Criação da política de prevenção contra perda de dados (DLP)
Os dados de uma organização são essenciais para o sucesso. Eles precisam estar prontamente disponíveis para a tomada de decisões, mas ao mesmo tempo, os dados devem ser protegidos para que não sejam compartilhados com públicos-alvo que não devem ter acesso a eles. Para proteger seus dados corporativos, o Power Automate fornece a capacidade de criar e impor políticas que definem quais conectores podem acessar e compartilhar dados de negócios. As políticas que definem como os dados podem ser compartilhados são chamadas de políticas de DLP (prevenção contra perda de dados).
Os administradores controlam as políticas DLP. Entre em contato com seu administrador se uma política DLP estiver bloqueando a execução de seus fluxos.
Prevenção contra perdas de dados para fluxos da área de trabalho
O Power Automate permite que você crie e imponha políticas DLP que classificam os módulos de fluxo de área da trabalho (ou ações de módulo individuais) como Comerciais, Não Comerciais ou Bloqueados. Essa categorização impede que os criadores combinem módulos e ações de diferentes categorias em um fluxo da área de trabalho ou entre um fluxo de nuvem e os fluxos da área de trabalho que ele usa.
Importante
- A aplicação de políticas DLP está disponível apenas para Ambientes Gerenciados. Começando em janeiro de 2025, apenas os fluxos da área de trabalho localizados em Ambientes Gerenciados serão avaliados pelas políticas DLP.
- A DLP para fluxos da área de trabalho está disponível para versões do Power Automate para desktop 2.14.173.21294 ou posterior. Se você estiver usando uma versão anterior, desinstale e atualize para a versão mais recente.
Ver grupos de ações de fluxo da área de trabalho
Por padrão, os grupos de ações de fluxos da área de trabalho não aparecem quando você cria uma nova política DLP. Você precisa ativar a definição Mostrar ações de fluxos da área de trabalho nas políticas DLP nas configurações do locatário.
Se você optou pela versão preliminar pública, a configuração de Ações de fluxo da área de trabalho no DLP já estão habilitadas e não podem ser alteradas.
No painel esquerdo, selecione Configurações.
Na página Configurações de locatário, selecione Ações de fluxo da área de trabalho no DLP.
Ative o botão Mostrar ações de fluxo da área de trabalho em políticas DLP e selecione Salvar.
Agora você pode classificar grupos de ações de fluxo de área de trabalho ao criar uma política de dados.
Criar uma política de DLP com restrições de fluxo da área de trabalho
Quando os administradores editam ou criam uma política, grupos de ações do fluxo da área de trabalho são adicionados ao grupo padrão e a política é aplicada depois que for salva. A política é suspensa se o grupo padrão for definido como Bloqueado e os fluxos da área de trabalho estiverem em execução nos ambientes de destino.
Você pode gerenciar suas políticas de DLP para fluxos de área de trabalho da mesma forma que gerenciam conectores e ações de fluxo de nuvem. Os módulos de fluxo da área de trabalho são grupos de ações semelhantes, conforme exibido na interface de usuário do Power Automate para desktop. Um módulo é semelhante a conectores usados em fluxos de nuvem. Você pode definir uma política de DLP que gerencia módulos de fluxos de área de trabalho e conectores de fluxos da nuvem. Alguns módulos básicos, como Variáveis, não podem ser gerenciados no escopo da política DLP porque quase todos os fluxos da área de trabalho precisam usá-los. Saiba mais sobre os fundamentos das políticas de DLP e como criá-los.
Quando o locatário aceitar a experiência do usuário no Power Platform, os administradores verão automaticamente os novos módulos de fluxo da área de trabalho no grupo de dados padrão da política DLP que eles estão criando ou atualizando.
Aviso
Quando os módulos de fluxo da área de trabalho são adicionados às políticas DLP, os fluxos da área de trabalho do locatário são avaliados em relação a essas políticas DLP e serão suspensos se não forem compatíveis. Se o administrador criar ou atualizar a política DLP sem tomar conhecimento dos novos módulos, os fluxos da área de trabalho poderão ser suspensos inesperadamente.
Controle os fluxos da área de trabalho fora do DLP
O controle granular sobre o uso dos fluxos da área de trabalho em todos os computadores descrito nas seções acima será apenas para Ambientes Gerenciados. Você tem outras opções para controlar os fluxos da área de trabalho.
Capacidade de controlar a orquestração de fluxo da área de trabalho: o conector de fluxo da área de trabalho ainda pode ser controlado em suas políticas, como qualquer outro conector em todos os ambientes.
Capacidade de controlar o uso do Power Automate para desktop : você pode controlar os fluxos da área de trabalho do Power Automate por meio de objetos da Política de Grupo (GPO).. Essa governança permite ativar ou desativar fluxos da área de trabalho para ações como restringir um conjunto de ambientes ou regiões, limitar o uso de tipos de conta e restringir atualizações manuais.
