Duomenų praradimo prevencijos (DLP) strategijos kūrimas

Organizacijos duomenys yra kritiškai svarbūs jos sėkmei. Jos duomenys turi būti lengvai prieinami priimant sprendimus, tačiau tuo pat metu duomenys turi būti apsaugoti, kad jais nebūtų dalijamasi su auditorijomis, kurios neturėtų turėti prieigos prie jų. Norėdami apsaugoti savo verslo duomenis, Power Automate suteikia galimybę kurti ir vykdyti strategijas, apibrėžiančias, kurios jungtys gali juos pasiekti ir bendrinti. Strategijos, apibrėžiančios, kaip galima bendrinti duomenis, vadinamos duomenų praradimo prevencijos (DLP) strategijomis.

Administratoriai valdo DLP strategijas. Jei DLP strategija blokuoja srautų vykdymą, kreipkitės į administratorių.

Sužinokite daugiau apie duomenų apsaugą duomenų Power Platform praradimo prevencijos (DLP) strategijose.

Darbalaukio srautų duomenų praradimo prevencija

Power Automate leidžia kurti ir vykdyti DLP strategijas, klasifikuojančias darbalaukio srauto modulius ir atskirus modulių veiksmus kaip verslo, ne verslo arba užblokuotus. Šis skirstymas į kategorijas neleidžia kūrėjams sujungti modulių ir veiksmų iš skirtingų kategorijų į darbalaukio srautą arba tarp debesies srauto ir jo naudojamų darbalaukio srautų.

Svarbu

• DLP strategijos vykdymas darbalaukio srautams galimas visose aplinkose.
• DLP, skirtas darbalaukio srautams, galimas darbalaukio 2.14.173.21294 arba naujesnėse versijose Power Automate . Jei naudojate ankstesnę versiją, pašalinkite ją ir atnaujinkite į naujausią versiją.

Darbalaukio srauto veiksmų grupių peržiūra

Pagal numatytuosius nustatymus darbalaukio srauto veiksmų grupės nerodomos, kai kuriate DLP strategiją. Nuomotojo parametruose turite įjungti parametrą Rodyti darbalaukio srauto veiksmus DLP strategijose .

Jei pasirinkote viešąją peržiūrą, DLP parametras Darbalaukio srauto veiksmai jau įgalintas ir jo keisti negalima.

1. Prisijunkite prie „Power Platform“ administravimo centro.

2. Kairiajame šoniniame skydelyje pasirinkite Nustatymai.

3. Puslapyje Nuomotojo parametrai pasirinkite Darbalaukio srauto veiksmai DLP.

4. Įjunkite Rodyti darbalaukio srauto veiksmus DLP strategijose, tada pasirinkite Įrašyti.

   

Dabar galite klasifikuoti darbalaukio srauto veiksmų grupes, kai kuriate duomenų strategiją.

DLP strategijos su darbalaukio srauto apribojimais kūrimas

Kai administratoriai redaguoja arba sukuria strategiją, darbalaukio srauto veiksmų grupės įtraukiamos į numatytąją grupę, o strategija taikoma ją įrašius. Strategija sustabdoma, jei numatytoji grupė nustatyta kaip Užblokuota , o darbalaukio srautai vykdomi paskirties aplinkoje.

Galite valdyti darbalaukio srautų DLP strategijas taip pat, kaip valdote debesies srauto jungtis ir veiksmus. Darbalaukio srauto moduliai yra panašių veiksmų grupės, rodomos Power Automate darbalaukio vartotojo sąsajoje. Modulis yra panašus į jungtis, kurios naudojamos debesies srautuose. Galite apibrėžti DLP strategiją, kuri valdo darbalaukio srauto modulius ir debesies srauto jungtis. Kai kurių pagrindinių modulių, pvz. , kintamųjų, negalima valdyti pagal DLP strategiją, nes juos reikia naudoti beveik visuose darbalaukio srautuose. Sužinokite daugiau apie DLP politikos pagrindus ir kaip juos sukurti.

Kai jūsų nuomotojas pasirenka vartotojo patirtį Power Platform, administratoriai automatiškai mato naujus darbalaukio srauto modulius numatytojoje kuriamos arba atnaujinamos DLP strategijos duomenų grupėje.

