista de conectores de xestión Power Automate , o fluxo ten State=Suspender, FlowSuspensionReason=CompanyDlpViolation e un FlowSuspensionTime valor que indica cando se suspendeu o fluxo.

Limitacións coñecidas

Obtén información sobre os problemas coñecidos de DLP.