Crearea politicii de prevenire a pierderilor de date (DLP)
Datele unei organizații sunt esențiale pentru succesul acesteia. Datele sale trebuie să fie ușor disponibile pentru luarea deciziilor, dar, în același timp, datele trebuie protejate, astfel încât să nu fie partajate cu publicul care nu ar trebui să aibă acces la ele. Pentru a proteja datele dvs. de afaceri, Power Automate vă oferă posibilitatea de a crea și de a aplica politici care definesc ce conectori le pot accesa și partaja. Politicile care definesc modul în care datele pot fi partajate sunt denumite politici de prevenire a pierderii datelor (DLP).
Administratorii controlează politicile DLP. Dacă o politică DLP vă blochează rularea fluxurilor, contactați administratorul.
Prevenirea pierderii de date pentru fluxurile desktop
Power Automate vă permite să creați și să aplicați politici DLP care clasifică modulele flux pentru desktop și acțiunile individuale ale modulelor ca Business, Non-business sau Blocat. Această clasificare îi împiedică pe creatori să combine module și acțiuni din diferite categorii într-un flux pentru desktop sau între un flux pentru cloud și fluxurile desktop pe care le utilizează.
Important
- Aplicarea politicilor DLP este disponibilă numai pentru Medii gestionate . Începând din ianuarie 2025, numai fluxurile desktop care se află în Medii gestionate vor fi evaluate de politicile DLP.
- DLP pentru fluxurile desktop este disponibil pentru versiunile Power Automate pentru desktop 2.14.173.21294 sau ulterioare. Dacă utilizați o versiune anterioară, dezinstalați-o și actualizați la cea mai recentă versiune.
Vizualizați grupurile de acțiuni flux pentru desktop
În mod implicit, grupurile de acțiuni flux pentru desktop nu apar atunci când creați o politică DLP. Trebuie să activați setarea Afișați acțiunile flux pentru desktop în politicile DLP în setările locatarului.
Dacă ați optat pentru versiune preliminară publică, acțiunile flux pentru desktop din setarea DLP sunt deja activate și nu pot fi modificate.
Conectați-vă la Centrul de administrare Power Platform.
În panoul din partea stângă, selectați Setări.
Pe pagina Setări chiriași , selectați flux pentru desktop acțiuni în DLP.
Activați Afișați acțiunile flux pentru desktop în politicile DLP, apoi selectați Salvați.
Acum puteți clasifica grupurile de acțiuni flux pentru desktop atunci când creați o politică de date.
Creați o politică DLP cu restricții flux pentru desktop
Când administratorii editează sau creează o politică, grupurile de acțiuni flux pentru desktop sunt adăugate la grupul implicit, iar politica este aplicată după ce este salvată. Politica este suspendată dacă grupul implicit este setat la Blocat și fluxurile desktop rulează în mediile țintă.
Puteți gestiona politicile DLP pentru fluxurile desktop în același mod în care gestionați conectorii și acțiunile flux pentru cloud. Modulele flux pentru desktop sunt grupuri de acțiuni similare afișate în interfața de utilizator Power Automate pentru desktop. Un modul este similar cu conectorii care sunt utilizați în fluxurile cloud. Puteți defini o politică DLP care gestionează atât modulele flux pentru desktop, cât și conectorii flux pentru cloud. Unele module de bază, cum ar fi Variabile, nu pot fi gestionate în domeniul de aplicare al politicii DLP, deoarece aproape toate fluxurile desktop trebuie să le folosească. Aflați mai multe despre elementele fundamentale ale politicilor DLP și despre cum să le creați.
Când chiriașul dvs. este înscris în experiența utilizatorului în Power Platform, administratorii dvs. văd automat noile module flux pentru desktop în grupul de date implicit al politicii DLP pe care o creează sau o actualizează.
Avertisment
Când modulele flux pentru desktop sunt adăugate la politicile DLP, fluxurile desktop ale chiriașului dvs. sunt evaluate în raport cu acestea și sunt suspendate dacă nu sunt conforme. Dacă administratorul creează sau actualizează politica DLP fără a observa noile module, fluxurile desktop pot fi suspendate în mod neașteptat.
Guvernați fluxurile desktop în afara DLP
Controlul granular asupra utilizării fluxurilor desktop pe toate mașinile, așa cum este descris în secțiunile anterioare, se aplică numai pentru Medii gestionate. Aveți alte opțiuni pentru a guverna fluxurile desktop.
Abilitatea de a guverna orchestrarea flux pentru desktop: conectorul flux pentru desktop poate fi guvernat în politicile dvs. ca orice alt conector în toate mediile.
Abilitatea de a guverna utilizarea Power Automate pentru desktop: puteți guverna Power Automate pentru desktop fluxuri prin obiecte de politică de grup (GPO). Această guvernanță vă permite să activați sau să dezactivați fluxurile desktop pentru acțiuni precum restricționarea la un set de medii sau regiuni, limitarea utilizării tipurilor de cont și restricționarea actualizărilor manuale.
