Megosztás a következőn keresztül:


Az adatveszteség-megelőzési (DLP) házirend létrehozása

A szervezet adatai fontosak a siker szempontjából. Az adatoknak könnyen hozzáférhetőnek kell lenniük a döntéshozatalhoz, ugyanakkor védeni kell az adatokat, hogy ne osszák meg azokat olyan közönséggel, amelynek nem kellene hozzáférnie. Az üzleti adatok Power Automate véd lehetővé teszi olyan szabályzatok létrehozását és érvényesítését, amelyek meghatározzák, hogy mely összekötők férhetnek hozzá és oszthatják meg azokat. Az adatmegosztás módját szabályozó szabályzatokat nevezzük adatveszteség-megelőzési (DLP) szabályzatoknak.

A DLP-házirendeket rendszergazdák vezérlik. Ha egy DLP-házirend blokkolja a folyamatok futását, forduljon a rendszergazdához.

További információ az adatok adatveszteség-megelőzési (DLP) szabályzatokkal való védelméről Power Platform .

Adatveszteség-megelőzés asztali folyamatokhoz

Power Automate lehetővé teszi olyan DLP-házirendek létrehozását és kényszerítését, amelyek a asztali folyamat modulokat és az egyes modulműveleteket üzleti, nem üzleti vagyletiltott kategóriába sorolják. Ez a kategorizálás megakadályozza, hogy a készítők különböző kategóriákból származó modulokat és műveleteket kombináljanak egy asztali folyamat vagy egy felhőfolyamat és az általa használt asztali folyamatok között.

Fontos

  • A DLP-házirendek kényszerítése csak Felügyelt környezetek érhető el. 2025 januárjától csak az Felügyelt környezetek található asztali folyamatokat értékelik ki DLP-szabályzatok.
  • Az asztali folyamatok DLP-je az Power Automate asztali 2.14.173.21294 vagy újabb verzióihoz érhető el. Ha korábbi verziót használ, távolítsa el, és frissítsen a legújabb verzióra.

Asztali folyamat műveletcsoportok megtekintése

Alapértelmezés szerint asztali folyamat műveletcsoportok nem jelennek meg DLP-szabályzat létrehozásakor. Be kell kapcsolnia az asztali folyamat műveletek megjelenítése DLP-házirendekben beállítást a bérlői beállításokban.

Ha a nyilvános előzetes verzió választotta, a DLP asztali folyamat műveletei beállítás már engedélyezve van, és nem módosítható.

  1. Jelentkezzen be aPower Platform felügyeleti központjába.

  2. A bal oldali panelen válassza a Beállítások lehetőséget.

  3. A Bérlői beállítások lapon válassza a asztali folyamat műveletek lehetőséget a DLP-ben.

  4. Kapcsolja be az asztali folyamat műveletek megjelenítése DLP-házirendekben beállítást, majd válassza a Mentés lehetőséget.

    Képernyőkép az asztali folyamatok DLP beállításáról a Power Platform felügyeleti központban.

Mostantól osztályozhatja asztali folyamat műveletcsoportokat adatszabályzat létrehozásakor.

DLP-házirend létrehozása asztali folyamat korlátozásokkal

Amikor a rendszergazdák szerkesztenek vagy létrehoznak egy szabályzatot, a rendszer hozzáadja asztali folyamat műveletcsoportokat az alapértelmezett csoporthoz, és a rendszer a mentés után alkalmazza a szabályzatot. A házirend felfüggesztésre kerül, ha az alapértelmezett csoport Letiltva értékre van állítva , és az asztali folyamatok a célkörnyezetekben futnak.

Az asztali folyamatok DLP-házirendjeit ugyanúgy kezelheti, mint felhőfolyamat összekötőket és műveleteket. Asztali folyamat modulok hasonló műveletek csoportjai, amelyek az Power Automate asztali felhasználói felületen jelennek meg. A modulok hasonlóak a felhőfolyamatokban használt összekötőkhöz. Meghatározhat egy DLP-házirendet, amely a asztali folyamat modulokat és a felhőfolyamat összekötőket is kezeli. Egyes alapszintű modulok , példáula változók, nem kezelhetők a DLP-házirend hatókörében, mert szinte minden asztali folyamatnak használnia kell őket. További információ a DLP-szabályzatok alapjairól és létrehozásukról.

