Деректер жоғалуының алдын алуға көмектесетін саясатты орнату

Мақала
05/01/2024

Ұйымның деректері оның жетістігі үшін өте маңызды. Оның деректері шешім қабылдау үшін оңай қол жетімді болуы керек, бірақ сонымен бірге оған қол жеткізе алмайтын аудиториямен бөліспеу үшін қорғалған болуы керек. Бизнес деректеріңізді қорғау үшін Power Automate қай қосқыштар оларға қол жеткізе алатынын және бөлісе алатынын анықтайтын саясаттарды жасау және қолдану мүмкіндігін береді. Деректерді ортақ пайдалану жолын анықтайтын саясаттар деректер жоғалуының алдын алу (DLP) саясаттары деп аталады.

Әкімшілер DLP саясаттарын басқарады. Егер DLP саясаты ағындарыңызды іске қосуға тыйым салса, әкімшіңізге хабарласыңыз.

Деректерді жоғалтуды болдырмау саясаттары арқылы деректерді қорғау туралы қосымша ақпарат алыңыз.

Жұмыс үстелі ағындары үшін деректердің жоғалуын болдырмау

жұмыс үстелі ағынының модульдерін және жеке модуль әрекеттерін Бизнес, Бизнес емес ретінде жіктейтін DLP саясаттарын жасауға және орындауға мүмкіндік береді. >, немесе Блокталған. Бұл санаттау жасаушыларға модульдер мен әрекеттерді әртүрлі санаттардағы жұмыс үстелі ағынына немесе бұлт ағыны мен ол пайдаланатын жұмыс үстелі ағындары арасында біріктіруге жол бермейді.

Маңызды

DLP саясаттарын орындау Басқарылатын орталар үшін ғана қолжетімді. 2024 жылдың қыркүйегінен бастап басқарылатын орталарда орналасқан жұмыс үстелі ағындары ғана DLP саясаттары арқылы бағаланады.
Жұмыс үстелі ағындарына арналған DLP жұмыс үстеліне арналған Power Automate 2.14.173.21294 немесе одан кейінгі нұсқалары үшін қолжетімді. Бұрынғы нұсқаны пайдалансаңыз, оны жойып, соңғы нұсқаға жаңартыңыз.

Жұмыс үстелі ағынының әрекет топтарын қараңыз

Әдепкі бойынша, DLP саясатын жасаған кезде жұмыс үстелі ағынының әрекет топтары пайда болмайды. Жалға алушы параметрлерінде DLP саясаттарында жұмыс үстелі ағынының әрекеттерін көрсету параметрін қосу керек.

Жалпыға ортақ алдын ала қарауды таңдаған болсаңыз, DLP параметріндегі Жұмыс үстелі ағыны әрекеттері бұрыннан қосылған және оны өзгерту мүмкін емес.

Power Platform басқару орталығынакіріңіз.
Бүйірлік тақтадан Сайт параметрлері пәрменін таңдаңыз.
Жалға алушы параметрлері бетінде DLP ішіндегі жұмыс үстелі ағынының әрекеттерін таңдаңыз.
DLP саясаттарында жұмыс үстелі ағынының әрекеттерін көрсету параметрін қосып, Сақтау таңдаңыз.

Енді деректер саясатын жасаған кезде жұмыс үстелі ағынының әрекет топтарын жіктей аласыз.

Жұмыс үстелі ағынының шектеулері бар DLP саясатын жасаңыз

Әкімшілер саясатты өңдегенде немесе жасағанда, жұмыс үстелі ағынының әрекет топтары әдепкі топқа қосылады және саясат ол сақталғаннан кейін қолданылады. Әдепкі топ Блокталған деп орнатылса және жұмыс үстелі ағындары мақсатты орталарда іске қосылса, саясат тоқтатылады.

Жұмыс үстелі ағындарына арналған DLP саясаттарын бұлттық ағын қосқыштары мен әрекеттерін басқаратындай басқаруға болады. Жұмыс үстелі ағынының модульдері Power Automate үшін жұмыс үстелі пайдаланушы интерфейсінде көрсетілген ұқсас әрекеттер тобы болып табылады. Модуль бұлттық ағындарда қолданылатын қосқыштарға ұқсас. Жұмыс үстелі ағынының модульдерін және бұлттық ағын қосқыштарын басқаратын DLP саясатын анықтауға болады. Кейбір негізгі модульдер, мысалы, Айнымалылар, DLP саясаты ауқымында басқару мүмкін емес, себебі барлық дерлік жұмыс үстелі ағындары оларды пайдалануы керек. DLP саясаттарының негіздері және оларды жасау жолы туралы көбірек біліңіз.

