Đặt chính sách để giúp ngăn mất dữ liệu

  • Bài viết

Dữ liệu của tổ chức có ý nghĩa rất quan trọng cho sự thành công của tổ chức đó. Dữ liệu của nó cần phải sẵn có để đưa ra quyết định, nhưng đồng thời được bảo vệ để không bị chia sẻ với những đối tượng không có quyền truy cập vào dữ liệu đó. Để bảo vệ dữ liệu doanh nghiệp của bạn, Power Automate cung cấp cho bạn khả năng tạo và thực thi các chính sách xác định trình kết nối nào có thể truy cập và chia sẻ dữ liệu đó. Các chính sách xác định cách chia sẻ dữ liệu được gọi là chính sách ngăn ngừa mất dữ liệu (DLP).

Quản trị viên kiểm soát chính sách DLP. Nếu chính sách DLP đang chặn luồng của bạn chạy, hãy liên hệ với quản trị viên của bạn.

Tìm hiểu thêm về cách bảo vệ dữ liệu của bạn bằng các chính sách ngăn ngừa mất dữ liệu.

Ngăn ngừa mất dữ liệu cho các luồng máy tính để bàn

Power Automate cho phép bạn tạo và thực thi các chính sách DLP phân loại các mô-đun luồng trên máy tính để bàn và các hành động của mô-đun riêng lẻ là Doanh nghiệp, Phi kinh doanh hoặc Đã chặn. Việc phân loại này ngăn người tạo kết hợp các mô-đun và hành động từ các danh mục khác nhau vào luồng máy tính để bàn hoặc giữa luồng đám mây và luồng máy tính để bàn mà nó sử dụng.

Quan trọng

  • Việc thực thi chính sách DLP chỉ khả dụng cho Môi trường được quản lý . Kể từ tháng 9 năm 2024, chỉ các luồng máy tính nằm trong Môi trường được quản lý mới được đánh giá theo chính sách DLP.
  • DLP cho luồng máy tính có sẵn cho các phiên bản Power Automate dành cho máy tính để bàn 2.14.173.21294 trở lên. Nếu bạn đang sử dụng phiên bản cũ hơn, hãy gỡ cài đặt nó và cập nhật lên phiên bản mới nhất.

Xem các nhóm hành động của luồng trên máy tính để bàn

Theo mặc định, các nhóm hành động của luồng trên máy tính không xuất hiện khi bạn tạo chính sách DLP. Bạn cần bật cài đặt Hiển thị các hành động của luồng trên máy tính để bàn trong chính sách DLP trong cài đặt đối tượng thuê của mình.

Nếu bạn đã chọn xem trước công khai thì Hành động của luồng trên máy tính để bàn trong cài đặt DLP đã được bật và không thể thay đổi được.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Ở bảng điều khiển bên trái, hãy chọn Thiết đặt .

  3. Trên trang Cài đặt đối tượng thuê , hãy chọn Hành động của luồng trên máy tính để bàn trong DLP.

  4. Bật Hiển thị các hành động của luồng trên máy tính để bàn trong chính sách DLP, sau đó chọn Lưu.

    Ảnh chụp màn hình cài đặt DLP cho luồng máy tính để bàn trong Power Platform trung tâm quản trị.

Giờ đây, bạn có thể phân loại các nhóm hành động trong luồng trên máy tính để bàn khi tạo chính sách dữ liệu.

Tạo chính sách DLP với các hạn chế về luồng trên máy tính để bàn

Khi quản trị viên chỉnh sửa hoặc tạo chính sách, các nhóm hành động trên luồng trên máy tính sẽ được thêm vào nhóm mặc định và chính sách sẽ được áp dụng sau khi lưu. Chính sách này bị tạm ngưng nếu nhóm mặc định được đặt thành Bị chặn và các luồng máy tính để bàn đang chạy trong môi trường đích.

Bạn có thể quản lý các chính sách DLP của mình cho các luồng trên máy tính giống như cách bạn quản lý các hành động và trình kết nối luồng trên đám mây. Mô-đun luồng trên máy tính để bàn là các nhóm hành động tương tự như được hiển thị trong Power Automate giao diện người dùng trên máy tính để bàn. Một mô-đun tương tự như các trình kết nối được sử dụng trong các luồng đám mây. Bạn có thể xác định chính sách DLP quản lý cả mô-đun luồng trên máy tính để bàn và trình kết nối luồng trên đám mây. Không thể quản lý một số mô-đun cơ bản, chẳng hạn như Biến trong phạm vi chính sách DLP vì hầu hết tất cả các luồng máy tính để bàn đều cần sử dụng chúng. Tìm hiểu thêm về các nguyên tắc cơ bản của chính sách DLP và cách tạo chúng.

