Tetapkan dasar untuk membantu mencegah kehilangan data

  • Artikel

Data organisasi adalah kritikal untuk kejayaannya. Datanya perlu tersedia untuk membuat keputusan, tetapi pada masa yang sama dilindungi supaya ia tidak dikongsi dengan khalayak yang tidak sepatutnya mempunyai akses kepadanya. Untuk melindungi data perniagaan anda, Power Automate memberi anda keupayaan untuk mencipta dan menguatkuasakan dasar yang menentukan penyambung yang boleh mengakses dan berkongsinya. Dasar yang mentakrifkan cara data boleh dikongsi dirujuk sebagai dasar pencegahan kehilangan data (DLP).

Pentadbir mengawal dasar DLP. Jika dasar DLP menyekat aliran anda daripada berjalan, hubungi pentadbir anda.

Ketahui lebih lanjut tentang melindungi data anda dengan dasar pencegahan kehilangan data.

Pencegahan kehilangan data untuk aliran desktop

Power Automate membolehkan anda membuat dan menguatkuasakan dasar DLP yang mengklasifikasikan modul aliran desktop dan tindakan modul individu sebagai Perniagaan, Bukan Perniagaan atauDisekat . Pengkategorian ini menghalang pembuat daripada menggabungkan modul dan tindakan daripada kategori yang berbeza ke dalam aliran desktop atau antara aliran awan dan aliran desktop yang digunakannya.

Penting

  • Penguatkuasaan dasar DLP hanya tersedia untuk Managed Environment sahaja. Bermula September 2024, hanya aliran desktop yang terletak dalam Persekitaran Terurus akan dinilai oleh dasar DLP.
  • DLP untuk aliran desktop tersedia untuk versi Power Automate 2.14.173.21294 desktop atau lebih baru. Jika anda menggunakan versi terdahulu, nyahpasangnya dan kemas kini kepada versi terkini.

Lihat kumpulan tindakan aliran desktop

Secara lalai, kumpulan tindakan aliran desktop tidak muncul apabila anda mencipta dasar DLP. Anda perlu menghidupkan Tunjukkan tindakan aliran desktop dalam seting dasar DLP dalam seting penyewa anda.

Jika anda telah memilih pratonton awam, tindakan aliran Desktop dalam tetapan DLP telah didayakan dan tidak boleh diubah.

  1. Daftar masuk ke pusat pentadbiran Power Platform.

  2. Di panel sebelah kiri, pilih Tetapan.

  3. Pada halaman Seting penyewa, pilih Tindakan aliran desktop dalam DLP.

  4. Hidupkan Tunjukkan tindakan aliran desktop dalam dasar DLP, kemudian pilih Simpan.

    Petikan skrin DLP untuk seting aliran desktop dalam Power Platform pusat pentadbiran.

Anda kini boleh mengklasifikasikan kumpulan tindakan aliran desktop apabila anda mencipta dasar data.

Cipta dasar DLP dengan pengehadan aliran desktop

Apabila pentadbir mengedit atau mencipta dasar, kumpulan tindakan aliran desktop ditambahkan pada kumpulan lalai dan dasar digunakan selepas ia disimpan. Dasar ini digantung jika kumpulan lalai disetkan kepada Disekat dan aliran desktop berjalan dalam persekitaran sasaran.

Anda boleh menguruskan dasar DLP anda untuk aliran desktop dengan cara yang sama anda menguruskan penyambung dan tindakan aliran awan. Modul aliran desktop adalah kumpulan tindakan yang serupa seperti yang Power Automate dipaparkan dalam antara muka pengguna desktop. Modul adalah serupa dengan penyambung yang digunakan dalam aliran awan. Anda boleh menentukan dasar DLP yang menguruskan kedua-dua modul aliran desktop dan penyambung aliran awan. Beberapa modul asas, seperti Pembolehubah, tidak boleh diuruskan dalam skop dasar DLP kerana hampir semua aliran desktop perlu menggunakannya. Ketahui lebih lanjut tentang asas-asas dasar DLP dan cara menciptanya.

