Создание политики защиты от потери данных

  • Статья

Данные организации имеют критическое значение для ее успеха. Его данные должны быть доступны для принятия решений, но одновременно защищены, чтобы они не были доступны аудитории, которая не должна иметь к ним доступ. Чтобы защитить бизнес-данные, Power Automate позволяет создавать и применять политики, определяющие, какие соединители могут получать доступ к бизнес-данными и совместно использовать их. Эти политики, которые задают правила совместного использования данных, известны как политики защиты от потери данных.

Политики защиты от потери данных контролируются администраторами. Если политика защиты от потери данных блокирует выполнение ваших потоков, обратитесь к администратору.

Узнайте больше о защите ваших данных с помощью политик защиты от потери данных.

Защита от потери данных для классических потоков

Power Automate позволяет создавать и применять политики защиты от потери данных, которые классифицируют модули классических потоков и отдельные действия модулей как коммерческие, некоммерческие или заблокированные. Эта категоризация не позволяет создателям объединять модули и действия из разных категорий в классический поток или между облачным потоком и классическими потоками, которые он использует.

Внимание

  • Применение политик защиты от потери данных доступно только для управляемых сред. Начиная с сентября 2024 года политики DLP будут оценивать только классические потоки, расположенные в управляемых средах.
  • Защита от потери данных для классических потоков доступна для Power Automate для компьютеров версии не ниже 2.14.173.21294. Если вы используете более раннюю версию, удалите ее и обновите до последней версии.

Просмотр групп действий классических потоков

По умолчанию группы действий классических потоков не отображаются при создании политики защиты от потери данных. Вам необходимо включить параметр Показывать действия классических потоков в политиках DLP в настройках клиента.

Если вы выбрали общедоступную предварительную версию, параметр Действия классических потоков в DLP уже включен и не может быть изменен.

  1. Войдите в в центр администрирования Power Platform.

  2. На левой боковой панели выберите Параметры.

  3. На странице Настройки клиента выберите Действия классических потоков в DLP.

  4. Включите Показывать действия классических потоков в политиках DLP, затем выберите Сохранить.

    Снимок экрана с параметром DLP для классических потоков в центре администрирования Power Platform.

Теперь вы можете классифицировать группы действий классических потоков при создании политики данных.

Создание политики DLP с ограничениями классических потоков

Когда администраторы редактируют или создают политику, группы действий классических потоков добавляются в группу по умолчанию, и политика применяется после ее сохранения. Политика приостанавливается, если группе по умолчанию задается значение Заблокировано, а классические потоки выполняются в целевых средах.

Вы можете управлять политиками DLP для классических потоков так же, как управляете соединителями и действиями облачных потоков. Модули классических потоков — это группы аналогичных действий, отображаемых в пользовательском интерфейсе Power Automate для компьютера. Модуль похож на соединители, которые используются в облачных потоках. Вы можете определить политику DLP, которая управляет как модулями классических потоков, так и соединителями облачных потоков. Некоторыми базовыми модулями, такими как Переменные, невозможно управлять в рамках политики DLP, поскольку их необходимо использовать почти во всех классических потоках. Узнайте больше об основах политик DLP и о том, как их создавать.

Когда ваш клиент выбрал взаимодействие с пользователем в Power Platform, ваши администраторы автоматически увидят новые модули классических потоков в группе данных по умолчанию политики DLP, которую они создают или обновляют.

Снимок экрана политики защиты от потери данных на стадии разработки в центре администрирования Power Platform.

Предупреждение

Когда модули классических потоков добавляются в политики защиты от потери данных, существующие классические потоки вашего клиента оцениваются в соответствии с этими политиками, и они будут приостановлены, если не соответствуют требованиям. Если ваш администратор создает или обновляет политику защиты от потери данных, не обращая внимания на новые модули, классические потоки могут быть неожиданно приостановлены.

Управление классическими потоками за пределами DLP

Детальный контроль над использованием классических потоков на всех компьютерах, как описано в предыдущих разделах, применяется только для управляемых сред. Существуют и другие способы управления классическими потоками.

  • Возможность управлять оркестрацией классических потоков: соединитель классического потока может управляться вашими политиками, как и любой другой соединитель во всех средах.

  • Возможность управлять использованием Power Automate для компьютеров: вы можете управлять Power Automate для классических потоков через объекты групповой политики. Это позволяет включать и выключать классические потоки для таких действий, как ограничение до набора сред или регионов, ограничение использования типов учетных записей, ограничение ручных обновлений.

