Kreiranje smernica za sprečavanje gubitka podataka (DLP)
Podaci organizacije su presudni za njen uspeh. Njegovi podaci moraju biti lako dostupni za donošenje odluka, ali u isto vreme, podaci moraju biti zaštićeni tako da se ne dele sa publikom koja ne bi trebalo da ima pristup njima. Da biste zaštitili svoje poslovne podatke, Power Automate daje vam mogućnost da kreirate i sprovedete politike koje definišu koji konektori mogu da pristupe i dele ga. Politike koje definišu kako se podaci mogu deliti nazivaju se politikama za sprečavanje gubitka podataka (DLP).
Administratori kontrolišu DLP politike. Ako DLP politika blokira vaše tokove od pokretanja, obratite se svom administratoru.
Saznajte više o zaštiti vaših podataka pomoću Power Platform u pravilima za sprečavanje gubitka podataka (DLP).
Sprečavanje gubitka podataka za tokove na radnoj površini
Power Automate omogućava vam da kreirate i sprovedete DLP politike koje klasifikuju module protoka na radnoj površini i pojedinačne akcije modula kao poslovne, neposlovne ili blokirane. Ova kategorizacija sprečava proizvođače da kombinuju module i akcije iz različitih kategorija u protok radne površine ili između toka oblaka i tokova na radnoj površini koje koristi.
Važno
- Sprovođenje DLP politike za tokove na radnoj površini dostupno je u svim okruženjima.
- DLP za desktop tokove je dostupan za verzije Power Automate za desktop 2.14.173.21294 ili novije. Ako koristite raniju verziju, deinstalirajte je i ažurirajte na najnoviju verziju.
Pogledaj grupe akcija toka na radnoj površini
Po defaultu, grupe akcija toka radne površine se ne pojavljuju kada kreirate DLP politiku. Potrebno je da uključite Pokaži akcije protoka radne površine u DLP politikama podešavanje u podešavanjima vašeg klijenta.
Ako ste se odlučili za javni pregled, akcije protoka radne površine u DLP podešavanju su već omogućene i ne mogu se promeniti.
Prijavite se u Power Platform centar administracije.
Na levom bočnom panelu izaberite Podešavanja.
Na stranici Podešavanja stanara izaberite Akcije toka radne površine u DLP-u.
Uključite Prikaži akcije protoka radne površine u DLP politikama, a zatim izaberite Sačuvaj.
Sada možete klasifikovati grupe akcija protoka radne površine kada kreirate politiku podataka.
Kreirajte DLP politiku sa ograničenjima protoka na radnoj površini
Kada administratori uređuju ili kreiraju politiku, grupe akcija protoka radne površine se dodaju u podrazumevanu grupu, a politika se primenjuje nakon što je sačuvana. Politika je suspendovana ako je podrazumevana grupa podešena na Blokirano i tokovi na radnoj površini se pokreću u ciljnim okruženjima.
Možete upravljati svojim DLP politikama za tokove radne površine na isti način na koji upravljate konektorima i akcijama protoka oblaka. Moduli protoka na radnoj površini su grupe sličnih akcija kao što je prikazano u korisničkom interfejsu Power Automate za radnu površinu. Modul je sličan konektorima koji se koriste u tokovima oblaka. Možete definisati DLP politiku koja upravlja i modulima protoka na radnoj površini i konektorima protoka oblaka. Nekim osnovnim modulima, kao što su varijable, ne može se upravljati u okviru DLP politike jer ih skoro svi tokovi na radnoj površini moraju koristiti. Saznajte više o osnovama DLP politika i kako ih kreirati.
Kada se vaš stanar uključi u korisničko iskustvo u Power Platform, vaši administratori automatski vide nove module protoka na radnoj površini u podrazumevanoj grupi podataka DLP politike koju kreiraju ili ažuriraju.
