Nastavenie politiky pomáhajúcej zabrániť úniku údajov

  • Článok

Údaje organizácie sú rozhodujúce pre jej úspech. Jeho dáta musia byť ľahko dostupné pre rozhodovanie, no zároveň musia byť chránené, aby neboli zdieľané s publikom, ktoré by k nim nemalo mať prístup. Na ochranu vašich firemných údajov vám Power Automate dáva možnosť vytvárať a presadzovať pravidlá, ktoré definujú, ktoré konektory k nim môžu pristupovať a zdieľať ich. Politiky, ktoré určujú možnosti zdieľania údajov, sa nazývajú politiky ochrany pred únikom údajov (DLP).

Administrátori riadia zásady DLP. Ak politika DLP blokuje spustenie vašich tokov, kontaktujte svojho správcu.

Získajte viac informácií o ochrane údajov pomocou zásad prevencie straty údajov.

Prevencia straty údajov pre toky desktopov

Power Automate vám umožňuje vytvárať a presadzovať zásady DLP, ktoré klasifikujú moduly toku pracovnej plochy a jednotlivé akcie modulov ako Obchodné, Nepodnikateľské alebo Blokované. Táto kategorizácia bráni tvorcom kombinovať moduly a akcie z rôznych kategórií do toku pracovnej plochy alebo medzi tokom cloudu a tokom pracovnej plochy, ktorý používa.

Dôležité

  • Presadzovanie pravidiel DLP je dostupné iba pre spravované prostredia . Počnúc septembrom 2024 budú politiky DLP hodnotené iba toky desktopov, ktoré sa nachádzajú v spravovaných prostrediach.
  • DLP pre toky pre stolné počítače je k dispozícii pre verzie Power Automate pre stolné počítače 2.14.173.21294 alebo novšie. Ak používate staršiu verziu, odinštalujte ju a aktualizujte na najnovšiu verziu.

Zobraziť skupiny akcií toku pracovnej plochy

V predvolenom nastavení sa skupiny akcií toku pracovnej plochy pri vytváraní politiky DLP nezobrazujú. V nastaveniach nájomníka musíte zapnúť nastavenie Zobraziť akcie toku pracovnej plochy v pravidlách DLP .

Ak ste sa rozhodli pre verejnú ukážku, nastavenie Postup na pracovnej ploche v DLP je už povolené a nemožno ho zmeniť.

  1. Prihláste sa do centra spravovania Power Platform.

  2. Na ľavom bočnom paneli vyberte možnosť Nastavenia.

  3. Na stránke Nastavenia nájomníka vyberte Akcie toku na pracovnej ploche v DLP.

  4. Zapnite Zobraziť akcie toku na pracovnej ploche v pravidlách DLP a potom vyberte Uložiť.

    Snímka obrazovky s nastavením DLP pre desktop toky v Power Platform centre spravovania.

Teraz môžete pri vytváraní politiky údajov klasifikovať skupiny akcií toku pracovnej plochy.

Vytvorte politiku DLP s obmedzeniami toku pracovnej plochy

Keď správcovia upravia alebo vytvoria politiku, skupiny akcií toku pracovnej plochy sa pridajú do predvolenej skupiny a politika sa použije po jej uložení. Toto pravidlo sa pozastaví, ak je predvolená skupina nastavená na Blokované a v cieľových prostrediach sú spustené toky na pracovnej ploche.

Svoje politiky DLP pre toky na pracovnej ploche môžete spravovať rovnakým spôsobom, ako spravujete konektory a akcie toku v cloude. Moduly toku pracovnej plochy sú skupiny podobných akcií, aké sú zobrazené v používateľskom rozhraní Power Automate pre desktop. Modul je podobný konektorom, ktoré sa používajú v cloudových tokoch. Môžete definovať politiku DLP, ktorá spravuje moduly toku pracovnej plochy aj konektory toku cloudu. Niektoré základné moduly, ako napríklad Premenné, nie je možné spravovať v rámci politiky DLP, pretože ich musia používať takmer všetky toky na pracovnej ploche. Prečítajte si viac o základoch pravidiel DLP a o tom, ako ich vytvoriť.

