Креирање смерница за спречавање губитка података (DLP)

Подаци организације су пресудни за њен успех. Његови подаци морају бити лако доступни за доношење одлука, али истовремено заштићени тако да се не деле са публиком која не би требало да има приступ њима. Да бисте заштитили своје пословне податке, Power Automate даје вам могућност да креирате и спроведете политике које дефинишу који конектори могу да приступе и деле га. Политике које дефинишу како се подаци могу делити називају се политикама за спречавање губитка података (ДЛП).

Администратори контролишу ДЛП политике. Ако ДЛП политика блокира ваше токове од покретања, обратите се свом администратору.

Сазнајте више о заштити ваших података помоћу Power Platform правила за спречавање губитка података (ДЛП).

Спречавање губитка података за токове на радној површини

Power Automate омогућава вам да креирате и примењујете ДЛП политике које класификују < ДИЦТ__ток за радну површину > десктоп флоw модуле и појединачне акције модула као пословне , непословне или блокиране. Ова категоризација спречава произвођаче да комбинују модуле и акције из различитих категорија у < ДИЦТ__ток за радну површину > десктоп флоw или између < ДИЦТ__ток у облаку > цлоуд флоw и токова на радној површини које користи.

Важно

• Спровођење ДЛП политика је доступно само < ДИЦТ__Надгледана окружења > Манагед Енвиронментс . Почевши од јануара 2025. године, само токови на радној површини који се налазе у < ДИЦТ__Надгледана окружења > Манагед Енвиронментс ће бити процењени ДЛП политикама.
• ДЛП за десктоп токове је доступан за верзије Power Automate за десктоп #пии_ајхфххгјз или новије. Ако користите ранију верзију, деинсталирајте је и ажурирајте на најновију верзију.

Погледај < ДИЦТ__ток за радну површину > десктоп флоw акционе групе

Подразумевано, < ДИЦТ__ток за радну површину > десктоп флоw акционе групе се не појављују када креирате ДЛП политику. Потребно је да укључите поставку Прикажи < ДИЦТ__ток за радну површину > десктоп флоw акције у ДЛП политикама у подешавањима станара.

Ако сте се одлучили за < ДИЦТ__верзија за јавни преглед > публиц превиеw , < ДИЦТ__ток за радну површину > десктоп флоw акције у ДЛП подешавању су већ омогућене и не могу се променити.

1. Пријавите се у Power Platform центар администрације.

2. На левом бочном панелу изаберите Подешавања.

3. На страници Подешавања станара изаберите < ДИЦТ__ток за радну површину > десктоп флоw акције у ДЛП-у.

4. Укључите Прикажи < ДИЦТ__ток за радну површину > десктоп флоw акције у ДЛП политикама , а затим изаберите Сачувај.

   

Сада можете класификовати < ДИЦТ__ток за радну површину > десктоп флоw акционе групе када креирате политику података.

Креирајте ДЛП политику са ограничењима < ДИЦТ__ток за радну површину > десктоп флоw

Када администратори уређују или креирају политику, < ДИЦТ__ток за радну површину > десктоп флоw акционе групе се додају у подразумевану групу, а политика се примењује након што је сачувана. Политика је суспендована ако је подразумевана група подешена на Блокирано и токови на радној површини се покрећу у циљним окружењима.

Можете управљати својим ДЛП политикама за токове радне површине на исти начин на који управљате < ДИЦТ__ток у облаку > цлоуд флоw конекторима и акцијама. < ДИЦТ__ток за радну површину >десктоп флоw модули су групе сличних акција као што је приказано у корисничком интерфејсу Power Automate за десктоп. Модул је сличан конекторима који се користе у токовима облака. Можете дефинисати ДЛП политику која управља и < ДИЦТ__ток за радну површину > десктоп флоw модулима и < ДИЦТ__ток у облаку > цлоуд флоw конекторима. Неким основним модулима, као што су варијабле, не може се управљати у оквиру ДЛП политике јер их скоро сви токови на радној површини морају користити. Сазнајте више о основама ДЛП политика и како их креирати.

