Strategijos, padedančios išvengti duomenų praradimo, nustatymas

  • Straipsnis

Organizacijos duomenys yra kritiškai svarbūs jos sėkmei. Jo duomenys turi būti lengvai prieinami priimant sprendimus, tačiau tuo pat metu apsaugoti, kad jais nebūtų dalijamasi su auditorijomis, kurios neturėtų turėti prieigos prie jų. Norėdami apsaugoti savo verslo duomenis, Power Automate galite kurti ir įgyvendinti strategijas, apibrėžiančias, kurios jungtys gali juos pasiekti ir bendrinti. Strategijos, apibrėžiančios, kaip galima bendrinti duomenis, vadinamos duomenų praradimo prevencijos (DLP) strategijomis.

Administratoriai valdo DLP strategijas. Jei DLP strategija blokuoja srautų vykdymą, kreipkitės į administratorių.

Sužinokite daugiau apie duomenų apsaugą taikant duomenų praradimo prevencijos politiką.

Stalinių kompiuterių srautų duomenų praradimo prevencija

Power Automate leidžia kurti ir taikyti DLP strategijas, kurios klasifikuoja darbalaukio srauto modulius ir atskirus modulių veiksmus kaip Verslo, Ne verslo arba Užblokuotus. Šis skirstymas į kategorijas neleidžia kūrėjams sujungti modulių ir veiksmų iš skirtingų kategorijų į darbalaukio srautą arba tarp debesies srauto ir jo naudojamų darbalaukio srautų.

Svarbu

  • DLP strategijų vykdymas galimas tik valdomose aplinkose . Nuo 2024 m. rugsėjo DLP strategijos vertins tik darbalaukio srautus, esančius valdomose aplinkose.
  • DLP darbalaukio srautams galimas darbalaukio 2.14.173.21294 arba naujesnėse versijose Power Automate . Jei naudojate ankstesnę versiją, pašalinkite ją ir atnaujinkite į naujausią versiją.

Darbalaukio srauto veiksmų grupių peržiūra

Pagal numatytuosius nustatymus darbalaukio srauto veiksmų grupės nerodomos, kai kuriate DLP strategiją. Turite įjungti nuomotojo parametrų parametrą Rodyti darbalaukio srauto veiksmus DLP strategijose .

Jei pasirinkote viešąją peržiūrą, darbalaukio srauto veiksmų DLP parametras jau įjungtas ir jo keisti negalima.

  1. Prisijunkite prie „Power Platform“ administravimo centro.

  2. Kairiosios srities skyde pasirinkite Parametrai.

  3. Nuomotojo parametrų puslapyje pasirinkite DLP darbalaukio srauto veiksmai.

  4. Įjunkite Rodyti darbalaukio srauto veiksmus DLP strategijose, tada pasirinkite Įrašyti.

    Darbalaukio srautų DLP parametro Power Platform administravimo centre ekrano nuotrauka.

Dabar kurdami duomenų strategiją galite klasifikuoti darbalaukio srauto veiksmų grupes.

DLP strategijos su darbalaukio srauto apribojimais kūrimas

Kai administratoriai redaguoja arba kuria strategiją, darbalaukio srauto veiksmų grupės įtraukiamos į numatytąją grupę ir strategija pritaikoma ją įrašius. Strategija sustabdoma, jei numatytoji grupė nustatyta kaip Užblokuota , o darbalaukio srautai vykdomi paskirties aplinkose.

DLP strategijas, skirtas darbalaukio srautams, galite valdyti taip pat, kaip valdote debesies srauto jungtis ir veiksmus. Darbalaukio srauto moduliai yra panašių veiksmų grupės, Power Automate rodomos darbalaukio vartotojo sąsajoje. Modulis yra panašus į jungtis, kurios naudojamos debesų srautuose. Galite apibrėžti DLP strategiją, kuri valdo ir darbalaukio srauto modulius, ir debesies srauto jungtis. Kai kurių pagrindinių modulių , pvz.,kintamųjų, negalima valdyti pagal DLP strategiją, nes juos reikia naudoti beveik visuose darbalaukio srautuose. Sužinokite daugiau apie DLP strategijų pagrindus ir kaip jas sukurti.

