Креирање смерница за спречавање губитка података (DLP)
Подаци организације су пресудни за њен успех. Његови подаци морају бити лако доступни за доношење одлука, али у исто време, подаци морају бити заштићени тако да се не деле са публиком која им не би требало да има приступ. Да бисте заштитили своје пословне податке, даје вам могућност да креирате и примењујете смернице које дефинишу који конектори могу да им приступе и деле их. Power Automate Смернице које дефинишу како се подаци могу делити називају се смерницама за спречавање губитка података (ДЛП).
Администратори контролишу ДЛП политике. Ако ДЛП смерница блокира покретање ваших токова, контактирајте свог администратора.
Сазнајте више о заштити података помоћу у смерницама за спречавање губитка података (ДЛП) Power Platform . ...
Спречавање губитка података за десктоп токове
Power Automate омогућава вам да креирате и примењујете ДЛП смернице које класификују модуле тока радне површине и појединачне радње модула као Пословни , Непословни или Блокирани . Ова категоризација спречава произвођаче да комбинују модуле и радње из различитих категорија у ток радне површине или између тока у облаку и токова радне површине које користи.
Важно
- Спровођење ДЛП политика за токове радне површине је доступно у свим окружењима.
- ДЛП за десктоп токове је доступан за верзије за десктоп 2.14.173.21294 или новије. Power Automate Ако користите старију верзију, деинсталирајте је и ажурирајте на најновију верзију.
Погледајте акционе групе тока радне површине
Групе радњи тока радне површине се подразумевано не појављују када креирате ДЛП смернице. Морате да укључите поставку Прикажи радње тока радне површине у ДЛП смерницама у подешавањима закупца.
Ако сте се одлучили за јавни преглед, Радње тока радне површине у ДЛП поставци је већ омогућено и не може се променити.
Пријавите се у Power Platform центар администрације.
На левој бочној табли изаберите Подешавања .
На страници Подешавања закупца , изаберите Радње тока радне површине у ДЛП-у .
Укључите Прикажи радње тока радне површине у ДЛП смерницама , а затим изаберите Сачувај .
Сада можете да класификујете радне групе тока радне површине када креирате политику података.
Креирајте ДЛП политику са ограничењима протока радне површине
Када администратори уређују или креирају смернице, групе радњи тока радне површине се додају подразумеваној групи, а смернице се примењују након што се сачувају. Смернице су суспендоване ако је подразумевана група подешена на Блокирано и токови радне површине раде у циљним окружењима.
Својим ДЛП смерницама за десктоп токове можете да управљате на исти начин на који управљате конекторима и радњама протока у облаку. Модули тока радне површине су групе сличних радњи које су приказане у корисничком интерфејсу за десктоп рачунаре. Power Automate Модул је сличан конекторима који се користе у токовима облака. Можете дефинисати ДЛП политику која управља и модулима протока радне површине и конекторима протока у облаку. Неким основним модулима, као што су Вариаблес , не може се управљати у оквиру ДЛП смерница јер скоро сви токови радне површине морају да их користе. Сазнајте више о основама ДЛП смерница и како да их креирате .
Када је ваш закупац укључен у корисничко искуство у , ваши администратори аутоматски виде нове модуле тока радне површине у подразумеваној групи података ДЛП смерница које креирају или ажурирају. Power Platform
Упозорење
Када се модули тока радне површине додају ДЛП смерницама, токови радне површине вашег закупца се процењују у односу на њих и суспендују се ако нису усаглашени. Ако ваш администратор креира или ажурира ДЛП смернице, а да не примети нове модуле, токови радне површине могу бити неочекивано обустављени.
Управљајте радним токовима изван ДЛП-а
Детаљна контрола над коришћењем токова радне површине на свим машинама као што је описано у претходним одељцима примењује се само на Управљана окружења. Имате друге опције за управљање токовима радне површине.
Могућност управљања оркестрацијом тока радне површине : Конектором тока радне површине може се управљати у вашим смерницама као и сваки други конектор у свим окружењима.
Могућност управљања коришћењем за десктоп : Можете управљати токовима за радну површину преко објеката смерница групе (ГПО). Power Automate Power Automate Ово управљање вам омогућава да укључите или искључите токове радне површине за радње као што су ограничавање на скуп окружења или региона, ограничавање употребе типова налога и ограничавање ручних ажурирања.
