資料外洩防護 (DLP) 原則
本文件介紹資料外洩防護原則,這些原則可協助保護您的組織資料,以防止您定義的連接器清單共用資料。
何謂資料外洩防護原則?
組織的資料對於其成功至關重要。 其資料必須隨時可供決策使用,但必須受到保護,讓它無法與不能存取的對象共用。 為了保護這項資料,Power Automate 讓您可以建立和強制執行原則,這些原則定義可以存取和共用商務資料的取用者連接器。 這些定義資料共用方式的原則稱為資料外洩防護 (DLP) 原則。
若要進一步了解如何保護您的資料,請參閱 Microsoft Power Platform 管理指南中的資料外洩防護原則。
Important
系統管理員會控制資料外洩防護原則。 如果資料外洩防護原則封鎖流程,使其無法執行時,請連絡您的系統管理員。
桌面流程的資料外洩防護 (DLP) (預覽版)
Important
桌面流程的資料外洩防護是一項免費的預覽功能。 當此功能在 2022 年中公開使用時,其將僅適用於具有進階帳戶的環境。
Power Automate 能建立和執行 DLP 原則,將桌面流程模組 (或個別模組動作) 分類為 業務、非業務 或 封鎖 類別。 此分類可防止製作者將不同類別的模組和動作組合到桌面流程中,或在雲端流程與其使用的桌面流程之間組合。
Important
桌面流程的資料外洩防護適用於電腦版 Power Automate 2.14.173.21294 版本或更新版本。 如果您使用的是舊版本,請解除安裝並更新至最新版本。
可用工時
公開預覽版中的所有客戶現在都可免費使用桌面流程的資料外洩防護 (DLP)。 管理員可以使用 PowerShell 設定其 DLP 原則,並在桌面流程上執行它們。
Warning
- 您的管理員也可以直接在 Power Platform 系統管理中心中將其 DLP 原則中的新桌面流程模組分類,但是他們必須透過建立支援票證來選擇加入。
- 您的租用戶可能已經具備 DLP 體驗中的新桌面流程模組的存取權。
PowerShell 支援
以下是 PowerShell 指令碼,您可以用它來將所有桌面流程模組新增至 DLP 原則的「封鎖」群組中。
# Step #1: Retrieve a DLP policy named ‘My DLP Policy’
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Desktop Flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the ‘blocked’ category of ‘My DLP Policy’
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
以下是 PowerShell 指令碼,您可以用它來將兩個特定桌面流程模組新增至 DLP 原則的預設資料群組中。
# Step #1: Retrieve a DLP policy named ‘My DLP Policy’
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the ‘Active Directory’ and ‘Workstation’ modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of ‘My DLP Policy’
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
以下是 DLP 目前可以使用的桌面流程模組清單:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse and keyboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Note
如果您的使用者沒有最新的 Power Automate Desktop,將會對他們強制執行有限的資料外洩防護原則。 當使用者嘗試從電腦版 Power Automate 執行、偵錯或儲存違反資料外洩防護原則的桌面流程時,他們將看不到設計時錯誤訊息。 我們將會進行背景工作,定期掃描環境中的桌面流程,並自動暫停違反資料外洩防護原則的桌面流程。 如果桌面流程違反任何資料外洩防護原則,則使用者將無法從雲端流程執行桌面流程。
在 Power Platform 系統管理中心建立具有桌面流程限制的資料外洩防護 (DLP) 原則
Important
當系統管理員編輯或建立原則時,新的桌面流程連接器將會新增至預設群組,而且在儲存後便會套用原則。 如果預設組設定為 [已封鎖],且在目標環境中執行桌面程式流程,則這些工作將會擱置。
