Angi en policy for å hindre tap av data

  • Artikkel

Dataene i en organisasjon er svært viktige for suksess. Dataene må være lett tilgjengelige for beslutninger, men de må samtidig beskyttes slik at de ikke deles med målgrupper som ikke bør ha tilgang til dem. For å beskytte forretningsdataene får du muligheten til å opprette og fremtvinge policyer i Power Automate som definerer hvilke koblinger som kan få tilgang til og dele dem. Policyene som definerer hvordan data kan deles, er referert til som policyer for hindring av datatap (DLP).

Administratorer kontrollerer DLP-policyer. Hvis en policy for hindring av datatap forhindrer flytene fra å kjøre, kontakt administratoren.

Finn ut mer om beskyttelse av data med policyer for hindring av datatap.

Hindring av datatap for skrivebordsflyter

Power Automate gjør at du kan opprette og håndheve policyer for hindring av datatap som klassifiserer moduler for skrivebordsflyter og individuelle modulhandlinger som kategorier av typen Forretning eller Ikke-forretning eller Blokkert. Denne kategoriseringen forhindrer at utviklere kombinerer moduler og handlinger fra ulike kategorier i en skrivebordsflyt, eller mellom en skyflyt og skrivebordsflytene den bruker.

Viktig

  • Håndhevelse av policyer for hindring av datatap er bare tilgjengelig for administrerte miljøer. Fra og med september 2024 evalueres bare skrivebordsflyter som er plassert i administrerte miljøer, av DLP-policyer.
  • DLP for skrivebordsflyter er tilgjengelig for versjoner av Power Automate for skrivebord 2.14.173.21294 eller nyere. Hvis du bruker en tidligere versjon, avinstallerer du den og oppdaterer til nyeste versjon.

Vis handlingsgrupper for skrivebordsflyt

Som standard vises ikke handlingsgrupper for skrivebordsflyt når du oppretter en ny policy for hindring av datatap. Du må aktivere innstillingen Vis skrivebordsflythandlinger i policyer for hindring av datatap i innstillingene for leieren.

Hvis du har valgt den offentlige forhåndsversjonen, er innstillingen Skrivebordsflythandlinger i hindring av datatap allerede aktivert og kan ikke endres.

  1. Logg på Power Platform-administrasjonssenteret.

  2. Velg Innstillinger i venstre sidepanel.

  3. Velg Skrivebordsflythandlinger i hindring av datatap på siden Leierinnstillinger.

  4. Aktiver Vis skrivebordsflythandlinger i policyer for hindring av datatap, og velg deretter Lagre.

    Skjermbilde av innstillingen Policy for hindring av datatap for skrivebordsflyter i administrasjonssenteret for Power Platform.

Du kan nå klassifisere handlingsgrupper for skrivebordsflyt når du oppretter en datapolicy.

Opprett en policy for hindring av datatap med begrensninger for skrivebordsflyt

Når administratorer redigerer eller oppretter en policy, blir handlingsgrupper for skrivebordsflyt lagt til i standardgruppen, og policyen brukes etter at den er lagret. Policyen deaktiveres hvis standardgruppen settes til Blokkert og skrivebordsflytene kjører i målmiljøene.

Du kan administrere policyene for hindring av datatap for skrivebordsflyter på samme måte som du administrerer skyflytkoblinger og -handlinger. Moduler for skrivebordsflyt er grupper med lignende handlinger som vises i brukergrensesnittet i Power Automate for skrivebord. En modul ligner på koblinger som brukes i skyflyter. Du kan definere en policy for hindring av datatap som styrer både moduler for skrivebordsflyt og skyflytkoblinger. Noen grunnleggende moduler, for eksempel Variabler, kan ikke administreres i området for policy for hindring av datatap fordi nesten alle skrivebordsflyter må bruke dem. Finn ut mer om det grunnleggende om policyer for hindring av datatap og hvordan du oppretter dem.

Når leieren er valgt for å være med i brukeropplevelsen i Power Platform, kan administratorene automatisk se de nye modulene for skrivebordsflyt i den standard datagruppen for policyen for hindring av datatap de oppretter eller oppdaterer.

Skjermbilde av en policy for hindring av datatap som bygges i administrasjonssenteret for Power Platform.

Advarsel!

Når moduler for skrivebordsflyt legges til i policyer for hindring av datatap, evalueres leierens skrivebordsflyter mot dem, og de blir deaktivert hvis de ikke samsvarer med policyene. Hvis administratoren oppretter eller oppdaterer policyen for hindring av datatap uten å legge merke til de nye modulene, kan skrivebordsflytene bli uventet deaktivert.

Styre skrivebordsflyter utenfor DLP

Detaljert kontroll over bruken av skrivebordsflyter på alle maskiner, som beskrevet i de tidligere avsnittene, gjelder bare for administrerte miljøer. Du har andre alternativer for å styre skrivebordsflyter.

  • Muligheten til å styre orkestrering av skrivebordsflyter: Koblingen for skrivebordsflyt kan styres i policyene dine, på samme måte som alle andre kontakter i alle miljøer.

