閱讀英文

共用方式為


建立資料外洩防護 (DLP) 原則

組織的資料對於其成功至關重要。 其資料需要隨時可供決策使用,但同時,資料需要受到保護,以免與不應存取該資料的受眾共用。 為了保護商務資料,Power Automate 可讓您建立和強制執行原則,來定義哪些連接器可以存取和共用資料。 這些定義資料共用方式的原則稱為資料外洩防護 (DLP) 原則。

管理員會控制 DLP 原則。 如果 DLP 原則封鎖您的流程,使其無法執行時,請連絡您的系統管理員。

了解有關使用 Power Platform 資料遺失防護 (DLP) 策略保護資料的更多資訊

桌面流程的資料外洩防護

Power Automate 可讓您建立和執行 DLP 原則,將桌面流程模組和個別模組動作分類為商務非商務封鎖。 此分類可防止製作者將不同類別的模組和動作組合到桌面流程中,或在雲端流程與其使用的桌面流程之間組合。

重要

  • 強制實施 DLP 原則將只適用於受控環境。 從 2025 年 1 月開始,DLP 原則將只評估位於受控環境中的桌面流程。
  • 桌面流程的 DLP 適用於電腦版 Power Automate 2.14.173.21294 版本或更新版本。 如果您使用的是舊版本,請將其解除安裝並更新至最新版本。

檢視桌面流程動作群組

根據預設,建立新的 DLP 策略時不會顯示桌面流程動作群組。 您需要從租用戶設定中打開在 DLP 原則中顯示桌面流程動作設定。

如果您選擇了公開預覽版,則 DLP 中的 桌面流程動作已經啟用,且無法變更。

  1. 登入 Power Platform 系統管理中心

  2. 在左邊面板上,選取設定

  3. 租用戶設定頁面中,選取 DLP 中的桌面流程動作

  4. 開啟在 DLP 原則中顯示桌面流程動作,然後選取儲存

    Power Platform 系統管理中心中桌面流程 DLP 設定的螢幕擷取畫面。

您現在可以在建立資料原則時,將桌面流程動作群組分類。

建立具有桌面流程限制的 DLP 原則

當管理員編輯或建立原則時,桌面流程動作群組將新增到預設群組,而且在儲存後便會套用該原則。 如果預設群組設定為已封鎖,且桌面流程正在目標環境中執行,則原則將暫停。

您可以像管理雲端流程連接器和動作一樣管理桌面流程的 DLP 原則。 桌面流程模組是電腦版 Power Automate 使用者介面中顯示的一組類似動作。 模組類似于在雲端流程中使用的連接器。 您可以定義 DLP 原則,以管理桌面流程模組和雲端流程連接器。 某些基本模組 (例如變數) 無法在 DLP 原則範圍中進行管理,因為幾乎所有桌面流程都需要使用它們。 深入瞭解 DLP 原則的基本原理以及如何建立它們

當您的租用戶選擇加入 Power Platform 中的使用者體驗時,您的管理員會在他們建立或更新的 DLP 原則預設資料群組中自動看見新的桌面流程模組。

Power Platform 系統管理中心中正在建構的 DLP 原則螢幕擷取畫面。

警告

將桌面流程模組新增至 DLP 原則後,系統將根據這些 DLP 原則評估租用戶的桌面流程,如果它們不符合規範就會將其暫停。 如果您的管理員在未注意新模組的情況下建立或更新 DLP 原則,則桌面流程可能會意外暫停。

管理 DLP 之外的桌面流程

如先前各節所述,對所有電腦上桌面流程的使用情況進行精細控制僅適用於受控環境。 您還有其他選項來管理桌面流程。

  • 能夠管理桌面流程協調流程:桌面流程連接器可以像所有環境中的其他連接器一樣,在您的原則中加以控制。

  • 能夠管理 Power Automate 桌面的使用方式:可以通過 Power Automate 群組原則物件 (GPO) 管理桌面流程。 透過此治理,您可以打開或關閉桌面流程以執行動作,例如限制一組環境或區域、限制帳戶類型的使用、限制手動更新等。

