Zdieľať cez

Vytvorenie politiky ochrany pred únikom údajov (DLP)

  • Článok

Údaje organizácie sú rozhodujúce pre jej úspech. Jej údaje musia byť ľahko dostupné pre rozhodovanie, ale zároveň musia byť údaje chránené, aby sa nezdieľali s publikom, ktoré by k nim nemalo mať prístup. Na ochranu vašich obchodných údajov máte možnosť vytvárať a presadzovať politiky, ktoré definujú, Power Automate ktoré konektory k nim môžu pristupovať a zdieľať ich. Politiky, ktoré určujú možnosti zdieľania údajov, sa nazývajú politiky ochrany pred únikom údajov (DLP).

Správcovia riadia politiky DLP. Ak politika ochrany pred únikom údajov blokuje spustenie postupov, obráťte sa na správcu.

Prečítajte si viac o ochrane údajov pomocou Power Platform politík ochrany pred únikom údajov (DLP).

Ochrana pred únikom údajov pre postupy v počítačovom prostredí

Power Automate umožňuje vytvárať a presadzovať politiky DLP, ktoré klasifikujú postup v počítačovom prostredí a jednotlivé akcie modulov ako obchodné, nepodnikateľské alebo blokované. Táto kategorizácia bráni tvorcom kombinovať moduly a akcie z rôznych kategórií do postupu v počítačovom prostredí alebo medzi postup v cloude a postupy v počítačovom prostredí, ktoré používa.

Dôležité

  • Presadzovanie politík DLP je k dispozícii len pre Spravované prostredia . Od januára 2025 budú politiky DLP vyhodnocované iba postupy v počítačovom prostredí, ktoré sa nachádzajú v Spravované prostredia.
  • DLP pre postupy v počítačovom prostredí je k dispozícii pre verzie Power Automate pre počítače 2.14.173.21294 alebo novšie. Ak používate staršiu verziu, odinštalujte ju a aktualizujte na najnovšiu verziu.

Zobrazenie skupín akcií postup v počítačovom prostredí

Predvolene sa skupiny akcií postup v počítačovom prostredí pri vytváraní politiky DLP nezobrazujú. V nastaveniach nájomníka musíte zapnúť nastavenie Zobraziť postup v počítačovom prostredí v politikách ochrany pred únikom údajov.

Ak ste sa rozhodli pre verejnú verzia Preview, akcie postup v počítačovom prostredí v nastavení DLP sú už povolené a nemožno ich zmeniť.

  1. Prihláste sa do centra spravovania Power Platform.

  2. Na ľavom bočnom paneli vyberte položku Nastavenia.

  3. Na stránke Nastavenia nájomníka vyberte postup v počítačovom prostredí akcie v DLP.

  4. Zapnite postup v počítačovom prostredí v politikách ochrany pred únikom údajov a potom vyberte položku Uložiť.

    Snímka obrazovky s nastavením DLP pre postupy v počítačovom prostredí v Power Platform centre spravovania.

Teraz môžete klasifikovať postup v počítačovom prostredí skupiny akcií pri vytváraní politiky údajov.

Vytvorenie politiky ochrany pred únikom údajov s obmedzeniami postup v počítačovom prostredí

Keď správcovia upravia alebo vytvoria politiku, postup v počítačovom prostredí skupiny akcií sa pridajú do predvolenej skupiny a politika sa použije po jej uložení. Politika sa pozastaví, ak je predvolená skupina nastavená na Blokované a postupy v počítačovom prostredí sú spustené v cieľových prostrediach.

Politiky DLP pre postupy v počítačovom prostredí môžete spravovať rovnakým spôsobom, ako spravujete konektory a akcie postup v cloude. Moduly postup v počítačovom prostredí sú skupiny podobných akcií, ktoré sú zobrazené v Power Automate používateľskom rozhraní pre počítače. Modul je podobný konektorom, ktoré sa používajú v cloudových postupoch. Môžete definovať politiku DLP, ktorá spravuje postup v počítačovom prostredí aj postup v cloude. Niektoré základné moduly, ako napríklad premenné, nie je možné spravovať v rámci politiky DLP, pretože ich musia používať takmer všetky postupy v počítačovom prostredí. Získajte ďalšie informácie o základoch politík DLP a o tom, ako ich vytvoriť.