Kai jūsų nuomotojas pasirenka vartotojo patirtį Power Platform, jūsų administratoriai automatiškai mato naujus darbalaukio srauto modulius numatytoje DLP strategijos, kurią jie kuria arba naujina, duomenų grupėje.

Administravimo centre kuriamos Power Platform DLP strategijos ekrano nuotrauka.

Įspėjimas

Kai darbalaukio srauto moduliai įtraukiami į DLP strategijas, nuomotojo darbalaukio srautai įvertinami pagal juos ir sustabdomi, jei neatitinka reikalavimų. Jei jūsų administratorius sukuria arba atnaujina DLP strategiją nepastebėdamas naujų modulių, darbalaukio srautai gali būti netikėtai sustabdyti.

Darbalaukio srautų valdymas už DLP ribų

Detalus darbalaukio srautų naudojimo visuose įrenginiuose valdymas, kaip aprašyta ankstesniuose skyriuose, taikomas tik valdomoms aplinkoms. Turite kitų parinkčių darbalaukio srautams valdyti.

  • Galimybė valdyti darbalaukio srauto orkestravimą: darbalaukio srauto jungtį galima valdyti jūsų strategijose, kaip ir bet kurią kitą jungtį visose aplinkose.

  • Galimybė valdyti darbalaukio naudojimą Power Automate : galite valdyti Power Automate darbalaukio srautus per GPO. Šis valdymas leidžia įjungti arba išjungti darbalaukio srautus veiksmams, pvz., apriboti aplinkų ar regionų rinkinį, apriboti paskyrų tipų naudojimą ir apriboti neautomatinius naujinimus.

Sužinokite daugiau apie valdymą Power Automate.

Darbalaukio srauto moduliai DLP

DLP galimi šie darbalaukio srauto moduliai:

  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation naršyklės automatizavimas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD seansas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Mainų srities mainų sritis
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression Compression
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografija
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database duomenų bazė
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email el. paštas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File failas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder aplankas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display pranešimų laukeliai
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Pelė ir klaviatūra
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.pdf PDF
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Vykdyti srautą
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scenarijų kūrimas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalo emuliacija
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation vartotojo sąsajos automatizavimas
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services "Windows" paslaugos
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Darbo stotis
  • teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

"PowerShell" palaikymas darbalaukio srauto moduliams

Jei nenorite įjungti parametro Rodyti darbalaukio srauto veiksmus DLP strategijose , galite naudoti šį "PowerShell" scenarijų, kad įtrauktumėte visus darbalaukio srauto modulius į DLP strategijos grupę Užblokuota . Jei jau įjungėte parametrą, šio scenarijaus naudoti nereikia.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Šis "PowerShell" scenarijus prideda du konkrečius darbalaukio srauto modulius prie numatytosios DLP strategijos duomenų grupės.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

"PowerShell" scenarijus, skirtas atsisakyti darbalaukio srautų

Jei nenorite naudoti DLP darbalaukio srautų funkcijos, galite naudoti šį "PowerShell" scenarijų, kad atsisakytumėte.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Įjungus strategiją

Jei jūsų vartotojai neturi naujausios staliniams kompiuteriams skirtos versijos Power Automate , DLP strategijos įgyvendinimas yra ribotas. Jie nemato dizaino laiko klaidų pranešimų, kai bando paleisti, derinti arba išsaugoti darbalaukio srautus, kurie pažeidžia DLP politiką. Foninės užduotys periodiškai nuskaito darbalaukio srautus aplinkoje ir automatiškai sustabdo visus, kurie pažeidžia DLP politiką. Vartotojai negali paleisti darbalaukio srautų iš debesies srauto, jei darbalaukio srautas pažeidžia bet kokią duomenų praradimo prevencijos politiką.

Kūrėjai, turintys naujausią Power Automate staliniams kompiuteriams skirtą versiją, negali derinti, vykdyti ar įrašyti darbalaukio srautų, pažeidžiančių DLP politiką. Jie taip pat negali pasirinkti darbalaukio srauto, kuris pažeidžia DLP strategiją, atlikdami debesies srauto veiksmą.