Khi đối tượng thuê của bạn chọn tham gia trải nghiệm người dùng trong Power Platform, quản trị viên của bạn sẽ tự động thấy các mô-đun luồng máy tính để bàn mới trong nhóm dữ liệu mặc định của chính sách DLP mà họ đang tạo hoặc cập nhật.

Ảnh chụp màn hình chính sách DLP đang được xây dựng trong Power Platform trung tâm quản trị.

Cảnh báo

Khi các mô-đun luồng máy tính để bàn được thêm vào chính sách DLP, các luồng máy tính để bàn của đối tượng thuê của bạn sẽ được đánh giá dựa trên chúng và chúng sẽ bị tạm ngưng nếu không tuân thủ. Nếu quản trị viên của bạn tạo hoặc cập nhật chính sách DLP mà không nhận thấy các mô-đun mới, các luồng trên máy tính có thể bị treo đột ngột.

Máy tính để bàn quản trị chảy ra ngoài DLP

Kiểm soát chi tiết việc sử dụng luồng máy tính để bàn trên tất cả các máy như được mô tả trong các phần trước chỉ áp dụng cho Môi trường được quản lý. Bạn có các tùy chọn khác để quản lý các luồng trên máy tính để bàn.

  • Khả năng quản lý việc điều phối luồng trên máy tính để bàn: Trình kết nối luồng trên máy tính để bàn có thể được điều chỉnh trong các chính sách của bạn giống như bất kỳ trình kết nối nào khác trong mọi môi trường.

  • Khả năng quản lý việc sử dụng Power Automate đối với máy tính để bàn: Bạn có thể quản lý Power Automate đối với các luồng máy tính để bàn thông qua GPO. Quản trị này cho phép bạn bật hoặc tắt các luồng trên máy tính để bàn cho các hành động như hạn chế ở một nhóm môi trường hoặc khu vực, hạn chế sử dụng các loại tài khoản và hạn chế cập nhật thủ công.

Tìm hiểu thêm về quản trị trong Power Automate.

Mô-đun luồng máy tính để bàn trong DLP

Các mô-đun luồng máy tính để bàn sau đây có sẵn trong DLP:

  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.AWS AWS
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Azure Azure
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.WebAutomation Tự động hóa trình duyệt
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Cmd phiên CMD
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Clipboard Clipboard
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Nén nén
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Cryptography Mật mã
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.CyberArk CyberArk
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Database Cơ sở dữ liệu
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Email Email
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Excel Excel
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Exchange Exchange
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.FTP FTP
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Tệp tệp
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Folder Thư mục
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.GoogleCognitive Google nhận thức
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Web HTTP
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.IBMCognitive IBM nhận thức
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Display Hộp thông báo
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.MicrosoftCognitive Microsoft nhận thức
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.MouseAndKeyboard Chuột và bàn phím
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.OCR OCR
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Outlook Outlook
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Pdf PDF
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Runflow Chạy luồng
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Scripting Tập lệnh
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.System System
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.TerminalEmulation Mô phỏng thiết bị đầu cuối
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.UIAutomation Tự động hóa giao diện người dùng
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Services Dịch vụ Windows
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.Workstation Workstation
  • Nhà cung cấp/Microsoft.ProcessSimple/OperationGroups/DesktopFlow.XML XML

Hỗ trợ PowerShell cho các mô-đun luồng trên máy tính để bàn

Nếu không muốn bật cài đặt Hiển thị các hành động của luồng trên máy tính để bàn trong chính sách DLP , bạn có thể sử dụng tập lệnh PowerShell sau để thêm tất cả các mô-đun luồng trên máy tính để bàn vào Nhóm bị chặn của chính sách DLP. Nếu bạn đã bật cài đặt này thì bạn không cần sử dụng tập lệnh này.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Tập lệnh PowerShell sau đây thêm hai mô-đun luồng máy tính để bàn cụ thể vào nhóm dữ liệu mặc định của chính sách DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Tập lệnh PowerShell để chọn không tham gia các luồng trên máy tính để bàn

Nếu không muốn sử dụng tính năng DLP cho dòng máy tính để bàn, bạn có thể sử dụng tập lệnh PowerShell sau để chọn không tham gia.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Sau khi chính sách được kích hoạt

Nếu người dùng của bạn không có phiên bản Power Automate mới nhất dành cho máy tính để bàn thì việc thực thi chính sách DLP sẽ bị hạn chế. Họ không thấy thông báo lỗi tại thời điểm thiết kế khi cố gắng chạy, gỡ lỗi hoặc lưu các luồng máy tính vi phạm chính sách DLP. Các tác vụ nền định kỳ quét các luồng máy tính để bàn trong môi trường và tự động tạm dừng mọi vi phạm chính sách DLP. Người dùng không thể chạy các luồng máy tính từ luồng đám mây nếu luồng máy tính vi phạm bất kỳ chính sách ngăn ngừa mất dữ liệu nào.

