Megosztás a következőn keresztül:


Szabályzat létrehozása az adatvesztés elkerüléséhez

A szervezet adatai fontosak a siker szempontjából. Az adatoknak könnyen hozzáférhetőnek kell lenniük a döntéshozatalhoz, ugyanakkor védeniük kell őket, hogy ne osszák meg azokat olyan közönséggel, amelynek nem kellene hozzáférnie. Az üzleti adatok védelme érdekében lehetővé teszi olyan szabályzatok létrehozását és kényszerítését, Power Automate amelyek meghatározzák, hogy mely összekötők férhetnek hozzá és oszthatják meg azokat. Az adatmegosztás módját szabályozó szabályzatokat nevezzük adatveszteség-megelőzési (DLP) szabályzatoknak.

A DLP-házirendeket rendszergazdák vezérlik. Ha egy DLP-házirend blokkolja a folyamatok futását, forduljon a rendszergazdához.

További információ az adatok adatveszteség-megelőzési szabályzatokkal való védelméről.

Adatveszteség-megelőzés asztali folyamatokhoz

Power Automate lehetővé teszi DLP-szabályzatok létrehozását és kényszerítését, amelyek az asztali folyamat moduljait és az egyes modulműveleteket üzleti, nem üzleti vagyletiltott kategóriába sorolják. Ez a kategorizálás megakadályozza, hogy a készítők különböző kategóriákból származó modulokat és műveleteket kombináljanak egy asztali folyamatba, vagy egy felhőfolyamat és az általa használt asztali folyamatok között.

Fontos

  • A DLP-házirendek kényszerítése csak felügyelt környezetekben érhető el. 2024 szeptemberétől csak a felügyelt környezetekben található asztali folyamatokat értékelik ki DLP-házirendek.
  • Az asztali folyamatok DLP-je az Power Automate asztali 2.14.173.21294 vagy újabb verzióihoz érhető el. Ha korábbi verziót használ, távolítsa el, és frissítsen a legújabb verzióra.

Asztali folyamat műveletcsoportjainak megtekintése

Alapértelmezés szerint az asztali folyamat műveletcsoportjai nem jelennek meg DLP-szabályzat létrehozásakor. Be kell kapcsolnia az Asztali folyamat műveleteinek megjelenítése DLP-házirendekben beállítást a bérlői beállításokban.

Ha a nyilvános előzetes verziót választotta, az Asztali folyamat műveletei DLP-ben beállítás már engedélyezve van, és nem módosítható.

  1. Jelentkezzen be aPower Platform felügyeleti központjába.

  2. A bal oldalsó panelen válassza a Webhelybeállítások lehetőséget.

  3. A Bérlői beállítások lapon válassza az Asztali folyamatműveletek a DLP-ben lehetőséget.

  4. Kapcsolja be az Asztali folyamat műveleteinek megjelenítése DLP-házirendekben beállítást, majd válassza aMentés lehetőséget.

    Képernyőkép az asztali folyamatok DLP beállításáról a Power Platform felügyeleti központban.

Mostantól osztályozhatja az asztali folyamat műveletcsoportjait adat-szabályzat létrehozásakor.

DLP-szabályzat létrehozása asztali forgalomkorlátozásokkal

Amikor a rendszergazdák szerkesztenek vagy létrehoznak egy szabályzatot, az asztali folyamat műveletcsoportjai hozzáadódnak az alapértelmezett csoporthoz, és a rendszer a mentés után alkalmazza a szabályzatot. A házirend felfüggesztésre kerül, ha az alapértelmezett csoport Letiltva értékre van állítva , és az asztali folyamatok a célkörnyezetekben futnak.

Az asztali folyamatok DLP-házirendjeit ugyanúgy kezelheti, mint a felhőfolyamat-összekötőket és -műveleteket. Az asztali folyamatmodulok hasonló műveletek csoportjai, amelyek az Power Automate asztali felhasználói felületen jelennek meg. A modulok hasonlóak a felhőfolyamatokban használt összekötőkhöz. Meghatározhat egy DLP-házirendet, amely az asztali folyamatmodulokat és a felhőfolyamat-összekötőket is kezeli. Egyes alapszintű modulok , példáula változók, nem kezelhetők a DLP-házirend hatókörében, mert szinte minden asztali folyamatnak használnia kell őket. További információ a DLP-szabályzatok alapjairól és létrehozásukról.

