Definir uma política para ajudar a evitar a perda de dados

  • Artigo

Os dados de uma organização são essenciais para o sucesso. Os dados precisam estar prontamente disponíveis para a tomada de decisão, mas ao mesmo tempo precisam ser protegidos para evitar o compartilhamento com públicos que não devam ter acesso a eles. Para proteger seus dados corporativos, o Power Automate fornece a capacidade de criar e impor políticas que definem quais conectores podem acessar e compartilhar dados de negócios. As políticas que definem como os dados podem ser compartilhados são chamadas de políticas de DLP (prevenção contra perda de dados).

Os administradores controlam as políticas DLP. Entre em contato com seu administrador se uma política DLP estiver bloqueando a execução de seus fluxos.

Saiba mais sobre como proteger seus dados com políticas de prevenção contra perda de dados.

Prevenção contra perdas de dados para fluxos da área de trabalho

O Power Automate permite que você crie e imponha políticas DLP que classificam os módulos de fluxo de área da trabalho (ou ações de módulo individuais) como Comerciais, Não Comerciais ou Bloqueados. Essa categorização impede que os criadores combinem módulos e ações de diferentes categorias em um fluxo da área de trabalho ou entre um fluxo de nuvem e os fluxos da área de trabalho que ele usa.

Importante

  • A aplicação de políticas DLP está disponível apenas para Ambientes Gerenciados. A partir de setembro de 2024, apenas os fluxos da área de trabalho localizados em Ambientes Gerenciados serão avaliados pelas políticas DLP.
  • A DLP para fluxos da área de trabalho está disponível para versões do Power Automate para desktop 2.14.173.21294 ou posterior. Se você estiver usando uma versão anterior, desinstale e atualize para a versão mais recente.

Ver grupos de ações de fluxo da área de trabalho

Por padrão, os grupos de ações de fluxos da área de trabalho não aparecem quando você cria uma nova política DLP. Você precisa ativar a definição Mostrar ações de fluxos da área de trabalho nas políticas DLP nas configurações do locatário.

Se você optou pela versão preliminar pública, a configuração Ações de fluxos da área de trabalho no DLP já está ativada e não pode ser alterada se você tiver optado pela versão preliminar pública.

  1. Entre no centro de administração do Power Platform.

  2. No painel lateral esquerdo, selecione Configurações.

  3. Na página Configurações de locatário, selecione Ações de fluxo da área de trabalho no DLP.

  4. Ative o botão Mostrar ações de fluxo da área de trabalho em políticas DLP e selecione Salvar.

    Captura de tela do DLP para configuração de fluxos da área de trabalho no centro de administração do Power Platform.

Agora você pode classificar grupos de ações de fluxo de área de trabalho ao criar uma política de dados.

Criar uma política de DLP com restrições de fluxo da área de trabalho

Quando os administradores editam ou criam uma política, grupos de ações do fluxo da área de trabalho são adicionados ao grupo padrão e a política é aplicada depois que for salva. A política é suspensa se o grupo padrão for definido como Bloqueado e os fluxos da área de trabalho estiverem em execução nos ambientes de destino.

Você pode gerenciar suas políticas de DLP para fluxos de área de trabalho da mesma forma que gerenciam conectores e ações de fluxo de nuvem. Os módulos de fluxo da área de trabalho são grupos de ações semelhantes, conforme exibido na interface de usuário do Power Automate para desktop. Um módulo é semelhante a conectores usados em fluxos de nuvem. Você pode definir uma política de DLP que gerencia módulos de fluxos de área de trabalho e conectores de fluxos da nuvem. Alguns módulos básicos, como Variáveis, não podem ser gerenciados no escopo da política DLP porque quase todos os fluxos da área de trabalho precisam usá-los. Saiba mais sobre os fundamentos das políticas de DLP e como criá-los.

Quando o locatário aceitar a experiência do usuário no Power Platform, os administradores verão automaticamente os novos módulos de fluxo da área de trabalho no grupo de dados padrão da política DLP que eles estão criando ou atualizando.

Captura de tela de uma política DLP em construção no centro de administração do Power Platform.

Aviso

Quando os módulos de fluxo da área de trabalho são adicionados às políticas DLP, os fluxos da área de trabalho do locatário são avaliados em relação a essas políticas DLP e serão suspensos se não forem compatíveis. Se o administrador criar ou atualizar a política DLP sem tomar conhecimento dos novos módulos, os fluxos da área de trabalho poderão ser suspensos inesperadamente.

Controle os fluxos da área de trabalho fora do DLP

O controle granular sobre o uso dos fluxos da área de trabalho em todos os computadores descrito nas seções acima será apenas para Ambientes Gerenciados. Você tem outras opções para controlar os fluxos da área de trabalho.

  • Capacidade de controlar a orquestração de fluxo da área de trabalho: o conector de fluxo da área de trabalho ainda pode ser controlado em suas políticas, como qualquer outro conector em todos os ambientes.