深入了解 Power Automate 中的治理

DLP 中的桌面流程模組

您可以在 DLP 中使用以下桌面流程模組:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD 工作階段
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse and keyboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate 祕密變數
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

適用於桌面流程模組的 PowerShell 支援

如果您不想打開在 DLP 原則中顯示桌面流程動作設定,您可以使用以下 PowerShell 指令碼,將所有桌面流程模組新增至 DLP 原則的已封鎖群組中。 如果您已經打開此設定,則不需要使用此指令碼。

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

以下 PowerShell 指令碼可將兩個特定桌面流程模組新增至 DLP 原則的預設資料群組中。

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

用於選擇退出桌面流程的 PowerShell 指令碼

如果您不想使用 DLP 桌面流程功能,您可以使用以下 PowerShell 指令碼選擇退出。

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

啟用原則後

如果您的使用者不具有最新的電腦版 Power Automate,DLP 原則強制實施會受到限制。 當使用者嘗試從執行、偵錯或儲存違反 DLP 原則的桌面流程時,他們將看不到設計階段錯誤訊息。 背景工作會定期掃描環境中的桌面流程,並自動將違反 DLP 原則的桌面流程暫時停權。 如果桌面流程違反任何資料外洩防護原則,則使用者將無法從雲端流程執行桌面流程。

擁有最新電腦版 Power Automate 的人員,無法偵錯、執行或儲存違反 DLP 原則的桌面流程。 他們也無法從雲端流程步驟中選取違反 DLP 原則的桌面流程。

DLP 強制執行和暫時停權

  1. 當您建立或編輯流程時,Power Automate 會針對目前的 DLP 原則進行評估。
    1. 沒有下層流程 (即 99% 的流程) 的流程的執行是同步且即時進行。
    2. 具有下層流程的流程的執行是非同步的,因為下層流程也需要評估,並會在 24 小時內進行。
  2. 當您建立或變更 DLP 原則時,背景工作會掃描環境中的所有使用中流程、對這些流程進行評估,然後將違反原則的流程暫時停權。 強制執行是非同步的,並會在 24 小時之內進行。 如果在評估先前的 DLP 原則時 DLP 原則發生變更,則評估會重新開始,以確保實施最新的原則。
  3. 背景工作每週都會根據 DLP 原則對環境的所有使用中流程進行一致性檢查,以確認 DLP 原則檢查未遺漏。

DLP 重新啟用

如果 DLP 強制執行背景作業發現已不再違反任何 DLP 原則的桌面流程,則背景作業會自動取消暫停。 但是,DLP 強制執行背景工作不會自動取消暫停雲端流程。

DLP 強制執行變更流程

因為推出新的 DLP 功能或錯誤修正或強制執行缺口填補,所以 DLP 強制執行需要定期進行變更。 當變更會影響現有的流程時,會套用以下暫存的 DLP 強制執行變更管理流程。

  1. 調查:確認需要進行 DLP 強制變更並調查變更的細節。

  2. 了解:執行變更並收集有關變更影響廣度的資料。 記錄 DLP 強制執行變更以解釋變更的範圍。 如果資料表明某些客戶將會受到極大影響,則會傳送通訊給這些客戶,讓他們知道即將發生變化。 如果變更會對現有流程產生廣泛影響,則在學習階段的後期,當背景 DLP 強制執行作業在現有流程中發現違規行為時,Power Automate 會通知流程負責人該流程將會暫停,以便他們有更多的時間來回應。

  3. 僅通知:僅針對 DLP 違規開啟電子郵件通知,讓現有流程的負責人收到有關近期 DLP 強制變更的通知。 當背景 DLP 強制作業在現有的流程中發現違規時,通知流程負責人該流程將暫停。 此機制每週執行一次。

