Postavljanje smernica za sprečavanje gubitka podataka

Članak
05/01/2024

Podaci organizacije su presudni za njen uspeh. Njeni podaci moraju biti dostupni za donošenje odluka, ali istovremeno zaštićeni tako da se ne dele sa gledaocima koji ne bi trebalo da imaju pristup njima. Da biste zaštitili svoje poslovne podatke, Power Automate to vam daje mogućnost kreiranja i primene smernica koje definišu kojim linijama spajanja mogu da pristupe i da ih dele. Smernice koje definišu način na koji se podaci mogu deliti nazivaju se smernice za sprečavanje gubitka podataka (DLP).

Administratori kontrolišu DLP smernice. Ako DLP smernice blokiraju pokretanje tokova, obratite se administratoru.

Saznajte više o zaštiti podataka pomoću smernica za sprečavanje gubitka podataka.

Sprečavanje gubitka podataka za tokove radne površine

Power Automate vam omogućava da kreirate i primenite DLP smernice koje klasifikuju module toka radne površine i pojedinačne radnje modula kao što su "Posao", " Ne-poslovanje" ili "Blokirano ". Ova kategorizacija sprečava proizvođače da kombinuju module i radnje iz različitih kategorija u tok radne površine ili između toka oblaka i tokova radne površine koje koristi.

Važno

Primena DLP smernica dostupna je samo za upravljana okruženja . Od septembra 2024. godine DLP smernice će procenjivati samo tokove radne površine koji se nalaze u upravljanim okruženjima.
DLP za tokove radne površine dostupan je za verzije radne Power Automate površine 2.14.173.21294 ili novije. Ako koristite raniju verziju, deinstalirajte je i ažurirajte najnoviju verziju.

Prikazivanje radnji toka radne površine

Po podrazumevanoj vrednosti, grupe radnji toka radne površine se ne pojavljuju kada kreirate DLP smernice. Potrebno je da uključite radnje toka radne površine u postavkama DLP smernica u postavkama zakupca.

Ako ste se opredelili za javni pregled, radnje toka radne površine u DLP postavci su već omogućene i ne mogu se menjati.

Prijavite se u Power Platform centar administracije.
U levom oknu izaberite Postavke.
Na stranici "Postavke zakupca " izaberite radnje toka radne površine u DLP-u.
Uključite opciju Prikaži radnje toka radne površine u DLP smernicama, a zatim izaberite stavku Sačuvaj.

Sada možete da klasifikujete grupe radnji toka radne površine kada kreirate smernice podataka.

Kreiranje DLP smernica sa ograničenjima toka radne površine

Kada administratori uređuju ili kreiraju smernice, grupe radnji toka radne površine se dodaju podrazumevanoj grupi, a smernice se primenjuju nakon što se sačuva. Smernice su obustavljene ako je podrazumevana grupa postavljena na "Blokirano ", a tokovi radne površine su pokrenuti u ciljnim okruženjima.

DLP smernicama za tokove radne površine možete upravljati na isti način na koji upravljate konektorima i radnjama toka oblaka. Moduli toka radne površine su grupe sličnih radnji kao što je prikazano u korisničkom interfejsu Power Automate radne površine. Modul je sličan konektorima koji se koriste u tokovima oblaka. Možete da definišete DLP smernice koje upravljaju modulima toka radne površine i konektorima tokova oblaka. Nekim osnovnim modulima, kao što su Promenljive, ne može se upravljati u opsegu DLP smernica jer je potrebno da ih koriste skoro svi tokovi radne površine. Saznajte više o osnovama DLP smernica i kako da ih kreirate.

Kada se zakupac opredeli za korisničko iskustvo Power Platform u prozoru, administratori automatski vide nove module toka radne površine u podrazumevanoj grupi podataka DLP smernica koje kreiraju ili ažuriraju.

Snimak ekrana DLP smernica koje su u izgradnji u Power Platform administrativnom centru.

Upozorenje

Kada se moduli toka radne površine dodaju DLP smernicama, tokovi radne površine vašeg zakupca se procenjuju u odnosu na njih i obustavljaju se ako nisu usaglašeni. Ako administrator kreira ili ažurira DLP smernice bez zapazivanja novih modula, tokovi radne površine mogu biti neočekivano obustavljeni.

Upravljanje tokovima radne površine izvan DLP-a

Granuliranska kontrola korišćenja tokova radne površine na svim mašinama kao što je opisano u prethodnim odeljcima primenjuje se samo na upravljana okruženja. Imate druge opcije za upravljanje tokovima radne površine.