  • Mulighet til å styre bruken av Power Automate for skrivebord: Du kan styre Power Automate for skrivebordsflyter via gruppepolicyobjektet. Med denne styringen kan du aktivere eller deaktivere skrivebordsflyter for handlinger, for eksempel for å begrense til et sett med miljøer eller områder, begrense bruken av kontotyper og begrense manuelle oppdateringer.

Finn ut mer om styring i Power Automate.

Skrivebordsflytmoduler i DLP

Følgende moduler for skrivebordsflyt er tilgjengelige i hindring av datatap:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatisering av nettleser
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Kognitive operasjoner via Google
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Kognitive operasjoner via Microsoft
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mus og tastatur
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulering
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-støtte for moduler for skrivebordsflyt

Hvis du ikke vil aktivere innstillingen Vis skrivebordsflythandlinger i policyer for hindring av datatap, kan du bruke følgende PowerShell-skript til å legge til alle moduler for skrivebordsflyt i Blokkert-gruppen for en policy for hindring av datatap. Hvis du allerede har aktivert innstillingen, trenger du ikke å bruke dette skriptet.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Følgende PowerShell-skript legger til to bestemte moduler for skrivebordsflyt i den standard datagruppen i en policy for hindring av datatap.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell-skript for å velge bort skrivebordsflyter

Hvis du ikke vil bruke funksjonen for hindring av datatap for skrivebordsflyter, kan du bruke følgende PowerShell-skript til å velge den bort:

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Etter at policyen er aktivert

Hvis brukerne ikke har det nyeste Power Automate for skrivebord, er håndhevelse av policy for hindring av datatap begrenset. De ser ikke feilmeldinger som oppstår på utformingstidspunktet, når de prøver å kjøre, feilrette eller lagre skrivebordsflyter som bryter policyer for hindring av datatap. Bakgrunnsjobber skanner skrivebordsflyter regelmessig i miljøet og deaktiverer automatisk enhver som bryter policyer for hindring av datatap. Brukere kan ikke kjøre skrivebordsflyter fra en skyflyt hvis skrivebordsflyten bryter en policy for hindring av datatap.

Utviklere som har det nyeste Power Automate for skrivebord, kan ikke feilsøke, kjøre eller lagre skrivebordsflyter som bryter policyen for hindring av datatap. De kan heller ikke velge en skrivebordsflyt som bryter en policy for hindring av datatap fra et skyflyttrinn.

DLP-håndhevelse og utestengelse

Når du oppretter eller redigerer en flyt, evaluerer Power Automate den mot det nåværende settet med policyer for hindring av datatap. Håndhevelse er asynkron og skjer innen 24 timer.

Når du oppretter eller endrer en policy for hindring av datatap, skanner en bakgrunnsjobb alle aktive flyter i miljøet, evaluerer dem og deaktiverer deretter flytene som bryter policyen. Håndhevelse er asynkron og skjer innen 24 timer. Hvis en policy for hindring av datatap endres når den forrige policyen for hindring av datatap evalueres, startes evalueringen på nytt for å sikre at de nyeste policyene håndheves.

Ukentlig gjør en bakgrunnsjobb en konsekvenssjekk av alle aktive flyter i miljøet mot policyene for hindring av datatap for å bekrefte at kontroll av policyer for hindring av datatap ikke ble oversett.

Reaktivering av DLP

Hvis bakgrunnsjobben for håndhevelse av hindring av datatap finner en skrivebordsflyt som ikke lenger bryter en policy for hindring av datatap, oppheves utestengingen automatisk. Bakgrunnsjobben for håndhevelse av hindring av datatap opphever imidlertid ikke utestenging av skyflyter automatisk.

Endring av håndhevelse av hindring av datatap

Håndhevelse av hindring av datatap må regelmessig endres fordi nye funksjoner for hindring av datatap eller en feilretting rulles ut, eller en håndhevelsesmangel rettes. Når endringer kan påvirke eksisterende flyter, bruker du følgende trinnvise administrasjon av endringer i håndhevelsen av hindring av datatap:

  1. Undersøking: Bekreft behovet for en endring i håndhevelsen av hindring av datatap, og undersøk detaljene i endringen.

  2. Læring: Implementer endringen og samle inn data om omfanget av virkningene av endringen. Dokumenter endringer i håndhevelsen av hindring av datatap for å forklare omfanget av endringen. Hvis dataene tyder på at kunder kommer til å bli sterkt påvirket, kan en meddelelse sendes til disse kundene for å informere dem om at det kommer en endring. Hvis endringen har stor innvirkning på eksisterende flyter, varsler Power Automate flyteierne på et senere trinn i læringsfasen, når bakgrunnsjobben for håndhevelse av hindring av datatap finner et brudd i en eksisterende flyt, om at flyten blir stengt ute, slik at de får mer tid til å reagere.