Сазнајте више о управљању у . Power Automate
Модули протока радне површине у ДЛП-у
Следећи модули протока радне површине су доступни у ДЛП-у:
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.АцтивеДирецтори АцтивеДирецтори
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.АВС АВС
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Азуре Азуре
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ВебАутоматион Аутоматизација претраживача
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Цмд ЦМД сесија
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Цлипбоард Цлипбоард
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Цомпрессион Цомпрессион
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Цриптограпхи Криптографија
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.CyberArk CyberArk
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Датабасе Датабасе
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Емаил Емаил
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Екцел Екцел
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Екцханге Екцханге
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ФТП ФТП
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Филе Филе
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Фолдер Фолдер
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ГооглеЦогнитиве Гоогле цогнитиве
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Веб ХТТП
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ИБМЦогнитиве ИБМ цогнитиве
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Дисплаи Мессаге бокес
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.МицрософтЦогнитиве Мицрософт цогнитиве
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.МоусеАндКеибоард Миш и тастатура
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ОЦР ОЦР
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Оутлоок Оутлоок
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Пдф ПДФ
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ПоверАутоматеСецретВариаблес<а2>Сецрет Вариаблес Power Automate
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Рунфлов Рун ток
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Сцриптинг Сцриптинг
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Систем Систем
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.ТерминалЕмулатион Емулација терминала
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.УИАутоматион УИ аутоматизација
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Сервицес Виндовс услуге
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.Воркстатион Воркстатион
- провидерс/Мицрософт.ПроцессСимпле/оператионГроупс/ДесктопФлов.КСМЛ КСМЛ
ПоверСхелл подршка за десктоп модуле протока
Ако не желите да укључите поставку<а3>Прикажи радње тока радне површине у ДЛП смерницама<а4>, можете да користите следећу ПоверСхелл скрипту да додате све модуле тока радне површине у<а5>Блокирано<а6>групу ДЛП смерница. Ако сте већ укључили поставку, не морате да користите ову скрипту.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Следећа ПоверСхелл скрипта додаје два специфична модула тока радне површине подразумеваној групи података ДЛП политике.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
ПоверСхелл скрипта за искључивање токова радне површине
Ако не желите да користите функцију ДЛП за радну површину, можете да користите следећу ПоверСхелл скрипту да бисте је искључили.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Након што је политика омогућена
Ако ваши корисници немају најновију верзију<а7>за десктоп, примена ДЛП смерница је ограничена. Power Automate Они не виде поруке о грешци у време дизајна када покушавају да покрену, отклоне грешке или сачувају токове радне површине који крше ДЛП смернице. Послови у позадини периодично скенирају токове радне површине у окружењу и аутоматски суспендују све који крше ДЛП смернице. Корисници не могу да покрећу токове радне површине из тока у облаку ако ток радне површине крши било коју смерницу за спречавање губитка података.
Произвођачи који имају најновију верзију<а8>за рачунаре не могу да отклањају грешке, покрећу или чувају токове радне површине који крше ДЛП смернице. Power Automate Такође не могу да изаберу ток радне површине који крши ДЛП смернице из корака тока у облаку.
Спровођење и суспензија ДЛП-а
- Када креирате или измените ток,<а9>процењује га у односу на тренутни скуп ДЛП смерница. Power Automate
- Спровођење токова без подређеног тока, што чини 99% токова, је синхроно и дешава се у реалном времену.
- Спровођење тока са подређеним током је асинхроно, пошто и подређени токови треба да се процене и дешава се у року од 24 сата.
- Када креирате или промените ДЛП полису, посао у позадини скенира све активне токове у окружењу, процењује их, а затим суспендује токове који крше смернице. Примена је асинхрона и дешава се у року од 24 сата. Ако дође до промене политике ДЛП-а када се процењује претходна ДЛП политика, онда се евалуација поново покреће да би се уверило да су најновије смернице примењене.
- Недељно, посао у позадини врши проверу доследности свих активних токова у окружењу у односу на ДЛП смернице како би потврдио да провера ДЛП смерница није пропуштена.
ДЛП реактивација
Ако позадински посао спровођења ДЛП-а пронађе ток радне површине који више не крши ниједну ДЛП политику, онда позадински посао аутоматски уклања суспензију. Међутим, позадински посао спровођења ДЛП-а не поништава аутоматски токове у облаку.
Процес промене примене ДЛП-а
Периодично, примена ДЛП-а треба да се мења јер се уводе нове ДЛП могућности или исправка грешака или се попуњава празнина у примени. Када промене могу да утичу на постојеће токове, примените следећи постепени процес управљања променама примене ДЛП:
Истражујући : Потврдите потребу за изменом примене ДЛП-а и истражите специфичности промене.
Учење : Спровести промену и прикупити податке о ширини ефеката промене. Документујте измене примене ДЛП-а да бисте објаснили обим промене. Ако подаци сугеришу да ће клијенти бити у великој мери погођени, онда се тим клијентима може послати порука да би били обавештени да долази промена. Ако промена има широк утицај на постојеће токове, онда у каснијој фази у фази учења, када позадински посао спровођења ДЛП-а пронађе кршење у постојећем току, Power Automate обавештава власнике тока да ће ток бити обустављен, тако да имају више времена да одговоре.
Само обавести : Укључите обавештења е-поштом само за кршења ДЛП-а како би власници постојећих токова били обавештени о предстојећој промени примене ДЛП-а. Када посао спровођења ДЛП-а у позадини пронађе кршење у постојећем току, обавестите власнике тока да ће ток бити суспендован. Овај механизам ради сваке недеље.