Ha a bérlő feliratkozik a felhasználói élményre Power Platform, a rendszergazdák automatikusan látják az új asztali folyamat modulokat a létrehozott vagy frissített DLP-házirend alapértelmezett adatcsoportjában.

Képernyőkép egy fejlesztés alatt álló DLP-házirendről a Power Platform felügyeleti központban.

Figyelmeztetés:

Amikor asztali folyamat modult DLP-szabályzatokhoz ad hozzá, a bérlő asztali folyamatait a rendszer kiértékeli rajtuk, és felfüggeszti őket, ha nem megfelelőek. Ha a rendszergazda az új modulok észrevétele nélkül hozza létre vagy frissíti a DLP-házirendet, az asztali folyamatok váratlanul felfüggeszthetők.

DLP-n kívüli asztali folyamatok szabályozása

Az asztali folyamatok használatának részletes szabályozása az összes gépen az előző szakaszokban leírtak szerint csak Felügyelt környezetek vonatkozik. Az asztali folyamatok szabályozására más lehetőségek is rendelkezésre állnak.

  • Képesség a asztali folyamat vezénylés szabályozására: A asztali folyamat-összekötő a szabályzatokban szabályozható, mint bármely más összekötő minden környezetben.

  • Az asztali Power Automate számítógépek használatának szabályozása: Az asztali folyamatokat csoportházirend-objektumokon (GPO) keresztül szabályozhatja Power Automate . Ez a szabályozás lehetővé teszi az asztali folyamatok be- vagy kikapcsolását olyan műveletekhez, mint például a környezetek vagy régiók készletére való korlátozás, a fióktípusok használatának korlátozása és a manuális frissítések korlátozása.

További információ az irányításról Power Automate: .

Asztali folyamat modulok DLP-ben

A DLP-ben a következő asztali folyamat modulok érhetők el:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation böngészőautomatizálás
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD-munkamenet
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard vágólap
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File fájl
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder mappa
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Üzenetmezők
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Egér és billentyűzet
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Titkos változók
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Futtatási folyamat
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting parancsfájlkezelés
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emuláció
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-szolgáltatások
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-támogatás asztali folyamat modulokhoz

Ha nem szeretné bekapcsolni az asztali folyamat műveletek megjelenítése DLP-házirendekben beállítást, a következő PowerShell-szkripttel hozzáadhatja az összes asztali folyamat modult a DLP-házirend Letiltott csoportjához. Ha már bekapcsolta a beállítást, nem kell használnia ezt a szkriptet.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

A következő PowerShell-szkript két adott asztali folyamat modult ad hozzá a DLP-házirend alapértelmezett adatcsoportjához.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

PowerShell-szkript az asztali folyamatok letiltásához

Ha nem szeretné használni a DLP asztali folyamatokhoz funkciót, a következő PowerShell-szkripttel leiratkozhat.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

A házirend engedélyezése után

Ha a felhasználók nem rendelkeznek a legújabb Power Automate asztali verzióval, a DLP-házirend kényszerítése korlátozott. Nem jelennek meg tervezési idejű hibaüzenetek, amikor DLP-házirendeket sértő asztali folyamatokat próbálnak futtatni, hibakeresést végezni vagy menteni. A háttérfeladatok rendszeres időközönként ellenőrzik az asztali folyamatokat a környezetben, és automatikusan felfüggesztik azokat, amelyek sértik a DLP-házirendeket. A felhasználók nem futtathatnak asztali folyamatokat egy felhőfolyamat, ha a asztali folyamat megsérti az adatveszteség-megelőzési szabályzatot.

Azok a készítők, akik a legújabb Power Automate asztali verzióval rendelkeznek, nem tudnak hibakeresést végezni, futtatni vagy menteni a DLP-szabályzatot sértő asztali folyamatokat. Emellett nem választhatnak ki olyan asztali folyamat, amely megsérti a DLP-szabályzatot egy felhőfolyamat lépés.

