Veri kaybı önleme (DLP) ilkesi oluşturma
Bir kuruluşun verileri, başarısı için kritik öneme sahiptir. Kuruluşun verilerinin karar alma süreci için kullanıma hazır olması gerekir ama aynı zamanda erişim sahibi olmaması gereken kitlelerle paylaşımın önlenmesi amacıyla bu veriler korunmalıdır. İş verilerinizi korumak için, Power Automate hangi bağlayıcıların erişebileceğini ve paylaşabileceğini tanımlayan ilkeler oluşturmanıza ve uygulamanıza olanak sağlar. Verilerin nasıl paylaşılabileceğini tanımlayan ilkeler, veri kaybı önleme (DLP) ilkeleri olarak adlandırılır.
Yöneticiler DLP ilkelerini denetler. DLP ilkesi akışlarınızın çalışmasını engelliyorsa yöneticinize başvurun.
Verilerinizi Power Platform ile korumak hakkında daha fazla bilgi edinmek için Veri kaybı önleme politikaları bölümüne bakın.
Masaüstü akışları için veri kaybı önleme
Power Automate size masaüstü akış modüllerini ve bireysel modül eylemlerini İş, İş dışı veya Engellendi olarak sınıflandıran DLP ilkeleri oluşturmanıza ve uygulamanıza olanak sağlar. Bu sınıflandırma, oluşturucuların modülleri ve farklı kategorilerdeki eylemleri masaüstü akışında veya bir bulut akışı ile kullandığı masaüstü akışları arasında birleştirmesini engeller.
Önemli
- Masaüstü akışları için DLP ilkesi uygulaması tüm ortamlarda kullanılabilir.
- Masaüstü akışları için DLP, masaüstü için Power Automate 2.14.173.21294 veya daha yeni sürümleri için kullanılabilir. Önceki bir sürümü kullanıyorsanız, bunu kaldırın ve en son sürüme güncelleştirin.
Masaüstü akış eylem gruplarını görüntüleme
Varsayılan olarak, masaüstü akış eylemi grupları bir DLP ilkesi oluştururken görünmez. Kiracı ayarlarınızdan DLP ilkelerinde Masaüstü akış eylemleri göster ayarını etkinleştirmeniz gerekir.
Genel önizlemeyi seçtiyseniz DLP'deki masaüstü akışı eylemleri ayarı zaten etkindir ve değiştirilemez.
Power Platform yönetim merkezinde oturum açın.
Sol yan panelde Ayarlar'ı seçin.
Kiracı ayarları sayfasında DLP'de masaüstü akış eylemleri'ni seçin.
DLP ilkelerinde masaüstü akışı eylemlerini göster'i açın ve Kaydet'i seçin.
Artık bir veri ilkesi oluştururken masaüstü akışı eylem gruplarını sınıflandırabilirsiniz.
Masaüstü akış kısıtlamaları ile DLP ilkesi oluşturma
Yöneticiler bir ilkeyi düzenlerken veya oluştururken, masaüstü akışı eylem grupları varsayılan gruba eklenir ve ilke kaydedildikten sonra uygulanır. Varsayılan grup Engellendi olarak ayarlanırsa ve masaüstü akışları hedef ortamlarda çalışıyorsa ilke askıya alınır.
Masaüstü akışları için DLP ilkelerinizi, bulut akışı bağlayıcılarını ve eylemlerini yönettiğiniz gibi yönetebilirsiniz. Masaüstü akışı modülleri, masaüstü akışları kullanıcı arabirimi için Power Automate'te görüntülenen şekildeki benzer eylem gruplarıdır. Modül, bulut akışlarında kullanılan bağlayıcılara benzer. Hem masaüstü akış modüllerini hem de bulut akış bağlayıcılarını yöneten bir veri kaybı önleme ilkesi tanımlayabilirsiniz. Değişkenler gibi bazı temel modüller DLP ilkesi kapsamında yönetilemezler çünkü neredeyse tüm masaüstü akışlarının bunları kullanması gerekir. DLP ilkelerinin temel bilgileri ve bunların nasıl oluşturulacağı hakkında daha fazla bilgi edinin.
Kiracınız Power Platform'da kullanıcı deneyimine dahil olduğunda yöneticileriniz, yeni masaüstü akış modüllerini kiracının oluşturduğu veya güncelleştirdiği DLP ilkesinin varsayılan veri grubunda otomatik olarak görür.
