Partajați prin

Crearea politicii de prevenire a pierderilor de date (DLP)

  • Articol

Datele unei organizații sunt esențiale pentru succesul acesteia. Datele sale trebuie să fie ușor disponibile pentru luarea deciziilor, dar în același timp protejate, astfel încât să nu fie partajate cu publicul care nu ar trebui să aibă acces la ele. Pentru a proteja datele dvs. de afaceri, Power Automate vă oferă posibilitatea de a crea și de a aplica politici care definesc ce conectori le pot accesa și partaja. Politicile care definesc modul în care datele pot fi partajate sunt denumite politici de prevenire a pierderii datelor (DLP).

Administratorii controlează politicile DLP. Dacă o politică DLP vă blochează rularea fluxurilor, contactați administratorul.

Aflați mai multe despre protejarea datelor cu Power Platform politicile de prevenire a pierderii datelor (DLP).

Prevenirea pierderii de date pentru fluxurile desktop

Power Automate vă permite să creați și să aplicați politici DLP care clasifică modulele flux pentru desktop și acțiunile individuale ale modulelor ca Business, Non-business sau Blocat. Această clasificare îi împiedică pe creatori să combine module și acțiuni din diferite categorii într-un flux pentru desktop sau între un flux pentru cloud și fluxurile desktop pe care le utilizează.

Important

  • Aplicarea politicilor DLP este disponibilă numai pentru Medii gestionate . Începând din ianuarie 2025, numai fluxurile desktop care se află în Medii gestionate vor fi evaluate de politicile DLP.
  • DLP pentru fluxurile desktop este disponibil pentru versiunile Power Automate pentru desktop 2.14.173.21294 sau ulterioare. Dacă utilizați o versiune anterioară, dezinstalați-o și actualizați la cea mai recentă versiune.

Vizualizați grupurile de acțiuni flux pentru desktop

În mod implicit, grupurile de acțiuni flux pentru desktop nu apar atunci când creați o politică DLP. Trebuie să activați setarea Afișați acțiunile flux pentru desktop în politicile DLP în setările locatarului.

Dacă ați optat pentru versiune preliminară publică, acțiunile flux pentru desktop din setarea DLP sunt deja activate și nu pot fi modificate.

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. În panoul din partea stângă, selectați Setări.

  3. Pe pagina Setări chiriași , selectați flux pentru desktop acțiuni în DLP.

  4. Activați Afișați acțiunile flux pentru desktop în politicile DLP, apoi selectați Salvați.

    Captură de ecran a setării DLP pentru fluxuri desktop în Power Platform centrul de administrare.

Acum puteți clasifica grupurile de acțiuni flux pentru desktop atunci când creați o politică de date.

Creați o politică DLP cu restricții flux pentru desktop

Când administratorii editează sau creează o politică, grupurile de acțiuni flux pentru desktop sunt adăugate la grupul implicit, iar politica este aplicată după ce este salvată. Politica este suspendată dacă grupul implicit este setat la Blocat și fluxurile desktop rulează în mediile țintă.

Puteți gestiona politicile DLP pentru fluxurile desktop în același mod în care gestionați conectorii și acțiunile flux pentru cloud. Modulele flux pentru desktop sunt grupuri de acțiuni similare afișate în interfața de utilizator Power Automate pentru desktop. Un modul este similar cu conectorii care sunt utilizați în fluxurile cloud. Puteți defini o politică DLP care gestionează atât modulele flux pentru desktop, cât și conectorii flux pentru cloud. Unele module de bază, cum ar fi Variabile, nu pot fi gestionate în domeniul de aplicare al politicii DLP, deoarece aproape toate fluxurile desktop trebuie să le folosească. Aflați mai multe despre elementele fundamentale ale politicilor DLP și despre cum să le creați.

Când chiriașul dvs. este înscris în experiența utilizatorului în Power Platform, administratorii dvs. văd automat noile module flux pentru desktop în grupul de date implicit al politicii DLP pe care o creează sau o actualizează.

Captură de ecran a unei politici DLP în curs de construcție în Power Platform centrul de administrare.

Avertisment

Când modulele flux pentru desktop sunt adăugate la politicile DLP, fluxurile desktop ale chiriașului dvs. sunt evaluate în raport cu acestea și sunt suspendate dacă nu sunt conforme. Dacă administratorul creează sau actualizează politica DLP fără a observa noile module, fluxurile desktop pot fi suspendate în mod neașteptat.

Guvernați fluxurile desktop în afara DLP

Controlul granular asupra utilizării fluxurilor desktop pe toate mașinile, așa cum este descris în secțiunile anterioare, se aplică numai pentru Medii gestionate. Aveți alte opțiuni pentru a guverna fluxurile desktop.

  • Abilitatea de a guverna orchestrarea flux pentru desktop: conectorul flux pentru desktop poate fi guvernat în politicile dvs. ca orice alt conector în toate mediile.

