Kreiranje politike za sprečavanje gubitka podataka (DLP)

Podaci organizacije su presudni za njen uspeh. Njegovi podaci moraju biti lako dostupni za donošenje odluka, ali istovremeno zaštićeni tako da se ne dele sa publikom koja ne bi trebalo da ima pristup njima. Da biste zaštitili svoje poslovne podatke, Power Automate daje vam mogućnost da kreirate i sprovedete politike koje definišu koji konektori mogu da pristupe i dele ga. Politike koje definišu kako se podaci mogu deliti nazivaju se politikama za sprečavanje gubitka podataka (DLP).

Administratori kontrolišu DLP politike. Ako DLP politika blokira vaše tokove od pokretanja, obratite se svom administratoru.

Saznajte više o zaštiti vaših podataka pomoću Power Platform pravila za sprečavanje gubitka podataka (DLP).

Sprečavanje gubitka podataka za tokove na radnoj površini

Power Automate omogućava vam da kreirate i primenjujete DLP politike koje klasifikuju module tok za radnu površinu i pojedinačne akcije modula kao poslovne, neposlovne ili blokirane. Ova kategorizacija sprečava proizvođače da kombinuju module i akcije iz različitih kategorija u tok za radnu površinu ili između tok u oblaku i tokove na radnoj površini koje koristi.

Važno

• Sprovođenje DLP politika je dostupno samo za Nadgledana okruženja . Počevši od septembra 2024. godine, samo tokovi radne površine koji se nalaze u Nadgledana okruženja će biti procenjeni DLP politikama.
• DLP za desktop tokove je dostupan za verzije Power Automate za desktop 2.14.173.21294 ili novije. Ako koristite raniju verziju, deinstalirajte je i ažurirajte na najnoviju verziju.

Pogledaj akcione grupe tok za radnu površinu

Podrazumevano, grupe akcija tok za radnu površinu se ne pojavljuju kada kreirate DLP politiku. Potrebno je da uključite Pokaži tok za radnu površinu akcije u DLP politikama podešavanje u podešavanjima vašeg klijenta.

Ako ste se odlučili za verziju za javni pregled, akcije tok za radnu površinu u DLP podešavanju je već omogućeno i ne može se promeniti.

1. Prijavite se u Power Platform centar administracije.

2. Na levom bočnom panelu izaberite Podešavanja.

3. Na stranici Podešavanja klijenta izaberite tok za radnu površinu akcije u DLP-u.

4. Uključite Prikaži tok za radnu površinu akcije u DLP politikama, a zatim izaberite Sačuvaj.

   

Sada možete klasifikovati grupe akcija tok za radnu površinu kada kreirate politiku podataka.

Kreirajte DLP politiku sa ograničenjima tok za radnu površinu

Kada administratori uređuju ili kreiraju politiku, grupe akcija tok za radnu površinu se dodaju u podrazumevanu grupu, a politika se primenjuje nakon što je sačuvana. Politika je suspendovana ako je podrazumevana grupa podešena na Blokirano i tokovi na radnoj površini se pokreću u ciljnim okruženjima.

Možete upravljati svojim DLP politikama za tokove radne površine na isti način na koji upravljate konektorima i akcijama tok u oblaku. Moduli tok za radnu površinu su grupe sličnih radnji koje su prikazane u korisničkom interfejsu Power Automate za radnu površinu. Modul je sličan konektorima koji se koriste u tokovima oblaka. Možete definisati DLP politiku koja upravlja i modulima tok za radnu površinu i konektorima tok u oblaku. Nekim osnovnim modulima, kao što su varijable, ne može se upravljati u okviru DLP politike jer ih skoro svi tokovi na radnoj površini moraju koristiti. Saznajte više o osnovama DLP politika i kako ih kreirati.

Kada se vaš stanar uključi u korisničko iskustvo u Power Platform, vaši administratori automatski vide nove module tok za radnu površinu u podrazumevanoj grupi podataka DLP politike koju kreiraju ili ažuriraju.

Upozorenje

Kada se moduli tok za radnu površinu dodaju DLP politikama, tokovi radne površine vašeg stanara se procenjuju u odnosu na njih i oni su suspendovani ako nisu usaglašeni. Ako vaš administrator kreira ili ažurira DLP politiku bez primećivanja novih modula, tokovi na radnoj površini mogu biti neočekivano suspendovani.

Upravljajte tokovima na radnoj površini izvan DLP-a

Granularna kontrola nad korišćenjem tokova na radnoj površini na svim mašinama kao što je opisano u prethodnim odeljcima odnosi se samo na Nadgledana okruženja. Imate i druge opcije za upravljanje tokovima na radnoj površini.

• Sposobnost upravljanja orkestriranjem tok za radnu površinu: Konektor tok za radnu površinu može se upravljati u vašim politikama kao i bilo koji drugi konektor u svim okruženjima.

• Sposobnost da upravlja korišćenjem Power Automate za radnu površinu: Možete upravljati Power Automate za desktop tokove kroz GPO. Ovo upravljanje vam omogućava da uključite ili isključite tokove radne površine za akcije kao što su ograničavanje na skup okruženja ili regiona, ograničavanje upotrebe tipova naloga i ograničavanje ručnih ažuriranja.

