Creazione dei criteri di prevenzione della perdita dei dati (DLP)
Articolo
I dati di un'organizzazione sono cruciali per il suo successo. I dati devono essere immediatamente disponibili per il processo decisionale, ma nello stesso tempo anche protetti per evitare che vengano condivisi con gruppi di destinatari che non devono accedervi. Per proteggere i tuoi dati aziendali, Power Automate ti permette di creare e applicare criteri che stabiliscono quali connettori possono accedere ai dati di business e condividerli. I criteri che definiscono le modalità di condivisione dei dati sono detti "criteri di prevenzione della perdita dei dati" (DLP).
Gli amministratori controllano i criteri DLP. Se i criteri DLP bloccano l'esecuzione dei tuoi flussi, contatta l'amministratore.
Prevenzione della perdita di dati per flussi desktop
Power Automate ti consente di creare e applicare criteri DLP che classificano i moduli del flusso desktop e le azioni dei singoli moduli come aziendali, non aziendali o bloccati. Questa categorizzazione impedisce agli autori di combinare moduli e azioni di diverse categorie in un flusso desktop o tra un flusso cloud e i flussi desktop che usa.
Importante
L'applicazione dei criteri DLP è disponibile solo per Ambienti gestiti. A partire da gennaio 2025, solo i flussi desktop che si trovano in ambienti gestiti saranno valutati dai criteri DLP.
La prevenzione della perdita di dati per i flussi desktop è disponibile per le versioni di Power Automate per desktop 2.14.173.21294 o successive. Se stai utilizzando una versione precedente, disinstallala ed esegui l'aggiornamento alla versione più recente.
Visualizza i gruppi di azioni del flusso desktop
Per impostazione predefinita, i gruppi di azioni dei flussi desktop non vengono visualizzati durante la creazione dei criteri DLP. Devi attivare l'impostazione Mostra azioni del flusso desktop nei criteri DLP nelle impostazioni relative al tenant.
Se hai scelto l'anteprima pubblica, l'impostazione Azioni del flusso desktop in DLP è già abilitata e non può essere modificata.
Nella pagina Impostazioni tenant, seleziona Azioni del flusso desktop in DLP.
Attiva Mostra azioni del flusso desktop nei criteri DLP e quindi seleziona Salva.
Ora puoi classificare i gruppi di azioni del flusso desktop quando crei un criterio dati.
Creare un criterio DLP con restrizioni sul flusso desktop
Quando gli amministratori modificano o creano un criterio, i gruppi di azioni dei flussi desktop vengono aggiunti al gruppo predefinito e il criterio viene applicato dopo il salvataggio. Il criterio viene sospeso se il gruppo predefinito è impostato su Bloccato e i flussi desktop sono in esecuzione negli ambienti di destinazione.
Puoi gestire i criteri DLP per i flussi desktop nello stesso modo in cui gestisci i connettori e le azioni del flusso cloud. I moduli del flusso desktop sono gruppi di azioni simili a quelle visualizzate nell'interfaccia utente di Power Automate per desktop. Un modulo è simile ai connettori utilizzati nei flussi cloud. È possibile definire un criterio DLP che gestisca sia i moduli del flusso desktop che i connettori del flusso cloud. Alcuni moduli di base, come le Variabili, non possono essere gestiti nell'ambito dei criteri DLP perché quasi tutti i flussi desktop devono utilizzarli. Altre informazioni sulle nozioni fondamentali dei criteri DLP e su come crearli.
Quando il tenant ha attivato l'esperienza utente in Power Platform, i tuoi amministratori vedranno automaticamente i nuovi moduli di flussi desktop nel gruppo di dati predefinito dei criteri DLP che stanno creando o aggiornando.
Avviso
Quando i moduli del flusso desktop vengono aggiunti ai criteri DLP, i flussi desktop del tenant vengono valutati rispetto a tali criteri e vengono sospesi se non sono conformi. Se il tuo amministratore crea o aggiorna i criteri DLP senza prendere atto dei nuovi moduli, i flussi desktop possono essere sospesi inaspettatamente.
Eseguire la governance dei flussi desktop al di fuori della prevenzione della perdita di dati
Il controllo granulare sull'utilizzo dei flussi desktop in tutte le macchine, come descritto nelle sezioni precedenti, si applica solo agli ambienti gestiti. Esistono altre opzioni per eseguire la governance dei flussi desktop.
Governance dell'orchestrazione del flusso desktop: la governance del connettore del flusso desktop può essere eseguita nei tuoi criteri come qualsiasi altro connettore in tutti gli ambienti.
Possibilità di disciplinare l'utilizzo di Power Automate per desktop: puoi disciplinare Power Automate per flussi desktop tramite oggetti Criteri di gruppo. Questa governance ti consente di attivare o disattivare i flussi desktop per azioni quali la limitazione a un insieme di ambienti o aree geografiche, la limitazione dell'uso di tipi di account e la limitazione degli aggiornamenti manuali.
