Erstellung einer Richtlinie zur Verhinderung von Datenverlust (DLP)
Die Daten einer Organisation sind für ihren Erfolg entscheidend. Ihre Daten müssen für die Entscheidung schnell verfügbar sein, gleichzeitig aber geschützt werden, damit sie nicht für Zielgruppen freigegeben werden, die keinen Zugriff darauf haben sollen. Zum Schützen Ihrer Geschäftsdaten können Sie mit Power Automate Richtlinien erstellen und erzwingen, die festlegen, welche Connectors Zugriff darauf haben und sie teilen können. Die Richtlinien, durch die festgelegt wird, auf welche Weise Daten gemeinsam genutzt werden können, werden als DLP-Richtlinien (Data Loss Prevention) bezeichnet.
Administratoren steuern DLP-Richtlinien. Wenn eine DLP-Richtlinie das Ausführen Ihrer Flows blockiert, wenden Sie sich an Ihren Administrator.
Schutz vor Datenverlust für Desktop-Flows
Power Automate erlaubt Ihnen, DLP-Richtlinien zu erstellen und durchzusetzen, die Desktop-Flow-Module und einzelne Modulaktionen als geschäftlich, nicht geschäftlich oder blockiert klassifizieren. Diese Kategorisierung verhindert, dass Erstellende Module und Aktionen aus verschiedenen Kategorien in einem Desktop-Flow oder zwischen einem Cloud-Flow und den verwendeten Desktop-Flows kombinieren können.
Wichtig
- Die Erzwingung von DLP-Richtlinien ist nur für verwaltete Umgebungen verfügbar. Ab Januar 2025 werden nur Desktop-Flows, die sich in verwalteten Umgebungen befinden, durch DLP-Richtlinien bewertet.
- DLP für Desktop-Flows ist für Versionen von Power Automate für Desktop 2.14.173.21294 oder höher verfügbar. Wenn Sie eine frühere Version verwenden, deinstallieren und aktualisieren Sie auf die neueste Version.
Desktop-Flow-Aktionsgruppen anzeigen
Standardmäßig werden Aktionsgruppen für Desktop-Flows beim Erstellen einer DLP-Richtlinie nicht angezeigt. Sie müssen die Einstellung Desktop-Flow-Aktionen in DLP-Richtlinien anzeigen in Ihren Mandanteneinstellungen aktivieren.
Wenn Sie sich für die öffentliche Vorschauversion entschieden haben, ist die Einstellung Desktop-Flow-Aktionen bei DLP bereits aktiviert und kann nicht geändert werden.
Melden Sie sich beim Power Platform Admin Center an.
Klicken Sie im linken Seitenbereich auf Auswählen Einstellungen.
Wählen Sie auf der Seite Mandanteneinstellungen Desktop-Flow-Aktionen in DLP.
Aktivieren Sie Desktop-Flow-Aktionen in DLP-Richtlinien anzeigen und wählen Sie dann Speichern aus.
Sie können jetzt Desktop-Flow-Aktionsgruppen klassifizieren, wenn Sie eine Datenrichtlinie erstellen.
Eine DLP-Richtlinie mit Desktop-Flow-Einschränkungen erstellen
Wenn Administrierende eine Richtlinie bearbeiten oder erstellen, werden der Standardgruppe neue Desktop-Flow-Aktionsgruppen hinzugefügt und die Richtlinie angewendet, nachdem sie gespeichert wurde. Die Richtlinie wird ausgesetzt, wenn die Standardgruppe auf Blockiert festgelegt ist und die Desktop-Flows in den Zielumgebungen ausgeführt werden.
Sie können Ihre DLP-Richtlinien für Desktop-Flows genauso verwalten wie Cloud-Flow-Connectors und -Aktionen. Desktop-Flow-Module sind Gruppen ähnlicher Aktionen, wie sie in der Benutzeroberfläche von Power Automate für Desktop angezeigt werden. Ein Modul ähnelt Konnektoren, die in Cloudflows verwendet werden. Sie können eine DLP-Richtlinie festlegen, die sowohl Desktop-Flow-Module als auch Cloud-Flow-Connectors verwaltet. Einige Basismodule, wie z. B. Variablen, können nicht im Rahmen der DLP-Richtlinie verwaltet werden, da sie von fast allen Desktop-Flows verwendet werden müssen. Erfahren Sie mehr über die Grundlagen von DLP-Richtlinien und wie Sie sie erstellen.
Wenn Ihr Mandant sich für die Benutzererfahrung in der Power Platform angemeldet hat, sehen Ihre Administratoren automatisch die neuen Desktop-Flow-Module in der Standarddatengruppe der DLP-Richtlinie, die sie erstellen oder aktualisieren.
Warnung
Wenn Desktop-Flow-Module zu DLP-Richtlinien hinzugefügt werden, werden die Desktop-Flows Ihres Mandanten im Vergleich zu ihnen bewertet werden. Sie werden ausgesetzt, wenn sie nicht konform sind. Wenn Administrierende die DLP-Richtlinie erstellen oder aktualisieren, ohne die neuen Module zu beachten, können Desktop-Flows daher unerwartet ausgesetzt werden.
