Establecer unha política para evitar a perda de datos

  • Artigo

Os datos dunha organización son críticos para o seu éxito. Os seus datos deben estar facilmente dispoñibles para a toma de decisións, pero ao mesmo tempo protexidos para que non sexan compartidos con públicos que non deberían ter acceso a eles. Para protexer os datos da túa empresa, Power Automate ofrece a posibilidade de crear e facer cumprir políticas que definen que conectores poden acceder a eles e compartilos. As políticas que definen como se poden compartir os datos denomínanse políticas de prevención de perda de datos (DLP).

Os administradores controlan as políticas DLP. Se unha política de DLP está a bloquear a execución dos teus fluxos, ponte en contacto co teu administrador.

Obtén máis información sobre como protexer os teus datos con políticas de prevención da perda de datos.

Prevención da perda de datos para fluxos de escritorio

Power Automate permítelle crear e facer cumprir políticas DLP que clasifican os módulos de fluxo de escritorio e as accións de módulos individuais como Empresas, Non empresarial ou Bloqueado. Esta categorización impide que os creadores combinen módulos e accións de diferentes categorías nun fluxo de escritorio ou entre un fluxo de nube e os fluxos de escritorio que usa.

Importante

  • A aplicación das políticas de DLP só está dispoñible para entornos xestionados . A partir de setembro de 2024, só se avaliarán mediante políticas DLP os fluxos de escritorio que estean situados en contornos xestionados.
  • DLP para fluxos de escritorio está dispoñible para versións de Power Automate para escritorio 2.14.173.21294 ou posteriores. Se estás a usar unha versión anterior, desinstálaa e actualízaa á última versión.

Ver grupos de accións de fluxo de escritorio

De forma predeterminada, os grupos de accións de fluxo de escritorio non aparecen cando crea unha política DLP. Debe activar a configuración Mostrar accións de fluxo de escritorio nas políticas DLP na configuración do inquilino.

Se optou pola vista previa pública, a configuración Accións de fluxo de escritorio en DLP xa está activada e non se pode cambiar.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. No panel lateral esquerdo, seleccione Configuración.

  3. Na páxina Configuración do inquilino , seleccione Accións de fluxo de escritorio en DLP.

  4. Activa Mostrar accións de fluxo de escritorio nas políticas DLP e, a continuación, selecciona Gardar.

    Captura de pantalla da configuración de DLP para fluxos de escritorio no Power Platform centro de administración.

Agora podes clasificar grupos de accións de fluxo de escritorio cando creas unha política de datos.

Crea unha política DLP con restricións de fluxo de escritorio

Cando os administradores editan ou crean unha política, os grupos de accións de fluxo de escritorio engádense ao grupo predeterminado e a política aplícase despois de gardala. A política suspéndese se o grupo predeterminado está definido como Bloqueado e os fluxos do escritorio están a executarse nos contornos de destino.

Podes xestionar as túas políticas de DLP para fluxos de escritorio do mesmo xeito que xestionas as accións e os conectores de fluxo na nube. Os módulos de fluxo de escritorio son grupos de accións similares que se mostran na interface de usuario Power Automate para escritorio. Un módulo é semellante aos conectores que se usan nos fluxos de nube. Pode definir unha política DLP que xestione tanto os módulos de fluxo de escritorio como os conectores de fluxo de nube. Algúns módulos básicos, como Variables, non se poden xestionar no ámbito da política DLP porque case todos os fluxos de escritorio precisan utilizalos. Obtén máis información sobre os fundamentos das políticas DLP e como crealas.

Cando o seu inquilino opta pola experiencia de usuario en Power Platform, os seus administradores ven automaticamente os novos módulos de fluxo de escritorio no grupo de datos predeterminado da política DLP que están a crear ou actualizar.

Captura de pantalla dunha política de DLP en construción no Power Platform centro de administración.

Aviso

Cando se engaden módulos de fluxo de escritorio ás políticas DLP, os fluxos de escritorio do inquilino avalíanse contra eles e suspéndense se non cumpren. Se o teu administrador crea ou actualiza a política DLP sen notar os novos módulos, os fluxos do escritorio poden suspenderse de forma inesperada.

Goberna os fluxos de escritorio fóra de DLP

O control granular sobre o uso de fluxos de escritorio en todas as máquinas, tal e como se describe nas seccións anteriores, só se aplica aos entornos xestionados. Tes outras opcións para gobernar os fluxos do escritorio.

  • Capacidade para gobernar a orquestración de fluxos de escritorio: o conector de fluxo de escritorio pódese gobernar nas túas políticas como calquera outro conector en todos os ambientes.

  • Capacidade para gobernar o uso de Power Automate para escritorio: pode gobernar Power Automate para os fluxos de escritorio a través de GPO. Este goberno permítelle activar ou desactivar os fluxos de escritorio para accións como restrinxir a un conxunto de ambientes ou rexións, limitar o uso de tipos de conta e restrinxir as actualizacións manuais.