管理員可從 https://admin.powerplatform.microsoft.com 建立資料外洩防護原則。 他們可以像管理雲端流程連接器和動作一樣管理桌面流程的資料外洩防護原則。 桌面流程模組是電腦版 Power Automate 使用者介面中顯示的一組類似動作。 模組類似于在雲端流程中使用的連接器。 您可以定義資料外洩防護原則,以管理桌面流程模組和雲端流程連接器。 還有一些基本模組 (例如「變數」) 無法在資料外洩防護原則範圍中進行管理,因為幾乎所有桌面流程都需要使用這些模組。 您可以深入了解 DLP 原則的基本原理,以及在資料外洩防護原則區段中了解如何建立它們。
當您的租用戶選擇加入 Power Platform 中的使用者體驗時,您的管理員會在他們建立或更新的 DLP 原則預設資料群組中自動看見新的桌面流程模組。
Warning
將桌面流程模組新增至 DLP 原則後,將根據這些 DLP 原則評估租用戶的現有桌面流程,如果它們不符合規範就會擱置。 因此,如果您的管理員在未注意新模組的情況下建立或更新 DLP 原則,則桌面流程可能會意外擱置。
啟用原則後
- 使用最新電腦版 Power Automate 的製作者將無法偵錯、執行或儲存違反資料外洩防護原則的桌面流程。
- 製作者將無法從雲端流程步驟中選取違反資料外洩防護原則的桌面流程。
Note
如果您的使用者沒有最新的 Power Automate Desktop,將會對他們強制執行有限的資料外洩防護原則。 當使用者嘗試從電腦版 Power Automate 執行、偵錯或儲存違反資料外洩防護原則的桌面流程時,他們將看不到設計時錯誤訊息。 我們將會進行背景工作,定期掃描環境中的桌面流程,並自動暫停違反資料外洩防護原則的桌面流程。 如果桌面流程違反任何資料外洩防護原則,則使用者將無法從雲端流程執行桌面流程。
DLP 強制執行背景工作
- 強制執行和暫停 - 每次當您環境中的資料外洩防護原則變更時,背景作業都會掃描環境中的所有現有流程,對其進行評估,然後暫停違反更新原則的流程。
- 重新啟動 - 如果 DLP 強制執行背景作業發現已不再違反任何 DLP 的桌面流程,則背景作業會自動將其打開。 但是,DLP 強制執行背景工作不會自動開啟雲端流程。
DLP 強制執行變更流程
需要定期進行 DLP 強制變更。 這些變更可能是由於新的 DLP 功能、正在填補的強制差距或錯誤修正造成的。 當變更會影響現有的流程時,會使用以下暫存的 DLP 強制變更管理流程。
- 調查 - 確認需要進行 DLP 強制變更並調查變更的細節。
- 了解 - 執行變更並收集有關變更影響廣度的資料。 記錄 DLP 強制變更以解釋變更的範圍。 如果資料表明某些客戶將會受到極大影響,則會傳送通訊給這些客戶,讓他們知道即將發生變化。
- 軟強制執行 - 啟用 DLP 違規的軟強制執行,以便現有流程的負責人收到有關變更的通知。
- 更新並儲存流程時,使用更新的 DLP 強制執行,並在需要時暫停流程。
- 當背景 DLP 強制作業在現有的流程中發現違規時,通知流程負責人該流程將暫停。
- 硬強制執行 - 啟用 DLP 違規的硬強制執行,以便對所有現有和新的流程完整強制執行 DLP 原則。 在 DLP 強制執行背景作業評估期間儲存流程時,將會完整強制執行 DLP 原則。
DLP 強制執行變更清單
以下是 DLP 強制變更清單和變更生效日期。
| 日期 | 描述 | 變更原因 | 階段 | 軟強制 ETA* | 硬強制 ETA* |
|---|---|---|---|---|---|
| 2022 年 5 月 | 委派授權背景工作強制執行 | 使用委派授權的流程在儲存流程時強制執行 DLP 原則,但在背景工作評估期間不執行。 | 學習 | 2022 年 6 月 2 日 | 2022 年 7 月 28 日 |
| 2022 年 5 月 | 要求 apiConnection 觸發程序強制 | 某些觸發程序未正確執行 DLP 原則。 受影響的觸發程序包含類型 = Request,類型 = apiConnection。 許多受影響的觸發程序都是即時 (手動觸發) 流程中所使用的即時觸發程序。 以下是受影響的觸發程序。 - Power BI - 按一下 Power BI 按鈕 - Teams - 來自撰寫方塊 (V2) - 商務版 OneDrive - 適用於選取的檔案 - Dataverse - 執行商務程序流程中的流程步驟時 - Dataverse (舊版) - 選取記錄時 - Excel Online (商務) - 適用於選取的資料列 - SharePoint - 所選項目 - Power Virtual Agents - Power Virtual Agents 呼叫流程 (V2) 時 |
學習 | 2022 年 6 月 2 日 | 2022 年 7 月 28 日 |
-
- ETA 可能會有所變更,並視發行排程而定。 ETA 用於開始發行到生產。 發行至預覽站 1 大約需要 5 天,發行到 NAM/US 站 5 大約需要 3 週。
已知限制
後續步驟
意見反映
提交及檢視以下的意見反映: