Az adatveszteség-megelőzési (DLP) házirend létrehozása
A szervezet adatai fontosak a siker szempontjából. Az adatoknak könnyen elérhetőnek kell lenniük a döntéshozatalhoz, ugyanakkor az adatokat védeni kell, hogy ne osszák meg azokat a közönséggel, akiknek nem kellene hozzájuk férniük. Az üzleti adatok védelme érdekében a Power Automate lehetőséget biztosít olyan irányelvek létrehozására és érvényesítésére, amelyek meghatározzák, hogy mely csatlakozási szoftverek érhetik el és oszthatják meg azokat. Az adatmegosztás módját szabályozó szabályzatokat nevezzük adatveszteség-megelőzési (DLP) szabályzatoknak.
A rendszergazdák szabályozzák a DLP-házirendeket. Ha egy DLP-házirend blokkolja a folyamatok futását, forduljon a rendszergazdához.
Tudjon meg többet az adatok védelméről az Power Platform az Data Loss Prevention (DLP) irányelvekkel.
Adatvesztés megelőzése az asztali adatfolyamokhoz
Power Automate lehetővé teszi olyan DLP-házirendek létrehozását és érvényesítését, amelyek az asztali folyamatmodulokat és az egyes modulműveleteket Üzleti, Nem üzleti vagy Blokkolt kategóriába sorolják. Ez a kategorizálás megakadályozza, hogy a készítők a különböző kategóriák moduljait és műveleteit asztali folyamatba vagy a felhőfolyam és az általa használt asztali folyamatok között egyesítsék.
Fontos
- A DLP-házirendek betartatása az asztali folyamatokhoz minden környezetben elérhető.
- Az asztali folyamatokhoz készült DLP elérhető az Power Automate asztali 2.14.173.21294 vagy újabb verzióihoz. Ha korábbi verziót használ, távolítsa el, és frissítse a legújabb verzióra.
Az asztali folyamatműveletcsoportok megtekintése
Alapértelmezés szerint az asztali folyamatműveletcsoportok nem jelennek meg a DLP-házirend létrehozásakor. Be kell kapcsolnia az Asztali folyamatműveletek megjelenítése a DLP-házirendekben beállítást a bérlői beállításokban.
Ha a nyilvános előnézetet választotta, a DLP Asztali folyamatműveletek beállítása már engedélyezve van, és nem módosítható.
Jelentkezzen be aPower Platform felügyeleti központjába.
A bal oldali panelen válassza a Beállítások lehetőséget.
A Bérlői beállítások lapon válassza az Asztali folyamatműveletek a DLP-ben lehetőséget.
Kapcsolja be az Asztali folyamatműveletek megjelenítése a DLP-házirendekben beállítást, majd válassza a Mentés lehetőséget.
Mostantól besorolhatja az asztali folyamatműveletcsoportokat az adatházirend létrehozásakor.
Hozzon létre egy DLP-házirendet asztali áramlási korlátozásokkal
Amikor a rendszergazdák szerkesztenek vagy létrehoznak egy házirendet, az asztali folyamatműveletcsoportok hozzáadódnak az alapértelmezett csoporthoz, és a házirend a mentés után kerül alkalmazásra. A házirend felfüggesztésre kerül, ha az alapértelmezett csoport Blocked ra van állítva, és az asztali folyamatok futnak a célkörnyezetekben.
Az asztali folyamatokhoz tartozó DLP-házirendeket ugyanúgy kezelheti, mint a felhőfolyam-összekötőket és műveleteket. Az asztali folyamatmodulok hasonló műveletek csoportjai, amelyek az Power Automate asztali felhasználói felületen láthatók. A modul hasonló a felhőfolyamatokban használt csatlakozókhoz. Meghatározhat egy DLP-házirendet, amely mind az asztali folyamatmodulokat, mind a felhőfolyam-csatlakozókat kezeli. Egyes alapvető modulok, mint például a Változók, nem kezelhetők a DLP-házirend hatókörében, mert szinte minden asztali folyamatnak használnia kell őket. További információ a DLP-házirendek alapjairól és létrehozásuk módjáról.
