Setarea unei politici care să ajute la prevenirea pierderii datelor

  • Articol

Datele unei organizații sunt esențiale pentru succesul acesteia. Datele sale trebuie să fie ușor disponibile pentru luarea deciziilor, dar în același timp protejate, astfel încât să nu fie partajate cu publicul care nu ar trebui să aibă acces la ele. Pentru a vă proteja datele companiei, Power Automate vă oferă posibilitatea de a crea și de a aplica politici care definesc ce conectori le pot accesa și partaja. Politicile care definesc modul în care datele pot fi partajate sunt denumite politici de prevenire a pierderii datelor (DLP).

Administratorii controlează politicile DLP. Dacă o politică DLP vă blochează rularea fluxurilor, contactați administratorul.

Aflați mai multe despre protejarea datelor dvs. cu politici de prevenire a pierderii datelor.

Prevenirea pierderii de date pentru fluxurile desktop

Power Automate vă permite să creați și să aplicați politici DLP care clasifică modulele de flux desktop și acțiunile modulelor individuale ca Afaceri, Non-business sau Blocat. Această clasificare îi împiedică pe producători să combine module și acțiuni din diferite categorii într-un flux desktop sau între un flux cloud și fluxurile desktop pe care le utilizează.

Important

  • Aplicarea politicilor DLP este disponibilă numai pentru Mediile gestionate . Începând din septembrie 2024, numai fluxurile desktop care sunt situate în medii gestionate vor fi evaluate de politicile DLP.
  • DLP pentru fluxurile desktop este disponibil pentru versiunile de Power Automate pentru desktop 2.14.173.21294 sau ulterioare. Dacă utilizați o versiune anterioară, dezinstalați-o și actualizați la cea mai recentă versiune.

Vizualizați grupurile de acțiuni de flux pe desktop

În mod implicit, grupurile de acțiuni ale fluxului de desktop nu apar atunci când creați o politică DLP. Trebuie să activați setarea Afișați acțiunile fluxului desktop în politicile DLP în setările locatarului.

Dacă ați optat pentru previzualizarea publică, setarea Acțiunile fluxului de desktop din DLP este deja activată și nu poate fi modificată.

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. În panoul din stânga, selectați Setări.

  3. Pe pagina Setări de chiriaș , selectați Acțiuni de flux de desktop în DLP.

  4. Activați Afișați acțiunile fluxului desktop în politicile DLP, apoi selectați Salvați.

    Captură de ecran a setării DLP pentru fluxuri desktop din Power Platform centrul de administrare.

Acum puteți clasifica grupuri de acțiuni de flux de desktop atunci când creați o politică de date.

Creați o politică DLP cu restricții de flux pe desktop

Când administratorii editează sau creează o politică, grupurile de acțiuni de flux de desktop sunt adăugate la grupul implicit, iar politica este aplicată după ce este salvată. Politica este suspendată dacă grupul implicit este setat la Blocat și fluxurile desktop rulează în mediile țintă.

Puteți gestiona politicile DLP pentru fluxurile desktop în același mod în care gestionați conectorii și acțiunile fluxului în cloud. Modulele de flux pentru desktop sunt grupuri de acțiuni similare cu cele afișate în interfața de utilizator Power Automate pentru desktop. Un modul este similar cu conectorii care sunt utilizați în fluxurile cloud. Puteți defini o politică DLP care gestionează atât modulele de flux desktop, cât și conectorii fluxului în cloud. Unele module de bază, cum ar fi Variabile, nu pot fi gestionate în domeniul de aplicare al politicii DLP, deoarece aproape toate fluxurile desktop trebuie să le folosească. Aflați mai multe despre elementele fundamentale ale politicilor DLP și despre cum să le creați.

Când chiriașul dvs. este înscris în experiența utilizatorului în Power Platform, administratorii dvs. văd automat noile module de flux desktop în grupul de date implicit al politicii DLP pe care o creează sau o actualizează.

Captură de ecran a unei politici DLP în construcție în Power Platform centrul de administrare.

Avertisment

Când modulele de flux de desktop sunt adăugate la politicile DLP, fluxurile de desktop ale chiriașului sunt evaluate în raport cu acestea și sunt suspendate dacă nu sunt conforme. Dacă administratorul creează sau actualizează politica DLP fără a observa noile module, fluxurile desktop pot fi suspendate în mod neașteptat.

Guvernați fluxurile desktop în afara DLP

Controlul granular asupra utilizării fluxurilor desktop pe toate mașinile, așa cum este descris în secțiunile anterioare, se aplică numai mediilor gestionate. Aveți alte opțiuni pentru a guverna fluxurile desktop.

  • Capacitatea de a guverna orchestrarea fluxului desktop: conectorul fluxului desktop poate fi guvernat în politicile dvs. ca orice alt conector în toate mediile.

