Duomenų praradimo prevencijos (DLP) strategijos kūrimas
Organizacijos duomenys yra kritiškai svarbūs jos sėkmei. Jo duomenys turi būti lengvai prieinami, kad būtų galima priimti sprendimus, tačiau tuo pat metu duomenys turi būti apsaugoti, kad jais nebūtų dalijamasi su auditorijomis, kurios neturėtų turėti prieigos prie jų. Siekiant apsaugoti verslo duomenis, Power Automate suteikia galimybę kurti ir vykdyti politiką, apibrėžiančią, kurios jungtys gali juos pasiekti ir bendrinti. Politika, apibrėžianti, kaip galima dalytis duomenimis, vadinama duomenų praradimo prevencijos (DLP) politika.
Administratoriai kontroliuoja DLP politiką. Jei DLP politika blokuoja srautus, susisiekite su administratoriumi.
Sužinokite daugiau apie duomenų apsaugą taikant Power Platform skiltyje Duomenų praradimo prevencijos (DLP) politiką.
Duomenų praradimo prevencija darbalaukio srautams
Power Automate leidžia kurti ir vykdyti DLP politiką, pagal kurią darbalaukio srauto moduliai ir atskiri modulio veiksmai klasifikuojami kaip Verslo, Ne verslo arba Užblokuoti. Šis skirstymas į kategorijas neleidžia kūrėjams sujungti modulių ir veiksmų iš skirtingų kategorijų į darbalaukio srautą arba tarp debesies srauto ir jo naudojamų darbalaukio srautų.
Svarbu
- DLP politikos vykdymas darbalaukio srautams galimas visose aplinkose.
- Darbalaukio srautams skirtas DLP galimas Power Automate staliniams kompiuteriams 2.14.173.21294 arba naujesnėms versijoms. Jei naudojate senesnę versiją, pašalinkite ją ir atnaujinkite į naujausią versiją.
Peržiūrėkite darbalaukio srauto veiksmų grupes
Pagal numatytuosius nustatymus darbalaukio srauto veiksmų grupės nerodomos, kai kuriate DLP politiką. Nuomininko nustatymuose turite įjungti nustatymą Rodyti darbalaukio srauto veiksmus DLP politikoje .
Jei pasirinkote viešą peržiūrą, DLP Darbalaukio srauto veiksmai nustatymas jau įgalintas ir jo pakeisti negalima.
Prisijunkite prie „Power Platform“ administravimo centro.
Kairiajame šoniniame skydelyje pasirinkite Nustatymai.
Puslapyje Nuomotojo nustatymai pasirinkite Darbalaukio srauto veiksmai DLP.
Įjunkite Rodyti darbalaukio srauto veiksmus DLP strategijose, tada pasirinkite Išsaugoti.
Dabar kurdami duomenų politiką galite klasifikuoti darbalaukio srauto veiksmų grupes.
Sukurkite DLP politiką su darbalaukio srauto apribojimais
Kai administratoriai redaguoja arba kuria politiką, darbalaukio srauto veiksmų grupės pridedamos prie numatytosios grupės, o politika taikoma ją išsaugojus. Politika laikinai sustabdoma, jei numatytoji grupė nustatyta į Užblokuota , o darbalaukio srautai vykdomi tikslinėse aplinkose.
Galite tvarkyti darbalaukio srautų DLP politiką taip pat, kaip tvarkote debesų srauto jungtis ir veiksmus. Darbalaukio srauto moduliai yra panašių veiksmų grupės, rodomos darbalaukio vartotojo sąsajoje Power Automate . Modulis yra panašus į jungtis, kurios naudojamos debesų srautuose. Galite apibrėžti DLP politiką, kuri valdo ir darbalaukio srauto modulius, ir debesų srauto jungtis. Kai kurie pagrindiniai moduliai, pvz., Kintamieji, negali būti valdomi pagal DLP politiką, nes juos reikia naudoti beveik visuose darbalaukio srautuose. Sužinokite daugiau apie DLP politikos pagrindus ir kaip jas sukurti.
Kai jūsų nuomininkas pasirenka naudotojo patirtį Power Platform, jūsų administratoriai automatiškai matys naujus darbalaukio srauto modulius sukurtos arba atnaujinamos DLP politikos numatytojoje duomenų grupėje.
