Створення політики для запобігання втраті даних

  • Стаття

Дані організації мають вирішальне значення для її успішної діяльності. Його дані мають бути легкодоступними для прийняття рішень, але в той же час захищеними, щоб вони не передавалися аудиторії, яка не повинна мати до них доступу. Щоб захистити ваші бізнес-дані, Power Automate ви можете створювати та застосовувати політики, які визначають, які з’єднувачі можуть отримувати доступ до них і ділитися ними. Політики, які визначають, як можна обмінюватися даними, називаються політиками запобігання втраті даних (DLP).

Адміністратори контролюють DLP-політики. Якщо DLP-політика блокує запуск ланцюжків, зверніться до адміністратора.

Дізнайтеся більше про захист даних за допомогою політики захисту від втрати даних.

Захист від втрати даних для настільних потоків

Power Automate дає змогу створювати та застосовувати політики DLP, які класифікують модулі потоку робочого столу та окремі дії модулів як «Бізнес», «Небізнес» або «Заблоковані». Ця категоризація не дозволяє виробникам об’єднувати модулі та дії з різних категорій у потік робочого столу або між хмарним потоком і потоками робочого столу, які він використовує.

Важливо

  • Застосування політик DLP доступне лише для керованих середовищ. Починаючи з вересня 2024 року, політики DLP оцінюватимуться лише потоками робочого столу, розташованими в керованих середовищах.
  • DLP для десктопних потоків доступний для версій для робочого столу Power Automate 2.14.173.21294 або новіших. Якщо ви використовуєте попередню версію, видаліть її та оновіть до останньої версії.

Перегляд груп дій «Ланцюжок робочого стола»

За промовчанням групи дій потоку робочого стола не відображаються під час створення політики DLP. Вам потрібно ввімкнути параметр Показувати дії потоку робочого столу в політиках DLP у налаштуваннях клієнта.

Якщо ви вибрали загальнодоступний попередній перегляд, дії Desktop flow у DLP уже ввімкнено, і їх не можна змінити.

  1. Увійдіть у центр адміністрування Power Platform.

  2. У лівій бічній панелі виберіть Параметри.

  3. На сторінці Налаштування клієнта виберіть Дії ланцюжка робочого столу в DLP.

  4. Увімкніть параметр Відображати дії потоку робочого стола в політиках DLP, а потім натисніть кнопку Зберегти.

    Скріншот налаштування DLP для десктопних потоків в адмін центрі Power Platform .

Тепер під час створення політики даних можна класифікувати групи дій потоку робочого стола.

Створення політики DLP з обмеженнями потоку робочого столу

Коли адміністратори редагують або створюють політику, групи дій «Потік робочого стола» додаються до групи за замовчуванням, а політика застосовується після збереження. Дію політики буде призупинено, якщо для групи за замовчуванням встановлено значення Заблоковано , а потоки робочого столу запущено в цільових середовищах.

Ви можете керувати своїми DLP-політиками для потоків робочого столу так само, як і з’єднувачами хмарних потоків і діями. Модулі потоку робочого столу — це групи подібних дій, які відображаються в інтерфейсі Power Automate користувача для настільних комп’ютерів. Модуль схожий на конектори, які використовуються в хмарних потоках. Ви можете визначити політику DLP, яка керуватиме як модулями потоку робочого столу, так і з’єднувачами хмарного потоку. Деякими базовими модулями, такими як змінні, не можна керувати в рамках політики DLP, оскільки майже всі потоки робочого столу повинні їх використовувати. Дізнайтеся більше про основи політики DLP і про те, як їх створювати.

Коли клієнт увімкнув взаємодію з користувачем у файлі Power Platform, адміністратори автоматично бачитимуть нові модулі потоку робочого стола в групі даних за замовчуванням політики DLP, яку вони створюють або оновлюють.

Скріншот DLP-політики, що розробляється в адмін-центрі Power Platform .

Попередження

Коли модулі потоку робочого столу додаються до політик DLP, потоки робочого столу клієнта оцінюються відповідно до них, і вони призупиняються, якщо вони не відповідають вимогам. Якщо адміністратор створює або оновлює політику DLP, не помічаючи нових модулів, потоки робочого столу можуть бути несподівано припинені.

Керування потоками робочого столу за межами DLP

Детальний контроль за використанням потоків робочого стола на всіх комп’ютерах, як описано в попередніх розділах, застосовується лише до керованих середовищ. У вас є інші варіанти керування потоками робочого столу.

  • Можливість керувати оркеструванням потоку робочого столу: З’єднувач потоку робочого столу можна регулювати у ваших політиках, як і будь-який інший з’єднувач у всіх середовищах.