Upozorenje
Kada se moduli protoka radne površine dodaju DLP politikama, tokovi radne površine vašeg stanara se procenjuju u odnosu na njih i oni su suspendovani ako nisu usaglašeni. Ako vaš administrator kreira ili ažurira DLP politiku bez primećivanja novih modula, tokovi na radnoj površini mogu biti neočekivano suspendovani.
Upravljajte tokovima na radnoj površini izvan DLP-a
Granularna kontrola nad korišćenjem tokova na radnoj površini na svim mašinama kao što je opisano u prethodnim odeljcima odnosi se samo na upravljana okruženja. Imate i druge opcije za upravljanje tokovima na radnoj površini.
Sposobnost da upravlja orkestraciju protoka na radnoj površini: Konektor protoka na radnoj površini može se upravljati u vašim politikama kao i bilo koji drugi konektor u svim okruženjima.
Sposobnost da upravlja korišćenjem Power Automate za radnu površinu: Možete upravljati Power Automate za desktop tokove kroz objekte Grupne politike (GPO). Ovo upravljanje vam omogućava da uključite ili isključite tokove radne površine za akcije kao što su ograničavanje na skup okruženja ili regiona, ograničavanje upotrebe tipova naloga i ograničavanje ručnih ažuriranja.
Saznajte više o upravljanju u Power Automate.
Moduli protoka na radnoj površini u DLP-u
Sledeći moduli protoka na radnoj površini dostupni su u DLP-u:
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AVS AVS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.VebAutomation Automatizacija pretraživača
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Cmd CMD sesija
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Ostava
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Kompresija Kompresija
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Kriptografija Kriptografija
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Email E-mail
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Ekchange Ekchange
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitivni
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Displai Kutije za poruke
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitivni
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.MouseAndKeyboard Miš i tastatura
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.OCR OCR
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Outlook Outlook
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Secret Variables
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Pokreni tok
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Sistem
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlov.Services Vindovs Services
- provajderi/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Vorkstation Vorkstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
PoverShell podrška za module protoka na radnoj površini
Ako ne želite da uključite Pokaži akcije protoka radne površine u postavkama DLP politika , možete koristiti sledeću PoverShell skriptu da biste dodali sve module protoka radne površine u grupu Blokirano DLP politike. Ako ste već uključili podešavanje, ne morate da koristite ovu skriptu.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Sledeća PoverShell skripta dodaje dva specifična modula protoka radne površine u podrazumevanu grupu podataka DLP politike.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
PoverShell skripta za isključivanje tokova na radnoj površini
Ako ne želite da koristite DLP za desktop tokove funkciju, možete koristiti sledeću PoverShell skriptu da biste se odjavili.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Nakon što je politika omogućena
Ako vaši korisnici nemaju najnovije Power Automate informacije za radnu površinu, sprovođenje DLP politike je ograničeno. Oni ne vide poruke o greškama u vreme dizajna kada pokušavaju da pokrenu, otklone greške ili sačuvaju tokove na radnoj površini koji krše DLP politike. Pozadinski poslovi periodično skeniraju tokove radne površine u okruženju i automatski suspenduju sve koji krše DLP politike. Korisnici ne mogu da pokreću tokove na radnoj površini iz protoka oblaka ako protok na radnoj površini krši bilo koju politiku sprečavanja gubitka podataka.
Proizvođači koji imaju najnovije Power Automate za desktop ne mogu otklanjati greške, pokrenuti ili sačuvati tokove na radnoj površini koji krše DLP politiku. Oni takođe ne mogu da izaberu tok radne površine koji krši DLP politiku iz koraka protoka oblaka.
Sprovođenje i suspenzija DLP-a
- Kada kreirate ili izmenite tok, Power Automate procenjuje ga u odnosu na trenutni skup DLP politika.
- Izvršenje tokova bez protoka deteta, što je 99% tokova, je sinhrono i odvija se u realnom vremenu.
