Bagikan melalui


Pembuatan kebijakan pencegahan kehilangan data (DLP)

Data organisasi sangat penting untuk keberhasilannya. Datanya harus tersedia untuk pengambilan keputusan, tetapi pada saat yang sama, data perlu dilindungi agar tidak dibagikan kepada audiens yang tidak seharusnya memiliki akses terhadapnya. Untuk melindungi data bisnis Anda, Power Automate memberi Anda kemampuan untuk membuat dan menerapkan kebijakan yang menentukan konektor mana yang dapat mengakses dan membagikannya. Kebijakan yang menentukan bagaimana data dapat dibagikan disebut sebagai kebijakan pencegahan kehilangan data (DLP).

Administrator mengontrol kebijakan DLP. Jika kebijakan DLP memblokir alur kerja Anda, hubungi administrator Anda.

Pelajari selengkapnya tentang melindungi data Anda dengan kebijakan Pencegahan Kehilangan Data (DLP) Power Platform . ...

Pencegahan kehilangan data untuk alur desktop

Power Automate memungkinkan Anda membuat dan menerapkan kebijakan DLP yang mengklasifikasikan modul alur desktop dan tindakan modul individual sebagai Bisnis, Non-bisnis, atau Diblokir. Kategorisasi ini mencegah pembuat menggabungkan modul dan tindakan dari berbagai kategori ke dalam alur desktop atau antara alur cloud dan alur desktop yang digunakannya.

Penting

  • Penegakan kebijakan DLP untuk alur desktop tersedia di semua lingkungan.
  • DLP untuk alur desktop tersedia untuk versi Power Automate untuk desktop 2.14.173.21294 atau yang lebih baru. Jika Anda menggunakan versi sebelumnya, hapus instalannya dan perbarui ke versi terbaru.

Lihat grup tindakan aliran desktop

Secara default, grup tindakan alur desktop tidak muncul saat Anda membuat kebijakan DLP. Anda perlu mengaktifkan pengaturan Tampilkan tindakan alur desktop dalam kebijakan DLP di pengaturan penyewa Anda.

Jika Anda memilih pratinjau publik, pengaturan Tindakan alur desktop di DLP sudah diaktifkan dan tidak dapat diubah.

  1. Masuk ke pusat admin Power Platform.

  2. Pada panel sisi kiri, pilih Pengaturan.

  3. Pada halaman Pengaturan penyewa , pilih Tindakan alur desktop di DLP.

  4. Aktifkan Tampilkan tindakan alur desktop dalam kebijakan DLP, lalu pilih Simpan.

    Tangkapan layar DLP untuk pengaturan alur desktop di Power Platform pusat admin.

Anda sekarang dapat mengklasifikasikan grup tindakan alur desktop saat Anda membuat kebijakan data.

Buat kebijakan DLP dengan pembatasan alur desktop

Saat admin mengedit atau membuat kebijakan, grup tindakan alur desktop ditambahkan ke grup default, dan kebijakan diterapkan setelah disimpan. Kebijakan ditangguhkan jika grup default ditetapkan ke Diblokir dan alur desktop berjalan di lingkungan target.

Anda dapat mengelola kebijakan DLP untuk alur desktop dengan cara yang sama seperti Anda mengelola konektor dan tindakan alur cloud. Modul alur desktop adalah kelompok tindakan serupa seperti yang ditampilkan di Power Automate antarmuka pengguna desktop. Modul serupa dengan konektor yang digunakan dalam aliran awan. Anda dapat menentukan kebijakan DLP yang mengelola modul alur desktop dan konektor alur cloud. Beberapa modul dasar, seperti Variabel, tidak dapat dikelola dalam cakupan kebijakan DLP karena hampir semua alur desktop perlu menggunakannya. Pelajari selengkapnya tentang dasar-dasar kebijakan DLP dan cara membuatnya.

Saat penyewa Anda memilih ikut serta dalam pengalaman pengguna di Power Platform, administrator Anda secara otomatis melihat modul alur desktop baru di grup data default kebijakan DLP yang mereka buat atau perbarui.