Када се ваш станар укључи у корисничко искуство у Power Platform, ваши администратори аутоматски виде нове < ДИЦТ__ток за радну површину > десктоп флоw модуле у подразумеваној групи података ДЛП политике коју креирају или ажурирају.

Упозорење

Када се < ДИЦТ__ток за радну површину > десктоп флоw модули додају ДЛП политикама, токови радне површине вашег станара се процењују у односу на њих и они су суспендовани ако нису усаглашени. Ако ваш администратор креира или ажурира ДЛП политику без примећивања нових модула, токови на радној површини могу бити неочекивано суспендовани.

Управљајте токовима на радној површини изван ДЛП-а

Грануларна контрола над коришћењем токова на радној површини на свим машинама као што је описано у претходним одељцима односи се само на < ДИЦТ__Надгледана окружења > Манагед Енвиронментс. Имате и друге опције за управљање токовима на радној површини.

• Способност да управља < ДИЦТ__ток за радну површину > десктоп флоw оркестрације : < ДИЦТ__ток за радну површину > десктоп флоw конектор може да се управља у својим политикама као и било који други конектор у свим окружењима.

• Способност да управља коришћењем Power Automate за радну површину : Можете управљати Power Automate за десктоп токове кроз ГПО. Ово управљање вам омогућава да укључите или искључите токове радне површине за акције као што су ограничавање на скуп окружења или региона, ограничавање употребе типова налога и ограничавање ручних ажурирања.

Сазнајте више о управљању у Power Automate.

< ДИЦТ__ток за радну површину >десктоп флоw модула у ДЛП-у

Следећи < ДИЦТ__ток за радну површину > десктоп флоw модули су доступни у ДЛП-у:

• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .АцтивеДирецторy АцтивеДирецторy
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .АВС АВС
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Азуре Азуре
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .WебАутоматион < ДИЦТ__аутоматизација прегледача > Броwсер Аутоматион
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Цмд ЦМД сесија
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Цлипбоард Остава
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Компресија Компресија
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Криптографија Криптографија
• провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлоw.CyberArk CyberArk
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Датабасе Датабасе
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Емаил Е-маил
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Еxцел Еxцел
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Екцханге Екцханге
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .ФТП ФТП
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Филе Филе
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Фолдер Фолдер
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .ГооглеЦогнитиве Гоогле когнитивни
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Wеб ХТТП
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .ИБМЦогнитиве ИБМ цогнитиве
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Дисплаи Кутије за поруке
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .МицрософтЦогнитиве Мицрософт когнитивни
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .МоусеАндКеyбоард Миш и тастатура
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .ОЦР ОЦР
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Оутлоок Оутлоок
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Пдф ПДФ
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Рунфлоw Покрени ток
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Сцриптинг Сцриптинг
• провајдери/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлоw.Систем
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .ТерминалЕмулатион Терминал емулатион
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .УИАутоматион УИ аутоматион
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлов .Сервицес Виндовс Сервицес
• провајдери /Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .Воркстатион Воркстатион
• провидерс/Мицрософт .ПроцессСимпле /оператионГроупс /ДесктопФлоw .XМЛ XМЛ

ПоверСхелл подршка за < ДИЦТ__ток за радну површину > десктоп флоw модуле

Ако не желите да укључите поставку Прикажи < ДИЦТ__ток за радну површину > десктоп флоw акције у ДЛП политикама , можете користити следећу ПоверСхелл скрипту да бисте додали све < ДИЦТ__ток за радну површину > десктоп флоw модуле у групу Блокирано ДЛП политике. Ако сте већ укључили подешавање, не морате да користите ову скрипту.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Следећа ПоверСхелл скрипта додаје два специфична < ДИЦТ__ток за радну површину > десктоп флоw модула у подразумевану групу података ДЛП политике.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

ПоверСхелл скрипта за искључивање токова на радној површини

Ако не желите да користите ДЛП за десктоп токове функцију, можете користити следећу ПоверСхелл скрипту да бисте се одјавили.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Након што је политика омогућена

Ако ваши корисници немају најновије Power Automate информације за радну површину, спровођење ДЛП политике је ограничено. Они не виде поруке о грешкама у време дизајна када покушавају да покрену, отклоне грешке или сачувају токове на радној површини који крше ДЛП политике. Позадински послови периодично скенирају токове радне површине у окружењу и аутоматски суспендују све који крше ДЛП политике. Корисници не могу да покрећу токове на радној површини са < ДИЦТ__ток у облаку > цлоуд флоw ако < ДИЦТ__ток за радну површину > десктоп флоw крши било коју политику спречавања губитка података.

