Bagikan melalui

Pembuatan kebijakan pencegahan kehilangan data (DLP)

  • Artikel

Data organisasi sangat penting untuk keberhasilannya. Datanya harus tersedia untuk pengambilan keputusan, tetapi pada saat yang sama, data perlu dilindungi sehingga tidak dibagikan dengan audiens yang seharusnya tidak memiliki akses ke sana. Untuk melindungi data bisnis Anda, Power Automate memberi Anda kemampuan untuk membuat dan menegakkan kebijakan yang menentukan konektor mana yang dapat mengakses dan membagikannya. Kebijakan yang menentukan bagaimana data dapat dibagikan disebut sebagai kebijakan pencegahan kehilangan data (DLP).

Administrator mengontrol kebijakan DLP. Jika kebijakan DLP memblokir alur Anda agar tidak berjalan, hubungi administrator Anda.

Pelajari lebih lanjut cara melindungi data Anda dengan Power Platform kebijakan pencegahan kebocoran data (DLP).

Pencegahan kehilangan data untuk alur desktop

Power Automate memungkinkan Anda membuat dan menerapkan kebijakan DLP yang mengklasifikasikan modul alur desktop dan tindakan modul individual sebagai Bisnis, Non-bisnis, atau Diblokir. Kategorisasi ini mencegah pembuat menggabungkan modul dan tindakan dari kategori yang berbeda ke dalam alur desktop atau antara alur cloud dan alur desktop yang digunakannya.

Penting

  • Penerapanan kebijakan DLP hanya tersedia untuk Lingkungan Terkelola . Mulai Januari 2025, hanya alur desktop yang terletak di Lingkungan Terkelola yang akan dievaluasi oleh kebijakan DLP.
  • DLP untuk alur desktop tersedia untuk versi Power Automate untuk desktop 2.14.173.21294 atau yang lebih baru. Jika Anda menggunakan versi sebelumnya, hapus instalannya dan perbarui ke versi terbaru.

Menampilkan grup tindakan alur desktop

Secara default, grup tindakan alur desktop tidak muncul saat Anda membuat kebijakan DLP. Anda perlu mengaktifkan pengaturan Tampilkan tindakan alur desktop dalam kebijakan DLP di pengaturan penyewa Anda.

Jika Anda memilih pratinjau umum, tindakan alur desktop dalam pengaturan DLP sudah diaktifkan dan tidak dapat diubah.

  1. Masuk ke pusat admin Power Platform.

  2. Di panel sisi kiri, pilih Setelan.

  3. Pada halaman Pengaturan penyewa, pilih tindakan alur desktop di DLP.

  4. Aktifkan Tampilkan tindakan alur desktop dalam kebijakan DLP, lalu pilih Simpan.

    Cuplikan layar pengaturan alur DLP untuk desktop di Power Platform pusat admin.

Anda sekarang dapat mengklasifikasikan grup tindakan alur desktop saat membuat kebijakan data.

Membuat kebijakan DLP dengan pembatasan alur desktop

Saat admin mengedit atau membuat kebijakan, grup tindakan alur desktop ditambahkan ke grup default, dan kebijakan diterapkan setelah disimpan. Kebijakan ditangguhkan jika grup default diatur ke Diblokir dan alur desktop berjalan di lingkungan target.

Anda dapat mengelola kebijakan DLP untuk alur desktop dengan cara yang sama seperti Anda mengelola konektor dan tindakan alur cloud. Modul alur desktop adalah grup tindakan serupa seperti yang ditampilkan di antarmuka pengguna untuk Power Automate desktop. Modul mirip dengan konektor yang digunakan dalam alur cloud. Anda dapat menentukan kebijakan DLP yang mengelola modul alur desktop dan konektor alur cloud. Beberapa modul dasar, seperti Variabel, tidak dapat dikelola dalam cakupan kebijakan DLP karena hampir semua alur desktop perlu menggunakannya. Pelajari lebih lanjut dasar-dasar kebijakan DLP dan cara membuatnya.