Keď je váš nájomník prihlásený na používanie používateľského prostredia v Power Platform, vaši správcovia automaticky uvidia nové moduly toku pracovnej plochy v predvolenej skupine údajov politiky DLP, ktorú vytvárajú alebo aktualizujú.

Snímka obrazovky s pripravovanou politikou DLP v Power Platform centre spravovania.

Upozornenie

Keď sa do politík DLP pridajú moduly toku pracovnej plochy, toky pracovnej plochy vášho nájomníka sa vyhodnotia oproti nim a ak nie sú v súlade, budú pozastavené. Ak váš správca vytvorí alebo aktualizuje politiku DLP bez toho, aby si všimol nové moduly, toky pracovnej plochy môžu byť neočakávane pozastavené.

Riadte toky pracovnej plochy mimo DLP

Podrobná kontrola používania tokov pracovnej plochy na všetkých počítačoch, ako je opísané v predchádzajúcich častiach, sa vzťahuje iba na spravované prostredia. Máte ďalšie možnosti na riadenie tokov pracovnej plochy.

  • Schopnosť riadiť orchestráciu toku pracovnej plochy: Konektor toku pracovnej plochy môže byť riadený vo vašich politikách ako ktorýkoľvek iný konektor vo všetkých prostrediach.

  • Schopnosť riadiť používanie Power Automate pre počítač: Pomocou GPO môžete riadiť Power Automate pre desktopy. Toto riadenie vám umožňuje zapnúť alebo vypnúť toky pracovnej plochy pre akcie, ako je obmedzenie na množinu prostredí alebo oblastí, obmedzenie používania typov účtov a obmedzenie manuálnych aktualizácií.

Ďalšie informácie o správe a riadení nájdete v Power Automate.

Moduly toku pracovnej plochy v DLP

V DLP sú k dispozícii nasledujúce moduly toku pracovnej plochy:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatizácia prehliadača
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd relácia CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Schránka
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptografia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitívne
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Polia správ
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Myš a klávesnica
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Spustiť postup
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptovanie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulácia terminálu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation automatizácia používateľského rozhrania
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Služby Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Podpora prostredia PowerShell pre moduly toku pracovnej plochy

Ak nechcete zapínať nastavenie Zobraziť akcie toku pracovnej plochy v pravidlách DLP , môžete použiť nasledujúci skript PowerShell na pridanie všetkých modulov toku pracovnej plochy do Blokovaná skupina politiky DLP. Ak ste už nastavenie zapli, nemusíte tento skript používať.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Nasledujúci skript PowerShell pridáva dva špecifické moduly toku pracovnej plochy do predvolenej skupiny údajov politiky DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skript PowerShell na deaktiváciu tokov na pracovnej ploche

Ak nechcete používať funkciu DLP pre toky na pracovnej ploche, na deaktiváciu môžete použiť nasledujúci skript PowerShell.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Po aktivácii politiky

Ak vaši používatelia nemajú najnovšiu verziu Power Automate pre počítač, presadzovanie pravidiel DLP je obmedzené. Nezobrazujú sa im chybové hlásenia v čase návrhu, keď sa pokúšajú spustiť, ladiť alebo uložiť toky pracovnej plochy, ktoré porušujú zásady DLP. Úlohy na pozadí pravidelne skenujú toky pracovnej plochy v prostredí a automaticky pozastavujú všetky, ktoré porušujú zásady DLP. Používatelia nemôžu spúšťať toky pracovnej plochy z toku cloud, ak tok pracovnej plochy porušuje akékoľvek zásady prevencie straty údajov.

Tvorcovia, ktorí majú najnovšiu verziu Power Automate pre počítač, nemôžu ladiť, spúšťať ani ukladať postupy na počítači, ktoré porušujú pravidlá DLP. Z kroku cloudového toku tiež nemôžu vybrať tok pracovnej plochy, ktorý je v rozpore s politikou DLP.