Ha a bérlő engedélyezte a felhasználói élményt a Power Platform-ban, a rendszergazdák automatikusan látják az új asztali folyamatmodulokat az általuk létrehozott vagy frissített DLP-házirend alapértelmezett adatcsoportjában.
Figyelmeztetés:
Amikor asztali munkafolyamat-modulokat adnak hozzá a DLP-házirendekhez, a bérlő asztali folyamatait a rendszer kiértékeli azokhoz viszonyítva, és felfüggeszti azokat, ha nem megfelelőek. Ha az adminisztrátor úgy hozza létre vagy frissíti a DLP-házirendet, hogy észre sem veszi az új modulokat, az asztali folyamatok váratlanul felfüggeszthetők.
Az irányított asztal a DLP-n kívül folyik
Az asztali folyamatok használatának részletes szabályozása az összes gépen az előző szakaszokban leírtak szerint csak a felügyelt környezetekre vonatkozik. Más lehetőségek is vannak az asztali folyamatok szabályozására.
Képes irányítani az asztali folyamatirányítást: Az asztali áramlási összekötő a házirendekben ugyanúgy szabályozható, mint bármely más összekötő minden környezetben.
Az Power Automate asztali számítógépen használatának szabályozása: A csoportházirend-objektumokon (GPO) keresztül irányíthatja az Power Automate asztali folyamatokat. Ez az irányítás lehetővé teszi az asztali folyamatok be- és kikapcsolását olyan műveletekhez, mint például a környezetekre vagy régiókra való korlátozás, a fióktípusok használatának korlátozása és a kézi frissítések korlátozása.
További információ a kormányzásról itt: Power Automate.
Asztali folyamatmodulok DLP-ben
A következő asztali folyamatmodulok érhetők el DLP-ben:
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD munkamenet
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Vágólap
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Tömörítés
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptográfia
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database adatbázis
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File fájl
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder mappa
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitív
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitív
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Egér és billentyűzet
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate titkos változók
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Futtatási folyamat
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Szkriptek
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminál emuláció
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automatizálás
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-szolgáltatások
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation munkaállomás
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
PowerShell-támogatás asztali folyamatmodulokhoz
Ha nem szeretné bekapcsolni az Asztali folyamatműveletek megjelenítése a DLP-szabályzatokban beállítást, a következő PowerShell-szkripttel hozzáadhatja az összes asztali folyamatmodult egy DLP-szabályzat Letiltott csoportjához. Ha már bekapcsolta a beállítást, akkor nem kell ezt a szkriptet használnia.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Az alábbi PowerShell-szkript két adott asztali folyamatmodult ad hozzá a DLP-szabályzat alapértelmezett adatcsoportjához.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
PowerShell-szkript az asztali folyamatok letiltásához
Ha nem szeretné használni a DLP asztali folyamatokhoz funkciót, a következő PowerShell-szkripttel leiratkozhat.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
A szabályzat engedélyezése után
Ha a felhasználók nem rendelkeznek a legújabb Power Automate asztali számítógéppel, a DLP-szabályzatok kényszerítése korlátozott. Nem látnak tervezési hibaüzeneteket, amikor DLP-szabályzatokat sértő asztali folyamatokat próbálnak futtatni, hibakeresést végezni vagy menteni. A háttérfeladatok rendszeres időközönként ellenőrzik az asztali folyamatokat a környezetben, és automatikusan felfüggesztik a DLP-szabályzatokat sértő folyamatokat. A felhasználók nem futtathatnak asztali folyamatokat felhőfolyamatból, ha az asztali folyamat megsérti az adatveszteség-megelőzési szabályzatot.
A legújabb Power Automate asztali verzióval rendelkező készítők nem tudnak hibakeresést, futtatást vagy mentést végezni a DLP-szabályzatot sértő asztali folyamatokban. Emellett nem választhatnak ki olyan asztali folyamatot, amely megsérti a DLP-szabályzatot egy felhőfolyamat lépéséből.
DLP-kényszerítés és felfüggesztés
- Folyamat Power Automate létrehozásakor vagy szerkesztésekor kiértékeli azt az aktuális DLP-szabályzatok alapján.
- A folyamatok 99%-át kitevő gyermekfolyamat nélküli folyamatok kényszerítése szinkron és valós időben történik.
