Impostare criteri per prevenire la perdita dei dati

  • Articolo

I dati di un'organizzazione sono cruciali per il suo successo. I dati devono essere immediatamente disponibili per il processo decisionale, ma devono comunque essere protetti in modo che non possano essere condivisi con gruppi di destinatari che non dovrebbero disporre dell'accesso. Per proteggere i tuoi dati aziendali, Power Automate ti permette di creare e applicare criteri che stabiliscono quali connettori possono accedere ai dati di business e condividerli. I criteri che definiscono le modalità di condivisione dei dati sono detti "criteri di prevenzione della perdita dei dati" (DLP).

Gli amministratori controllano i criteri DLP. Se i criteri DLP bloccano l'esecuzione dei tuoi flussi, contatta l'amministratore.

Altre informazioni sulla protezione dei tuoi dati con i criteri di prevenzione della perdita di dati.

Prevenzione della perdita di dati per flussi desktop

Power Automate ti consente di creare e applicare criteri DLP che classificano i moduli del flusso desktop e le azioni dei singoli moduli come aziendali, non aziendali o bloccati. Questa categorizzazione impedisce agli autori di combinare moduli e azioni di diverse categorie in un flusso desktop o tra un flusso cloud e i flussi desktop che usa.

Importante

  • L'applicazione dei criteri DLP è disponibile solo per Ambienti gestiti. A partire da settembre 2024, solo i flussi desktop che si trovano in Ambienti gestiti verranno valutati tramite criteri DLP.
  • La prevenzione della perdita di dati per i flussi desktop è disponibile per le versioni di Power Automate per desktop 2.14.173.21294 o successive. Se stai utilizzando una versione precedente, disinstallala ed esegui l'aggiornamento alla versione più recente.

Visualizza i gruppi di azioni del flusso desktop

Per impostazione predefinita, i gruppi di azioni dei flussi desktop non vengono visualizzati durante la creazione dei criteri DLP. Devi attivare l'impostazione Mostra azioni del flusso desktop nei criteri DLP nelle impostazioni relative al tenant.

Se hai optato per l'anteprima pubblica, l'impostazione Azioni dei flussi desktop in DLP è già abilitata e non può essere modificata.

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Nel pannello a sinistra, seleziona Impostazioni.

  3. Nella pagina Impostazioni tenant, seleziona Azioni del flusso desktop in DLP.

  4. Attiva Mostra azioni del flusso desktop nei criteri DLP e quindi seleziona Salva.

    Screenshot dell'impostazione DLP per flussi desktop nell'interfaccia di amministrazione Power Platform.

Ora puoi classificare i gruppi di azioni del flusso desktop quando crei un criterio dati.

Creare un criterio DLP con restrizioni sul flusso desktop

Quando gli amministratori modificano o creano un criterio, i gruppi di azioni dei flussi desktop vengono aggiunti al gruppo predefinito e il criterio viene applicato dopo il salvataggio. Il criterio viene sospeso se il gruppo predefinito è impostato su Bloccato e i flussi desktop sono in esecuzione negli ambienti di destinazione.

Puoi gestire i criteri DLP per i flussi desktop nello stesso modo in cui gestisci i connettori e le azioni del flusso cloud. I moduli del flusso desktop sono gruppi di azioni simili a quelle visualizzate nell'interfaccia utente di Power Automate per desktop. Un modulo è simile ai connettori utilizzati nei flussi cloud. È possibile definire un criterio DLP che gestisca sia i moduli del flusso desktop che i connettori del flusso cloud. Alcuni moduli di base, come le Variabili, non possono essere gestiti nell'ambito dei criteri DLP perché quasi tutti i flussi desktop devono utilizzarli. Altre informazioni sulle nozioni fondamentali dei criteri DLP e su come crearli.

Quando il tenant ha attivato l'esperienza utente in Power Platform, i tuoi amministratori vedranno automaticamente i nuovi moduli di flussi desktop nel gruppo di dati predefinito dei criteri DLP che stanno creando o aggiornando.

Screenshot di un criterio DLP in realizzazione nell'interfaccia di amministrazione di Power Platform.

Avviso

Quando i moduli del flusso desktop vengono aggiunti ai criteri DLP, i flussi desktop del tenant vengono valutati rispetto a tali criteri e vengono sospesi se non sono conformi. Se il tuo amministratore crea o aggiorna i criteri DLP senza prendere atto dei nuovi moduli, i flussi desktop possono essere sospesi inaspettatamente.

Eseguire la governance dei flussi desktop al di fuori della prevenzione della perdita di dati

Il controllo granulare sull'utilizzo dei flussi desktop in tutte le macchine, come descritto nelle sezioni precedenti, si applica solo agli ambienti gestiti. Esistono altre opzioni per eseguire la governance dei flussi desktop.

  • Governance dell'orchestrazione del flusso desktop: la governance del connettore del flusso desktop può essere eseguita nei tuoi criteri come qualsiasi altro connettore in tutti gli ambienti.