Những người tạo có phiên bản Power Automate mới nhất dành cho máy tính để bàn không thể gỡ lỗi, chạy hoặc lưu các luồng máy tính vi phạm chính sách DLP. Họ cũng không thể chọn luồng máy tính vi phạm chính sách DLP từ bước luồng trên đám mây.

Thực thi và đình chỉ DLP

  1. Khi bạn tạo hoặc chỉnh sửa một luồng, Power Automate sẽ đánh giá luồng đó theo bộ chính sách DLP hiện tại.
    1. Việc thực thi các luồng không có luồng con, chiếm 99% các luồng, đồng bộ và diễn ra trong thời gian thực.
    2. Việc thực thi một luồng với một luồng con là không đồng bộ, vì các luồng con cũng cần được đánh giá và diễn ra trong vòng 24 giờ.
  2. Khi bạn tạo hoặc thay đổi chính sách DLP, công việc nền sẽ quét tất cả các luồng đang hoạt động trong môi trường, đánh giá chúng và sau đó tạm dừng các luồng vi phạm chính sách. Việc thực thi không đồng bộ và diễn ra trong vòng 24 giờ. Nếu thay đổi chính sách DLP xảy ra khi chính sách DLP trước đó đang được đánh giá thì quá trình đánh giá sẽ khởi động lại để đảm bảo các chính sách mới nhất được thực thi.
  3. Hàng tuần, công việc nền sẽ thực hiện kiểm tra tính nhất quán của tất cả các luồng hoạt động trong môi trường theo chính sách DLP để xác nhận rằng kiểm tra chính sách DLP không bị bỏ sót.

Kích hoạt lại DLP

Nếu tác vụ nền thực thi DLP tìm thấy luồng trên máy tính để bàn không còn vi phạm bất kỳ chính sách DLP nào thì tác vụ nền sẽ tự động xóa việc tạm ngưng. Tuy nhiên, công việc nền thực thi DLP không tự động hủy tạm dừng các luồng đám mây.

Quy trình thay đổi thực thi DLP

Định kỳ, việc thực thi DLP cần thay đổi vì các khả năng DLP mới hoặc bản sửa lỗi được triển khai hoặc lỗ hổng thực thi được lấp đầy. Khi các thay đổi có thể ảnh hưởng đến các luồng hiện có, hãy áp dụng quy trình quản lý thay đổi thực thi DLP theo giai đoạn sau:

  1. Điều tra: Xác nhận nhu cầu thay đổi việc thực thi DLP và điều tra các chi tiết cụ thể của thay đổi đó.

  2. Học hỏi : Thực hiện thay đổi và thu thập dữ liệu về mức độ ảnh hưởng của thay đổi. Ghi lại các thay đổi trong việc thực thi DLP để giải thích phạm vi của thay đổi. Nếu dữ liệu cho thấy khách hàng sẽ bị ảnh hưởng lớn thì một thông tin liên lạc có thể được gửi đến những khách hàng đó để cho họ biết rằng sắp có sự thay đổi. Nếu thay đổi có tác động rộng rãi đến các luồng hiện có thì ở giai đoạn sau trong giai đoạn tìm hiểu, khi công việc thực thi DLP nền phát hiện thấy vi phạm trong luồng hiện có, Power Automate thông báo cho chủ sở hữu luồng rằng luồng sẽ bị tạm dừng để họ có thêm thời gian phản hồi.

  3. Chỉ thông báo : Chỉ bật thông báo qua email đối với các vi phạm DLP để chủ sở hữu luồng hiện tại nhận được thông báo về thay đổi thực thi DLP sắp tới. Khi công việc thực thi DLP nền phát hiện thấy vi phạm trong luồng hiện có, hãy thông báo cho chủ sở hữu luồng rằng luồng sẽ bị tạm dừng. Cơ chế này chạy hàng tuần.

  4. Thực thi thời gian thiết kế : Bật thực thi các vi phạm DLP tại thời điểm thiết kế để chủ sở hữu của các luồng hiện tại nhận được thông báo về thay đổi thực thi DLP sắp tới, nhưng mọi luồng được thay đổi sẽ nhận được đánh giá chính sách DLP đầy đủ tại thời điểm thiết kế. Điều này còn được gọi là thực thi mềm.

    • Thời gian thiết kế : Khi một luồng được cập nhật và lưu, hãy sử dụng thực thi DLP đã cập nhật và tạm dừng luồng nếu cần để người tạo biết ngay về việc thực thi.

