Nastavitev pravilnik o preprečevanju izgube podatkov

  • Članek

Podatki organizacije so ključni za njen uspeh. Njegovi podatki morajo biti takoj na voljo za odločanje, a hkrati zaščiteni, da se ne delijo z občinstvom, ki ne bi smelo imeti dostopa do njih. Za zaščito vaših poslovnih podatkov Power Automate omogoča ustvarjanje in uveljavljanje pravilnikov, ki določajo, kateri konektorji lahko dostopajo do njih in jih delijo. Politike, ki določajo način skupne rabe podatkov, se imenujejo politike za preprečevanje izgube podatkov (DLP).

Skrbniki nadzorujejo pravilnike DLP. Če pravilnik DLP blokira izvajanje vaših tokov, se obrnite na skrbnika.

Izvedite več o zaščiti vaših podatkov s pravilniki o preprečevanju izgube podatkov.

Preprečevanje izgube podatkov za tokove namizja

Power Automate omogoča ustvarjanje in uveljavljanje pravilnikov DLP, ki razvrščajo module pretoka namizja in posamezna dejanja modulov kot poslovne, neposlovne ali Blokirano. Ta kategorizacija izdelovalcem preprečuje združevanje modulov in dejanj iz različnih kategorij v tok namizja ali med tokom oblaka in tokovi namizja, ki jih uporablja.

Pomembno

  • Uveljavljanje pravilnikov DLP je na voljo samo za upravljana okolja . Od septembra 2024 naprej bodo pravilniki DLP ocenjevali samo tokove namizja, ki se nahajajo v upravljanih okoljih.
  • DLP za namizne tokove je na voljo za različice Power Automate za namizne 2.14.173.21294 ali novejše. Če uporabljate starejšo različico, jo odstranite in posodobite na najnovejšo različico.

Oglejte si skupine dejanj toka namizja

Privzeto se skupine dejanj namiznega toka ne prikažejo, ko ustvarjate pravilnik DLP. V nastavitvah najemnika morate vklopiti nastavitev Pokaži dejanja poteka namizja v pravilnikih DLP .

Če ste se odločili za javni predogled, je nastavitev Dejanja toka namizja v DLP že omogočena in je ni mogoče spremeniti.

  1. Vpišite se v skrbniško središče za Power Platform.

  2. V levi stranski plošči izberite Nastavitve.

  3. Na strani Nastavitve najemnika izberite Dejanja toka namizja v DLP.

  4. Vklopite Pokaži dejanja toka namizja v pravilnikih DLPin nato izberite Shrani.

    Posnetek zaslona nastavitve DLP za tokove namizja v Power Platform skrbniškem središču.

Zdaj lahko razvrstite skupine dejanj toka namizja, ko ustvarite pravilnik o podatkih.

Ustvarite pravilnik DLP z omejitvami pretoka namizja

Ko skrbniki uredijo ali ustvarijo pravilnik, se skupine dejanj toka namizja dodajo v privzeto skupino, pravilnik pa se uporabi, ko je shranjen. Pravilnik je začasno ustavljen, če je privzeta skupina nastavljena na Blokirano in se tokovi namizja izvajajo v ciljnih okoljih.

Svoje pravilnike DLP za tokove namizja lahko upravljate na enak način, kot upravljate konektorje in dejanja toka v oblaku. Moduli toka namizja so skupine podobnih dejanj, kot so prikazana v uporabniškem vmesniku Power Automate za namizne računalnike. Modul je podoben priključkom, ki se uporabljajo v oblačnih tokovih. Določite lahko pravilnik DLP, ki upravlja module pretoka namizja in priključke toka v oblaku. Nekaterih osnovnih modulov, kot so Variables, ni mogoče upravljati v obsegu pravilnika DLP, ker jih morajo uporabljati skoraj vsi tokovi namizja. Izvedite več o osnovah pravilnikov DLP in o tem, kako jih ustvarite.