Obtén máis información sobre o goberno en Power Automate.

Módulos de fluxo de escritorio en DLP

Os seguintes módulos de fluxo de escritorio están dispoñibles en DLP:

  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatización do navegador
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesión CMD
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Portapapeis
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correo electrónico
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitivo
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Caixas de mensaxes
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Rato e teclado
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Fluxo de execución
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulación de terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatización da interface de usuario
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servizos de Windows
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • provedores/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Compatibilidade con PowerShell para módulos de fluxo de escritorio

Se non queres activar a configuración Mostrar accións de fluxo de escritorio nas políticas de DLP , podes usar o seguinte script de PowerShell para engadir todos os módulos de fluxo de escritorio a Grupo bloqueado dunha política DLP. Se xa activaches a configuración, non necesitas usar este script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

O seguinte script de PowerShell engade dous módulos de fluxo de escritorio específicos ao grupo de datos predeterminado dunha política DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script de PowerShell para desactivar os fluxos de escritorio

Se non queres utilizar a función DLP para fluxos de escritorio, podes utilizar o seguinte script de PowerShell para desactivar.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Despois de activar a política

Se os teus usuarios non teñen a última Power Automate para escritorio, a aplicación das políticas de DLP é limitada. Non ven mensaxes de erro en tempo de deseño cando tentan executar, depurar ou gardar fluxos de escritorio que infrinxen as políticas DLP. Os traballos en segundo plano analizan periodicamente os fluxos do escritorio no contorno e suspenden automaticamente os que infrinxen as políticas DLP. Os usuarios non poden executar fluxos de escritorio desde un fluxo de nube se o fluxo de escritorio infrinxe calquera política de prevención da perda de datos.

Os fabricantes que teñan a última Power Automate para escritorio non poden depurar, executar nin gardar fluxos de escritorio que infrinxen a política DLP. Tampouco poden seleccionar un fluxo de escritorio que infrinxa unha política de DLP dun paso de fluxo na nube.

Aplicación e suspensión do DLP

  1. Cando creas ou editas un fluxo, Power Automate avalíao co conxunto actual de políticas DLP.
    1. A aplicación de fluxos sen un fluxo fillo, que é o 99 % dos fluxos, é sincrónica e prodúcese en tempo real.
    2. A aplicación dun fluxo cun fluxo secundario é asíncrona, xa que os fluxos secundarios tamén deben ser avaliados e ocorre nun prazo de 24 horas.
  2. Cando crea ou cambia unha política DLP, un traballo en segundo plano analiza todos os fluxos activos do contorno, avalíaos e, a continuación, suspende os fluxos que infrinxen a política. A aplicación é asíncrona e prodúcese nun prazo de 24 horas. Se se produce un cambio de política de DLP cando se está a avaliar a política de DLP anterior, a avaliación reiniciarase para asegurarse de que se aplican as políticas máis recentes.
  3. Semanalmente, un traballo en segundo plano realiza unha comprobación de coherencia de todos os fluxos activos do contorno contra as políticas de DLP para confirmar que non se perdeu unha comprobación de políticas de DLP.

Reactivación DLP

Se o traballo en segundo plano de aplicación de DLP atopa un fluxo de escritorio que xa non infrinxe ningunha política de DLP, entón o traballo en segundo plano elimina automaticamente a suspensión. Non obstante, o traballo en segundo plano de aplicación de DLP non anula automaticamente a suspensión dos fluxos na nube.

Proceso de cambio de aplicación de DLP

Periódicamente, a aplicación de DLP debe cambiar porque se implementan novas capacidades de DLP ou unha corrección de erros ou se cubre un oco de aplicación. Cando os cambios poidan afectar os fluxos existentes, aplique o seguinte proceso de xestión de cambios de aplicación de DLP por etapas:

  1. Investigando: confirma a necesidade dun cambio de aplicación de DLP e investiga os detalles específicos do cambio.

  2. Aprendizaxe : Implementar o cambio e recompilar datos sobre a amplitude dos efectos do cambio. Documentar os cambios de aplicación de DLP para explicar o alcance do cambio. Se os datos suxiren que os clientes se verán moi afectados, entón pódese enviar unha comunicación a eses clientes para informarlles de que se aveciña un cambio. Se o cambio ten un impacto amplo nos fluxos existentes, nunha fase posterior da fase de aprendizaxe, cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo existente, Power Automate notifica aos propietarios do fluxo que o fluxo será suspendido, para que teñan máis tempo para responder.

  3. Notificar só : Active as notificacións por correo electrónico só para infraccións de DLP para que os propietarios dos fluxos existentes reciban notificacións sobre o próximo cambio de aplicación de DLP. Cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo existente, notifique aos propietarios do fluxo que o fluxo se suspenderá. Este mecanismo funciona semanalmente.

