Een beleid instellen om te voorkomen dat gegevens verloren gaan

  • Artikel

De gegevens van een organisatie zijn cruciaal voor het succes ervan. De gegevens moeten direct beschikbaar zijn voor besluitvorming, maar moeten tegelijkertijd worden beschermd zodat ze niet worden gedeeld met personen die er geen toegang toe zouden moeten hebben. Voor het beveiligen van uw bedrijfsgegevens biedt Power Automate de mogelijkheid om beleidsregels te maken en af te dwingen op basis waarvan wordt bepaald welke connectoren toegang kunnen krijgen tot uw zakelijke gegevens en welke connectoren deze gegevens mogen delen. De beleidsregels waarin wordt gedefinieerd hoe gegevens kunnen worden gedeeld, worden beleid voor preventie van gegevensverlies (DLP) genoemd.

Beheerders bepalen het DLP-beleid. Als een DLP-beleid ter voorkoming van gegevensverlies de uitvoering van uw stromen verhindert, neemt u contact op met uw beheerder.

Meer informatie over het beschermen van uw gegevens met beleid ter preventie van gegevensverlies.

Preventie van gegevensverlies voor bureaubladstromen

Power Automate biedt de mogelijkheid om DLP-beleidsregels te maken en af te dwingen die modules voor bureaubladstromen en afzonderlijke moduleacties classificeren in de categorieën Zakelijk, Niet-zakelijk of Geblokkeerd. Deze categorisatie voorkomt dat makers modules en acties uit verschillende categorieën combineren in een bureaubladstroom of tussen een cloudstroom en de bureaubladstromen die deze gebruikt.

Belangrijk

  • Afdwinging van DLP-beleid is uitsluitend beschikbaar voor Beheerde omgevingen. Vanaf september 2024 worden alleen bureaubladstromen die zich in beheerde omgevingen bevinden, geëvalueerd door DLP-beleid.
  • DLP voor bureaubladstromen is beschikbaar voor versies 2.14.173.21294 of hoger van Power Automate voor bureaublad. Als u een oudere versie gebruikt, verwijdert u deze en werkt u deze bij naar de nieuwste versie.

Actiegroepen van bureaubladstromen weergeven

Actiegroepen voor bureaubladstromen worden standaard niet weergegeven wanneer u een nieuw DLP-beleid maakt. U moet de instelling Bureaubladstroomacties in DLP weergeven inschakelen in uw tenantinstellingen.

Als u hebt gekozen voor de openbare preview, is de instelling Bureaubladstroomacties in DLP al ingeschakeld en kan dit niet worden gewijzigd.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer in het linkerdeelvenster de optie Instellingen.

  3. Selecteer op de pagina Tenantinstellingen de optie Bureaubladstroomacties in DLP.

  4. Schakel Bureaubladstroomacties weergeven in DLP-beleid in en selecteer vervolgens Opslaan.

    Schermopname van de instelling voor DLP voor bureaubladstromen in het Power Platform-beheercentrum.

U kunt nu actiegroepen voor bureaubladstromen classificeren wanneer u een gegevensbeleid maakt.

Een DLP-beleid maken met beperkingen voor bureaubladstromen

Wanneer beheerders een beleid bewerken of maken, worden nieuwe actiegroepen voor bureaubladstromen toegevoegd aan de standaardgroep en wordt het beleid toegepast nadat het is opgeslagen. Het beleid wordt opgeschort als de standaardgroep is ingesteld op Geblokkeerd en de bureaubladstromen worden uitgevoerd in de doelomgevingen.

U kunt uw DLP-beleid voor bureaubladstromen beheren op dezelfde manier waarop u cloudstroomconnectoren en -acties beheert. Bureaubladstroommodules zijn groepen van vergelijkbare acties zoals weergegeven in de gebruikersinterface van Power Automate voor bureaublad. Een module is vergelijkbaar met connectoren die worden gebruikt in cloudstromen. U kunt een DLP-beleid definiëren dat zowel modules voor bureaubladstromen als connectoren voor cloudstromen beheert. Sommige basismodules, zoals Variabelen, kunnen niet worden beheerd binnen het bereik van het DLP-beleid, omdat bijna alle bureaubladstromen hiervan gebruik moeten maken. Meer informatie over de basisprincipes van DLP-beleid en hoe u dit beleid kunt maken.