Tangkapan layar kebijakan DLP yang sedang dibangun di Power Platform pusat admin.

Peringatan

Saat modul alur desktop ditambahkan ke kebijakan DLP, alur desktop penyewa Anda dievaluasi berdasarkan kebijakan tersebut dan akan ditangguhkan jika tidak patuh. Jika administrator Anda membuat atau memperbarui kebijakan DLP tanpa memperhatikan modul baru, alur desktop dapat ditangguhkan secara tidak terduga.

Mengatur alur desktop di luar DLP

Kontrol terperinci atas penggunaan alur desktop di semua mesin sebagaimana dijelaskan dalam bagian sebelumnya hanya berlaku untuk Lingkungan Terkelola. Anda memiliki pilihan lain untuk mengatur alur desktop.

  • Kemampuan untuk mengatur orkestrasi alur desktop: Konektor alur desktop dapat diatur dalam kebijakan Anda seperti konektor lainnya di semua lingkungan.

  • Kemampuan untuk mengatur penggunaan Power Automate untuk desktop: Anda dapat mengatur Power Automate alur untuk desktop melalui objek Kebijakan Grup (GPO). Tata kelola ini memungkinkan Anda untuk menghidupkan atau mematikan alur desktop untuk tindakan seperti pembatasan pada sekumpulan lingkungan atau wilayah, membatasi penggunaan jenis akun, dan membatasi pembaruan manual.

Pelajari lebih lanjut tentang tata kelola di Power Automate.

Modul aliran desktop di DLP

Modul alur desktop berikut tersedia dalam DLP:

  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Otomatisasi Peramban
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd sesi CMD
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Papan klip
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Kompresi
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kriptografi Kriptografi
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Basis Data
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Pertukaran
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Berkas
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitif
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitif
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kotak Pesan Tampilan
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitif
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse dan keyboard
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Variabel Rahasia
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Jalankan aliran
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skrip
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistem
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulasi terminal
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation otomatisasi UI
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Layanan Windows
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Stasiun Kerja
  • penyedia/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Dukungan PowerShell untuk modul aliran desktop

Jika Anda tidak ingin mengaktifkan pengaturan Tampilkan tindakan alur desktop dalam kebijakan DLP , Anda dapat menggunakan skrip PowerShell berikut untuk menambahkan semua modul alur desktop ke grup Diblokir dari kebijakan DLP. Jika Anda sudah mengaktifkan pengaturan, Anda tidak perlu menggunakan skrip ini.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Skrip PowerShell berikut menambahkan dua modul alur desktop spesifik ke grup data default kebijakan DLP.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

Skrip PowerShell untuk memilih keluar dari alur desktop

Jika Anda tidak ingin menggunakan fitur DLP untuk alur desktop, Anda dapat menggunakan skrip PowerShell berikut untuk memilih tidak ikut serta.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Setelah kebijakan diaktifkan

Jika pengguna Anda tidak memiliki versi terbaru Power Automate untuk desktop, penegakan kebijakan DLP terbatas. Mereka tidak melihat pesan kesalahan waktu desain saat mencoba menjalankan, men-debug, atau menyimpan alur desktop yang melanggar kebijakan DLP. Pekerjaan latar belakang secara berkala memindai alur desktop di lingkungan dan secara otomatis menangguhkan apa pun yang melanggar kebijakan DLP. Pengguna tidak dapat menjalankan alur desktop dari alur cloud jika alur desktop melanggar kebijakan pencegahan kehilangan data apa pun.

Pembuat yang memiliki versi Power Automate terbaru untuk desktop tidak dapat men-debug, menjalankan, atau menyimpan alur desktop yang melanggar kebijakan DLP. Mereka juga tidak dapat memilih alur desktop yang melanggar kebijakan DLP dari langkah alur cloud.

