Zdieľať cez

Vytvorenie politiky ochrany pred únikom údajov (DLP)

  • Článok

Údaje organizácie sú rozhodujúce pre jej úspech. Jeho dáta musia byť ľahko dostupné pre rozhodovanie, no zároveň musia byť dáta chránené, aby neboli zdieľané s publikom, ktoré by k nim nemalo mať prístup. Na ochranu vašich firemných údajov vám Power Automate dáva možnosť vytvárať a presadzovať pravidlá, ktoré definujú, ktoré konektory k nim môžu pristupovať a zdieľať ich. Politiky, ktoré určujú možnosti zdieľania údajov, sa nazývajú politiky ochrany pred únikom údajov (DLP).

Administrátori riadia zásady DLP. Ak politika DLP blokuje spustenie vašich tokov, kontaktujte svojho správcu.

Ďalšie informácie o ochrane údajov pomocou Power Platform v pravidlách ochrany pred stratou údajov (DLP).

Prevencia straty údajov pre toky desktopov

Power Automate umožňuje vytvárať a presadzovať zásady DLP, ktoré klasifikujú postup v počítačovom prostredí moduly a jednotlivé akcie modulov ako Obchodné, Nepodnikateľské alebo Blokované. Táto kategorizácia bráni tvorcom kombinovať moduly a akcie z rôznych kategórií do postup v počítačovom prostredí alebo medzi postup v cloude a tokmi pracovnej plochy, ktoré používa.

Dôležité

  • Presadzovanie politiky DLP pre toky desktopov je dostupné vo všetkých prostrediach.
  • DLP pre toky pre stolné počítače je k dispozícii pre verzie Power Automate pre stolné počítače 2.14.173.21294 alebo novšie. Ak používate staršiu verziu, odinštalujte ju a aktualizujte na najnovšiu verziu.

Zobraziť postup v počítačovom prostredí skupiny akcií

V predvolenom nastavení sa postup v počítačovom prostredí skupiny akcií pri vytváraní politiky DLP nezobrazujú. V nastaveniach nájomníka musíte zapnúť nastavenie Zobraziť postup v počítačovom prostredí v pravidlách DLP .

Ak ste sa rozhodli pre verejná verzia Preview, akcie postup v počítačovom prostredí v DLP je už povolené a nemožno ich zmeniť.

  1. Prihláste sa do centra spravovania Power Platform.

  2. Na ľavom bočnom paneli vyberte Nastavenia.

  3. Na stránke Nastavenia nájomníka vyberte postup v počítačovom prostredí akcie v DLP.

  4. Zapnite Zobraziť postup v počítačovom prostredí akcie v pravidlách DLP a potom vyberte Uložiť.

    Snímka obrazovky s nastavením DLP pre desktop toky v Power Platform centre spravovania.

Teraz môžete pri vytváraní politiky údajov klasifikovať postup v počítačovom prostredí skupiny akcií.

Vytvorte politiku DLP s obmedzeniami postup v počítačovom prostredí

Keď správcovia upravia alebo vytvoria politiku, postup v počítačovom prostredí skupiny akcií sa pridajú do predvolenej skupiny a politika sa použije po jej uložení. Toto pravidlo sa pozastaví, ak je predvolená skupina nastavená na Blokované a v cieľových prostrediach sú spustené toky na pracovnej ploche.

Svoje pravidlá DLP pre toky na pracovnej ploche môžete spravovať rovnakým spôsobom, ako spravujete postup v cloude konektory a akcie. Postup v počítačovom prostredí moduly sú skupiny podobných akcií, aké sú zobrazené v používateľskom rozhraní Power Automate pre desktop. Modul je podobný konektorom, ktoré sa používajú v cloudových tokoch. Môžete definovať politiku DLP, ktorá spravuje moduly postup v počítačovom prostredí aj postup v cloude konektory. Niektoré základné moduly, ako napríklad Premenné, nie je možné spravovať v rámci politiky DLP, pretože ich musia používať takmer všetky toky na pracovnej ploche. Prečítajte si viac o základoch pravidiel DLP a o tom, ako ich vytvoriť.

