Поділитися через

Порушення політики захисту від втрати даних (ЗВД)

  • Стаття

Дані організації мають вирішальне значення для її успішної діяльності. Його дані мають бути легко доступними для прийняття рішень, але в той же час вони мають бути захищені, щоб вони не були передані аудиторії, яка не повинна мати до них доступу. Щоб захистити ваші бізнес-дані, Power Automate ви можете створювати та застосовувати політики, які визначають, які з’єднувачі можуть отримати доступ до них і надавати до них спільний доступ. Політики, які визначають, як можна обмінюватися даними, називаються політиками запобігання втраті даних (DLP).

Адміністратори контролюють DLP-політики. Якщо DLP-політика блокує запуск ланцюжків, зверніться до адміністратора.

Дізнайтеся більше про захист даних у Power Platform політиці захисту від втрати даних (DLP).

Захист від втрати даних для потоків настільних комп’ютерів

Power Automate дає змогу створювати та застосовувати DLP-політики, які класифікують модулі потоку робочого столу та окремі дії модулів як Бізнесові, Небізнесові або Заблоковані. Ця категоризація не дозволяє виробникам об’єднувати модулі та дії з різних категорій у потік настільних комп’ютерів або між хмарним потоком і потоками робочого столу, які він використовує.

Важливо

  • Застосування політики DLP для потоків робочого столу доступне у всіх середовищах.
  • DLP для десктопних потоків доступний для версій для настільних комп’ютерів Power Automate 2.14.173.21294 або пізніших. Якщо ви використовуєте ранішу версію, видаліть її та оновіть до останньої версії.

Перегляд груп дій Потоку на робочому столі

За замовчуванням групи дій «Потік робочого стола» не відображаються під час створення політики DLP. Вам потрібно ввімкнути параметр Показувати дії потоку робочого столу в політиках DLP у налаштуваннях клієнта.

Якщо ви вибрали загальнодоступний попередній перегляд, дії «Потік робочого стола» в настройках DLP вже ввімкнені та не можуть бути змінені.

  1. Увійдіть у центр адміністрування Power Platform.

  2. На лівій бічній панелі виберіть Налаштування.

  3. На сторінці налаштувань клієнта виберіть Дії потоку робочого столу в DLP.

  4. Увімкніть параметр Відображати дії потоку робочого стола в політиках DLP, а потім натисніть кнопку Зберегти.

    Скріншот налаштування DLP для десктопних потоків в адмін центрі Power Platform .

Тепер під час створення політики даних можна класифікувати групи дій потоку на робочому столі.

Створення DLP-політики з обмеженнями потоку на робочому столі

Коли адміністратори редагують або створюють політику, групи дій «Потік робочого стола» додаються до групи за замовчуванням, а політика застосовується після її збереження. Дію політики призупинено, якщо для групи за замовчуванням встановлено значення Заблоковано , а потоки робочого столу виконуються в цільових середовищах.

Ви можете керувати своїми DLP-політиками для потоків настільних комп’ютерів так само, як ви керуєте з’єднувачами та діями хмарного потоку. Модулі потоку робочого столу — це групи подібних дій, які відображаються в інтерфейсі Power Automate користувача для настільних комп’ютерів. Модуль схожий на конектори, які використовуються в хмарних потоках. Ви можете визначити політику DLP, яка керуватиме як модулями потоку настільних комп’ютерів, так і з’єднувачами хмарного потоку. Деякими базовими модулями, такими як змінні, не можна керувати в рамках політики DLP, оскільки майже всі потоки робочого столу повинні їх використовувати. Дізнайтеся більше про основи політик DLP і про те, як їх створювати.

Коли клієнт увімкнув взаємодію з користувачем у файлі Power Platform, адміністратори автоматично бачитимуть нові модулі потоку робочого столу в групі даних за замовчуванням у політиці DLP, яку вони створюють або оновлюють.

Скріншот DLP-політики, що розробляється в адмін-центрі Power Platform .

Попередження

Коли модулі потоку робочого столу додаються до політик DLP, потоки робочого столу вашого клієнта оцінюються за ними та призупиняються, якщо вони не відповідають. Якщо ваш адміністратор створить або оновить політику DLP, не помітивши нових модулів, потоки робочого столу можуть несподівано призупинитися.

Керування потоками настільних комп’ютерів за межами DLP

Детальний контроль за використанням потоків робочого столу на всіх комп’ютерах, як описано в попередніх розділах, застосовується лише до керованих середовищ. У вас є інші можливості керування потоками робочого столу.

  • Можливість керувати оркеструванням потоку робочого столу: з’єднувач потоку робочого столу можна керувати у ваших політиках, як і будь-який інший з’єднувач у всіх середовищах.

  • Можливість керувати використанням для настільних Power Automate комп’ютерів: Ви можете керувати Power Automate потоками стільниць за допомогою об’єктів групової політики (GPO). Це керування дає змогу вмикати або вимикати потоки робочого стола для таких дій, як обмеження певним набором середовищ або регіонів, обмеження використання типів облікових записів і обмеження ручних оновлень.

