Ustawianie zasad w celu ułatwienia ochrony przed utratą danych

  • Artykuł

Dane organizacji mają krytyczne znaczenie dla jej sukcesu. Dane muszą być łatwo dostępne do podejmowania decyzji, ale jednocześnie chronione, aby nie były udostępniane odbiorcom, którzy nie powinni mieć do nich dostępu. Aby chronić dane biznesowe, Power Automate daje możliwość tworzenia i egzekwowania zasad, które definiują, które łączniki mogą uzyskiwać do nich dostęp i je udostępniać. Zasady określające sposób udostępniania danych nazywamy zasadami ochrony przed utratą danych (DLP).

Administratorzy kontrolują polityki DLP. Skontaktuj się z administratorem, jeśli zasady DLP blokują Twoje przepływy pracy.

Dowiedz się więcej o ochronie danych za pomocą zasad zapobiegania utracie danych.

Zapobieganie utracie danych dla przepływów pulpitu

Power Automate umożliwia tworzenie i egzekwowanie zasad DLP, które klasyfikują moduły przepływu pulpitu i poszczególne akcje modułów jako Biznesowe, Niebiznesowe lub Zablokowane. Ta kategoryzacja uniemożliwia twórcom łączenie modułów i działań z różnych kategorii w przepływ pulpitu lub pomiędzy przepływem w chmurze a przepływami pulpitu, z których korzysta.

Ważne

  • Wymuszanie zasad DLP będzie dostępne tylko w Środowiska zarządzane. Od września 2024 r. tylko przepływy pulpitu znajdujące się w środowiskach zarządzanych będą oceniane przez zasady DLP.
  • DLP dla przepływów pulpitu jest dostępne dla wersji programu Power Automate dla pulpitu 2.14.173.21294 lub nowszych. Jeśli używasz wcześniejszej wersji, odinstaluj ją i zaktualizuj do najnowszej wersji.

Wyświetlanie grup akcji przepływu pulpitu

Domyślnie grupy akcji przepływu pulpitu nie są wyświetlane podczas tworzenia zasad DLP. Należy włączyć ustawienie Pokaż akcje przepływu pulpitu w zasadach DLP w ustawieniach dzierżawy.

Jeśli zdecydowałeś się na publiczną wersję zapoznawczą, ustawienie Akcje przepływu pulpitu w DLP jest już włączone i nie można go zmienić.

  1. Zaloguj się w Centrum administracyjnym Power Platform.

  2. Na lewym panelu wybierz pozycję Ustawienia.

  3. Na stronie Ustawienia dzierżawy wybierz Akcje przepływu pulpitu w DLP.

  4. Włącz Pokaż akcje przepływu pulpitu w zasadach DLP, a następnie wybierz Zapisz.

    Zrzut ekranu ustawienia DLP dla przepływów pulpitu w centrum administracyjnym Power Platform.

Podczas tworzenia zasad dotyczących danych można teraz klasyfikować grupy akcji przepływu pulpitu.

Tworzenie zasad DLP z ograniczeniami przepływu pulpitu

Podczas edytowania lub tworzenia zasad grupy akcji przepływu pulpitu są dodawane do grupy domyślnej, a zasady zostaną zastosowane po zapisaniu. Zasady zostały wstrzymane, jeśli grupa domyślna została ustawiona na Zablokowane, a przepływy pulpitu są uruchomione w środowiskach docelowych.

Zasadami DLP dla przepływów pulpitu można zarządzać w taki sam sposób, jak łącznikami i akcjami przepływów w chmurze. Moduły przepływów pulpitu to grupy podobnych akcji, które są wyświetlane w Power Automate dla interfejsie użytkownika przepływu pulpitu. Moduł jest podobny do łączników, które są używane w przepływach chmurowych. Można zdefiniować zasady DLP, które zarządzają zarówno modułami przepływu pulpitu, jak i łącznikami przepływu w chmurze. Niektóre podstawowe moduły, takie jak Zmienne, nie mogą być zarządzane w zakresie polityki DLP, ponieważ prawie wszystkie przepływy pulpitu muszą z nich korzystać. Dowiedz się więcej o podstawach polityk DLP i sposobach ich tworzenia.

Gdy dzierżawca zdecyduje się na dostęp do interfejsu użytkownika w aplikacji Power Platform, administratorzy będą automatycznie widzieć nowe moduły przepływu pulpitu w domyślnej grupie danych zasad DLP, które są przez nich tworzone lub aktualizowane.

Zrzut ekranu polityki DLP w budowie w centrum administracyjnym Power Platform.

Ostrzeżenie

Po dodaniu modułów przepływu pulpitu do zasad DLP, przepływy pulpitu dzierżawy są oceniane pod ich kątem i zawieszane, jeśli są niezgodne. Jeśli administrator utworzy lub zaktualizuje zasady DLP bez zauważenia nowych modułów, przepływy pulpitu mogą zostać nieoczekiwanie zawieszone.

Dotyczy przepływów pulpitu poza DLP

Szczegółowa kontrola nad wykorzystaniem przepływów pulpitu na wszystkich maszynach, jak opisano w poprzednich sekcjach, dotyczy tylko środowisk zarządzanych. Istnieją też inne opcje zarządzania przepływem pulpitu.

  • Możliwość kontrolowania orkiestracji przepływu pulpitu: łącznik przepływu pulpitu może być nadal regulowany w zasadach, tak jak wszystkie inne łączniki we wszystkich środowiskach.

  • Możliwość kontrolowania korzystania Power Automate dla pulpitu: można określić sposób korzystania Power Automate dla przepływów pulpitu za pośrednictwem funkcji GPO. Zarządzanie to umożliwia włączanie lub wyłączanie przepływów pulpitu dla takich działań, jak ograniczenie do zestawu środowisk lub regionów, ograniczenie korzystania z typów kont i ograniczenie ręcznych aktualizacji.

Możesz dowiedzieć się więcej o zarządzaniem w aplikacji Power Automate.

Moduły przepływu pulpitu w DLP

W DLP dostępne są następujące moduły przepływu pulpitu:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatyzacja przeglądaki
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Usługi poznawcze firmy Google
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Usługi poznawcze firmy Microsoft
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mysz i klawiatura
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulacja terminalu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Obsługa programu PowerShell dla modułów przepływu pulpitu

Jeśli nie chcesz włączać ustawienia Pokaż akcje przepływu pulpitu w zasadach DLP, możesz użyć następującego skryptu PowerShell, aby dodać wszystkie moduły przepływu pulpitu do grupy Zablokowane zasad DLP. Jeśli ustawienie zostało już włączona, nie musisz używać tego skryptu.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Poniższy skrypt PowerShell dodaje dwa określone moduły przepływu pulpitu do domyślnej grupy danych polityki DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skrypt PowerShell do rezygnacji z przepływów pulpitu

Jeśli nie chcesz korzystać z funkcji DLP dla przepływów pulpitu, możesz użyć następującego skryptu PowerShell, aby z niej zrezygnować.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Po włączeniu zasad

Jeśli użytkownicy nie mają najnowszej wersji Power Automate dla komputerów stacjonarnych, egzekwowanie zasad DLP jest ograniczone. Nie widzą komunikatów o błędach w czasie projektowania, gdy próbują uruchamiać, debugować lub zapisywać przepływy pulpitu, które naruszają zasady DLP. Zadania w tle okresowo skanują przepływy pulpitu w środowisku i automatycznie zawieszają te, które naruszają zasady DLP. Użytkownicy nie mogą uruchamiać przepływów pulpitu z przepływu w chmurze, jeśli przepływ pulpitu narusza jakiekolwiek zasady zapobiegania utracie danych.

Twórcy posiadający najnowszą wersję Power Automate dla urządzeń stacjonarnych nie mogą debugować, uruchamiać ani zapisywać przepływów pulpitu, które naruszają zasady DLP. Nie mogą również wybrać przepływu pulpitu, który narusza zasady DLP z kroku przepływu w chmurze.

Egzekwowanie i zawieszenie DLP

Podczas tworzenia lub edytowania przepływu usługa Power Automate ocenia go pod kątem bieżącego zestawu zasad DLP. Egzekwowanie jest asynchroniczne i następuje w ciągu 24 godzin.