DLP érvényesítése és felfüggesztése

  1. Amikor létrehoz vagy szerkeszt egy folyamatot, Power Automate kiértékeli azt az aktuális DLP-házirendek alapján.
    1. A gyermekfolyamat nélküli folyamatok kényszerítése, amely az áramlások 99%-a, szinkron és valós időben történik.
    2. A gyermekfolyamat folyamatának kényszerítése aszinkron, mivel a gyermek folyamatokat is ki kell értékelni, és 24 órán belül megtörténik.
  2. DLP-házirend létrehozásakor vagy módosításakor a háttérfeladat megvizsgálja a környezet összes aktív folyamatát, kiértékeli azokat, majd felfüggeszti a házirendet sértő folyamatokat. A kényszerítés aszinkron, és 24 órán belül megtörténik. Ha DLP-házirend módosul az előző DLP-házirend kiértékelésekor, akkor a kiértékelés újraindul, hogy megbizonyosodjon arról, hogy a legújabb házirendek érvényesülnek.
  3. A háttérfeladatok hetente konzisztencia-ellenőrzést végeznek a környezet összes aktív folyamatán a DLP-szabályzatok alapján annak megerősítéséhez, hogy a DLP-házirend-ellenőrzés nem maradt ki.

DLP újraaktiválása

Ha a DLP-kényszerítési háttérfeladat olyan asztali folyamat talál, amely már nem sérti a DLP-házirendet, akkor a háttérfeladat automatikusan eltávolítja a felfüggesztést. A DLP-kényszerítési háttérfeladat azonban nem oldja fel automatikusan a felhőfolyamatok felfüggesztését.

DLP-kényszerítés módosítási folyamata

A DLP-kényszerítést rendszeresen módosítani kell, mert új DLP-képességeket vagy hibajavításokat vezetnek be, vagy egy kényszerítési rést töltenek be. Ha a módosítások hatással lehetnek a meglévő folyamatokra, alkalmazza a következő szakaszos DLP-kényszerítési változáskezelési folyamatot:

  1. Vizsgálat: Erősítse meg a DLP-kényszerítés módosításának szükségességét, és vizsgálja meg a módosítás részleteit.

  2. Tanulás: A változás megvalósítása és adatok gyűjtése a változás hatásainak szélességéről. Dokumentálja a DLP-kényszerítés módosításait a változás hatókörének magyarázatához. Ha az adatok arra utalnak, hogy az ügyfelek nagymértékben érintettek lesznek, akkor a rendszer közleményt küldhet ezeknek az ügyfeleknek, hogy tudassa velük, hogy változás jön. Ha a módosítás széles körű hatással van a meglévő folyamatokra, akkor a tanulási fázis egy későbbi szakaszában, amikor a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, Power Automate értesíti a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve, hogy több idejük legyen válaszolni.

  3. Csak értesítés: Csak DLP-szabálysértések esetén kapcsolja be az e-mail-értesítéseket, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a DLP-kényszerítés közelgő változásáról. Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus hetente fut.

  4. Tervezéskori kényszerítés: Kapcsolja be a DLP-szabálysértések tervezési idejű kényszerítését, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a DLP-kényszerítés közelgő változásáról, de a módosított folyamatok teljes DLP-házirend-értékelést kapnak a tervezéskor. Ezt puha végrehajtásnak is nevezik.

    • Tervezési idő: Egy folyamat frissítésekor és mentésekor használja a frissített DLP-kényszerítést, és szükség esetén függessze fel a folyamatot, hogy a készítő azonnal értesüljön a kényszerítésről.

    • Háttérfolyamat: Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus magában foglalja a DLP-házirend létrehozását vagy módosítását, valamint a konzisztencia-ellenőrzéseket.

  5. Teljes kényszerítés: Kapcsolja be a DLP-szabálysértések teljes érvényesítését, hogy a DLP-házirendek teljes mértékben érvényesüljenek az összes meglévő és új folyamaton. A DLP-házirendek teljes mértékben érvényesítve vannak, amikor a folyamatokat a DLP-kényszerítés háttérfeladat-kiértékelése során mentik. Ezt kemény végrehajtásnak is nevezik .

DLP-kényszerítés változási listája

Az alábbi táblázat felsorolja a DLP-kényszerítés módosításait és a módosítások hatályba lépésének dátumát.