Saiba mais sobre governança no Power Automate.
Módulos do fluxo de área de trabalho no DLP
Os seguintes módulos de fluxo da área de trabalho estão disponíveis em DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automação do navegador
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sessão de CMD
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Área de transferência
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compactação
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografia
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Banco de dados
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Arquivo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Pasta
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive Cognitivo da IBM
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Caixas de mensagens
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Cognitivo da Microsoft
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse e teclado
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Variáveis secretas do Power Automate
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Executar fluxo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Script
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulação de terminal
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automação da interface do usuário
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serviços do Windows
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Estação de trabalho
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Suporte do PowerShell para módulos de fluxo da área de trabalho
Se você não quiser ativar a configuração Mostrar ações de fluxo da área de trabalho em políticas DLP, você pode usar o seguinte script do PowerShell para adicionar todos os módulos de fluxo da área de trabalho ao grupo Bloqueado de uma política DLP. Se você já ativou a configuração, não precisa usar este script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
O seguinte script do PowerShell adiciona dois módulos de fluxo da área de trabalho específicos ao grupo de dados padrão de uma política DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script do PowerShell para desativar fluxos da área de trabalho
Se você não quiser usar o DLP para o recurso de fluxos da área de trabalho, você pode usar o seguinte script do PowerShell para recusar.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Depois que a política for habilitada
Se os usuários não tiverem a versão mais recente do Power Automate para desktop, a aplicação da política DLP será limitada. Eles não verão as mensagens de erro de tempo de design quando estiverem tentando executar, depurar ou salvar fluxos da área de trabalho que violam as políticas DLP. Trabalhos em segundo plano verificarão periodicamente os fluxos da área de trabalho no ambiente e suspenderão automaticamente qualquer um que viole as políticas de DLP. Os usuários não poderão executar fluxos da área de trabalho de um fluxo de nuvem se o fluxo da área de trabalho violar qualquer política de prevenção contra perda de dados.
Os criadores que têm o Power Automate para desktop mais recente não podem depurar, executar ou salvar fluxos da área de trabalho que violam a política DLP. Eles também não podem selecionar um fluxo da área de trabalho que viole uma política DLP em uma etapa de fluxo de nuvem.
Aplicação e suspensão DLP
- Quando você cria ou edita um fluxo, o Power Automate o compara com o conjunto atual de políticas de DLP.
- A aplicação de fluxos sem um fluxo filho, que é 99% dos fluxos, é síncrona e ocorre em tempo real.
- A aplicação de um fluxo com um fluxo filho é assíncrona, pois os fluxos filho também precisam ser avaliados, e ocorre dentro de 24 horas.
- Quando você cria ou altera um política DLP, um trabalho em segundo plano verifica todos os fluxos ativos no ambiente, avalia-os e depois suspende os fluxos que violam a política. A aplicação é assíncrona e ocorre dentro de 24 horas. Se ocorrer uma alteração na política DLP quando a política DLP anterior estiver sendo avaliada, a avaliação será reiniciada para garantir que as políticas mais recentes sejam aplicadas.
- Toda semana, um trabalho em segundo plano faz uma verificação de consistência de todos os fluxos ativos no ambiente em relação às políticas DLP para confirmar que nenhuma verificação tenha sido negligenciada.
Reativação DLP
Se o trabalho em segundo plano de aplicação de DLP encontrar um fluxo da área de trabalho que não viole mais nenhuma política DLP, o trabalho em segundo plano removerá automaticamente a suspensão. No entanto, o trabalho em segundo plano de aplicação de DLP não cancelará a suspensão automaticamente dos fluxos da nuvem.
Processo de alteração de aplicação de DLP
Periodicamente, a aplicação de DLP precisa mudar porque novos recursos de DLP ou uma correção de bug são lançados ou uma lacuna de aplicação é preenchida. Quando as alterações podem afetar os fluxos existentes, o seguinte processo de gerenciamento de alterações de imposição de DLP em estágios é aplicado.
Investigação: confirme a necessidade de uma alteração de aplicação de DLP e investigue as especificidades da alteração.
Aprendizagem: implemente a alteração e colete dados sobre a amplitude dos efeitos da alteração. As alterações de aplicação de DLP do documento para explicar o escopo da alteração. Se os dados sugerirem que alguns clientes serão muito afetados, uma comunicação será enviada a esses clientes, informando que haverá uma alteração. Se a mudança tiver um impacto amplo nos fluxos existentes, em um estágio posterior da fase de aprendizado, quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, Power Automate notificará os proprietários do fluxo de que o fluxo será ser suspensos, para que tenham mais tempo para responder.
Somente notificação: ative as notificações por email somente para violações de DLP para que os proprietários de fluxos existentes sejam notificados sobre a próxima alteração de aplicação de DLP Quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, notifique os proprietários do fluxo de que ele será suspenso. Esse mecanismo é executado semanalmente.