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Supporto di PowerShell per moduli di flussi desktop
Se non vuoi attivare l'impostazione Mostra azioni del flusso desktop nei criteri DLP, puoi comunque utilizzare il seguente script di PowerShell per aggiungere tutti i moduli di flussi desktop al gruppo Bloccato di un criterio DLP. Se hai già attivato l'impostazione, non devi utilizzare questo script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Il seguente script di PowerShell aggiunge due specifici moduli di flusso desktop al gruppo di dati predefinito di un criterio DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script di PowerShell per rifiutare esplicitamente i flussi desktop
Se non desideri usare la funzionalità DLP per flussi desktop, puoi utilizzare il seguente script di PowerShell per rifiutare esplicitamente.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Dopo che i criteri sono abilitati
Se i tuoi utenti non hanno l'ultima versione di Power Automate per desktop, l'applicazione dei criteri DLP sarà limitata. Non vedranno i messaggi di errore in fase di progettazione quando tenteranno di eseguire, salvare o effettuare il debug dei flussi desktop che violano i criteri DLP. I processi in background analizzano periodicamente i flussi desktop nell'ambiente e sospendono automaticamente quelli che violano i criteri DLP. Gli utenti non potranno eseguire flussi desktop da un flusso cloud se il flusso desktop viola qualsiasi criterio di prevenzione della perdita di dati.
Gli autori che dispongono della versione più recente Power Automate per desktop non possono eseguire, salvare o effettuare il debug dei flussi desktop che violano i criteri DLP. Non potranno inoltre selezionare un flusso desktop che viola un criterio DLP da un passaggio del flusso cloud.
Applicazione e sospensione della prevenzione della perdita dei dati
Quando crei o modifichi un flusso, Power Automate lo valuta rispetto all'attuale set di criteri DLP.
L'applicazione dei flussi senza un flusso figlio, che rappresenta il 99% dei flussi, è sincrona e avviene in tempo reale.
L'applicazione di un flusso con un flusso figlio è asincrona, poiché anche i flussi figlio devono essere valutati e ciò avviene entro 24 ore.
Quando crei o modifichi un criterio DLP, un processo in background esegue la scansione di tutti i flussi attivi nell'ambiente, li valuta e quindi sospende i flussi che violano il criterio. L'applicazione è asincrona e si verifica entro 24 ore. Se si verifica un cambiamento nel criterio DLP durante la valutazione del criterio DLP precedente, la valutazione ricomincia per garantire l'applicazione dei criteri più recenti.
Settimanalmente, un processo in background esegue un controllo di coerenza di tutti i flussi attivi nell'ambiente rispetto ai criteri DLP per verificare che non sia stato perso un controllo dei criteri DLP.
Riattivazione della prevenzione della perdita dei dati
Se il processo in background per l'applicazione del DLP rileva un flusso desktop che non viola più alcun criterio DLP, ne annulla la sospensione automaticamente. Il processo in background per l'applicazione del DLP invece non annulla automaticamente la sospensione dei flussi cloud.
Processo di modifica dell'applicazione DLP
Periodicamente, l'applicazione del DLP deve cambiare perché vengono implementate nuove funzionalità DLP o vengono corretti bug o colmate lacune nell'applicazione. Quando le modifiche possono influire sui flussi esistenti, applica il seguente processo di gestione delle modifiche dell'applicazione DLP in fasi:
Indagine: conferma la necessità di una modifica dell'applicazione della DLP e indaga sulle specifiche della modifica.
Apprendimento: implementa la modifica e raccoglie i dati sull'estensione degli effetti della modifica. Documenta le modifiche all'applicazione DLP per spiegare l'ambito della modifica. Se i dati suggeriscono che i clienti saranno fortemente interessati, una comunicazione potrebbe essere inviata a quei clienti per informarli della modifica imminente. Se la modifica ha un ampio impatto sui flussi esistenti, successivamente nella fase di apprendimento, quando il processo in background per l'applicazione dei criteri DLP rileva una violazione in un flusso esistente, Power Automate notifica ai proprietari del flusso l'imminente sospensione del flusso affinché abbiano più tempo per intervenire.
Solo notifica: attiva le notifiche e-mail solo per le violazioni della DLP in modo che i proprietari dei flussi esistenti ricevano una notifica sull'imminente modifica dell'applicazione della DLP. Quando il processo di applicazione DLP in background rileva una violazione in un flusso esistente, notificare ai proprietari del flusso che il flusso verrà sospeso. Questo meccanismo viene eseguito settimanalmente.