Произвођачи који имају најновије Power Automate за десктоп не могу отклањати грешке, покренути или сачувати токове на радној површини који крше ДЛП политику. Они такође не могу да изаберу < ДИЦТ__ток за радну површину > десктоп флоw који крши ДЛП политику из < ДИЦТ__ток у облаку > цлоуд флоw корак.

Спровођење и суспензија ДЛП-а

1. Када креирате или измените ток, Power Automate процењује га у односу на тренутни скуп ДЛП политика.
   1. Спровођење токова без < ДИЦТ__подређени ток > цхилд флоw , што је 99% токова, је синхроно и одвија се у реалном времену.
   2. Извршење тока са < ДИЦТ__подређени ток > цхилд флоw је асинхроно, јер је потребно проценити и токове детета и јавља се у року од 24 сата.
2. Када креирате или промените ДЛП политику, позадински посао скенира све активне токове у окружењу, процењује их, а затим суспендује токове који крше политику. Извршење је асинхроно и јавља се у року од 24 сата. Ако се промена ДЛП политике догоди када се процењује претходна ДЛП политика, онда се евалуација поново покреће како би се осигурало да се примењују најновије политике.
3. Недељно, позадински посао врши проверу конзистентности свих активних токова у окружењу у односу на ДЛП политике како би се потврдило да провера ДЛП политике није пропуштена.

ДЛП реактивирање

Ако позадински посао спровођења ДЛП-а пронађе < ДИЦТ__ток за радну површину > десктоп флоw који више не крши ниједну ДЛП политику, онда посао у позадини аутоматски уклања суспензију. Међутим, ДЛП извршење позадински посао не аутоматски поништава токове облака.

Процес промене спровођења ДЛП-а

Периодично, спровођење ДЛП-а треба да се промени јер се уводе нове ДЛП могућности или исправка грешака или се попуњава празнина у спровођењу. Када промене могу утицати на постојеће токове, примените следећи процес управљања променама ДЛП-а:

1. Истрага : Потврдите потребу за променом спровођења ДЛП-а и истражите специфичности промене.

2. Учење : Имплементирајте промену и прикупите податке о ширини ефеката промене. Документирајте промене спровођења ДЛП-а како бисте објаснили обим промене. Ако подаци указују на то да ће купци бити у великој мери погођени, онда се може послати комуникација тим купцима како би их обавестили да долази промена. Ако промена има широк утицај на постојеће токове, онда у каснијој фази у фази учења, када посао спровођења ДЛП-а у позадини пронађе повреду у постојећем току, Power Automate обавештава власнике тока да ће ток бити суспендован, тако да имају више времена да одговоре.

3. Само обавештавање : Укључите обавештења е-поштом само за кршења ДЛП-а како би власници постојећих токова били обавештени о предстојећој промени спровођења ДЛП-а. Када позадински посао спровођења ДЛП-а пронађе кршење у постојећем току, обавестите власнике тока да ће ток бити суспендован. Овај механизам ради недељно.

4. Спровођење времена дизајна: Укључите спровођење ДЛП кршења у време дизајна, тако да власници постојећих токова буду обавештени о предстојећој промени спровођења ДЛП-а, али сви токови који се мењају добијају потпуну процену ДЛП политике у време дизајна. Ово је такође познато као меко спровођење.

   • Време дизајна: Када се ток ажурира и сачува, користите ажурирану ДЛП спровођење и обуставите ток ако је потребно, тако да произвођач је одмах упознат са спровођењем.