- Izvršenje toka sa protokom deteta je asinhrono, jer se protok deteta takođe mora proceniti, a javlja se u roku od 24 sata.
- Kada kreirate ili promenite DLP politiku, pozadinski posao skenira sve aktivne tokove u okruženju, procenjuje ih, a zatim suspenduje tokove koji krše politiku. Izvršenje je asinhrono i javlja se u roku od 24 sata. Ako se promena DLP politike dogodi kada se procenjuje prethodna DLP politika, onda se evaluacija ponovo pokreće kako bi se osiguralo da se primenjuju najnovije politike.
- Nedeljno, pozadinski posao vrši proveru konzistentnosti svih aktivnih tokova u okruženju u odnosu na DLP politike kako bi se potvrdilo da provera DLP politike nije propuštena.
DLP reaktiviranje
Ako pozadinski posao sprovođenja DLP-a pronađe tok na radnoj površini koji više ne krši nijednu DLP politiku, onda posao u pozadini automatski uklanja suspenziju. Međutim, DLP izvršenje pozadinski posao ne automatski poništava tokove oblaka.
Proces promene sprovođenja DLP-a
Periodično, sprovođenje DLP-a treba da se promeni jer se uvode nove DLP mogućnosti ili ispravka grešaka ili se popunjava praznina u sprovođenju. Kada promene mogu uticati na postojeće tokove, primenite sledeći proces upravljanja promenama DLP-a:
Istraga: Potvrdite potrebu za promenom sprovođenja DLP-a i istražite specifičnosti promene.
Učenje: Implementirajte promenu i prikupite podatke o širini efekata promene. Dokumentirajte promene sprovođenja DLP-a kako biste objasnili obim promene. Ako podaci ukazuju na to da će kupci biti u velikoj meri pogođeni, onda bi komunikacija mogla biti poslata tim kupcima kako bi ih obavestili da dolazi promena. Ako promena ima širok uticaj na postojeće tokove, onda u kasnijoj fazi u fazi učenja, kada posao sprovođenja DLP-a u pozadini pronađe povredu u postojećem toku, Power Automate obaveštava vlasnike toka da će tok biti suspendovan, tako da imaju više vremena da odgovore.
Samo obaveštavanje: Uključite obaveštenja e-poštom samo za kršenja DLP-a kako bi vlasnici postojećih tokova bili obavešteni o predstojećoj promeni sprovođenja DLP-a. Kada pozadinski posao sprovođenja DLP-a pronađe kršenje u postojećem toku, obavestite vlasnike toka da će tok biti suspendovan. Ovaj mehanizam radi nedeljno.
Sprovođenje vremena dizajna: Uključite sprovođenje DLP kršenja u vreme dizajna, tako da vlasnici postojećih tokova budu obavešteni o predstojećoj promeni sprovođenja DLP-a, ali svi tokovi koji se menjaju dobijaju potpunu procenu DLP politike u vreme dizajna. Ovo je takođe poznato kao meko sprovođenje.
Vreme dizajna: Kada se tok ažurira i sačuva, koristite ažuriranu DLP sprovođenje i obustavite tok ako je potrebno, tako da proizvođač je odmah upoznat sa sprovođenjem.
Pozadinski proces: Kada posao sprovođenja DLP-a u pozadini pronađe kršenje u toku, obavestite vlasnike toka da će tok biti suspendovan. Ovaj mehanizam uključuje kreiranje ili promene DLP politike i provere konzistentnosti.
Potpuno sprovođenje: Uključite potpuno sprovođenje DLP kršenja, tako da se DLP politike u potpunosti primenjuju na svim postojećim i novim tokovima. DLP politike se u potpunosti sprovode kada se tokovi čuvaju tokom DLP izvršenja pozadinske evaluacije posla. Ovo je takođe poznato kao teško sprovođenje.