  3. Bare varsle: Aktiver e-postvarslinger bare for brudd på hindring av datatap, slik at eiere av eksisterende flyter blir varslet om den kommende endringen av håndhevelse av hindring av datatap. Når bakgrunnsjobben for håndhevelse av hindring av datatap finner et brudd i en eksisterende flyt, varsler du flyteierne om at flyten blir deaktivert. Denne mekanismen kjører ukentlig.

  4. Håndhevelse ved utforming Aktiver håndhevelse ved utforming av DLP-brudd, slik at eiere av eksisterende flyter blir varslet om den kommende endringen av håndhevelse av hindring av datatap, men eventuelle flyter som endres, får en fullstendig evaluering av policyen for hindring av datatap ved utforming. Dette kalles også myk håndhevelse.

    • Utformingstid: Når en flyt oppdateres og lagres, bruker du den oppdaterte DLP-håndhevelsen av hindring av datatap og deaktiverer flyten hvis det er nødvendig, slik at utvikleren umiddelbart blir oppmerksom på håndhevelsen.

    • Bakgrunnsprosess: Når bakgrunnsjobben for håndhevelse av hindring av datatap finner et brudd i en eksisterende flyt, varsler du flyteierne om at flyten blir stengt ute. Denne mekanismen inkluderer oppretting eller endringer i DLP-policyen og konsekvenskontroller.

  5. Full håndhevelse – Aktiver full håndhevelse av brudd på policyer for hindring av datatap, slik at disse policyene håndheves fullstendig for alle eksisterende og nye flyter. Policyene for hindring av datatap håndheves fullstendig når flyter lagres under evalueringen av bakgrunnsjobben for håndhevelse av hindring av datatap. Dette kalles også hard håndhevelse.

Liste over endringer i håndhevelse av hindring av datatap

Tabellen nedenfor viser endringer i håndhevelsen av hindring av datatap og datoen da endringene trådte i kraft.

Date Bekrivelse Årsak til endringen Etappe Tilgjengelighet for håndhevelse ved utformingstid* Full tilgjengelighet ved håndhevelse*
Mai 2022 Håndhevelse av bakgrunnsjobb for delegert autorisasjon Policyer for hindring av datatap håndheves for flyter som bruker delegert autorisasjon mens flyten lagres, men ikke under evaluering av bakgrunnsjobb. Fullstendig 2. juni 2022 21. juli 2022
Mai 2022 Be om apiConnection-utløserhåndhevelse DLP-policyer ble ikke håndhevet på riktig måte for enkelte utløsere. De berørte utløserne har type=Request og kind=apiConnection. Mange av de berørte utløserne er direkteutløsere som brukes i umiddelbare, eller manuelt utløste, flyter. De berørte utløserne omfatter følgende:
- Power BI: Power BI-knappen klikket
- Teams: Fra skriveboksen (V2)
- OneDrive for Business: For en valgt fil
- Dataverse: Når et flyttrinn kjøres fra en forretningsprosessflyt
- Dataverse (legacy): Når en post er valgt
- Excel Online (Business): For en valgt rad
- SharePoint: For et valgt element
- Microsoft Copilot Studio: Når Copilot Studio kaller en flyt (V2)		 Fullstendig 2. juni 2022 25. august 2022
Juli 2022 Overfør policyer for hindring av datatap for underordnede flyter Aktiver håndhevelse av policyene for hindring av datatap for å ta med underordnede flyter. Hvis det blir funnet brudd i flyttreet, deaktiveres den overordnede flyten. Etter at den underordnede flyten er redigert og lagret for å fjerne bruddet, kan de overordnede flytene lagres eller aktiveres på nytt for å kjøre evalueringen av policyen for hindring av datatap. En endring for ikke lenger å blokkere underordnede flytprosesser når HTTP-koblingen er blokkert, rulles ut sammen med full håndhevelse av DLP-policyer for underordnede flyter. Når full håndheving er tilgjengelig, vil håndhevelse omfatte underordnede skrivebordsflyter. Fullstendig 14. februar 2023 Mars 2023
Januar 2023 Overfør policyer for hindring av datatap for underordnede skrivebordsflyter Aktiver håndhevelse av policyene for hindring av datatap for å ta med underordnede skrivebordsflyter. Hvis det blir funnet brudd i flyttreet, deaktiveres den overordnede skrivebordsflyten. Når den underordnede skrivebordsflyten er redigert og lagret for å fjerne bruddet, aktiveres de overordnede skrivebordsflytene automatisk på nytt. Læring - August 2023

*Tilgjengelighetsplanen kan endres og avhenger av utrullingen.

Suspensjon av flyt for DLP-brudd

Deaktiverte flyter vises som deaktivert i Power Automate maker portal og administrasjonssenter for Power Platform. Når en flyt returneres via en API, PowerShell eller «som administrator»-handlingen for listeflyter for Power Automate-administrasjonskobling, har flyten State=Suspended, FlowSuspensionReason=CompanyDlpViolation og verdien FlowSuspensionTime, som angir når flyten ble stengt ute.

Kjente begrensninger

Få informasjon om kjente problemer med hindring av datatap.

Se også

Lær mer om miljøer
Lær mer om Power Automate
Finn ut mer om administrasjonssenteret