Saznajte više o upravljanju u Power Automate.

Moduli tok za radnu površinu u DLP-u

Sledeći moduli tok za radnu površinu su dostupni u DLP-u:

• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AVS AVS
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.VebAutomation automatizacija pregledača
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Cmd CMD sesija
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Ostava
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Kompresija Kompresija
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kriptografija Kriptografija
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Email E-mail
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Ekchange Ekchange
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Folder Folder
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitivni
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Displai Kutije za poruke
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitivni
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.MouseAndKeyboard Miš i tastatura
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.OCR OCR
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Outlook Outlook
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Pokreni tok
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Sistem
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Services Vindovs Services
• provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Vorkstation Vorkstation
• providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PoverShell podrška za module tok za radnu površinu

Ako ne želite da uključite Pokaži akcije tok za radnu površinu u podešavanju DLP politika , možete koristiti sledeću PoverShell skriptu da biste dodali sve module tok za radnu površinu u grupu Blokirano DLP politike. Ako ste već uključili podešavanje, ne morate da koristite ovu skriptu.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Sledeća PoverShell skripta dodaje dva specifična modula tok za radnu površinu u podrazumevanu grupu podataka DLP politike.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

PoverShell skripta za isključivanje tokova na radnoj površini

Ako ne želite da koristite DLP za desktop tokove funkciju, možete koristiti sledeću PoverShell skriptu da biste se odjavili.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Nakon što je politika omogućena

Ako vaši korisnici nemaju najnovije Power Automate informacije za radnu površinu, sprovođenje DLP politike je ograničeno. Oni ne vide poruke o greškama u vreme dizajna kada pokušavaju da pokrenu, otklone greške ili sačuvaju tokove na radnoj površini koji krše DLP politike. Pozadinski poslovi periodično skeniraju tokove radne površine u okruženju i automatski suspenduju sve koji krše DLP politike. Korisnici ne mogu da pokreću tokove na radnoj površini iz tok u oblaku ako tok za radnu površinu krši bilo koju politiku sprečavanja gubitka podataka.

Proizvođači koji imaju najnovije Power Automate za desktop ne mogu otklanjati greške, pokrenuti ili sačuvati tokove na radnoj površini koji krše DLP politiku. Oni takođe ne mogu da izaberu tok za radnu površinu koji krši DLP politiku iz tok u oblaku korak.

Sprovođenje i suspenzija DLP-a

1. Kada kreirate ili izmenite tok, Power Automate procenjuje ga u odnosu na trenutni skup DLP politika.
   1. Sprovođenje tokova bez podređeni tok, što je 99% tokova, je sinhrono i odvija se u realnom vremenu.
   2. Izvršenje toka sa podređeni tok je asinhrono, jer je potrebno proceniti i tokove deteta i javlja se u roku od 24 sata.
2. Kada kreirate ili promenite DLP politiku, pozadinski posao skenira sve aktivne tokove u okruženju, procenjuje ih, a zatim suspenduje tokove koji krše politiku. Izvršenje je asinhrono i javlja se u roku od 24 sata. Ako se promena DLP politike dogodi kada se procenjuje prethodna DLP politika, onda se evaluacija ponovo pokreće kako bi se osiguralo da se primenjuju najnovije politike.
3. Nedeljno, pozadinski posao vrši proveru konzistentnosti svih aktivnih tokova u okruženju u odnosu na DLP politike kako bi se potvrdilo da provera DLP politike nije propuštena.

DLP reaktiviranje

Ako pozadinski posao sprovođenja DLP-a pronađe tok za radnu površinu koji više ne krši nijednu DLP politiku, onda pozadinski posao automatski uklanja suspenziju. Međutim, DLP izvršenje pozadinski posao ne automatski poništava tokove oblaka.

Proces promene sprovođenja DLP-a

Periodično, sprovođenje DLP-a treba da se promeni jer se uvode nove DLP mogućnosti ili ispravka grešaka ili se popunjava praznina u sprovođenju. Kada promene mogu uticati na postojeće tokove, primenite sledeći proces upravljanja promenama DLP-a:

1. Istraga: Potvrdite potrebu za promenom sprovođenja DLP-a i istražite specifičnosti promene.

2. Učenje: Implementirajte promenu i prikupite podatke o širini efekata promene. Dokumentirajte promene sprovođenja DLP-a kako biste objasnili obim promene. Ako podaci ukazuju na to da će kupci biti u velikoj meri pogođeni, onda se može poslati komunikacija tim kupcima kako bi ih obavestili da dolazi promena. Ako promena ima širok uticaj na postojeće tokove, onda u kasnijoj fazi u fazi učenja, kada posao sprovođenja DLP-a u pozadini pronađe povredu u postojećem toku, Power Automate obaveštava vlasnike toka da će tok biti suspendovan, tako da imaju više vremena da odgovore.