Дополнительные сведения об управлении в Power Automate.

Модули классических потоков в политике защиты от потери данных

В DLP доступны следующие модули классических потоков:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Автоматизация браузера
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Сеанс CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Буфер обмена
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Сжатие
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Криптография
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database База данных
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Эл. почта
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Файл
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Папка
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Когнитивные службы Google
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive Когнитивные службы IBM
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Окна сообщений
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Когнитивные службы Microsoft
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Мышь и клавиатура
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR Распознавание текста
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Выполнение потока
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Сценарии
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Система
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Эмуляция терминала
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Автоматизация интерфейса
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Службы Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Рабочая станция
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Поддержка PowerShell для модулей классических потоков

Если вы не хотите включать параметр Показывать действия классических потоков в политиках DLP, вы можете использовать следующий сценарий PowerShell, чтобы добавить все модули классических потоков в группу Заблокированные политики защиты от потери данных. Если вы уже включили эту настройку, вам не нужно использовать этот сценарий.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Следующий сценарий PowerShell добавляет два конкретных модуля классических потоков в группу данных по умолчанию политики защиты от потери данных.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Сценарий PowerShell для отказа от классических потоков

Если вы не хотите использовать функцию «DLP для классических потоков», вы можете отказаться следующий сценарий PowerShell для отказа.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

После включения политики

Если у ваших пользователей нет последней версии Power Automate для компьютеров, применение политики DLP ограничено. Они не видят сообщения об ошибках времени разработки при попытке запуска, отладки или сохранения классических потоков, которые нарушают политики защиты от потери данных. Фоновые задания периодически сканируют классические потоки в среде и автоматически приостанавливают любые из них, которые нарушают политики защиты от потери данных. Пользователи не могут запускать классические потоки из облачного потока, если классический поток нарушает какую-либо политику защиты от потери данных.

Создатели, у которых установлена ​​последняя версия Power Automate для компьютеров, не могут отлаживать, запускать или сохранять классические потоки, которые нарушают политику защиты от потери данных. Они также не могут выбрать классический поток, который нарушает политику DLP, на этапе облачного потока.

Применение политики защиты от потери данных и приостановка

Когда вы создаете или редактируете поток, Power Automate оценивает его по сравнению с текущим набором политик защиты от потери данных. Применение является асинхронным и происходит в течение 24 часов.

Когда вы создаете или изменяете политику защиты от потери данных, фоновое задание сканирует все активные потоки в среде, оценивает их, а затем приостанавливает потоки, нарушающие эту политику. Применение является асинхронным и происходит в течение 24 часов. Если изменение политики DLP происходит во время оценки предыдущей политики DLP, оценка перезапускается, чтобы убедиться, что применяются последние политики.

Еженедельно фоновое задание проверяет согласованность всех активных потоков в среде с политиками защиты от потери данных, чтобы убедиться, что проверка политики защиты от потери данных не была пропущена.

Повторная активация в рамках политики защиты от потери данных

Если фоновое задание принудительного применения DLP находит классический поток, который больше не нарушает никакие политики защиты от потери данных, фоновое задание автоматически удаляет приостановку. Однако фоновое задание по применению DLP не отменяет автоматически приостановку облачных потоков.

Процесс изменения принудительного применения DLP

Периодически применение политики защиты от потери данных должно меняться, поскольку внедряются новые возможности DLP, исправляются ошибки или заполняются пробелы в применении. Когда изменения могут повлиять на существующие потоки, примените следующий поэтапный процесс управления изменениями применения DLP.

  1. Изучение. Подтвердите необходимость изменения принудительной защиты от потери данных и изучите особенности изменения.

  2. Обучение. Внедрите изменение и соберите данные о широте последствий изменения. Задокументируйте изменения принудительного применения DLP, чтобы объяснить область изменения. Если данные свидетельствуют о том, что клиенты будут значительно затронуты, то этим клиентам может отправляться сообщения, информирующие их о грядущих изменениях. Если изменение оказывает широкое влияние на существующие потоки, то на более позднем этапе фазы обучения, когда фоновое задание применения политики DLP обнаруживает нарушение в существующем потоке, Power Automate уведомляет владельцев потока о том, что поток будет приостановлен, чтобы у них было больше времени для ответа.