Keď je váš nájomník prihlásený na používanie používateľského prostredia v Power Platform, vaši správcovia automaticky uvidia nové moduly postup v počítačovom prostredí v predvolenej skupine údajov politiky DLP, ktorú vytvárajú alebo aktualizujú.

Snímka obrazovky s pripravovanou politikou DLP v Power Platform centre spravovania.

Upozornenie

Keď postup v počítačovom prostredí moduly pridáte do pravidiel DLP, toky vášho nájomníka na pracovnej ploche sa vyhodnotia voči nim a ak nie sú v súlade, budú pozastavené. Ak váš správca vytvorí alebo aktualizuje politiku DLP bez toho, aby si všimol nové moduly, toky pracovnej plochy môžu byť neočakávane pozastavené.

Riadte toky pracovnej plochy mimo DLP

Podrobná kontrola používania tokov pracovnej plochy na všetkých počítačoch, ako je opísané v predchádzajúcich častiach, sa vzťahuje iba na Spravované prostredia. Máte ďalšie možnosti na riadenie tokov pracovnej plochy.

  • Schopnosť riadiť postup v počítačovom prostredí orchestráciu: postup v počítačovom prostredí konektor môže byť riadený vo vašich politikách ako ktorýkoľvek iný konektor vo všetkých prostrediach.

  • Schopnosť riadiť používanie Power Automate pre desktop: Môžete riadiť Power Automate toky pre desktopy prostredníctvom objektov skupinovej politiky (GPO). Toto riadenie vám umožňuje zapnúť alebo vypnúť toky pracovnej plochy pre akcie, ako je obmedzenie na množinu prostredí alebo oblastí, obmedzenie používania typov účtov a obmedzenie manuálnych aktualizácií.

Ďalšie informácie o správe a riadení nájdete v Power Automate.

Postup v počítačovom prostredí moduly v DLP

Nasledujúce postup v počítačovom prostredí moduly sú dostupné v DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation automatizácia prehliadača
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Schránka
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptografia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • poskytovatelia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitívne
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitívne
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Polia správ
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitívne
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Myš a klávesnica
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Tajné premenné
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Spustiť postup
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptovanie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulácia terminálu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation automatizácia používateľského rozhrania
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Služby Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell podpora pre postup v počítačovom prostredí moduly

Ak nechcete zapínať nastavenie Zobraziť akcie postup v počítačovom prostredí v pravidlách DLP , môžete použiť nasledujúci skript PowerShell na pridanie všetkých modulov postup v počítačovom prostredí do Blokovaná skupina politiky DLP. Ak ste už nastavenie zapli, nemusíte tento skript používať.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Nasledujúci skript PowerShell pridáva dva špecifické moduly postup v počítačovom prostredí do predvolenej skupiny údajov politiky DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell skript na deaktiváciu tokov na pracovnej ploche

Ak nechcete používať funkciu DLP pre toky na pracovnej ploche, môžete na deaktiváciu použiť nasledujúci PowerShell skript.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Po aktivácii politiky

Ak vaši používatelia nemajú najnovšiu verziu Power Automate pre počítač, presadzovanie pravidiel DLP je obmedzené. Nezobrazujú sa im chybové správy v čase návrhu, keď sa pokúšajú spustiť, ladiť alebo uložiť toky pracovnej plochy, ktoré porušujú zásady DLP. Úlohy na pozadí pravidelne skenujú toky pracovnej plochy v prostredí a automaticky pozastavujú všetky, ktoré porušujú zásady DLP. Používatelia nemôžu spúšťať toky pracovnej plochy z postup v cloude, ak postup v počítačovom prostredí porušuje akékoľvek zásady prevencie straty údajov.

Tvorcovia, ktorí majú najnovšiu verziu Power Automate pre počítač, nemôžu ladiť, spúšťať ani ukladať postupy na počítačoch, ktoré porušujú pravidlá DLP. Nemôžu tiež vybrať postup v počítačovom prostredí, ktorý je v rozpore s politikou DLP z postup v cloude krok.