Дізнайтеся більше про врядування в. Power Automate

Настільні потокові модулі в DLP

У DLP доступні такі модулі потоку для настільних комп’ютерів:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Автоматизація браузера
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Буфер обміну
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Криптографія Криптографія
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Електронна пошта
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File файл
  • providers/Microsoft.ProcessSimple/operationGroups/папка DesktopFlow.Folder
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMКогнітивний IBM когнітивний
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Вікна повідомлень
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Миша та клавіатура
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR OCR
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • постачальники/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Секретні змінні
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Запуск потоку
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Сценарії
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Емуляція терміналу
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • провайдери/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation Workstation
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Підтримка PowerShell для настільних модулів потоку

Якщо ви не хочете вмикати параметри Відображати дії потоку робочого стола в політиках DLP, ви можете використовувати наведений нижче сценарій PowerShell, щоб додати всі модулі потоку робочого столу до групи Заблоковані політики DLP. Якщо ви вже ввімкнули цей параметр, використовувати цей сценарій не потрібно.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose

Наведений нижче сценарій PowerShell додає два конкретні модулі потоку робочого столу до групи даних політики DLP за замовчуванням.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose

Скрипт PowerShell для відмови від потоків робочого столу

Якщо ви не хочете використовувати функцію DLP для потоків робочого столу, ви можете скористатися наступним сценарієм PowerShell, щоб відмовитися.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Після ввімкнення політики

Якщо у ваших користувачів немає останньої версії Power Automate для настільних комп’ютерів, застосування політики DLP обмежене. Вони не бачать повідомлень про помилки під час дизайну, коли намагаються запустити, налагодити або зберегти потоки робочого стола, які порушують політику DLP. Фонові завдання періодично сканують потоки робочого столу в середовищі та автоматично призупиняють усі, які порушують політики DLP. Користувачі не можуть запускати потоки робочого столу з хмарного потоку, якщо потік робочого столу порушує будь-яку політику запобігання втраті даних.

Розробники, які мають останню версію Power Automate для настільних комп’ютерів, не можуть налагоджувати, запускати або зберігати потоки робочого столу, які порушують політику DLP. Вони також не можуть вибрати потік робочого столу, який порушує політику DLP, на етапі хмарного потоку.

Примусове виконання та призупинення дії DLP

  1. Коли ви створюєте або редагуєте ланцюжок,оцінює Power Automate його за поточним набором DLP-політик.
    1. Примусове виконання потоків без дочірнього потоку, який становить 99% потоків, є синхронним і відбувається в режимі реального часу.
    2. Примусове виконання потоку з дочірнім потоком є асинхронним, оскільки дочірні потоки також потрібно оцінювати, і відбувається протягом 24 годин.
  2. Коли ви створюєте або змінюєте політику DLP, фонова задача сканує всі активні потоки в середовищі, оцінює їх, а потім призупиняє потоки, які порушують політику. Примусове виконання є асинхронним і відбувається протягом 24 годин. Якщо під час оцінювання попередньої політики DLP відбувається зміна політики DLP, оцінювання починається заново, щоб переконатися, що останні політики застосовано.
  3. Щотижня фонова робота перевіряє узгодженість усіх активних потоків у середовищі на відповідність політикам DLP, щоб підтвердити, що перевірка політики DLP не була пропущена.

Повторна активація DLP

Якщо фонове завдання примусового виконання DLP знаходить потік робочого столу, який більше не порушує жодної політики DLP, то фонове завдання автоматично видаляє призупинення. Однак фонове завдання примусового виконання DLP не призводить до автоматичного призупинення хмарних потоків.

Процес зміни примусового виконання DLP

Періодично застосування DLP має змінюватися, оскільки впроваджуються нові можливості DLP або виправлення помилок, або заповнена прогалина в застосуванні. Якщо зміни можуть вплинути на існуючі потоки, застосуйте наступний поетапний процес керування змінами DLP-примусу:

  1. Розслідування: Підтвердьте необхідність зміни законодавства DLP та дослідіть особливості цієї зміни.

  2. Навчання: Впроваджуйте зміни та збирайте дані про широту наслідків змін. Задокументуйте зміни у застосуванні DLP, щоб пояснити масштаб змін. Якщо дані свідчать про те, що це сильно вплине на клієнтів, то цим клієнтам може бути надіслано повідомлення, у якому вони повідомлять про наближення змін. Якщо зміна має широкий вплив на існуючі потоки, то на більш пізньому етапі навчання, коли фонова робота з примусового виконання DLP знаходить порушення в існуючому потоці, Power Automate повідомляє власників потоку про те, що потік буде призупинено, щоб у них було більше часу для реагування.

