Poliitika määramine andmelekete tõkestamiseks

  • Artikkel

Organisatsiooni andmed on selle eduks kriitilise tähtsusega. Selle andmed peavad olema otsuste tegemiseks hõlpsasti kättesaadavad, kuid samal ajal kaitstud, et neid ei jagataks vaatajaskondadega, kellel ei tohiks neile juurdepääsu olla. Äriandmete kaitsmiseks saate luua ja jõustada poliitikaid, mis määratlevad, Power Automate millised konnektorid neile juurde pääsevad ja neid jagavad. Poliitikaid, mis määratlevad, kuidas andmeid saab jagada, nimetatakse andmelekketõkestuse (DLP) poliitikateks.

Administraatorid kontrollivad DLP-poliitikaid. Kui DLP-poliitika takistab voogude käivitamist, võtke ühendust administraatoriga.

Lugege lisateavet andmete kaitsmise kohta andmelekketõkestuse poliitikate abil.

Andmelekketõkestus töölauavoogude puhul

Power Automate võimaldab teil luua ja jõustada DLP-poliitikaid, mis liigitavad töölauavoo moodulid ja üksikud moodulitoimingud äri-, mitteärimooduliteks või blokeeritud toiminguteks . See kategoriseerimine takistab tegijatel kombineerida erinevate kategooriate mooduleid ja toiminguid töölauavoogu või pilvevoo ja selle kasutatavate töölauavoogude vahel.

Oluline

  • DLP poliitikate jõustamine on saadaval ainult hallatavate keskkondade jaoks . Alates 2024. aasta septembrist hinnatakse DLP-poliitikatega ainult hallatavates keskkondades asuvaid töölauavooge.
  • DLP töölauavoogude jaoks on saadaval töölaua Power Automate 2.14.173.21294 või uuemate versioonide jaoks. Kui kasutate varasemat versiooni, desinstallige see ja värskendage uusimale versioonile.

Töölauavoo toimingurühmade kuvamine

Vaikimisi ei kuvata töölauavoo toimingurühmi DLP-poliitika loomisel. Peate rentniku sätetes sisse lülitama sätte Kuva töölauavoo toimingud DLP poliitikates .

Kui olete valinud avaliku eelvaate, on DLP-sättes töölauavoo toimingud juba lubatud ja neid ei saa muuta.

  1. Logige sisse Power Platformi halduskeskusesse.

  2. Valige vasakult paanilt Sätted.

  3. Valige lehel Rentniku sätted suvand Töölauavoo toimingud DLP-s.

  4. Lülitage sisse valik Kuva töölauavoo toimingud DLP poliitikates ja seejärel valige Salvesta.

    Kuvatõmmis halduskeskuse sättest Power Platform DLP töölauavoogude jaoks.

Nüüd saate andmepoliitika loomisel klassifitseerida töölauavoo toimingugrupid.

DLP-poliitika loomine töölauavoo piirangutega

Kui administraatorid poliitikat redigeerivad või loovad, lisatakse töölauavoo toimingurühmad vaikerühma ja poliitika rakendatakse pärast selle salvestamist. Poliitika peatatakse, kui vaikerühma väärtuseks on seatud Blokeeritud ja töölauavood töötavad sihtkeskkondades.

Saate hallata oma töölauavoogude DLP-poliitikaid samamoodi nagu pilvevoo konnektoreid ja toiminguid. Töölauavoo moodulid on sarnaste toimingute rühmad, mis kuvatakse töölaua kasutajaliideses Power Automate . Moodul sarnaneb pilvevoogudes kasutatavate konnektoritega. Saate määratleda DLP-poliitika, mis haldab nii töölauavoo mooduleid kui ka pilvevoo konnektoreid. Mõnda põhimoodulit, näiteks muutujaid, ei saa DLP-poliitika ulatuses hallata, kuna peaaegu kõik töölauavood peavad neid kasutama. Lisateave DLP-poliitikate põhialuste ja nende loomise kohta.

Kui teie rentnik on kasutajakogemusega Power Platform liitunud, näevad administraatorid uusi töölauavoo mooduleid automaatselt loodava või värskendatava DLP-poliitika vaikeandmerühmas.

Kuvatõmmis halduskeskuses koostatavast DLP-poliitikast Power Platform .

Hoiatus

Kui töölauavoo moodulid lisatakse DLP-poliitikatesse, hinnatakse teie rentniku töölauavooge nende suhtes ja need peatatakse, kui need ei vasta nõuetele. Kui administraator loob või värskendab DLP-poliitikat uusi mooduleid märkamata, võidakse töölauavood ootamatult peatada.

Töölauavoogude reguleerimine väljaspool DLP-d

Üksikasjalik kontroll töölauavoogude kasutamise üle kõigis masinates, nagu on kirjeldatud eelmistes jaotistes, kehtib ainult hallatavate keskkondade kohta. Töölauavoogude haldamiseks on teil ka muid võimalusi.

  • Võimalus juhtida töölauavoo orkestreerimist: töölaua vookonnektorit saab teie poliitikates juhtida nagu mis tahes muud konnektorit kõigis keskkondades.

