Comparteix a través de

Creació de la norma de prevenció de pèrdua de dades (DLP)

  • Article

Les dades d'una organització són importants per al seu èxit. Les seves dades han d'estar fàcilment disponibles per a la presa de decisions, però al mateix temps, les dades s'han de protegir perquè no es comparteixin amb públics que no hi haurien de tenir accés. Per protegir les dades de la vostra empresa, Power Automate us ofereix la possibilitat de crear i aplicar polítiques que defineixen quins connectors hi poden accedir i compartir-hi. Les polítiques que defineixen com es poden compartir les dades s'anomenen polítiques de prevenció de pèrdues de dades (DLP).

Els administradors controlen les polítiques DLP. Si una política DLP bloqueja l'execució dels vostres fluxos, poseu-vos en contacte amb el vostre administrador.

Obteniu més informació sobre com protegir les vostres dades amb Power Platform a polítiques de prevenció de pèrdua de dades (DLP).

Prevenció de pèrdues de dades per a fluxos d'escriptori

Power Automate us permet crear i aplicar polítiques DLP que classifiquen els mòduls de flux d'escriptori i les accions de mòduls individuals com a Empresa, No empresarial o Bloquejat. Aquesta categorització evita que els fabricants combinin mòduls i accions de diferents categories en un flux d'escriptori o entre un flux de núvol i els fluxos d'escriptori que utilitza.

Important

  • L'aplicació de polítiques DLP per als fluxos d'escriptori està disponible en tots els entorns.
  • DLP per a fluxos d'escriptori està disponible per a les versions de Power Automate per a ordinadors 2.14.173.21294 o posteriors. Si utilitzeu una versió anterior, desinstal·leu-la i actualitzeu-la a la darrera versió.

Veure grups d'accions de flux d'escriptori

De manera predeterminada, els grups d'accions de flux d'escriptori no apareixen quan creeu una política DLP. Heu d'activar la configuració Mostra les accions de flux d'escriptori a les polítiques DLP a la configuració del vostre inquilí.

Si heu optat per la previsualització pública, la configuració Accions de flux d'escriptori a DLP ja està activada i no es pot canviar.

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. Al tauler lateral esquerre, seleccioneu Configuració.

  3. A la pàgina Configuració del llogater , seleccioneu Accions de flux d'escriptori a DLP.

  4. Activeu Mostra les accions de flux d'escriptori a les polítiques DLP i, a continuació, seleccioneu Desa.

    Captura de pantalla de la configuració de DLP per a fluxos d'escriptori al Power Platform centre d'administració.

Ara podeu classificar els grups d'accions de flux d'escriptori quan creeu una política de dades.

Creeu una política DLP amb restriccions de flux d'escriptori

Quan els administradors editen o creen una política, els grups d'accions de flux d'escriptori s'afegeixen al grup predeterminat i la política s'aplica després de desar-la. La política es suspèn si el grup predeterminat s'estableix com a Bloquejat i els fluxos d'escriptori s'executen als entorns de destinació.

Podeu gestionar les vostres polítiques DLP per als fluxos d'escriptori de la mateixa manera que gestioneu els connectors i les accions de flux de núvol. Els mòduls de flux d'escriptori són grups d'accions semblants a les que es mostren a la interfície d'usuari Power Automate per a escriptori. Un mòdul és similar als connectors que s'utilitzen en fluxos de núvol. Podeu definir una política DLP que gestioni tant els mòduls de flux d'escriptori com els connectors de flux de núvol. Alguns mòduls bàsics, com ara Variables, no es poden gestionar en l'àmbit de la política DLP perquè gairebé tots els fluxos d'escriptori els necessiten. Obteniu més informació sobre els fonaments de les polítiques DLP i com crear-les.

Quan l'arrendatari s'ha activat per a l'experiència d'usuari a Power Platform, els administradors veuen automàticament els nous mòduls de flux d'escriptori al grup de dades predeterminat de la política DLP que estan creant o actualitzant.

Captura de pantalla d'una política de DLP en construcció al Power Platform centre d'administració.

Advertiment

Quan s'afegeixen mòduls de flux d'escriptori a les polítiques DLP, els fluxos d'escriptori del vostre inquilí s'avaluen en funció d'ells i se suspenen si no compleixen. Si l'administrador crea o actualitza la política DLP sense adonar-se dels nous mòduls, els fluxos d'escriptori es poden suspendre inesperadament.

Governa els fluxos d'escriptori fora de DLP

El control granular sobre l'ús dels fluxos d'escriptori a totes les màquines, tal com es descriu a les seccions anteriors, només s'aplica als entorns gestionats. Teniu altres opcions per governar els fluxos d'escriptori.

  • Capacitat de governar l'orquestració de flux d'escriptori: el connector de flux d'escriptori es pot governar a les vostres polítiques com qualsevol altre connector en tots els entorns.

