Postavljanje pravilnika kako bi se spriječio gubitak podataka

  • Članak

Podaci organizacije presudni su za njezin uspjeh. Njegovi podaci moraju biti lako dostupni za donošenje odluka, ali istodobno zaštićeni kako se ne bi dijelili s publikom koja im ne bi trebala imati pristup. Da biste zaštitili poslovne podatke, Power Automate možete stvarati i provoditi pravila koja definiraju kojim poveznicima možete pristupiti i zajednički ih koristiti. Pravila koja definiraju način dijeljenja podataka nazivaju se pravilima za sprječavanje gubitka podataka (DLP).

Administratori kontroliraju DLP pravila. Ako pravilnik DLP-a blokira pokretanje tijekova, obratite se administratoru.

Saznajte više o zaštiti podataka pomoću pravila za sprječavanje gubitka podataka.

Sprječavanje gubitka podataka za tokove radne površine

Power Automate omogućuje stvaranje i provedbu pravilnika DLP-a koji klasificiraju module tijeka radne površine i pojedinačne akcije modula kao poslovne, neposlovne ili blokirane. Ova kategorizacija sprječava proizvođače da kombiniraju module i akcije iz različitih kategorija u tijek radne površine ili između protoka oblaka i tokova radne površine koje koristi.

Važno

  • Implementacija pravilnika DLP-a dostupna je samo za upravljana okruženja . Od rujna 2024. prema pravilima DLP-a ocjenjivat će se samo tokovi radne površine koji se nalaze u upravljanim okruženjima.
  • DLP za tokove radne površine dostupan je za verzije Power Automate programa za stolna računala 2.14.173.21294 ili novije. Ako koristite stariju verziju, deinstalirajte je i ažurirajte na najnoviju verziju.

Prikaz akcijskih grupa tijeka radne površine

Prema zadanim postavkama akcijske grupe tijeka radne površine ne pojavljuju se prilikom stvaranja pravilnika DLP-a. Morate uključiti postavku Prikaži akcije tijeka radne površine u pravilnicima DLP-a u postavkama klijenta.

Ako ste se odlučili za javni pretpregled, postavka Akcije toka radne površine u DLP-u već je omogućena i ne može se mijenjati.

  1. Prijavite se u centar za administratore platforme Power Platform.

  2. Na lijevom bočnom panelu odaberite Postavke.

  3. Na stranici Postavke klijenta odaberite Akcije tijeka radne površine u DLP-u .

  4. Uključite Prikaži akcije tijeka radne površine u pravilnicima DLP-a, a zatim odaberite Spremi.

    Snimka zaslona s postavkom DLP za tokove radne površine u Power Platform centru za administratore.

Sada možete klasificirati grupe akcija tijeka radne površine kada stvarate pravila podataka.

Stvaranje pravilnika DLP-a s ograničenjima tijeka radne površine

Kada administratori uređuju ili stvaraju pravilo, grupe akcija tijeka radne površine dodaju se u zadanu grupu, a pravilo se primjenjuje nakon spremanja. Pravilo se obustavlja ako je zadana grupa postavljena na Blokirano , a tokovi radne površine izvode se u ciljnim okruženjima.

Pravilnikom DLP-a za tokove radne površine možete upravljati na isti način na koji upravljate poveznicima i akcijama protoka oblaka. Moduli tijeka radne površine grupe su sličnih akcija kao što je prikazano u korisničkom sučelju Power Automate za stolna računala. Modul je sličan konektorima koji se koriste u tokovima oblaka. Možete definirati pravilnik DLP-a koji upravlja modulima tijeka radne površine i poveznicima protoka oblaka. Nekim osnovnim modulima, kao što su Varijable, ne može se upravljati u okviru pravilnika DLP-a jer ih gotovo svi tokovi radne površine moraju koristiti. Saznajte više o osnovama pravilnika DLP-a i kako ih stvoriti.

Kada se klijent uključi u korisničko iskustvo u Power Platform, administratori automatski vide nove module tijeka radne površine u zadanoj grupi podataka pravilnika DLP-a koje stvaraju ili ažuriraju.

Snimka zaslona pravilnika DLP-a koji se izrađuje u centru za Power Platform administratore.

Upozorenje

Kada se moduli tijeka radne površine dodaju pravilnicima DLP-a, tokovi radne površine vašeg klijenta procjenjuju se u odnosu na njih i obustavljaju se ako nisu usklađeni. Ako administrator stvori ili ažurira pravilnik DLP-a, a da ne primijeti nove module, tokovi radne površine mogu se neočekivano obustaviti.

Upravljanje tokovima radne površine izvan DLP-a

Granularna kontrola korištenja tokova radne površine na svim računalima, kako je opisano u prethodnim odjeljcima, odnosi se samo na upravljana okruženja. Imate druge mogućnosti za upravljanje tokovima radne površine.

  • Mogućnost upravljanja orkestracijom tijeka radne površine: poveznikom tijeka radne površine može se upravljati pravilima kao i bilo kojim drugim poveznikom u svim okruženjima.