- A gyermekfolyamatokkal való folyamat kényszerítése aszinkron, mivel a gyermekfolyamatokat is ki kell értékelni, és 24 órán belül megtörténik.
- DLP-szabályzat létrehozásakor vagy módosításakor a háttérfeladat megvizsgálja a környezet összes aktív folyamatát, kiértékeli őket, majd felfüggeszti a szabályzatot sértő folyamatokat. A kényszerítés aszinkron, és 24 órán belül megtörténik. Ha a DLP-szabályzat módosítja az előző DLP-szabályzat kiértékelését, akkor a kiértékelés újraindul, hogy megbizonyosodjon arról, hogy a legújabb szabályzatok érvényben vannak.
- Hetente egy háttérfeladat konzisztencia-ellenőrzést végez a környezetben lévő összes aktív folyamaton a DLP-szabályzatok alapján, hogy megbizonyosodjon arról, hogy a DLP-szabályzat ellenőrzése nem maradt ki.
DLP újraaktiválása
Ha a DLP-kényszerítési háttérfeladat olyan asztali folyamatot talál, amely már nem sérti a DLP-szabályzatot, akkor a háttérfeladat automatikusan eltávolítja a felfüggesztést. A DLP-kényszerítési háttérfeladat azonban nem szünteti meg automatikusan a felhőfolyamatok felfüggesztését.
DLP-kényszerítés változási folyamata
A DLP-kényszerítésnek időnként meg kell változnia, mert új DLP-képességeket vagy hibajavításokat vezetnek be, vagy kitöltik a kényszerítési rést. Ha a módosítások hatással lehetnek a meglévő folyamatokra, alkalmazza a következő szakaszos DLP-kényszerítési változáskezelési folyamatot:
Vizsgálat: Erősítse meg, hogy szükség van-e a DLP-kényszerítési módosításra, és vizsgálja meg a változás részleteit.
Tanulás: Hajtsa végre a változást, és gyűjtsön adatokat a változás hatásainak szélességéről. Dokumentálja a DLP kényszerítési változásait a változás hatókörének magyarázatához. Ha az adatok azt sugallják, hogy az ügyfeleket nagymértékben érinti, akkor a rendszer közleményt küldhet az ügyfeleknek, hogy tudassa velük, hogy változás következik. Ha a változás széles körű hatással van a meglévő folyamatokra, akkor a tanulási fázis egy későbbi szakaszában, amikor a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, Power Automate értesíti a folyamat tulajdonosait a folyamat felfüggesztéséről, így több idejük van a válaszadásra.
Csak értesítés: Csak a DLP-szabálysértések esetén kapcsolja be az e-mail-értesítéseket, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a közelgő DLP-kényszerítési változásról. Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus hetente fut.
Tervezési idejű kényszerítés: Kapcsolja be a DLP-szabálysértések tervezési idejű kényszerítését, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a közelgő DLP-kényszerítési változásról, de a módosított folyamatok teljes DLP-szabályzatértékelést kapjanak a tervezéskor. Ezt puha végrehajtásnak is nevezik.
Tervezési idő: A folyamat frissítésekor és mentésekor használja a frissített DLP-kényszerítést, és szükség esetén függessze fel a folyamatot, hogy a készítő azonnal értesüljön a kényszerítésről.
Háttérfolyamat: Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy folyamatban, értesítse a folyamat tulajdonosait a folyamat felfüggesztéséről. Ez a mechanizmus magában foglalja a DLP-szabályzat és a konzisztencia-ellenőrzések létrehozását vagy módosítását.
Teljes kényszerítés: Kapcsolja be a DLP-szabálysértések teljes körű érvényesítését, hogy a DLP-szabályzatok teljes mértékben érvényesüljenek az összes meglévő és új folyamaton. A DLP-szabályzatok teljes mértékben érvénybe lépnek, ha a DLP-kényszerítés háttérfeladat-kiértékelése során menti a folyamatokat. Ezt szigorú végrehajtásnak is nevezik.
DLP-kényszerítési változáslista
Az alábbi táblázat a DLP-kényszerítés változásait és a módosítások hatálybalépésének dátumát sorolja fel.