Keď sa váš nájomník prihlási do používateľského prostredia v Power Platform, správcovia automaticky uvidia nové moduly postup v počítačovom prostredí v predvolenej skupine údajov politiky DLP, ktorú vytvárajú alebo aktualizujú.

Snímka obrazovky s politikou DLP, ktorá sa pripravuje v Power Platform centre spravovania.

Upozornenie

Keď sa postup v počítačovom prostredí moduly pridajú do politík DLP, postupy počítačového prostredia vášho nájomníka sa vyhodnotia na ich základe a v prípade nesúladu sa pozastavia. Ak správca vytvorí alebo aktualizuje politiku ochrany pred únikom údajov bez toho, aby si všimol nové moduly, postupy v počítačovom prostredí môžu byť neočakávane pozastavené.

Riadenie postupov v počítačovom prostredí mimo DLP

Podrobná kontrola nad používaním postupov v počítačovom prostredí na všetkých počítačoch, ako je popísané v predchádzajúcich častiach, sa vzťahuje iba na Spravované prostredia. Máte ďalšie možnosti riadenia postupov v počítačovom prostredí.

  • Schopnosť riadiť postup v počítačovom prostredí: Konektor postup v počítačovom prostredí je možné riadiť vo vašich politikách ako akýkoľvek iný konektor vo všetkých prostrediach.

  • Možnosť riadiť používanie pre Power Automate počítače: Postupy v počítačovom prostredí môžete riadiť Power Automate prostredníctvom objektov skupinovej politiky (GPO). Toto riadenie vám umožňuje zapnúť alebo vypnúť postupy v počítačovom prostredí pre akcie, ako je napríklad obmedzenie na množinu prostredí alebo oblastí, obmedzenie používania typov kont a obmedzenie manuálnych aktualizácií.

Ďalšie informácie o riadení nájdete v téme Power Automate.

Moduly postup v počítačovom prostredí v DLP

V DLP sú k dispozícii nasledujúce moduly postup v počítačovom prostredí:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatizácia prehliadača
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd relácia CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Schránka
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptografia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • poskytovatelia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Okná so správami
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Myš a klávesnica
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Tajné premenné
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Postup spustenia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptovanie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulácia terminálu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAautomatizácia používateľského rozhrania
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Podpora prostredia PowerShell pre moduly postupu v počítačovom prostredí

Ak nechcete zapnúť nastavenie Zobraziť postup v počítačovom prostredí v politikách ochrany pred únikom údajov, môžete použiť nasledujúci skript prostredia PowerShell na pridanie všetkých modulov postup v počítačovom prostredí do skupiny Blokované politiky ochrany pred únikom údajov. Ak ste už toto nastavenie zapli, tento skript nemusíte používať.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Nasledujúci skript prostredia PowerShell pridá dva špecifické moduly postupu v počítačovom prostredí do predvolenej skupiny údajov politiky DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skript prostredia PowerShell na vyjadrenie explicitného nesúhlasu s postupmi v počítačovom prostredí

Ak nechcete používať funkciu DLP pre postupy v počítačovom prostredí, môžete sa odhlásiť pomocou nasledujúceho skriptu prostredia PowerShell.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Po povolení politiky

Ak používatelia nemajú najnovšie Power Automate verzie pre počítače, presadzovanie politiky ochrany pred únikom údajov je obmedzené. Pri pokuse o spustenie, ladenie alebo uloženie postupov v počítačovom prostredí, ktoré porušujú politiky ochrany pred únikom údajov, sa im nezobrazujú chybové hlásenia v čase návrhu. Úlohy na pozadí pravidelne kontrolujú postupy v počítačovom prostredí a automaticky pozastavujú všetky, ktoré porušujú zásady DLP. Používatelia nemôžu spúšťať postupy v počítačovom prostredí z postupu v cloude, ak postup v počítačovom prostredí porušuje akúkoľvek politiku ochrany pred únikom údajov.

Tvorcovia, ktorí majú najnovšie Power Automate verzie pre počítače, nemôžu ladiť, spúšťať ani ukladať postupy v počítačovom prostredí, ktoré porušujú politiku ochrany pred únikom údajov. Nemôžu tiež vybrať postup v počítačovom prostredí, ktorý je v rozpore s politikou DLP z postup v cloude krok.