  • Capacitat de governar l'ús de Power Automate per a l'escriptori: podeu governar Power Automate els fluxos d'escriptori mitjançant objectes de política de grup (GPO). Aquesta governança us permet activar o desactivar els fluxos d'escriptori per a accions com ara restringir a un conjunt d'entorns o regions, limitar l'ús de tipus de compte i restringir les actualitzacions manuals.

Més informació sobre la governança a Power Automate.

Mòduls de flux d'escriptori en DLP

Els mòduls de flux d'escriptori següents estan disponibles a DLP:

  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatització del navegador
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sessió CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Porta-retalls
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compressió
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Criptografia
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Base de dades
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correu electrònic
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Carpeta
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitiu Google cognitiu
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitiu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display quadres de missatge
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitiu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Ratolí i teclat
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PDF PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variables secretes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Flux d'execució
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulació del terminal
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatització de la interfície d'usuari
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serveis del Windows
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
  • proveïdors/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Suport del PowerShell per als mòduls de flux d'escriptori

Si no voleu activar la configuració Mostra les accions de flux d'escriptori a les polítiques DLP, podeu utilitzar l'script del PowerShell següent per afegir tots els mòduls de flux d'escriptori al grup Bloquejat d'una norma DLP. Si ja heu activat la configuració, no cal que utilitzeu aquest script.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

El següent script del PowerShell afegeix dos mòduls de flux d'escriptori específics al grup de dades per defecte d'una norma DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Script del PowerShell per desactivar els fluxos d'escriptori

Si no voleu utilitzar la característica DLP per als fluxos d'escriptori, podeu utilitzar l'script del PowerShell següent per desactivar-lo.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Després d'habilitar la norma

Si els usuaris no tenen la versió més recent Power Automate per a l'ordinador, l'aplicació de la norma DLP és limitada. No veuen missatges d'error en temps de disseny quan intenten executar, depurar o desar fluxos d'escriptori que infringeixen les normes DLP. Les feines en segon pla analitzen periòdicament els fluxos d'escriptori a l'entorn i suspenen automàticament els que infringeixin les polítiques DLP. Els usuaris no poden executar fluxos d'escriptori des d'un flux de núvol si el flux d'escriptori infringeix alguna norma de prevenció de pèrdua de dades.

Els creadors que tenen l'última versió Power Automate per a escriptori no poden depurar, executar ni desar fluxos d'escriptori que infringeixin la política DLP. Tampoc poden seleccionar un flux d'escriptori que infringeixi una norma DLP d'un pas de flux al núvol.

Aplicació i suspensió de DLP

  1. Quan creeu o editeu un flux, Power Automate l'avaluarà amb el conjunt actual de normes DLP.
    1. L'aplicació de fluxos sense un flux secundari, que és el 99% dels fluxos, és síncrona i es produeix en temps real.
    2. L'aplicació d'un flux amb un flux secundari és asíncrona, ja que els fluxos secundaris també s'han d'avaluar i es produeix en un termini de 24 hores.
  2. Quan creeu o canvieu una norma DLP, una feina en segon pla analitza tots els fluxos actius de l'entorn, els avalua i, a continuació, suspèn els fluxos que infringeixen la norma. L'aplicació és asíncrona i es produeix en 24 hores. Si es produeix un canvi de norma DLP quan s'està avaluant la norma DLP anterior, l'avaluació es reinicia per assegurar-se que s'apliquen les normes més recents.
  3. Setmanalment, una feina en segon pla fa una comprovació de coherència de tots els fluxos actius de l'entorn amb les polítiques DLP per confirmar que no s'ha perdut una comprovació de la norma DLP.

Reactivació DLP

Si la feina en segon pla d'aplicació de DLP troba un flux d'escriptori que ja no infringeix cap norma DLP, la feina en segon pla suprimeix automàticament la suspensió. Tanmateix, la feina en segon pla d'aplicació de DLP no anul·la automàticament la suspensió dels fluxos de núvol.

Procés de canvi d'aplicació de DLP

Periòdicament, l'aplicació de DLP ha de canviar perquè es llancen noves capacitats DLP o es corregeix un error o s'omple un buit d'aplicació. Quan els canvis puguin afectar els fluxos existents, apliqueu el següent procés d'administració de canvis d'aplicació DLP per etapes:

  1. Investigació: confirmeu la necessitat d'un canvi d'aplicació de DLP i investigueu els detalls del canvi.

  2. Aprenentatge: Implementeu el canvi i recopileu dades sobre l'amplitud dels efectes del canvi. Documenteu els canvis d'aplicació de DLP per explicar l'abast del canvi. Si les dades suggereixen que els clients es veuran molt afectats, es pot enviar una comunicació a aquests clients per fer-los saber que s'acosta un canvi. Si el canvi té un impacte ampli en els fluxos existents, en una etapa posterior de la fase d'aprenentatge, quan la feina d'aplicació de DLP en segon pla troba una infracció en un flux existent, Power Automate notifica als propietaris del flux que el flux se suspendrà, de manera que tinguin més temps per respondre.