Aflați mai multe despre guvernare în Power Automate.
Flux pentru desktop module în DLP
Următoarele module flux pentru desktop sunt disponibile în DLP:
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatizare pentru browser
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesiune CMD
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografie
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitiv
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Casete de mesaj
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiv
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse și tastatură
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variabile secrete
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulare terminal
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatizarea interfeței de utilizare
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servicii Windows
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Suport PowerShell pentru modulele flux pentru desktop
Dacă nu doriți să activați setarea Afișați acțiunile flux pentru desktop în politicile DLP , puteți utiliza următorul script PowerShell pentru a adăuga toate modulele flux pentru desktop la Grupul blocat al unei politici DLP. Dacă ați activat deja setarea, nu este necesar să utilizați acest script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Următorul script PowerShell adaugă două module specifice flux pentru desktop la grupul de date implicit al unei politici DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script PowerShell pentru a renunța la fluxurile desktop
Dacă nu doriți să utilizați caracteristica DLP pentru fluxuri desktop, puteți utiliza următorul script PowerShell pentru a renunța.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
După ce politica este activată
Dacă utilizatorii dvs. nu au cele mai recente Power Automate pentru desktop, aplicarea politicii DLP este limitată. Ei nu văd mesaje de eroare la momentul proiectării atunci când încearcă să ruleze, să depaneze sau să salveze fluxuri desktop care încalcă politicile DLP. Lucrările de fundal scanează periodic fluxurile de desktop din mediu și suspendă automat orice încalcă politicile DLP. Utilizatorii nu pot rula fluxuri desktop dintr-un flux pentru cloud dacă flux pentru desktop încalcă orice politică de prevenire a pierderii de date.
Producătorii care au cele mai recente Power Automate pentru desktop nu pot depana, rula sau salva fluxuri desktop care încalcă politica DLP. De asemenea, nu pot selecta un flux pentru desktop care încalcă o politică DLP dintr-un flux pentru cloud pas.
Executarea și suspendarea DLP
- Când creați sau editați un flux, Power Automate l evaluează în raport cu setul actual de politici DLP.
- Aplicarea fluxurilor fără flux secundar, care reprezintă 99% din fluxuri, este sincronă și are loc în timp real.
- Aplicarea unui flux cu un flux secundar este asincronă, deoarece fluxurile descendent trebuie, de asemenea, evaluate și are loc în decurs de 24 de ore.
- Când creați sau modificați o politică DLP, o lucrare de fundal scanează toate fluxurile active din mediu, le evaluează și apoi suspendă fluxurile care încalcă politica. Aplicarea este asincronă și are loc în 24 de ore. Dacă o modificare a politicii DLP are loc atunci când este evaluată politica anterioară DLP, atunci evaluarea repornește pentru a vă asigura că sunt aplicate cele mai recente politici.
- Săptămânal, o lucrare de fundal efectuează o verificare a coerenței tuturor fluxurilor active din mediu în raport cu politicile DLP pentru a confirma că nu a fost ratată o verificare a politicii DLP.
Reactivare DLP
Dacă jobul de fundal de aplicare a DLP găsește un flux pentru desktop care nu mai încalcă nicio politică DLP, atunci jobul de fundal elimină automat suspendarea. Cu toate acestea, sarcina de fundal de aplicare a DLP nu anulează automat fluxurile cloud.
Procesul de modificare a aplicării DLP
Periodic, aplicarea DLP trebuie să se schimbe deoarece noi capabilități DLP sau o remediere a erorilor sunt lansate sau un gol de aplicare este completat. Când modificările pot afecta fluxurile existente, aplicați următorul proces de gestionare a modificărilor de aplicare a DLP în etape:
Investigarea : confirmați necesitatea unei modificări de aplicare a DLP și investigați specificul modificării.
Învăţare : implementați modificarea și colectați date despre amploarea efectelor schimbării. Documentați modificările de aplicare a DLP pentru a explica domeniul de aplicare al modificării. Dacă datele sugerează că clienții vor fi foarte afectați, atunci o comunicare ar putea fi trimisă acelor clienți pentru a-i anunța că urmează o schimbare. Dacă schimbarea are un impact larg asupra fluxurilor existente, atunci într-o etapă ulterioară a fazei de învățare, când jobul de aplicare a DLP de fundal găsește o încălcare într-un flux existent, Power Automate anunță proprietarii fluxului că fluxul va fi suspendat, astfel încât aceștia să aibă mai mult timp să răspundă.
Notifică numai : activați notificările prin e-mail numai pentru încălcările DLP, astfel încât proprietarii fluxurilor existente să fie notificați despre viitoarea modificare a aplicării DLP. Când lucrarea de aplicare a DLP în fundal găsește o încălcare într-un flux existent, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism rulează săptămânal.
