Tạo chính sách ngăn mất dữ liệu (DLP)
Dữ liệu của tổ chức có ý nghĩa rất quan trọng cho sự thành công của tổ chức đó. Dữ liệu cần phải sẵn sàng để đưa ra quyết định, nhưng đồng thời, dữ liệu cần được bảo vệ để không bị chia sẻ với những đối tượng không được phép truy cập vào dữ liệu đó. Để bảo vệ dữ liệu doanh nghiệp của bạn, Power Automate cung cấp cho bạn khả năng tạo và thực thi các chính sách xác định trình kết nối nào có thể truy cập và chia sẻ dữ liệu đó. Các chính sách xác định cách chia sẻ dữ liệu được gọi là chính sách ngăn ngừa mất dữ liệu (DLP).
Người quản trị kiểm soát chính sách DLP. Nếu chính sách DLP đang chặn luồng dữ liệu của bạn chạy, hãy liên hệ với quản trị viên.
Power Automate cho phép bạn tạo và thực thi các chính sách DLP phân loại các mô-đun dòng màn hình nền và các hành động mô-đun riêng lẻ thành Doanh nghiệp, Không phải doanh nghiệp hoặc Bị chặn. Phân loại này ngăn cản người tạo kết hợp các mô-đun và hành động từ các danh mục khác nhau thành dòng màn hình nền hoặc giữa dòng đám mây và luồng máy tính để bàn mà nó sử dụng.
Quan trọng
- Việc thực thi chính sách DLP chỉ khả dụng cho Môi trường được quản lý . Bắt đầu từ tháng 1 năm 2025, chỉ những luồng máy tính để bàn nằm trong Môi trường được quản lý mới được chính sách DLP đánh giá.
- DLP cho luồng máy tính để bàn có sẵn cho các phiên bản Power Automate dành cho máy tính để bàn 2.14.173.21294 trở lên. Nếu bạn đang sử dụng phiên bản cũ hơn, hãy gỡ cài đặt và cập nhật lên phiên bản mới nhất.
Theo mặc định, nhóm hành động dòng màn hình nền không xuất hiện khi bạn tạo chính sách DLP. Bạn cần bật cài đặt Hiển thị hành động dòng màn hình nền trong chính sách DLP trong cài đặt đối tượng thuê của bạn.
Nếu bạn chọn bản xem trước công khai, thì các hành động dòng màn hình nền trong cài đặt DLP đã được bật và không thể thay đổi.
Đăng nhập vào Trung tâm quản trị Power Platform.
Ở bảng bên trái, chọn Cài đặt.
Trên trang Cài đặt người thuê , hãy chọn dòng màn hình nền hành động trong DLP.
Bật Hiển thị hành động dòng màn hình nền trong chính sách DLP, sau đó chọn Lưu.
Bây giờ bạn có thể phân loại nhóm hành động dòng màn hình nền khi tạo chính sách dữ liệu.
Khi quản trị viên chỉnh sửa hoặc tạo chính sách, nhóm hành động dòng màn hình nền sẽ được thêm vào nhóm mặc định và chính sách sẽ được áp dụng sau khi được lưu. Chính sách sẽ bị tạm dừng nếu nhóm mặc định được đặt thành Bị chặn và luồng máy tính để bàn đang chạy trong môi trường đích.
Bạn có thể quản lý chính sách DLP cho luồng máy tính để bàn theo cùng cách bạn quản lý các kết nối và hành động dòng đám mây. Các mô-đun dòng màn hình nền là các nhóm hành động tương tự như được hiển thị trong Power Automate giao diện người dùng trên máy tính để bàn. Mô-đun tương tự như các đầu nối được sử dụng trong luồng dữ liệu đám mây. Bạn có thể xác định chính sách DLP quản lý cả mô-đun dòng màn hình nền và trình kết nối dòng đám mây. Một số mô-đun cơ bản, chẳng hạn như Biến, không thể được quản lý trong phạm vi chính sách DLP vì hầu hết mọi luồng máy tính để bàn đều cần sử dụng chúng. Tìm hiểu thêm về những nguyên tắc cơ bản của chính sách DLP và cách tạo ra chúng.
Khi người thuê của bạn chọn tham gia trải nghiệm người dùng trong Power Platform, quản trị viên của bạn sẽ tự động thấy các mô-đun dòng màn hình nền mới trong nhóm dữ liệu mặc định của chính sách DLP mà họ đang tạo hoặc cập nhật.