  3. Només notifica: activeu les notificacions per correu electrònic només per a infraccions de DLP perquè els propietaris de fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP. Quan la feina d'aplicació de DLP en segon pla trobi una infracció en un flux existent, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme s'executa setmanalment.

  4. Aplicació en temps de disseny: activeu l'aplicació en temps de disseny de les infraccions de DLP perquè els propietaris dels fluxos existents rebin notificacions sobre el proper canvi d'aplicació de DLP, però els fluxos que es canviïn rebin una avaluació completa de la norma DLP en temps de disseny. Això també es coneix com a aplicació suau.

    • En temps de disseny: quan s'actualitza i es desa un flux, utilitzeu l'aplicació DLP actualitzada i suspengueu el flux si cal perquè el creador sigui immediatament conscient de l'aplicació.

    • Procés en segon pla: quan la feina d'aplicació de DLP en segon pla trobi una infracció en un flux, notifiqueu als propietaris del flux que el flux se suspendrà. Aquest mecanisme inclou la creació o canvis a la norma DLP i comprovacions de coherència.

  5. Aplicació completa: activeu l'aplicació completa de les infraccions de DLP, de manera que les polítiques de DLP s'apliquin completament a tots els fluxos existents i nous. Les normes DLP s'apliquen completament quan els fluxos es desen durant l'avaluació de la feina en segon pla d'aplicació DLP. Això també es coneix com a aplicació dura.

Llista de canvis d'aplicació de DLP

A la taula següent s'enumeren els canvis d'aplicació de DLP i la data d'entrada en vigor dels canvis.

Date Descripció Motiu del canvi Fase Disponibilitat d'aplicació en temps de disseny* Disponibilitat completa de l'aplicació*
Maig 2022 Aplicació de treballs en segon pla d'autorització delegada Les normes DLP s'apliquen als fluxos que utilitzen autorització delegada mentre es desa el flux, però no durant l'avaluació de la feina en segon pla. Complet 2 de juny de 2022 21 de juliol de 2022
Maig 2022 Sol·licitar l'aplicació de l'activador apiConnection Les polítiques DLP no s'han aplicat correctament per a alguns triggers. Els triggers afectats tenen type=Request i kind=apiConnection. Molts dels desencadenants afectats són disparadors instantanis, que s'utilitzen en fluxos instantanis o manuals. Els desencadenants afectats inclouen els següents.
- Power BI: Power BI s'ha fet clic al botó
- Equips: Des del quadre de redacció (V2)
- OneDrive per a empreses: per a un fitxer seleccionat
- Dataverse: Quan s'executa un pas de flux des d'un flux de procés de negoci
- Dataverse (heretat): quan se selecciona un registre
- Excel Online (Business): per a una fila seleccionada
- SharePoint: Per a un element seleccionat
- Microsoft Copilot Studio: Quan Copilot Studio crida un flux (V2)		 Complet 2 de juny de 2022 25 d'agost del 2022
Juliol del 2022 Aplicar les normes DLP als fluxos secundaris Habiliteu l'aplicació de les polítiques DLP per incloure fluxos secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de flux, el flux principal se suspèn. Després d'editar i desar el flux secundari per eliminar la infracció, els fluxos principals es poden tornar a desar o reactivar per tornar a executar l'avaluació de la norma DLP. Un canvi per deixar de bloquejar els fluxos secundaris quan el connector HTTP està bloquejat es desplegarà juntament amb l'aplicació completa de les polítiques DLP als fluxos secundaris. Un cop l'aplicació completa estigui disponible, l'aplicació inclou fluxos d'escriptori secundaris. Complet 14 de febrer de 2023 Març de 2023
Gener de 2023 Aplicar polítiques DLP als fluxos d'escriptori secundaris Habiliteu l'aplicació de les polítiques DLP per incloure fluxos d'escriptori secundaris. Si es troba una infracció en qualsevol lloc de l'arbre de flux, el flux principal de l'escriptori se suspèn. Després d'editar i desar el flux d'escriptori secundari per eliminar la infracció, els fluxos d'escriptori principal es reactiven automàticament. Complet - Agost 2023
Octubre 2024 Aplicar el control de l'acció del connector als activadors i a les accions internes Ampliar l'aplicació del control d'acció del connector per garantir que els activadors i les accions internes estiguin coberts. Enumereu-los al Power Platform centre d'administració i apliqueu el bloqueig si es fa referència individualment a les normes DLP o si la norma DLP no els inclou com es permet. Informació 27 de gener de 2025 10 de febrer de 2025

*El calendari de disponibilitat pot canviar i depèn del llançament.

Suspensió del flux per infracció de DLP

Els fluxos suspesos es mostren com a suspesos al portal del Power Automate creador i al centre d'administració Power Platform . Quan es retorna un flux a través d'una API, el PowerShell o l'acció de la llista de connectors d'administració Power Automate "com a administrador", el flux téState=Suspended,FlowSuspensionReason =CompanyDlpViolation i unvalor FlowSuspensionTime que indica quan es va suspendre el flux.

Limitacions conegudes

Obteniu informació sobre els problemes coneguts de DLP.