  • Mogućnost upravljanja korištenjem Power Automate za stolna računala: možete upravljati Power Automate za tokove radne površine kroz GPO. Ovo upravljanje omogućuje uključivanje ili isključivanje tokova radne površine za radnje kao što su ograničavanje na skup okruženja ili regija, ograničavanje upotrebe vrsta računa i ograničavanje ručnih ažuriranja.

Saznajte više o upravljanju u Power Automate.

Moduli protoka radne površine u DLP-u

Sljedeći moduli tijeka radne površine dostupni su u DLP-u:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatizacija preglednika
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd cmd sesija
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Međuspremnik
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • Davatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • Davatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • Davatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message okviri
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Miš i tipkovnica
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • Davatelji usluga/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Podrška za PowerShell za module tijeka radne površine

Ako ne želite uključiti postavku Prikaži akcije tijeka radne površine u pravilniku DLP-a, možete upotrijebiti sljedeću skriptu ljuske PowerShell da biste dodali sve module tijeka radne površine u grupu Blokirano pravilnika DLP-a. Ako ste već uključili postavku, ne morate koristiti ovu skriptu.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Sljedeća skripta ljuske PowerShell dodaje dva određena modula tijeka radne površine zadanoj grupi podataka pravilnika DLP-a.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skripta komponente PowerShell za isključivanje tokova radne površine

Ako ne želite koristiti značajku DLP za tokove radne površine, možete je isključiti pomoću sljedeće skripte ljuske PowerShell.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Nakon omogućivanja pravila

Ako vaši korisnici nemaju najnovije Power Automate podatke za stolna računala, provedba pravilnika DLP-a ograničena je. Ne prikazuju poruke o pogreškama u vremenu dizajniranja kada pokušavaju pokrenuti, ispraviti pogreške ili spremiti tokove radne površine koji krše DLP pravila. Pozadinski poslovi povremeno skeniraju tokove radne površine u okruženju i automatski obustavljaju sve koji krše DLP pravila. Korisnici ne mogu pokretati tokove radne površine iz toka oblaka ako tijek radne površine krši bilo koja pravila za sprječavanje gubitka podataka.

Autori koji imaju najnovije Power Automate podatke za stolna računala ne mogu otklanjati pogreške, pokretati ili spremati tokove radne površine koji krše pravila DLP-a. Također ne mogu odabrati tijek radne površine koji krši pravilnik DLP-a iz koraka protoka oblaka.

Provedba i suspenzija DLP-a

Kada stvarate ili uređujete tijek Power Automate , procjenjuje ga u odnosu na trenutni skup DLP pravila. Provedba je asinkrona i događa se u roku od 24 sata.

Kada stvorite ili promijenite pravilnik DLP-a, pozadinski posao skenira sve aktivne tokove u okruženju, procjenjuje ih, a zatim obustavlja tokove koji krše pravila. Provedba je asinkrona i događa se u roku od 24 sata. Ako dođe do promjene pravila DLP-a prilikom procjene prethodnog pravilnika DLP-a, evaluacija se ponovno pokreće kako bi se osiguralo provođenje najnovijih pravila.

Tjedno pozadinski posao provjerava dosljednost svih aktivnih tokova u okruženju u odnosu na pravila DLP-a kako bi potvrdio da provjera pravila DLP-a nije propuštena.

Ponovna aktivacija DLP-a

Ako zadatak implementacije DLP-a pronađe tijek radne površine koji više ne krši nijedno pravilo DLP-a, pozadinski posao automatski uklanja obustavu. Međutim, pozadinski zadatak implementacije DLP-a ne poništava automatski protok oblaka.

Postupak promjene provedbe DLP-a

Povremeno se provedba DLP-a mora promijeniti jer se uvode nove mogućnosti DLP-a ili ispravljanje pogrešaka ili popunjava praznina u provedbi. Kada promjene mogu utjecati na postojeće tokove, primijenite sljedeći postupak upravljanja promjenama provedbe DLP-a:

  1. Istraga: potvrditi potrebu za promjenom provedbe DLP-a i istražiti specifičnosti promjene.

  2. Učenje: Provedite promjenu i prikupite podatke o širini učinaka promjene. Izmjene provedbe DLP-a dokumenta kako bi se objasnio opseg promjene. Ako podaci sugeriraju da će kupci biti jako pogođeni, tada se tim kupcima može poslati komunikacija kako bi im se dalo do znanja da dolazi promjena. Ako promjena ima širok utjecaj na postojeće tokove, tada u kasnijoj fazi faze učenja, kada pozadinski posao provedbe DLP-a pronađe kršenje postojećeg toka, Power Automate obavještava vlasnike protoka da će protok biti obustavljen, tako da imaju više vremena za odgovor.

  3. Samo obavijesti: uključite obavijesti e-poštom samo za kršenja DLP-a kako bi vlasnici postojećih tokova dobili obavijest o nadolazećoj promjeni provedbe DLP-a. Kada pozadinski posao izvršenja DLP-a pronađe kršenje postojećeg tijeka, obavijestite vlasnike toka da će tijek biti obustavljen. Ovaj mehanizam radi tjedno.

