Menetapkan kebijakan untuk membantu mencegah kehilangan data

  • Artikel

Data organisasi sangat penting untuk keberhasilannya. Datanya harus tersedia untuk pengambilan keputusan, tetapi pada saat yang sama dilindungi sehingga tidak dibagikan dengan audiens yang seharusnya tidak memiliki akses ke sana. Untuk melindungi data bisnis Anda, Power Automate memberi Anda kemampuan untuk membuat dan menerapkan kebijakan yang menentukan konektor mana yang dapat mengakses dan membagikannya. Kebijakan yang menentukan bagaimana data dapat dibagikan disebut sebagai kebijakan pencegahan kehilangan data (DLP).

Administrator mengontrol kebijakan DLP. Jika kebijakan DLP memblokir alur Anda agar tidak berjalan, hubungi administrator Anda.

Pelajari lebih lanjut cara melindungi data Anda dengan kebijakan pencegahan kehilangan data.

Pencegahan kehilangan data untuk alur desktop

Power Automate memungkinkan Anda membuat dan menerapkan kebijakan DLP yang mengklasifikasikan modul alur desktop dan tindakan modul individual sebagai Bisnis, Non-bisnis, atau Diblokir. Kategorisasi ini mencegah pembuat menggabungkan modul dan tindakan dari berbagai kategori ke dalam alur desktop atau antara alur cloud dan alur desktop yang digunakannya.

Penting

  • Penegakan kebijakan DLP hanya tersedia untuk Lingkungan Terkelola . Mulai September 2024, hanya alur desktop yang berada di Lingkungan Terkelola yang akan dievaluasi oleh kebijakan DLP.
  • DLP untuk alur desktop tersedia untuk versi desktop 2.14.173.21294 atau yang Power Automate lebih baru. Jika Anda menggunakan versi sebelumnya, hapus instalannya dan perbarui ke versi terbaru.

Menampilkan grup tindakan alur desktop

Secara default, grup tindakan alur desktop tidak muncul saat Anda membuat kebijakan DLP. Anda perlu mengaktifkan pengaturan Tampilkan tindakan alur desktop dalam kebijakan DLP di pengaturan penyewa Anda.

Jika Anda memilih pratinjau publik, tindakan alur Desktop dalam pengaturan DLP sudah diaktifkan dan tidak dapat diubah.

  1. Masuk ke pusat admin Power Platform.

  2. Di panel sisi kiri, pilih Pengaturan.

  3. Pada halaman Pengaturan penyewa, pilih Tindakan alur desktop di DLP.

  4. Aktifkan Perlihatkan tindakan alur desktop dalam kebijakan DLP, lalu pilih Simpan.

    Cuplikan layar pengaturan alur DLP untuk desktop di Power Platform pusat admin.

Anda sekarang dapat mengklasifikasikan grup tindakan alur desktop saat membuat kebijakan data.

Membuat kebijakan DLP dengan pembatasan alur desktop

Saat admin mengedit atau membuat kebijakan, grup tindakan alur desktop ditambahkan ke grup default, dan kebijakan diterapkan setelah disimpan. Kebijakan ditangguhkan jika grup default diatur ke Diblokir dan alur desktop berjalan di lingkungan target.

Anda dapat mengelola kebijakan DLP untuk alur desktop dengan cara yang sama seperti mengelola konektor dan tindakan alur cloud. Modul alur desktop adalah grup tindakan serupa seperti yang Power Automate ditampilkan di antarmuka pengguna untuk desktop. Modul mirip dengan konektor yang digunakan dalam aliran cloud. Anda dapat menentukan kebijakan DLP yang mengelola modul alur desktop dan konektor alur cloud. Beberapa modul dasar, seperti Variabel, tidak dapat dikelola dalam cakupan kebijakan DLP karena hampir semua alur desktop perlu menggunakannya. Pelajari lebih lanjut dasar-dasar kebijakan DLP dan cara membuatnya.