Жалға алушы Power Platform ішіндегі пайдаланушы тәжірибесіне қосылғанда, әкімшілеріңіз жаңа жұмыс үстелі ағынының модульдерін өздері жасап жатқан немесе жаңартып жатқан DLP саясатының әдепкі деректер тобында автоматты түрде көреді.

Power Platform басқару орталығында жасалып жатқан DLP саясатының скриншоты.

Ескерту

Жұмыс үстелі ағынының модульдері DLP саясаттарына қосылғанда, жалға алушының жұмыс үстелі ағындары оларға қарсы бағаланады және олар сәйкес келмейтін болса, тоқтатылады. Әкімшіңіз жаңа модульдерді байқамай DLP саясатын жасаса немесе жаңартса, жұмыс үстелі ағындары күтпеген жерден тоқтатылуы мүмкін.

DLP жүйесінен тыс жұмыс үстелі ағындарын басқарыңыз

Алдыңғы бөлімдерде сипатталғандай барлық машиналарда жұмыс үстелі ағындарын пайдалануды түйіршікті басқару тек басқарылатын орталарға қолданылады. Жұмыс үстелі ағындарын басқарудың басқа опциялары бар.

Жұмыс үстелі ағынының оркестрін басқару мүмкіндігі: Жұмыс үстелі ағынының қосқышын барлық орталардағы кез келген басқа қосқыш сияқты саясаттарыңызда басқаруға болады.
Power Automate жұмыс үстелі үшін пайдалануды басқару мүмкіндігі: GPO арқылы жұмыс үстелі ағындары үшін Power Automate басқаруға болады. Бұл басқару орталар немесе аймақтар жиынын шектеу, тіркелгі түрлерін пайдалануды шектеу және қолмен жаңартуларды шектеу сияқты әрекеттер үшін жұмыс үстелі ағындарын қосуға немесе өшіруге мүмкіндік береді.

Басқару туралы толығырақ ақпаратты Power Automate бөлімінен қараңыз.

DLP жүйесіндегі жұмыс үстелі ағынының модульдері

DLP жүйесінде келесі жұмыс үстелі ағынының модульдері қол жетімді:

провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Браузерді автоматтандыру
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD сеансы
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard алмасу буфері
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Криптография Криптография
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database дерекқоры
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Электрондық пошта
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File файлы
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder қалтасы
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google когнитивтік
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM когнитивтік
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Хабарлама жолақтары
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft когнитивтік
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Тінтуір және пернетақта
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Іске қосу ағыны
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting сценарийі
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System жүйесі
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Терминал эмуляциясы
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI автоматтандыру
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows қызметтері
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation жұмыс станциясы
провайдерлер/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Жұмыс үстелі ағынының модульдері үшін PowerShell қолдауы

Егер DLP саясаттарында жұмыс үстелі ағынының әрекеттерін көрсету параметрін қосқыңыз келмесе, барлық жұмыс үстелі ағыны модульдерін ішіне қосу үшін келесі PowerShell сценарийін пайдалануға болады. DLP саясатының блокталған тобы. Параметрді қосып қойған болсаңыз, бұл сценарийді пайдаланудың қажеті жоқ.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Келесі PowerShell сценарийі DLP саясатының әдепкі деректер тобына екі арнайы жұмыс үстелі ағыны модулін қосады.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Жұмыс үстелі ағындарынан бас тартуға арналған PowerShell сценарийі

Жұмыс үстелі ағындары үшін DLP мүмкіндігін пайдаланғыңыз келмесе, бас тарту үшін келесі PowerShell сценарийін пайдалануға болады.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Саясат қосылғаннан кейін

Пайдаланушыларыңызда жұмыс үстеліне арналған ең соңғы Power Automate болмаса, DLP саясатының орындалуы шектелген. Олар DLP саясаттарын бұзатын жұмыс үстелі ағындарын іске қосуға, жөндеуге немесе сақтауға әрекеттенген кезде дизайн уақытындағы қате туралы хабарларды көрмейді. Фондық жұмыс орындары ортадағы жұмыс үстелі ағындарын дүркін-дүркін сканерлеу және DLP саясатын бұзатын кез келген нәрсені автоматты түрде тоқтата тұру. Егер жұмыс үстелі ағыны деректер жоғалуының алдын алу саясатын бұзса, пайдаланушылар бұлт ағынынан жұмыс үстелі ағындарын іске қоса алмайды.