  • Можливість керувати використанням для Power Automate стільниці: Ви можете керувати Power Automate потоками стільниці за допомогою GPO. Це керування дає змогу вмикати або вимикати потоки робочого стола для таких дій, як обмеження певним середовищем або регіонами, обмеження використання типів облікових записів і обмеження ручних оновлень.

Дізнайтеся більше про державне управління в. Power Automate

Настільні модулі потоку в DLP

У DLP доступні такі модулі потоку робочого столу:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Автоматизація браузера
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Буфер обміну
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Криптографія Криптографія
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Електронна пошта
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File файл
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMКогнітивний IBM когнітивний
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Повідомлення
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Миша та клавіатура
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Запуск потоку
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Емуляція терміналу
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Підтримка PowerShell для настільних модулів потоку

Якщо параметр Відображати дії потоку робочого стола в політиках DLP не потрібно , можна скористатися наведеним нижче сценарієм PowerShell, щоб додати всі модулі потоку робочого стола до групи Заблоковані політики DLP. Якщо ви вже ввімкнули цей параметр, використовувати цей сценарій не потрібно.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Наведений нижче сценарій PowerShell додає два конкретні модулі потоку робочого столу до групи даних політики DLP за замовчуванням.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Сценарій PowerShell для відмови від потоків робочого столу

Якщо ви не хочете використовувати функцію DLP для потоків робочого столу, ви можете скористатися наведеним нижче сценарієм PowerShell, щоб відмовитися від неї.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Після ввімкнення політики

Якщо у ваших користувачів немає останньої версії Power Automate для настільних комп’ютерів, застосування політики DLP обмежене. Вони не бачать повідомлень про помилки під час розробки, коли намагаються запустити, налагодити або зберегти потоки робочого стола, які порушують політику DLP. Фонові завдання періодично сканують потоки робочого столу в середовищі та автоматично призупиняють будь-які з них, які порушують політики DLP. Користувачі не можуть запускати потоки робочого столу з хмарного потоку, якщо потік робочого столу порушує будь-яку політику запобігання втраті даних.

Розробники, які мають найновіші Power Automate версії для настільних комп’ютерів, не можуть налагоджувати, запускати або зберігати потоки робочого столу, які порушують політику DLP. Вони також не можуть вибрати потік робочого столу, який порушує політику DLP, на етапі хмарного потоку.

Застосування та призупинення дії DLP

Коли ви створюєте або редагуєте ланцюжок,оцінює Power Automate його за поточним набором DLP-політик. Примусове виконання є асинхронним і відбувається протягом 24 годин.

Коли ви створюєте або змінюєте політику DLP, фонове завдання сканує всі активні потоки в середовищі, оцінює їх, а потім призупиняє потоки, які порушують політику. Примусове виконання є асинхронним і відбувається протягом 24 годин. Якщо під час оцінювання попередньої політики DLP відбувається зміна політики DLP, оцінювання починається заново, щоб переконатися, що найновіші політики застосовано.

Щотижня фонова робота перевіряє узгодженість усіх активних потоків у середовищі з політиками DLP, щоб підтвердити, що перевірка політики DLP не була пропущена.

Повторна активація DLP

Якщо фонове завдання примусового виконання DLP знаходить потік робочого столу, який більше не порушує жодної політики DLP, фонове завдання автоматично видаляє призупинення. Однак фонове завдання примусового виконання DLP не призводить до автоматичного призупинення хмарних потоків.

Процес зміни примусу DLP

Періодично застосування DLP має змінюватися, оскільки впроваджуються нові можливості DLP або виправлення помилок, або заповнюється прогалина у застосуванні. Якщо зміни можуть вплинути на наявні потоки, застосовуйте наступний поетапний процес керування змінами DLP:

  1. Розслідування: Підтвердьте необхідність зміни примусового застосування DLP і з’ясуйте особливості зміни.

  2. Навчання: Впроваджуйте зміни та збирайте дані про широту наслідків змін. Задокументуйте зміни у застосуванні DLP, щоб пояснити обсяг змін. Якщо дані свідчать про те, що це сильно вплине на клієнтів, то цим клієнтам може бути надіслано повідомлення, щоб повідомити про наближення змін. Якщо зміна має широкий вплив на існуючі потоки, то на більш пізньому етапі навчання, коли фонова робота з примусового виконання DLP виявляє порушення в існуючому потоці, Power Automate повідомляє власників потоку про те, що потік буде призупинено, щоб у них було більше часу для відповіді.