Ko je vaš najemnik izbran za uporabniško izkušnjo v Power Platform, vaši skrbniki samodejno vidijo nove module toka namizja v privzeti skupini podatkov pravilnika DLP, ki ga ustvarjajo ali posodabljajo.

Posnetek zaslona pravilnika DLP v izdelavi v Power Platform skrbniškem središču.

Opozorilo

Ko so moduli toka namizja dodani v pravilnike DLP, se tokovi namizja vašega najemnika ovrednotijo ​​glede nanje in so začasno ustavljeni, če niso skladni. Če vaš skrbnik ustvari ali posodobi pravilnik DLP, ne da bi opazil nove module, so lahko tokovi na namizju nepričakovano začasno ustavljeni.

Upravljajte tokove namizja zunaj DLP

Natančen nadzor nad uporabo tokov namizja na vseh računalnikih, kot je opisano v prejšnjih razdelkih, velja samo za upravljana okolja. Za upravljanje tokov namizja imate druge možnosti.

  • Zmožnost upravljanja orkestracije toka namizja: konektor toka namizja je mogoče upravljati v vaših pravilnikih kot vse druge konektorje v vseh okoljih.

  • Zmožnost upravljanja uporabe Power Automate za namizje: Prek GPO lahko upravljate Power Automate za namizje. To upravljanje vam omogoča, da vklopite ali izklopite tokove namizja za dejanja, kot je omejitev na nabor okolij ali regij, omejitev uporabe vrst računov in omejitev ročnih posodobitev.

Več o upravljanju v Power Automate.

Moduli pretoka namizja v DLP

V DLP so na voljo naslednji moduli toka namizja:

  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Avtomatizacija brskalnika
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd seja CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Odložišče
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Stiskanje
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografija
  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Baza podatkov
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-pošta
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Mapa
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Miška in tipkovnica
  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • ponudniki/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Zaženi tok
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulacija terminala
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Avtomatizacija uporabniškega vmesnika
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Storitve Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Delovna postaja
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Podpora PowerShell za namizne pretočne module

Če ne želite vklopiti nastavitve Pokaži dejanja toka namizja v pravilnikih DLP , lahko uporabite naslednji skript PowerShell, da dodate vse module toka namizja v Blokirana skupina pravilnika DLP. Če ste nastavitev že vklopili, vam tega skripta ni treba uporabiti.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Naslednji skript PowerShell doda dva posebna modula toka namizja v privzeto skupino podatkov pravilnika DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Skript PowerShell za onemogočanje namiznih tokov

Če ne želite uporabljati funkcije DLP za tokove namizja, lahko za zavrnitev uporabite naslednji skript PowerShell.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Ko je pravilnik omogočen

Če vaši uporabniki nimajo najnovejše različice Power Automate za namizne računalnike, je uveljavljanje pravilnika DLP omejeno. Ne vidijo sporočil o napakah v času načrtovanja, ko poskušajo zagnati, odpraviti napake ali shraniti tokove namizja, ki kršijo pravilnike DLP. Opravila v ozadju redno pregledujejo tokove namizja v okolju in samodejno začasno ustavijo vse, ki kršijo pravilnike DLP. Uporabniki ne morejo izvajati tokov namizja iz toka v oblaku, če tok namizja krši kateri koli pravilnik o preprečevanju izgube podatkov.

Izdelovalci, ki imajo najnovejšo različico Power Automate za namizne računalnike, ne morejo odpravljati napak, izvajati ali shranjevati tokov namizja, ki kršijo politiko DLP. Prav tako ne morejo izbrati toka namizja, ki krši pravilnik DLP, iz koraka toka v oblaku.