Saat penyewa Anda diikutsertakan dalam pengalaman pengguna di, Power Platform administrator Anda secara otomatis melihat modul alur desktop baru dalam grup data default dari kebijakan DLP yang mereka buat atau perbarui.

Cuplikan layar kebijakan DLP yang sedang dibangun di Power Platform pusat admin.

Peringatan

Saat modul alur desktop ditambahkan ke kebijakan DLP, alur desktop penyewa Anda dievaluasi terhadapnya dan ditangguhkan jika tidak patuh. Jika administrator Anda membuat atau memperbarui kebijakan DLP tanpa memperhatikan modul baru, alur desktop dapat ditangguhkan secara tiba-tiba.

Mengatur alur desktop di luar DLP

Kontrol terperinci atas penggunaan alur desktop pada semua komputer seperti yang dijelaskan di bagian sebelumnya hanya berlaku untuk Lingkungan Terkelola. Anda memiliki opsi lain untuk mengatur alur desktop.

  • Kemampuan untuk mengatur orkestrasi alur desktop: Konektor alur desktop dapat diatur dalam kebijakan Anda seperti konektor lain di semua lingkungan.

  • Kemampuan untuk mengatur penggunaan Power Automate untuk desktop: Anda dapat mengatur Power Automate alur desktop melalui GPO. Tata kelola ini memungkinkan Anda mengaktifkan atau menonaktifkan alur desktop untuk tindakan seperti membatasi sekumpulan lingkungan atau wilayah, membatasi penggunaan jenis akun, dan membatasi pembaruan manual.

Pelajari selengkapnya tentang tata kelola di Power Automate.

Modul alur desktop di DLP

Modul alur desktop berikut tersedia dalam DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory Direktori Aktif
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Otomatisasi Browser
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesi CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografi
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Kognitif Google kognitif
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitif
  • Kotak pesan providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitif
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse dan keyboard
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Jalankan alur
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Pembuatan skrip
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulasi terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomasi otomatisasi UI
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Layanan Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Stasiun Kerja Stasiun Kerja
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Dukungan PowerShell untuk modul alur desktop

Jika Anda tidak ingin mengaktifkan pengaturan Perlihatkan tindakan alur desktop dalam kebijakan DLP, Anda dapat menggunakan skrip PowerShell berikut ini untuk menambahkan semua modul alur desktop ke grup Kebijakan DLP yang Diblokir . Jika Anda sudah mengaktifkan setelan, Anda tidak perlu menggunakan skrip ini.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Skrip PowerShell berikut menambahkan dua modul alur desktop tertentu ke grup data default kebijakan DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skrip PowerShell untuk menyisih dari alur desktop

Jika Anda tidak ingin menggunakan fitur DLP untuk alur desktop, Anda dapat menggunakan skrip PowerShell berikut untuk memilih keluar.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Setelah kebijakan diaktifkan

Jika pengguna Anda tidak memiliki desktop terbaru Power Automate , penegakan kebijakan DLP dibatasi. Mereka tidak melihat pesan kesalahan waktu desain saat mencoba menjalankan, men-debug, atau menyimpan alur desktop yang melanggar kebijakan DLP. Pekerjaan latar belakang secara berkala memindai alur desktop di lingkungan dan secara otomatis menangguhkan apa pun yang melanggar kebijakan DLP. Pengguna tidak dapat menjalankan alur desktop dari alur cloud jika alur desktop melanggar kebijakan pencegahan kehilangan data.

Pembuat yang memiliki desktop terbaru Power Automate tidak dapat men-debug, menjalankan, atau menyimpan alur desktop yang melanggar kebijakan DLP. Mereka juga tidak dapat memilih alur desktop yang melanggar kebijakan DLP dari langkah alur cloud.