Date Description A változás oka Szakasz A tervezési idő érvényesítésének elérhetősége* A betartatás teljes rendelkezésre állása*
2022. május Delegált engedélyezési háttérfeladatok kényszerítése A DLP-házirendek kényszerítve vannak azokra a folyamatokra, amelyek delegált hitelesítést használnak a folyamat mentése közben, de nem a háttérfeladatok kiértékelése során. Teljes 2022. június 2. 2022. július 21.
2022. május APIConnection eseményindító kényszerítésének kérése A DLP-szabályzatok nem voltak megfelelően érvényesítve egyes eseményindítók esetében. Az érintett eseményindítók type=Request és kind=apiConnection típusúak . Az érintett eseményindítók közül sok azonnali eseményindító, amelyek azonnali vagy manuálisan aktivált folyamatokban használatosak. Az érintett eseményindítók a következők.
- Power BI: Power BI gomb kattintás
- Csapatok: A levélírási mezőből (V2)
- OneDrive üzleti célokra: Egy kiválasztott fájlhoz
- Dataverse: Ha egy folyamat lépés üzleti folyamat futtat
- Dataverse (örökölt): Rekord kijelölésekor
- Excel Online (Business): Kijelölt sorhoz
- SharePoint: Kijelölt elemhez
- Microsoft Copilot Studio: Folyamat hívásakor Copilot Studio (V2)
Teljes 2022. június 2. 2022. augusztus 25.
2022. július DLP-házirendek kényszerítése gyermek folyamatokon Engedélyezze a DLP-házirendek kényszerítését, hogy gyermek folyamatokat tartalmazzanak. Ha a folyamatfában bárhol szabálysértést talál, a szülőfolyamat felfüggesztésre kerül. A gyermekfolyamat szerkesztése és mentése után a szabálysértés eltávolításához a szülő folyamatok újra menthetők vagy újraaktiválhatók a DLP-házirend kiértékelésének újbóli futtatásához. Megjelenik az a módosítás, hogy a HTTP-összekötő blokkolásakor már nem blokkolja a gyermek folyamatokat, valamint a DLP-házirendek teljes körű érvényesítése gyermek folyamatokon. Ha a teljes érvényesítés elérhetővé válik, az érvényesítés gyermek asztali folyamatokat is tartalmaz. Teljes 2023. február 14. 2023. március
Január 2023. DLP-házirendek kényszerítése gyermek asztali folyamatokon Engedélyezze a DLP-házirendek kényszerítését, hogy gyermek asztali folyamatokat is tartalmazzon. Ha a folyamatfában bárhol szabálysértést talál, az asztali szülőfolyamat felfüggesztésre kerül. Miután szerkesztette és mentette a gyermek asztali folyamat az irányelvsértés eltávolításához, a szülő asztali folyamatok automatikusan újraaktiválódnak. Teljes - 2023 augusztus
2024. október Összekötőművelet-vezérlés kényszerítése eseményindítókra és belső műveletekre Bontsa ki az összekötőművelet-vezérlés kényszerítését , hogy az eseményindítók és a belső műveletek is lefedve legyenek. Sorolja fel őket a felügyeleti központban Power Platform , és kényszerítse ki a blokkolást, ha a DLP-házirendekben egyenként hivatkoznak rájuk, vagy ha a DLP-házirend nem tartalmazza őket engedélyezettként. Tanulás Január 2025. 2025. február

*Az elérhetőség ütemezése változhat, és a bevezetéstől függ.

Folyamatfelfüggesztés DLP-megsértés miatt

A felfüggesztett folyamatok felfüggesztettként jelennek meg a Power Automate készítői portálon és a Power Platform felügyeleti központban. Amikor egy folyamatot egy API-n, a PowerShellen vagy a Power Automate felügyeleti összekötő "rendszergazdaként" listázó folyamatán keresztül adnak vissza, a folyamat State=Suspended,FlowSuspensionReason =CompanyDlpViolation és egyFlowSuspensionTime értékkel rendelkezik , amely jelzi, hogy mikor lett felfüggesztve a folyamat.

Ismert korlátozások

További információ a DLP ismert problémáiról.