Uyarı
DLP ilkelerine masaüstü akış modülleri eklendiğinde kiracınızın masaüstü akışları bu DLP ilkelerine göre değerlendirilir ve uyumlu değillerse askıya alınırlar. Yöneticiniz yeni modülleri dikkate almadan DLP ilkesini oluşturur veya güncelleştirirse masaüstü akışları beklenmedik bir şekilde askıya alınabilir.
Masaüstü akışlarını DLP'dışından yönetme
Tüm makinelerde masaüstü akışı kullanımı (yukarıdaki bölümlerde açıklanmaktadır) üzerinde ayrıntılı denetim, yalnızca Yönetilen Ortamlar için geçerlidir. Masaüstü akışlarını yönetmek için başka seçenekler de vardır.
Masaüstü akışı düzenlemesini yönetebilme özelliği: Masaüstü akışı bağlayıcısı ilkelerinizde, tüm ortamlardaki diğer bağlayıcılarla aynı şekilde yönetilebilir.
Masaüstü için Power Automate kullanımını yönetme yeteneği: Grup İlkesi nesneleri (GPO) aracılığıyla masaüstü için Power Automate akışlarını yönetebilirsiniz. Bu yönetim, ortam veya bölge kümesiyle kısıtlamak, hesap türlerinin kullanımını sınırlamak, el ile güncelleştirmeyi kısıtlamak gibi eylemler üzere masaüstü akışları kullanımını açıp kapatmanızı sağlar.
Power Automate'te yönetişim hakkında daha fazla bilgi edinin.
DLP'de masaüstü akış modülleri
DLP'de aşağıdaki masaüstü akış modülleri bulunmaktadır:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Tarayıcı Otomasyonu
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD oturumu
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Pano
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Sıkıştırma
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Şifreleme
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Veritabanı
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-posta
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Dosya
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Klasör
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google bilişsel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM bilişsel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display İleti kutuları
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft bilişsel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Fare ve klavye
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Gizli Dizi Değişkenleri
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Akış çalıştırma
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Komut dosyası
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistem
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal öykünmesi
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI otomasyonu
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Hizmetleri
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation İş İstasyonu
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Masaüstü akış modülleri için PowerShell desteği
DLP ilkelerinde Masaüstü akış eylemleri göster ayarını etkinleştirmek istemiyorsanız, tüm masaüstü akış modüllerini bir DLP ilkesinin Engellenen grubuna eklemek için aşağıdaki PowerShell betiğini kullanabilirsiniz. Ayarı zaten açtıysanız, bu betiği kullanmanıza gerek yoktur.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Aşağıdaki PowerShell betiği, belirli iki masaüstü akış modülünü bir DLP ilkesinin varsayılan veriler grubuna ekler.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Masaüstü akışlarını devre dışı bırakmak için PowerShell betiği
Masaüstü akışları için DLP özelliğini kullanmak istemiyorsanız, aşağıdaki PowerShell betiğini kullanarak geri çevirebilirsiniz.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
İlke etkinleştirildikten sonra
Kullanıcılarınız en son masaüstü için Power Automate'e sahip değilse DLP ilkesi uygulaması sınırlıdır. Kullanıcılar, masaüstü akışları için çalıştırmayı, hata ayıklamayı ve DLP ilkelerini ihlal eden masaüstü akışlarını kaydetmeyi denediklerinde, tasarım zamanı hata iletilerini görmezler. Arka plan işleri ortamdaki masaüstü akışlarını düzenli olarak tarar ve DLP ilkelerini ihlal eden bu masaüstü akışlarını otomatik olarak askıya alır. Masaüstü akışı herhangi bir veri kaybı önleme ilkesini ihlal ederse kullanıcılar bir bulut akışından masaüstü akışları çalıştıramaz.
Masaüstü için en son Power Automate'e sahip olan oluşturucular, DLP politikasını ihlal eden masaüstü akışlarında hata ayıklayamaz, akışları çalıştıramaz veya kaydedemezler. Ayrıca, bulut akışı adımından DLP ilkesini ihlal eden bir masaüstü akışı seçemezler.
DLP yaptırımı ve askıya alma
- Bir akış oluşturduğunuzda veya düzenlediğinizde, Power Automate, akışı geçerli DLP ilkeleri kümesine göre değerlendirir.
- Akışların %99'u olan alt akış olmadan akışların uygulanması eş zamanlıdır ve gerçek zamanlı olarak gerçekleşir.