Ha a bérlő feliratkozik a felhasználói élményre Power Platform, a rendszergazdák automatikusan látják az új asztali folyamatmodulokat a létrehozott vagy frissített DLP-szabályzat alapértelmezett adatcsoportjában.

Képernyőkép egy fejlesztés alatt álló DLP-házirendről a Power Platform felügyeleti központban.

Figyelmeztetés:

Amikor asztali folyamatmodulokat ad hozzá DLP-szabályzatokhoz, a bérlő asztali folyamatait a rendszer kiértékeli velük, és felfüggeszti őket, ha nem megfelelőek. Ha a rendszergazda az új modulok észrevétele nélkül hozza létre vagy frissíti a DLP-házirendet, az asztali folyamatok váratlanul felfüggeszthetők.

DLP-n kívüli asztali folyamatok szabályozása

Az asztali folyamatok használatának részletes szabályozása az összes gépen az előző szakaszokban leírtak szerint csak felügyelt környezetekre vonatkozik. Az asztali folyamatok szabályozására más lehetőségek is rendelkezésre állnak.

  • Az asztali folyamat vezénylésének szabályozása: Az asztali folyamat-összekötő a szabályzatokban szabályozható, mint bármely más összekötő minden környezetben.

  • Az asztali Power Automate számítógépek használatának szabályozása: Az asztali folyamatokat csoportházirend-objektumon keresztül szabályozhatja Power Automate . Ez a szabályozás lehetővé teszi az asztali folyamatok be- vagy kikapcsolását olyan műveletekhez, mint például a környezetek vagy régiók készletére való korlátozás, a fióktípusok használatának korlátozása és a manuális frissítések korlátozása.

További információ az irányításról Power Automate: .

Asztali folyamatmodulok DLP-ben

A DLP-ben a következő asztali folyamatmodulok érhetők el:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Böngésző automatizálása
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD-munkamenet
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard vágólap
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File fájl
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder mappa
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Üzenetmezők
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Egér és billentyűzet
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Futtatási folyamat
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting parancsfájlkezelés
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emuláció
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-szolgáltatások
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-támogatás asztali folyamatmodulokhoz

Ha nem szeretné bekapcsolni az Asztali folyamat műveleteinek megjelenítése DLP-házirendekben beállítást, a következő PowerShell-szkript használatával hozzáadhatja az összes asztali folyamatmodult egy DLP-szabályzat Blokkolt csoportjához. Ha már bekapcsolta a beállítást, nem kell használnia ezt a szkriptet.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

A következő PowerShell-szkript két adott asztali folyamatmodult ad hozzá a DLP-szabályzat alapértelmezett adatcsoportjához.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

PowerShell-szkript az asztali folyamatok letiltásához

Ha nem szeretné használni a DLP asztali folyamatokhoz funkciót, a következő PowerShell-szkripttel leiratkozhat.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

A házirend engedélyezése után

Ha a felhasználók nem rendelkeznek a legújabb Power Automate asztali verzióval, a DLP-házirend kényszerítése korlátozott. Nem jelennek meg tervezési idejű hibaüzenetek, amikor DLP-házirendeket sértő asztali folyamatokat próbálnak futtatni, hibakeresést végezni vagy menteni. A háttérfeladatok rendszeres időközönként ellenőrzik az asztali folyamatokat a környezetben, és automatikusan felfüggesztik azokat, amelyek sértik a DLP-házirendeket. A felhasználók nem futtathatnak asztali folyamatokat felhőfolyamatból, ha az asztali folyamat megsérti az adatveszteség-megelőzési szabályzatot.

Azok a készítők, akik a legújabb Power Automate asztali verzióval rendelkeznek, nem tudnak hibakeresést végezni, futtatni vagy menteni a DLP-szabályzatot sértő asztali folyamatokat. Emellett nem választhatnak ki olyan asztali folyamatot, amely megsérti a DLP-szabályzatot egy felhőfolyamat-lépésből.