Apabila penyewa anda mengikut serta pengalaman Power Platform pengguna, pentadbir anda melihat modul aliran desktop baharu secara automatik dalam kumpulan data lalai dasar DLP yang mereka cipta atau kemas kini.

Petikan skrin dasar DLP yang sedang dalam pembinaan di Power Platform pusat pentadbiran.

Amaran

Apabila modul aliran desktop ditambahkan pada dasar DLP, aliran desktop penyewa anda dinilai terhadapnya dan ia digantung jika ia tidak patuh. Jika pentadbir anda mencipta atau mengemas kini dasar DLP tanpa menyedari modul baharu, aliran desktop boleh digantung tanpa diduga.

Mentadbir aliran desktop di luar DLP

Kawalan butiran ke atas penggunaan aliran desktop pada semua mesin seperti yang diterangkan dalam bahagian sebelumnya hanya terpakai kepada Persekitaran Terurus. Anda mempunyai opsyen lain untuk mengawal aliran desktop.

  • Keupayaan untuk mentadbir orkestra aliran desktop: Penyambung aliran desktop boleh ditadbir dalam dasar anda seperti mana-mana penyambung lain dalam semua persekitaran.

  • Keupayaan untuk mengawal penggunaan Power Automate desktop: Anda boleh mentadbir aliran Power Automate desktop melalui GPO. Tadbir urus ini membolehkan anda menghidupkan atau mematikan aliran desktop untuk tindakan seperti menyekat kepada satu set persekitaran atau rantau, mengehadkan penggunaan jenis akaun dan menyekat kemas kini manual.

Ketahui lebih lanjut tentang tadbir urus dalam Power Automate.

Modul aliran desktop dalam DLP

Modul aliran desktop berikut boleh didapati dalam DLP:

  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sesi CMD
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Papan klip papan klip
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Mampatan Mampatan
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.E-mel E-mel
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Fail Fail
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitif
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitif
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Kotak mesej
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitif
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse dan papan kekunci
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Aliran Aliran aliran
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulasi emulasi
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automasi
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • pembekal/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Sokongan PowerShell untuk modul aliran desktop

Jika anda tidak ingin menghidupkan seting Tunjukkan tindakan aliran desktop dalam seting dasar DLP, anda boleh menggunakan skrip PowerShell berikut untuk menambah semua modul aliran desktop kepada kumpulan Disekat dasar DLP. Jika anda telah menghidupkan tetapan, anda tidak perlu menggunakan skrip ini.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Skrip PowerShell berikut menambah dua modul aliran desktop khusus kepada kumpulan data lalai dasar DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skrip PowerShell untuk memilih keluar aliran desktop

Jika anda tidak mahu menggunakan DLP untuk ciri aliran desktop, anda boleh menggunakan skrip PowerShell berikut untuk menarik diri.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Selepas dasar diaktifkan

Jika pengguna anda tidak mempunyai desktop terkini Power Automate , penguatkuasaan dasar DLP adalah terhad. Mereka tidak melihat mesej ralat masa reka bentuk apabila mereka cuba menjalankan, menyahpepijat atau menyimpan aliran desktop yang melanggar dasar DLP. Kerja latar belakang secara berkala mengimbas aliran desktop di persekitaran dan secara automatik menggantung mana-mana yang melanggar dasar DLP. Pengguna tidak boleh menjalankan aliran desktop daripada aliran awan jika aliran desktop melanggar sebarang dasar pencegahan kehilangan data.

Pembuat yang mempunyai yang terkini Power Automate untuk desktop tidak boleh menyahpepijat, menjalankan atau menyimpan aliran desktop yang melanggar dasar DLP. Mereka juga tidak boleh memilih aliran desktop yang melanggar dasar DLP daripada langkah aliran awan.