Presadzovanie a pozastavenie DLP

  1. Keď vytvoríte alebo upravíte postup, Power Automate vyhodnotí ho podľa aktuálnej množiny politík DLP.
    1. Vynútenie postupov bez podriadený postup, čo je 99 % tokov, je synchrónne a prebieha v reálnom čase.
    2. Vynútenie toku s podriadeným postupom je asynchrónne, pretože je potrebné vyhodnotiť aj podriadené toky a nastáva do 24 hodín.
  2. Keď vytvoríte alebo zmeníte politiku ochrany pred únikom údajov, úloha na pozadí skontroluje všetky aktívne postupy v prostredí, vyhodnotí ich a potom pozastaví postupy, ktoré porušujú politiku. Presadzovanie je asynchrónne a uskutoční sa do 24 hodín. Ak dôjde k zmene politiky DLP pri vyhodnocovaní predchádzajúcej politiky DLP, vyhodnotenie sa reštartuje, aby sa zabezpečilo vynútenie najnovších politík.
  3. Týždenne úloha na pozadí kontroluje konzistentnosť všetkých aktívnych postupov v prostredí s politikami DLP, aby sa potvrdilo, že kontrola politiky DLP nebola vynechaná.

Reaktivácia DLP

Ak úloha vynútenia DLP na pozadí nájde postup v počítačovom prostredí, ktorý už neporušuje žiadnu politiku DLP, úloha na pozadí automaticky odstráni pozastavenie. Úloha vynútenia DLP na pozadí však automaticky nezruší pozastavenie postupov v cloude.

Proces zmeny presadzovania DLP

Presadzovanie DLP sa musí pravidelne meniť, pretože sa zavádzajú nové možnosti DLP alebo oprava chýb alebo sa vyplní medzera v presadzovaní. Ak zmeny môžu ovplyvniť existujúce postupy, použite nasledujúci postupný proces riadenia zmien presadzovania DLP:

  1. Vyšetrovanie: Potvrďte potrebu zmeny presadzovania DLP a preskúmajte špecifiká zmeny.

  2. Učenie: Implementujte zmenu a zhromaždite údaje o šírke účinkov zmeny. Zdokumentujte zmeny presadzovania DLP, aby ste vysvetlili rozsah zmeny. Ak údaje naznačujú, že zákazníci budú výrazne ovplyvnení, potom sa im môže poslať oznámenie, aby vedeli, že prichádza zmena. Ak má zmena široký vplyv na existujúce postupy, potom v neskoršej fáze fázy učenia, keď úloha presadzovania DLP na pozadí zistí porušenie v existujúcom postupe, upozorní vlastníkov postupov, Power Automate že postup bude pozastavený, aby mali viac času na reakciu.

  3. Iba upozornenia: Zapnite e-mailové upozornenia iba na porušenia DLP, aby vlastníci existujúcich postupov dostávali upozornenia na nadchádzajúcu zmenu presadzovania DLP. Keď úloha vynútenia DLP na pozadí zistí porušenie v existujúcom postupe, upozornite vlastníkov postupov, že postup bude pozastavený. Tento mechanizmus beží každý týždeň.

  4. Vynútenie v čase návrhu: Zapnite presadzovanie porušení DLP v čase návrhu, aby vlastníci existujúcich postupov dostali oznámenie o nadchádzajúcej zmene vynútenia DLP, ale všetky zmenené postupy dostanú úplné vyhodnotenie politiky DLP v čase návrhu. Toto je známe aj ako mäkké presadzovanie.

    • Čas návrhu: Keď je postup aktualizovaný a uložený, použite aktualizované vynútenie DLP a v prípade potreby postup pozastavte, aby tvorca okamžite vedel o vynútení.

    • Proces na pozadí: Keď úloha vynútenia DLP na pozadí zistí porušenie v postupe, upozornite vlastníkov postupov, že postup bude pozastavený. Tento mechanizmus zahŕňa vytváranie alebo zmeny politiky DLP a kontroly konzistencie.