Presadzovanie a pozastavenie DLP

  1. Keď vytvoríte alebo upravíte tok, Power Automate vyhodnotí ho podľa aktuálnej množiny politík DLP.
    1. Presadzovanie tokov bez podriadený postup, čo je 99 % tokov, je synchrónne a prebieha v reálnom čase.
    2. Vynútenie toku pomocou podriadený postup je asynchrónne, pretože je potrebné vyhodnotiť aj podriadené toky a nastane do 24 hodín.
  2. Keď vytvoríte alebo zmeníte politiku DLP, úloha na pozadí prehľadá všetky aktívne toky v prostredí, vyhodnotí ich a potom pozastaví toky, ktoré porušujú politiku. Vymáhanie je asynchrónne a prebieha do 24 hodín. Ak pri vyhodnocovaní predchádzajúcej politiky DLP dôjde k zmene politiky DLP, hodnotenie sa reštartuje, aby sa zaistilo uplatňovanie najnovších politík.
  3. Úloha na pozadí každý týždeň vykonáva kontrolu konzistencie všetkých aktívnych tokov v prostredí s politikami DLP, aby sa potvrdilo, že kontrola politiky DLP nebola vynechaná.

Reaktivácia DLP

Ak úloha presadzovania DLP na pozadí nájde postup v počítačovom prostredí, ktorá už neporušuje žiadne zásady DLP, potom úloha na pozadí automaticky zruší pozastavenie. Úloha presadzovania DLP na pozadí však automaticky nezruší pozastavenie cloudových tokov.

Proces zmeny presadzovania DLP

Presadzovanie DLP sa musí pravidelne meniť, pretože sa zavádzajú nové funkcie DLP alebo oprava chýb alebo je vyplnená medzera v presadzovaní. Keď zmeny môžu ovplyvniť existujúce toky, použite nasledujúci postupný proces riadenia zmien presadzovania DLP:

  1. Vyšetrovanie : Potvrďte potrebu zmeny presadzovania DLP a preskúmajte špecifiká tejto zmeny.

  2. Učenie : Implementujte zmenu a zbierajte údaje o šírke účinkov zmeny. Zmeny presadzovania DLP dokumentov vysvetľujú rozsah zmeny. Ak údaje naznačujú, že zákazníci budú výrazne ovplyvnení, potom môže byť týmto zákazníkom zaslaná komunikácia, aby vedeli, že prichádza zmena. Ak má zmena široký vplyv na existujúce toky, potom v neskoršej fáze fázy učenia, keď úloha presadzovania DLP na pozadí zistí porušenie v existujúcom toku, Power Automate upozorní vlastníkov toku, že tok bude pozastavený, aby mali viac času na odpoveď.

  3. Iba upozorniť : Zapnite e-mailové upozornenia iba na porušenia DLP, aby majitelia existujúcich tokov dostali upozornenia na nadchádzajúcu zmenu presadzovania DLP. Keď úloha presadzovania DLP na pozadí zistí porušenie v existujúcom toku, upozornite vlastníkov toku, že tok bude pozastavený. Tento mechanizmus beží týždenne.

  4. Presadzovanie v čase návrhu : Zapnite presadzovanie porušení DLP v čase návrhu, aby majitelia existujúcich tokov boli informovaní o nadchádzajúcej zmene presadzovania DLP, ale všetky toky, ktoré sa zmenia, získajú úplné vyhodnotenie politiky DLP v čase návrhu. Toto je tiež známe ako mäkké presadzovanie.

    • Design-time : Keď sa tok aktualizuje a uloží, použite aktualizované presadzovanie DLP a v prípade potreby tok pozastavte, aby bol tvorca okamžite informovaný o presadzovaní.

    • Proces na pozadí : Keď úloha presadzovania DLP na pozadí zistí porušenie v toku, upozornite vlastníkov toku, že tok bude pozastavený. Tento mechanizmus zahŕňa vytváranie alebo zmeny politiky DLP a kontroly konzistencie.

  5. Úplné presadzovanie : Zapnite úplné presadzovanie porušení DLP, aby boli zásady DLP plne presadzované vo všetkých existujúcich a nových tokoch. Politiky DLP sú plne presadzované, keď sa toky ukladajú počas vyhodnotenia úlohy presadzovania DLP na pozadí. Toto je tiež známe ako tvrdé presadzovanie.