  • Võimalus reguleerida töölaua Power Automate kasutamist: saate reguleerida Power Automate töölauavooge GPO kaudu. See korraldus võimaldab teil töölauavooge sisse või välja lülitada toimingute jaoks, näiteks piirata keskkondade või piirkondade kogumit, piirata kontotüüpide kasutamist ja piirata käsitsi värskendamist.

Lisateavet juhtimise kohta leiate teemast Power Automate

Töölaua voo moodulid DLP-s

DLP-s on saadaval järgmised töölauavoo moodulid:

  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Brauseri automatiseerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD seanss
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Lõikelaud Lõikelaud
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Krüptograafia
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Andmebaas
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Meil
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder kaust
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleKognitiivne Google’i kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Teatekastid
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitiivne
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Hiir ja klaviatuur
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System süsteem
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminali emuleerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomationi kasutajaliidese automatiseerimine
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windowsi teenused
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • pakkujad/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShelli tugi töölaua voo moodulitele

Kui te ei soovi sätet Kuva töölauavoo toiminguid DLP poliitikates sisse lülitada, saate kõigi töölauavoo moodulite lisamiseks DLP-poliitika rühma Blokeeritud kasutada järgmist PowerShelli skripti. Kui olete sätte juba sisse lülitanud, ei pea te seda skripti kasutama.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Järgmine PowerShelli skript lisab DLP-poliitika vaikeandmerühma kaks konkreetset töölauavoo moodulit.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShelli skript töölauavoogudest loobumiseks

Kui te ei soovi kasutada DLP töölauavoogude funktsiooni, saate sellest loobumiseks kasutada järgmist PowerShelli skripti.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Pärast poliitika lubamist

Kui teie kasutajatel pole uusimat Power Automate töölauaversiooni, on DLP eeskirjade jõustamine piiratud. Nad ei näe disainiaja tõrketeateid, kui nad üritavad käivitada, siluda või salvestada töölauavooge, mis rikuvad DLP eeskirju. Taustatööd skannivad keskkonnas regulaarselt töölauavooge ja peatavad automaatselt kõik, mis rikuvad DLP eeskirju. Kasutajad ei saa käivitada töölauavooge pilvevoost, kui töölauavoog rikub andmelekketõkestuse poliitikat.

Loojad, kellel on töölaua jaoks uusim versioon Power Automate , ei saa DLP-eeskirju rikkuvaid töölauavooge siluda, käivitada ega salvestada. Samuti ei saa nad pilvevoo etapist valida töölauavoogu, mis rikub DLP-eeskirju.

DLP jõustamine ja peatamine

  1. Voo Power Automate loomisel või redigeerimisel hinnatakse seda praeguse DLP-poliitikate kogumi suhtes.
    1. Voogude jõustamine ilma lapse vooluta, mis moodustab 99% voogudest, on sünkroonne ja toimub reaalajas.
    2. Lapse vooluga voolu jõustamine on asünkroonne, kuna ka lapse voolu tuleb hinnata ja see toimub 24 tunni jooksul.
  2. DLP-poliitika loomisel või muutmisel skannib tausttöö kõiki aktiivseid vooge keskkonnas, hindab neid ja peatab seejärel eeskirju rikkuvad vood. Jõustamine on asünkroonne ja toimub 24 tunni jooksul. Kui DLP-poliitika muutmine toimub eelmise DLP-poliitika hindamisel, algab hindamine uuesti, et veenduda, et uusimad poliitikad on jõustatud.
  3. Igal nädalal kontrollib taustatöö kõigi keskkonna aktiivsete voogude järjepidevust DLP-poliitikate suhtes, et veenduda, et DLP-poliitika kontroll ei jäänud vahele.

DLP taasaktiveerimine

Kui DLP jõustamise tausttöö leiab töölauavoo, mis ei riku enam ühtegi DLP-poliitikat, eemaldab taustatöö peatamise automaatselt. Kuid DLP jõustamise taustatöö ei vabasta pilvevooge automaatselt.

DLP jõustamise muutmise protsess

Perioodiliselt peab DLP jõustamine muutuma, kuna kasutusele võetakse uued DLP-võimalused või veaparandus või täidetakse jõustamislünk. Kui muudatused võivad mõjutada olemasolevaid vooge, rakendage järgmine etapiviisiline DLP jõustamise muudatuste haldamise protsess.

  1. Uurimine: kinnitage DLP jõustamismuudatuse vajalikkust ja uurige muudatuse üksikasju.

  2. Õppimine: Rakendage muudatus ja koguge andmeid muudatuse mõjude ulatuse kohta. Dokumenteerige DLP jõustamise muudatused, et selgitada muudatuse ulatust. Kui andmed viitavad sellele, et see mõjutab kliente oluliselt, võidakse neile klientidele saata teatis, et anda neile teada, et muudatus on tulemas. Kui muudatusel on ulatuslik mõju olemasolevatele voogudele, siis õppefaasi hilisemas etapis, kui DLP tausta jõustamistöö leiab olemasolevas voos rikkumise, Power Automate teatab voo omanikele, et voog peatatakse, nii et neil on rohkem aega reageerida.