Applicazione in fase di progettazione: attiva l'applicazione in fase di progettazione delle violazioni della DLP in modo che i proprietari dei flussi esistenti vengano informati dell'imminente modifica dell'applicazione della DLP, ma tutti i flussi che vengono modificati ottengono una valutazione completa dei criteri DLP in fase di progettazione. Nota anche come applicazione graduale.
Fase di progettazione: quando un flusso viene aggiornato e salvato, usa l'applicazione DLP aggiornata e sospendi il flusso, se necessario, in modo che l'autore venga subito a conoscenza dell'applicazione.
Processo in background: quando il processo in background per l'applicazione della DLP rileva una violazione in un flusso esistente, notifica ai proprietari del flusso che il flusso verrà sospeso in futuro. Questo meccanismo include la creazione o le modifiche ai criteri DLP e i controlli di coerenza.
Applicazione completa: attiva l'applicazione completa delle violazioni DLP, in modo che i criteri DLP vengano applicati completamente a tutti i flussi esistenti e nuovi. I criteri DLP vengono applicati completamente quando i flussi vengono salvati durante la valutazione del lavoro in background dell'applicazione dei DLP. Nota anche come applicazione obbligatoria.
Elenco di modifica dell'applicazione DLP
La tabella seguente riporta un elenco delle modifiche all'applicazione DLP e la data di validità delle modifiche.
Date
Descrizione
Motivo della modifica
Fase
Disponibilità dell'applicazione in fase di progettazione*
Disponibilità completa dell'applicazione*
Maggio 2022
Autorizzazione delegata applicazione del lavoro in background
I criteri DLP vengono applicati per i flussi che utilizzano l'autorizzazione delegata durante il salvataggio del flusso, ma non durante la valutazione del processo in background.
Completa
2 giugno 2022
21 luglio 2022
Maggio 2022
Richiedi l'applicazione del trigger apiConnection
I criteri DLP non sono stati applicati correttamente per alcuni trigger. I trigger interessati hanno type=Request e kind=apiConnection. Molti dei trigger interessati sono trigger istantanei usati nei flussi istantanei o attivati manualmente. I trigger interessati includono i seguenti. - Power BI: pulsante Power BI selezionato - Teams: dalla casella di composizione (V2) - OneDrive for Business: per un file selezionato - Dataverse: quando un passaggio di flusso viene eseguito da un processo aziendale - Dataverse (legacy): quando viene selezionato un record - Excel Online (Business): per una riga selezionata - SharePoint: per un elemento selezionato - Microsoft Copilot Studio: quando Copilot Studio chiama un flusso (V2)
Completa
2 giugno 2022
25 agosto 2022
Luglio 2022
Applicare i criteri DLP sui flussi figlio
Abilita l'applicazione dei criteri DLP per includere i flussi figlio. Se viene rilevata una violazione in un punto qualsiasi della struttura del flusso, il flusso padre viene sospeso. Dopo che il flusso figlio è stato modificato e salvato per rimuovere la violazione, i flussi padre possono essere salvati di nuovo o riattivati per eseguire nuovamente la valutazione dei criteri DLP. Una modifica per non bloccare più i flussi figlio quando il connettore HTTP è bloccato verrà implementata insieme all'applicazione completa dei criteri DLP sui flussi figlio. Una volta disponibile l'applicazione completa, questa includerà i flussi dei desktop figlio.
Completa
14 febbraio 2023
Marzo 2023
Gennaio 2023
Applicare i criteri DLP sui flussi desktop figlio
Abilita l'applicazione dei criteri DLP per includere i flussi desktop figlio. Se viene rilevata una violazione in un punto qualsiasi della struttura del flusso desktop, il flusso padre viene sospeso. Dopo che il flusso desktop figlio è stato modificato e salvato per rimuovere la violazione, i flussi desktop padre vengono riattivati automaticamente.
Amplia l'applicazione del controllo delle azioni del connettore per garantire che i trigger e le azioni interne siano coperti. Elencali nell'interfaccia di amministrazione di Power Platform e bloccali se sono menzionati singolarmente nei criteri DLP o se il criterio DLP non li include come consentiti.
Apprendimento
Gennaio 2025
Febbraio 2025
*La pianificazione della disponibilità potrebbe cambiare e dipende dall'implementazione.
Sospensione del flusso per violazione della prevenzione della perdita dei dati
I flussi sospesi vengono visualizzati come sospesi in Power Automate Maker Portal e nell'interfaccia di amministrazione di Power Platform. Quando un flusso viene restituito tramite un API, PowerShell o l'azione Elenca flussi "come amministratore" del connettore di gestione di Power Automate, il flusso sarà State=Suspended e avrà il valore FlowSuspensionReason=CompanyDlpViolation e un valore FlowSuspensionTime che indica il momento in cui il flusso è stato sospeso..
Illustrare i concetti fondamentali della protezione dei dati, della gestione del ciclo di vita, della protezione delle informazioni e della conformità per proteggere una distribuzione di Microsoft 365.