Uveljavljanje in začasna ustavitev DLP

  1. Ko ustvarite ali uredite tok, Power Automate ga ovrednoti glede na trenutni niz pravilnikov DLP.
    1. Uveljavljanje tokov brez podrejenega toka, kar je 99 % tokov, je sinhrono in poteka v realnem času.
    2. Uveljavljanje toka s podrejenim tokom je asinhrono, saj je treba oceniti tudi podrejene tokove, in se zgodi v 24 urah.
  2. Ko ustvarite ali spremenite pravilnik DLP, opravilo v ozadju pregleda vse aktivne tokove v okolju, jih ovrednoti in nato prekine tokove, ki kršijo pravilnik. Uveljavljanje je asinhrono in se izvede v 24 urah. Če pride do spremembe pravilnika DLP med vrednotenjem prejšnjega pravilnika DLP, se vrednotenje znova zažene, da se zagotovi uveljavitev najnovejših pravilnikov.
  3. Tedensko opravilo v ozadju preveri skladnost vseh aktivnih tokov v okolju glede na pravilnike DLP, da potrdi, da preverjanje pravilnika DLP ni bilo spregledano.

Ponovno aktiviranje DLP

Če opravilo uveljavljanja DLP v ozadju najde potek namizja, ki ne krši več nobene politike DLP, potem opravilo v ozadju samodejno odstrani začasno ustavitev. Vendar pa opravilo uveljavljanja DLP v ozadju ne prekine samodejno zaustavitve tokov oblaka.

Postopek spremembe uveljavljanja DLP

Občasno je treba uveljavljanje DLP spremeniti, ker so uvedene nove zmožnosti DLP ali odpravljene napake ali je zapolnjena vrzel v uveljavljanju. Ko lahko spremembe vplivajo na obstoječe tokove, uporabite naslednji postopni postopek upravljanja sprememb uveljavljanja DLP:

  1. Preiskovanje: Potrdite potrebo po spremembi uveljavljanja DLP in raziščite podrobnosti spremembe.

  2. Učenje : Izvedite spremembo in zberite podatke o obsegu učinkov spremembe. Dokumentirajte spremembe uveljavljanja DLP, da pojasnite obseg spremembe. Če podatki kažejo, da bo to močno vplivalo na stranke, se lahko tem strankam pošlje sporočilo, da jih obvestijo, da prihaja sprememba. Če ima sprememba širok vpliv na obstoječe tokove, potem na kasnejši stopnji učne faze, ko opravilo uveljavljanja DLP v ozadju odkrije kršitev v obstoječem toku, Power Automate obvesti lastnike toka, da bo tok začasno ustavljen, tako da imajo več časa za odgovor.

  3. Samo obvestilo : Vklopite e-poštna obvestila samo za kršitve DLP, tako da bodo lastniki obstoječih tokov obveščeni o prihajajoči spremembi uveljavljanja DLP. Ko opravilo uveljavljanja DLP v ozadju odkrije kršitev v obstoječem toku, obvestite lastnike toka, da bo tok začasno ustavljen. Ta mehanizem deluje tedensko.

  4. Uveljavljanje v času načrtovanja : Vklopite uveljavljanje kršitev DLP v času načrtovanja, tako da bodo lastniki obstoječih tokov obveščeni o prihajajoči spremembi uveljavljanja DLP, vendar vsi tokovi, ki so spremenjeni, prejmejo popolno oceno pravilnika DLP v času načrtovanja. To je znano tudi kot mehko uveljavljanje.

    • Čas oblikovanja : Ko je tok posodobljen in shranjen, uporabite posodobljeno uveljavitev DLP in po potrebi začasno ustavite tok, tako da je izdelovalec takoj seznanjen z uveljavitvijo.

    • Postopek v ozadju : Ko opravilo uveljavljanja DLP v ozadju najde kršitev v toku, obvestite lastnike toka, da bo tok začasno ustavljen. Ta mehanizem vključuje ustvarjanje ali spremembe pravilnika DLP in preverjanja skladnosti.