Wanneer uw tenant is aangemeld voor de gebruikerservaring in Power Platform, zien uw beheerders automatisch de nieuwe bureaubladstroommodules in de standaardgegevensgroep van het DLP-beleid dat zij maken of bijwerken.

Schermopname van een DLP-beleid dat in aanbouw is in het Power Platform-beheercentrum.

Waarschuwing

Wanneer bureaubladstroommodules worden toegevoegd aan DLP-beleid, worden de bureaubladstromen van uw tenant geëvalueerd aan de hand van dat DLP-beleid en worden deze opgeschort als ze niet compatibel zijn. Als uw beheerder het DLP-beleid maakt of bijwerkt zonder kennis te nemen van de nieuwe modules, kunnen bureaubladstromen onverwacht worden opgeschort.

Bureaubladstromen beheren buiten DLP

Gedetailleerde controle over het gebruik van bureaubladstromen op alle machines, zoals beschreven in de vorige secties, is alleen van toepassing op beheerde omgevingen. U hebt andere opties om bureaubladstromen te beheren.

  • Mogelijkheid om indeling van bureaubladstromen te beheren: de connector voor bureaubladstromen kan worden beheerd in uw beleid zoals elke andere connector in alle omgevingen.

  • Mogelijkheid om het gebruik van Power Automate voor bureaublad te beheren: u kunt Power Automate voor bureaubladstromen beheren via GPO. Met deze governance kunt u bureaubladstromen in- of uitschakelen voor acties zoals het beperken tot een reeks omgevingen of regio's, het beperken van het gebruik van accounttypen en het beperken van handmatige updates.

Meer informatie over governance in Power Automate.

Bureaubladstroommodules in DLP

De volgende bureaubladstroommodules zijn beschikbaar in DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browserautomatisering
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitief
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitief
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Muis en toetsenbord
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulatie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-ondersteuning voor bureaubladstroommodules

Als u de instelling Bureaubladstroomacties weergeven in DLP-beleid niet wilt inschakelen, kunt u het volgende PowerShell-script gebruiken om alle bureaubladstroommodules toe te voegen aan de groep Geblokkeerd van een DLP-beleid. Als u de instelling al hebt ingeschakeld, hoeft u dit script niet te gebruiken.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Hieronder worden met een PowerShell-script twee specifieke bureaubladstroommodules toegevoegd aan de standaardgegevensgroep van een DLP-beleid.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell-script om bureaubladstromen af te melden

Als u de functie DLP voor bureaubladstromen niet wilt gebruiken, kunt u het volgende PowerShell-script gebruiken om af te melden.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Nadat het beleid is ingeschakeld

Als uw gebruikers niet over de nieuwste Power Automate voor bureaublad beschikken, is de handhaving van het DLP-beleid beperkt. De gebruikers zullen de foutmeldingen tijdens ontwerptijd niet zien wanneer ze proberen uit te voeren, te debuggen of bureaubladstromen op te slaan die DLP-beleid schenden. Achtergrondtaken scannen periodiek bureaubladstromen in de omgeving en onderbreken automatisch die bureaubladstromen die het DLP-beleid schenden. Gebruikers kunnen geen bureaubladstromen uitvoeren vanuit een cloudstroom als de bureaubladstroom in strijd is met beleid ter voorkoming van gegevensverlies.

Makers die over de nieuwste Power Automate voor bureaublad beschikken, kunnen geen bureaubladstromen opsporen, uitvoeren of opslaan die het DLP-beleid schenden. Ze kunnen ook geen bureaubladstroom selecteren die in strijd is met een DLP-beleid vanuit een cloudstroomstap.

Handhaving en opschorting van DLP

Wanneer u een stroom maakt of bewerkt, evalueert Power Automate deze aan de hand van de huidige set DLP-beleidsregels. Handhaving wordt asynchroon uitgevoerd en vindt binnen 24 uur plaats.