Penguatkuasaan dan penggantungan DLP

  1. Apabila anda mencipta atau mengedit aliran, Power Automate menilainya terhadap set dasar DLP semasa.
    1. Penguatkuasaan aliran tanpa aliran kanak-kanak, iaitu 99% aliran, adalah segerak dan berlaku dalam masa nyata.
    2. Penguatkuasaan aliran dengan aliran kanak-kanak adalah tidak segerak, kerana aliran kanak-kanak juga perlu dinilai, dan berlaku dalam masa 24 jam.
  2. Apabila anda mencipta atau mengubah dasar DLP, kerja latar belakang mengimbas semua aliran aktif dalam persekitaran, menilainya, dan kemudian menggantung aliran yang melanggar dasar. Penguatkuasaan adalah tidak segerak dan berlaku dalam tempoh 24 jam. Sekiranya perubahan dasar DLP berlaku apabila dasar DLP sebelumnya sedang dinilai, maka penilaian dimulakan semula untuk memastikan dasar terkini dikuatkuasakan.
  3. Setiap minggu, kerja latar belakang melakukan pemeriksaan konsistensi semua aliran aktif dalam persekitaran terhadap dasar DLP untuk mengesahkan bahawa pemeriksaan dasar DLP tidak terlepas.

Pengaktifan semula DLP

Jika kerja latar belakang penguatkuasaan DLP mendapati aliran desktop yang tidak lagi melanggar mana-mana dasar DLP, maka kerja latar belakang secara automatik mengalih keluar penggantungan. Walau bagaimanapun, kerja latar belakang penguatkuasaan DLP tidak secara automatik membatalkan aliran awan.

Proses perubahan penguatkuasaan DLP

Secara berkala, penguatkuasaan DLP perlu berubah kerana keupayaan DLP baharu atau pembetulan pepijat dilancarkan atau jurang penguatkuasaan diisi. Apabila perubahan boleh menjejaskan aliran sedia ada, gunakan proses pengurusan perubahan penguatkuasaan DLP berperingkat berikut:

  1. Menyiasat: Sahkan keperluan untuk perubahan penguatkuasaan DLP dan menyiasat spesifik perubahan tersebut.

  2. Pembelajaran: Melaksanakan perubahan dan mengumpul data mengenai keluasan kesan perubahan. Perubahan penguatkuasaan DLP dokumen untuk menerangkan skop perubahan. Jika data menunjukkan bahawa pelanggan akan sangat terjejas, maka komunikasi boleh dihantar kepada pelanggan tersebut untuk memberitahu mereka bahawa perubahan akan datang. Sekiranya perubahan itu mempunyai kesan yang luas terhadap aliran sedia ada, maka pada peringkat seterusnya dalam fasa pembelajaran, apabila kerja penguatkuasaan DLP latar belakang mendapati pelanggaran dalam aliran yang sedia ada,memberitahu Power Automate pemilik aliran bahawa aliran akan digantung, supaya mereka mempunyai lebih banyak masa untuk bertindak balas.

  3. Maklumkan sahaja: Hidupkan pemberitahuan e-mel hanya untuk pelanggaran DLP supaya pemilik aliran sedia ada dimaklumkan tentang perubahan penguatkuasaan DLP yang akan datang. Apabila kerja penguatkuasaan DLP latar belakang mendapati pelanggaran dalam aliran sedia ada, beritahu pemilik aliran bahawa aliran akan digantung. Mekanisme ini berjalan setiap minggu.

  4. Penguatkuasaan masa reka bentuk: Hidupkan penguatkuasaan masa reka bentuk pelanggaran DLP supaya pemilik aliran sedia ada dimaklumkan tentang perubahan penguatkuasaan DLP yang akan datang, tetapi sebarang aliran yang diubah mendapat penilaian dasar DLP penuh pada masa reka bentuk. Ini juga dikenali sebagai penguatkuasaan lembut.

    • Masa reka bentuk: Apabila aliran dikemas kini dan disimpan, gunakan penguatkuasaan DLP yang dikemas kini dan gantung aliran jika diperlukan supaya pembuat segera mengetahui penguatkuasaan.

    • Proses latar belakang: Apabila kerja penguatkuasaan DLP latar belakang mendapati pelanggaran dalam aliran, beritahu pemilik aliran bahawa aliran akan digantung. Mekanisme ini termasuk penciptaan atau perubahan kepada dasar DLP dan pemeriksaan konsistensi.

  5. Penguatkuasaan penuh: Hidupkan penguatkuasaan penuh pelanggaran DLP, jadi dasar DLP dikuatkuasakan sepenuhnya ke atas semua aliran sedia ada dan baharu. Dasar DLP dikuatkuasakan sepenuhnya apabila aliran disimpan semasa penilaian kerja latar belakang penguatkuasaan DLP. Ini juga dikenali sebagai penguatkuasaan keras.