  • Abilitatea de a guverna utilizarea Power Automate pentru desktop: puteți guverna Power Automate pentru desktop fluxuri prin GPO. Această guvernanță vă permite să activați sau să dezactivați fluxurile desktop pentru acțiuni precum restricționarea la un set de medii sau regiuni, limitarea utilizării tipurilor de cont și restricționarea actualizărilor manuale.

Aflați mai multe despre guvernare în Power Automate.

Module de flux desktop în DLP

Următoarele module de flux desktop sunt disponibile în DLP:

  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesiune CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitiv
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Casete de mesaj
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiv
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse și tastatură
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulare terminal
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatizarea interfeței de utilizare
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servicii Windows
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • furnizori/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Suport PowerShell pentru modulele de flux desktop

Dacă nu doriți să activați setarea Afișați acțiunile fluxului desktop în politicile DLP , puteți utiliza următorul script PowerShell pentru a adăuga toate modulele fluxului desktop la Grupul blocat al unei politici DLP. Dacă ați activat deja setarea, nu este necesar să utilizați acest script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Următorul script PowerShell adaugă două module de flux desktop specifice la grupul de date implicit al unei politici DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script PowerShell pentru a renunța la fluxurile desktop

Dacă nu doriți să utilizați caracteristica DLP pentru fluxuri desktop, puteți utiliza următorul script PowerShell pentru a renunța.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

După ce politica este activată

Dacă utilizatorii dvs. nu au cele mai recente Power Automate pentru desktop, aplicarea politicii DLP este limitată. Ei nu văd mesaje de eroare la momentul proiectării atunci când încearcă să ruleze, să depaneze sau să salveze fluxuri desktop care încalcă politicile DLP. Lucrările de fundal scanează periodic fluxurile de desktop din mediu și suspendă automat orice încalcă politicile DLP. Utilizatorii nu pot rula fluxuri desktop dintr-un flux cloud dacă fluxul desktop încalcă orice politică de prevenire a pierderii de date.

Producătorii care au cele mai recente Power Automate pentru desktop nu pot depana, rula sau salva fluxuri desktop care încalcă politica DLP. De asemenea, nu pot selecta un flux desktop care încalcă o politică DLP dintr-un pas de flux cloud.

Executarea și suspendarea DLP

  1. Când creați sau editați un flux, Power Automate l evaluează în raport cu setul actual de politici DLP.
    1. Aplicarea fluxurilor fără un flux copil, care reprezintă 99% din fluxuri, este sincronă și are loc în timp real.
    2. Aplicarea unui flux cu un flux copil este asincronă, deoarece fluxurile copil trebuie evaluate, de asemenea, și are loc în decurs de 24 de ore.
  2. Când creați sau modificați o politică DLP, o lucrare de fundal scanează toate fluxurile active din mediu, le evaluează și apoi suspendă fluxurile care încalcă politica. Aplicarea este asincronă și are loc în 24 de ore. Dacă o modificare a politicii DLP are loc atunci când este evaluată politica anterioară DLP, atunci evaluarea repornește pentru a vă asigura că sunt aplicate cele mai recente politici.
  3. Săptămânal, o lucrare de fundal efectuează o verificare a coerenței tuturor fluxurilor active din mediu în raport cu politicile DLP pentru a confirma că nu a fost ratată o verificare a politicii DLP.

Reactivare DLP

Dacă lucrarea de fundal de aplicare a DLP găsește un flux de desktop care nu mai încalcă nicio politică DLP, atunci lucrarea de fundal elimină automat suspendarea. Cu toate acestea, sarcina de fundal de aplicare a DLP nu anulează automat fluxurile cloud.

Procesul de modificare a aplicării DLP

Periodic, aplicarea DLP trebuie să se schimbe deoarece noi capabilități DLP sau o remediere a erorilor sunt lansate sau un gol de aplicare este completat. Când modificările pot afecta fluxurile existente, aplicați următorul proces de gestionare a modificărilor de aplicare a DLP în etape:

  1. Investigarea: confirmați necesitatea unei modificări a aplicării DLP și investigați specificul modificării.

  2. Învăţare : implementați modificarea și colectați date despre amploarea efectelor schimbării. Documentați modificările de aplicare a DLP pentru a explica domeniul de aplicare al modificării. Dacă datele sugerează că clienții vor fi foarte afectați, atunci o comunicare poate fi trimisă acelor clienți pentru a-i anunța că urmează o schimbare. Dacă schimbarea are un impact larg asupra fluxurilor existente, atunci într-o etapă ulterioară a fazei de învățare, când jobul de aplicare a DLP de fundal găsește o încălcare într-un flux existent, Power Automate anunță proprietarii fluxului că fluxul va fi suspendat, astfel încât aceștia să aibă mai mult timp să răspundă.