DLP vykdymo užtikrinimas ir sustabdymas

Kai kuriate arba redaguojate srautą, Power Automate įvertina jį pagal dabartinį DLP strategijų rinkinį. Vykdymas yra asinchroninis ir įvyksta per 24 valandas.

Kai kuriate arba keičiate DLP strategiją, foninė užduotis nuskaito visus aktyvius srautus aplinkoje, juos įvertina ir sustabdo srautus, kurie pažeidžia strategiją. Vykdymas yra asinchroninis ir įvyksta per 24 valandas. Jei DLP strategija pasikeičia, kai vertinama ankstesnė DLP strategija, vertinimas paleidžiamas iš naujo, kad būtų užtikrintos naujausios strategijos.

Kas savaitę foninė užduotis atlieka visų aktyvių srautų aplinkoje nuoseklumo patikrinimą pagal DLP strategijas, kad patvirtintų, jog DLP strategijos patikra nebuvo praleista.

DLP pakartotinis aktyvinimas

Jei DLP vykdymo foninė užduotis randa darbalaukio srautą, kuris nebepažeidžia jokios DLP strategijos, foninė užduotis automatiškai pašalina sustabdymą. Tačiau DLP vykdymo foninė užduotis automatiškai nesustabdo debesies srautų.

DLP vykdymo keitimo procesas

Periodiškai DLP vykdymas turi keistis, nes įdiegiamos naujos DLP galimybės arba klaidų taisymas arba užpildoma vykdymo spraga. Kai pakeitimai gali turėti įtakos esamiems srautams, taikykite šį dalinio DLP vykdymo pakeitimų valdymo procesą:

  1. Tyrimas: patvirtinkite, kad reikia atlikti DLP vykdymo pakeitimą, ir ištirkite pakeitimo specifiką.

  2. Mokymasis: įgyvendinkite pokytį ir surinkite duomenis apie pokyčio poveikio mastą. Dokumento DLP vykdymo pakeitimai paaiškina pakeitimo apimtį. Jei duomenys rodo, kad klientai bus labai paveikti, tiems klientams gali būti išsiųstas pranešimas, kad jie žinotų, jog ateina pokytis. Jei pakeitimas turi didelį poveikį esamiems srautams, tada vėlesniame mokymosi etape, kai foninė DLP vykdymo užduotis nustato pažeidimą esamame sraute, Power Automate praneša srauto savininkams, kad srautas bus sustabdytas, kad jie turėtų daugiau laiko reaguoti.

  3. Tik pranešti: įjunkite el. pašto pranešimus tik apie DLP pažeidimus, kad esamų srautų savininkams būtų pranešta apie būsimą DLP vykdymo pakeitimą. Kai foninė DLP vykdymo užduotis randa pažeidimą esamame sraute, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas veikia kas savaitę.

  4. Projektavimo laiko vykdymas: įjunkite DLP pažeidimų diegimo laiko vykdymą, kad esamų srautų savininkams būtų pranešta apie būsimą DLP vykdymo pakeitimą, bet visi pakeisti srautai gavimo metu gautų išsamų DLP strategijos įvertinimą. Tai taip pat žinoma kaip negriežtas vykdymo užtikrinimas.

    • Projektavimo laikas: kai srautas atnaujinamas ir išsaugomas, naudokite atnaujintą DLP vykdymą ir, jei reikia, sustabdykite srautą, kad gamintojas iš karto žinotų apie vykdymą.

    • Foninis procesas: kai foninė DLP vykdymo užduotis nustato srauto pažeidimą, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas apima DLP politikos kūrimą arba pakeitimus ir nuoseklumo patikras.

  5. Visiškas įgyvendinimas: įjunkite visišką DLP pažeidimų vykdymą, kad DLP strategijos būtų visiškai taikomos visiems esamiems ir naujiems srautams. DLP strategijos yra visiškai vykdomos, kai srautai išsaugomi DLP vykdymo foninio darbo vertinimo metu. Tai taip pat žinoma kaip griežtas vykdymas.