Penegakan dan penangguhan DLP

  1. Saat Anda membuat atau mengedit alur, Power Automate mengevaluasinya terhadap rangkaian kebijakan DLP saat ini.
    1. Penegakan alur tanpa alur anak, yang merupakan 99% alur, bersifat sinkron dan terjadi dalam waktu nyata.
    2. Penegakan alur dengan alur anak bersifat asinkron, karena alur anak perlu dievaluasi juga, dan terjadi dalam waktu 24 jam.
  2. Saat Anda membuat atau mengubah kebijakan DLP, pekerjaan latar belakang memindai semua alur aktif di lingkungan, mengevaluasinya, lalu menangguhkan alur yang melanggar kebijakan. Penegakan hukum bersifat asinkron dan terjadi dalam waktu 24 jam. Jika perubahan kebijakan DLP terjadi saat kebijakan DLP sebelumnya sedang dievaluasi, maka evaluasi dimulai ulang untuk memastikan kebijakan terbaru diberlakukan.
  3. Setiap minggu, pekerjaan latar belakang melakukan pemeriksaan konsistensi semua alur aktif di lingkungan terhadap kebijakan DLP untuk mengonfirmasi bahwa pemeriksaan kebijakan DLP tidak terlewat.

Reaktivasi DLP

Jika pekerjaan latar belakang penegakan DLP menemukan alur desktop yang tidak lagi melanggar kebijakan DLP apa pun, maka pekerjaan latar belakang tersebut secara otomatis menghapus penangguhan tersebut. Namun, pekerjaan latar belakang penegakan DLP tidak secara otomatis membatalkan penangguhan aliran cloud.

Proses perubahan penegakan DLP

Secara berkala, penegakan DLP perlu diubah karena kemampuan DLP baru atau perbaikan bug diluncurkan atau kesenjangan penegakan diatasi. Bila perubahan dapat memengaruhi alur yang ada, terapkan proses manajemen perubahan penerapan DLP bertahap berikut:

  1. Menyelidiki Konfirmasikan perlunya perubahan penegakan DLP dan selidiki secara spesifik perubahan tersebut.

  2. Sedang belajar : Terapkan perubahan dan kumpulkan data tentang luasnya dampak perubahan. Dokumentasikan perubahan penegakan DLP untuk menjelaskan ruang lingkup perubahan. Jika data menunjukkan bahwa pelanggan akan sangat terpengaruh, maka komunikasi mungkin dikirimkan ke pelanggan tersebut untuk memberi tahu mereka bahwa perubahan akan terjadi. Jika perubahan tersebut berdampak luas pada alur yang ada, maka pada tahap selanjutnya dalam fase pembelajaran, ketika pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur yang ada, Power Automate memberitahukan pemilik aliran bahwa aliran akan ditangguhkan, sehingga mereka memiliki lebih banyak waktu untuk merespons.

  3. Beritahukan saja : Aktifkan pemberitahuan email hanya untuk pelanggaran DLP sehingga pemilik alur yang ada mendapatkan pemberitahuan tentang perubahan penegakan DLP yang akan datang. Bila pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam alur yang ada, beri tahu pemilik alur bahwa alur tersebut akan ditangguhkan. Mekanisme ini berjalan setiap minggu.

  4. Penegakan waktu desain : Aktifkan penegakan pelanggaran DLP pada waktu desain sehingga pemilik alur yang ada mendapatkan pemberitahuan tentang perubahan penegakan DLP yang akan datang, tetapi alur apa pun yang diubah mendapatkan evaluasi kebijakan DLP penuh pada waktu desain. Ini juga dikenal sebagai penegakan lunak .

    • Waktu desain : Saat alur diperbarui dan disimpan, gunakan penerapan DLP yang diperbarui dan tangguhkan alur jika diperlukan sehingga pembuat segera mengetahui penerapan tersebut.

    • Proses latar belakang : Saat pekerjaan penegakan DLP latar belakang menemukan pelanggaran dalam suatu alur, beri tahu pemilik alur bahwa alur tersebut akan ditangguhkan. Mekanisme ini mencakup pembuatan atau perubahan pada kebijakan DLP dan pemeriksaan konsistensi.

  5. Penegakan penuh : Aktifkan penegakan penuh pelanggaran DLP, sehingga kebijakan DLP ditegakkan sepenuhnya pada semua alur yang ada dan yang baru. Kebijakan DLP sepenuhnya ditegakkan saat alur disimpan selama evaluasi pekerjaan latar belakang penegakan DLP. Ini juga dikenal sebagai penegakan hukum yang ketat .

