Penciptaan dasar pencegahan kehilangan data (DLP)
Data organisasi adalah kritikal untuk kejayaannya. Datanya perlu tersedia untuk membuat keputusan, tetapi pada masa yang sama dilindungi supaya ia tidak dikongsi dengan khalayak yang tidak sepatutnya mempunyai akses kepadanya. Untuk melindungi data perniagaan anda, Power Automate memberi anda keupayaan untuk mencipta dan menguatkuasakan dasar yang mentakrifkan penyambung yang boleh mengakses dan berkongsinya. Dasar yang mentakrifkan cara data boleh dikongsi dirujuk sebagai dasar pencegahan kehilangan data (DLP).
Pentadbir mengawal dasar DLP. Jika dasar DLP menyekat aliran anda daripada berjalan, hubungi pentadbir anda.
Pencegahan kehilangan data untuk aliran desktop
Power Automate membolehkan anda mencipta dan menguatkuasakan dasar DLP yang mengklasifikasikan modul aliran desktop dan tindakan modul individu sebagai Perniagaan, Bukan perniagaan atau Disekat. Pengkategorian ini menghalang pembuat daripada menggabungkan modul dan tindakan daripada kategori yang berbeza ke dalam aliran desktop atau antara aliran awan dan aliran desktop yang digunakannya.
Penting
- Penguatkuasaan dasar DLP tersedia untuk Persekitaran Terurus sahaja. Mulai Januari 2025, hanya aliran desktop yang terletak dalam Persekitaran Terurus akan dinilai oleh dasar DLP.
- DLP untuk aliran desktop tersedia untuk versi untuk Power Automate desktop 2.14.173.21294 atau lebih baharu. Jika anda menggunakan versi yang lebih awal, nyahpasang dan kemas kini kepada versi terkini.
Lihat kumpulan tindakan aliran desktop
Secara lalai, kumpulan tindakan aliran desktop tidak muncul apabila anda mencipta dasar DLP. Anda perlu menghidupkan seting Tunjukkan tindakan aliran desktop dalam dasar DLP dalam tetapan penyewa anda.
Jika anda telah memilih untuk pratonton awam, tindakan aliran desktop dalam tetapan DLP telah didayakan dan tidak boleh diubah.
Daftar masuk ke pusat pentadbiran Power Platform.
Pada panel sebelah kiri, pilih Tetapan.
Pada halaman Seting penyewa, pilih tindakan aliran desktop dalam DLP.
Hidupkan Tunjukkan tindakan aliran desktop dalam dasar DLP dan kemudian pilih Simpan .
Anda kini boleh mengklasifikasikan kumpulan tindakan aliran desktop apabila anda mencipta dasar data.
Cipta dasar DLP dengan sekatan aliran desktop
Apabila pentadbir mengedit atau mencipta dasar, kumpulan tindakan aliran desktop ditambah pada kumpulan lalai dan dasar digunakan selepas ia disimpan. Dasar digantung jika kumpulan lalai ditetapkan kepada Disekat dan aliran desktop berjalan dalam persekitaran sasaran.
Anda boleh mengurus dasar DLP anda untuk aliran desktop dengan cara yang sama anda mengurus penyambung dan tindakan aliran awan. Modul aliran desktop ialah kumpulan tindakan serupa seperti yang dipaparkan dalam Power Automate antara muka pengguna untuk desktop. Modul adalah serupa dengan penyambung yang digunakan dalam aliran awan. Anda boleh mentakrifkan dasar DLP yang menguruskan kedua-dua modul aliran desktop dan penyambung aliran awan. Sesetengah modul asas, seperti Pembolehubah, tidak boleh diuruskan dalam skop dasar DLP kerana hampir semua aliran desktop perlu menggunakannya. Ketahui lebih lanjut tentang asas dasar DLP dan cara mencipta dasar tersebut.
Apabila penyewa anda mengikut serta pengalaman pengguna dalam Power Platform, pentadbir anda secara automatik melihat modul aliran desktop baharu dalam kumpulan data lalai dasar DLP yang mereka cipta atau kemas kini.