DLP érvényesítése és felfüggesztése

  1. Amikor létrehoz vagy szerkeszt egy folyamatot, Power Automate kiértékeli azt az aktuális DLP-házirendek alapján.
    1. A gyermekfolyamat nélküli folyamatok kényszerítése, amely az áramlások 99%-a, szinkron és valós időben történik.
    2. A gyermekfolyamattal való folyamat kényszerítése aszinkron, mivel a gyermekfolyamatokat is ki kell értékelni, és 24 órán belül megtörténik.
  2. DLP-házirend létrehozásakor vagy módosításakor a háttérfeladat megvizsgálja a környezet összes aktív folyamatát, kiértékeli azokat, majd felfüggeszti a házirendet sértő folyamatokat. A kényszerítés aszinkron, és 24 órán belül megtörténik. Ha DLP-házirend módosul az előző DLP-házirend kiértékelésekor, akkor a kiértékelés újraindul, hogy megbizonyosodjon arról, hogy a legújabb házirendek érvényesülnek.
  3. A háttérfeladatok hetente konzisztencia-ellenőrzést végeznek a környezet összes aktív folyamatán a DLP-szabályzatok alapján annak megerősítéséhez, hogy a DLP-házirend-ellenőrzés nem maradt ki.

DLP újraaktiválása

Ha a DLP-kényszerítés háttérfeladata olyan asztali folyamatot talál, amely már nem sérti a DLP-házirendeket, akkor a háttérfeladat automatikusan eltávolítja a felfüggesztést. A DLP-kényszerítési háttérfeladat azonban nem oldja fel automatikusan a felhőfolyamatok felfüggesztését.

DLP-kényszerítés módosítási folyamata

A DLP-kényszerítést rendszeresen módosítani kell, mert új DLP-képességeket vagy hibajavításokat vezetnek be, vagy egy kényszerítési rést töltenek be. Ha a módosítások hatással lehetnek a meglévő folyamatokra, alkalmazza a következő szakaszos DLP-kényszerítési változáskezelési folyamatot:

  1. Vizsgálat: Erősítse meg a DLP-kényszerítés módosításának szükségességét, és vizsgálja meg a módosítás részleteit.

  2. Tanulás: A változás megvalósítása és adatok gyűjtése a változás hatásainak szélességéről. Dokumentálja a DLP-kényszerítés módosításait a változás hatókörének magyarázatához. Ha az adatok azt sugallják, hogy az ügyfeleket nagymértékben érinti, akkor kommunikációt küldhetünk ezeknek az ügyfeleknek, hogy tudassa velük, hogy változás jön. Ha a módosítás széles körű hatással van a meglévő folyamatokra, akkor a tanulási fázis egy későbbi szakaszában, amikor a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, Power Automate értesíti a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve, hogy több idejük legyen válaszolni.

  3. Csak értesítés: Csak DLP-szabálysértések esetén kapcsolja be az e-mail-értesítéseket, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a DLP-kényszerítés közelgő változásáról. Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus hetente fut.

  4. Tervezéskori kényszerítés: Kapcsolja be a DLP-szabálysértések tervezési idejű kényszerítését, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a DLP-kényszerítés közelgő változásáról, de a módosított folyamatok teljes DLP-házirend-értékelést kapnak a tervezéskor. Ezt puha végrehajtásnak is nevezik.

    • Tervezési idő: Egy folyamat frissítésekor és mentésekor használja a frissített DLP-kényszerítést, és szükség esetén függessze fel a folyamatot, hogy a készítő azonnal értesüljön a kényszerítésről.

    • Háttérfolyamat: Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus magában foglalja a DLP-házirend létrehozását vagy módosítását, valamint a konzisztencia-ellenőrzéseket.

  5. Teljes kényszerítés: Kapcsolja be a DLP-szabálysértések teljes érvényesítését, hogy a DLP-házirendek teljes mértékben érvényesüljenek az összes meglévő és új folyamaton. A DLP-házirendek teljes mértékben érvényesítve vannak, amikor a folyamatokat a DLP-kényszerítés háttérfeladat-kiértékelése során mentik. Ezt kemény végrehajtásnak is nevezik.