Wanneer u een DLP-beleid maakt of wijzigt, scant een achtergrondtaak alle actieve stromen in de omgeving, evalueert deze en schort vervolgens de stromen op die het bijgewerkte beleid schenden. Handhaving wordt asynchroon uitgevoerd en vindt binnen 24 uur plaats. Als er een wijziging van het DLP-beleid optreedt wanneer het vorige DLP-beleid wordt geëvalueerd, wordt de evaluatie opnieuw gestart om ervoor te zorgen dat het meest recente beleid wordt toegepast.

Wekelijks voert een achtergrondtaak een consistentiecontrole uit van alle actieve stromen in de omgeving ten opzichte van het DLP-beleid om te bevestigen dat de DLP-beleidscontrole niet is gemist.

Reactivering van DLP

Als de achtergrondtaak voor DLP-handhaving een bureaubladstroom vindt die geen DLP-beleid meer schendt, wordt de opschorting automatisch opgeheven door de achtergrondtaak. Met de achtergrondtaak voor DLP-handhaving wordt de opschorting van cloudstromen echter niet automatisch opgeheven.

Wijzigingsproces voor DLP-handhaving

Van tijd tot tijd moet de DLP-handhaving veranderen omdat nieuwe DLP-mogelijkheden of een bugfix worden uitgerold of een hiaat in de handhaving wordt opgevuld. Wanneer wijzigingen van invloed kunnen zijn op bestaande stromen, pas dan het volgende gefaseerde wijzigingsbeheerproces voor DLP-handhaving toe:

  1. Onderzoeken: bevestig de noodzaak van een DLP-handhavingswijziging en onderzoek de details van de wijziging.

  2. Leren: implementeer de wijziging en verzamel gegevens over de breedte van de effecten van de wijziging. Documenteer wijzigingen in de DLP-handhaving om de reikwijdte van de wijziging uit te leggen. Als uit de gegevens blijkt dat sommige klanten grote gevolgen zullen ondervinden, wordt er mogelijk een bericht naar die klanten gestuurd om hen te laten weten dat er een wijziging op komst is. Als de wijziging een brede impact heeft op bestaande stromen, stelt Power Automate in een later stadium in de leerfase, wanneer de achtergrond DLP-handhavingstaak een overtreding in een bestaande stroom constateert, de stroomeigenaren op de hoogte dat de stroom wordt opgeschort, zodat ze meer tijd hebben om te reageren.

  3. Alleen melden: schakel e-mailmeldingen alleen in voor DLP-schendingen, zodat eigenaren van bestaande stromen op de hoogte worden gesteld van de aanstaande wijziging van DLP-handhaving. Wanneer de DLP-handhavingstaak op de achtergrond een schending aantreft in een bestaande stroom, laat u de stroomeigenaren weten dat de stroom wordt opgeschort. Dit mechanisme wordt wekelijks uitgevoerd.

  4. Handhaving in ontwerptijd: schakel handhaving in ontwerptijd van DLP-schendingen in, zodat eigenaren van bestaande stromen op de hoogte worden gesteld van de aanstaande wijziging van DLP-handhaving, maar alle stromen die worden gewijzigd, krijgen tijdens het ontwerpen een volledige DLP-beleidsevaluatie. Dit staat ook wel bekend als zachte handhaving.

    • Ontwerptijd: wanneer een stroom wordt bijgewerkt en opgeslagen, gebruikt u de bijgewerkte DLP-handhaving en onderbreekt u de stroom indien nodig, zodat de maker onmiddellijk op de hoogte is van de handhaving.

    • Achtergrondproces: wanneer de DLP-handhavingstaak op de achtergrond een schending aantreft in een bestaande stroom, laat u de stroomeigenaren weten dat de stroom in de toekomst wordt opgeschort. Dit mechanisme omvat het maken of wijzigen van DLP-beleid en consistentiecontroles.

  5. Volledige handhaving: schakel volledige handhaving van DLP-schendingen in, zodat het DLP-beleid volledig wordt gehandhaafd op alle bestaande en nieuwe stromen. Het DLP-beleid wordt volledig gehandhaafd wanneer stromen worden opgeslagen tijdens de functie-evaluatie op de achtergrond van DLP-handhaving. Dit staat ook wel bekend als harde handhaving.

