Megosztás a következőn keresztül:

Az adatveszteség-megelőzési (DLP) házirend létrehozása

  • Cikk

A szervezet adatai fontosak a siker szempontjából. Az adatoknak könnyen elérhetőnek kell lenniük a döntéshozatalhoz, ugyanakkor az adatokat védeni kell, hogy ne osszák meg azokat a közönséggel, akiknek nem kellene hozzájuk férniük. Az üzleti adatok védelme érdekében a Power Automate lehetőséget biztosít olyan irányelvek létrehozására és érvényesítésére, amelyek meghatározzák, hogy mely csatlakozási szoftverek érhetik el és oszthatják meg azokat. Az adatmegosztás módját szabályozó szabályzatokat nevezzük adatveszteség-megelőzési (DLP) szabályzatoknak.

A rendszergazdák szabályozzák a DLP-házirendeket. Ha egy DLP-házirend blokkolja a folyamatok futását, forduljon a rendszergazdához.

Tudjon meg többet az adatok védelméről az Power Platform az Data Loss Prevention (DLP) irányelvekkel.

Adatvesztés megelőzése az asztali adatfolyamokhoz

Power Automate lehetővé teszi olyan DLP-házirendek létrehozását és érvényesítését, amelyek az asztali folyamatmodulokat és az egyes modulműveleteket Üzleti, Nem üzleti vagy Blokkolt kategóriába sorolják. Ez a kategorizálás megakadályozza, hogy a készítők a különböző kategóriák moduljait és műveleteit asztali folyamatba vagy a felhőfolyam és az általa használt asztali folyamatok között egyesítsék.

Fontos

  • A DLP-házirendek betartatása az asztali folyamatokhoz minden környezetben elérhető.
  • Az asztali folyamatokhoz készült DLP elérhető az Power Automate asztali 2.14.173.21294 vagy újabb verzióihoz. Ha korábbi verziót használ, távolítsa el, és frissítse a legújabb verzióra.

Az asztali folyamatműveletcsoportok megtekintése

Alapértelmezés szerint az asztali folyamatműveletcsoportok nem jelennek meg a DLP-házirend létrehozásakor. Be kell kapcsolnia az Asztali folyamatműveletek megjelenítése a DLP-házirendekben beállítást a bérlői beállításokban.

Ha a nyilvános előnézetet választotta, a DLP Asztali folyamatműveletek beállítása már engedélyezve van, és nem módosítható.

  1. Jelentkezzen be aPower Platform felügyeleti központjába.

  2. A bal oldali panelen válassza a Beállítások lehetőséget.

  3. A Bérlői beállítások lapon válassza az Asztali folyamatműveletek a DLP-ben lehetőséget.

  4. Kapcsolja be az Asztali folyamatműveletek megjelenítése a DLP-házirendekben beállítást, majd válassza a Mentés lehetőséget.

    Képernyőkép a DLP asztali folyamatokhoz beállításáról az Power Platform felügyeleti központban.

Mostantól besorolhatja az asztali folyamatműveletcsoportokat az adatházirend létrehozásakor.

Hozzon létre egy DLP-házirendet asztali áramlási korlátozásokkal

Amikor a rendszergazdák szerkesztenek vagy létrehoznak egy házirendet, az asztali folyamatműveletcsoportok hozzáadódnak az alapértelmezett csoporthoz, és a házirend a mentés után kerül alkalmazásra. A házirend felfüggesztésre kerül, ha az alapértelmezett csoport Blocked ra van állítva, és az asztali folyamatok futnak a célkörnyezetekben.

Az asztali folyamatokhoz tartozó DLP-házirendeket ugyanúgy kezelheti, mint a felhőfolyam-összekötőket és műveleteket. Az asztali folyamatmodulok hasonló műveletek csoportjai, amelyek az Power Automate asztali felhasználói felületen láthatók. A modul hasonló a felhőfolyamatokban használt csatlakozókhoz. Meghatározhat egy DLP-házirendet, amely mind az asztali folyamatmodulokat, mind a felhőfolyam-csatlakozókat kezeli. Egyes alapvető modulok, mint például a Változók, nem kezelhetők a DLP-házirend hatókörében, mert szinte minden asztali folyamatnak használnia kell őket. További információ a DLP-házirendek alapjairól és létrehozásuk módjáról.