  3. Ainult teavitamine: lülitage meiliteatised sisse ainult DLP rikkumiste korral, et olemasolevate voogude omanikke teavitataks eelseisvast DLP jõustamise muudatusest. Kui tausta DLP jõustamistöö leiab olemasolevas voos rikkumise, teavitage voo omanikke, et voog peatatakse. See mehhanism töötab kord nädalas.

  4. Disainiaja jõustamine: lülitage sisse DLP rikkumiste kavandamisaegne jõustamine, et olemasolevate voogude omanikke teavitataks eelseisvast DLP jõustamise muudatusest, kuid kõik muudetud vood saavad kavandamise ajal täieliku DLP poliitika hindamise. Seda nimetatakse ka pehmeks jõustamiseks.

    • Projekteerimisaeg: kui voog on värskendatud ja salvestatud, kasutage värskendatud DLP jõustamist ja peatage vajadusel voog, et tegija oleks jõustamisest kohe teadlik.

    • Taustprotsess: kui DLP tausta jõustamistöö leiab voos rikkumise, teavitage voo omanikke, et voog peatatakse. See mehhanism hõlmab DLP poliitika loomist või muutmist ja järjepidevuse kontrolli.

  5. Täielik jõustamine: lülitage sisse DLP rikkumiste täielik jõustamine, nii et DLP eeskirjad jõustatakse täielikult kõigi olemasolevate ja uute voogude puhul. DLP-poliitikad jõustatakse täielikult, kui vood salvestatakse DLP jõustamise taustatöö hindamise ajal. Seda nimetatakse ka rangeks jõustamiseks .

DLP jõustamise muudatuste loend

Järgmises tabelis on loetletud DLP jõustamise muudatused ja muudatuste jõustumise kuupäev.

Date Kirjeldus Muutuse põhjus Etapp Kavandamisaegne jõustamise kättesaadavus* Jõustamise täielik kättesaadavus*
Mai 2022 Delegeeritud volituse taust töö jõustamine DLP-poliitikad jõustatakse voogudele, mis kasutavad delegeeritud volitust voo salvestamise ajal, kuid mitte tausttöö hindamise ajal. Täielik 2. juuni 2022 21. juuli 2022
Mai 2022 Taotlus apiConnection trigger enforcement Mõne päästiku puhul ei jõustatud DLP-eeskirju õigesti. Mõjutatud päästikutel on type=Request ja kind=apiConnection. Paljud mõjutatud päästikud on kohesed päästikud, mida kasutatakse kohestes või käsitsi käivitatud voogudes. Mõjutatud päästikud on järgmised.
- Power BI: Power BI nuppu klõpsates
- Meeskonnad: koostamiskastist (V2)
- OneDrive ettevõtte jaoks: valitud faili jaoks
- Dataverse: Kui voolusammu käivitatakse äriprotsessi voog
- Dataverse (pärand): kui kirje on valitud
- Excel Online (äri): valitud rea jaoks
- SharePoint: Valitud üksuse jaoks
- Microsoft Copilot Studio: Kui Copilot Studio kutsub voolu (V2)		 Täielik 2. juuni 2022 25. august 2022
Juuli 2022 Lapsevoogude DLP-poliitikate jõustamine Lubage DLP-poliitikate jõustamine, et kaasata lapsevood. Kui voolupuus leitakse rikkumine, peatatakse emavool. Pärast seda, kui tütarvoogu on rikkumise eemaldamiseks redigeeritud ja salvestatud, saab emavood uuesti salvestada või uuesti aktiveerida, et DLP-poliitika hindamine uuesti käivitada. Muudatus, mis ei blokeeri enam lapsevooge, kui HTTP-konnektor on blokeeritud, võetakse kasutusele koos DLP-poliitikate täieliku jõustamisega lapsevoogude kohta. Kui täielik jõustamine on võimalik, hõlmab jõustamine lapse töölauavooge. Täielik 14. veebruar 2023 Märts 2023
Jaanuar 2023 Lapse töölauavoogude DLP-poliitikate jõustamine Lubage DLP-poliitikate jõustamine, et kaasata lapse töölauavood. Kui voopuus leitakse rikkumine, peatatakse töölaua emavoog. Pärast seda, kui lapse töölauavoogu on rikkumise kõrvaldamiseks redigeeritud ja salvestatud, aktiveeritakse ematöölaua vood automaatselt uuesti. Õpe - August 2023

* Saadavuse ajakava võib muutuda ja sõltub levitamisest.

Voolu peatamine DLP rikkumise korral

Peatatud vood kuvatakse koostaja portaalis Power Automate ja Power Platform halduskeskuses peatatuna. Kui voog tagastatakse API, PowerShelli või Power Automate halduskonnektorite loendi voogude toimingu "administraatorina" kaudu, on vool olek = peatatud, FlowSuspensionReason = CompanyDlpViolation ja FlowSuspensionTime väärtus, mis näitab, millal voog peatati.

Teadaolevad piirangud

Lisateave DLP teadaolevate probleemide kohta.

Vaata ka

Lisateave keskkondade kohta
Lisateave Power Automate
Lisateave halduskeskuse kohta