Gdy tworzysz lub zmieniasz zasady DLP, zadanie w tle skanuje wszystkie aktywne przepływy w środowisku, ocenia je, a następnie zawiesza przepływy, które naruszają zasady. Egzekwowanie jest asynchroniczne i następuje w ciągu 24 godzin. Jeśli zmiana zasad DLP nastąpi, gdy poprzednie zasady DLP są oceniane, wówczas ocena zostanie uruchomiona ponownie, aby upewnić się, że najnowsze zasady są egzekwowane.

Co tydzień zadanie w tle sprawdza spójność wszystkich aktywnych przepływów w środowisku w porównaniu z zasadami DLP, aby upewnić się, że sprawdzanie zasad DLP nie było pominięte.

Reaktywacja DLP

Jeśli zadanie w tle wymuszania DLP znajdzie przepływ pulpitu, który nie narusza już żadnych zasad DLP, wówczas zadanie w tle automatycznie usuwa zawieszenie. Jednak zadanie wymuszania DLP w tle nie powoduje automatycznego zawieszenia przepływów w chmurze.

Proces zmiany wymuszania DLP

Okresowo egzekwowanie DLP musi ulec zmianie, ponieważ wdrażane są nowe funkcje DLP lub poprawki błędów lub wypełniana jest luka w egzekwowaniu. Jeśli zmiany mogą mieć wpływ na istniejące przepływy, należy zastosować następujący etapowy proces zarządzania zmianami wymuszania DLP:

  1. Sprawdzenie: potwierdź konieczność zmiany wymuszania DLP i sprawdź szczegółowe informacje dotyczące tej zmiany.

  2. Uczenie: implementuj zmianę i zbieraj dane dotyczące zakresu wszystkich jej skutków. Dokumentowanie zmian w egzekwowaniu DLP w celu wyjaśnienia zakresu zmiany. Jeśli dane sugerują, że klienci będą w znacznym stopniu dotknięci zmianami, można wysłać do nich komunikat, aby poinformować ich o nadchodzących zmianach. Jeśli zmiana ma szeroki wpływ na istniejące przepływy, to na późniejszym etapie w fazie uczenia się, gdy zadanie egzekwowania DLP w tle wykryje naruszenie w istniejącym przepływie, Power Automate powiadamia właścicieli przepływu, że przepływ zostanie zawieszony, aby mieli więcej czasu na reakcję.

  3. Tylko powiadamiaj: włącz powiadomienia e-mail tylko w przypadku naruszeń DLP, aby właściciele istniejących przepływów byli powiadamiani o nadchodzącej zmianie wymuszania DLP. W momencie, gdy zadanie wymuszania DLP w tle znajdzie naruszenie w istniejącym przepływie, należy powiadomić właścicieli przepływu o jego wstrzymaniu. Ten mechanizm jest uruchamiany co tydzień.

  4. Wymuszanie czasu projektowania: włącz wymuszanie czasu projektowania dla naruszeń DLP, aby właściciele istniejących przepływów byli powiadamiani o nadchodzącej zmianie wymuszania DLP, ale wszystkie zmienione przepływy uzyskują pełną ocenę zasad DLP w czasie projektowania. Nazywane jest to także wymuszaniem miękkim.

    • Czas projektowania: kiedy przepływ jest aktualizowany i zapisywany, użyj zaktualizowanego wymuszania DLP i w razie potrzeby wstrzymaj przepływ, aby twórca był natychmiast świadomy wymuszania.

    • Proces w tle: Gdy zadanie wymuszania DLP w tle wykryje naruszenie w przepływie, powiadamia właścicieli przepływu, że przepływ zostanie zawieszony. Ten mechanizm obejmuje tworzenie lub zmiany zasad DLP i sprawdzanie spójności.

  5. Wymuszanie pełne: włącz pełne wymuszanie naruszeń DLP, aby zasady DLP były w pełni wymuszane we wszystkich istniejących i nowych przepływach. Zasady DLP zostaną w pełni wymuszone, gdy przepływy są zapisywane podczas oceny zadań w tle wymuszenia DLP. Nazywane jest to także wymuszaniem twardym.