    • Quá trình nền : Khi công việc thực thi DLP nền phát hiện thấy vi phạm trong một luồng, hãy thông báo cho chủ sở hữu luồng rằng luồng đó sẽ bị tạm dừng. Cơ chế này bao gồm việc tạo hoặc thay đổi chính sách DLP và kiểm tra tính nhất quán.

  5. Thực thi đầy đủ : Bật thực thi đầy đủ các vi phạm DLP để chính sách DLP được thực thi đầy đủ trên tất cả các luồng hiện có và luồng mới. Các chính sách DLP được thực thi đầy đủ khi các luồng được lưu trong quá trình đánh giá công việc nền thực thi DLP. Điều này còn được gọi là thực thi cứng rắn.

Danh sách thay đổi thực thi DLP

Bảng sau liệt kê các thay đổi về thực thi DLP và ngày các thay đổi đó có hiệu lực.

Ngày Description Lý do cho sự thay đổi Trạng thái Tính khả dụng của việc thực thi theo thời gian thiết kế* Khả năng thực thi đầy đủ*
Tháng 5 năm 2022 Thực thi công việc nền ủy quyền được ủy quyền Chính sách DLP được thực thi trên các dòng sử dụng ủy quyền được ủy quyền trong khi dòng đang được lưu chứ không phải trong quá trình đánh giá công việc nền. Đầy đủ Ngày 2 tháng 6 năm 2022 Ngày 21 tháng 7 năm 2022
Tháng 5 năm 2022 Yêu cầu thực thi kích hoạt apiConnection Chính sách DLP không được thực thi chính xác đối với một số trình kích hoạt. Trình kích hoạt bị ảnh hưởng có type=Requestkind=apiConnection. Nhiều trình kích hoạt bị ảnh hưởng là trình kích hoạt tức thời, được sử dụng trong các luồng tức thời hoặc được kích hoạt thủ công. Các trình kích hoạt bị ảnh hưởng bao gồm những điều sau đây.
- Power BI: Power BI nút đã được nhấp
- Nhóm: Từ hộp soạn thư (V2)
- OneDrive for Business: Dành cho tệp đã chọn
- Dataverse: Khi một bước quy trình được chạy từ dòng quy trình công việc
- Dataverse (legacy): Khi một bản ghi được chọn
- Excel Online (Business): Cho hàng đã chọn
- SharePoint: Đối với một mục đã chọn
- Microsoft Copilot Studio: Khi Copilot Studio gọi một luồng (V2)		 Đầy đủ Ngày 2 tháng 6 năm 2022 Ngày 25 tháng 8 năm 2022
Tháng 7 năm 2022 Thực thi chính sách DLP trên các luồng con Cho phép thực thi các chính sách DLP để bao gồm các luồng con. Nếu tìm thấy vi phạm ở bất kỳ đâu trong cây luồng, luồng gốc sẽ bị tạm dừng. Sau khi chỉnh sửa và lưu luồng con để xóa vi phạm, luồng chính có thể được lưu lại hoặc kích hoạt lại để chạy lại đánh giá chính sách DLP. Thay đổi để không còn chặn các luồng con khi trình kết nối HTTP bị chặn sẽ được triển khai cùng với việc thực thi đầy đủ các chính sách DLP đối với các luồng con. Sau khi có đầy đủ biện pháp thực thi, biện pháp thực thi sẽ bao gồm các luồng máy tính để bàn con. Đầy đủ Tháng 14 năm 2023 Tháng 3/2023
Tháng 1 năm 2023 Thực thi chính sách DLP trên các luồng máy tính để bàn con Cho phép thực thi các chính sách DLP để bao gồm các luồng máy tính để bàn con. Nếu tìm thấy vi phạm ở bất kỳ đâu trong cây luồng, luồng chính trên máy tính để bàn sẽ bị treo. Sau khi chỉnh sửa và lưu luồng màn hình con để xóa vi phạm, luồng màn hình chính sẽ tự động được kích hoạt lại. Học tập - Tháng 8/2023

*Lịch khả dụng có thể thay đổi và tùy thuộc vào đợt triển khai.

Đình chỉ luồng do vi phạm DLP

Các luồng bị tạm dừng hiển thị là bị tạm dừng trong Power Automate cổng của nhà sản xuất và Power Platform trung tâm quản trị. Khi một luồng được trả về thông qua API, PowerShell hoặc Power Automate hành động "với tư cách quản trị viên" trong danh sách trình kết nối quản lý, luồng đó có Trạng thái=Đã tạm dừng , FlowSuspensionReason=CompanyDlpViolation và một giá trị FlowSuspensionTime cho biết thời điểm luồng bị tạm dừng.

Các hạn chế đã biết

Tìm hiểu về các sự cố đã biết về DLP.

Xem thêm

Tìm hiểu thêm về môi trường
Học nhiều hơn về Power Automate
Tìm hiểu thêm về trung tâm quản trị