Įspėjimas

Kai darbalaukio srauto moduliai įtraukiami į DLP strategijas, jūsų nuomotojo darbalaukio srautai įvertinami pagal juos ir jie sustabdomi, jei jie neatitinka reikalavimų. Jei administratorius sukuria arba atnaujina DLP strategiją nepastebėjęs naujų modulių, darbalaukio srautai gali būti netikėtai sustabdyti.

Valdyti darbalaukio srautus už DLP ribų

Turite kitų darbalaukio srautų valdymo parinkčių.

• Galimybė valdyti darbalaukio srauto orkestravimą: darbalaukio srauto jungtis gali būti valdoma jūsų strategijose, kaip ir bet kuri kita jungtis visose aplinkose.

• Galimybė valdyti darbalaukio Power Automate naudojimą: galite valdyti Power Automate darbalaukio srautus naudodami grupės strategijos objektus (GPO). Šis valdymas leidžia įjungti arba išjungti darbalaukio srautus, pvz., apriboti aplinkų ar regionų rinkinį, apriboti abonementų tipų naudojimą ir apriboti neautomatinius naujinimus.

Sužinokite daugiau apie valdymą. Power Automate

Darbalaukio srauto moduliai DLP

DLP galimi šie darbalaukio srauto moduliai:

• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Naršyklės automatizavimas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD seansas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Mainų srities mainų sritis
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Glaudinimas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database duomenų bazė
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email El. paštas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder aplankas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleKognityvinis "Google" kognityvinis
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognityvinis IBM kognityvinis
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display pranešimų laukai
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Pelė ir klaviatūra
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.pdf PDF
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Slaptieji kintamieji
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Vykdymo srautas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting scenarijai
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation terminalo emuliacija
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation vartotojo sąsajos automatizavimas
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services "Windows" paslaugos
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
• teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

"PowerShell" darbalaukio srauto modulių palaikymas

Jei nenorite įjungti parametro Rodyti darbalaukio srauto veiksmus DLP strategijose , galite naudoti šį "PowerShell" scenarijų, kad įtrauktumėte visus darbalaukio srauto modulius į DLP strategijos grupę Užblokuota . Jei jau įjungėte nustatymą, šio scenarijaus naudoti nereikia.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Šis "PowerShell" scenarijus įtraukia du konkrečius darbalaukio srauto modulius į numatytąją DLP strategijos duomenų grupę.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

"PowerShell" scenarijus, skirtas atsisakyti darbalaukio srautų

Jei nenorite naudoti DLP darbalaukio srautams funkcijos, galite naudoti šį "PowerShell" scenarijų, kad atsisakytumėte.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Įgalinus strategiją

Jei jūsų vartotojai neturi naujausios Power Automate staliniams kompiuteriams, DLP strategijos vykdymas yra ribotas. Jie nemato projektavimo laiko klaidų pranešimų, kai bando paleisti, derinti arba įrašyti darbalaukio srautus, kurie pažeidžia DLP strategijas. Foninės užduotys periodiškai nuskaito darbalaukio srautus aplinkoje ir automatiškai sustabdo tuos, kurie pažeidžia DLP strategijas. Vartotojai negali paleisti darbalaukio srautų iš debesies srauto, jei darbalaukio srautas pažeidžia bet kokią duomenų praradimo prevencijos strategiją.

Kūrėjai, turintys naujausią Power Automate staliniams kompiuteriams, negali derinti, paleisti ar įrašyti darbalaukio srautų, kurie pažeidžia DLP strategiją. Jie taip pat negali pasirinkti darbalaukio srauto, kuris pažeidžia DLP strategiją iš debesies srauto veiksmo.