Ketika penyewa Anda memilih ke dalam pengalaman pengguna di, Power Platform administrator Anda secara otomatis melihat modul alur desktop baru di grup data default kebijakan DLP yang mereka buat atau perbarui.

Cuplikan layar kebijakan DLP yang sedang dibangun di Power Platform pusat admin.

Peringatan

Saat modul alur desktop ditambahkan ke kebijakan DLP, alur desktop penyewa Anda dievaluasi terhadapnya dan ditangguhkan jika tidak sesuai. Jika administrator Anda membuat atau memperbarui kebijakan DLP tanpa memperhatikan modul baru, alur desktop dapat ditangguhkan secara tiba-tiba.

Mengatur alur desktop di luar DLP

Kontrol terperinci atas penggunaan alur desktop di semua komputer seperti yang dijelaskan di bagian sebelumnya hanya berlaku untuk Lingkungan Terkelola. Anda memiliki opsi lain untuk mengatur alur desktop.

  • Kemampuan untuk mengatur orkestrasi alur desktop: Konektor alur desktop dapat diatur dalam kebijakan Anda seperti konektor lain di semua lingkungan.

  • Kemampuan untuk mengatur penggunaan Power Automate untuk desktop: Anda dapat mengatur Power Automate alur desktop melalui objek Kebijakan Grup (GPO). Tata kelola ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan alur desktop untuk tindakan seperti membatasi ke serangkaian lingkungan atau wilayah, membatasi penggunaan jenis akun, dan membatasi pembaruan manual.

Pelajari selengkapnya tentang tata kelola di. Power Automate

Modul alur desktop di DLP

Modul alur desktop berikut tersedia di DLP:

  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automasi browser
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesi CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kompresi Kompresi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • provider/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • provider/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleKognitif kognitif Google
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Kotak pesan
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitif
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse dan keyboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variabel Rahasia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Alur eksekusi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulasi Terminal
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Layanan Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Dukungan PowerShell untuk modul alur desktop

Jika Anda tidak ingin mengaktifkan pengaturan Tampilkan tindakan alur desktop dalam kebijakan DLP, Anda dapat menggunakan skrip PowerShell berikut untuk menambahkan semua modul alur desktop ke grup yang diblokir dari kebijakan DLP. Jika sudah mengaktifkan setelan, Anda tidak perlu menggunakan skrip ini.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Skrip PowerShell berikut menambahkan dua modul alur desktop tertentu ke grup data default kebijakan DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skrip PowerShell untuk memilih keluar dari alur desktop

Jika Anda tidak ingin menggunakan fitur DLP untuk alur desktop, Anda dapat menggunakan skrip PowerShell berikut untuk memilih keluar.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Setelah kebijakan diaktifkan

Jika pengguna Anda tidak memiliki yang terbaru Power Automate untuk desktop, penerapan kebijakan DLP akan dibatasi. Mereka tidak melihat pesan kesalahan waktu desain saat mencoba menjalankan, men-debug, atau menyimpan alur desktop yang melanggar kebijakan DLP. Pekerjaan latar belakang secara berkala memindai alur desktop di lingkungan dan secara otomatis menangguhkan apa pun yang melanggar kebijakan DLP. Pengguna tidak dapat menjalankan alur desktop dari alur cloud jika alur desktop melanggar kebijakan pencegahan kehilangan data apa pun.

Pembuat yang memiliki desktop terbaru Power Automate tidak dapat men-debug, menjalankan, atau menyimpan alur desktop yang melanggar kebijakan DLP. Mereka juga tidak dapat memilih alur desktop yang melanggar kebijakan DLP dari alur cloud langkah.