  4. Provedba vremena osmišljavanja: uključite provedbu kršenja DLP-a tijekom osmišljavanja kako bi vlasnici postojećih tokova bili obaviješteni o predstojećoj promjeni provedbe DLP-a, ali svi promijenjeni tokovi dobivaju potpunu evaluaciju politike DLP-a u vrijeme projektiranja. To je poznato i kao meka provedba.

    • Vrijeme projektiranja: Kada se tijek ažurira i spremi, upotrijebite ažuriranu provedbu DLP-a i po potrebi obustavite protok kako bi proizvođač odmah bio svjestan provedbe.

    • Pozadinski postupak: Kada pozadinski posao izvršenja DLP-a pronađe kršenje u tijeku, obavijestite vlasnike toka da će tijek biti obustavljen. Taj mehanizam uključuje stvaranje ili izmjene politike DLP-a i provjere dosljednosti.

  5. Potpuna provedba: uključite potpunu provedbu kršenja DLP-a kako bi se pravila DLP-a u potpunosti provodila na svim postojećim i novim tokovima. Pravila DLP-a u potpunosti se provode kada se tokovi spremaju tijekom procjene pozadinskog zadatka provedbe DLP-a. To je poznato i kao teška provedba.

Popis promjena provedbe DLP-a

U sljedećoj su tablici navedene promjene provedbe DLP-a i datum stupanja na snagu promjena.

Date Opis Razlog promjene Faza Dostupnost provedbe vremena projektiranja* Potpuna dostupnost provedbe*
Svibanj 2022. Delegirana autorizacija pozadina provedbe posla Pravila DLP-a primjenjuju se na tokovima koji koriste delegiranu autorizaciju tijekom spremanja tijeka, ali ne i tijekom pozadinske procjene posla. Potpuni 2. lipnja 2022. 21. srpnja 2022.
Svibanj 2022. Zatraži provedbu okidača apiConnection DLP pravila nisu ispravno provedena za neke okidače. Zahvaćeni okidači imaju type=Request i kind=apiConnection. Mnogi od zahvaćenih okidača su trenutni okidači koji se koriste u trenutnim ili ručno aktiviranim tokovima. Zahvaćeni okidači uključuju sljedeće.
- Power BI: Power BI kliknut gumb
- Timovi: iz kutije za sastavljanje (V2)
- OneDrive za posao: za odabranu datoteku
- Dataverse: kada se korak toka pokrene iz tijek poslovnog procesa
- Dataverse (naslijeđeno): kada je odabran zapis
- Excel Online (poslovni): za odabrani redak
- SharePoint: za odabranu stavku
- Microsoft Copilot Studio: Kada Copilot Studio poziva tok (V2)		 Potpuni 2. lipnja 2022. 25. kolovoza 2022.
Lipanj 2022. Nametanje pravilnika DLP-a o podređenim tokovima Omogućite provedbu pravilnika DLP-a kako biste uključili podređene tokove. Ako se kršenje pronađe bilo gdje u stablu toka, nadređeni tok je obustavljen. Nakon uređivanja i spremanja podređenog tijeka radi uklanjanja kršenja, nadređeni tokovi mogu se ponovno spremiti ili ponovno aktivirati kako bi se ponovno pokrenula procjena pravila DLP-a. Promjena koja više ne blokira podređene tokove kada je HTTP konektor blokiran uvest će se zajedno s potpunom provedbom pravila DLP-a o podređenim tokovima. Nakon što potpuna provedba bude dostupna, provedba će uključivati podređene tokove radne površine. Potpuni 14. veljače 2023. Ožujak 2023.
siječanj 2023. Nametanje pravilnika DLP-a o podređenim tokovima radne površine Omogućite provedbu pravilnika DLP-a da biste uključili podređene tokove radne površine. Ako se kršenje pronađe bilo gdje u stablu toka, nadređeni tijek radne površine je obustavljen. Nakon uređivanja i spremanja podređenog tijeka radne površine radi uklanjanja kršenja, nadređeni tokovi radne površine automatski se ponovno aktiviraju. Učenje - Kolovoz 2023.

*Raspored dostupnosti može se promijeniti i ovisi o uvođenju.

Suspenzija protoka za kršenje DLP-a

Obustavljeni tokovi prikazuju se kao obustavljeni Power Automate na portalu proizvođača i Power Platform u centru za administratore. Kada se tijek vrati kroz akciju Power Automate API, PowerShell ilipopis poveznika za upravljanje teče "kao administrator", tijek ima State=Suspended,FlowSuspensionReason=CompanyDlpViolation i vrijednost FlowSuspensionTime koja pokazuje kada je tijek obustavljen.

Poznata ograničenja

Saznajte više o poznatim problemima DLP-a.

Pogledajte

Dodatne informacije o okruženjima
Saznajte više o Power Automate
Dodatne informacije o centru za administratore