Amaran
Apabila modul aliran desktop ditambah pada dasar DLP, aliran desktop penyewa anda dinilai terhadapnya dan ia digantung jika ia tidak mematuhi. Jika pentadbir anda mencipta atau mengemas kini dasar DLP tanpa menyedari modul baharu, aliran desktop boleh digantung secara tidak dijangka.
Tadbir aliran desktop di luar DLP
Kawalan terperinci ke atas penggunaan aliran desktop pada semua mesin seperti yang diterangkan dalam bahagian sebelumnya hanya terpakai kepada Persekitaran Terurus. Anda mempunyai pilihan lain untuk mentadbir aliran desktop.
Keupayaan untuk mentadbir orkestrasi aliran desktop: Penyambung aliran desktop boleh ditadbir dalam dasar anda seperti mana-mana penyambung lain dalam semua persekitaran.
Keupayaan untuk mentadbir penggunaan Power Automate untuk desktop: Anda boleh mentadbir Power Automate aliran desktop melalui GPO. Tadbir urus ini membolehkan anda menghidupkan atau mematikan aliran desktop untuk tindakan seperti mengehadkan kepada set persekitaran atau rantau, mengehadkan penggunaan jenis akaun dan menyekat kemas kini manual.
Ketahui lebih lanjut mengenai tadbir urus dalam Power Automate.
Modul aliran desktop dalam DLP
Modul aliran desktop berikut tersedia dalam DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automasi pelayar
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesi CMD
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Papan Klip
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Mampatan Mampatan
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografi
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive kognitif Google
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Kotak mesej
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Tetikus dan papan kekunci
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Jalankan aliran
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulasi Terminal
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Perkhidmatan Windows
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Sokongan PowerShell untuk modul aliran desktop
Jika anda tidak mahu menghidupkan tetapan Tunjukkan tindakan aliran desktop dalam dasar DLP, anda boleh menggunakan skrip PowerShell berikut untuk menambah semua modul aliran desktop pada kumpulan Disekat dasar DLP. Jika anda telah menghidupkan tetapan, anda tidak perlu menggunakan skrip ini.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Skrip PowerShell berikut menambah dua modul aliran desktop khusus pada kumpulan data lalai dasar DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Skrip PowerShell untuk menarik diri daripada aliran desktop
Jika anda tidak mahu menggunakan ciri DLP untuk aliran desktop, anda boleh menggunakan skrip PowerShell berikut untuk menarik diri.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Selepas dasar didayakan
Jika pengguna anda tidak mempunyai yang terkini Power Automate untuk desktop, penguatkuasaan dasar DLP adalah terhad. Mereka tidak melihat mesej ralat masa reka bentuk apabila mereka cuba menjalankan, menyahpepijat atau menyimpan aliran desktop yang melanggar dasar DLP. Kerja latar belakang secara berkala mengimbas aliran desktop dalam persekitaran dan menggantung secara automatik mana-mana yang melanggar dasar DLP. Pengguna tidak boleh menjalankan aliran desktop daripada aliran awan jika aliran desktop melanggar sebarang dasar pencegahan kehilangan data.
Pembuat yang mempunyai terkini Power Automate untuk desktop tidak boleh nyahpepijat, menjalankan atau menyimpan aliran desktop yang melanggar dasar DLP. Mereka juga tidak boleh memilih aliran desktop yang melanggar dasar DLP daripada aliran awan langkah.
Penguatkuasaan dan penggantungan DLP
- Apabila anda membuat atau mengedit aliran, menilainya Power Automate terhadap set dasar DLP semasa.
- Penguatkuasaan aliran tanpa aliran anak, iaitu 99% daripada aliran, adalah segerak dan berlaku dalam masa nyata.
- Penguatkuasaan aliran dengan aliran anak adalah tidak segerak, kerana aliran kanak-kanak perlu dinilai juga, dan berlaku dalam masa 24 jam.