Ha a bérlő engedélyezte a felhasználói élményt a Power Platform-ban, a rendszergazdák automatikusan látják az új asztali folyamatmodulokat az általuk létrehozott vagy frissített DLP-házirend alapértelmezett adatcsoportjában.

Képernyőkép a Power Platform felügyeleti központban készülő DLP-házirendről.

Figyelmeztetés:

Amikor asztali munkafolyamat-modulokat adnak hozzá a DLP-házirendekhez, a bérlő asztali folyamatait a rendszer kiértékeli azokhoz viszonyítva, és felfüggeszti azokat, ha nem megfelelőek. Ha az adminisztrátor úgy hozza létre vagy frissíti a DLP-házirendet, hogy észre sem veszi az új modulokat, az asztali folyamatok váratlanul felfüggeszthetők.

Az irányított asztal a DLP-n kívül folyik

Az asztali folyamatok használatának részletes szabályozása az összes gépen az előző szakaszokban leírtak szerint csak a felügyelt környezetekre vonatkozik. Más lehetőségek is vannak az asztali folyamatok szabályozására.

  • Képes irányítani az asztali folyamatirányítást: Az asztali áramlási összekötő a házirendekben ugyanúgy szabályozható, mint bármely más összekötő minden környezetben.

  • Az Power Automate asztali számítógépen használatának szabályozása: A csoportházirend-objektumokon (GPO) keresztül irányíthatja az Power Automate asztali folyamatokat. Ez az irányítás lehetővé teszi az asztali folyamatok be- és kikapcsolását olyan műveletekhez, mint például a környezetekre vagy régiókra való korlátozás, a fióktípusok használatának korlátozása és a kézi frissítések korlátozása.

További információ a kormányzásról itt: Power Automate.

Asztali folyamatmodulok DLP-ben

A következő asztali folyamatmodulok érhetők el DLP-ben:

  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD munkamenet
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Vágólap
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Tömörítés
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptográfia
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database adatbázis
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File fájl
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder mappa
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitív
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Egér és billentyűzet
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • szolgáltatók/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate titkos változók
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Futtatási folyamat
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Szkriptek
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminál emuláció
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automatizálás
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-szolgáltatások
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation munkaállomás
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

PowerShell-támogatás asztali folyamatmodulokhoz

Ha nem szeretné bekapcsolni az Asztali folyamatműveletek megjelenítése a DLP-szabályzatokban beállítást, a következő PowerShell-szkripttel hozzáadhatja az összes asztali folyamatmodult egy DLP-szabályzat Letiltott csoportjához. Ha már bekapcsolta a beállítást, akkor nem kell ezt a szkriptet használnia.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Az alábbi PowerShell-szkript két adott asztali folyamatmodult ad hozzá a DLP-szabályzat alapértelmezett adatcsoportjához.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

PowerShell-szkript az asztali folyamatok letiltásához

Ha nem szeretné használni a DLP asztali folyamatokhoz funkciót, a következő PowerShell-szkripttel leiratkozhat.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

A szabályzat engedélyezése után

Ha a felhasználók nem rendelkeznek a legújabb Power Automate asztali számítógéppel, a DLP-szabályzatok kényszerítése korlátozott. Nem látnak tervezési hibaüzeneteket, amikor DLP-szabályzatokat sértő asztali folyamatokat próbálnak futtatni, hibakeresést végezni vagy menteni. A háttérfeladatok rendszeres időközönként ellenőrzik az asztali folyamatokat a környezetben, és automatikusan felfüggesztik a DLP-szabályzatokat sértő folyamatokat. A felhasználók nem futtathatnak asztali folyamatokat felhőfolyamatból, ha az asztali folyamat megsérti az adatveszteség-megelőzési szabályzatot.

A legújabb Power Automate asztali verzióval rendelkező készítők nem tudnak hibakeresést, futtatást vagy mentést végezni a DLP-szabályzatot sértő asztali folyamatokban. Emellett nem választhatnak ki olyan asztali folyamatot, amely megsérti a DLP-szabályzatot egy felhőfolyamat lépéséből.