DLP vykdymo užtikrinimas ir sustabdymas

1. Kai kuriate arba redaguojate srautą, Power Automate įvertina jį pagal dabartinį DLP strategijų rinkinį.
   1. Srautų be vaiko srauto, kuris sudaro 99 proc. srautų, vykdymas yra sinchroniškas ir vykdomas realiuoju laiku.
   2. Srauto vykdymas su vaiko srautu yra asinchroninis, nes vaiko srautai taip pat turi būti įvertinti ir įvyksta per 24 valandas.
2. Kai kuriate arba keičiate DLP strategiją, foninė užduotis nuskaito visus aktyvius srautus aplinkoje, įvertina juos ir sustabdo strategiją pažeidžiančius srautus. Vykdymas yra asinchroninis ir įvyksta per 24 valandas. Jei DLP strategija pasikeičia, kai vertinama ankstesnė DLP strategija, vertinimas pradedamas iš naujo, kad būtų užtikrinta, jog laikomasi naujausių strategijų.
3. Kas savaitę foninė užduotis atlieka visų aktyvių srautų aplinkoje nuoseklumo patikrinimą pagal DLP strategijas, kad patvirtintų, kad DLP strategijos tikrinimas nebuvo praleistas.

DLP pakartotinis aktyvinimas

Jei DLP vykdymo foninė užduotis randa darbalaukio srautą, kuris nebepažeidžia jokios DLP strategijos, foninė užduotis automatiškai pašalina sustabdymą. Tačiau DLP vykdymo fono užduotis automatiškai neatšaukia debesies srautų.

DLP vykdymo pakeitimo procesas

Periodiškai DLP vykdymas turi keistis, nes įdiegiamos naujos DLP galimybės arba klaidų taisymas arba užpildoma vykdymo spraga. Kai pakeitimai gali turėti įtakos esamiems srautams, taikykite šį etapinį DLP vykdymo pakeitimų valdymo procesą:

1. Tyrimas: patvirtinkite DLP vykdymo pakeitimo poreikį ir ištirkite pakeitimo specifiką.

2. Mokymasis: įgyvendinkite pokyčius ir surinkite duomenis apie pokyčių poveikio mastą. Dokumentuokite DLP vykdymo pakeitimus, kad paaiškintumėte pakeitimo apimtį. Jei duomenys rodo, kad klientai bus labai paveikti, tiems klientams gali būti išsiųstas pranešimas, kad jie žinotų, kad artėja pokyčiai. Jei pakeitimas turi platų poveikį esamiems srautams, vėlesniame mokymosi etape, kai foninė DLP vykdymo užduotis nustato esamo srauto pažeidimą, Power Automate srauto savininkams pranešama, kad srautas bus sustabdytas, kad jie turėtų daugiau laiko reaguoti.

3. Tik pranešti: įjunkite el. pašto pranešimus tik apie DLP pažeidimus, kad esamų srautų savininkai gautų pranešimus apie būsimą DLP vykdymo pakeitimą. Kai foninė DLP vykdymo užduotis randa pažeidimą esamame sraute, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas veikia kas savaitę.

4. Projektavimo laiko vykdymas: įjunkite DLP pažeidimų vykdymą projektavimo metu, kad esamų srautų savininkai gautų pranešimus apie būsimą DLP vykdymo pakeitimą, tačiau visi pakeisti srautai projektavimo metu gautų išsamų DLP strategijos įvertinimą. Tai taip pat vadinama švelniu vykdymo užtikrinimu.

   • Projektavimo laikas: kai srautas atnaujinamas ir išsaugomas, naudokite atnaujintą DLP vykdymą ir, jei reikia, sustabdykite srautą, kad kūrėjas iš karto sužinotų apie vykdymą.

   • Foninis procesas: kai foninė DLP vykdymo užduotis randa srauto pažeidimą, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas apima DLP politikos sukūrimą arba pakeitimus ir nuoseklumo patikrinimus.

5. Visiškas vykdymas: įjunkite visišką DLP pažeidimų vykdymą, kad DLP politika būtų visiškai vykdoma visuose esamuose ir naujuose srautuose. DLP strategijos yra visiškai vykdomos, kai srautai įrašomi atliekant DLP vykdymo foninės užduoties vertinimą. Tai taip pat žinoma kaip griežtas vykdymas.

DLP vykdymo pakeitimų sąrašas

Šioje lentelėje pateikiami DLP vykdymo pakeitimai ir pakeitimų įsigaliojimo data.