Cảnh báo
Khi các mô-đun dòng màn hình nền được thêm vào chính sách DLP, luồng máy tính để bàn của đối tượng thuê của bạn sẽ được đánh giá dựa trên các mô-đun này và sẽ bị tạm dừng nếu không tuân thủ. Nếu quản trị viên của bạn tạo hoặc cập nhật chính sách DLP mà không nhận thấy các mô-đun mới, luồng máy tính để bàn có thể bị tạm dừng đột ngột.
Kiểm soát chi tiết việc sử dụng luồng máy tính để bàn trên tất cả các máy như mô tả trong các phần trước chỉ áp dụng cho Môi trường được quản lý. Bạn có những lựa chọn khác để quản lý luồng dữ liệu trên máy tính để bàn.
Khả năng quản lý quá trình phối hợp dòng màn hình nền: Trình kết nối dòng màn hình nền có thể được quản lý trong chính sách của bạn giống như bất kỳ trình kết nối nào khác trong mọi môi trường.
Khả năng quản lý việc sử dụng Power Automate cho máy tính để bàn: Bạn có thể quản lý Power Automate cho các luồng máy tính để bàn thông qua các đối tượng Chính sách nhóm (GPO). Quản trị này cho phép bạn bật hoặc tắt luồng máy tính để bàn cho các hành động như giới hạn trong một nhóm môi trường hoặc khu vực, hạn chế sử dụng loại tài khoản và hạn chế cập nhật thủ công.
Tìm hiểu thêm về quản trị trong Power Automate.
Các mô-đun dòng màn hình nền sau đây có sẵn trong DLP:
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Tự động hóa trình duyệt
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Phiên CMD
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Nén
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Mật mã
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Cơ sở dữ liệu
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Trao đổi
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Tệp
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Thư mục
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google nhận thức
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Hiển thị hộp tin nhắn
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft nhận thức
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Chuột và bàn phím
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Biến bí mật
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Chạy luồng
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Viết kịch bản
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Hệ thống
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Giả lập thiết bị đầu cuối
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Tự động hóa giao diện người dùng
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Dịch vụ Windows
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Máy trạm
- Nhà cung cấp/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Nếu bạn không muốn bật cài đặt Hiển thị hành động dòng màn hình nền trong chính sách DLP , bạn có thể sử dụng tập lệnh PowerShell sau để thêm tất cả các mô-đun dòng màn hình nền vào nhóm Bị chặn của chính sách DLP. Nếu bạn đã bật cài đặt này, bạn không cần phải sử dụng tập lệnh này.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Tập lệnh PowerShell sau đây thêm hai mô-đun dòng màn hình nền cụ thể vào nhóm dữ liệu mặc định của chính sách DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Nếu bạn không muốn sử dụng tính năng DLP cho luồng máy tính để bàn, bạn có thể sử dụng tập lệnh PowerShell sau để từ chối.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Nếu người dùng của bạn không có phiên bản Power Automate dành cho máy tính để bàn mới nhất, việc thực thi chính sách DLP sẽ bị hạn chế. Họ không thấy thông báo lỗi khi thiết kế khi họ cố gắng chạy, gỡ lỗi hoặc lưu các luồng máy tính để bàn vi phạm chính sách DLP. Các tác vụ nền sẽ quét định kỳ các luồng máy tính để bàn trong môi trường và tự động tạm dừng bất kỳ luồng nào vi phạm chính sách DLP. Người dùng không thể chạy luồng máy tính để bàn từ dòng đám mây nếu dòng màn hình nền vi phạm bất kỳ chính sách ngăn ngừa mất dữ liệu nào.
Những nhà sản xuất có phiên bản Power Automate dành cho máy tính để bàn mới nhất không thể gỡ lỗi, chạy hoặc lưu các luồng máy tính để bàn vi phạm chính sách DLP. Họ cũng không thể chọn dòng màn hình nền vi phạm chính sách DLP từ dòng đám mây bước.
- Khi bạn tạo hoặc chỉnh sửa một luồng, Power Automate sẽ đánh giá luồng đó so với bộ chính sách DLP hiện tại.
- Việc thực thi các luồng không có dòng phụ, chiếm 99% các luồng, diễn ra đồng bộ và theo thời gian thực.
- Việc thực thi luồng với dòng phụ là không đồng bộ vì các luồng con cũng cần được đánh giá và diễn ra trong vòng 24 giờ.