DLP-kényszerítés változási listája

Az alábbi táblázat felsorolja a DLP-kényszerítés módosításait és a módosítások hatályba lépésének dátumát.

Date Description A változás oka Szakasz A tervezési idő érvényesítésének elérhetősége* A betartatás teljes rendelkezésre állása*
2022. május Delegált engedélyezési háttérfeladatok kényszerítése A DLP-házirendek kényszerítve vannak azokra a folyamatokra, amelyek delegált hitelesítést használnak a folyamat mentése közben, de nem a háttérfeladatok kiértékelése során. Teljes 2022. június 2. 2022. július 21.
2022. május APIConnection eseményindító kényszerítésének kérése A DLP-szabályzatok nem voltak megfelelően érvényesítve egyes eseményindítók esetében. Az érintett eseményindítók type=Request és kind=apiConnection típusúak . Az érintett eseményindítók közül sok azonnali eseményindító, amelyek azonnali vagy manuálisan aktivált folyamatokban használatosak. Az érintett eseményindítók a következők.
- Power BI: Power BI gomb kattintás
- Csapatok: A levélírási mezőből (V2)
- OneDrive üzleti célokra: Egy kiválasztott fájlhoz
- Dataverse: Ha egy folyamatlépést üzleti folyamat futtatnak
- Dataverse (örökölt): Rekord kijelölésekor
- Excel Online (Business): Kijelölt sorhoz
- SharePoint: Kijelölt elemhez
- Microsoft Copilot Studio: Folyamat hívásakor Copilot Studio (V2)
Teljes 2022. június 2. 2022. augusztus 25.
2022. július DLP-házirendek kényszerítése gyermekfolyamatokra Engedélyezze a DLP-házirendek kényszerítését a gyermekfolyamatok belefoglalása érdekében. Ha a folyamatfában bárhol szabálysértés található, a szülőfolyamat felfüggesztésre kerül. A gyermekfolyamat szerkesztése és mentése után a szabálysértés eltávolításához a szülőfolyamatok újra menthetők vagy újraaktiválhatók a DLP-házirend kiértékelésének újbóli futtatásához. Megjelenik egy olyan módosítás, amely már nem blokkolja a gyermekfolyamatokat, ha a HTTP-összekötő le van tiltva, valamint a DLP-házirendek teljes körű érvényesítése a gyermekfolyamatokon. Amint a teljes kényszerítés elérhetővé válik, a kényszerítés magában foglalja a gyermek asztali folyamatokat is. Teljes 2023. február 14. 2023. március
Január 2023. DLP-házirendek kényszerítése gyermek asztali folyamatokra Engedélyezze a DLP-házirendek kényszerítését a gyermek asztali folyamatok belefoglalásához. Ha a folyamatfában bárhol szabálysértés található, az asztali szülőfolyamat fel lesz függesztve. Miután szerkesztette és mentette a gyermek asztali folyamatot az irányelvsértés eltávolításához, a szülő asztali folyamatok automatikusan újraaktiválódnak. Tanulás - 2023 augusztus

*Az elérhetőség ütemezése változhat, és a bevezetéstől függ.

Folyamatfelfüggesztés DLP-megsértés miatt

A felfüggesztett folyamatok felfüggesztettként jelennek meg a Power Automate készítői portálon és a Power Platform felügyeleti központban. Amikor egy folyamatot egy API-n, a PowerShellen vagy a Power Automate felügyeleti összekötő "rendszergazdaként" listázó folyamatán keresztül adnak vissza, a folyamat State=Suspended,FlowSuspensionReason =CompanyDlpViolation és egyFlowSuspensionTime értékkel rendelkezik , amely jelzi, hogy mikor lett felfüggesztve a folyamat.

Ismert korlátozások

További információ a DLP ismert problémáiról.

Kapcsolódó információk

További információ a környezetekről
Tudjon meg többet a Power Automate
További információ a felügyeleti központról