Mogućnost upravljanja orkestracijom toka radne površine: Konektor toka radne površine može da se upravlja vašim smernicama kao i svaka druga linija spajanja u svim okruženjima.
Mogućnost upravljanja korišćenjem radne površine Power Automate : možete da upravljate tokovima Power Automate radne površine kroz GPO. Ovo upravljanje vam omogućava da uključite ili isključite tokove radne površine za radnje kao što su ograničavanje skupa okruženja ili regiona, ograničavanje korišćenja tipova naloga i ograničavanje ručnih ispravki.

Saznajte više o upravljanju u Power Automate.

Moduli toka radne površine u DLP-u

Sledeći moduli toka radne površine dostupni su u DLP-u:

providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD sesija
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Miš i tastatura
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PDF
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Usluge
providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation
dobavljači/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell podrška za module toka radne površine

Ako ne želite da uključite radnje toka radne površine u postavci DLP smernica , možete da koristite sledeću PowerShell skriptu da biste dodali sve module toka radne površine u blokiranu grupu DLP smernica. Ako ste već uključili postavku, nije potrebno da koristite ovu skriptu.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Sledeća PowerShell skripta dodaje dva određena modula toka radne površine podrazumevanoj grupi podataka DLP smernica.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell skripta za odbijanje protoka radne površine

Ako ne želite da koristite DLP za funkciju tokova radne površine, možete da koristite sledeću PowerShell skriptu da biste odbili saglasnost.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Nakon što je smernica omogućena

Ako vaši korisnici nemaju najnovije informacije za radnu površinu Power Automate , primena DLP smernica je ograničena. Oni ne vide poruke o greškama u vremenu dizajniranja kada pokušavaju da pokrenuti, otklone greške ili sačuvaju tokove radne površine koji krše DLP smernice. Poslovi u pozadini periodično skeniraju tokove radne površine u okruženju i automatski obustavljaju sve koji krše DLP smernice. Korisnici ne mogu da pokreću tokove radne površine iz toka u oblaku ako tok radne površine krši sve smernice za sprečavanje gubitka podataka.

Proizvođači koji imaju najnovije informacije za radnu Power Automate površinu ne mogu da otklone grešaku, potrkuju ili sačuvaju tokove radne površine koji krše DLP smernice. Takođe ne mogu da izaberu tok radne površine koji krši DLP smernice iz koraka toka oblaka.

Sprovođenje i suspenzija DLP-a

Kada kreirate ili uređujete tok, Power Automate on se procenjuje u odnosu na trenutni skup DLP smernica.
1. Primena tokova bez dečjeg toka, što je 99 odsto tokova, sinhrona je i javlja se u realnom vremenu.
2. Primena toka sa dečjim tokom je asinhrona, s obzirom da je potrebno proceniti i tokove deteta, a javlja se u roku od 24 sata.
Kada kreirate ili promenite DLP smernice, posao u pozadini skenira sve aktivne tokove u okruženju, procenjuje ih, a zatim obustavlja tokove koji narušavaju smernice. Sprovođenje je asinhrono i dešava se u roku od 24 sata. Ako dođe do promene DLP smernica kada se procene prethodne DLP smernice, evaluacija se ponovo pokreće da bi se uverila da se najnovije smernice sprovode.
Nedeljnik, posao u pozadini radi proveru doslednosti svih aktivnih tokova u okruženju u odnosu na DLP smernice kako bi se potvrdilo da provera politike DLP-a nije propuštena.

Ponovna aktiviranje DLP-a

Ako posao u pozadini DLP primene pronađe tok radne površine koji više ne krši DLP smernice, onda posao u pozadini automatski uklanja suspenziju. Međutim, posao u pozadini DLP primene ne pospešuje automatski neotvorene tokove oblaka.

Proces promene DLP primene

Povremeno, DLP primena mora da se promeni zato što su nove DLP mogućnosti ili ispravka greške popunjene ili je popunjena praznina za primenu. Kada promene mogu da utiču na postojeće tokove, primenite sledeći inscenirani proces upravljanja promenom DLP primene:

Istraga: Potvrdite potrebu za promenom sprovođenja DLP-a i istražite specifičnosti promene.
Učenje: Sprovesti promenu i prikupiti podatke o širini efekata promene. Primena DLP dokumenata se menja da bi se objasnio opseg promene. Ako podaci sugerišu da će klijenti biti u velikoj meri pogođeni, onda se može poslati komunikacija tim klijentima kako bi im se dalo do zna da dolazi do promene. Ako promena ima širok uticaj na postojeće tokove, onda u kasnijoj fazi u fazi učenja, kada posao sprovođenja DLP-a u pozadini pronađe prekršaj u postojećem toku, Power Automate obaveštava vlasnike toka da će tok biti obustavljen, kako bi imali više vremena da odgovore.
Obavesti samo: Uključite obaveštenja putem e-pošte samo za DLP prekršaje kako bi vlasnici postojećih tokova bili obavešteni o predstojećoj promeni DLP primene. Kada posao sprovođenja DLP-a u pozadini pronađe prekršaj u postojećem toku, obavestite vlasnike toka da će tok biti obustavljen. Ovaj mehanizam radi nedeljno.
Primena vremena dizajniranja: Uključite primenu DLP prekršaja u vremenu dizajniranja tako da vlasnici postojećih tokova budu obavešteni o predstojećoj promeni DLP primene, ali svi tokovi koji se menjaju dobijaju punu procenu DLP smernica u vreme dizajniranja. Ovo je poznato i kao meko sprovođenje.
- Vreme dizajniranja: Kada se tok ažurira i sačuva, koristite ažurirano DLP primenu i obustavite protok ako je potrebno tako da proizvođač odmah bude upoznat sa primenom.
- Proces pozadine: Kada posao sprovođenja DLP-a u pozadini pronađe prekršaj u toku, obavestite vlasnike toka da će tok biti obustavljen. Ovaj mehanizam uključuje kreiranje ili promene DLP smernica i provere doslednosti.
Potpuna primena: Uključite potpuno sprovođenje DLP prekršaja, tako da se DLP smernice u potpunosti sprovode na svim postojećim i novim tokovima. DLP smernice se u potpunosti sprovode kada se tokovi čuvaju tokom DLP procene radnih mesta u pozadini. Ovo je poznato i kao teško sprovođenje.

Lista promena DLP primene

Sledeća tabela navodi DLP promene primene i datum kada su promene stupile na snagu.

Date	Opis	Razlog za promenu	Faza	Raspoloživost primene vremena dizajniranja*	Potpuna dostupnost primene*
maj 2022.	Delegirano sprovođenje poslova u pozadini ovlašćenja	DLP smernice se sprovode na tokovima koji koriste delegirano ovlašćenje dok se tok čuva, ali ne i tokom procene radnih mesta u pozadini.	Pun	2. jun 2022.	21. jul 2022.
maj 2022.	Zahtevaj primenu okidača apiConnection	DLP smernice nisu ispravno primenjene za neke okidače. Okidači koji su pogođeni imaju tip=Zahtev i kind=apiConnection. Mnogi od pogođenih okidača su trenutni okidači, koji se koriste u trenu ili ručno aktiviraju, tokovi. Pogođeni okidači uključuju sledeće. - Power BI: Power BI dugme je kliknulo - Timovi: Iz kutije za sastavi (V2) - OneDrive za posao: Za izabranu datoteku - Dataverse: Kada se korak toka pokrene iz tok poslovnog procesa - Dataverse (zaveštanje): Kada je izabran zapis - Excel Online (posao): Za izabrani red - SharePoint: Za izabranu stavku - Microsoft Copilot Studio: Kada Copilot Studio se zove tok (V2)	Pun	2. jun 2022.	25. avgust 2022.
Jul 2022.	Primena DLP smernica na podređene tokove	Omogućite sprovođenje DLP smernica da uključi podređene tokove. Ako se prekršaj nađe bilo gde u stablu toka, nadređeni tok je obustavljen. Nakon uređivanja i uštede toka deteta da bi se uklonila povreda, nadređeni tokovi mogu biti ponovo sačuvani ili ponovo aktivirani da bi se ponovo pokrenula procena DLP smernica. Promena da se dete više ne blokira kada je HTTP linija spajanja blokirana će se otkotrljati zajedno sa potpunom primenom DLP smernica na podređenim tokovima. Kada potpuno sprovođenje bude dostupno, primena će uključivati tokove podređene radne površine.	Pun	14. februar 2023.	mart 2023.
januar 2023.	Primena DLP smernica na tokovima podređene radne površine	Omogućite primenu DLP smernica da uključi podređene tokove radne površine. Ako se prekršaj nađe bilo gde u stablu toka, nadređeni tok radne površine je obustavljen. Nakon uređivanja i uštede toka podređene radne površine da bi se uklonila povreda, tokovi nadređene radne površine se automatski ponovo aktiviraju.	Učenje	-	avgust 2023.

*Raspored raspoloživosti može da se promeni i zavisi od prozivke.

Obustava protoka zbog kršenja DLP-a

Obustavljeni tokovi pokazuju da su obustavljeni u Power Automate portalu proizvođača i Power Platform administrativnom centru. Kada se tok vrati kroz API, PowerShell ili Power Automate Management connector listu tokove radnje "as Admin", tok ima State=Suspended,FlowSuspensionReason=CompanyDlpViolation i vrednost FlowSuspensionTime koja ukazuje na to kada je tok obustavljen.

Poznata ograničenja

Saznajte više o DLP poznatim problemima.

Pogledajte i ovo

Saznajte više o okruženjima
Saznajte više o Power Automate
Saznajte više o administrativnom centru