DLP vykdymo pakeitimų sąrašas

Toliau pateiktoje lentelėje išvardyti DLP vykdymo pakeitimai ir pakeitimų įsigaliojimo data.

Date Aprašą Pakeitimo priežastis Etapas Projektavimo laiko vykdymo užtikrinimo galimybė* Visiškas vykdymo užtikrinimo pasiekiamumas*
2022 m. gegužės mėn. Deleguotasis įgaliojimas yra pagrindinis darbo vykdymo užtikrinimas DLP strategijos taikomos srautams, kuriuose naudojamas įgaliotasis autorizavimas, kai srautas įrašomas, bet ne atliekant foninės užduoties vertinimą. Visas 2022 m. birželio 2 d. 2022 m. liepos 21 d.
2022 m. gegužės mėn. Užklausos apiConnection suaktyvinimas DLP strategijos nebuvo tinkamai taikomos kai kuriems paleidikliams. Paveikti paleidikliai turi type=Request ir kind=apiConnection. Daugelis paveiktų paleidiklių yra momentiniai paleidikliai, kurie naudojami momentiniuose arba rankiniu būdu suaktyvintuose srautuose. Paveikti trigeriai yra šie.
- Power BI: Power BI mygtukas spustelėtas
- Komandos: Iš kūrimo dėžutės (V2)
- OneDrive verslui: pasirinktam failui
- Dataverse: kai srauto žingsnis vykdomas iš veiklos procesų seka
- Dataverse (senstelėjusi): kai pasirenkamas įrašas
- "Excel Online" (verslas): pažymėtai eilutei
- SharePoint: Pasirinktam elementui
- Microsoft Copilot Studio: Kai Copilot Studio iškviečiamas srautas (V2)		 Visas 2022 m. birželio 2 d. 2022 m. rugpjūčio 25 d.
2022 m. liepos mėn. DLP strategijų taikymas antriniams srautams Įgalinkite DLP strategijų vykdymą, kad būtų įtraukti vaikų srautai. Jei pažeidimas randamas bet kurioje srauto medžio vietoje, pirminis srautas sustabdomas. Kai antrinis srautas redaguojamas ir įrašomas, kad būtų pašalintas pažeidimas, pirminius srautus galima iš naujo įrašyti arba iš naujo suaktyvinti, kad vėl būtų vykdomas DLP strategijos vertinimas. Pakeitimas nebeblokuoti antrinių srautų, kai HTTP jungtis užblokuota, bus įdiegtas kartu su visišku DLP strategijų taikymu vaikų srautams. Kai bus pasiekiamas visiškas vykdymas, vykdymas apims vaikų darbalaukio srautus. Visas 2023 m. vasario 14 d. 2023 m. kovo mėn.
2023 m. sausis DLP strategijų įgalinimas antriniuose darbalaukio srautuose Įgalinkite DLP strategijų vykdymą, kad būtų įtraukti antriniai darbalaukio srautai. Jei pažeidimas randamas bet kurioje srauto medžio vietoje, darbalaukio pirminis srautas sustabdomas. Kai antrinis darbalaukio srautas redaguojamas ir įrašomas, kad būtų pašalintas pažeidimas, pirminiai darbalaukio srautai automatiškai iš naujo suaktyvinami. Mokymasis - 2023 m. rugpjūčio mėn.

*Pasiekiamumo grafikas gali keistis ir priklauso nuo išleidimo.

Srauto sustabdymas dėl DLP pažeidimo

Sustabdyti srautai kūrėjų portale Power Automate ir Power Platform administravimo centre rodomi kaip sustabdyti. Kai srautas grąžinamas naudojant API, "PowerShell" arba Power Automate valdymo jungties sąrašo srautus "kaip administratorius", srautas turi State=Suspended,FlowSuspensionReason=CompanyDlpViolation ir reikšmę FlowSuspensionTime , nurodančią, kada srautas buvo sustabdytas.

Žinomi apribojimai

Sužinokite apie žinomas DLP problemas.

Taip pat žr.

Sužinokite daugiau apie aplinkas
Sužinokite daugiau apie Power Automate
Sužinokite daugiau apie administravimo centrą