Ең соңғы Power Automate жұмыс үстеліне арналған жасаушылар DLP саясатын бұзатын жұмыс үстелі ағындарын жөндеу, іске қосу немесе сақтай алмайды. Олар сонымен қатар бұлттық ағын қадамынан DLP саясатын бұзатын жұмыс үстелі ағынын таңдай алмайды.

DLP орындау және тоқтата тұру

Ағынды жасағанда немесе өңдегенде, Power Automate оны DLP саясаттарының ағымдағы жинағымен салыстырады.
1. Ағындардың 99%-ын құрайтын еншілес ағынсыз ағындарды орындау синхронды және нақты уақытта орын алады.
2. Ағынды еншілес ағынмен орындау асинхронды болып табылады, өйткені еншілес ағындарды да бағалау қажет және ол 24 сағат ішінде орын алады.
DLP саясатын жасағанда немесе өзгерткенде, фондық тапсырма ортадағы барлық белсенді ағындарды сканерлейді, оларды бағалайды, содан кейін саясатты бұзатын ағындарды тоқтатады. Орындау асинхронды және 24 сағат ішінде орын алады. DLP саясатының өзгеруі алдыңғы DLP саясаты бағаланып жатқанда орын алса, соңғы саясаттардың орындалғанына көз жеткізу үшін бағалау қайта іске қосылады.
Апта сайын фондық тапсырма DLP саясатының тексерісін өткізіп алмағанын растау үшін ортадағы барлық белсенді ағындардың DLP саясаттарына сәйкестігін тексереді.

DLP қайта белсендіру

Егер DLP қолданудың фондық жұмысы енді ешқандай DLP саясатын бұзбайтын жұмыс үстелі ағынын тапса, фондық жұмыс тоқтата тұруды автоматты түрде жояды. Дегенмен, DLP орындау фондық тапсырмасы бұлт ағындарын автоматты түрде тоқтатпайды.

DLP қолдануды өзгерту процесі

Жаңа DLP мүмкіндіктері немесе қатені түзету шығарылатындықтан немесе орындаудағы бос орын толтырылғандықтан, DLP орындауы мерзімді түрде өзгеруі керек. Өзгерістер бар ағындарға әсер еткенде, келесі кезеңді DLP күшіне енетін өзгерістерді басқару процесін қолданыңыз:

Тергеу: DLP орындау өзгерісінің қажеттілігін растаңыз және өзгерістің ерекшеліктерін зерттеңіз.
Оқыту: Өзгерісті жүзеге асырыңыз және өзгеріс әсерлерінің кеңдігі туралы деректерді жинаңыз. Өзгеріс ауқымын түсіндіру үшін DLP орындау өзгерістерін құжаттаңыз. Егер деректер тұтынушыларға қатты әсер ететінін көрсетсе, сол тұтынушыларға өзгерістің келе жатқанын хабарлау үшін хабарлама жіберілуі мүмкін. Егер өзгеріс бар ағындарға кең әсер етсе, оқу кезеңіндегі кейінгі кезеңде, фондық DLP орындау жұмысы бар ағында бұзушылықты тапқан кезде, Power Automate ағын иелеріне жауап беру үшін көбірек уақыт болуы үшін ағынның тоқтатылатыны туралы хабарлайды.
Тек хабарлау : Электрондық пошта хабарландыруларын тек DLP бұзушылықтары үшін қосыңыз, осылайша бар ағындардың иелері алдағы DLP күшіне енгізу өзгерісі туралы хабардар болады. Фондық DLP орындау тапсырмасы бар ағында бұзушылықты тапқанда, ағын иелеріне ағынның тоқтатылатыны туралы хабарлаңыз. Бұл механизм апта сайын жұмыс істейді.
Жобалау уақытының орындалуы : Қолданыстағы ағындардың иелері алдағы DLP күшіне енгізу өзгерісі туралы хабарландыру алуы үшін, бірақ өзгертілген кез келген ағындар жобалау уақытында толық DLP саясатының бағасын алуы үшін DLP бұзушылықтарын жобалау уақытының күшіне енуін қосыңыз. Бұл сондай-ақ белгілі жұмсақ орындау.
- Жобалау уақыты : Ағын жаңартылған және сақталған кезде, жаңартылған DLP орындауын пайдаланыңыз және қажет болса, ағынды тоқтатыңыз, осылайша жасаушы күшіне ену туралы дереу хабардар болады.
- Фондық процесс : Фондық DLP орындау тапсырмасы ағында бұзушылықты тапқанда, ағын иелеріне ағынның тоқтатылатыны туралы хабарлаңыз. Бұл механизм DLP саясатын жасауды немесе өзгертуді және сәйкестікті тексеруді қамтиды.
Толық орындау : DLP ережелерін бұзудың толық орындалуын қосыңыз, осылайша DLP саясаттары барлық бар және жаңа ағындарда толығымен орындалады. DLP саясаттары ағындар DLP орындау фондық жұмысын бағалау кезінде сақталған кезде толығымен орындалады. Бұл сондай-ақ қатты орындау ретінде белгілі.