Date	Aprašą	Pakeitimo priežastis	Etapas	Galimybė užtikrinti vykdymo užtikrinimą projektavimo metu*	Visiškas vykdymo užtikrinimas*
2022 m. gegužės mėn.	Deleguoto autorizavimo fono užduočių vykdymas	DLP strategijos taikomos srautams, kurie naudoja įgaliotąjį įgaliojimą, kol srautas įrašomas, bet ne atliekant foninę užduotį.	Visas	2022 m. birželio 2 d.	2022 m. liepos 21 d.
2022 m. gegužės mėn.	Prašyti apiConnection paleidiklio vykdymo	DLP strategijos nebuvo tinkamai vykdomos kai kuriems paleidikliams. Paveikti paleidikliai turi type=Request ir kind=apiConnection. Daugelis paveiktų paleidiklių yra momentiniai paleidikliai, kurie naudojami momentiniuose arba rankiniu būdu suaktyvintuose srautuose. Paveikti veiksniai yra šie. - Power BI: Power BI mygtukas spustelėtas - Komandos: Iš komponavimo dėžutės (V2) - OneDrive verslui: pasirinktam failui - Dataverse: kai srauto veiksmas vykdomas iš veiklos procesų sekos - Dataverse (senstelėjęs): kai pasirenkamas įrašas - "Excel Online" (verslas): pasirinktai eilutei - SharePoint: Pasirinktam elementui - Microsoft Copilot Studio: Kai Copilot Studio iškviečia srautą (V2)	Visas	2022 m. birželio 2 d.	2022 m. rugpjūčio 25 d.
2022 m. liepos mėn.	DLP strategijų vykdymas antriniuose srautuose	Įgalinti DLP strategijų vykdymą, kad būtų įtraukti antriniai srautai. Jei bet kurioje srauto medžio vietoje randamas pažeidimas, pirminis srautas sustabdomas. Redagavus ir įrašius antrinį srautą, kad būtų pašalintas pažeidimas, pirminius srautus galima iš naujo įrašyti arba iš naujo suaktyvinti, kad vėl būtų vykdomas DLP strategijos vertinimas. Pakeitimas, kad nebeblokuotų antrinių srautų, kai HTTP jungtis yra užblokuota, bus įdiegtas kartu su visišku DLP strategijų taikymu antriniams srautams. Kai bus pasiektas visiškas vykdymas, vykdymas apima vaikų darbalaukio srautus.	Visas	2023 m. vasario 14 d.	2023 m. kovas
2023 m. sausis	DLP strategijų vykdymas antriniuose darbalaukio srautuose	Įgalinti DLP strategijų vykdymą, kad būtų įtraukti antriniai darbalaukio srautai. Jei bet kurioje srauto medžio vietoje randamas pažeidimas, darbalaukio pirminis srautas sustabdomas. Redagavus ir įrašius antrinį darbalaukio srautą, kad būtų pašalintas pažeidimas, pirminiai darbalaukio srautai automatiškai suaktyvinami iš naujo.	Visas	-	2023 m. rugpjūčio mėn.
2024 m. spalio mėn.	Paleidiklių ir vidinių veiksmų jungties veiksmų kontrolės vykdymas	Išplėsti jungties veiksmų kontrolės vykdymą , kad būtų užtikrinta, kad būtų įtraukti paleidikliai ir vidiniai veiksmai. Išvardinkite juos Power Platform administravimo centre ir priverskite juos blokuoti, jei jie atskirai nurodyti DLP strategijose arba jei DLP strategijoje jie neįtraukti kaip leidžiama.	Mokymasis	2025 m. sausio 27 d.	2025 m. vasario 10 d.

*Pasiekiamumo tvarkaraštis gali keistis ir priklauso nuo išleidimo.

Srauto sustabdymas dėl DLP pažeidimo

Sustabdyti srautai kūrėjo portale Power Automate ir Power Platform administravimo centre rodomi kaip sustabdyti. Kai srautas grąžinamas naudojant API, "PowerShell" arba Power Automate valdymo jungčių sąrašo srautą "kaip administratorius" veiksmą, srautas turi State=Suspended,FlowSuspensionReason=CompanyDlpViolation ir FlowSuspensionTime reikšmę, nurodančią, kada srautas buvo sustabdytas.

Žinomi apribojimai

Sužinokite apie DLP žinomas problemas.

Susijusi informacija

• Power Platform DLP politika
• Sužinokite daugiau apie aplinką
• Sužinokite daugiau apie Power Automate
• Sužinokite daugiau apie administravimo centrą