  • Capacidade de controlar o uso do Power Automate para desktop: você pode controlar os fluxos do Power Automate para desktop por meio do GPO. Essa governança permite ativar ou desativar fluxos da área de trabalho para ações como restringir um conjunto de ambientes ou regiões, limitar o uso de tipos de conta e restringir atualizações manuais.

Saiba mais sobre governança no Power Automate.

Módulos do fluxo de área de trabalho no DLP

Os seguintes módulos de fluxo da área de trabalho estão disponíveis em DLP:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automação do navegador
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sessão de CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Área de transferência
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compactação
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Banco de dados
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Arquivo
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Pasta
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive Cognitivo da IBM
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Caixas de mensagens
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Cognitivo da Microsoft
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse e teclado
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Executar fluxo
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Script
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulação de terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automação da interface do usuário
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serviços do Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Estação de trabalho
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Suporte do PowerShell para módulos de fluxo da área de trabalho

Se você não quiser ativar a configuração Mostrar ações de fluxo da área de trabalho em políticas DLP, você pode usar o seguinte script do PowerShell para adicionar todos os módulos de fluxo da área de trabalho ao grupo Bloqueado de uma política DLP. Se você já ativou a configuração, não precisa usar este script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

O seguinte script do PowerShell adiciona dois módulos de fluxo da área de trabalho específicos ao grupo de dados padrão de uma política DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script do PowerShell para desativar fluxos da área de trabalho

Se você não quiser usar o DLP para o recurso de fluxos da área de trabalho, você pode usar o seguinte script do PowerShell para recusar.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Depois que a política for habilitada

Se os usuários não tiverem a versão mais recente do Power Automate para desktop, a aplicação da política DLP será limitada. Eles não verão as mensagens de erro de tempo de design quando estiverem tentando executar, depurar ou salvar fluxos da área de trabalho que violam as políticas DLP. Trabalhos em segundo plano verificarão periodicamente os fluxos da área de trabalho no ambiente e suspenderão automaticamente qualquer um que viole as políticas de DLP. Os usuários não poderão executar fluxos da área de trabalho de um fluxo de nuvem se o fluxo da área de trabalho violar qualquer política de prevenção contra perda de dados.

Os criadores que têm o Power Automate para desktop mais recente não podem depurar, executar ou salvar fluxos da área de trabalho que violam a política DLP. Eles também não podem selecionar um fluxo da área de trabalho que viole uma política DLP em uma etapa de fluxo de nuvem.

Aplicação e suspensão DLP

Quando você cria ou edita um fluxo, o Power Automate o compara com o conjunto atual de políticas de DLP. A aplicação é assíncrona e ocorre dentro de 24 horas.

Quando você cria ou altera um política DLP, um trabalho em segundo plano verifica todos os fluxos ativos no ambiente, avalia-os e depois suspende os fluxos que violam a política. A aplicação é assíncrona e ocorre dentro de 24 horas. Se ocorrer uma alteração na política DLP quando a política DLP anterior estiver sendo avaliada, a avaliação será reiniciada para garantir que as políticas mais recentes sejam aplicadas.

Toda semana, um trabalho em segundo plano faz uma verificação de consistência de todos os fluxos ativos no ambiente em relação às políticas DLP para confirmar que nenhuma verificação tenha sido negligenciada.

Reativação DLP

Se o trabalho em segundo plano de aplicação de DLP encontrar um fluxo da área de trabalho que não viole mais nenhuma política DLP, o trabalho em segundo plano removerá automaticamente a suspensão. No entanto, o trabalho em segundo plano de aplicação de DLP não cancelará a suspensão automaticamente dos fluxos da nuvem.

Processo de alteração de aplicação de DLP

Periodicamente, a aplicação de DLP precisa mudar porque novos recursos de DLP ou uma correção de bug são lançados ou uma lacuna de aplicação é preenchida. Quando as alterações podem afetar os fluxos existentes, o seguinte processo de gerenciamento de alterações de imposição de DLP em estágios é aplicado.

  1. Investigação: confirme a necessidade de uma alteração de aplicação de DLP e investigue as especificidades da alteração.

  2. Aprendizagem: implemente a alteração e colete dados sobre a amplitude dos efeitos da alteração. As alterações de aplicação de DLP do documento para explicar o escopo da alteração. Se os dados sugerirem que alguns clientes serão muito afetados, uma comunicação pode ser enviada a esses clientes, informando que haverá uma alteração. Se a mudança tiver um impacto amplo nos fluxos existentes, em um estágio posterior da fase de aprendizado, quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, Power Automate notificará os proprietários do fluxo de que o fluxo será ser suspensos, para que tenham mais tempo para responder.