  • Governance dell'utilizzo di Power Automate per desktop: puoi eseguire la governance di Power Automate per flussi desktop tramite GPO. Questa governance ti consente di attivare o disattivare i flussi desktop per azioni quali la limitazione a un insieme di ambienti o aree geografiche, la limitazione dell'uso di tipi di account e la limitazione degli aggiornamenti manuali.

Altre informazioni sulla governance in Power Automate.

Moduli di flussi desktop in DLP

I seguenti moduli di flusso desktop sono disponibili in DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sessione CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Appunti
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compressione
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Crittografia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Cartella
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive Servizi cognitivi di IBM
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Finestre di messaggio
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse e tastiera
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Esegui flusso
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulazione terminale
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automazione interfaccia utente
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servizi Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Supporto di PowerShell per moduli di flussi desktop

Se non vuoi attivare l'impostazione Mostra azioni del flusso desktop nei criteri DLP, puoi comunque utilizzare il seguente script di PowerShell per aggiungere tutti i moduli di flussi desktop al gruppo Bloccato di un criterio DLP. Se hai già attivato l'impostazione, non devi utilizzare questo script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Il seguente script di PowerShell aggiunge due specifici moduli di flusso desktop al gruppo di dati predefinito di un criterio DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script di PowerShell per rifiutare esplicitamente i flussi desktop

Se non desideri usare la funzionalità DLP per flussi desktop, puoi utilizzare il seguente script di PowerShell per rifiutare esplicitamente.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Dopo che i criteri sono abilitati

Se i tuoi utenti non hanno l'ultima versione di Power Automate per desktop, l'applicazione dei criteri DLP sarà limitata. Non vedranno i messaggi di errore in fase di progettazione quando tenteranno di eseguire, salvare o effettuare il debug dei flussi desktop che violano i criteri DLP. I processi in background analizzano periodicamente i flussi desktop nell'ambiente e sospendono automaticamente quelli che violano i criteri DLP. Gli utenti non potranno eseguire flussi desktop da un flusso cloud se il flusso desktop viola qualsiasi criterio di prevenzione della perdita di dati.

Gli autori che dispongono della versione più recente Power Automate per desktop non possono eseguire, salvare o effettuare il debug dei flussi desktop che violano i criteri DLP. Non potranno inoltre selezionare un flusso desktop che viola un criterio DLP da un passaggio del flusso cloud.

Applicazione e sospensione della prevenzione della perdita dei dati

Quando crei o modifichi un flusso, Power Automate lo valuta rispetto all'attuale set di criteri DLP. L'applicazione è asincrona e si verifica entro 24 ore.

Quando crei o modifichi un criterio DLP, un processo in background esegue la scansione di tutti i flussi attivi nell'ambiente, li valuta e quindi sospende i flussi che violano il criterio. L'applicazione è asincrona e si verifica entro 24 ore. Se si verifica un cambiamento nel criterio DLP durante la valutazione del criterio DLP precedente, la valutazione ricomincia per garantire l'applicazione dei criteri più recenti.

Settimanalmente, un processo in background esegue un controllo di coerenza di tutti i flussi attivi nell'ambiente rispetto ai criteri DLP per verificare che non sia stato perso un controllo dei criteri DLP.

Riattivazione della prevenzione della perdita dei dati

Se il processo in background per l'applicazione del DLP rileva un flusso desktop che non viola più alcun criterio DLP, ne annulla la sospensione automaticamente. Il processo in background per l'applicazione del DLP invece non annulla automaticamente la sospensione dei flussi cloud.

Processo di modifica dell'applicazione DLP

Periodicamente, l'applicazione del DLP deve cambiare perché vengono implementate nuove funzionalità DLP o vengono corretti bug o colmate lacune nell'applicazione. Quando le modifiche possono influire sui flussi esistenti, applica il seguente processo di gestione delle modifiche dell'applicazione DLP in fasi:

  1. Indagine: conferma la necessità di una modifica dell'applicazione della DLP e indaga sulle specifiche della modifica.

  2. Apprendimento: implementa la modifica e raccoglie i dati sull'estensione degli effetti della modifica. Documenta le modifiche all'applicazione DLP per spiegare l'ambito della modifica. Se i dati suggeriscono che i clienti saranno fortemente interessati, potrebbe essere inviata una comunicazione a quei clienti per informarli della modifica imminente. Se la modifica ha un ampio impatto sui flussi esistenti, successivamente nella fase di apprendimento, quando il processo in background per l'applicazione dei criteri DLP rileva una violazione in un flusso esistente, Power Automate notifica ai proprietari del flusso l'imminente sospensione del flusso affinché abbiano più tempo per intervenire.

  3. Solo notifica: attiva le notifiche e-mail solo per le violazioni della DLP in modo che i proprietari dei flussi esistenti ricevano una notifica sull'imminente modifica dell'applicazione della DLP. Quando il processo di applicazione DLP in background rileva una violazione in un flusso esistente, notificare ai proprietari del flusso che il flusso verrà sospeso. Questo meccanismo viene eseguito settimanalmente.

