Dijeli putem

Stvaranje pravila za sprječavanje gubitka podataka (DLP)

  • Članak

Podaci organizacije presudni su za njezin uspjeh. Njegovi podaci moraju biti lako dostupni za donošenje odluka, ali u isto vrijeme zaštićeni kako se ne bi dijelili s publikom koja im ne bi trebala imati pristup. Da biste zaštitili svoje poslovne podatke, Power Automate daje vam mogućnost stvaranja i provođenja pravila koja definiraju koji poveznici mogu pristupiti i dijeliti ih. Pravila koja definiraju način dijeljenja podataka nazivaju se pravilima za sprječavanje gubitka podataka (DLP).

Administratori kontroliraju pravila DLP-a. Ako pravilo DLP-a blokira pokretanje tijekova, obratite se administratoru.

Saznajte više o zaštiti podataka pomoću Power Platform pravila za sprječavanje gubitka podataka (DLP).

Sprječavanje gubitka podataka za tijekove radne površine

Power Automate omogućuje vam stvaranje i provođenje pravila DLP-a koja klasificiraju module tok radne površine i pojedinačne radnje modula kao poslovne, neposlovne ili blokirane. Ova kategorizacija sprječava autore da kombiniraju module i radnje iz različitih kategorija u tok radne površine ili između tok oblaka i tijekova radne površine koje koristi.

Važno

  • Provedba pravila DLP-a dostupna je samo za Upravljana rješenja . Od rujna 2024. pravila DLP-a ocjenjivat će samo tijekove radne površine koji se nalaze u Upravljana rješenja.
  • DLP za tijekove radne površine dostupan je za verzije Power Automate za stolna računala 2.14.173.21294 ili novije. Ako koristite stariju verziju, deinstalirajte je i ažurirajte na najnoviju verziju.

Prikaz akcijskih grupa tok radne površine

Prema zadanim postavkama, akcijske grupe tok radne površine ne prikazuju se prilikom stvaranja pravila DLP-a. Morate uključiti postavku Prikaži tok radne površine u pravilima DLP-a u postavkama klijenta.

Ako ste se odlučili za javni pretpregled, radnje tok radne površine u DLP-u već su omogućene i ne mogu se promijeniti.

  1. Prijavite se u centar za administratore platforme Power Platform.

  2. Na lijevoj bočnoj ploči odaberite Postavke.

  3. Na stranici Postavke klijenta odaberite tok radne površine u DLP-u.

  4. Uključite Prikaži akcije tok radne površine u pravilima DLP-a, a zatim odaberite Spremi.

    Snimka zaslona postavke DLP-a za tijekove radne površine u Power Platform centru za administratore.

Sada možete klasificirati akcijske grupe tok radne površine prilikom stvaranja pravila o podacima.

Stvaranje pravila DLP-a s ograničenjima tok radne površine

Kada administratori uređuju ili stvaraju pravilo, akcijske grupe tok radne površine dodaju se u zadanu grupu, a pravilo se primjenjuje nakon spremanja. Pravilo se obustavlja ako je zadana grupa postavljena na Blokirano , a tijekovi radne površine izvode se u ciljnim okruženjima.

Pravilima DLP-a za tijekove radne površine možete upravljati na isti način na koji upravljate poveznicima i akcijama tok oblaka. Moduli tok radne površine grupe su sličnih radnji koje su prikazane u korisničkom sučelju Power Automate za stolna računala. Modul je sličan konektorima koji se koriste u tokovima u oblaku. Možete definirati DLP pravilo koje upravlja modulima tok radne površine i konektorima tok oblaka. Nekim osnovnim modulima, kao što su varijable, ne može se upravljati u okviru pravila DLP-a jer ih gotovo svi tijekovi radne površine moraju koristiti. Saznajte više o osnovama pravila DLP-a i kako ih stvoriti.

Kada se vaš klijent uključi u korisničko iskustvo u Power Platform, administratori automatski vide nove module tok radne površine u zadanoj grupi podataka pravila DLP-a koje stvaraju ili ažuriraju.

Snimka zaslona DLP pravila u izradi u Power Platform centru za administratore.

Upozorenje

Kada se moduli tok radne površine dodaju u pravila DLP-a, tijekovi radne površine vašeg klijenta procjenjuju se u odnosu na njih i obustavljaju se ako nisu usklađeni. Ako vaš administrator stvori ili ažurira pravila DLP-a, a da ne primijeti nove module, tijekovi radne površine mogu se neočekivano obustaviti

Upravljanje tijekovima radne površine izvan DLP-a

Granularna kontrola nad upotrebom tijekova radne površine na svim računalima kao što je opisano u prethodnim odjeljcima odnosi se samo na Upravljana rješenja. Imate druge mogućnosti za upravljanje tijekovima radne površine.

  • Mogućnost upravljanja orkestriranjem tok radne površine: Poveznikom tok radne površine može se upravljati u vašim pravilima kao i bilo kojim drugim poveznikom u svim okruženjima.