Lista izmena sprovođenja DLP-a
U sledećoj tabeli navedene su promene sprovođenja DLP-a i datum kada su promene stupile na snagu.
| Date | Opis | Razlog za promenu | Faza | Dostupnost sprovođenja u vreme dizajna* | Puna dostupnost izvršenja* |
|---|---|---|---|---|---|
| maj 2022. | Delegirano ovlašćenje pozadina sprovođenje posla | DLP politike se primenjuju na tokovima koji koriste delegirano ovlašćenje dok se tok čuva, ali ne i tokom procene posla u pozadini. | Pun | 2. jun 2022. | 21. jul 2022. |
| maj 2022. | Zahtev za izvršenje okidača apiConnection | DLP politike nisu pravilno sprovedene za neke okidače. Pogođeni okidači imaju tipe=Zahtev i kind=apiConnection. Mnogi od pogođenih okidača su trenutni okidači, koji se koriste u trenutnim ili ručno aktiviranim tokovima. Pogođeni okidači uključuju sledeće. - Power BI Power BI :dugme kliknuo - Timovi: Iz kutije za sastavljanje (VKSNUMKS) - OneDrive for Business: Za izabranu datoteku - Dataverse: Kada se korak toka pokreće iz toka poslovnog procesa - Dataverse (nasleđe): Kada je izabran zapis - Ekcel Online (Business): Za izabrani red - SharePoint: Za izabranu stavku - Microsoft Copilot Studio: Kada Copilot Studio poziva protok (V2) |
Pun | 2. jun 2022. | 25. avgust 2022. |
| Jul 2022. | Sprovođenje DLP politika na dečjim tokovima | Omogućite sprovođenje DLP politika kako biste uključili dečije tokove. Ako se pronađe kršenje bilo gde u stablu protoka, roditeljski tok je suspendovan. Nakon što se dečji tok uređuje i čuva da bi se uklonila povreda, roditeljski tokovi se mogu ponovo sačuvati ili ponovo aktivirati da bi ponovo pokrenuli procenu DLP politike. Promena da više ne blokira dečije tokove kada je HTTP konektor blokiran će se pojaviti zajedno sa potpunim sprovođenjem DLP politika na dečjim tokovima. Kada je dostupna potpuna primena, izvršenje uključuje dečije tokove na radnoj površini. | Pun | 14. februar 2023. | mart 2023. |
| januar 2023. | Sprovođenje DLP politike na dečjim tokovima radne površine | Omogućite sprovođenje DLP politika za uključivanje dečjih tokova na radnoj površini. Ako se povreda nađe bilo gde u stablu protoka, matični tok radne površine je suspendovan. Nakon što se dečji tok na radnoj površini uređuje i čuva da bi se uklonila povreda, tokovi roditeljske radne površine se automatski ponovo aktiviraju. | Pun | - | avgust 2023. |
| oktobar 2024. | Sprovede kontrolu akcije konektora na okidačima i internim akcijama | Proširiti sprovođenje kontrole akcije konektora kako bi se osiguralo da su pokriveni okidači i interne akcije. Navedite ih u Power Platform admin centru i sprovedite njihovo blokiranje ako se pojedinačno upućuje na DLP politike ili ako ih DLP politika ne uključuje kao dozvoljeno. | Učenje | 27. januar 2025. | 10. februar 2025. |
* Raspored dostupnosti može se promeniti i zavisi od uvođenja.
Suspenzija protoka zbog kršenja DLP-a
Suspendovani tokovi prikazuju se kao suspendovani na portalu Power Automate proizvođača i admin centru Power Platform . Kada se tok vrati preko API-ja, PoverShell-a ili liste konektora za Power Automate upravljanje tokovima "kao Admin", tok ima State = Suspended, FlovSuspensionReason = CompaniDlpViolation i vrednost FlovSuspensionTime koja ukazuje na to kada je tok suspendovan.
Poznata ograničenja
Saznajte više o DLP poznatim problemima.