  • Abilitatea de a guverna utilizarea Power Automate pentru desktop: puteți guverna Power Automate pentru desktop fluxuri prin GPO. Această guvernanță vă permite să activați sau să dezactivați fluxurile desktop pentru acțiuni precum restricționarea la un set de medii sau regiuni, limitarea utilizării tipurilor de cont și restricționarea actualizărilor manuale.

Aflați mai multe despre guvernare în Power Automate.

Flux pentru desktop module în DLP

Următoarele module flux pentru desktop sunt disponibile în DLP:

  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatizare pentru browser
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesiune CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitiv
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Casete de mesaj
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiv
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse și tastatură
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulare terminal
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatizarea interfeței de utilizare
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servicii Windows
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Suport PowerShell pentru modulele flux pentru desktop

Dacă nu doriți să activați setarea Afișați acțiunile flux pentru desktop în politicile DLP , puteți utiliza următorul script PowerShell pentru a adăuga toate modulele flux pentru desktop la Grupul blocat al unei politici DLP. Dacă ați activat deja setarea, nu este necesar să utilizați acest script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Următorul script PowerShell adaugă două module specifice flux pentru desktop la grupul de date implicit al unei politici DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script PowerShell pentru a renunța la fluxurile desktop

Dacă nu doriți să utilizați caracteristica DLP pentru fluxuri desktop, puteți utiliza următorul script PowerShell pentru a renunța.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

După ce politica este activată

Dacă utilizatorii dvs. nu au cele mai recente Power Automate pentru desktop, aplicarea politicii DLP este limitată. Ei nu văd mesaje de eroare la momentul proiectării atunci când încearcă să ruleze, să depaneze sau să salveze fluxuri desktop care încalcă politicile DLP. Lucrările de fundal scanează periodic fluxurile de desktop din mediu și suspendă automat orice încalcă politicile DLP. Utilizatorii nu pot rula fluxuri desktop dintr-un flux pentru cloud dacă flux pentru desktop încalcă orice politică de prevenire a pierderii de date.

Producătorii care au cele mai recente Power Automate pentru desktop nu pot depana, rula sau salva fluxuri desktop care încalcă politica DLP. De asemenea, nu pot selecta un flux pentru desktop care încalcă o politică DLP dintr-un flux pentru cloud pas.

Executarea și suspendarea DLP

  1. Când creați sau editați un flux, Power Automate l evaluează în raport cu setul actual de politici DLP.
    1. Aplicarea fluxurilor fără flux secundar, care reprezintă 99% din fluxuri, este sincronă și are loc în timp real.
    2. Aplicarea unui flux cu un flux secundar este asincronă, deoarece fluxurile descendent trebuie, de asemenea, evaluate și are loc în decurs de 24 de ore.
  2. Când creați sau modificați o politică DLP, o lucrare de fundal scanează toate fluxurile active din mediu, le evaluează și apoi suspendă fluxurile care încalcă politica. Aplicarea este asincronă și are loc în 24 de ore. Dacă o modificare a politicii DLP are loc atunci când este evaluată politica anterioară DLP, atunci evaluarea repornește pentru a vă asigura că sunt aplicate cele mai recente politici.
  3. Săptămânal, o lucrare de fundal efectuează o verificare a coerenței tuturor fluxurilor active din mediu în raport cu politicile DLP pentru a confirma că nu a fost ratată o verificare a politicii DLP.

Reactivare DLP

Dacă jobul de fundal de aplicare a DLP găsește un flux pentru desktop care nu mai încalcă nicio politică DLP, atunci jobul de fundal elimină automat suspendarea. Cu toate acestea, sarcina de fundal de aplicare a DLP nu anulează automat fluxurile cloud.

Procesul de modificare a aplicării DLP

Periodic, aplicarea DLP trebuie să se schimbe deoarece noi capabilități DLP sau o remediere a erorilor sunt lansate sau un gol de aplicare este completat. Când modificările pot afecta fluxurile existente, aplicați următorul proces de gestionare a modificărilor de aplicare a DLP în etape:

  1. Investigarea : confirmați necesitatea unei modificări de aplicare a DLP și investigați specificul modificării.

  2. Învăţare : implementați modificarea și colectați date despre amploarea efectelor schimbării. Documentați modificările de aplicare a DLP pentru a explica domeniul de aplicare al modificării. Dacă datele sugerează că clienții vor fi foarte afectați, atunci o comunicare poate fi trimisă acelor clienți pentru a-i anunța că urmează o schimbare. Dacă schimbarea are un impact larg asupra fluxurilor existente, atunci într-o etapă ulterioară a fazei de învățare, când jobul de aplicare a DLP de fundal găsește o încălcare într-un flux existent, Power Automate anunță proprietarii fluxului că fluxul va fi suspendat, astfel încât aceștia să aibă mai mult timp să răspundă.