  3. Только уведомление. Включите уведомления по электронной почте только о нарушениях DLP, чтобы владельцы существующих потоков получали уведомления о предстоящем изменении принудительного применения DLP. Когда фоновое задание принудительного применения DLP обнаружит нарушение в существующем потоке, уведомите владельцев потока о том, что поток будет приостановлен. Этот механизм работает еженедельно.

  4. Принудительное применение во время разработки: включите принудительное применение нарушений DLP во время разработки, чтобы владельцы существующих потоков получали уведомления о предстоящем изменении принудительного применения DLP, а все измененные потоки получали полную оценку политики DLP во время разработки. Это также называется мягкое применение.

    • Время разработки: когда поток обновляется и сохраняется, используйте обновленную принудительную политику защиту от потери данных и при необходимости приостановите поток, чтобы создатель немедленно узнал о принудительном применении.

    • Фоновый процесс: когда фоновое задание принудительного применения DLP обнаружит нарушение в потоке, уведомите владельцев потока о том, что поток будет приостановлен. Этот механизм включает создание или изменение политики защиты от потери данных и проверки согласованности.

  5. Полное принудительное применение: включите полное принудительное применение нарушений DLP, чтобы политики DLP применялись в полной мере ко всем существующим и новым потокам. Политики DLP полностью применяются, если потоки сохраняются во время оценки фоновым заданием принудительного применения DLP. Это также называется жесткое применение.

Список изменения принудительного применения DLP

В следующей таблице приведен список изменений в принудительном применении DLP и дата вступления изменений в силу.

Date Описание Причина изменения Этап Доступность принудительного исполнения во время разработки* Полная доступность принудительного исполнения*
Май 2022 г. Принудительное применение фонового задания делегированной авторизации Политики DLP применяются для потоков, использующих делегированную авторизацию во время сохранения потока, но не во время оценки фоновым заданием. Полный 2 июня 2022 г. 21 июля 2022 г.
Май 2022 г. Запрос принудительного применения триггера apiConnection Политики защиты от потери данных не применялись должным образом для некоторых триггеров. Затронутые триггеры имели type=Request и kind=apiConnection. Многие из затронутых триггеров являются мгновенными триггерами, которые используются в мгновенных, или запускаемых вручную, потоках. Затронутые триггеры включают следующие.
- Power BI: нажата кнопка Power BI
- Teams: из поля создания сообщения (v2)
- OneDrive для бизнеса: для выбранного файла
- Dataverse: когда шаг потока запускается из потока бизнес-процесса
- Dataverse (устарело): при выборе записи
- Excel Online (бизнес): для выбранной строки
- SharePoint: для выбранного элемента
- Microsoft Copilot Studio: когда Copilot Studio вызывает поток (V2)		 Полный 2 июня 2022 г. 25 августа, 2022 г.
Июль 2022 г. Применение политик защиты от потери данных к дочерним потокам Включите принудительное применение политик защиты от потери данных для учета дочерних потоков. Если в дереве потоков обнаруживается нарушение, родительский поток приостанавливается. После редактирования и сохранения дочернего потока для устранения нарушения родительские потоки можно повторно сохранить или повторно активировать для повторного запуска оценки политики защиты от потери данных. Изменение, позволяющее больше не блокировать дочерние потоки при блокировке соединителя HTTP, будет развернуто вместе с полным применением политик защиты от потери данных для дочерних потоков. Когда станет доступно полное применение, оно будет включать дочерние классические потоки. Полный 14 февраля 2023 г. Март 2023 г.
2023 января Применение политик защиты от потери данных к дочерним классическим потокам Включите принудительное применение политик защиты от потери данных для учета дочерних классических потоков. Если в дереве потоков обнаруживается нарушение, родительский классический поток приостанавливается. После редактирования для устранения нарушения и сохранения дочернего классического потока родительские классические потоки автоматически повторно активируются. Обучение - Август 2023 г.

*График доступности может измениться и зависит от развертывания.

Приостановка потока из-за нарушения политики защиты от потери данных

Приостановленные потоки отображаются как приостановленные на портале Maker Portal в Power Automate и в центре администрирования Power Platform. Когда поток возвращается через API, PowerShell или действие перечисления потоков "в качестве администратора" соединителя управления Power Automate, поток имеет State=Suspended, FlowSuspensionReason=CompanyDlpViolation и значение FlowSuspensionTime, указывающее, когда поток был приостановлен.

Известные ограничения

Узнайте об известных проблемах DLP.

См. также

Дополнительные сведения о средах
Дополнительные сведения о Power Automate
Дополнительные сведения о центре администрирования