  5. Úplné presadzovanie: Zapnite úplné presadzovanie porušení DLP, aby sa politiky DLP plne presadzovali vo všetkých existujúcich a nových postupoch. Politiky DLP sú plne presadzované, keď sa toky ukladajú počas vyhodnotenia úlohy presadzovania DLP na pozadí. Toto je tiež známe ako tvrdé presadzovanie.

Zoznam zmien presadzovania DLP

Nasledujúca tabuľka uvádza zmeny presadzovania DLP a dátum, kedy tieto zmeny nadobudli účinnosť.

Date Description Dôvod na zmenu Fáza Dostupnosť presadzovania v čase návrhu* Úplná dostupnosť presadzovania*
Máj 2022 Presadzovanie úloh na pozadí delegovanej autorizácie Politiky DLP sa uplatňujú pri tokoch, ktoré používajú delegovanú autorizáciu počas ukladania toku, ale nie počas hodnotenia úlohy na pozadí. Úplný 2. júna 2022 21. júl 2022
Máj 2022 Požiadať o vynútenie spúšťača apiConnection Pri niektorých spúšťačoch neboli pravidlá ochrany pred únikom informácií (DLP) vynútené správne. Ovplyvnené spúšťače majú type=Request a kind=apiConnection. Mnohé z ovplyvnených spúšťačov sú okamžité spúšťače, ktoré sa používajú v okamžitých alebo manuálne spúšťaných tokoch. Medzi ovplyvnené spúšťače patria nasledujúce.
- Power BI: Power BI klikli ste na tlačidlo
- Tímy: Z poľa na písanie správy (V2)
- OneDrive for Business: Pre vybratý súbor
- Dataverse: Keď sa tok krok spustí z tok obchodného procesu
- Dataverse (staršie): Keď je vybratý záznam
- Excel Online (Business): Pre vybratý riadok
- SharePoint: Pre vybranú položku
- Microsoft Copilot Studio: Keď Copilot Studio vyvolá tok (V2)		 Úplný 2. júna 2022 25. august 2022
Júl 2022 Presadzovať zásady DLP pri podriadených tokoch Povoľte presadzovanie politík DLP tak, aby zahŕňali podradené toky. Ak sa kdekoľvek v strome toku nájde porušenie, nadradený postup sa pozastaví. Po úprave a uložení podriadený postup na odstránenie porušenia je možné nadradené toky znova uložiť alebo aktivovať, aby sa znova spustilo vyhodnotenie politiky DLP. Zmena, ktorá už nebude blokovať podriadené toky, keď je zablokovaný konektor HTTP, bude zavedená spolu s úplným presadzovaním pravidiel DLP v podriadených tokoch. Keď bude k dispozícii úplné presadzovanie, presadzovanie zahŕňa toky podriadených počítačov. Úplný 14. február 2023 Marec 2023
január 2023 Presadzujte pravidlá DLP pri tokoch podriadených počítačov Povoľte presadzovanie politík DLP tak, aby zahŕňali toky podriadených počítačov. Ak sa kdekoľvek v strome toku nájde porušenie, pracovná plocha nadradený postup sa pozastaví. Po úprave a uložení potomka postup v počítačovom prostredí s cieľom odstrániť porušenie sa toky nadradenej pracovnej plochy automaticky znova aktivujú. Úplný - August 2023
Október 2024 Vynútiť ovládanie akcie konektora na spúšťače a interné akcie Rozšírte presadzovanie ovládania akcie konektora , aby ste zaistili, že budú pokryté spúšťače a interné akcie. Uveďte ich v Power Platform centre spravovania a vynucujte ich blokovanie, ak sa na ne jednotlivo odkazuje v politikách DLP alebo ak ich politika DLP nezahŕňa ako povolené. Vzdelávanie január 2025 Február 2025

*Plán dostupnosti sa môže zmeniť a závisí od zavedenia.

Pozastavenie toku pre porušenie DLP

Pozastavené toky sa na portáli Power Automate maker a v Power Platform centre správcov zobrazujú ako pozastavené. Keď sa tok vráti cez rozhranie API, PowerShell alebo toky Power Automate zoznamu konektorov pre správu „ako správca“, tok má Stav=Pozastavené , FlowSuspensionReason=CompanyDlpViolation a FlowSuspensionTime hodnota označujúca, kedy bol prietok pozastavený.

Známe obmedzenia

Prečítajte si o známych problémoch DLP.