Presadzovanie a pozastavenie DLP

  1. Keď vytvoríte alebo upravíte tok, Power Automate vyhodnotí ho podľa aktuálnej množiny politík DLP.
    1. Presadzovanie tokov bez podriadeného toku, čo je 99 % tokov, je synchrónne a prebieha v reálnom čase.
    2. Presadzovanie toku s detským tokom je asynchrónne, pretože je potrebné vyhodnotiť aj toky dieťaťa, a nastáva do 24 hodín.
  2. Keď vytvoríte alebo zmeníte politiku DLP, úloha na pozadí prehľadá všetky aktívne toky v prostredí, vyhodnotí ich a potom pozastaví toky, ktoré porušujú politiku. Vymáhanie je asynchrónne a prebieha do 24 hodín. Ak pri vyhodnocovaní predchádzajúcej politiky DLP dôjde k zmene politiky DLP, hodnotenie sa reštartuje, aby sa zaistilo uplatňovanie najnovších politík.
  3. Úloha na pozadí každý týždeň vykonáva kontrolu konzistencie všetkých aktívnych tokov v prostredí s politikami DLP, aby sa potvrdilo, že kontrola politiky DLP nebola vynechaná.

Reaktivácia DLP

Ak úloha na pozadí presadzovania DLP nájde tok pracovnej plochy, ktorý už neporušuje žiadnu politiku DLP, potom úloha na pozadí automaticky odstráni pozastavenie. Úloha presadzovania DLP na pozadí však automaticky nezruší pozastavenie cloudových tokov.

Proces zmeny presadzovania DLP

Presadzovanie DLP sa musí pravidelne meniť, pretože sa zavádzajú nové funkcie DLP alebo oprava chýb alebo je vyplnená medzera v presadzovaní. Keď zmeny môžu ovplyvniť existujúce toky, použite nasledujúci postupný proces riadenia zmien presadzovania DLP:

  1. Skúmanie: Potvrďte potrebu zmeny presadzovania DLP a preskúmajte špecifiká zmeny.

  2. Učenie: Implementujte zmenu a zbierajte údaje o šírke účinkov zmeny. Zmeny presadzovania DLP dokumentov vysvetľujú rozsah zmeny. Ak údaje naznačujú, že zákazníci budú výrazne ovplyvnení, potom môže byť týmto zákazníkom zaslaná komunikácia, aby vedeli, že prichádza zmena. Ak má zmena široký vplyv na existujúce toky, potom v neskoršej fáze fázy učenia, keď úloha presadzovania DLP na pozadí zistí porušenie v existujúcom toku, Power Automate upozorní vlastníkov toku, že tok bude pozastavený, aby mali viac času na odpoveď.

  3. Iba upozorniť : Zapnite e-mailové upozornenia iba na porušenia DLP, aby majitelia existujúcich tokov dostali upozornenia na nadchádzajúcu zmenu presadzovania DLP. Keď úloha presadzovania DLP na pozadí zistí porušenie v existujúcom toku, upozornite vlastníkov toku, že tok bude pozastavený. Tento mechanizmus beží týždenne.

  4. Presadzovanie v čase návrhu : Zapnite presadzovanie porušení DLP v čase návrhu, aby majitelia existujúcich tokov boli informovaní o nadchádzajúcej zmene presadzovania DLP, ale všetky toky, ktoré sa zmenia, získajú úplné vyhodnotenie politiky DLP v čase návrhu. Toto je tiež známe ako mäkké presadzovanie.

    • Design-time : Keď sa tok aktualizuje a uloží, použite aktualizované presadzovanie DLP a v prípade potreby tok pozastavte, aby bol tvorca okamžite informovaný o presadzovaní.

    • Proces na pozadí : Keď úloha presadzovania DLP na pozadí zistí porušenie v toku, upozornite vlastníkov toku, že tok bude pozastavený. Tento mechanizmus zahŕňa vytváranie alebo zmeny politiky DLP a kontroly konzistencie.