  3. Лише сповіщення: увімкніть сповіщення електронною поштою лише про порушення DLP, щоб власники наявних ланцюжків отримували сповіщення про майбутні зміни в застосуванні DLP. Коли фонове завдання з примусового виконання DLP виявить порушення в існуючому потоці, повідомте власників потоку про те, що потік буде призупинено. Цей механізм працює щотижня.

  4. Примусове застосування під час проектування: увімкніть примусове застосування DLP під час проектування, щоб власники наявних потоків отримували сповіщення про майбутні зміни в застосуванні DLP, але будь-які змінені потоки отримували повну оцінку політики DLP під час проектування. Це також відомо як м’яке правозастосування.

    • Design-time: коли потік оновлюється та зберігається, використовуйте оновлений примус DLP і призупиніть потік, якщо це необхідно, щоб виробник негайно знав про примусове виконання.

    • Фоновий процес: коли фонове завдання з примусового виконання DLP виявляє порушення в потоці, повідомте власників потоку про те, що потік буде призупинено. Цей механізм включає створення або зміну політики DLP та перевірку відповідності.

  5. Повне примусове виконання: увімкніть повне примусове виконання порушень DLP, щоб політики DLP повністю застосовувалися до всіх наявних і нових потоків. Політики DLP повністю застосовуються, коли потоки зберігаються під час фонової оцінки завдань із застосуванням DLP. Це також відоме як жорстке примусове виконання.

Список змін із застосування DLP

У наведеній нижче таблиці перелічено зміни щодо застосування DLP і дату, коли зміни набули чинності.

датою Опис Причина зміни Етап Доступність примусового виконання під час розробки* Повна доступність примусового виконання*
Травень 2022 Застосування фонових завдань делегованої авторизації Політики DLP застосовуються до потоків, які використовують делеговану авторизацію під час збереження потоку, але не під час фонової оцінки завдання. Повний 2 червня 2022 року 21 липня 2022 року
Травень 2022 Запит на примусове застосування тригера apiConnection Політики DLP не застосовувалися належним чином для деяких тригерів. Уражені тригери мають type=Request і kind=apiConnection. Багато тригерів, на які впливає, є миттєвими тригерами, які використовуються в миттєвих або вручну активованих потоках. Уражені тригери включають наступне.
- Power BI: Power BI натиснуто кнопку
- Команди: з вікна створення (V2)
- OneDrive для бізнесу: для вибраного файлу
- Dataverse: коли крок потоку запускається з потоку бізнес-процесу
- Dataverse (застарілий): коли вибрано запис
- Excel Online (бізнес): для вибраного рядка
- SharePoint: для вибраного елемента
- Microsoft Copilot Studio: коли Copilot Studio викликає потік (V2)		 Повний 2 червня 2022 року 25 серпня 2022 р.
Липень 2022 Застосовувати політики DLP до дочірніх потоків Увімкніть застосування політик DLP для включення дочірніх потоків. Якщо будь-де в дереві потоку виявлено порушення, батьківський потік призупиняється. Після того, як дочірній потік буде відредаговано та збережено для усунення порушення, батьківські потоки можна повторно зберегти або повторно активувати, щоб знову запустити оцінку політики DLP. Зміна, що більше не блокуватиме дочірні потоки, коли з’єднувач HTTP заблоковано, буде впроваджена разом із повним застосуванням політик DLP до дочірніх потоків. Щойно повне виконання стане доступним, воно включає дочірні потоки на робочому столі. Повний Лютий 14, 2023 Березень 2023
Січень 2023 Застосовуйте політики DLP до дочірніх потоків робочого столу Увімкніть застосування політик DLP, щоб включити дочірні потоки робочого столу. Якщо будь-де в дереві потоку виявлено порушення, батьківський потік робочого столу призупиняється. Після того, як дочірній потік робочого столу буде відредаговано та збережено для усунення порушення, потоки батьківського робочого столу автоматично повторно активуються. Повний - Серпень 2023
Жовтень 2024 Застосувати керування діями конектора на тригерах і внутрішніх діях Розширте застосування керування діями конектора , щоб гарантувати охоплення тригерів і внутрішніх дій. Перелічіть їх у Power Platform центрі адміністрування та примусово заблокуйте їх, якщо вони окремо згадуються в політиках DLP або якщо політика DLP не включає їх як дозволені. Навчання 27 січня 2025 р. Лютий 10, 2025

*Графік доступності може змінюватися й залежить від розгортання.

Призупинення потоку через порушення DLP

Призупинені потоки відображаються як призупинені на порталі Power Automate maker і в Power Platform центрі адміністрування. Коли потік повертається через API, PowerShell або Power Automate список конекторів керування потоками «як адміністратор», потік has State=Suspended, FlowSuspensionReason=CompanyDlpViolation, і FlowSuspensionTime значення, що вказує, коли потік було призупинено.

Відомі обмеження

Дізнайтеся про відомі проблеми DLP.