  3. Somente notificação: ative as notificações por email somente para violações de DLP para que os proprietários de fluxos existentes sejam notificados sobre a próxima alteração de aplicação de DLP Quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, notifique os proprietários do fluxo de que ele será suspenso. Esse mecanismo é executado semanalmente.

  4. Aplicação no momento do design: ative a aplicação no momento do design de violações de DLP para que os proprietários de fluxos existentes sejam notificados sobre a próxima alteração na aplicação de DLP, mas todos os fluxos alterados recebem uma avaliação completa da política DLP no momento do design. Isso também é conhecido como aplicação suave.

    • Momento do design: quando um fluxo é atualizado e salvo, use a opção de aplicação de DLP atualizada e suspenda o fluxo, se necessário, para que o criador fique imediatamente ciente da aplicação.

    • Processo em segundo plano: Quando o trabalho de aplicação de DLP em segundo plano encontrar uma violação em um fluxo existente, notifique os proprietários do fluxo de que ele será suspenso. Esse mecanismo inclui a criação ou alterações na política DLP e verificações de consistência.

  5. Aplicação completa: ative a aplicação completa de violações de DLP, para que as políticas DLP sejam totalmente aplicadas em todos os fluxos novos e existentes. As políticas de DLP são totalmente aplicadas quando os fluxos forem salvos durante a avaliação do trabalho em segundo plano de aplicação de DLP. Isso também é conhecido como aplicação rígida.

Lista de alterações de aplicação de DLP

A seguinte tabela lista alterações de aplicação de DLP e a data em que as alterações entraram em vigor.

Date Descrição Motivo da alteração Estágio Disponibilidade de imposição em tempo de design* Disponibilidade total de aplicação*
Maio de 2022 Aplicação de trabalhos em segundo plano de autorização delegada As políticas DLP são impostas nos fluxos que usam autorização delegada têm políticas DLP aplicadas enquanto o fluxo está sendo salvo, mas não durante a avaliação do trabalho em segundo plano. Completo 2 de junho de 2022 21 de julho de 2022
Maio de 2022 Solicitar aplicação de gatilho apiConnection As políticas DLP não foram aplicadas corretamente para alguns gatilhos. Os gatinhos afetados têm type=Request e kind=apiConnection. Muitos dos gatilhos afetados são gatilhos instantâneos que são usados em fluxos instantâneos ou acionados manualmente. Os gatilhos afetados incluem os seguintes.
- Power BI: botão do Power BI clicado
- Teams - Da caixa de composição (V2)
- OneDrive for Business: Para um arquivo selecionado
- Dataverse: Quando uma etapa do fluxo é executada a partir de um fluxo do processo empresarial
- Dataverse (herdado): Quando um registro foi selecionado
- Excel Online (Business): Para uma linha selecionada
- SharePoint: Para um item selecionado
- Microsoft Copilot Studio: quando o Copilot Studio chama um fluxo (V2)		 Completo 2 de junho de 2022 25 de agosto de 2022
Julho de 2022 Impor políticas DLP em fluxos filhos Habilite a aplicação de políticas DLP para incluir fluxos filho. Se uma violação for encontrada em qualquer lugar na árvore de fluxo, o fluxo pai será suspenso. Depois que o fluxo filho for editado e salvo para remover a violação, os fluxos pai poderão ser salvos novamente ou reativados para executar a avaliação da política DLP novamente. Uma alteração para não bloquear mais os fluxos filho quando o conector HTTP estiver bloqueado será lançada junto com a aplicação completa de políticas DLP em fluxos filho. Assim que a aplicação completa estiver disponível, a aplicação incluirá fluxos filho da área de trabalho. Completo 14 de fevereiro de 2023 Março de 2023
2023 de janeiro Impor políticas DLP em fluxos da área de trabalho filho Habilite a aplicação de políticas DLP para incluir fluxos da área de trabalho filho. Se uma violação for encontrada em qualquer lugar na árvore de fluxo, o fluxo pai da área de trabalho será suspenso. Depois que o fluxo da área de trabalho filho é editado e salvo para remover a violação, os fluxos da área de trabalho pai são reativados automaticamente. Aprendizagem - Agosto de 2023

*A programação de disponibilidade pode mudar e depende da distribuição.

Suspensão de fluxo por violação de DLP

Os fluxos suspensos são exibidos como suspensos no Maker Portal do Power Automate e no centro de administração do Power Platform. Quando um fluxo é retornado por meio de API, PowerShell ou os fluxos da lista de conectores de Gerenciamento do Power Automate como ação "Administrativa", o fluxo tem o valor State=Suspended, FlowSuspensionReason=CompanyDlpViolation, and a FlowSuspensionTime indicando quando o fluxo foi suspenso.

Limitações conhecidas

Saiba mais sobre os problemas conhecidos de DLP.

Confira também

Saiba mais sobre ambientes
Saiba mais sobre o Power Automate
Saiba mais sobre o centro de administração