Penegakan dan penangguhan DLP

Saat Anda membuat atau mengedit alur, Power Automate evaluasilah terhadap kumpulan kebijakan DLP saat ini. Penegakan tidak sinkron dan terjadi dalam waktu 24 jam.

Saat Anda membuat atau mengubah kebijakan DLP, pekerjaan latar belakang memindai semua alur aktif di lingkungan, mengevaluasinya, lalu menangguhkan alur yang melanggar kebijakan. Penegakan tidak sinkron dan terjadi dalam waktu 24 jam. Jika perubahan kebijakan DLP terjadi ketika kebijakan DLP sebelumnya sedang dievaluasi, maka evaluasi dimulai ulang untuk memastikan kebijakan terbaru diberlakukan.

Setiap minggu, pekerjaan latar belakang melakukan pemeriksaan konsistensi semua alur aktif di lingkungan terhadap kebijakan DLP untuk mengonfirmasi bahwa pemeriksaan kebijakan DLP tidak terlewatkan.

Pengaktifan ulang DLP

Jika pekerjaan latar belakang penegakan DLP menemukan alur desktop yang tidak lagi melanggar kebijakan DLP apa pun, maka pekerjaan latar belakang secara otomatis menghapus penangguhan. Namun, pekerjaan latar belakang penegakan DLP tidak secara otomatis membatalkan penangguhan alur cloud.

Proses perubahan penegakan DLP

Secara berkala, penegakan DLP perlu diubah karena kemampuan DLP baru atau perbaikan bug diluncurkan atau celah penegakan diisi. Ketika perubahan dapat memengaruhi alur yang ada, terapkan proses manajemen perubahan penegakan DLP bertahap berikut:

  1. Investigasi: Konfirmasikan perlunya perubahan penegakan DLP dan selidiki secara spesifik perubahan tersebut.

  2. Belajar: Menerapkan perubahan dan mengumpulkan data tentang luasnya efek perubahan. Mendokumentasikan perubahan penegakan DLP untuk menjelaskan ruang lingkup perubahan. Jika data menunjukkan bahwa pelanggan akan sangat terpengaruh, maka komunikasi dapat dikirim ke pelanggan tersebut untuk memberi tahu mereka bahwa perubahan akan datang. Jika perubahan memiliki dampak luas pada aliran yang ada, maka pada tahap selanjutnya dalam fase pembelajaran, ketika pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam aliran yang ada, Power Automate memberi tahu pemilik aliran bahwa aliran akan ditangguhkan, sehingga mereka memiliki lebih banyak waktu untuk merespons.

  3. Hanya beri tahu: Aktifkan notifikasi email hanya untuk pelanggaran DLP sehingga pemilik alur yang ada mendapatkan notifikasi tentang perubahan penerapan DLP yang akan datang. Saat pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur yang ada, beri tahu pemilik alur bahwa alur akan ditangguhkan. Mekanisme ini berjalan setiap minggu.

  4. Penegakan waktu desain: Aktifkan penegakan waktu desain pelanggaran DLP sehingga pemilik alur yang ada mendapatkan pemberitahuan tentang perubahan penerapan DLP yang akan datang, tetapi alur apa pun yang diubah mendapatkan evaluasi kebijakan DLP lengkap pada waktu desain. Ini juga dikenal sebagai penegakan lunak.

    • Waktu desain: Saat alur diperbarui dan disimpan, gunakan penerapan DLP yang diperbarui dan tangguhkan alur jika diperlukan sehingga pembuat segera mengetahui penegakan.

    • Proses latar belakang: Saat tugas penegakan DLP latar belakang menemukan pelanggaran dalam alur, beri tahu pemilik alur bahwa alur akan ditangguhkan. Mekanisme ini mencakup pembuatan atau perubahan kebijakan DLP dan pemeriksaan konsistensi.