- Khi bạn tạo hoặc thay đổi chính sách DLP, tác vụ nền sẽ quét tất cả các luồng đang hoạt động trong môi trường, đánh giá chúng và sau đó tạm dừng các luồng vi phạm chính sách. Việc thực thi không đồng bộ và diễn ra trong vòng 24 giờ. Nếu chính sách DLP thay đổi khi chính sách DLP trước đó đang được đánh giá, thì quá trình đánh giá sẽ khởi động lại để đảm bảo các chính sách mới nhất được thực thi.
- Hàng tuần, một tác vụ nền sẽ thực hiện kiểm tra tính nhất quán của tất cả các luồng đang hoạt động trong môi trường so với chính sách DLP để xác nhận rằng không bỏ sót bất kỳ kiểm tra chính sách DLP nào.
Nếu công việc nền thực thi DLP tìm thấy dòng màn hình nền không còn vi phạm bất kỳ chính sách DLP nào nữa thì công việc nền sẽ tự động xóa lệnh đình chỉ. Tuy nhiên, tác vụ nền thực thi DLP không tự động hủy tạm dừng luồng dữ liệu đám mây.
Định kỳ, việc thực thi DLP cần phải thay đổi khi các khả năng DLP mới hoặc bản sửa lỗi được triển khai hoặc khi một khoảng cách thực thi được lấp đầy. Khi những thay đổi có thể ảnh hưởng đến các luồng hiện có, hãy áp dụng quy trình quản lý thay đổi thực thi DLP theo từng giai đoạn sau:
Đang điều tra :Xác nhận nhu cầu thay đổi thực thi DLP và điều tra chi tiết về thay đổi.
Học hỏi : Thực hiện thay đổi và thu thập dữ liệu về phạm vi tác động của thay đổi. Ghi lại những thay đổi trong việc thực thi DLP để giải thích phạm vi của thay đổi. Nếu dữ liệu cho thấy khách hàng sẽ bị ảnh hưởng lớn, thì có thể gửi thông báo tới những khách hàng đó để cho họ biết rằng sắp có sự thay đổi. Nếu thay đổi có tác động rộng rãi đến các luồng hiện có, thì ở giai đoạn sau của giai đoạn học, khi công việc thực thi DLP nền phát hiện ra vi phạm trong luồng hiện có, Power Automate thông báo cho chủ sở hữu luồng rằng luồng sẽ bị tạm dừng để họ có thêm thời gian phản hồi.
Chỉ thông báo : Chỉ bật thông báo qua email đối với các vi phạm DLP để chủ sở hữu các luồng hiện tại được thông báo về thay đổi sắp tới trong việc thực thi DLP. Khi công việc thực thi DLP nền phát hiện ra vi phạm trong luồng hiện có, hãy thông báo cho chủ sở hữu luồng rằng luồng sẽ bị tạm dừng. Cơ chế này hoạt động hàng tuần.
Thực thi thời gian thiết kế : Bật chế độ thực thi DLP tại thời điểm thiết kế để chủ sở hữu các luồng hiện tại được thông báo về thay đổi sắp tới về chế độ thực thi DLP, nhưng bất kỳ luồng nào bị thay đổi đều được đánh giá chính sách DLP đầy đủ tại thời điểm thiết kế. Điều này cũng được gọi là thực thi mềm dẻo.
Thời gian thiết kế : Khi luồng được cập nhật và lưu, hãy sử dụng tính năng thực thi DLP đã cập nhật và tạm dừng luồng nếu cần để người tạo luồng biết ngay về tính năng thực thi.
Quá trình nền tảng : Khi công việc thực thi DLP nền phát hiện ra vi phạm trong một luồng, hãy thông báo cho chủ sở hữu luồng rằng luồng đó sẽ bị tạm dừng. Cơ chế này bao gồm việc tạo hoặc thay đổi chính sách DLP và kiểm tra tính nhất quán.
Thực thi đầy đủ: Bật chế độ thực thi đầy đủ các vi phạm DLP để các chính sách DLP được thực thi đầy đủ trên tất cả các luồng hiện có và mới. Chính sách DLP được thực thi đầy đủ khi các luồng được lưu trong quá trình đánh giá công việc nền thực thi DLP. Điều này cũng được gọi là thực thi cứng rắn.
Bảng sau đây liệt kê những thay đổi trong việc thực thi DLP và ngày những thay đổi đó có hiệu lực.