Daftar perubahan penegakan DLP

Tabel berikut mencantumkan perubahan penegakan DLP dan tanggal perubahan tersebut berlaku.

Date Description Alasan untuk perubahan Tahap Ketersediaan penegakan waktu desain* Ketersediaan penegakan penuh*
Mei 2022 Penegakan pekerjaan latar belakang otorisasi yang didelegasikan Kebijakan DLP diberlakukan pada alur yang menggunakan otorisasi pendelegasian saat alur sedang disimpan, tetapi tidak selama evaluasi pekerjaan latar belakang. Penuh 2 Juni 2022 21 Juli 2022
Mei 2022 Permintaan penegakan pemicu apiConnection Kebijakan DLP tidak diberlakukan dengan benar untuk beberapa pemicu. Pemicu yang terpengaruh memiliki type=Request dan kind=apiConnection. Banyak pemicu yang terpengaruh adalah pemicu instan, yang digunakan dalam alur instan, atau yang dipicu secara manual. Pemicu yang terpengaruh termasuk yang berikut ini.
- Power BI: Power BI tombol diklik
- Tim: Dari kotak komposisi (V2)
- OneDrive untuk Bisnis: Untuk file yang dipilih
- Dataverse:Ketika langkah aliran dijalankan dari aliran proses bisnis
- Dataverse (warisan): Saat rekaman dipilih
- Excel Online (Bisnis): Untuk baris yang dipilih
- SharePoint: Untuk item yang dipilih
- Microsoft Copilot Studio: Saat Copilot Studio memanggil aliran (V2)
Penuh 2 Juni 2022 25 Agustus 2022
Juli 2022 Terapkan kebijakan DLP pada alur anak Aktifkan penegakan kebijakan DLP untuk menyertakan alur anak. Jika pelanggaran ditemukan di mana saja di pohon aliran, aliran induk akan ditangguhkan. Setelah alur anak diedit dan disimpan untuk menghapus pelanggaran, alur induk dapat disimpan ulang atau diaktifkan kembali untuk menjalankan evaluasi kebijakan DLP lagi. Perubahan untuk tidak lagi memblokir alur anak saat konektor HTTP diblokir akan diluncurkan bersamaan dengan penegakan penuh kebijakan DLP pada alur anak. Setelah penegakan penuh tersedia, penegakan tersebut mencakup alur desktop anak. Penuh 14 Februari 2023 Maret 2023
January 2023 Terapkan kebijakan DLP pada alur desktop anak Aktifkan penerapan kebijakan DLP untuk menyertakan alur desktop anak. Jika pelanggaran ditemukan di mana saja di pohon alur, alur induk desktop akan ditangguhkan. Setelah alur desktop anak diedit dan disimpan untuk menghapus pelanggaran, alur desktop induk secara otomatis diaktifkan kembali. Penuh - Agustus 2023
Oktober 2024 Terapkan kontrol tindakan konektor pada pemicu dan tindakan internal Perluas penegakan kontrol tindakan konektor untuk memastikan bahwa pemicu dan tindakan internal tercakup. Cantumkan di Power Platform pusat admin dan terapkan pemblokiran jika dirujuk satu per satu dalam kebijakan DLP atau jika kebijakan DLP tidak memasukkannya sebagai hal yang diizinkan. Belajar 27 January 2025 10 Februari 2025

*Jadwal ketersediaan dapat berubah dan bergantung pada peluncuran.

Penghentian aliran karena pelanggaran DLP

Alur yang ditangguhkan akan ditampilkan sebagai ditangguhkan di Power Automate portal pembuat dan Power Platform pusat admin. Saat aliran dikembalikan melalui API, PowerShell, atau tindakan Power Automate alur daftar konektor Manajemen "sebagai Admin", aliran tersebut memiliki State=Suspended, FlowSuspensionReason=CompanyDlpViolation, dan FlowSuspensionTime nilai yang menunjukkan saat aliran ditangguhkan.

Pembatasan yang diketahui

Pelajari tentang masalah umum DLP.