- Alt akış ile akışın uygulanması eş zamanlı değildir, çünkü alt akışların da değerlendirilmesi gerekir ve 24 saat içinde gerçekleşir.
- Bir DLP ilkesi oluşturduğunuzda veya değiştirdiğinizde, bir arka plan işi ortamdaki tüm etkin akışları tarar, değerlendirir ve ardından ilkeyi ihlal eden akışları askıya alır. Uygulama zaman uyumsuzdur ve 24 saat içinde gerçekleşir. Önceki DLP ilkesi değerlendirilirken DLP ilkesi değişirse, en son ilkelerin uygulanıp uygulanmamasını sağlamak amacıyla değerlendirme tekrar başlar.
- Haftalık olarak, bir arka plan işi, DLP ilkesi denetiminin kaçırılmadığını doğrulamak için DLP ilkelerine göre ortamdaki tüm etkin akışların tutarlılık denetimini yapar.
DLP yeniden etkinleştirme
DLP uygulama arka plan işi artık herhangi bir DLP ilkesini ihlal etmeyen bir masaüstü akışı bulursa, arka plan işi otomatik olarak askıya almayı kaldırır. Ancak, DLP uygulama arka plan işi otomatik olarak bulut akışlarını askıya alma durumunu kaldırmaz.
DLP zorlama değişiklik işlemi
Yeni DLP yetenekleri veya hata düzeltmeleri dağıtıldığından veya bir uygulama açığı doldurulduğundan, DLP uygulamasının düzenli olarak değiştirilmesi gerekmektedir. Değişikliklerin mevcut akışları etkileyebileceği durumlarda, aşağıdaki aşamalı DLP zorlama değişiklik yönetimi işlemi kullanılır:
Araştırma: DLP zorlama değişikliği ihtiyacını onaylayın ve değişikliğin özelliklerini araştırın.
Öğrenme: Değişikliği uygulayın ve değişikliğin etkilerinin genişliği hakkında veri toplayın. Değişikliğin kapsamını açıklamak için DLP uygulama değişikliklerini belgeleyin. Eğer veriler müşterilerin büyük ölçüde etkileneceğini gösteriyorsa, o zaman müşterilere bir değişikliğin yaklaştığını bildirmek için bir iletişim gönderilebilir. Değişikliğin mevcut akışlar üzerinde geniş bir etkisi varsa, öğrenme aşamasında sonraki bir aşamada, arka plan DLP uygulama işi var olan bir akışta bir ihlal bulursa Power Automate, akış sahiplerine akışın askıya alınacağını bildirir böylece yanıt vermek için daha fazla zamanları olur.
Yalnızca bildirim: Mevcut akış sahiplerinin yaklaşan DLP uygulama değişiklikleri hakkında bildirilmesi için yalnızca DLP ihlalleri için e-posta bildirimlerini açın. Arka planda DLP zorlama işi, mevcut bir akışta bir ihlal bulduğunda akışın askıya alınacağını akış sahiplerine bildirin. Bu mekanizma haftalık olarak çalışır.
Tasarım zamanı zorlaması: Mevcut akış sahiplerinin yaklaşan DLP zorlama değişikliği hakkında bilgilendirilmeleri ancak değiştirilen tüm akışların tasarım zamanında tam bir DLP ilkesi değerlendirmesi alması için DLP ihlallerinin tasarım zamanı zorlamasını açın. Ayrıca geçici yaptırım olarak bilinir.
Tasarım zamanı: Akış güncelleştirilip kaydedildiğinde güncelleştirilmiş DLP zorlamayı kullanın ve gerekirse askıya alın, böylece oluşturucu uygulamadan haberdar olur.
Arka plan işlemi: Arka plan DLP uygulama işi bir akışta ihlal bulursa, akışın askıya alınacağını akış sahiplerine bildirin. Bu mekanizma, DLP ilkesi ve tutarlılık denetimlerini oluşturmayı veya yapılan değişiklikleri içerir.
Tam zorlama: DLP ihlallerinin tam zorlamasını açın, böylece DLP ilkeleri tüm mevcut ve yeni akışlarda tam olarak zorlanır. DLP zorlama arka plan işi değerlendirmesi sırasında akışlar kaydedildiğinde DLP ilkeleri tam olarak zorlanır. Ayrıca kalıcı yaptırım olarak bilinir.
DLP zorlama değişiklik listesi
Aşağıdaki tabloda DLP uygulama değişikliklerinin listesi ve bu değişikliklerin geçerli olduğu tarih verilmektedir.