  • Mogućnost upravljanja upotrebom za Power Automate stolna računala: Možete upravljati Power Automate za tijekove radne površine putem GPO-a. Ovo upravljanje omogućuje vam uključivanje ili isključivanje tijekova radne površine za radnje kao što su ograničavanje na skup okruženja ili regija, ograničavanje upotrebe vrsta računa i ograničavanje ručnih ažuriranja.

Saznajte više o upravljanju u Power Automate.

Moduli tok radne površine u DLP-u

Sljedeći moduli tok radne površine dostupni su u DLP-u:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatizacija preglednika
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD sesija
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Međuspremnik
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kompresija
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografija
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database baza podataka
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-pošta
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Datoteka
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/Mapa DesktopFlow.Folder
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitivni
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Okviri s porukama
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitivni
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Miš i tipkovnica
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Tijek pokretanja
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptiranje
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulacija terminala
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAautomatizacija korisničkog sučelja
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation radna stanica
  • Pružatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell podrška za module tok radne površine

Ako ne želite uključiti postavku Pokaži akcije tok radne površine u pravilima DLP-a , možete upotrijebiti sljedeću skriptu PowerShell da biste dodali sve module tok radne površine u grupu Blokirano pravila DLP-a. Ako ste već uključili postavku, ne morate koristiti ovu skriptu.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Sljedeća PowerShell skripta dodaje dva specifična modula tok radne površine u zadanu grupu podataka DLP pravila.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell skripta za isključivanje tijekova radne površine

Ako ne želite koristiti značajku DLP-a za tijekove radne površine, možete upotrijebiti sljedeću PowerShell skriptu da biste se isključili.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Nakon što je pravilnik omogućen

Ako vaši korisnici nemaju najnovije verzije Power Automate za stolna računala, provedba pravila DLP-a ograničena je. Ne vide poruke o pogreškama u vrijeme dizajna kada pokušavaju pokrenuti, otkloniti pogreške ili spremiti tijekove radne površine koji krše pravila DLP-a. Pozadinski poslovi povremeno skeniraju tijekove radne površine u okruženju i automatski obustavljaju sve koji krše pravila DLP-a. Korisnici ne mogu pokretati tijekove radne površine iz tok oblaka ako tok radne površine krši bilo koja pravila za sprječavanje gubitka podataka.

Proizvođači koji imaju najnovije Power Automate verzije za stolna računala ne mogu otklanjati pogreške, pokretati ili spremati tijekove radne površine koji krše pravila DLP-a. Također ne mogu odabrati tok radne površine koji krši pravila DLP-a iz tok oblaka korak.

Provedba i suspenzija DLP-a

  1. Kada stvorite ili uredite tijek, Power Automate procjenjuje ga u odnosu na trenutni skup pravila DLP-a.
    1. Provedba tokova bez podređenog toka, koji čini 99% tokova, sinkrona je i odvija se u stvarnom vremenu.
    2. Provedba toka s podređenim tokom je asinkrona jer je potrebno procijeniti i podređene tokove, a događa se u roku od 24 sata.
  2. Kada stvorite ili promijenite DLP pravilo, pozadinski posao skenira sve aktivne tijekove u okruženju, procjenjuje ih, a zatim obustavlja tijekove koji krše pravila. Provedba je asinkrona i odvija se u roku od 24 sata. Ako dođe do promjene pravila DLP-a prilikom procjene prethodnog pravila DLP-a, procjena se ponovno pokreće kako bi se osiguralo da se provode najnovija pravila.
  3. Tjedno, pozadinski posao provjerava dosljednost svih aktivnih tokova u okruženju u odnosu na DLP pravila kako bi se potvrdilo da provjera DLP pravila nije propuštena.

Ponovna aktivacija DLP-a

Ako pozadinski posao provedbe DLP-a pronađe tok radne površine koji više ne krši nijedno DLP pravilo, pozadinski posao automatski uklanja suspenziju. Međutim, pozadinski posao provedbe DLP-a ne poništava automatski obustavu tijekova u oblaku.

Postupak promjene provedbe DLP-a

Povremeno se provedba DLP-a mora mijenjati jer se uvode nove mogućnosti DLP-a ili ispravak grešaka ili se popunjava praznina u provedbi. Kada promjene mogu utjecati na postojeće tijekove, primijenite sljedeći postupni postupak upravljanja promjenama DLP-a:

  1. Istraga: Potvrdite potrebu za promjenom provedbe DLP-a i istražite pojedinosti promjene.

  2. Učenje: Implementirajte promjenu i prikupite podatke o širini učinaka promjene. Dokumentirajte promjene provedbe DLP-a kako biste objasnili opseg promjene. Ako podaci sugeriraju da će kupci biti uvelike pogođeni, tada se tim kupcima može poslati komunikacija kako bi ih obavijestila da dolazi do promjene. Ako promjena ima širok utjecaj na postojeće tijekove, tada u kasnijoj fazi faze učenja, kada pozadinski posao provedbe DLP-a pronađe kršenje u postojećem tijeku, Power Automate obavještava vlasnike tijeka da će tijek biti obustavljen kako bi imali više vremena za odgovor.