Спровођење времена пројектовања : Укључите примену ДЛП кршења током пројектовања тако да власници постојећих токова буду обавештени о предстојећој промени примене ДЛП-а, али сви токови који се промене добијају пуну процену ДЛП смерница у време дизајнирања. Ово је такође познато као меко спровођење.
Време дизајна : Када се ток ажурира и сачува, користите ажурирану примену ДЛП-а и обуставите ток ако је потребно како би произвођач одмах био свестан примене.
Позадински процес : Када посао спровођења ДЛП-а у позадини пронађе кршење у току, обавестите власнике тока да ће ток бити суспендован. Овај механизам укључује креирање или промене ДЛП политике и провере доследности.
Пуно спровођење : Укључите пуну примену кршења ДЛП-а, тако да се ДЛП смернице у потпуности примењују на све постојеће и нове токове. ДЛП политике се у потпуности примењују када се токови сачувају током процене позадинског посла спровођења ДЛП-а. Ово је такође познато као тешко спровођење.
Листа промена примене ДЛП-а
У следећој табели су наведене промене примене ДЛП-а и датум када су промене ступиле на снагу.
| Date | Опис | Разлог за промену | Фаза | Доступност примене примене у време дизајна* | Потпуна доступност примене* |
|---|---|---|---|---|---|
| мај 2022. | Спровођење посла у позадини делегиране ауторизације | ДЛП смернице се примењују на токове који користе делегирано овлашћење док се ток чува, али не и током процене посла у позадини. | Пуно | 2. јун 2022. | 21. јул 2022. |
| мај 2022. | Захтевајте примену покретача апиЦоннецтион | ДЛП смернице нису правилно примењене за неке окидаче. Погонски покретачи имају<а1>типе=Рекуест<а2>и<а3>кинд=апиЦоннецтион . Многи од погођених окидача су тренутни окидачи, који се користе у тренутним или ручно покренутим токовима. Погођени покретачи укључују следеће. - Power BI:<а6>кликнуто на дугме Power BI - Тимови<а8>: Из оквира за писање (В2) - OneDrive за посао<а10>: За изабрану датотеку - Dataverse: Када се корак тока покреће из тока пословног процеса - Dataverse (наслеђе)<а13>: Када је изабран запис - Екцел на мрежи (пословање)<а15>: За изабрани ред - SharePoint: За изабрану ставку -<а17>: Када<а18>позове ток (В2) Microsoft Copilot Studio Copilot Studio |
Пуно | 2. јун 2022. | 25. август 2022. |
| Јул 2022. | Примените ДЛП политике на токове деце | Омогућите примену ДЛП смерница да бисте укључили подређене токове. Ако се на било ком месту у стаблу тока пронађе прекршај, родитељски ток се суспендује. Након што се подређени ток уреди и сачува да би се уклонило кршење, родитељски токови се могу поново сачувати или поново активирати да би се поново покренула процена ДЛП смерница. Промена да се више не блокирају подређени токови када је ХТТП конектор блокиран, биће уведен заједно са потпуном применом ДЛП смерница на подређеним токовима. Када је потпуна примена доступна, примена укључује токове дечије радне површине. | Пуно | 14. фебруар 2023. | март 2023. |
| јануар 2023. | Примените ДЛП смернице на токовима дечије радне површине | Омогућите примену ДЛП смерница да бисте укључили токове дечије радне површине. Ако се било где у стаблу тока пронађе кршење, родитељски ток радне површине се суспендује. Након што се ток подређене радне површине уреди и сачува ради уклањања кршења, токови надређене радне површине се аутоматски поново активирају. | Пуно | - | август 2023. |
| октобар 2024. | Примените<а19>контролу радње конектора<а20>на окидачима и интерним радњама | Проширите примену<а21>контроле радњи конектора<а22>да бисте осигурали да су окидачи и интерне радње покривене. ... Наведите их у<а23>администраторском центру и примените њихово блокирање ако су појединачно наведени у ДЛП смерницама или ако их ДЛП смернице не укључују као дозвољене. Power Platform | Учење | 27. јануар 2025. | 10. фебруар 2025. |
*Распоред доступности се може променити и зависи од увођења.
Обустава протока због кршења ДЛП-а
Обустављени токови се приказују као суспендовани на<а24>порталу за прављење и<а25>администраторском центру. Power Automate Power Platform Када се ток врати преко АПИ-ја, ПоверСхелл-а или<а26>листе конектора за управљање тече „као админ“ радња<а27>, ток има<а28>Стате=Суспендед<а29>,<а30>ФловСуспенсионРеасон=ЦомпаниДлпВиолатион<а31>, и а<а32>ФловСуспенсионТиме<а33> је суспендован када је флов.удиц био суспендован када је ток.уе3 Power Automate
Позната ограничења
Сазнајте више о познатим проблемима ДЛП-а<а35>.