Įspėjimas
Kai prie DLP strategijų pridedami darbalaukio srauto moduliai, jūsų nuomininko darbalaukio srautai įvertinami pagal juos ir sustabdomi, jei jie neatitinka. Jei administratorius sukuria arba atnaujina DLP politiką nepastebėdamas naujų modulių, darbalaukio srautai gali būti netikėtai sustabdyti.
Valdomi darbalaukio srautai už DLP ribų
Granuliuotas darbalaukio srautų naudojimo visuose įrenginiuose valdymas, kaip aprašyta ankstesniuose skyriuose, taikomas tik valdomoms aplinkoms. Yra ir kitų darbalaukio srautų valdymo parinkčių.
Galimybė valdyti darbalaukio srauto orkestravimą: darbalaukio srauto jungtis gali būti valdoma jūsų politikoje kaip ir bet kuri kita jungtis visose aplinkose.
Galimybė valdyti Power Automate staliniams kompiuteriams: galite valdyti Power Automate darbalaukio srautus per grupės strategijos objektus (GPO). Šis valdymas leidžia įjungti arba išjungti darbalaukio srautus atliekant veiksmus, pvz., apriboti aplinkų ar regionų rinkinį, apriboti paskyros tipų naudojimą ir apriboti rankinį naujinimą.
Sužinokite daugiau apie valdymą Power Automate.
Darbalaukio srauto moduliai DLP
DLP galimi šie darbalaukio srauto moduliai:
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Naršyklės automatizavimas
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD sesija
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Mainų sritis
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kriptografija
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email El.
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File failas
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder aplankas
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google pažinimo
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM pažinimo
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display pranešimų laukeliai
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognityviniai
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Pelė ir klaviatūra
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Slapti kintamieji
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Vykdyti srautą
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalo emuliacija
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automatizavimas
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows paslaugos
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- teikėjai/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
„PowerShell“ palaikymas darbalaukio srauto moduliams
Jei nenorite įjungti Rodyti darbalaukio srauto veiksmus DLP strategijose , galite naudoti toliau pateiktą PowerShell scenarijų, kad įtrauktumėte visus darbalaukio srauto modulius į DLP politikos grupę Užblokuoti . Jei jau įjungėte nustatymą, jums nereikia naudoti šio scenarijaus.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Šis PowerShell scenarijus prideda du konkrečius darbalaukio srauto modulius prie numatytosios DLP strategijos duomenų grupės.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
„PowerShell“ scenarijus, skirtas atsisakyti darbalaukio srautų
Jei nenorite naudoti DLP darbalaukio srautams, galite naudoti šį PowerShell scenarijų, kad atsisakytumėte.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Įjungus politiką
Jei naudotojai neturi naujausios versijos Power Automate staliniams kompiuteriams, DLP politikos vykdymas yra ribotas. Jie nemato projektavimo laiko klaidų pranešimų, kai bando paleisti, derinti arba išsaugoti darbalaukio srautus, kurie pažeidžia DLP politiką. Foninės užduotys periodiškai nuskaito darbalaukio srautus aplinkoje ir automatiškai sustabdo visas, kurios pažeidžia DLP politiką. Vartotojai negali paleisti darbalaukio srautų iš debesies srauto, jei darbalaukio srautas pažeidžia bet kokią duomenų praradimo prevencijos politiką.
Kūrėjai, turintys naujausią Power Automate staliniams kompiuteriams, negali derinti, paleisti arba išsaugoti darbalaukio srautų, kurie pažeidžia DLP politiką. Jie taip pat negali pasirinkti darbalaukio srauto, kuris pažeidžia DLP politiką iš debesies srauto veiksmo.
DLP vykdymas ir sustabdymas
- Kai kuriate arba redaguojate srautą, Power Automate įvertina jį pagal dabartinį DLP strategijų rinkinį.
- Srauto vykdymas be antrinio srauto, kuris sudaro 99% srautų, yra sinchroniškas ir vyksta realiuoju laiku.
- Srauto vykdymas su antriniu srautu yra asinchroninis, nes reikia įvertinti ir vaikų srautus, ir tai įvyksta per 24 valandas.