  5. Penegakan penuh: Aktifkan penegakan penuh pelanggaran DLP, sehingga kebijakan DLP diberlakukan sepenuhnya pada semua alur yang ada dan yang baru. Kebijakan DLP sepenuhnya diberlakukan saat alur disimpan selama evaluasi pekerjaan latar belakang penegakan DLP. Ini juga dikenal sebagai penegakan keras.

Daftar perubahan penerapan DLP

Tabel berikut mencantumkan perubahan penerapan DLP dan tanggal perubahan efektif.

Date Description Alasan perubahan Tahap Ketersediaan penegakan waktu desain* Ketersediaan penegakan penuh*
Mei 2022 Penegakan pekerjaan latar belakang otorisasi yang didelegasikan Kebijakan DLP diberlakukan pada alur yang menggunakan otorisasi yang didelegasikan saat alur disimpan, tetapi tidak selama evaluasi pekerjaan latar belakang. Penuh 2 Juni 2022 21 Juli 2022
Mei 2022 Meminta pemberlakuan pemicu apiConnection Kebijakan DLP tidak diberlakukan dengan benar untuk beberapa pemicu. Pemicu yang terpengaruh memiliki type=Request dan kind=apiConnection. Banyak pemicu yang terpengaruh adalah pemicu instan, yang digunakan dalam aliran instan, atau dipicu secara manual. Pemicu yang terpengaruh meliputi berikut ini.
- Power BI: Power BI tombol diklik
- Tim: Dari kotak tulis (V2)
- OneDrive untuk Bisnis: Untuk file yang dipilih
- Dataverse: Saat langkah alur dijalankan dari alur proses bisnis
- Dataverse (warisan): Saat rekaman dipilih
- Excel Online (Business): Untuk baris yang dipilih
- SharePoint: Untuk item yang dipilih
- Microsoft Copilot Studio: Saat Copilot Studio memanggil aliran (V2)		 Penuh 2 Juni 2022 25 Agustus 2022
Juli 2022 Menerapkan kebijakan DLP pada alur turunan Aktifkan penegakan kebijakan DLP untuk menyertakan alur turunan. Jika pelanggaran ditemukan di mana saja di pohon aliran, alur induk ditangguhkan. Setelah alur turunan diedit dan disimpan untuk menghapus pelanggaran, alur induk dapat disimpan kembali atau diaktifkan kembali untuk menjalankan evaluasi kebijakan DLP lagi. Perubahan untuk tidak lagi memblokir alur turunan saat konektor HTTP diblokir akan diluncurkan bersama dengan penegakan penuh kebijakan DLP pada alur turunan. Setelah penegakan penuh tersedia, penerapan akan menyertakan alur desktop turunan. Penuh 14 Februari 2023 Maret 2023
January 2023 Menerapkan kebijakan DLP pada alur desktop turunan Aktifkan penerapan kebijakan DLP untuk menyertakan alur desktop turunan. Jika pelanggaran ditemukan di mana saja di pohon alur, alur induk desktop ditangguhkan. Setelah alur desktop anak diedit dan disimpan untuk menghapus pelanggaran, alur desktop induk diaktifkan kembali secara otomatis. Pembelajaran - Agustus 2023

*Jadwal ketersediaan dapat berubah dan tergantung pada peluncuran.

Penangguhan aliran untuk pelanggaran DLP

Alur yang ditangguhkan ditampilkan sebagai ditangguhkan di Power Automate portal pembuat dan Power Platform pusat admin. Saat alur dikembalikan melalui tindakan Power Automate API, PowerShell, ataudaftar konektor Manajemen mengalir "sebagai Admin", alur memiliki State=Suspended,FlowSuspensionReason=CompanyDlpViolation, dan nilai FlowSuspensionTime yang menunjukkan kapan alur ditangguhkan.

Pembatasan yang diketahui

Pelajari masalah umum DLP.

Baca juga

Pelajari selengkapnya tentang lingkungan
Pelajari selengkapnya tentang Power Automate
Pelajari selengkapnya tentang pusat admin