- Apabila anda mencipta atau mengubah dasar DLP, kerja latar belakang mengimbas semua aliran aktif dalam persekitaran, menilainya dan kemudian menggantung aliran yang melanggar dasar. Penguatkuasaan adalah tidak segerak dan berlaku dalam masa 24 jam. Jika perubahan dasar DLP berlaku apabila dasar DLP sebelumnya sedang dinilai, maka penilaian dimulakan semula untuk memastikan dasar terkini dikuatkuasakan.
- Setiap minggu, kerja latar belakang melakukan semakan konsistensi semua aliran aktif dalam persekitaran terhadap dasar DLP untuk mengesahkan bahawa semakan dasar DLP tidak terlepas.
Pengaktifan semula DLP
Jika kerja latar belakang penguatkuasaan DLP menemui aliran desktop yang tidak lagi melanggar mana-mana dasar DLP, maka kerja latar belakang mengalih keluar penggantungan secara automatik. Walau bagaimanapun, kerja latar belakang penguatkuasaan DLP tidak menangguhkan aliran awan secara automatik.
Proses perubahan penguatkuasaan DLP
Secara berkala, penguatkuasaan DLP perlu berubah kerana keupayaan DLP baharu atau pembetulan pepijat dilancarkan atau jurang penguatkuasaan diisi. Apabila perubahan boleh menjejaskan aliran sedia ada, gunakan proses pengurusan perubahan penguatkuasaan DLP berperingkat berikut:
Menyiasat: Sahkan keperluan untuk perubahan penguatkuasaan DLP dan menyiasat butiran perubahan tersebut.
Pembelajaran: Laksanakan perubahan dan kumpulkan data tentang keluasan kesan perubahan. Dokumen perubahan penguatkuasaan DLP untuk menerangkan skop perubahan. Jika data menunjukkan bahawa pelanggan akan sangat terjejas, maka komunikasi boleh dihantar kepada pelanggan tersebut untuk memberitahu mereka bahawa perubahan akan datang. Jika perubahan mempunyai kesan yang luas pada aliran sedia ada, maka pada peringkat kemudian dalam fasa pembelajaran, apabila kerja penguatkuasaan DLP latar belakang mendapati pelanggaran dalam aliran sedia ada, Power Automate memberitahu pemilik aliran bahawa aliran akan digantung, supaya mereka mempunyai lebih banyak masa untuk bertindak balas.
Maklumkan sahaja: Hidupkan pemberitahuan e-mel hanya untuk pelanggaran DLP supaya pemilik aliran sedia ada dimaklumkan tentang perubahan penguatkuasaan DLP yang akan datang. Apabila kerja penguatkuasaan DLP latar belakang menemui pelanggaran dalam aliran sedia ada, maklumkan pemilik aliran bahawa aliran akan digantung. Mekanisme ini berjalan setiap minggu.
Penguatkuasaan masa reka bentuk: Hidupkan penguatkuasaan masa reka bentuk bagi pelanggaran DLP supaya pemilik aliran sedia ada dimaklumkan tentang perubahan penguatkuasaan DLP yang akan datang, tetapi sebarang aliran yang diubah mendapat penilaian dasar DLP penuh pada masa reka bentuk. Ini juga dikenali sebagai penguatkuasaan lembut.
Masa reka bentuk: Apabila aliran dikemas kini dan disimpan, gunakan penguatkuasaan DLP yang dikemas kini dan gantung aliran jika perlu supaya pembuat segera mengetahui penguatkuasaan.
Proses latar belakang: Apabila kerja penguatkuasaan DLP latar belakang menemui pelanggaran dalam aliran, maklumkan pemilik aliran bahawa aliran akan digantung. Mekanisme ini termasuk penciptaan atau perubahan pada dasar DLP dan semakan konsistensi.
Penguatkuasaan penuh: Hidupkan penguatkuasaan penuh pelanggaran DLP, supaya dasar DLP dikuatkuasakan sepenuhnya pada semua aliran sedia ada dan baharu. Dasar DLP dikuatkuasakan sepenuhnya apabila aliran disimpan semasa penilaian kerja latar belakang penguatkuasaan DLP. Ini juga dikenali sebagai penguatkuasaan keras.
