Задаване на политика с цел предотвратяване на загуба на данни

  • Статия

Данните на организацията са от решаващо значение за нейния успех. Неговите данни трябва да бъдат лесно достъпни за вземане на решения, но в същото време защитени, така че да не се споделят с аудитории, които не трябва да имат достъп до тях. За да защитите бизнес данните си, Power Automate ви дава възможност да създавате и прилагате правила, които определят кои конектори могат да имат достъп до тях и да ги споделят. Политиките, които определят как данните могат да бъдат споделяни, се наричат политики за предотвратяване на загуба на данни (DLP).

Администраторите контролират DLP политиките. Ако DLP правила блокират изпълнението на вашите потоци, обърнете се към вашия администратор.

Научете повече за защитата на вашите данни с правила за предотвратяване на загуба на данни.

Предотвратяване на загуба на данни за настолни потоци

Power Automate ви позволява да създавате и прилагате DLP правила, които класифицират модулите за поток на работния плот и отделните действия на модулите като бизнес, небизнес или блокирани. Тази категоризация не позволява на производителите да комбинират модули и действия от различни категории в поток на работния плот или между потока в облака и потоците на работния плот, които използва.

Важно

  • Прилагането на DLP политиките е достъпно само за управлявани среди. От септември 2024 г. само потоците на работния плот, които се намират в управлявани среди, ще бъдат оценявани от DLP политиките.
  • DLP за настолни потоци е наличен за версии на Power Automate за настолни 2.14.173.21294 или по-нови. Ако използвате по-стара версия, деинсталирайте я и актуализирайте до най-новата версия.

Преглед на групите с действия за потока на работния плот

По подразбиране групите за действие за потока на работния плот не се показват, когато създавате DLP правила. Трябва да включите настройката Показване на действията за потока на работния плот в DLP правила в настройките на клиента.

Ако сте избрали публичната визуализация, действията за потока на работния плот в DLP настройката вече са разрешени и не могат да бъдат променяни.

  1. Влезте в центъра за администриране на Power Platform.

  2. В левия панел изберете Настройки.

  3. На страницата Настройки на клиента изберете Действия за потока на работния плот в DLP .

  4. Включете Показване на действията за потока на работния плот в DLP правила и след това изберете Запиши.

    Екранна снимка на настройката DLP за потоци на работния плот в центъра за Power Platform администриране.

Сега можете да класифицирате групите за действие на работния плот, когато създавате правила за данни.

Създаване на DLP правила с ограничения на потока на работния плот

Когато администраторите редактират или създават правила, групите за действие за потока на работния плот се добавят към групата по подразбиране и правилата се прилагат, след като бъдат записани. Правилата се преустановяват, ако групата по подразбиране е зададена на Блокиран и потоците на работния плот се изпълняват в целевите среди.

Можете да управлявате вашите DLP политики за настолни потоци по същия начин, по който управлявате конекторите и действията на потока в облака. Модулите за поток на работния плот са групи от подобни действия, както е показано в потребителския Power Automate интерфейс за настолни компютри. Модулът е подобен на конекторите, които се използват в облачните потоци. Можете да дефинирате DLP политика, която управлява както модулите за потока на работния плот, така и конекторите за поток в облака. Някои основни модули, като например променливите, не могат да бъдат управлявани в обхвата на DLP политиката, защото почти всички потоци на работния плот трябва да ги използват. Научете повече за основите на DLP политиките и как да ги създадете.

Когато вашият клиент е включен в потребителския опит в Power Platform, вашите администратори автоматично виждат новите модули за поток на работния плот в групата данни по подразбиране на DLP правилата, които създават или актуализират.

Екранна снимка на DLP политика в процес на изграждане в центъра за Power Platform администриране.

Предупреждение

Когато модулите за поток на работния плот се добавят към DLP политиките, потоците на работния плот на вашия клиент се оценяват спрямо тях и те се спират, ако не отговарят на изискванията. Ако вашият администратор създаде или актуализира DLP правилата, без да забележи новите модули, потоците на работния плот могат неочаквано да бъдат спрени.

Управление на потоците на работния плот извън DLP

Детайлният контрол върху използването на настолните потоци на всички машини, както е описано в предишните раздели, се прилага само за управлявани среди. Имате други опции за управление на потоците на работния плот.

  • Възможност за управление на оркестрацията на потока на работния плот: Конекторът за потока на работния плот може да се управлява във вашите политики като всеки друг конектор във всички среди.

