Поділитися через

Створення політики для запобігання втраті даних

  • Стаття

Дані організації мають вирішальне значення для її успішної діяльності. Його дані мають бути легкодоступними для прийняття рішень, але в той же час захищеними, щоб вони не передавалися аудиторії, яка не повинна мати до них доступу. Щоб захистити ваші бізнес-дані, Power Automate дає вам можливість створювати та застосовувати політики, які визначають, які з’єднувачі можуть отримувати доступ до них і ділитися ними. Політики, які визначають, як можна обмінюватися даними, називаються політиками запобігання втраті даних (DLP).

Адміністратори контролюють DLP-політики. Якщо DLP-політика блокує запуск ланцюжків, зверніться до адміністратора.

Дізнайтеся більше про захист даних за допомогою політики захисту від втрати даних.

Захист від втрати даних для настільних потоків

Power Automate дозволяє створювати та застосовувати політики DLP, які класифікують настільний цикл модулі та окремі дії модулів як Бізнесові, Некомерційні або Заблоковані. Ця категоризація не дозволяє виробникам об’єднувати модулі та дії з різних категорій у настільний цикл або між хмарний цикл та потоками робочого столу, які він використовує.

Важливо

  • Примусове виконання DLP-політик доступне лише для Керовані середовища . Починаючи з вересня 2024 року, політики DLP оцінюватимуться лише потоками робочого столу, які розташовані в Керовані середовища.
  • DLP для десктопних потоків доступний для версій для робочого столу Power Automate 2.14.173.21294 або новіших. Якщо ви використовуєте попередню версію, видаліть її та оновіть до останньої версії.

Перегляд настільний цикл груп дій

За промовчанням настільний цикл групи дій не відображаються під час створення політики DLP. Потрібно ввімкнути параметр Показувати настільний цикл дії в політиках DLP у налаштуваннях клієнта.

Якщо ви вибрали загальнодоступна підготовча версія, настільний цикл дії в налаштуваннях DLP вже ввімкнено, і їх не можна змінити.

  1. Увійдіть у центр адміністрування Power Platform.

  2. У лівій бічній панелі виберіть Параметри.

  3. На сторінці Налаштування клієнта виберіть настільний цикл дії в DLP.

  4. Увімкніть параметр Відображати настільний цикл дії в політиках DLP, а потім натисніть кнопку Зберегти.

    Скріншот налаштування DLP для десктопних потоків в адмін центрі Power Platform .

Тепер під час створення політики даних можна класифікувати настільний цикл групи дій.

Створіть DLP-політику з обмеженнями настільний цикл

Коли адміністратори редагують або створюють політику, настільний цикл групи дій додаються до групи за умовчанням, а політика застосовується після збереження. Дію політики буде призупинено, якщо для групи за замовчуванням встановлено значення Заблоковано , а потоки робочого столу запущено в цільових середовищах.

Ви можете керувати своїми DLP-політиками для потоків робочого столу так само, як ви керуєте хмарний цикл з’єднувачами та діями. настільний цикл модулі є групами подібних дій, які показано у Power Automate інтерфейсі користувача для робочого столу. Модуль схожий на конектори, які використовуються в хмарних потоках. Ви можете визначити політику DLP, яка керуватиме як настільний цикл модулями, так і хмарний цикл конекторами. Деякими базовими модулями, такими як змінні, не можна керувати в рамках політики DLP, оскільки майже всі потоки робочого столу повинні їх використовувати. Дізнайтеся більше про основи політики DLP і про те, як їх створювати.

Коли клієнт увімкнув взаємодію з користувачем у розділі Power Platform, адміністратори автоматично бачитимуть нові модулі настільний цикл у групі даних за замовчуванням політики DLP, яку вони створюють або оновлюють.

Скріншот DLP-політики, що розробляється в адмін-центрі Power Platform .

Попередження

Коли настільний цикл модулі додаються до політик DLP, потоки робочого столу клієнта оцінюються відповідно до них і призупиняються, якщо вони не відповідають вимогам. Якщо адміністратор створює або оновлює політику DLP, не помічаючи нових модулів, потоки робочого столу можуть бути несподівано припинені.

Керування потоками робочого столу за межами DLP

Детальний контроль за використанням потоків робочого столу на всіх комп’ютерах, як описано в попередніх розділах, застосовується лише до Керовані середовища. У вас є інші варіанти керування потоками робочого столу.

  • Можливість керувати оркеструванням настільний цикл: З’єднувачем настільний цикл можна керувати у ваших політиках, як і будь-яким іншим з’єднувачем у будь-якому середовищі.

  • Можливість керувати використанням для Power Automate стільниці: Ви можете керувати Power Automate потоками стільниці за допомогою GPO. Це керування дає змогу вмикати або вимикати потоки робочого стола для таких дій, як обмеження певним середовищем або регіонами, обмеження використання типів облікових записів і обмеження ручних оновлень.

Дізнайтеся більше про державне управління в. Power Automate

настільний цикл модулі в DLP

У DLP доступні такі модулі настільний цикл:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation браузерна автоматизація
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Буфер обміну
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Криптографія Криптографія
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Електронна пошта
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File файл
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMКогнітивний IBM когнітивний
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Повідомлення
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Миша та клавіатура
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Запуск потоку
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Емуляція терміналу
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Підтримка PowerShell для настільний цикл модулів

Якщо ви не хочете вмикати параметр Відображати настільний цикл дії в політиках DLP, ви можете скористатися наведеним нижче сценарієм PowerShell, щоб додати всі модулі настільний цикл до групи Заблоковані політики DLP. Якщо ви вже ввімкнули цей параметр, використовувати цей сценарій не потрібно.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Наведений нижче сценарій PowerShell додає два конкретні модулі настільний цикл до групи даних політики DLP за замовчуванням.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Сценарій PowerShell для відмови від потоків робочого столу

Якщо ви не хочете використовувати функцію DLP для потоків робочого столу, ви можете скористатися наведеним нижче сценарієм PowerShell, щоб відмовитися від неї.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Після ввімкнення політики

Якщо у ваших користувачів немає останньої версії Power Automate для настільних комп’ютерів, застосування політики DLP обмежене. Вони не бачать повідомлень про помилки під час розробки, коли намагаються запустити, налагодити або зберегти потоки робочого стола, які порушують політику DLP. Фонові завдання періодично сканують потоки робочого столу в середовищі та автоматично призупиняють будь-які з них, які порушують політики DLP. Користувачі не можуть запускати потоки робочого столу з хмарний цикл, якщо настільний цикл порушує будь-яку політику запобігання втраті даних.

Розробники, які мають найновіші Power Automate версії для настільних комп’ютерів, не можуть налагоджувати, запускати або зберігати потоки робочого столу, які порушують політику DLP. Вони також не можуть вибрати настільний цикл, який порушує політику DLP, з хмарний цикл крок.

Застосування та призупинення дії DLP

  1. Коли ви створюєте або редагуєте ланцюжок,оцінює Power Automate його за поточним набором DLP-політик.
    1. Примусове виконання потоків без дочірній цикл, а це 99% потоків, є синхронним і відбувається в режимі реального часу.
    2. Примусове виконання потоку з дочірній цикл є асинхронним, оскільки потоки дочірній елемент також потрібно оцінювати, і відбувається протягом 24 годин.
  2. Коли ви створюєте або змінюєте політику DLP, фонове завдання сканує всі активні потоки в середовищі, оцінює їх, а потім призупиняє потоки, які порушують політику. Примусове виконання є асинхронним і відбувається протягом 24 годин. Якщо під час оцінювання попередньої політики DLP відбувається зміна політики DLP, оцінювання починається заново, щоб переконатися, що найновіші політики застосовано.
  3. Щотижня фонова робота перевіряє узгодженість усіх активних потоків у середовищі з політиками DLP, щоб підтвердити, що перевірка політики DLP не була пропущена.

Повторна активація DLP

Якщо фонове завдання DLP знаходить настільний цикл, який більше не порушує жодних правил DLP, фонове завдання автоматично видаляє призупинення. Однак фонове завдання примусового виконання DLP не призводить до автоматичного призупинення хмарних потоків.

Процес зміни примусу DLP

Періодично застосування DLP має змінюватися, оскільки впроваджуються нові можливості DLP або виправлення помилок, або заповнюється прогалина у застосуванні. Якщо зміни можуть вплинути на наявні потоки, застосовуйте наступний поетапний процес керування змінами DLP:

  1. Розслідування: Підтвердьте необхідність зміни примусового застосування DLP і з’ясуйте особливості зміни.

  2. Навчання: Впроваджуйте зміни та збирайте дані про широту наслідків змін. Задокументуйте зміни у застосуванні DLP, щоб пояснити обсяг змін. Якщо дані свідчать про те, що це сильно вплине на клієнтів, то цим клієнтам може бути надіслано повідомлення, щоб повідомити про наближення змін. Якщо зміна має широкий вплив на існуючі потоки, то на більш пізньому етапі навчання, коли фонова робота з примусового виконання DLP виявляє порушення в існуючому потоці, Power Automate повідомляє власників потоку про те, що потік буде призупинено, щоб у них було більше часу для відповіді.