Date | Description | A változás oka | Szakasz | Tervezési idejű kényszerítés elérhetősége* | Teljes körű betartatási rendelkezésre állás* |
---|---|---|---|---|---|
2022. május | Delegált engedélyezési háttérfeladat kényszerítése | A DLP-szabályzatok a folyamat mentése közben delegált hitelesítést használó folyamatokon vannak kikényszerítve, de a háttérben futó feladatkiértékelés során nem. | Teljes | 2022. június 2. | 2022. július 21. |
2022. május | APIConnection eseményindító kényszerítésének kérése | A DLP-szabályzatok egyes eseményindítók esetében nem voltak megfelelően kényszerítve. Az érintett eseményindítók type=Request és kind =apiConnection típusúak . Az érintett eseményindítók közül sok azonnali eseményindító, amelyet azonnali vagy manuálisan aktivált folyamatokban használnak. Az érintett eseményindítók a következők. - Power BI:gombra Power BI kattintva - Csapatok: Az írási mezőből (V2) - OneDrive Üzleti célokra: Kijelölt fájlhoz - Dataverse: Amikor egy folyamatlépés üzleti folyamatból fut - Dataverse (örökölt): Ha egy rekord ki van jelölve - Excel Online (Vállalati): Kijelölt sorhoz - SharePoint: Kijelölt elemhez - Microsoft Copilot Studio: Folyamat Copilot Studio meghívásakor (V2) |
Teljes | 2022. június 2. | 2022. augusztus 25. |
2022. július | DLP-szabályzatok kényszerítése gyermekfolyamatokon | Engedélyezze a DLP-szabályzatok kényszerítését a gyermekfolyamatok beillesztésére. Ha a folyamatfában bárhol talál szabálysértést, a szülőfolyamat felfüggesztésre kerül. A gyermekfolyamat szerkesztése és mentése után a szabálysértés eltávolítása érdekében a szülőfolyamatok újra menthetők vagy újraaktiválhatók a DLP-szabályzat kiértékelésének újbóli futtatásához. A HTTP-összekötő letiltása esetén a gyermekfolyamatok letiltása esetén a rendszer a DLP-szabályzatok teljes körű érvényesítését jelenti a gyermekfolyamatokon. Ha a teljes kényszerítés elérhető, a kényszerítés gyermek asztali folyamatokat is tartalmaz. | Teljes | 2023. február 14. | 2023. március |
2023. január | DLP-szabályzatok kényszerítése gyermek asztali folyamatokon | Engedélyezze a DLP-szabályzatok kényszerítését a gyermek asztali folyamatok beillesztésére. Ha a folyamat fában bárhol talál szabálysértést, az asztali szülőfolyamat fel lesz függesztve. Miután szerkesztette és mentette a gyermek asztali folyamatot a szabálysértés eltávolításához, a rendszer automatikusan újraaktiválja a szülő asztali folyamatokat. | Teljes | - | 2023 augusztus |
2024. október | Összekötő-műveletvezérlés kényszerítése eseményindítókon és belső műveleteken | Bontsa ki az összekötő-műveletvezérlés kényszerítését, hogy az eseményindítók és a belső műveletek le legyenek fedve. Sorolja fel őket a felügyeleti központban Power Platform , és kényszerítse ki a blokkolást, ha a DLP-szabályzatok egyenként hivatkoznak rájuk, vagy ha a DLP-szabályzat nem tartalmazza őket engedélyezettként. | Tanulás | 2025. január 27. | 2025. február 10. |
*Az elérhetőségi ütemezés változhat, és a bevezetéstől függ.
Folyamat felfüggesztése DLP-megsértés miatt
A felfüggesztett folyamatok felfüggesztettként jelennek meg a készítői portálon Power Automate és a Power Platform felügyeleti központban. Ha egy folyamatot egy API-n, a PowerShellen vagy a Power Automate felügyeleti összekötő listafolyamatain keresztül ad vissza "rendszergazdaként" művelettel, a folyamat State =Suspended,FlowSuspensionReason=CompanyDlpViolation és egy FlowSuspensionTime értékkel rendelkezik, amely jelzi, hogy mikor függesztették fel a folyamatot.
Ismert korlátozások
További információ a DLP ismert problémáiról.