Senarai perubahan penguatkuasaan DLP
Jadual berikut menyenaraikan perubahan penguatkuasaan DLP dan tarikh perubahan itu berkuat kuasa.
Date | Description | Sebab perubahan | Peringkat | Ketersediaan penguatkuasaan masa reka bentuk* | Ketersediaan penguatkuasaan penuh* |
---|---|---|---|---|---|
Mei 2022 | Penguatkuasaan kerja latar belakang kebenaran yang diwakilkan | Dasar DLP dikuatkuasakan pada aliran yang menggunakan kebenaran yang diwakilkan semasa aliran disimpan, tetapi tidak semasa penilaian kerja latar belakang. | Penuh | 2 Jun 2022 | 21 Julai 2022 |
Mei 2022 | Minta penguatkuasaan pencetus apiConnection | Dasar DLP tidak dikuatkuasakan dengan betul untuk sesetengah pencetus. Pencetus yang terjejas mempunyai type=Request dan kind=apiConnection. Kebanyakan pencetus yang terjejas ialah pencetus segera, yang digunakan secara serta-merta, atau dicetuskan secara manual, aliran. Pencetus yang terjejas termasuk yang berikut. - Power BI: Power BI butang diklik - Pasukan: Dari kotak gubahan (V2) - OneDrive untuk Perniagaan: Untuk fail yang dipilih - Dataverse: Apabila langkah aliran dijalankan daripada aliran proses perniagaan - Dataverse (warisan): Apabila rekod dipilih - Excel Online (Perniagaan): Untuk baris yang dipilih - SharePoint: Untuk item yang dipilih - Microsoft Copilot Studio: Apabila Copilot Studio memanggil aliran (V2) |
Penuh | 2 Jun 2022 | 25 Ogos 2022 |
Julai 2022 | Menguatkuasakan dasar DLP pada aliran kanak-kanak | Dayakan penguatkuasaan dasar DLP untuk memasukkan aliran kanak-kanak. Jika pelanggaran ditemui di mana-mana dalam pokok aliran, aliran induk digantung. Selepas aliran anak diedit dan disimpan untuk mengalih keluar pelanggaran, aliran induk boleh disimpan semula atau diaktifkan semula untuk menjalankan penilaian dasar DLP sekali lagi. Perubahan untuk tidak lagi menyekat aliran kanak-kanak apabila penyambung HTTP disekat akan dilancarkan bersama-sama dengan penguatkuasaan penuh dasar DLP pada aliran kanak-kanak. Setelah penguatkuasaan penuh tersedia, penguatkuasaan akan termasuk aliran desktop kanak-kanak. | Penuh | 14 Februari 2023 | Mac 2023 |
Januari 2023 | Menguatkuasakan dasar DLP pada aliran desktop kanak-kanak | Dayakan penguatkuasaan dasar DLP untuk memasukkan aliran desktop kanak-kanak. Jika pelanggaran ditemui di mana-mana dalam pokok aliran, aliran induk desktop digantung. Selepas aliran desktop kanak-kanak diedit dan disimpan untuk mengalih keluar pelanggaran, aliran desktop induk diaktifkan semula secara automatik. | Penuh | - | Ogos 2023 |
*Jadual ketersediaan mungkin berubah dan bergantung pada pelancaran.
Penggantungan aliran kerana pelanggaran DLP
Aliran yang digantung ditunjukkan sebagai digantung dalam Power Automate portal pembuat dan Power Platform pusat pentadbiran. Apabila aliran dikembalikan melalui API, PowerShell atau Power Automate aliran senarai penyambung Pengurusan tindakan "sebagai Pentadbir", aliran mempunyai State=Suspended,FlowSuspensionReason =CompanyDlpViolation dan nilai FlowSuspensionTime yang menunjukkan apabila aliran digantung.
Had diketahui
Ketahui tentang isu DLP yang diketahui.