- Kai kuriate arba keičiate DLP politiką, foninė užduotis nuskaito visus aktyvius srautus aplinkoje, įvertina juos ir sustabdo srautus, kurie pažeidžia politiką. Vykdymas yra asinchroninis ir įvyksta per 24 valandas. Jei DLP strategijos pakeitimas įvyksta, kai vertinama ankstesnė DLP strategija, įvertinimas paleidžiamas iš naujo, kad būtų užtikrinta, jog naujausios strategijos yra taikomos.
- Kas savaitę foninė užduotis atlieka visų aktyvių aplinkos srautų nuoseklumo patikrą pagal DLP politiką, kad įsitikintų, jog nebuvo praleista DLP strategijos patikra.
DLP pakartotinis aktyvinimas
Jei DLP vykdymo foninė užduotis aptinka darbalaukio srautą, kuris nebepažeidžia jokios DLP politikos, tada foninė užduotis automatiškai pašalina sustabdymą. Tačiau DLP vykdymo fono užduotis automatiškai neatšaukia debesies srautų sustabdymo.
DLP vykdymo pakeitimo procesas
Periodiškai DLP vykdymas turi keistis, nes išleidžiamos naujos DLP galimybės arba ištaisoma klaida arba užpildoma vykdymo spraga. Kai pakeitimai gali turėti įtakos esamiems srautams, taikykite šį etapinį DLP vykdymo pakeitimų valdymo procesą:
Tiriant : patvirtinkite DLP vykdymo pakeitimo poreikį ir ištirkite pakeitimo specifiką.
Mokymasis : įgyvendinkite pakeitimą ir surinkite duomenis apie pakeitimo padarinių mastą. Dokumentuokite DLP vykdymo pakeitimus, kad paaiškintumėte pakeitimo apimtį. Jei duomenys rodo, kad klientai bus labai paveikti, tiems klientams gali būti išsiųstas pranešimas, kad jie žinotų, kad artėja pasikeitimai. Jei pakeitimas turi didelį poveikį esamiems srautams, vėlesniame mokymosi etape, kai foninis DLP vykdymo darbas aptinka esamo srauto pažeidimą, Power Automate praneša srauto savininkams, kad srautas bus sustabdytas, kad jie turėtų daugiau laiko atsakyti.
Tik pranešti : įjunkite pranešimus el. paštu tik apie DLP pažeidimus, kad esamų srautų savininkai gautų pranešimus apie būsimą DLP vykdymo pakeitimą. Kai foninė DLP vykdymo užduotis aptinka esamo srauto pažeidimą, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas veikia kas savaitę.
Projektavimo laiko įgyvendinimas : įjunkite DLP pažeidimų vykdymą projektavimo metu, kad esamų srautų savininkai gautų pranešimą apie būsimą DLP vykdymo pakeitimą, bet visi pakeisti srautai projektavimo metu gautų išsamų DLP politikos įvertinimą. Tai taip pat žinoma kaip švelnus vykdymas.
Projektavimo laikas : kai srautas atnaujinamas ir išsaugomas, naudokite atnaujintą DLP vykdymą ir prireikus sustabdykite srautą, kad kūrėjas iš karto sužinotų apie vykdymą.
Fono procesas : kai foninė DLP vykdymo užduotis aptinka srauto pažeidimą, praneškite srauto savininkams, kad srautas bus sustabdytas. Šis mechanizmas apima DLP politikos kūrimą arba pakeitimus ir nuoseklumo patikras.
Visiškas vykdymas : įjunkite visišką DLP pažeidimų vykdymą, kad DLP politika būtų visiškai taikoma visuose esamuose ir naujuose srautuose. DLP strategijos visiškai įgyvendinamos, kai srautai išsaugomi atliekant DLP vykdymo fono darbų įvertinimą. Tai taip pat žinoma kaip sunkus vykdymas.