  • Възможност за управление на използването на Power Automate за настолни компютри: Можете да управлявате Power Automate за настолни потоци през GPO. Това управление ви позволява да включвате или изключвате потоците на работния плот за действия, като например ограничаване до набор от среди или региони, ограничаване на използването на типове акаунти и ограничаване на ръчните актуализации.

Научете повече за управлението в Power Automate.

Модули за поток на работния плот в DLP

Следните модули за поток на работния плот са налични в DLP:

  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD сесия
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard клипборда
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Криптография Криптография
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Кутии за съобщения
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Мишка и клавиатура
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal емулация
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • доставчици/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Поддръжка на PowerShell за модули за поток на работния плот

Ако не искате да включите настройката Показване на действията на работния плот в DLP правилата , можете да използвате следния скрипт на PowerShell, за да добавите всички модули на потока на работния плот към групата Блокирани на DLP правила. Ако вече сте включили настройката, не е нужно да използвате този скрипт.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Следният скрипт на PowerShell добавя два специфични модула за поток на работния плот към групата данни по подразбиране на DLP правилата.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell скрипт, за да се откажете от работния плот потоци

Ако не искате да използвате функцията DLP за настолни потоци, можете да използвате следния скрипт на PowerShell, за да се откажете.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

След като правилата са активирани

Ако вашите потребители не разполагат с най-новото Power Automate за работния плот, прилагането на DLP правилата е ограничено. Те не виждат съобщения за грешки в часа на проектиране, когато се опитват да стартират, отстранят грешки или запишат потоци на работния плот, които нарушават DLP правилата. Фоновите задания периодично сканират потоците на работния плот в околната среда и автоматично спират всички, които нарушават DLP правилата. Потребителите не могат да изпълняват потоци на работния плот от поток в облака, ако потокът на работния плот нарушава правилата за предотвратяване на загуба на данни.

Производителите, които имат най-новото Power Automate за работния плот, не могат да отстраняват грешки, да изпълняват или записват потоци на работния плот, които нарушават DLP правилата. Те също така не могат да изберат поток на работния плот, който е в нарушение на DLP политика, от стъпка на потока в облака.

DLP изпълнение и спиране

Когато създавате или редактирате поток, Power Automate го оценява спрямо текущия набор от DLP правила. Изпълнението е асинхронно и се случва в рамките на 24 часа.

Когато създавате или променяте DLP правила, фоновото задание сканира всички активни потоци в околната среда, оценява ги и след това спира потоците, които нарушават правилата. Изпълнението е асинхронно и се случва в рамките на 24 часа. Ако възникне промяна в DLP правилата, когато се оценява предишната DLP политика, оценката се рестартира, за да се увери, че се прилагат най-новите правила.

Седмично, фонова работа прави проверка на последователността на всички активни потоци в околната среда спрямо DLP политиките, за да потвърди, че проверката на DLP политиката не е пропусната.

DLP реактивиране

Ако фоновото задание за прилагане на DLP открие поток на работния плот, който вече не нарушава никакви DLP правила, тогава фоновото задание автоматично премахва спирането. Въпреки това, фоновото задание за прилагане на DLP не отменя автоматично потоците в облака.

Процес на промяна на прилагането на DLP

Периодично прилагането на DLP трябва да се променя, защото се разгръщат нови възможности за DLP или отстраняване на грешки или се запълва празнина в правоприлагането. Когато промените могат да засегнат съществуващи потоци, приложете следния поетапен процес на управление на промените в прилагането на DLP:

  1. Разследване: Потвърдете необходимостта от промяна в прилагането на DLP и проучете спецификата на промяната.

  2. Обучение: Прилагане на промяната и събиране на данни за обхвата на ефектите от промяната. Документиране на промените в прилагането на DLP, за да се обясни обхватът на промяната. Ако данните предполагат, че клиентите ще бъдат силно засегнати, тогава може да бъде изпратена комуникация до тези клиенти, за да ги уведоми, че идва промяна. Ако промяната има широко въздействие върху съществуващите потоци, тогава на по-късен етап във фазата на обучение, когато фоновата работа за прилагане на DLP открие нарушение в съществуващ поток, Power Automate уведомява собствениците на потока, че потокът ще бъде спрян, така че да имат повече време да отговорят.

  3. Само уведомяване: Включете известията по имейл само за нарушения на DLP, така че собствениците на съществуващи потоци да бъдат уведомени за предстоящата промяна в прилагането на DLP. Когато фоновата задача за прилагане на DLP открие нарушение в съществуващ поток, уведомете собствениците на потока, че потокът ще бъде спрян. Този механизъм работи ежеседмично.