Ngày | Description | Lý do thay đổi | Trạng thái | Khả năng thực thi thời gian thiết kế* | Khả năng thực thi đầy đủ* |
---|---|---|---|---|---|
Tháng 5 năm 2022 | Ủy quyền ủy quyền nền tảng công việc thực thi | Chính sách DLP được áp dụng cho các luồng sử dụng quyền được ủy quyền trong khi luồng đang được lưu, nhưng không áp dụng trong quá trình đánh giá công việc nền. | Đầy đủ | Ngày 2 tháng 6 năm 2022 | Ngày 21 tháng 7 năm 2022 |
Tháng 5 năm 2022 | Yêu cầu thực thi kích hoạt apiConnection | Chính sách DLP không được thực thi đúng đối với một số tác nhân kích hoạt. Các kích hoạt bị ảnh hưởng có type=Request và kind=apiConnection. Nhiều kích hoạt bị ảnh hưởng là kích hoạt tức thời, được sử dụng trong các luồng tức thời hoặc được kích hoạt thủ công. Các tác nhân gây ảnh hưởng bao gồm: - Power BI: Power BI nút đã được nhấp - Các đội: Từ hộp soạn thảo (V2) - OneDrive cho Doanh nghiệp: Đối với một tập tin đã chọn - Dataverse: Khi luồng bước được chạy từ dòng quy trình công việc - Dataverse (cũ): Khi một bản ghi được chọn - Excel Online (Doanh nghiệp): Đối với một hàng đã chọn - SharePoint: Đối với một mục đã chọn - Microsoft Copilot Studio: Khi Copilot Studio gọi một luồng (V2) |
Đầy đủ | Ngày 2 tháng 6 năm 2022 | Ngày 25 tháng 8 năm 2022 |
Tháng 7 năm 2022 | Thực thi chính sách DLP trên luồng con | Cho phép thực thi chính sách DLP để bao gồm các luồng con. Nếu phát hiện vi phạm ở bất kỳ đâu trong cây luồng, dòng chính sẽ bị tạm dừng. Sau khi dòng phụ được chỉnh sửa và lưu để xóa vi phạm, luồng phần tử cha có thể được lưu lại hoặc kích hoạt lại để chạy lại đánh giá chính sách DLP. Thay đổi không còn chặn luồng con khi trình kết nối HTTP bị chặn sẽ được triển khai cùng với việc thực thi đầy đủ các chính sách DLP trên luồng con. Khi khả năng thực thi đầy đủ có hiệu lực, khả năng thực thi sẽ bao gồm cả luồng máy tính để bàn con. | Đầy đủ | Tháng 14 năm 2023 | Tháng 3/2023 |
Tháng 1 năm 2023 | Thực thi chính sách DLP trên luồng máy tính để bàn con | Cho phép thực thi chính sách DLP để bao gồm luồng máy tính để bàn con. Nếu phát hiện vi phạm ở bất kỳ đâu trong cây luồng, máy tính để bàn dòng chính sẽ bị tạm dừng. Sau khi con dòng màn hình nền được chỉnh sửa và lưu để xóa vi phạm, luồng máy tính để bàn phần tử cha sẽ tự động được kích hoạt lại. | Đầy đủ | - | Tháng 8/2023 |
Tháng 10 năm 2024 | Thực thi kiểm soát hành động kết nối trên các kích hoạt và hành động nội bộ | Mở rộng việc thực thi kiểm soát hành động của đầu nối để đảm bảo rằng các kích hoạt và hành động nội bộ được bao phủ. Liệt kê chúng trong Power Platform trung tâm quản trị và thực thi lệnh chặn nếu chúng được tham chiếu riêng lẻ trong chính sách DLP hoặc nếu chính sách DLP không bao gồm chúng theo quy định. | Học tập | Tháng 1 năm 2025 | Tháng 2 năm 2025 |
*Lịch trình cung cấp có thể thay đổi và tùy thuộc vào thời điểm triển khai.
Các luồng bị treo sẽ hiển thị là bị treo trong cổng thông tin của nhà sản xuất và trung tâm quản trị. Power Automate Power Platform Khi luồng được trả về thông qua API, PowerShell hoặc Power Automate Danh sách kết nối quản lý luồng "như hành động Quản trị viên", luồng có Trạng thái=Đã tạm dừng, Lý do tạm dừng=Vi phạm Công tyDlp và giá trị Thời gian tạm dừng cho biết thời điểm luồng bị tạm dừng.