  4. Applicazione in fase di progettazione: attiva l'applicazione in fase di progettazione delle violazioni della DLP in modo che i proprietari dei flussi esistenti vengano informati dell'imminente modifica dell'applicazione della DLP, ma tutti i flussi che vengono modificati ottengono una valutazione completa dei criteri DLP in fase di progettazione. Nota anche come applicazione graduale.

    • In fase di progettazione: quando un flusso viene aggiornato e salvato, usa l'applicazione DLP aggiornata e sospendi il flusso, se necessario, in modo che l'autore venga subito a conoscenza dell'applicazione.

    • Processo in background: quando il processo in background per l'applicazione della DLP rileva una violazione in un flusso esistente, notifica ai proprietari del flusso che il flusso verrà sospeso in futuro. Questo meccanismo include la creazione o le modifiche ai criteri DLP e i controlli di coerenza.

  5. Applicazione completa: attiva l'applicazione completa delle violazioni DLP, in modo che i criteri DLP vengano applicati completamente a tutti i flussi esistenti e nuovi. I criteri DLP vengono applicati completamente quando i flussi vengono salvati durante la valutazione del lavoro in background dell'applicazione dei DLP. Nota anche come applicazione obbligatoria.

Elenco di modifica dell'applicazione DLP

La tabella seguente riporta un elenco delle modifiche all'applicazione DLP e la data di validità delle modifiche.

Date Descrizione Motivo della modifica Fase Disponibilità dell'applicazione in fase di progettazione* Disponibilità completa dell'applicazione*
Maggio 2022 Autorizzazione delegata applicazione del lavoro in background I criteri DLP vengono applicati per i flussi che utilizzano l'autorizzazione delegata durante il salvataggio del flusso, ma non durante la valutazione del processo in background. Completa 2 giugno 2022 21 luglio 2022
Maggio 2022 Richiedi l'applicazione del trigger apiConnection I criteri DLP non sono stati applicati correttamente per alcuni trigger. I trigger interessati hanno type=Request e kind=apiConnection. Molti dei trigger interessati sono trigger istantanei usati nei flussi istantanei o attivati manualmente. I trigger interessati includono i seguenti.
- Power BI: pulsante Power BI selezionato
- Teams: dalla casella di composizione (V2)
- OneDrive for Business: per un file selezionato
- Dataverse: quando un passaggio di flusso viene eseguito da un processo aziendale
- Dataverse (legacy): quando viene selezionato un record
- Excel Online (Business): per una riga selezionata
- SharePoint: per un elemento selezionato
- Microsoft Copilot Studio: quando Copilot Studio chiama un flusso (V2)		 Completa 2 giugno 2022 25 agosto 2022
Luglio 2022 Applicare i criteri DLP sui flussi figlio Abilita l'applicazione dei criteri DLP per includere i flussi figlio. Se viene rilevata una violazione in un punto qualsiasi della struttura del flusso, il flusso padre viene sospeso. Dopo che il flusso figlio è stato modificato e salvato per rimuovere la violazione, i flussi padre possono essere salvati di nuovo o riattivati per eseguire nuovamente la valutazione dei criteri DLP. Una modifica per non bloccare più i flussi figlio quando il connettore HTTP è bloccato verrà implementata insieme all'applicazione completa dei criteri DLP sui flussi figlio. Una volta che l'applicazione completa sarà disponibile, l'applicazione includerà i flussi desktop secondari. Completa 14 febbraio 2023 Marzo 2023
Gennaio 2023 Applicare i criteri DLP sui flussi desktop figlio Abilita l'applicazione dei criteri DLP per includere i flussi desktop figlio. Se viene rilevata una violazione in un punto qualsiasi della struttura del flusso desktop, il flusso padre viene sospeso. Dopo che il flusso desktop figlio è stato modificato e salvato per rimuovere la violazione, i flussi desktop padre vengono riattivati automaticamente. Apprendimento - Agosto 2023

*La pianificazione della disponibilità potrebbe cambiare e dipende dall'implementazione.

Sospensione del flusso per violazione della prevenzione della perdita dei dati

I flussi sospesi vengono visualizzati come sospesi in Power Automate Maker Portal e nell'interfaccia di amministrazione di Power Platform. Quando un flusso viene restituito tramite un API, PowerShell o l'azione Elenca flussi "come amministratore" del connettore di gestione di Power Automate, il flusso sarà State=Suspended e avrà il valore FlowSuspensionReason=CompanyDlpViolation e un valore FlowSuspensionTime che indica il momento in cui il flusso è stato sospeso..

Limitazioni note

Ulteriori informazioni sui problemi noti della prevenzione della perdita dei dati.

Vedi anche

Altre informazioni sugli ambienti
Ulteriori informazioni su Power Automate
Altre informazioni sull'interfaccia di amministrazione