Veri kaybını önlemeye yardımcı olan bir ilke ayarlama

  • Makale

Bir kuruluşun verileri, başarısı için kritik öneme sahiptir. Verilerinin, karar verme süreçleri için kullanıma hazır olması gerekir bununla birlikte erişim izni olmayan kişilerle paylaşılmayacak şekilde korunmaları da gerekir. İş verilerinizi korumak için, Power Automate hangi bağlayıcıların erişebileceğini ve paylaşabileceğini tanımlayan ilkeler oluşturmanıza ve uygulamanıza olanak sağlar. Verilerin nasıl paylaşılabileceğini tanımlayan ilkeler, veri kaybı önleme (DLP) ilkeleri olarak adlandırılır.

Yöneticiler DLP ilkelerini denetler. DLP ilkesi akışlarınızın çalışmasını engelliyorsa yöneticinize başvurun.

Veri kaybını önleme ilkeleriyle verilerinizi koruma hakkında daha fazla bilgi edinin.

Masaüstü akışları için veri kaybı önleme

Power Automate size masaüstü akış modüllerini ve bireysel modül eylemlerini İş, İş dışı veya Engellendi olarak sınıflandıran DLP ilkeleri oluşturmanıza ve uygulamanıza olanak sağlar. Bu sınıflandırma, oluşturucuların modülleri ve farklı kategorilerdeki eylemleri masaüstü akışında veya bir bulut akışı ile kullandığı masaüstü akışları arasında birleştirmesini engeller.

Önemli

  • DLP ilkeleri uygulama yalnızca Yönetilen Ortamlar için kullanılabilir. Eylül 2024'den itibaren yalnızca Yönetilen Ortamlarda bulunan masaüstü akışları DLP ilkeleri ile değerlendirilecektir.
  • Masaüstü akışları için DLP, masaüstü için Power Automate 2.14.173.21294 veya daha yeni sürümleri için kullanılabilir. Önceki bir sürümü kullanıyorsanız, bunu kaldırın ve en son sürüme güncelleştirin.

Masaüstü akış eylem gruplarını görüntüleme

Varsayılan olarak, masaüstü akış eylemi grupları bir DLP ilkesi oluştururken görünmez. Kiracı ayarlarınızdan DLP ilkelerinde Masaüstü akış eylemleri göster ayarını etkinleştirmeniz gerekir.

DLP'de masaüstü akışı eylemleri ayarı zaten etkindir ve genel önizlemeyi kabul ettiğinizde değiştirilemez.

  1. Power Platform yönetim merkezinde oturum açın.

  2. Sol panelde Ayarlar'ı seçin.

  3. Kiracı ayarları sayfasında DLP'de masaüstü akış eylemleri'ni seçin.

  4. DLP ilkelerinde masaüstü akışı eylemlerini göster'i açın ve Kaydet'i seçin.

    Power Platform yönetim merkezinde masaüstü akışları ayarı için DLP ekran görüntüsü.

Artık bir veri ilkesi oluştururken masaüstü akışı eylem gruplarını sınıflandırabilirsiniz.

Masaüstü akış kısıtlamaları ile DLP ilkesi oluşturma

Yöneticiler bir ilkeyi düzenlerken veya oluştururken, masaüstü akışı eylem grupları varsayılan gruba eklenir ve ilke kaydedildikten sonra uygulanır. Varsayılan grup Engellendi olarak ayarlanırsa ve masaüstü akışları hedef ortamlarda çalışıyorsa ilke askıya alınır.

Masaüstü akışları için DLP ilkelerinizi, bulut akışı bağlayıcılarını ve eylemlerini yönettiğiniz gibi yönetebilirsiniz. Masaüstü akışı modülleri, masaüstü akışları kullanıcı arabirimi için Power Automate'te görüntülenen şekildeki benzer eylem gruplarıdır. Modül, bulut akışlarında kullanılan bağlayıcılara benzer. Hem masaüstü akış modüllerini hem de bulut akış bağlayıcılarını yöneten bir veri kaybı önleme ilkesi tanımlayabilirsiniz. Değişkenler gibi bazı temel modüller DLP ilkesi kapsamında yönetilemezler çünkü neredeyse tüm masaüstü akışlarının bunları kullanması gerekir. DLP ilkelerinin temel bilgileri ve bunların nasıl oluşturulacağı hakkında daha fazla bilgi edinin.