Aplicarea în timp de proiectare : Activați aplicarea încălcărilor DLP la momentul proiectării, astfel încât proprietarii fluxurilor existente să fie notificați cu privire la modificarea viitoare a aplicării DLP, dar orice fluxuri care sunt modificate primesc o evaluare completă a politicii DLP în momentul proiectării. Acest lucru este cunoscut și ca aplicare blândă.
Timpul de proiectare : Când un flux este actualizat și salvat, utilizați aplicarea DLP actualizată și suspendați fluxul dacă este necesar, astfel încât producătorul să fie imediat la curent cu aplicarea.
Proces de fundal : Când jobul de aplicare a DLP în fundal găsește o încălcare într-un flux, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism include crearea sau modificările politicii DLP și verificări de coerență.
Aplicare completă: activați aplicarea completă a încălcărilor DLP, astfel încât politicile DLP să fie aplicate pe deplin pentru toate fluxurile existente și noi. Politicile DLP sunt aplicate pe deplin atunci când fluxurile sunt salvate în timpul evaluării jobului de fundal al aplicării DLP. Acest lucru este cunoscut și sub denumirea de aplicare strictă.
Lista modificărilor privind aplicarea DLP
Următorul tabel listează modificările de aplicare a DLP și data la care modificările au intrat în vigoare.
Data | Descriere | Motivul schimbării | Etapă | Disponibilitatea aplicării în timpul proiectării* | Disponibilitate deplină de aplicare* |
---|---|---|---|---|---|
Mai 2022 | Autorizație delegată de fundal aplicarea locului de muncă | Politicile DLP sunt aplicate fluxurilor care utilizează autorizarea delegată în timp ce fluxul este salvat, dar nu în timpul evaluării jobului de fundal. | Integral | 2 iunie 2022 | 21 iulie 2022 |
Mai 2022 | Solicitați aplicarea declanșatorului apiConnection | Politicile DLP nu au fost aplicate corect pentru unele declanșatoare. Declanșatoarele afectate au type=Request și kind=apiConnection. Multe dintre declanșatoarele afectate sunt declanșatoare instantanee, care sunt utilizate în fluxuri instantanee sau declanșate manual. Declanșatoarele afectate includ următoarele. - Power BI: Power BI a făcut clic pe butonul - Echipe: din caseta de scriere (V2) - OneDrive for Business: pentru un fișier selectat - Dataverse: Când un flux pas este rulat dintr-un flux de business - Dataverse (moștenire): când este selectată o înregistrare - Excel Online (Afaceri): pentru un rând selectat - SharePoint: Pentru un articol selectat - Microsoft Copilot Studio: când Copilot Studio apelează un flux (V2) |
Integral | 2 iunie 2022 | 25 august, 2022 |
Iulie 2022 | Aplicați politicile DLP pentru fluxurile descendent | Activați aplicarea politicilor DLP pentru a include fluxurile descendent. Dacă o încălcare este găsită oriunde în arborele de flux, flux părinte este suspendat. După ce flux secundar este editat și salvat pentru a elimina încălcarea, fluxurile părinte pot fi resalvate sau reactivate pentru a rula din nou evaluarea politicii DLP. O modificare de a nu mai bloca fluxurile descendent atunci când conectorul HTTP este blocat va fi implementată împreună cu aplicarea completă a politicilor DLP pentru fluxurile descendent. Odată ce este disponibilă aplicarea completă, aplicarea include fluxurile desktop descendent. | Integral | 14 februarie 2023 | Martie 2023 |
ianuarie 2023 | Aplicați politicile DLP pe fluxurile desktop descendent | Activați aplicarea politicilor DLP pentru a include fluxurile desktop descendent. Dacă o încălcare este găsită oriunde în arborele de flux, desktopul flux părinte este suspendat. După ce descendent flux pentru desktop este editat și salvat pentru a elimina încălcarea, fluxurile desktop părinte sunt reactivate automat. | Integral | - | August 2023 |
Octombrie 2024 | Implementați controlul acțiunii conectorului pentru declanșatoare și acțiuni interne | Extindeți aplicarea controlul acțiunii conectorului pentru a vă asigura că declanșatorii și acțiunile interne sunt acoperite. Listați-le în Power Platform centrul de administrare și impuneți blocarea lor dacă se face referire individual în politicile DLP sau dacă politica DLP nu le include așa cum este permis. | Instruire | ianuarie 2025 | Februarie 2025 |
*Programul de disponibilitate se poate modifica și depinde de lansare.
Suspendarea fluxului pentru încălcarea DLP
Fluxurile suspendate se afișează ca suspendate în Power Automate portalul maker și în Power Platform centrul de administrare. Când un flux este returnat printr-un API, PowerShell sau Power Automate acțiunea „ca administrator” din lista de conectori de gestionare, fluxul are State=Suspended , FlowSuspensionReason=CompanyDlpViolation și o FlowSuspensionTime valoare care indică momentul în care fluxul a fost suspendat.
Limitări cunoscute
Aflați despre problemele cunoscute DLP.