Penegakan dan penangguhan DLP

  1. Saat Anda membuat atau mengedit alur, evaluasinya Power Automate terhadap kumpulan kebijakan DLP saat ini.
    1. Penegakan alur tanpa alur turunan, yang merupakan 99% aliran, bersifat sinkron dan terjadi secara real-time.
    2. Penegakan alur dengan alur turunan bersifat asinkron, karena alur turunan juga perlu dievaluasi dan terjadi dalam waktu 24 jam.
  2. Saat Anda membuat atau mengubah kebijakan DLP, pekerjaan latar belakang memindai semua alur aktif di lingkungan, mengevaluasinya, lalu menangguhkan alur yang melanggar kebijakan. Penegakan bersifat asinkron dan terjadi dalam waktu 24 jam. Jika perubahan kebijakan DLP terjadi saat kebijakan DLP sebelumnya sedang dievaluasi, evaluasi dimulai ulang untuk memastikan kebijakan terbaru diterapkan.
  3. Setiap minggu, pekerjaan latar belakang melakukan pemeriksaan konsistensi semua alur aktif di lingkungan terhadap kebijakan DLP untuk mengonfirmasi bahwa pemeriksaan kebijakan DLP tidak terlewatkan.

Pengaktifan ulang DLP

Jika pekerjaan latar belakang penerapan DLP menemukan alur desktop yang tidak lagi melanggar kebijakan DLP apa pun, maka pekerjaan latar belakang secara otomatis menghapus penangguhan. Namun, pekerjaan latar belakang penerapan DLP tidak secara otomatis membatalkan penangguhan alur cloud.

Proses perubahan penegakan DLP

Secara berkala, penerapan DLP perlu diubah karena kemampuan DLP baru atau perbaikan bug diluncurkan atau kesenjangan penegakan diisi. Ketika perubahan dapat memengaruhi alur yang ada, terapkan proses manajemen perubahan penerapan DLP bertahap berikut:

  1. Menyelidiki: Konfirmasikan perlunya perubahan penegakan DLP dan selidiki secara spesifik perubahan tersebut.

  2. Pembelajaran: Menerapkan perubahan dan kumpulkan data tentang luasnya efek perubahan. Dokumen perubahan penegakan DLP untuk menjelaskan cakupan perubahan. Jika data menunjukkan bahwa pelanggan akan sangat terpengaruh, maka komunikasi mungkin dikirim ke pelanggan tersebut untuk memberi tahu mereka bahwa perubahan akan datang. Jika perubahan memiliki dampak luas pada alur yang ada, maka pada tahap selanjutnya dalam fase pembelajaran, ketika pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur yang ada, Power Automate memberi tahu pemilik alur bahwa alur akan ditangguhkan, sehingga mereka memiliki lebih banyak waktu untuk merespons.

  3. Hanya memberi tahu: Aktifkan pemberitahuan email hanya untuk pelanggaran DLP sehingga pemilik alur yang ada mendapatkan pemberitahuan tentang perubahan penerapan DLP yang akan datang. Ketika pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur yang ada, beri tahu pemilik alur bahwa alur akan ditangguhkan. Mekanisme ini berjalan setiap minggu.

  4. Penegakan waktu desain: Aktifkan penegakan waktu desain pelanggaran DLP sehingga pemilik alur yang ada mendapatkan pemberitahuan tentang perubahan penerapan DLP yang akan datang, tetapi setiap alur yang diubah mendapatkan evaluasi kebijakan DLP penuh pada waktu desain. Ini juga dikenal sebagai penegakan lunak.

    • Waktu desain: Saat alur diperbarui dan disimpan, gunakan penerapan DLP yang diperbarui dan tangguhkan alur jika diperlukan sehingga pembuat segera mengetahui penegakannya.

    • Proses latar belakang: Ketika pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur, beri tahu pemilik alur bahwa alur akan ditangguhkan. Mekanisme ini mencakup pembuatan atau perubahan pada kebijakan DLP dan pemeriksaan konsistensi.

  5. Penegakan penuh: Aktifkan penegakan penuh pelanggaran DLP, sehingga kebijakan DLP diberlakukan sepenuhnya pada semua alur yang ada dan yang baru. Kebijakan DLP sepenuhnya diberlakukan ketika alur disimpan selama evaluasi pekerjaan latar belakang penerapan DLP. Ini juga dikenal sebagai penegakan keras.