Kiracınız Power Platform'da kullanıcı deneyimine dahil olduğunda yöneticileriniz, yeni masaüstü akış modüllerini kiracının oluşturduğu veya güncelleştirdiği DLP ilkesinin varsayılan veri grubunda otomatik olarak görür.

Power Platform yönetim merkezinde yapımı devam eden bir DLP ilkesi ekran görüntüsü.

Uyarı

DLP ilkelerine masaüstü akış modülleri eklendiğinde kiracınızın masaüstü akışları bu DLP ilkelerine göre değerlendirilir ve uyumlu değillerse askıya alınırlar. Yöneticiniz yeni modülleri dikkate almadan DLP ilkesini oluşturur veya güncelleştirirse masaüstü akışları beklenmedik bir şekilde askıya alınabilir.

Masaüstü akışlarını DLP'dışından yönetme

Tüm makinelerde masaüstü akışı kullanımı (yukarıdaki bölümlerde açıklanmaktadır) üzerinde ayrıntılı denetim, yalnızca Yönetilen Ortamlar için geçerlidir. Masaüstü akışlarını yönetmek için başka seçenekler de vardır.

  • Masaüstü akışı düzenlemesini yönetebilme özelliği: Masaüstü akışı bağlayıcısı ilkelerinizde, tüm ortamlardaki diğer bağlayıcılarla aynı şekilde yönetilebilir.

  • Masaüstü için Power Automate kullanımını yönetebilme özelliği: Masaüstü akışları için Power Automate'i GPO üzerinden yönetebilirsiniz. Bu yönetim, ortam veya bölge kümesiyle kısıtlamak, hesap türlerinin kullanımını sınırlamak, el ile güncelleştirmeyi kısıtlamak gibi eylemler üzere masaüstü akışları kullanımını açıp kapatmanızı sağlar.

Power Automate'te yönetişim hakkında daha fazla bilgi edinin.

DLP'de masaüstü akış modülleri

DLP'de aşağıdaki masaüstü akış modülleri bulunmaktadır:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Tarayıcı Otomasyonu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD oturumu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Pano
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Sıkıştırma
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Şifreleme
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Veritabanı
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-posta
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Dosya
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Klasör
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google bilişsel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM bilişsel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display İleti kutuları
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft bilişsel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Fare ve klavye
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Akış çalıştırma
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Komut dosyası
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistem
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal öykünmesi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI otomasyonu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Hizmetleri
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation İş İstasyonu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Masaüstü akış modülleri için PowerShell desteği

DLP ilkelerinde Masaüstü akış eylemleri göster ayarını etkinleştirmek istemiyorsanız, tüm masaüstü akış modüllerini bir DLP ilkesinin Engellenen grubuna eklemek için aşağıdaki PowerShell betiğini kullanabilirsiniz. Ayarı zaten açtıysanız, bu betiği kullanmanıza gerek yoktur.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Aşağıdaki PowerShell betiği, belirli iki masaüstü akış modülünü bir DLP ilkesinin varsayılan veriler grubuna ekler.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Masaüstü akışlarını devre dışı bırakmak için PowerShell betiği

Masaüstü akışları için DLP özelliğini kullanmak istemiyorsanız, aşağıdaki PowerShell betiğini kullanarak geri çevirebilirsiniz.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

İlke etkinleştirildikten sonra

Kullanıcılarınız en son masaüstü için Power Automate'e sahip değilse DLP ilkesi uygulaması sınırlıdır. Kullanıcılar, masaüstü akışları için çalıştırmayı, hata ayıklamayı ve DLP ilkelerini ihlal eden masaüstü akışlarını kaydetmeyi denediklerinde, tasarım zamanı hata iletilerini görmezler. Arka plan işleri ortamdaki masaüstü akışlarını düzenli olarak tarar ve DLP ilkelerini ihlal eden bu masaüstü akışlarını otomatik olarak askıya alır. Masaüstü akışı herhangi bir veri kaybı önleme ilkesini ihlal ederse kullanıcılar bir bulut akışından masaüstü akışları çalıştıramaz.

Masaüstü için en son Power Automate'e sahip olan oluşturucular, DLP politikasını ihlal eden masaüstü akışlarında hata ayıklayamaz, akışları çalıştıramaz veya kaydedemezler. Ayrıca, bulut akışı adımından DLP ilkesini ihlal eden bir masaüstü akışı seçemezler.