DLP қолдануды өзгерту тізімі

Келесі кестеде DLP күшіне енгізу өзгерістері және өзгертулер күшіне енген күн тізімі берілген.

Date	Сипаттама	Өзгеріс себебі	Кезең	Жобалау уақытының орындалуының қолжетімділігі*	Толық орындау мүмкіндігі*
Мамыр 2022	Өкілдік берілген рұқсаттың фондық тапсырмасын орындау	DLP саясаттары ағын сақталған кезде өкілетті рұқсатты пайдаланатын ағындарда орындалады, бірақ фондық тапсырманы бағалау кезінде емес.	Толық	2 маусым, 2022	21 шілде, 2022
Мамыр 2022	apiConnection триггерінің күшіне енуін сұрау	DLP саясаттары кейбір триггерлер үшін дұрыс орындалмады. Зардап шеккен триггерлерде type=Request және kind=apiConnection бар. Зардап шеккен триггерлердің көпшілігі лезде немесе қолмен іске қосылатын ағындарда пайдаланылатын лезде триггерлер болып табылады. Зардап шеккен триггерлерге мыналар жатады. - Power BI: Power BI түймесі басылды - Командалар: Құрастыру жолағынан (V2) - OneDrive Бизнес үшін: Таңдалған файл үшін - Dataverse: Ағын қадамы Бизнес процесінің ағыны файлынан іске қосылғанда - Dataverse (мұра): жазба таңдалғанда - Excel Online (Бизнес): Таңдалған жол үшін - SharePoint: Таңдалған элемент үшін - Microsoft Copilot Studio: Copilot Studio ағынды шақырғанда (V2)	Толық	2 маусым, 2022	25 тамыз, 2022
Шілде, 2022	DLP саясаттарын еншілес ағындарға енгізіңіз	Еншілес ағындарды қосу үшін DLP саясаттарының орындалуын қосыңыз. Ағын ағашының кез келген жерінде бұзушылық табылса, негізгі ағын тоқтатылады. Еншілес ағын өңделіп, бұзушылықты жою үшін сақталғаннан кейін, DLP саясатын бағалауды қайта іске қосу үшін ата-аналық ағындарды қайта сақтауға немесе қайта қосуға болады. HTTP қосқышы бұғатталған кезде еншілес ағындарды бұдан былай блоктамайтын өзгерту еншілес ағындардағы DLP саясаттарының толық орындалуымен бірге шығады. Толық орындау қолжетімді болғаннан кейін, орындау еншілес жұмыс үстелі ағындарын қамтиды.	Толық	14-ақпан, 2023	Наурыз 2023
Қаңтар, 2023	DLP саясаттарын еншілес жұмыс үстелі ағындарында қолдану	Қосымша жұмыс үстелі ағындарын қосу үшін DLP саясаттарының орындалуын қосыңыз. Ағын ағашының кез келген жерінде бұзушылық табылса, жұмыс үстелінің негізгі ағыны тоқтатылады. Еншілес жұмыс үстелінің ағыны өңделіп, бұзушылықты жою үшін сақталғаннан кейін, негізгі жұмыс үстелі ағындары автоматты түрде қайта іске қосылады.	Learning	-	Тамыз 2023

*Қолжетімділік кестесі өзгеруі мүмкін және шығарылымға байланысты.

DLP бұзу үшін ағынды тоқтату

Тоқтатылған ағындар Power Automate жасаушы порталында және Power Platform басқару орталығында тоқтатылған ретінде көрсетіледі. Ағын API, PowerShell немесе Power Automate Басқару қосқышы тізімі ағындары "Әкімші ретінде" әрекеті арқылы қайтарылғанда, ағында Күй=Тоқтатылған болады. , FlowSuspensionReason=CompanyDlpViolation және а FlowSuspensionTime ағынның тоқтатылғанын көрсететін мән.

Белгілі шектеулер

DLP белгілі мәселелері туралы біліңіз.

Келесіні де қараңыз:

Орталар туралы көбірек біліңіз
туралы көбірек біліңіз Power Automate
Басқару орталығы туралы көбірек біліңіз