DLP-kényszerítés és felfüggesztés

  1. Folyamat Power Automate létrehozásakor vagy szerkesztésekor kiértékeli azt az aktuális DLP-szabályzatok alapján.
    1. A folyamatok 99%-át kitevő gyermekfolyamat nélküli folyamatok kényszerítése szinkron és valós időben történik.
    2. A gyermekfolyamatokkal való folyamat kényszerítése aszinkron, mivel a gyermekfolyamatokat is ki kell értékelni, és 24 órán belül megtörténik.
  2. DLP-szabályzat létrehozásakor vagy módosításakor a háttérfeladat megvizsgálja a környezet összes aktív folyamatát, kiértékeli őket, majd felfüggeszti a szabályzatot sértő folyamatokat. A kényszerítés aszinkron, és 24 órán belül megtörténik. Ha a DLP-szabályzat módosítja az előző DLP-szabályzat kiértékelését, akkor a kiértékelés újraindul, hogy megbizonyosodjon arról, hogy a legújabb szabályzatok érvényben vannak.
  3. Hetente egy háttérfeladat konzisztencia-ellenőrzést végez a környezetben lévő összes aktív folyamaton a DLP-szabályzatok alapján, hogy megbizonyosodjon arról, hogy a DLP-szabályzat ellenőrzése nem maradt ki.

DLP újraaktiválása

Ha a DLP-kényszerítési háttérfeladat olyan asztali folyamatot talál, amely már nem sérti a DLP-szabályzatot, akkor a háttérfeladat automatikusan eltávolítja a felfüggesztést. A DLP-kényszerítési háttérfeladat azonban nem szünteti meg automatikusan a felhőfolyamatok felfüggesztését.

DLP-kényszerítés változási folyamata

A DLP-kényszerítésnek időnként meg kell változnia, mert új DLP-képességeket vagy hibajavításokat vezetnek be, vagy kitöltik a kényszerítési rést. Ha a módosítások hatással lehetnek a meglévő folyamatokra, alkalmazza a következő szakaszos DLP-kényszerítési változáskezelési folyamatot:

  1. Vizsgálat: Erősítse meg, hogy szükség van-e a DLP-kényszerítési módosításra, és vizsgálja meg a változás részleteit.

  2. Tanulás: Hajtsa végre a változást, és gyűjtsön adatokat a változás hatásainak szélességéről. Dokumentálja a DLP kényszerítési változásait a változás hatókörének magyarázatához. Ha az adatok azt sugallják, hogy az ügyfeleket nagymértékben érinti, akkor a rendszer közleményt küldhet az ügyfeleknek, hogy tudassa velük, hogy változás következik. Ha a változás széles körű hatással van a meglévő folyamatokra, akkor a tanulási fázis egy későbbi szakaszában, amikor a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, Power Automate értesíti a folyamat tulajdonosait a folyamat felfüggesztéséről, így több idejük van a válaszadásra.

  3. Csak értesítés: Csak a DLP-szabálysértések esetén kapcsolja be az e-mail-értesítéseket, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a közelgő DLP-kényszerítési változásról. Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy meglévő folyamatban, értesítse a folyamat tulajdonosait, hogy a folyamat fel lesz függesztve. Ez a mechanizmus hetente fut.

  4. Tervezési idejű kényszerítés: Kapcsolja be a DLP-szabálysértések tervezési idejű kényszerítését, hogy a meglévő folyamatok tulajdonosai értesítést kapjanak a közelgő DLP-kényszerítési változásról, de a módosított folyamatok teljes DLP-szabályzatértékelést kapjanak a tervezéskor. Ezt puha végrehajtásnak is nevezik.

    • Tervezési idő: A folyamat frissítésekor és mentésekor használja a frissített DLP-kényszerítést, és szükség esetén függessze fel a folyamatot, hogy a készítő azonnal értesüljön a kényszerítésről.

    • Háttérfolyamat: Ha a háttérben futó DLP-kényszerítési feladat szabálysértést talál egy folyamatban, értesítse a folyamat tulajdonosait a folyamat felfüggesztéséről. Ez a mechanizmus magában foglalja a DLP-szabályzat és a konzisztencia-ellenőrzések létrehozását vagy módosítását.

  5. Teljes kényszerítés: Kapcsolja be a DLP-szabálysértések teljes körű érvényesítését, hogy a DLP-szabályzatok teljes mértékben érvényesüljenek az összes meglévő és új folyamaton. A DLP-szabályzatok teljes mértékben érvénybe lépnek, ha a DLP-kényszerítés háttérfeladat-kiértékelése során menti a folyamatokat. Ezt szigorú végrehajtásnak is nevezik.