Date | Veri Akışı Açıklaması | Değişiklik nedeni | Aşama | Tasarım zamanı uygulama kullanılabilirliği* | Tam uygulama kullanılabilirliği* |
---|---|---|---|---|---|
Mayıs 2022 | aracı yetkilendirme arka planı iş zorlaması | DLP ilkeleri, arka plan iş değerlendirmesi sırasında değil, akış kaydedilirken temsilcili yetkilendirme kullanan akışlarda uygulanır. | Tam | 2 Haziran 2022 | 21 Temmuz 2022 |
Mayıs 2022 | apiConnection iste tetikleyicisi zorlaması | DLP ilkeleri bazı Tetikleyiciler için düzgün olarak zorlanmadı. Etkilenen tetikleyiciler şunlara sahiptir: type=Request ve kind=apiConnection. Etkilenen tetikleyicilerin çoğu, anlık veya el ile tetiklenen akışlarda kullanılan anlık tetikleyicilerdir. Etkilenen tetikleyiciler aşağıdakileri içerir. - Power BI: Power BI düğmesi tıklandı - Teams: Oluştur kutusundan (V2) - OneDrive İş: Seçili bir dosya için - Dataverse: Bir iş süreci akışından bir akış adımı çalıştırıldığında - Dataverse (eski): Bir kayıt seçildiğinde - Excel Online (İş) : Seçili bir satır için - SharePoint: Seçili bir öğe için - Microsoft Copilot Studio: Copilot Studio bir akış çağırdığında (V2) |
Tam | 2 Haziran 2022 | 25 Ağustos 2022 |
Temmuz 2022 | Alt akışlarda DLP ilkelerini zorla | Alt akışları eklemek için DLP ilkelerinin zorunlu tutulmasını etkinleştirin. Akış ağacının herhangi bir yerinde bir ihlal bulunursa üst akış askıya alınır. İhlalin ortadan kaldırılması için alt akış düzenlenip kaydedildikten sonra DLP ilkesi değerlendirmesini tekrar çalıştırmak için üst akışlar, yeniden kaydedilip tekrar etkinleştirilebilir. HTTP bağlayıcısı engellendiğinde alt akışların artık engellenmeyeceği bir değişiklik, alt akışlarda DLP ilkelerinin tam zorlamasıyla birlikte kullanıma sunulacaktır. Tam zorlama kullanılabilir olduğunda, zorlama alt masaüstü akışlarını da içerir. | Tam | 14 Şubat 2023 | Mart 2023 |
Ocak 2023 | Alt masaüstü akışlarında DLP ilkelerini zorla | Alt masaüstü akışlarını eklemek için DLP ilkelerinin zorunlu tutulmasını etkinleştirin. Akış ağacının herhangi bir yerinde bir ihlal bulunursa masaüstü üst akışı askıya alınır. İhlali kaldırmak için alt masaüstü akışı düzenlenip kaydedildikten sonra üst masaüstü akışları otomatik olarak yeniden etkinleştirilir. | Tam | - | Ağustos 2023 |
Ekim 2024 | Tetikleyicilerde ve dahili eylemlerde bağlayıcı eylemi denetimini zorunlu kılma | Tetikleyicilerin ve dahili eylemlerin kapsandığından emin olmak için bağlayıcı eylemi denetiminin uygulanmasını genişletin. Bunları Power Platform yönetim merkezinde listeleyin ve DLP ilkelerinde tek tek başvuruluyorsa veya DLP ilkesi bunları izin verilen şekilde içermiyorsa engellemeyi zorunlu kılın. | Öğrenme | 27 Ocak 2025 | 10 Şubat 2025 |
*Kullanılabilirlik zamanlaması değiştirilebilir ve dağıtıma bağlıdır.
DLP ihlali için akış askıya alma
Askıya alınan akışlar Power Automate maker portalda ve Power Platform yönetim merkezinde askıya alındı olarak gösterilir. Bir akış API, PowerShell veya "Yönetici eylemi olarak" Power Automate Yönetim bağlayıcı listesi akışları aracılığıyla döndürülürse akış Durum=Askıya alındı, FlowSuspensionReason=CompanyDlpViolation ve akışın ne zaman askıya alındığını belirten FlowSuspensionTime değerine sahip olur.
Bilinen sınırlamalar
DLP bilinen sorunları hakkında bilgi edinin.