Aplicação no momento do design: ative a aplicação no momento do design de violações de DLP para que os proprietários de fluxos existentes sejam notificados sobre a próxima alteração na aplicação de DLP, mas todos os fluxos alterados recebem uma avaliação completa da política DLP no momento do design. Isso também é conhecido como aplicação suave.
Tempo de design: quando um fluxo é atualizado e salvo, use a opção de aplicação de DLP atualizada e suspenda o fluxo, se necessário, para que o criador fique imediatamente ciente da aplicação.
Processo em segundo plano: quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, notifique os proprietários do fluxo de que ele será suspenso. Esse mecanismo inclui a criação ou alterações na política DLP e verificações de consistência.
Aplicação completa: ative a aplicação completa de violações de DLP, para que as políticas DLP sejam totalmente aplicadas em todos os fluxos novos e existentes. As políticas de DLP são totalmente aplicadas quando os fluxos forem salvos durante a avaliação do trabalho em segundo plano de aplicação de DLP. Isso também é conhecido como aplicação rígida.
Lista de alterações de aplicação de DLP
A seguinte tabela lista alterações de aplicação de DLP e a data em que as alterações entraram em vigor.
| Date | Descrição | Motivo da alteração | Estágio | Disponibilidade de imposição em tempo de design* | Disponibilidade total de aplicação* |
|---|---|---|---|---|---|
| Maio de 2022 | Aplicação de trabalhos em segundo plano de autorização delegada | As políticas DLP são impostas nos fluxos que usam autorização delegada têm políticas DLP aplicadas enquanto o fluxo está sendo salvo, mas não durante a avaliação do trabalho em segundo plano. | Completo | 2 de junho de 2022 | 21 de julho de 2022 |
| Maio de 2022 | Solicitar aplicação de gatilho apiConnection | As políticas DLP não foram aplicadas corretamente para alguns gatilhos. Os gatinhos afetados têm type=Request e kind=apiConnection. Muitos dos gatilhos afetados são gatilhos instantâneos que são usados em fluxos instantâneos ou acionados manualmente. Os gatilhos afetados incluem os seguintes. - Power BI: botão do Power BI clicado - Teams: Da caixa de composição (V2) - OneDrive for Business: Para um arquivo selecionado - Dataverse: Quando uma etapa do fluxo é executada a partir de um fluxo do processo empresarial - Dataverse (herdado): Quando um registro foi selecionado - Excel Online (Business): Para uma linha selecionada - SharePoint: Para um item selecionado - Microsoft Copilot Studio: quando o Copilot Studio chama um fluxo (V2) |
Completo | 2 de junho de 2022 | 25 de agosto de 2022 |
| Julho de 2022 | Impor políticas DLP em fluxos filhos | Habilite a aplicação de políticas DLP para incluir fluxos filho. Se uma violação for encontrada em qualquer lugar na árvore de fluxo, o fluxo pai será suspenso. Depois que o fluxo filho for editado e salvo para remover a violação, os fluxos pai poderão ser salvos novamente ou reativados para executar a avaliação da política DLP novamente. Uma alteração para não bloquear mais os fluxos filho quando o conector HTTP estiver bloqueado será lançada junto com a aplicação completa de políticas DLP em fluxos filho. Quando a aplicação completa estiver disponível, a aplicação incluirá fluxos de área de trabalho filho. | Completo | 14 de fevereiro de 2023 | Março de 2023 |
| Janeiro de 2023 | Impor políticas DLP em fluxos da área de trabalho filho | Habilite a aplicação de políticas DLP para incluir fluxos da área de trabalho filho. Se uma violação for encontrada em qualquer lugar na árvore de fluxo, o fluxo pai da área de trabalho será suspenso. Depois que o fluxo da área de trabalho filho é editado e salvo para remover a violação, os fluxos da área de trabalho pai são reativados automaticamente. | Completo | - | Agosto de 2023 |
| Outubro de 2024 | Aplique o controle de ação do conector em gatilhos e ações internas | Expanda a aplicação do controle de ação do conector para garantir que os gatilhos e as ações internas sejam cobertos. Liste-os no centro de administração do Power Platform e aplique o bloqueio se referenciados individualmente nas políticas de DLP ou se a política de DLP não os incluir como permitidos. | Aprendizagem | 2025 de janeiro | Fevereiro de 2025 |
*A programação de disponibilidade pode mudar e depende da distribuição.
Suspensão de fluxo por violação de DLP
Os fluxos suspensos são exibidos como suspensos no Maker Portal do Power Automate e no centro de administração do Power Platform. Quando um fluxo é retornado por meio de API, PowerShell ou os fluxos da lista de conectores de Gerenciamento do Power Automate como ação "Administrativa", o fluxo tem o valor State=Suspended, FlowSuspensionReason=CompanyDlpViolation, and a FlowSuspensionTime indicando quando o fluxo foi suspenso.
Limitações conhecidas
Saiba mais sobre os problemas conhecidos de DLP.