3. Samo obaveštavanje: Uključite obaveštenja e-poštom samo za kršenja DLP-a kako bi vlasnici postojećih tokova bili obavešteni o predstojećoj promeni sprovođenja DLP-a. Kada pozadinski posao sprovođenja DLP-a pronađe kršenje u postojećem toku, obavestite vlasnike toka da će tok biti suspendovan. Ovaj mehanizam radi nedeljno.

4. Sprovođenje vremena dizajna: Uključite sprovođenje DLP kršenja u vreme dizajna, tako da vlasnici postojećih tokova budu obavešteni o predstojećoj promeni sprovođenja DLP-a, ali svi tokovi koji se menjaju dobijaju potpunu procenu DLP politike u vreme dizajna. Ovo je takođe poznato kao meko sprovođenje.

   • Vreme dizajna: Kada se tok ažurira i sačuva, koristite ažuriranu DLP sprovođenje i obustavite tok ako je potrebno, tako da proizvođač je odmah upoznat sa sprovođenjem.

   • Pozadinski proces: Kada posao sprovođenja DLP-a u pozadini pronađe kršenje u toku, obavestite vlasnike toka da će tok biti suspendovan. Ovaj mehanizam uključuje kreiranje ili promene DLP politike i provere konzistentnosti.

5. Potpuno sprovođenje: Uključite potpuno sprovođenje DLP kršenja, tako da se DLP politike u potpunosti primenjuju na svim postojećim i novim tokovima. DLP politike se u potpunosti sprovode kada se tokovi čuvaju tokom DLP izvršenja pozadinske evaluacije posla. Ovo je takođe poznato kao teško sprovođenje.

Lista izmena sprovođenja DLP-a

U sledećoj tabeli navedene su promene sprovođenja DLP-a i datum kada su promene stupile na snagu.

Date	Opis	Razlog za promenu	Faza	Dostupnost sprovođenja u vreme dizajna*	Puna dostupnost izvršenja*
maj 2022.	Delegirano ovlašćenje pozadina sprovođenje posla	DLP politike se primenjuju na tokovima koji koriste delegirano ovlašćenje dok se tok čuva, ali ne i tokom procene posla u pozadini.	Pun	2. jun 2022.	21. jul 2022.
maj 2022.	Zahtev za izvršenje okidača apiConnection	DLP politike nisu pravilno sprovedene za neke okidače. Pogođeni okidači imaju tipe=Zahtev i kind=apiConnection. Mnogi od pogođenih okidača su trenutni okidači, koji se koriste u trenutnim ili ručno aktiviranim tokovima. Pogođeni okidači uključuju sledeće. - Power BI Power BI :dugme kliknuo - Timovi: Iz kutije za sastavljanje (VKSNUMKS) - OneDrive for Business: Za izabranu datoteku - Dataverse: Kada se korak protoka pokreće iz tok poslovnog procesa - Dataverse (nasleđe): Kada je izabran zapis - Ekcel Online (Business): Za izabrani red - SharePoint: Za izabranu stavku - Microsoft Copilot Studio: Kada Copilot Studio poziva protok (V2)	Pun	2. jun 2022.	25. avgust 2022.
Jul 2022.	Sprovođenje DLP politika na dečjim tokovima	Omogućite sprovođenje DLP politika kako biste uključili dečije tokove. Ako se povreda nađe bilo gde u stablu protoka, nadređeni tok je suspendovan. Nakon što se podređeni tok uredi i sačuva da bi se uklonilo kršenje, roditeljski tokovi se mogu ponovo sačuvati ili ponovo aktivirati da bi se ponovo pokrenula evaluacija DLP politike. Promena da više ne blokira dečije tokove kada je HTTP konektor blokiran će se pojaviti zajedno sa potpunim sprovođenjem DLP politika na dečjim tokovima. Kada je dostupna potpuna primena, izvršenje će uključivati dečije tokove na radnoj površini.	Pun	14. februar 2023.	mart 2023.
januar 2023.	Sprovođenje DLP politike na dečjim tokovima radne površine	Omogućite sprovođenje DLP politika za uključivanje dečjih tokova na radnoj površini. Ako se pronađe kršenje bilo gde u stablu protoka, nadređeni tok radne površine je suspendovan. Nakon što se tok za radnu površinu deteta uređuje i čuva da bi se uklonila povreda, tokovi roditeljske radne površine se automatski ponovo aktiviraju.	Pun	-	avgust 2023.

* Raspored dostupnosti može se promeniti i zavisi od uvođenja.

Suspenzija protoka zbog kršenja DLP-a

Suspendovani tokovi prikazuju se kao suspendovani na portalu Power Automate proizvođača i admin centru Power Platform . Kada se tok vrati preko API-ja, PoverShell-a ili liste konektora za Power Automate upravljanje tokovima "kao Admin", tok ima State = Suspended, FlovSuspensionReason = CompaniDlpViolation i vrednost FlovSuspensionTime koja ukazuje na to kada je tok suspendovan.

Poznata ograničenja

Saznajte više o DLP poznatim problemima.

Srodne informacije

• Power Platform DLP politike
• Saznajte više o okruženjima
• Saznajte više o Power Automate
• Saznajte više o admin centru