Zoznam zmien presadzovania DLP

Nasledujúca tabuľka uvádza zmeny presadzovania DLP a dátum, kedy tieto zmeny nadobudli účinnosť.

Date Description Dôvod na zmenu Fáza Dostupnosť presadzovania v čase návrhu* Úplná dostupnosť presadzovania*
Máj 2022 Presadzovanie úloh na pozadí delegovanej autorizácie Politiky DLP sa uplatňujú pri tokoch, ktoré používajú delegovanú autorizáciu počas ukladania toku, ale nie počas hodnotenia úlohy na pozadí. Úplný 2. júna 2022 21. júl 2022
Máj 2022 Požiadať o vynútenie spúšťača apiConnection Pri niektorých spúšťačoch neboli pravidlá ochrany pred únikom informácií (DLP) vynútené správne. Ovplyvnené spúšťače majú type=Request a kind=apiConnection. Mnohé z ovplyvnených spúšťačov sú okamžité spúšťače, ktoré sa používajú v okamžitých alebo manuálne spúšťaných tokoch. Medzi ovplyvnené spúšťače patria nasledujúce.
- Power BI: Power BI klikli ste na tlačidlo
- Tímy: Z poľa na písanie správ (V2)
- OneDrive for Business: Pre vybratý súbor
- Dataverse: Keď sa tok krok spustí z tok obchodného procesu
- Dataverse (staršie): Keď je vybratý záznam
- Excel Online (Business): Pre vybratý riadok
- SharePoint: Pre vybranú položku
- Microsoft Copilot Studio: Keď Copilot Studio vyvolá tok (V2)		 Úplný 2. júna 2022 25. august 2022
Júl 2022 Presadzovať zásady DLP pri podriadených tokoch Povoľte presadzovanie politík DLP tak, aby zahŕňali podradené toky. Ak sa kdekoľvek v strome toku nájde porušenie, nadradený postup sa pozastaví. Po úprave a uložení podriadený postup s cieľom odstrániť porušenie možno nadradené toky znova uložiť alebo aktivovať, aby sa znova spustilo vyhodnotenie politiky DLP. Zmena, ktorá už nebude blokovať podriadené toky, keď je zablokovaný konektor HTTP, sa zavedie spolu s úplným presadzovaním pravidiel DLP v podriadených tokoch. Keď bude k dispozícii úplné presadzovanie, presadzovanie zahŕňa toky podriadených počítačov. Úplný 14. február 2023 Marec 2023
Január 2023 Presadzujte pravidlá DLP pri tokoch podriadených počítačov Povoľte presadzovanie politík DLP tak, aby zahŕňali toky podriadených počítačov. Ak sa kdekoľvek v strome toku nájde porušenie, pracovná plocha nadradený postup sa pozastaví. Po úprave a uložení potomka postup v počítačovom prostredí s cieľom odstrániť porušenie sa toky nadradenej pracovnej plochy automaticky znova aktivujú. Úplný - August 2023
Október 2024 Vynútiť ovládanie akcie konektora na spúšťače a interné akcie Rozšírte presadzovanie ovládania akcie konektora , aby ste zaistili, že budú pokryté spúšťače a interné akcie. Uveďte ich v Power Platform centre spravovania a vynucujte ich blokovanie, ak sa na ne jednotlivo odkazuje v politikách DLP alebo ak ich politika DLP nezahŕňa ako povolené. Vzdelávanie 27. január 2025 10. február 2025

*Plán dostupnosti sa môže zmeniť a závisí od zavedenia.

Pozastavenie toku pre porušenie DLP

Pozastavené toky sa na portáli Power Automate maker a v Power Platform centre správcov zobrazujú ako pozastavené. Keď sa tok vráti cez rozhranie API, PowerShell alebo Power Automate zoznam konektorov pre správu tokov akcie „ako správca“, tok has State=Suspended, FlowSuspensionReason=CompanyDlpViolation a a FlowSuspensionTime hodnota označujúca, kedy bol prietok pozastavený.

Známe obmedzenia

Prečítajte si o známych problémoch DLP.