DLP-kényszerítési változáslista

Az alábbi táblázat a DLP-kényszerítés változásait és a módosítások hatálybalépésének dátumát sorolja fel.

Date Description A változás oka Szakasz Tervezési idejű kényszerítés elérhetősége* Teljes körű betartatási rendelkezésre állás*
2022. május Delegált engedélyezési háttérfeladat kényszerítése A DLP-szabályzatok a folyamat mentése közben delegált hitelesítést használó folyamatokon vannak kikényszerítve, de a háttérben futó feladatkiértékelés során nem. Teljes 2022. június 2. 2022. július 21.
2022. május APIConnection eseményindító kényszerítésének kérése A DLP-szabályzatok egyes eseményindítók esetében nem voltak megfelelően kényszerítve. Az érintett eseményindítók type=Request és kind =apiConnection típusúak . Az érintett eseményindítók közül sok azonnali eseményindító, amelyet azonnali vagy manuálisan aktivált folyamatokban használnak. Az érintett eseményindítók a következők.
- Power BI:gombra Power BI kattintva
- Csapatok: Az írási mezőből (V2)
- OneDrive Üzleti célokra: Kijelölt fájlhoz
- Dataverse: Amikor egy folyamatlépés üzleti folyamatból fut
- Dataverse (örökölt): Ha egy rekord ki van jelölve
- Excel Online (Vállalati): Kijelölt sorhoz
- SharePoint: Kijelölt elemhez
- Microsoft Copilot Studio: Folyamat Copilot Studio meghívásakor (V2)		 Teljes 2022. június 2. 2022. augusztus 25.
2022. július DLP-szabályzatok kényszerítése gyermekfolyamatokon Engedélyezze a DLP-szabályzatok kényszerítését a gyermekfolyamatok beillesztésére. Ha a folyamatfában bárhol talál szabálysértést, a szülőfolyamat felfüggesztésre kerül. A gyermekfolyamat szerkesztése és mentése után a szabálysértés eltávolítása érdekében a szülőfolyamatok újra menthetők vagy újraaktiválhatók a DLP-szabályzat kiértékelésének újbóli futtatásához. A HTTP-összekötő letiltása esetén a gyermekfolyamatok letiltása esetén a rendszer a DLP-szabályzatok teljes körű érvényesítését jelenti a gyermekfolyamatokon. Ha a teljes kényszerítés elérhető, a kényszerítés gyermek asztali folyamatokat is tartalmaz. Teljes 2023. február 14. 2023. március
2023. január DLP-szabályzatok kényszerítése gyermek asztali folyamatokon Engedélyezze a DLP-szabályzatok kényszerítését a gyermek asztali folyamatok beillesztésére. Ha a folyamat fában bárhol talál szabálysértést, az asztali szülőfolyamat fel lesz függesztve. Miután szerkesztette és mentette a gyermek asztali folyamatot a szabálysértés eltávolításához, a rendszer automatikusan újraaktiválja a szülő asztali folyamatokat. Teljes - 2023 augusztus
2024. október Összekötő-műveletvezérlés kényszerítése eseményindítókon és belső műveleteken Bontsa ki az összekötő-műveletvezérlés kényszerítését, hogy az eseményindítók és a belső műveletek le legyenek fedve. Sorolja fel őket a felügyeleti központban Power Platform , és kényszerítse ki a blokkolást, ha a DLP-szabályzatok egyenként hivatkoznak rájuk, vagy ha a DLP-szabályzat nem tartalmazza őket engedélyezettként. Tanulás 2025. január 27. 2025. február 10.

*Az elérhetőségi ütemezés változhat, és a bevezetéstől függ.

Folyamat felfüggesztése DLP-megsértés miatt

A felfüggesztett folyamatok felfüggesztettként jelennek meg a készítői portálon Power Automate és a Power Platform felügyeleti központban. Ha egy folyamatot egy API-n, a PowerShellen vagy a Power Automate felügyeleti összekötő listafolyamatain keresztül ad vissza "rendszergazdaként" művelettel, a folyamat State =Suspended,FlowSuspensionReason=CompanyDlpViolation és egy FlowSuspensionTime értékkel rendelkezik, amely jelzi, hogy mikor függesztették fel a folyamatot.

Ismert korlátozások

További információ a DLP ismert problémáiról.