   • Позадински процес : Када посао спровођења ДЛП-а у позадини пронађе кршење у току, обавестите власнике тока да ће ток бити суспендован. Овај механизам укључује креирање или промене ДЛП политике и провере конзистентности.

5. Потпуно спровођење : Укључите потпуно спровођење ДЛП кршења, тако да се ДЛП политике у потпуности примењују на свим постојећим и новим токовима. ДЛП политике се у потпуности спроводе када се токови чувају током ДЛП извршења позадинске евалуације посла. Ово је такође познато као тешко спровођење.

Листа измена спровођења ДЛП-а

У следећој табели наведене су промене спровођења ДЛП-а и датум када су промене ступиле на снагу.

Date	Опис	Разлог за промену	Фаза	Доступност спровођења у време дизајна*	Пуна доступност извршења*
мај 2022.	Делегирано овлашћење позадина спровођење посла	ДЛП политике се примењују на токовима који користе делегирано овлашћење док се ток чува, али не и током процене посла у позадини.	Пуно	2. јун 2022.	21. јул 2022.
мај 2022.	Захтев за извршење окидача апиЦоннецтион	ДЛП политике нису правилно спроведене за неке окидаче. Погођени окидачи имају типе = Захтев и кинд = апиЦоннецтион. Многи од погођених окидача су тренутни окидачи, који се користе у тренутним или ручно активираним токовима. Погођени окидачи укључују следеће. - Power BI Power BI :дугме кликнуо - Тимови : Из кутије за састављање (ВКСНУМКС) - OneDrive фор Бусинесс : За изабрану датотеку - Dataverse: Када се корак протока покреће из < ДИЦТ__ток пословног процеса > бусинесс процесс флоw - Dataverse (наслеђе ) : Када је изабран запис - Екцел Онлине (Бусинесс): За изабрани ред - SharePoint: За изабрану ставку - Microsoft Copilot Studio : Када Copilot Studio позива проток (V2)	Пуно	2. јун 2022.	25. август 2022.
Јул 2022.	Спровођење ДЛП политика на дечјим токовима	Омогућите спровођење ДЛП политика како бисте укључили дечије токове. Ако се повреда нађе било где у стаблу протока, < ДИЦТ__надређени ток > парент флоw је суспендован. Након што се < ДИЦТ__подређени ток > цхилд флоw уреди и сачува да би се уклонила повреда, родитељски токови се могу поново сачувати или поново активирати да би се поново покренула евалуација ДЛП политике. Промена да више не блокира дечије токове када је ХТТП конектор блокиран ће се појавити заједно са потпуним спровођењем ДЛП политика на дечјим токовима. Када је доступна потпуна примена, извршење ће укључивати дечије токове на радној површини.	Пуно	14. фебруар 2023.	март 2023.
јануар 2023.	Спровођење ДЛП политике на дечјим токовима радне површине	Омогућите спровођење ДЛП политика за укључивање дечјих токова на радној површини. Ако се пронађе кршење било где у стаблу протока, < ДИЦТ__надређени ток > парент флоw на радној површини је суспендован. Након што се < ДИЦТ__ток за радну површину > десктоп флоw детета уреди и сачува да би се уклонила повреда, токови родитељске радне површине се аутоматски поново активирају.	Пуно	-	август 2023.

* Распоред доступности може се променити и зависи од увођења.

Суспензија протока због кршења ДЛП-а

Суспендовани токови приказују се као суспендовани на порталу Power Automate произвођача и админ центру Power Platform . Када се ток врати преко АПИ-ја, ПоверСхелл-а или листе конектора за Power Automate управљање токовима "као Админ", ток има Стате = Суспендед , ФловСуспенсионРеасон = ЦомпаниДлпВиолатион и вредност ФловСуспенсионТиме која указује на то када је ток суспендован.

Позната ограничења

Сазнајте више о ДЛП познатим проблемима.

Сродне информације

• Power Platform ДЛП политике
• Сазнајте више о окружењима
• Сазнајте више о Power Automate
• Сазнајте више о админ центру