  3. Notifică numai : activați notificările prin e-mail numai pentru încălcările DLP, astfel încât proprietarii fluxurilor existente să fie notificați despre viitoarea modificare a aplicării DLP. Când lucrarea de aplicare a DLP în fundal găsește o încălcare într-un flux existent, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism rulează săptămânal.

  4. Aplicarea în timp de proiectare : Activați aplicarea încălcărilor DLP la momentul proiectării, astfel încât proprietarii fluxurilor existente să fie notificați cu privire la modificarea viitoare a aplicării DLP, dar orice fluxuri care sunt modificate primesc o evaluare completă a politicii DLP în momentul proiectării. Acest lucru este cunoscut și ca aplicare blândă.

    • Timpul de proiectare : Când un flux este actualizat și salvat, utilizați aplicarea DLP actualizată și suspendați fluxul dacă este necesar, astfel încât producătorul să fie imediat la curent cu aplicarea.

    • Proces de fundal : Când jobul de aplicare a DLP în fundal găsește o încălcare într-un flux, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism include crearea sau modificările politicii DLP și verificări de coerență.

  5. Aplicare integrală : activați aplicarea completă a încălcărilor DLP, astfel încât politicile DLP să fie pe deplin aplicate pentru toate fluxurile existente și noi. Politicile DLP sunt aplicate pe deplin atunci când fluxurile sunt salvate în timpul evaluării jobului de fundal al aplicării DLP. Acest lucru este cunoscut și sub denumirea de aplicare strictă.

Lista modificărilor privind aplicarea DLP

Următorul tabel listează modificările de aplicare a DLP și data la care modificările au intrat în vigoare.

Data Descriere Motivul schimbării Etapă Disponibilitatea aplicării în timpul proiectării* Disponibilitate deplină de aplicare*
Mai 2022 Autorizație delegată de fundal aplicarea locului de muncă Politicile DLP sunt aplicate fluxurilor care utilizează autorizarea delegată în timp ce fluxul este salvat, dar nu în timpul evaluării jobului de fundal. Integral 2 iunie 2022 21 iulie 2022
Mai 2022 Solicitați aplicarea declanșatorului apiConnection Politicile DLP nu au fost aplicate corect pentru unele declanșatoare. Declanșatoarele afectate au type=Request și kind=apiConnection. Multe dintre declanșatoarele afectate sunt declanșatoare instantanee, care sunt utilizate în fluxuri instantanee sau declanșate manual. Declanșatoarele afectate includ următoarele.
- Power BI: Power BI a făcut clic pe butonul
- Echipe: din caseta de scriere (V2)
- OneDrive for Business: pentru un fișier selectat
- Dataverse: Când un flux pas este rulat dintr-un flux de business
- Dataverse (moștenire): când este selectată o înregistrare
- Excel Online (Afaceri): pentru un rând selectat
- SharePoint: Pentru un articol selectat
- Microsoft Copilot Studio: când Copilot Studio apelează un flux (V2)		 Integral 2 iunie 2022 25 august, 2022
Iulie 2022 Aplicați politicile DLP pentru fluxurile descendent Activați aplicarea politicilor DLP pentru a include fluxurile descendent. Dacă o încălcare este găsită oriunde în arborele de flux, flux părinte este suspendat. După ce flux secundar este editat și salvat pentru a elimina încălcarea, fluxurile părinte pot fi resalvate sau reactivate pentru a rula din nou evaluarea politicii DLP. O modificare de a nu mai bloca fluxurile descendent atunci când conectorul HTTP este blocat va fi implementată împreună cu aplicarea completă a politicilor DLP pentru fluxurile descendent. Odată ce aplicarea completă este disponibilă, aplicarea va include fluxurile desktop descendent. Integral 14 februarie 2023 Martie 2023
ianuarie 2023 Aplicați politicile DLP pe fluxurile desktop descendent Activați aplicarea politicilor DLP pentru a include fluxurile desktop descendent. Dacă o încălcare este găsită oriunde în arborele de flux, desktopul flux părinte este suspendat. După ce descendent flux pentru desktop este editat și salvat pentru a elimina încălcarea, fluxurile desktop părinte sunt reactivate automat. Integral - August 2023

*Programul de disponibilitate se poate modifica și depinde de lansare.

Suspendarea fluxului pentru încălcarea DLP

Fluxurile suspendate se afișează ca suspendate în Power Automate portalul maker și în Power Platform centrul de administrare. Când un flux este returnat printr-un API, PowerShell sau Power Automate Acțiunea „ca administrator” din lista de conectori de gestionare, fluxul are State=Suspended , FlowSuspensionReason=CompanyDlpViolation și o FlowSuspensionTime valoare care indică momentul în care fluxul a fost suspendat.

Limitări cunoscute

Aflați despre problemele cunoscute DLP.