  3. Samo obavijesti: uključite obavijesti e-poštom samo za kršenja DLP-a kako bi vlasnici postojećih tijekova bili obaviješteni o nadolazećoj promjeni provedbe DLP-a. Kada pozadinski posao provedbe DLP-a pronađe kršenje u postojećem tijeku, obavijestite vlasnike tijeka da će tijek biti obustavljen. Ovaj mehanizam radi tjedno.

  4. Provedba u vrijeme dizajna: uključite provedbu kršenja DLP-a u vrijeme dizajna tako da vlasnici postojećih tijekova dobiju obavijest o nadolazećoj promjeni provedbe DLP-a, ali svi tijekovi koji se promijene dobivaju potpunu procjenu pravila DLP-a u vrijeme dizajna. To je također poznato kao meka provedba.

    • Vrijeme dizajna: kada se tijek ažurira i spremi, upotrijebite ažuriranu provedbu DLP-a i obustavite tijek ako je potrebno kako bi proizvođač odmah bio svjestan provedbe.

    • Pozadinski postupak: Kada posao provedbe DLP-a u pozadini pronađe kršenje u tijeku, obavijestite vlasnike toka da će tijek biti obustavljen. Ovaj mehanizam uključuje stvaranje ili promjene pravila DLP-a i provjere dosljednosti.

  5. Potpuna provedba: uključite potpunu provedbu kršenja DLP-a kako bi se pravila DLP-a u potpunosti provodila na svim postojećim i novim tijekovima. Pravila DLP-a u potpunosti se provode kada se tijekovi spremaju tijekom pozadinske procjene posla provedbe DLP-a. To je također poznato kao stroga provedba.

Popis promjena provedbe DLP-a

U sljedećoj tablici navedene su promjene provedbe DLP-a i datum stupanja na snagu promjena.

Date Opis Razlog promjene Faza Dostupnost provedbe u vrijeme dizajna* Potpuna dostupnost provedbe*
Svibanj 2022. Provedba posla u pozadini delegirane autorizacije DLP pravila provode se na tijekovima koji koriste delegiranu autorizaciju dok se tijek sprema, ali ne i tijekom pozadinske procjene posla. Potpuni 2. lipnja 2022. 21. srpnja 2022.
Svibanj 2022. Zahtjev za provedbu okidača apiConnection DLP pravila nisu ispravno provedena za neke okidače. Zahvaćeni okidači imaju type=Request i kind=apiConnection. Mnogi od zahvaćenih okidača su trenutni okidači, koji se koriste u trenutnim ili ručno pokrenutim tokovima. Zahvaćeni okidači uključuju sljedeće.
- Power BI: Power BI kliknuo na gumb
- Timovi: Iz okvira za sastavljanje (V2)
- OneDrive za tvrtke: za odabranu datoteku
- Dataverse: Kada se korak tijeka pokreće iz tijek poslovnog procesa
- Dataverse (naslijeđeno): kada je odabran zapis
- Excel Online (Business): za odabrani redak
- SharePoint: Za odabranu stavku
- Microsoft Copilot Studio: Kada Copilot Studio se pozove tijek (V2)		 Potpuni 2. lipnja 2022. 25. kolovoza 2022.
Lipanj 2022. Nametanje pravila DLP-a na podređenim tijekovima Omogućite provedbu pravila DLP-a da biste uključili podređene tijekove. Ako se kršenje pronađe bilo gdje u stablu toka, nadređeni tok se obustavlja. Nakon što se podređeni tok uredi i spremi radi uklanjanja kršenja, nadređeni tijekovi mogu se ponovno spremiti ili ponovno aktivirati da bi se ponovno pokrenula procjena pravila DLP-a. Promjena da se više ne blokiraju podređeni tijekovi kada je HTTP poveznik blokiran uvest će se zajedno s potpunom provedbom pravila DLP-a na podređenim tijekovima. Kada potpuna provedba bude dostupna, provedba će uključivati podređene tijekove radne površine. Potpuni 14. veljače 2023. Ožujak 2023.
siječanj 2023. Nametanje pravila DLP-a na podređenim tijekovima radne površine Omogućite provedbu pravila DLP-a kako biste uključili podređene tijekove radne površine. Ako se kršenje pronađe bilo gdje u stablu tijeka, nadređeni tok radne površine obustavlja se. Nakon što se podređeni tok radne površine uredi i spremi radi uklanjanja kršenja, nadređeni tijekovi radne površine automatski se ponovno aktiviraju. Potpuni - Kolovoz 2023.

*Raspored dostupnosti može se promijeniti i ovisi o uvođenju.

Suspenzija protoka za kršenje DLP-a

Obustavljeni tijekovi prikazuju se kao obustavljeni na portalu Power Automate za izradu i u Power Platform centru za administratore. Kada se tijek vrati putem API-ja, PowerShell-a ili tokova popisa Power Automate poveznika za upravljanje "kao administrator", tijek ima State=Suspended,FlowSuspensionReason =CompanyDlpViolation i vrijednost FlowSuspensionTime koja označava kada je tijek obustavljen.

Poznata ograničenja

Saznajte više o poznatim problemima DLP-a.