  4. 設計階段強制執行:開啟 DLP 違規的設計階段強制執行,這樣現有流程的負責人就能收到有關近期 DLP 強制變更的通知,但是任何已變更的流程都會在設計階段取得完整的 DLP 原則評估。 這也稱為軟性強制執行

    • 設計階段:更新和儲存流程時,使用已更新的 DLP 強制執行,並在需要時將流程暫時停權,讓製作者立即注意到強制執行。

    • 背景程序:當背景 DLP 強制執行作業在流程中發現違規行為時,會通知流程負責人該流程將暫停。 此機制包括建立或變更 DLP 原則和一致性檢查。

  5. 完整強制執行:啟用 DLP 違規的完整強制執行,以便對所有現有和新的流程完整強制執行 DLP 原則。 在 DLP 強制執行背景工作評估期間儲存流程時,將會完整強制執行 DLP 原則。 這也稱為硬性強制執行

DLP 強制執行變更清單

下表列出 DLP 強制執行變更和變更生效日期。

Date 描述: 變更原因 階段 設計階段強制可用性* 完整的強制可用性*
2022 年 5 月 委派授權背景工作強制執行 使用委派授權的流程在儲存流程時強制執行 DLP 原則,但在背景工作評估期間不執行。 完整 2022 年 6 月 2 日 2022 年 7 月 21 日
2022 年 5 月 要求 apiConnection 觸發程序強制 某些觸發程序未正確執行 DLP 原則。 受影響的觸發程序包含類型 = Request類型 = apiConnection。 許多受影響的觸發程序都是即時 (或手動觸發) 流程中所使用的即時觸發程序。 以下是受影響的觸發程序。
- Power BI:按一下 Power BI 按鈕
- Teams:來自撰寫方塊 (V2)
- 商務版 OneDrive:適用於選取的檔案
- Dataverse:執行商務程序流程中的流程步驟時
- Dataverse (舊版):選取記錄時
- Excel Online (商務):適用於選取的資料列
- SharePoint:所選項目
- Microsoft Copilot Studio:當 Copilot Studio 呼叫流程時 (V2)
完整 2022 年 6 月 2 日 2022 年 8 月 25 日
2022 年 7 月 在下層流程強制執行 DLP 原則 允許將下層流程納入 DLP 原則的強制執行範圍。 如果在流程樹狀結構的任何位置發現違規,則會將上層流程暫時停權。 編輯並儲存下層流程以移除違規之後,即可重新儲存或重新啟用上層流程,以重新執行 DLP 原則評估。 當 HTTP 連接器遭封鎖時,將會推出不再封鎖下層流程的變更,加上對下層流程完整強制執行 DLP 原則。 完全實施可用后,實施將包括子桌面流。 完整 2023 年 2 月 14 日 2023 年 3 月
2023 年 1 月 對下層桌面流程強制執行 DLP 原則 允許將下層桌面流程納入 DLP 原則的強制執行範圍。 如果在流程樹狀結構的任何位置發現違規,則會將上層桌面流程暫時停權。 編輯並儲存下層桌面流程以移除違規之後,系統會自動重新啟用上層桌面流程。 完整 - 2023 年 8 月
2024 年 10 月 對觸發程序和內部動作實施連接器動作控制 擴大連接器動作控制的實施,以確保涵蓋觸發程序和內部動作。 在 Power Platform 系統管理中心中列出它們,並在 DLP 策略中單獨引用或 DLP 策略未將它們包含在允許的情況下時強制封鎖它們。 學習 2025 年一月 2025 年 2 月

*可用性排程可能會發生變化,視推出情況而定。

因 DLP 違規而暫停流程

擱置的流程在 Power Automate Maker Portal 和 Power Platform 系統管理中心中會顯示為已暫停。 當透過 API、PowerShell 或 Power Automate 管理連接器將流程列為「做為管理員」動作傳回流程時,該流程將為 State=Suspended,並具有適當的 FlowSuspensionReason=CompanyDlpViolation 和指示流程何時暫停的 FlowSuspensionTime 值。

已知限制

了解 DLP 已知問題