DLP yaptırımı ve askıya alma

Bir akış oluşturduğunuzda veya düzenlediğinizde, Power Automate, akışı geçerli DLP ilkeleri kümesine göre değerlendirir. Uygulama zaman uyumsuzdur ve 24 saat içinde gerçekleşir.

Bir DLP ilkesi oluşturduğunuzda veya değiştirdiğinizde, bir arka plan işi ortamdaki tüm etkin akışları tarar, değerlendirir ve ardından ilkeyi ihlal eden akışları askıya alır. Uygulama zaman uyumsuzdur ve 24 saat içinde gerçekleşir. Önceki DLP ilkesi değerlendirilirken DLP ilkesi değişirse, en son ilkelerin uygulanıp uygulanmamasını sağlamak amacıyla değerlendirme tekrar başlar.

Haftalık olarak, bir arka plan işi, DLP ilkesi denetiminin kaçırılmadığını doğrulamak için DLP ilkelerine göre ortamdaki tüm etkin akışların tutarlılık denetimini yapar.

DLP yeniden etkinleştirme

DLP uygulama arka plan işi artık herhangi bir DLP ilkesini ihlal etmeyen bir masaüstü akışı bulursa, arka plan işi otomatik olarak askıya almayı kaldırır. Ancak, DLP uygulama arka plan işi otomatik olarak bulut akışlarını askıya alma durumunu kaldırmaz.

DLP zorlama değişiklik işlemi

Yeni DLP yetenekleri veya hata düzeltmeleri dağıtıldığından veya bir uygulama açığı doldurulduğundan, DLP uygulamasının düzenli olarak değiştirilmesi gerekmektedir. Değişikliklerin mevcut akışları etkileyebileceği durumlarda, aşağıdaki aşamalı DLP zorlama değişiklik yönetimi işlemi kullanılır:

  1. Araştırma: DLP zorlama değişikliği ihtiyacını onaylayın ve değişikliğin özelliklerini araştırın.

  2. Öğrenme: Değişikliği uygulayın ve değişikliğin etkilerinin genişliği hakkında veri toplayın. Değişikliğin kapsamını açıklamak için DLP uygulama değişikliklerini belgeleyin. Veriler, müşterilerin büyük ölçüde etkileneceğini öne sürüyorsa, bu müşterilere bir değişikliğin yaklaştığını haber vermek için bir iletişim gönderilebilir. Değişikliğin mevcut akışlar üzerinde geniş bir etkisi varsa, öğrenme aşamasında sonraki bir aşamada, arka plan DLP uygulama işi var olan bir akışta bir ihlal bulursa Power Automate, akış sahiplerine akışın askıya alınacağını bildirir böylece yanıt vermek için daha fazla zamanları olur.

  3. Yalnızca bildirim: Mevcut akış sahiplerinin yaklaşan DLP uygulama değişiklikleri hakkında bildirilmesi için yalnızca DLP ihlalleri için e-posta bildirimlerini açın. Arka planda DLP zorlama işi, mevcut bir akışta bir ihlal bulduğunda akışın askıya alınacağını akış sahiplerine bildirin. Bu mekanizma haftalık olarak çalışır.

  4. Tasarım zamanı zorlaması: Mevcut akış sahiplerinin yaklaşan DLP zorlama değişikliği hakkında bilgilendirilmeleri ancak değiştirilen tüm akışların tasarım zamanında tam bir DLP ilkesi değerlendirmesi alması için DLP ihlallerinin tasarım zamanı zorlamasını açın. Ayrıca geçici yaptırım olarak bilinir.

    • Tasarım zamanı: Akış güncelleştirilip kaydedildiğinde güncelleştirilmiş DLP zorlamayı kullanın ve gerekirse askıya alın, böylece oluşturucu uygulamadan haberdar olur.

    • Arka plan işlemi: Arka plan DLP uygulama işi bir akışta ihlal bulursa, akışın askıya alınacağını akış sahiplerine bildirin. Bu mekanizma, DLP ilkesi ve tutarlılık denetimlerini oluşturmayı veya yapılan değişiklikleri içerir.