  4. Aplicación en tempo de deseño : Active a aplicación de infraccións de DLP no momento do deseño para que os propietarios dos fluxos existentes reciban notificacións sobre o próximo cambio de aplicación de DLP, pero os fluxos que se modifiquen obteñan unha avaliación completa da política de DLP no momento do deseño. Isto tamén se coñece como aplicación suave.

    • Tempo de deseño : Cando se actualice e garda un fluxo, use a aplicación DLP actualizada e suspenda o fluxo se é necesario para que o creador se entere inmediatamente da aplicación.

    • Proceso de fondo : Cando o traballo de aplicación de DLP en segundo plano atope unha infracción nun fluxo, notifique aos propietarios do fluxo que o fluxo se suspenderá. Este mecanismo inclúe a creación ou cambios na política de DLP e comprobacións de coherencia.

  5. Aplicación total : activa a aplicación total das infraccións de DLP, polo que as políticas de DLP aplícanse plenamente a todos os fluxos existentes e novos. As políticas de DLP aplícanse plenamente cando se gardan os fluxos durante a avaliación do traballo en segundo plano da aplicación de DLP. Isto tamén se coñece como aplicación dura.

Lista de cambios de aplicación de DLP

A seguinte táboa enumera os cambios de aplicación de DLP e a data en que os cambios entraron en vigor.

Date Descripción Motivo do cambio Fase Dispoñibilidade de aplicación en tempo de deseño* Dispoñibilidade total de aplicación*
Maio 2022 Autorización delegada antecedentes execución do traballo As políticas DLP aplícanse aos fluxos que usan a autorización delegada mentres se garda o fluxo, pero non durante a avaliación do traballo en segundo plano. Completo 2 de xuño de 2022 21 de xullo de 2022
Maio 2022 Solicitar a aplicación do activador de apiConnection As políticas de DLP non se aplicaron correctamente para algúns activadores. Os activadores afectados teñen type=Request e kind=apiConnection. Moitos dos disparadores afectados son disparadores instantáneos, que se usan en fluxos instantáneos ou desencadeados manualmente. Os desencadenantes afectados inclúen os seguintes.
- Power BI: Power BI premer no botón
- Equipos: dende a caixa de redacción (V2)
- OneDrive for Business: para un ficheiro seleccionado
- Dataverse: Cando se executa un paso de fluxo desde un fluxo do proceso de negocio
- Dataverse (herdado): cando se selecciona un rexistro
- Excel Online (empresa): para unha fila seleccionada
- SharePoint: Para un elemento seleccionado
- Microsoft Copilot Studio: cando Copilot Studio chama a un fluxo (V2)		 Completo 2 de xuño de 2022 25 de agosto de 2022
Xullo 2022 Aplicar as políticas de DLP nos fluxos fillos Activa a aplicación das políticas de DLP para incluír fluxos secundarios. Se se atopa unha infracción en calquera lugar da árbore de fluxo, o fluxo pai suspenderase. Despois de editar e gardar o fluxo secundario para eliminar a infracción, pódense volver gardar ou reactivar os fluxos principais para executar de novo a avaliación da política DLP. Un cambio para deixar de bloquear os fluxos secundarios cando se bloquea o conector HTTP implementarase xunto coa aplicación total das políticas DLP nos fluxos secundarios. Unha vez que estea dispoñible a aplicación completa, a aplicación incluirá fluxos de escritorio fillos. Completo 14 de febreiro de 2023 Marzo 2023
Xaneiro 2023 Aplicar políticas de DLP nos fluxos de escritorios fillos Activa a aplicación das políticas de DLP para incluír fluxos de escritorio fillos. Se se atopa unha infracción en calquera lugar da árbore de fluxo, o fluxo principal do escritorio suspenderase. Despois de editar e gardar o fluxo do escritorio fillo para eliminar a infracción, os fluxos do escritorio principal reactiváronse automaticamente. Aprendizaxe - Agosto 2023

*O calendario de dispoñibilidade pode cambiar e depende do lanzamento.

Suspensión de fluxo por infracción de DLP

Os fluxos suspendidos móstranse como suspendidos no Power Automate portal do creador e no Power Platform centro de administración. Cando se devolve un fluxo a través dunha API, PowerShell ou a Power Automate Acción "como administrador" de fluxos da lista de conectores de xestión, o fluxo ten Estado=Suspendido. , FlowSuspensionReason=CompanyDlpViolation e un FlowSuspensionTime valor que indica cando se suspendeu o fluxo.

Limitacións coñecidas

Obtén información sobre os problemas coñecidos de DLP.

Consulte tamén

Máis información sobre os ambientes
Máis información sobre Power Automate
Obtén máis información sobre o centro de administración