Wijzigingslijst voor DLP-handhaving

In de volgende tabel worden wijzigingen in de DLP-handhaving weergegeven en de datum waarop de wijzigingen van kracht werden

Date Omschrijving Reden voor wijziging Fase Beschikbaarheid van handhaving in ontwerptijd* Volledige handhavingsbeschikbaarheid*
Mei 2022 Gedelegeerde autorisatie van handhaving van achtergrondtaak DLP-beleid wordt afgedwongen voor stromen die gedelegeerde autorisatie gebruiken terwijl de stroom wordt opgeslagen, maar niet tijdens taakevaluatie op de achtergrond. Volledig 2 juni 2022 21 juli 2022
Mei 2022 Afdwingen van apiConnection-trigger aanvragen Voor sommige triggers is het DLP-beleid niet correct afgedwongen. De desbetreffende triggers hebben type=Request en kind=apiConnection. Veel van deze triggers zijn directe triggers die worden gebruikt in directe of handmatig getriggerde stromen. De betreffende triggers zijn onder andere de volgende.
- Power BI: geklikt op Power BI-knop
- Teams: vanuit het opstelvak (V2)
- OneDrive voor Bedrijven: voor een geselecteerd bestand
- Dataverse: wanneer een stroomstap wordt uitgevoerd vanuit een bedrijfsprocesstroom
- Dataverse (verouderd): wanneer een record wordt geselecteerd
- Excel Online (Business): voor een geselecteerde rij
- SharePoint: voor een geselecteerd item
- Microsoft Copilot Studio: wanneer Copilot Studio een stroom aanroept (V2)		 Volledig 2 juni 2022 25 augustus 2022
Juli 2022 DLP-beleid voor onderliggende stromen afdwingen Schakel de handhaving van DLP-beleid in om onderliggende stromen op te nemen. Als ergens in de stroomstructuur een overtreding wordt gevonden, wordt de bovenliggende stroom opgeschort. Nadat de onderliggende stroom is bewerkt en opgeslagen om de schending te verwijderen, kunnen de bovenliggende stromen opnieuw worden opgeslagen of opnieuw worden geactiveerd om de evaluatie van het DLP-beleid opnieuw uit te voeren. Een wijziging om onderliggende stromen niet langer te blokkeren wanneer de HTTP-connector wordt geblokkeerd, wordt geïmplementeerd samen met de volledige handhaving van DLP-beleid voor onderliggende stromen. Zodra volledige handhaving beschikbaar is, omvat de handhaving onderliggende bureaubladstromen. Volledig 14 februari 2023 Maart 2023
Januari 2023 DLP-beleid voor onderliggende bureaubladstromen afdwingen Schakel de handhaving van DLP-beleid in om onderliggende bureaubladstromen op te nemen. Als ergens in de stroomstructuur een overtreding wordt gevonden, wordt de bovenliggende bureaubladstroom opgeschort. Nadat de onderliggende bureaubladstroom is bewerkt en opgeslagen om de schending te verwijderen, worden de bovenliggende bureaubladstromen automatisch opnieuw geactiveerd. Leren - Augustus 2023

*Het beschikbaarheidsschema kan worden gewijzigd en is afhankelijk van de uitrol.

Stroomopschorting wegens DLP-schending

Opgeschorte stromen worden weergegeven als opgeschort in de Power Automate Maker Portal en het Power Platform-beheercentrum. Wanneer een stroom wordt geretourneerd via een API, PowerShell of de Power Automate-beheerconnectoractie Stromen weergeven als beheerder, heeft de stroom de waarde State=Suspended en bijpassende waarden voor FlowSuspensionReason=CompanyDlpViolation en een FlowSuspensionTime waarmee wordt aangegeven wanneer de stroom is opgeschort.

Bekende beperkingen

Meer informatie over bekende problemen met DLP.

Zie ook

Meer informatie over omgevingen
Meer informatie over Power Automate
Meer informatie over het beheercentrum