Lista zmian wymuszania DLP

Poniższa tabela zawiera listę zmian w egzekwowaniu DLP i datę ich wejścia w życie.

Date opis Przyczyna wprowadzenia zmiany Etap Dostępność wymuszania czasu projektu* Pełna dostępność wymuszania*
Maj 2022 Wymuszenie zadania w tle delegowanej autoryzacji Zasady DLP są wymuszane na przepływach korzystających z delegowanej autoryzacji podczas zapisywania przepływu, ale nie podczas oceny zadania w tle. Pełny 2 czerwca 2022 roku 21 lipca 2022 roku
Maj 2022 Żądanie egzekwowania wyzwalacza apiConnection Zasady DLP nie były poprawnie egzekwowane dla niektórych wyzwalaczy. Wyzwalacze, których to dotyczy, mają type=Request i kind=apiConnection. Wiele z tych wyzwalaczy to wyzwalacze natychmiastowe, które są używane w przepływach natychmiastowych lub wyzwalanych ręcznie. Dotyczy to między innymi następujących wyzwalaczy.
- Power BI: kliknięty przycisk Power BI
- Teams: z pola redagowania (wersja 2)
- OneDrive for Business: dla wybranego pliku
- Dataverse: gdy krok przepływu jest uruchamiany z przepływu procesu biznesowego
- Dataverse (starsza wersja): Gdy rekord zostanie zaznaczony
- Excel Online (Firma): dla zaznaczonego wiersza
- SharePoint: Dla wybranego elementu
- Microsoft Copilot Studio: gdy Copilot Studio wywołuje przepływ (V2)		 Pełny 2 czerwca 2022 roku Sierpień 25, 2022
Lipiec 2022 r. Wymuszanie zasad DLP dla przepływów podrzędnych Włącz wymuszanie zasad DLP tak, aby uwzględniały przepływy podrzędne. Jeśli naruszenie można znaleźć w dowolnym miejscu w drzewie przepływu, przepływ nadrzędny został zawieszony. Po edytowaniu i zapisaniu przepływu podrzędnego w celu usunięcia naruszenia, przepływy nadrzędne można ponownie zapisać lub ponownie aktywować w celu ponownego uruchomienia oceny zasad DLP. Zmiana polegająca na zaprzestaniu blokowania przepływów dzieci w przypadku zablokowania łącznika HTTP zostanie wprowadzona wraz z pełnym wymuszaniem zasad DLP dotyczących przepływów dzieci. Gdy pełne wymuszanie będzie dostępne, wymuszanie będzie obejmować podrzędne przepływy pulpitu. Pełny 14 lutego 2023 roku Marzec 2023
Styczeń 2023 Wymuszanie zasad DLP dla przepływów podrzędnych pulpitu Włącz wymuszanie zasad DLP tak, aby uwzględniały przepływy podrzędne pulpitu. Jeśli naruszenie można znaleźć w dowolnym miejscu w drzewie przepływu, przepływ nadrzędny pulpitu został zawieszony. Po edytowaniu i zapisaniu przepływu pulpitu podrzędnego w celu usunięcia naruszenie przepływy pulpitu nadrzędnego są automatycznie ponownie aktywowane. Nauka - Sierpień 2023

*Harmonogram dostępności może się zmienić i zależy od zestawienia.

Zawieszenie przepływu za naruszenie DLP

Wstrzymane przepływy są wyświetlane jako wstrzymane w Power Automate Maker Portal i centrum administracyjnym Power Platform. Gdy przepływ jest zwracany za pośrednictwem interfejsu API, PowerShell lub akcji łącznika Power Automate "as Admin", przepływ ma State=Suspended, FlowSuspensionReason=CompanyDlpViolation i wartość FlowSuspensionTime wskazującą, kiedy przepływ został zawieszony.

Znane ograniczenia

Dowiedz się o znanych problemach z DLP.

Zobacz też

Dowiedz się więcej o środowiskach
Dowiedz się więcej o usłudze Power Automate
Dowiedz się więcej na temat centrum administracyjnego