Senarai perubahan penguatkuasaan DLP

Jadual berikut menyenaraikan perubahan penguatkuasaan DLP dan tarikh perubahan berkuat kuasa.

Date Description Sebab perubahan Peringkat Ketersediaan penguatkuasaan masa reka bentuk* Ketersediaan penguatkuasaan penuh*
Mei 2022 Diwakilkan kebenaran latar belakang penguatkuasaan kerja Dasar DLP dikuatkuasakan ke atas aliran yang menggunakan kebenaran diwakilkan semasa aliran disimpan, tetapi tidak semasa penilaian kerja latar belakang. Penuh 2 Jun 2022 21 Julai 2022
Mei 2022 Minta apiConnection mencetuskan penguatkuasaan Dasar DLP tidak dikuatkuasakan dengan betul untuk beberapa pencetus. Pencetus yang terjejas mempunyai type=Request and kind=apiConnection. Banyak pencetus yang terjejas adalah pencetus segera, yang digunakan dalam sekelip mata, atau dicetuskan secara manual, aliran. Pencetus yang terjejas termasuk yang berikut.
- Power BI: Power BI butang diklik
- Pasukan: Daripada kotak karangan (V2)
- OneDrive untuk Perniagaan: Untuk fail yang dipilih
- Dataverse: Apabila langkah aliran dijalankan dari aliran proses perniagaan
- Dataverse (warisan): Apabila rekod dipilih
- Excel Online (Perniagaan): Untuk baris yang dipilih
- SharePoint: Untuk item yang dipilih
- Microsoft Copilot Studio: Apabila Copilot Studio memanggil aliran (V2)		 Penuh 2 Jun 2022 25 Ogos 2022
Julai 2022 Menguatkuasakan dasar DLP mengenai aliran kanak-kanak Membolehkan penguatkuasaan dasar DLP merangkumi aliran kanak-kanak. Sekiranya pelanggaran ditemui di mana-mana di pokok aliran, aliran induk digantung. Selepas aliran kanak-kanak diedit dan disimpan untuk mengalih keluar pelanggaran, aliran induk boleh disimpan semula atau diaktifkan semula untuk menjalankan penilaian dasar DLP sekali lagi. Perubahan untuk tidak lagi menyekat aliran kanak-kanak apabila penyambung HTTP disekat akan dilancarkan bersama-sama dengan penguatkuasaan penuh dasar DLP pada aliran kanak-kanak. Sebaik sahaja penguatkuasaan penuh tersedia, penguatkuasaan akan merangkumi aliran desktop kanak-kanak. Penuh 14 Februari 2023 Mac 2023
Januari 2023 Menguatkuasakan dasar DLP pada aliran desktop anak Membolehkan penguatkuasaan dasar DLP memasukkan aliran desktop kanak-kanak. Sekiranya pelanggaran ditemui di mana-mana sahaja di pokok aliran, aliran induk desktop digantung. Selepas aliran desktop anak diedit dan disimpan untuk mengalih keluar pelanggaran, aliran desktop induk diaktifkan semula secara automatik. Pembelajaran - Ogos 2023

*Jadual ketersediaan mungkin berubah dan bergantung pada pelancaran.

Penggantungan aliran untuk pelanggaran DLP

Aliran yang digantung menunjukkan sebagai digantung di Power Automate portal pembuat dan Power Platform pusat pentadbiran. Apabila aliran dikembalikan melalui API, PowerShell atau Power Automate senarai penyambung Pengurusan mengalir tindakan "sebagai Pentadbir", aliran mempunyai State=Suspended,FlowSuspensionReason=CompanyDlpViolation, dan nilai FlowSuspensionTime yang menunjukkan apabila aliran digantung.

Had diketahui

Ketahui tentang isu DLP yang diketahui.

Lihat juga

Ketahui lebih lanjut tentang persekitaran
Ketahui lebih lanjut tentang Power Automate
Ketahui lebih lanjut tentang pusat pentadbiran