  5. Tam zorlama: DLP ihlallerinin tam zorlamasını açın, böylece DLP ilkeleri tüm mevcut ve yeni akışlarda tam olarak zorlanır. DLP zorlama arka plan işi değerlendirmesi sırasında akışlar kaydedildiğinde DLP ilkeleri tam olarak zorlanır. Ayrıca kalıcı yaptırım olarak bilinir.

DLP zorlama değişiklik listesi

Aşağıdaki tabloda DLP uygulama değişikliklerinin listesi ve bu değişikliklerin geçerli olduğu tarih verilmektedir.

Date Veri Akışı Açıklaması Değişiklik nedeni Aşama Tasarım zamanı uygulama kullanılabilirliği* Tam uygulama kullanılabilirliği*
Mayıs 2022 Temsilci yetkilendirme arka planı iş zorlaması DLP ilkeleri, arka plan iş değerlendirmesi sırasında değil, akış kaydedilirken temsilcili yetkilendirme kullanan akışlarda uygulanır. Tam 2 Haziran 2022 21 Temmuz 2022
Mayıs 2022 apiConnection iste tetikleyicisi zorlaması DLP ilkeleri bazı Tetikleyiciler için düzgün olarak zorlanmadı. Etkilenen tetikleyiciler şunlara sahiptir: type=Request ve kind=apiConnection. Etkilenen tetikleyicilerin çoğu, anlık veya el ile tetiklenen akışlarda kullanılan anlık tetikleyicilerdir. Etkilenen tetikleyiciler aşağıdakileri içerir.
- Power BI: Power BI düğmesi tıklandı
- Teams: Oluştur kutusundan (V2)
- OneDrive İş: Seçili bir dosya için
- Dataverse: Bir iş süreci akışından bir akış adımı çalıştırıldığında
- Dataverse (eski): Bir kayıt seçildiğinde
- Excel Online (İş): Seçili satır için
- SharePoint: Seçili bir öğe için
- Microsoft Copilot Studio: Copilot Studio bir akış çağırdığında (V2)		 Tam 2 Haziran 2022 25 Ağustos 2022
Temmuz 2022 Alt akışlarda DLP ilkelerini zorla Alt akışları eklemek için DLP ilkelerinin zorunlu tutulmasını etkinleştirin. Akış ağacının herhangi bir yerinde bir ihlal bulunursa üst akış askıya alınır. İhlalin ortadan kaldırılması için alt akış düzenlenip kaydedildikten sonra DLP ilkesi değerlendirmesini tekrar çalıştırmak için üst akışlar, yeniden kaydedilip tekrar etkinleştirilebilir. HTTP bağlayıcısı engellendiğinde alt akışların artık engellenmeyeceği bir değişiklik, alt akışlarda DLP ilkelerinin tam zorlamasıyla birlikte kullanıma sunulacaktır. Tam zorlama kullanılabilir olduğunda zorlama, alt masaüstü akışlarını içerecektir. Tam 14 Şubat 2023 Mart 2023
Ocak 2023 Alt masaüstü akışlarında DLP ilkelerini zorla Alt masaüstü akışlarını eklemek için DLP ilkelerinin zorunlu tutulmasını etkinleştirin. Akış ağacının herhangi bir yerinde bir ihlal bulunursa masaüstü üst akışı askıya alınır. İhlali kaldırmak için alt masaüstü akışı düzenlenip kaydedildikten sonra üst masaüstü akışları otomatik olarak yeniden etkinleştirilir. Öğrenme - Ağustos 2023

*Kullanılabilirlik zamanlaması değiştirilebilir ve dağıtıma bağlıdır.

DLP ihlali için akış askıya alma

Askıya alınan akışlar Power Automate maker portalda ve Power Platform yönetim merkezinde askıya alındı olarak gösterilir. Bir akış API, PowerShell veya "Yönetici eylemi olarak" Power Automate Yönetim bağlayıcı listesi akışları aracılığıyla döndürülürse akış Durum=Askıya alındı, FlowSuspensionReason=CompanyDlpViolation ve akışın ne zaman askıya alındığını belirten FlowSuspensionTime değerine sahip olur.

Bilinen sınırlamalar

DLP bilinen sorunları hakkında bilgi edinin.

Ayrıca bkz.

Ortamlar hakkında daha fazla bilgi edinin
Power Automate hakkında daha fazla bilgi edinin
Yönetim merkezi hakkında daha fazla bilgi edinin