  5. Popolna uveljavitev : vklopite popolno uveljavljanje kršitev DLP, tako da se pravilniki DLP v celoti uveljavijo v vseh obstoječih in novih tokovih. Politike DLP so v celoti uveljavljene, ko so tokovi shranjeni med vrednotenjem opravila v ozadju uveljavljanja DLP. To je znano tudi kot težko uveljavljanje.

Seznam sprememb uveljavljanja DLP

V spodnji tabeli so navedene spremembe uveljavljanja DLP in datum, ko so spremembe začele veljati.

Date Description Razlog za spremembo Faza Razpoložljivost uveljavljanja v času načrtovanja* Razpoložljivost popolne uveljavitve*
Maj 2022 Uveljavljanje opravil v ozadju delegirane avtorizacije Politike DLP so uveljavljene v tokovih, ki uporabljajo delegirano pooblastilo, medtem ko se tok shranjuje, vendar ne med vrednotenjem opravila v ozadju. Celotni 2. junij 2022 21. julij 2022
Maj 2022 Zahtevaj uveljavitev sprožilca apiConnection Pravilniki DLP za nekatere sprožilce niso bili pravilno uveljavljeni. Prizadeti sprožilci imajo type=Request in kind=apiConnection. Veliko prizadetih sprožilcev je takojšnjih sprožilcev, ki se uporabljajo v takojšnjih ali ročno sproženih tokovih. Prizadeti sprožilci vključujejo naslednje.
- Power BI: Power BI klik na gumb
- Ekipe: iz polja za sestavljanje (V2)
- OneDrive za podjetja: Za izbrano datoteko
- Dataverse: Ko se korak toka izvaja iz potek poslovnega procesa
- Dataverse (legacy): Ko je izbran zapis
- Excel Online (posel): za izbrano vrstico
- SharePoint: Za izbrani predmet
- Microsoft Copilot Studio: Ko Copilot Studio pokliče tok (V2)		 Celotni 2. junij 2022 25. avgusta 2022
julij 2022 Uveljavite pravilnike DLP za podrejene tokove Omogočite uveljavljanje pravilnikov DLP, da vključite podrejene tokove. Če se kjer koli v drevesu toka odkrije kršitev, se nadrejeni tok prekine. Ko je podrejeni tok urejen in shranjen za odstranitev kršitve, je mogoče nadrejene tokove znova shraniti ali znova aktivirati, da znova zaženete vrednotenje pravilnika DLP. Sprememba, ki ne blokira več podrejenih tokov, ko je priključek HTTP blokiran, bo uvedena skupaj s popolno uveljavitvijo pravilnikov DLP za podrejene tokove. Ko bo na voljo popolna uveljavitev, bo uveljavitev vključevala tokove podrejenega namizja. Celotni 14. februar 2023 Marec 2023
januar 2023 Uveljavite pravilnike DLP za tokove podrejenih namizij Omogočite uveljavljanje pravilnikov DLP, da vključite tokove podrejenega namizja. Če je kršitev najdena kjer koli v drevesu toka, je nadrejeni tok namizja začasno ustavljen. Ko je tok podrejenega namizja urejen in shranjen, da se odstrani kršitev, se nadrejeni tokovi namizja samodejno znova aktivirajo. Učenje - Avgust 2023

*Razpored razpoložljivosti se lahko spremeni in je odvisen od uvedbe.

Prekinitev pretoka zaradi kršitve DLP

Zaustavljeni tokovi so prikazani kot začasno ustavljeni na portalu Power Automate maker in Power Platform skrbniškem središču. Ko je tok vrnjen prek API-ja, lupine PowerShell ali Power Automate seznama konektorjev za upravljanje poteka »kot skrbniško« dejanje, ima tok State=Suspended , FlowSuspensionReason=CompanyDlpViolationin FlowSuspensionTime vrednost, ki označuje, kdaj je bil tok začasno ustavljen.

Znane omejitve

Več o znanih težavah DLP.

Glejte tudi

Izvedite več o okoljih
Izvedite več o Power Automate
Več o skrbniškem središču