Daftar perubahan penerapan DLP

Tabel berikut mencantumkan perubahan penerapan DLP dan tanggal perubahan tersebut berlaku.

Date Description Alasan perubahan Tahap Ketersediaan penerapan waktu desain* Ketersediaan penegakan penuh*
Mei 2022 Penegakan pekerjaan latar belakang otorisasi yang didelegasikan Kebijakan DLP diberlakukan pada alur yang menggunakan otorisasi yang didelegasikan saat alur sedang disimpan, tetapi tidak selama evaluasi pekerjaan latar belakang. Penuh 2 Juni 2022 21 Juli 2022
Mei 2022 Permintaan penegakan pemicu apiConnection Kebijakan DLP tidak diterapkan dengan benar untuk beberapa pemicu. Pemicu yang terpengaruh memiliki type=Request dan kind=apiConnection. Banyak pemicu yang terpengaruh adalah pemicu instan, yang digunakan dalam alur instan, atau dipicu secara manual. Pemicu yang terpengaruh meliputi:
- Power BI: Power BI tombol yang diklik
- Tim: Dari kotak tulis (V2)
- OneDrive untuk Bisnis: Untuk file yang dipilih
- Dataverse: Ketika langkah alur dijalankan dari alur proses bisnis
- Dataverse (warisan): Saat rekaman dipilih
- Excel Online (Bisnis): Untuk baris yang dipilih
- SharePoint: Untuk item yang dipilih
- Microsoft Copilot Studio: Saat Copilot Studio memanggil alur (V2)		 Penuh 2 Juni 2022 25 Agustus 2022
Juli 2022 Menerapkan kebijakan DLP pada alur turunan Aktifkan penerapan kebijakan DLP untuk menyertakan alur turunan. Jika pelanggaran ditemukan di mana saja di pohon alur, alur induk ditangguhkan. Setelah alur turunan diedit dan disimpan untuk menghapus pelanggaran, alur induk dapat disimpan ulang atau diaktifkan kembali untuk menjalankan evaluasi kebijakan DLP lagi. Perubahan untuk tidak lagi memblokir alur turunan saat konektor HTTP diblokir akan diluncurkan bersama dengan penerapan penuh kebijakan DLP pada turunan alur. Setelah penerapan penuh tersedia, penerapan mencakup alur desktop turunan. Penuh 14 Februari 2023 Maret 2023
January 2023 Terapkan kebijakan DLP pada alur desktop turunan Aktifkan penerapan kebijakan DLP untuk menyertakan alur desktop turunan. Jika pelanggaran ditemukan di mana saja di pohon alur, alur induk desktop ditangguhkan. Setelah turunan alur desktop diedit dan disimpan untuk menghapus pelanggaran, alur desktop induk diaktifkan kembali secara otomatis. Penuh - Agustus 2023
Oktober 2024 Terapkan kontrol tindakan konektor pada pemicu dan tindakan internal Perluas penerapan kontrol tindakan konektor untuk memastikan bahwa pemicu dan tindakan internal tercakup. Daftarkan mereka di Power Platform pusat admin dan terapkan pemblokirannya jika direferensikan satu per satu dalam kebijakan DLP atau jika kebijakan DLP tidak menyertakannya sebagai yang diizinkan. Belajar January 2025 Februari 2025

*Jadwal ketersediaan dapat berubah dan tergantung pada peluncuran.

Penangguhan aliran untuk pelanggaran DLP

Alur yang ditangguhkan ditampilkan sebagai ditangguhkan Power Automate di portal pembuat dan Power Platform pusat admin. Ketika alur dikembalikan melalui API, PowerShell, atau Power Automate tindakan alur daftar konektor Manajemen "sebagai Admin", alur memiliki State=Suspended,FlowSuspensionReason =CompanyDlpViolation, dan nilai FlowSuspensionTime yang menunjukkan kapan alur ditangguhkan.

Pembatasan yang diketahui

Pelajari tentang masalah umum DLP.