  3. Лише сповіщення: увімкніть сповіщення електронною поштою лише про порушення DLP, щоб власники наявних ланцюжків отримували сповіщення про майбутні зміни у застосуванні DLP. Коли фонове завдання з примусового виконання DLP виявить порушення в існуючому потоці, повідомте власників ланцюжка про те, що ланцюжок буде призупинено. Цей механізм працює щотижня.

  4. Примусове виконання під час проектування: увімкніть примусове застосування правил DLP під час проектування, щоб власники наявних ланцюжків отримували сповіщення про майбутні зміни в застосуванні DLP, але всі змінені потоки отримували повну оцінку політики DLP під час проектування. Це також відоме як м’яке правозастосування.

    • Design-time: Коли ланцюжок оновлюється та зберігається, використовуйте оновлений примус DLP і призупиняйте потік, якщо це необхідно, щоб мейкер негайно знав про примусове виконання.

    • Фоновий процес: Коли фонове завдання з примусового виконання DLP виявляє порушення в ланцюжку, повідомте власників ланцюжка про те, що ланцюжок буде призупинено. Цей механізм включає в себе створення або зміну політики DLP і перевірку узгодженості.

  5. Повне правозастосування: увімкніть повне примусове виконання порушень DLP, щоб політики DLP повністю застосовувалися до всіх наявних і нових потоків. Політики DLP повністю застосовуються, коли потоки зберігаються під час фонової оцінки завдань із застосування DLP. Це також відоме як жорстке примусове виконання.

Список змін у застосуванні DLP

У наведеній нижче таблиці перелічено зміни у застосуванні DLP та дату набуття ними чинності.

датою Опис Причина змін Етап Доступність правозастосування під час проектування* Повна доступність правозастосування*
Травень 2022 Делегована авторизація, фонове примусове виконання завдань Політики DLP застосовуються до потоків, які використовують делеговану авторизацію під час збереження потоку, але не під час фонової оцінки завдань. Повний 2 червня 2022 року 21 липня 2022 року
Травень 2022 Надіслати запит на примусове виконання тригера apiConnection Правила DLP не застосовувалися належним чином для деяких тригерів. Відповідні тригери: type =Request і kind=apiConnection. Багато з порушених тригерів є миттєвими тригерами, які використовуються в миттєвих або ручних потоках. До тригерів, яких це стосується, належать такі.
- Power BI: Power BI кнопку натиснуто
- Команди: З поля написання (V2)
- OneDrive для бізнесу: для вибраного файлу
- Dataverse: коли крок потоку запускається з потік бізнес-процесу
- Dataverse (legacy): якщо вибрано запис
- Excel Online (Business): для вибраного рядка
- SharePoint: для вибраного елемента
- Microsoft Copilot Studio: Коли Copilot Studio викликає потік (V2)		 Повний 2 червня 2022 року 25 серпня 2022 р.
Липень 2022 Застосування політики DLP до дочірніх потоків Увімкніть застосування політик DLP, щоб включити дочірні потоки. Якщо порушення виявлено в будь-якому місці дерева потоку, батьківський потік призупиняється. Після того, як дочірній ланцюжок буде відредаговано та збережено, щоб усунути порушення, батьківські ланцюжки можна повторно зберегти або повторно активувати, щоб знову запустити оцінку політики DLP. Зміна, яка більше не блокує дочірні потоки, коли HTTP-з’єднувач заблоковано, буде розгорнута разом із повним застосуванням політик DLP для дочірніх потоків. Щойно стане доступним повне примусове виконання, воно включатиме потоки дочірніх робочих столів. Повний Лютий 14, 2023 Березень 2023 року
Січень 2023 р. Застосування політик DLP до потоків дочірнього робочого столу Увімкніть застосування політик DLP, щоб включити потоки дочірнього робочого столу. Якщо порушення виявлено в будь-якому місці дерева ланцюжка, батьківський ланцюжок робочого столу призупиняється. Після редагування та збереження дочірнього робочого столу для усунення порушення, потоки батьківського робочого столу автоматично активуються. Навчання - Серпень 2023

* Розклад доступності може змінюватися та залежить від розгортання.

Призупинення потоку при порушенні DLP

Призупинені потоки відображаються як призупинені на Power Automate порталі виробника та в Power Platform центрі адміністрування. Коли потік повертається через дію API, PowerShell або Power Automate список потоків Management connectors «від імені адміністратора», потік має State=Suspended,FlowSuspensionReason=CompanyDlpViolation і значення FlowSuspensionTime , що вказує на те, коли потік було призупинено.

Відомі обмеження

Дізнайтеся про відомі проблеми з DLP.

Див. також

Докладніше про середовища
Дізнайтеся більше про Power Automate
Докладніше про Центр адміністрування