DLP vykdymo pakeitimų sąrašas
Šioje lentelėje pateikiami DLP vykdymo pakeitimai ir pakeitimų įsigaliojimo data.
| Date | Aprašą | Pakeitimo priežastis | Etapas | Galimybė įgyvendinti projektavimo laiką* | Visiškas vykdymo prieinamumas* |
|---|---|---|---|---|---|
| 2022 m. gegužės mėn. | Perduotų įgaliojimų fono darbo vykdymas | DLP politika taikoma srautams, kurie naudoja deleguotąjį įgaliojimą, kol srautas išsaugomas, bet ne atliekant foninio darbo įvertinimą. | Visas | 2022 m. birželio 2 d. | 2022 m. liepos 21 d. |
| 2022 m. gegužės mėn. | Pateikite apiConnection aktyviklio vykdymo užklausą | Kai kurių aktyviklių DLP politika nebuvo tinkamai įgyvendinta. Paveikti aktyvikliai turi type=Request ir kind=apiConnection. Daugelis paveiktų aktyviklių yra momentiniai aktyvikliai, kurie naudojami momentiniuose arba rankiniu būdu suaktyvintuose srautuose. Paveikti trigeriai yra šie. - Power BI: Power BI mygtukas spustelėtas - Komandos: iš kūrimo laukelio (V2) - OneDrive verslui: pasirinktam failui - Dataverse: kai srauto veiksmas vykdomas iš verslo proceso srauto - Dataverse (legacy): kai pasirenkamas įrašas - „Excel Online“ (verslas): pasirinktai eilutei - SharePoint: pasirinktam elementui - Microsoft Copilot Studio: kai Copilot Studio iškviečia srautą (V2) |
Visas | 2022 m. birželio 2 d. | 2022 m. rugpjūčio 25 d. |
| 2022 m. liepos mėn. | Įgyvendinti DLP politiką antriniams srautams | Įgalinkite DLP politikos vykdymą, kad būtų įtraukti antriniai srautai. Jei bet kurioje srauto medžio vietoje randamas pažeidimas, pirminis srautas sustabdomas. Kai antrinis srautas redaguojamas ir išsaugomas, kad būtų pašalintas pažeidimas, pirminius srautus galima įrašyti iš naujo arba suaktyvinti iš naujo, kad vėl būtų vykdomas DLP politikos vertinimas. Pakeitimas nebeblokuoti antrinių srautų, kai HTTP jungtis bus užblokuota, bus pradėtas taikyti kartu su visišku antrinių srautų DLP politikos įgyvendinimu. Kai pasiekiamas visas vykdymas, vykdymas apima antrinius darbalaukio srautus. | Visas | 2023 m. vasario 14 d. | 2023 m. kovas |
| 2023 m. sausis | Įgyvendinti DLP politiką antriniuose darbalaukio srautuose | Įgalinkite DLP politikos vykdymą, kad būtų įtraukti antriniai darbalaukio srautai. Jei bet kurioje srauto medžio vietoje randamas pažeidimas, darbalaukio pirminis srautas sustabdomas. Kai antrinis darbalaukio srautas redaguojamas ir išsaugomas, kad būtų pašalintas pažeidimas, pirminiai darbalaukio srautai suaktyvinami automatiškai. | Visas | - | 2023 m. rugpjūčio mėn. |
| 2024 m. spalio mėn. | Vykdyti jungties veiksmų valdymą paleidimams ir vidiniams veiksmams | Išplėskite jungties veiksmų kontrolės vykdymą , kad užtikrintumėte, jog paleidikliai ir vidiniai veiksmai būtų įtraukti. Išvardykite juos Power Platform administravimo centre ir priverskite juos užblokuoti, jei atskirai nurodyta DLP politikoje arba jei į DLP politiką jų neįtraukta, kaip leidžiama. | Mokymasis | 2025 m. sausio 27 d. | 2025 m. vasario 10 d. |
*Pasiekiamumo grafikas gali keistis ir priklauso nuo išleidimo.
Srauto sustabdymas dėl DLP pažeidimo
Sustabdyti srautai rodomi kaip sustabdyti Power Automate maker portale ir Power Platform administravimo centre. Kai srautas grąžinamas per API, „PowerShell“ arba Power Automate Valdymo jungčių sąrašo srautą „kaip administratorius“, srautas yra State=Sustabdytas, FlowSuspensionReason=CompanyDlpPažeidimas ir a FlowSuspensionTime , kai srautas buvo sustabdytas3>.
Žinomi apribojimai
Sužinokite apie DLP žinomas problemas.