  5. Úplné presadzovanie : Zapnite úplné presadzovanie porušení DLP, aby boli zásady DLP plne presadzované vo všetkých existujúcich a nových tokoch. Politiky DLP sa plne presadzujú, keď sa toky uložia počas hodnotenia úlohy presadzovania DLP na pozadí. Toto je tiež známe ako tvrdé presadzovanie.

Zoznam zmien presadzovania DLP

Nasledujúca tabuľka uvádza zmeny presadzovania DLP a dátum, kedy tieto zmeny nadobudli účinnosť.

Date Description Dôvod na zmenu Fáza Dostupnosť presadzovania v čase návrhu* Plná dostupnosť presadzovania*
Máj 2022 Presadzovanie úloh na pozadí delegovanej autorizácie Politiky DLP sa vynucujú pri tokoch, ktoré používajú delegovanú autorizáciu počas ukladania toku, ale nie počas hodnotenia úlohy na pozadí. Úplný 2. júna 2022 21. júl 2022
Máj 2022 Požiadať o vynútenie spúšťača apiConnection Pri niektorých spúšťačoch neboli pravidlá ochrany pred únikom informácií (DLP) vynútené správne. Ovplyvnené spúšťače majú type=Request a kind=apiConnection. Mnohé z ovplyvnených spúšťačov sú okamžité spúšťače, ktoré sa používajú v okamžitých alebo manuálne spúšťaných tokoch. Medzi ovplyvnené spúšťače patria nasledujúce.
- Power BI: Power BI klikli ste na tlačidlo
- Tímy: Z poľa na písanie správ (V2)
- OneDrive for Business: Pre vybratý súbor
- Dataverse: Keď sa krok toku spustí z tok obchodného procesu
- Dataverse (staršie): Keď je vybratý záznam
- Excel Online (Business): Pre vybratý riadok
- SharePoint: Pre vybranú položku
- Microsoft Copilot Studio: Keď Copilot Studio vyvolá tok (V2)		 Úplný 2. júna 2022 25. august 2022
Júl 2022 Presadzovať zásady DLP pri podriadených tokoch Povoľte presadzovanie politík DLP tak, aby zahŕňali podradené toky. Ak sa kdekoľvek v strome toku nájde porušenie, nadradený tok sa pozastaví. Po úprave a uložení podriadeného toku s cieľom odstrániť porušenie je možné nadradené toky znova uložiť alebo aktivovať, aby sa znova spustilo vyhodnotenie politiky DLP. Zmena, ktorá už nebude blokovať podriadené toky, keď je zablokovaný konektor HTTP, sa zavedie spolu s úplným presadzovaním pravidiel DLP v podriadených tokoch. Keď bude k dispozícii úplné presadzovanie, presadzovanie bude zahŕňať toky podriadených počítačov. Úplný 14. február 2023 Marec 2023
január 2023 Presadzujte pravidlá DLP pri tokoch podriadených počítačov Povoľte presadzovanie politík DLP tak, aby zahŕňali toky podriadených počítačov. Ak sa kdekoľvek v strome toku nájde porušenie, nadradený postup pracovnej plochy sa pozastaví. Po úprave a uložení podradenej pracovnej plochy s cieľom odstrániť porušenie sa nadradená pracovná plocha automaticky znovu aktivuje. Učenie - August 2023

*Plán dostupnosti sa môže zmeniť a závisí od zavedenia.

Pozastavenie toku pre porušenie DLP

Pozastavené toky sa na portáli Power Automate maker a v Power Platform centre správcov zobrazujú ako pozastavené. Keď sa tok vráti cez rozhranie API, PowerShell alebo toky Power Automate zoznamu konektorov pre správu „ako správca“ akcia, tok má State=Suspended , FlowSuspensionReason=CompanyDlpViolation a FlowSuspensionTime hodnota označujúca, kedy bol prietok pozastavený.

Známe obmedzenia

Prečítajte si o známych problémoch DLP.

Pozrite si tiež

Zistite viac o prostrediach
Naučiť sa viac o Power Automate
Zistite viac o centre spravovania