  4. Прилагане на времето за проектиране: Включете прилагането на DLP нарушения по време на проектиране, така че собствениците на съществуващи потоци да бъдат уведомени за предстоящата промяна в прилагането на DLP, но всички потоци, които са променени, получават пълна оценка на DLP политиката по време на проектирането. Това също е известно като меко правоприлагане.

    • Време за проектиране: Когато потокът се актуализира и запазва, използвайте актуализираното прилагане на DLP и прекратете потока, ако е необходимо, така че производителят незабавно да е наясно с прилагането.

    • Фонов процес: Когато фоновата задача за прилагане на DLP открие нарушение в потока, уведомете собствениците на потока, че потокът ще бъде спрян. Този механизъм включва създаване или промени в DLP политиката и проверки за съгласуваност.

  5. Пълно прилагане: Включете пълното прилагане на нарушенията на DLP, така че DLP политиките да се прилагат изцяло за всички съществуващи и нови потоци. DLP политиките се прилагат изцяло, когато потоците се записват по време на оценката на заданието за прилагане на DLP. Това също е известно като твърдо правоприлагане.

Списък с промени в прилагането на DLP

Следващата таблица изброява промените в прилагането на DLP и датата, на която промените са влезли в сила.

Данни Описание Причина за промяната Етап Наличност за прилагане на времето за проектиране* Пълна наличност за правоприлагане*
Май 2022 г. Делегирано упълномощаване фоново изпълнение на заданията DLP правилата се прилагат върху потоци, които използват делегирано упълномощаване, докато потокът се записва, но не и по време на оценката на фоновото задание. Пълен 2 юни 2022 г. 21 юли 2022 г.
Май 2022 г. Искане за прилагане на задействане на apiConnection DLP политиките не бяха приложени правилно за някои тригери. Засегнатите тригери имат type=Request и kind=apiConnection. Много от засегнатите тригери са мигновени тригери, които се използват в мигновени или ръчно задействани потоци. Засегнатите тригери включват следното.
- Power BI: Power BI бутон натиснат
- Екипи: От кутията за композиране (V2)
- OneDrive за бизнес: За избран файл
- Dataverse: Когато стъпка на потока се изпълнява от поток на бизнес процес
- Dataverse (legacy): Когато е избран запис
- Excel Online (Business): За избран ред
- SharePoint: За избран елемент
- Microsoft Copilot Studio: При Copilot Studio извикване на поток (V2)		 Пълен 2 юни 2022 г. 25 август 2022 г.
Юли 2022 г. Прилагане на DLP политики за дъщерните потоци Да се даде възможност на прилагането на DLP политиките да включват детски потоци. Ако някъде в дървото на потока се открие нарушение, родителският поток се спира. След като дъщерният поток се редактира и запише, за да се премахне нарушението, родителските потоци могат да бъдат записани отново или активирани отново, за да се изпълни отново оценката на DLP правилата. Промяна, която вече не блокира дъщерните потоци, когато HTTP конекторът е блокиран, ще се появи заедно с пълното прилагане на DLP политиките за дъщерните потоци. След като е налице пълно правоприлагане, правоприлагането ще включва потоци от детски настолни компютри. Пълен 14 февруари 2023 Март 2023 г.
януари 2023 Налагане на DLP правила в потоците на дъщерния работен плот Разрешаване на прилагането на DLP политики за включване на дъщерни десктоп потоци. Ако някъде в дървото на потока бъде открито нарушение, родителският поток на работния плот се спира. След като потокът на дъщерния работен плот се редактира и запише, за да се премахне нарушението, потоците на родителския работен плот автоматично се активират отново. Обучение - Август 2023 г.

*Графикът за наличност може да се промени и зависи от внедряването.

Спиране на потока за нарушение на DLP

Спрените потоци се показват като спрени в портала на Power Automate производителя и центъра за Power Platform администриране. Когато поток се връща през API, PowerShell или списъка с конектори за управление тече Power Automate "като администратор", потокът има State=Suspended,FlowSuspensionReason=CompanyDlpViolation и стойност FlowSuspensionTime , показваща кога потокът е спрян.

Известни ограничения

Научете за DLP известни проблеми.

Вижте също

Научете повече за средите
Научете повече за Power Automate
Научете повече за центъра за администриране