  3. Лише сповіщення: увімкніть сповіщення електронною поштою лише про порушення DLP, щоб власники наявних ланцюжків отримували сповіщення про майбутні зміни у застосуванні DLP. Коли фонове завдання з примусового виконання DLP виявить порушення в існуючому потоці, повідомте власників ланцюжка про те, що ланцюжок буде призупинено. Цей механізм працює щотижня.

  4. Примусове виконання під час проектування: увімкніть примусове застосування правил DLP під час проектування, щоб власники наявних ланцюжків отримували сповіщення про майбутні зміни в застосуванні DLP, але всі змінені потоки отримували повну оцінку політики DLP під час проектування. Це також відоме як м’яке правозастосування.

    • Design-time: Коли ланцюжок оновлюється та зберігається, використовуйте оновлений примус DLP і призупиняйте потік, якщо це необхідно, щоб мейкер негайно знав про примусове виконання.

    • Фоновий процес: Коли фонове завдання з примусового виконання DLP виявляє порушення в ланцюжку, повідомте власників ланцюжка про те, що ланцюжок буде призупинено. Цей механізм включає в себе створення або зміну політики DLP і перевірку узгодженості.

  5. Повне правозастосування: увімкніть повне примусове виконання порушень DLP, щоб політики DLP повністю застосовувалися до всіх наявних і нових потоків. Політики DLP повністю застосовуються, коли потоки зберігаються під час фонової оцінки завдань із застосування DLP. Це також відоме як жорстке примусове виконання.

Список змін у застосуванні DLP

У наведеній нижче таблиці перелічено зміни у застосуванні DLP та дату набуття ними чинності.

датою Опис Причина змін Етап Доступність правозастосування під час проектування* Повна доступність правозастосування*
Травень 2022 Делегована авторизація, фонове примусове виконання завдань Політики DLP застосовуються до потоків, які використовують делеговану авторизацію під час збереження потоку, але не під час фонової оцінки завдань. Повний 2 червня 2022 року 21 липня 2022 року
Травень 2022 Надіслати запит на примусове виконання тригера apiConnection Правила DLP не застосовувалися належним чином для деяких тригерів. Відповідні тригери: type =Request і kind=apiConnection. Багато з порушених тригерів є миттєвими тригерами, які використовуються в миттєвих або ручних потоках. До тригерів, яких це стосується, належать такі.
- Power BI: Power BI кнопку натиснуто
- Команди: З поля написання (V2)
- OneDrive для бізнесу: для вибраного файлу
- Dataverse: коли крок потоку запускається з потік бізнес-процесу
- Dataverse (legacy): якщо вибрано запис
- Excel Online (Business): для вибраного рядка
- SharePoint: для вибраного елемента
- Microsoft Copilot Studio: Коли Copilot Studio викликає потік (V2)		 Повний 2 червня 2022 року 25 серпня 2022 р.
Липень 2022 Застосовуйте політики DLP для дочірній елемент потоків Увімкніть застосування політик DLP, щоб вони включали дочірній елемент потоки. При виявленні порушення в будь-якому місці дерева потоку батьківський цикл призупиняється. Після того, як дочірній цикл буде відредаговано та збережено, щоб усунути порушення, потоки батьківський елемент можна повторно зберегти або повторно активувати, щоб знову запустити оцінку політики DLP. Зміна, яка більше не блокує дочірній елемент потоки, коли HTTP-з’єднувач заблоковано, буде розгорнута разом із повним застосуванням політик DLP для дочірній елемент потоків. Коли стане доступним повне правозастосування, воно включатиме дочірній елемент потоки робочого столу. Повний Лютий 14, 2023 Березень 2023 року
Січень 2023 р. Застосування політик DLP до дочірній елемент настільних потоків Увімкніть застосування політик DLP, щоб включити дочірній елемент потоки робочого столу. Якщо порушення виявлено в будь-якому місці дерева потоку, батьківський цикл робочого столу призупиняється. Після того, як дочірній елемент настільний цикл буде відредаговано та збережено для усунення порушення, потоки батьківський елемент робочого столу автоматично активуються знову. Повний - Серпень 2023

* Розклад доступності може змінюватися та залежить від розгортання.

Призупинення потоку при порушенні DLP

Призупинені потоки відображаються як призупинені на Power Automate порталі виробника та в Power Platform центрі адміністрування. Коли потік повертається через дію API, PowerShell або Power Automate список потоків Management connectors «від імені адміністратора», потік має State=Suspended,FlowSuspensionReason=CompanyDlpViolation і значення FlowSuspensionTime , що вказує на те, коли потік було призупинено.

Відомі обмеження

Дізнайтеся про відомі проблеми з DLP.

Див. також

Докладніше про середовища
Дізнайтеся більше про Power Automate
Докладніше про Центр адміністрування