  3. Notifică numai : activați notificările prin e-mail numai pentru încălcările DLP, astfel încât proprietarii fluxurilor existente să fie notificați despre viitoarea modificare a aplicării DLP. Când lucrarea de aplicare a DLP în fundal găsește o încălcare într-un flux existent, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism rulează săptămânal.

  4. Aplicarea în timp de proiectare : Activați aplicarea încălcărilor DLP la momentul proiectării, astfel încât proprietarii fluxurilor existente să fie notificați cu privire la modificarea viitoare a aplicării DLP, dar orice fluxuri care sunt modificate primesc o evaluare completă a politicii DLP în momentul proiectării. Acest lucru este cunoscut și ca aplicare blândă.

    • Timpul de proiectare : Când un flux este actualizat și salvat, utilizați aplicarea DLP actualizată și suspendați fluxul dacă este necesar, astfel încât producătorul să fie imediat la curent cu aplicarea.

    • Proces de fundal : Când jobul de aplicare a DLP în fundal găsește o încălcare într-un flux, notificați proprietarii fluxului că fluxul va fi suspendat. Acest mecanism include crearea sau modificările politicii DLP și verificări de coerență.

  5. Aplicare integrală : activați aplicarea completă a încălcărilor DLP, astfel încât politicile DLP să fie pe deplin aplicate pentru toate fluxurile existente și noi. Politicile DLP sunt aplicate pe deplin atunci când fluxurile sunt salvate în timpul evaluării jobului de fundal al aplicării DLP. Acest lucru este cunoscut și ca aplicare grea.

Lista modificărilor privind aplicarea DLP

Următorul tabel listează modificările de aplicare a DLP și data la care modificările au intrat în vigoare.

Data Descriere Motiv pentru schimbare Etapă Disponibilitatea aplicării în timpul proiectării* Disponibilitate deplină de aplicare*
Mai 2022 Autorizație delegată de fundal aplicarea locului de muncă Politicile DLP sunt aplicate fluxurilor care utilizează autorizarea delegată în timp ce fluxul este salvat, dar nu în timpul evaluării jobului de fundal. Integral 2 iunie 2022 21 iulie 2022
Mai 2022 Solicitați aplicarea declanșatorului apiConnection Politicile DLP nu au fost aplicate corect pentru unele declanșatoare. Declanșatoarele afectate au type=Request și kind=apiConnection. Multe dintre declanșatoarele afectate sunt declanșatoare instantanee, care sunt utilizate în fluxuri instantanee sau declanșate manual. Declanșatoarele afectate includ următoarele.
- Power BI: Power BI a făcut clic pe butonul
- Echipe: din caseta de scriere (V2)
- OneDrive for Business: pentru un fișier selectat
- Dataverse: Când un pas de flux este rulat dintr-un flux de business
- Dataverse (moștenire): când este selectată o înregistrare
- Excel Online (Afaceri): pentru un rând selectat
- SharePoint: Pentru un articol selectat
- Microsoft Copilot Studio: când Copilot Studio apelează un flux (V2)		 Integral 2 iunie 2022 25 august, 2022
Iulie 2022 Aplicați politicile DLP privind fluxurile de copii Activați aplicarea politicilor DLP pentru a include fluxuri de copii. Dacă o încălcare este găsită oriunde în arborele de flux, fluxul părinte este suspendat. După ce fluxul secundar este editat și salvat pentru a elimina încălcarea, fluxurile părinte pot fi resalvate sau reactivate pentru a rula din nou evaluarea politicii DLP. O modificare de a nu mai bloca fluxurile secundare atunci când conectorul HTTP este blocat va fi implementată împreună cu aplicarea completă a politicilor DLP privind fluxurile copil. Odată ce aplicarea completă este disponibilă, aplicarea va include fluxuri desktop pentru copii. Integral 14 februarie 2023 Martie 2023
ianuarie 2023 Aplicați politicile DLP pentru fluxurile desktop pentru copii Activați aplicarea politicilor DLP pentru a include fluxuri desktop pentru copii. Dacă o încălcare este găsită oriunde în arborele de flux, fluxul părinte desktop este suspendat. După ce fluxul desktop copil este editat și salvat pentru a elimina încălcarea, fluxurile desktop părinte sunt reactivate automat. Learning - August 2023

*Programul de disponibilitate se poate modifica și depinde de lansare.

Suspendarea fluxului pentru încălcarea DLP

Fluxurile suspendate se afișează ca fiind suspendate în Power Automate portalul maker și în Power Platform centrul de administrare. Când un flux este returnat printr-un API, PowerShell sau Power Automate Acțiunea „ca administrator” din lista de conectori de gestionare, fluxul are State=Suspended , FlowSuspensionReason=CompanyDlpViolation și o FlowSuspensionTime valoare care indică momentul în care fluxul a fost suspendat.

Limitări cunoscute

Aflați despre problemele cunoscute DLP.

Consultați și

Aflați mai multe despre medii
Află mai multe despre Power Automate
Aflați mai multe despre centrul de administrare