Desktop-Flows außerhalb von DLP steuern
Die detaillierte Kontrolle über die Verwendung von Desktop-Flows auf allen Computern wie in den obigen Abschnitten beschrieben gilt nur für verwaltete Umgebungen. Sie haben weitere Optionen zum Steuern von Desktop-Flows:
Möglichkeit zur Steuerung der Desktop-Flow-Orchestrierung: Der Desktop-Flow-Connector kann weiterhin wie jeder andere Connector in allen Umgebungen in Ihren Richtlinien verwaltet werden.
Möglichkeit, die Nutzung von Power Automate für Desktop zu steuern: Sie können Power Automate für Desktop-Flows über GPO steuern. Mit dieser Governance können Sie Desktop-Flows für Aktionen wie die Beschränkung auf eine Reihe von Umgebungen oder Regionen, die Einschränkung der Verwendung von Kontotypen oder die Einschränkung manueller Aktualisierungen aktivieren oder deaktivieren.
Erfahren Sie mehr über Governance in Power Automate.
Desktop-Flow-Module in DLP
Die folgenden Desktop-Flow-Module sind in der DLP verfügbar:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browserautomatisierung
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD-Sitzung
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Komprimierung
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptographie
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Datenbank
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-Mail
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Datei
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Ordner
- provider/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google Cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitive Operationen
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Nachrichtenfelder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft Cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Maus und Tastatur
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Flow ausführen
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skripterstellung
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- provider/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatisierung der Benutzeroberfläche
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Arbeitsstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
PowerShell-Unterstützung für Desktop-Flow-Module
Wenn Sie die Funktion nicht in der Einstellung Desktop-Flow-Aktionen in DLP-Richtlinien anzeigen aktivieren möchten, können Sie dennoch das folgende PowerShell-Skript verwenden, um alle Desktop-Flow-Module zur Gruppe Blockiert einer DLP-Richtlinie hinzuzufügen. Wenn Sie die Einstellung bereits aktiviert haben, müssen Sie dieses Skript nicht verwenden.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Das folgende PowerShell-Skript fügt zwei spezielle Desktop-Flow-Module zur Standard-Datengruppe einer DLP-Richtlinie hinzu.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
PowerShell-Skript zum Deaktivieren von Desktop-Flows
Wenn Sie das DLP-Feature für Desktop-Flows nicht verwenden möchten, können Sie sich mithilfe des folgenden PowerShell-Skripts abmelden.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Nachdem die Richtlinie aktiviert wurde
Wenn Ihre Benutzenden nicht über die neueste Version von Power Automate für Desktops verfügen, ist die Erzwingung der DLP-Richtlinie eingeschränkt. Sie sehen keine Fehlermeldungen zur Entwurfszeit, wenn sie versuchen, Desktop-Flows auszuführen, zu debuggen oder zu speichern, die gegen die DLP-Richtlinien verstoßen. Hintergrundaufträge scannen die Desktop-Flows in der Umgebung regelmäßig und halten automatisch alle an, die gegen die DLP-Richtlinien verstoßen. Benutzende können Desktop-Flows nicht über einen Cloud-Flow ausführen, wenn der Desktop-Flow gegen eine Richtlinie zum Schutz vor Datenverlust verstößt.
Erstellende, die über die neueste Version von Power Automate für Desktop verfügen, können Desktop-Flows nicht debuggen, ausführen oder speichern, die gegen die DLP-Richtlinie verstoßen. Sie können auch keinen Desktop-Flow aus einem Cloud-Flow-Schritt auswählen, der gegen eine DLP-Richtlinie verstößt.
DLP Durchsetzung und Aussetzung
- Wenn Sie einen Ablauf erstellen oder bearbeiten, wertet Power Automate dies anhand der aktuellen DLP-Richtlinien aus.
- Die Erzwingung von Flows ohne untergeordneten Flow (was auf 99 % der Flows zutrifft) ist synchron und erfolgt in Echtzeit.
- Die Erzwingung eines Flows mit einem untergeordneten Flow erfolgt asynchron, da die untergeordneten Flows ebenfalls ausgewertet werden müssen, und erfolgt innerhalb von 24 Stunden.
- Jedes Mal, wenn Sie eine DLP-Richtlinie erstellen oder ändern, scannt ein Hintergrundjob alle aktiven Flows in der Umgebung und unterbricht dann die Flows, die gegen die aktualisierte Richtlinie verstoßen. Die Erzwingung erfolgt asynchron und innerhalb von 24 Stunden. Wird eine DLP-Richtlinie geändert, während die vorherige DLP-Richtlinie noch ausgewertet wird, wird die Auswertung neu gestartet, um sicherzustellen, dass die neuesten Richtlinien durchgesetzt werden.
- Wöchentlich führt ein Hintergrundauftrag eine Konsistenzprüfung aller aktiven Flows in der Umgebung anhand der DLP-Richtlinien durch, um zu bestätigen, dass eine DLP-Richtlinienprüfung nicht versäumt wurde.
DLP Reaktivierung
Wenn der Hintergrundauftrag zur DLP-Erzwingung einen Desktop-Flow findet, der nicht mehr gegen eine DLP-Richtlinie verstößt, entfernt der Hintergrundauftrag automatisch die Sperrung. Der Hintergrundauftrag zur DLP-Erzwingung entsperrt Cloud-Flows jedoch nicht automatisch.
Änderungsprozess für die DLP-Erzwingung
Die DLP-Erzwingung muss sich regelmäßig ändern, weil neue DLP-Funktionen oder eine Fehlerbehebung eingeführt werden oder eine Erzwingungslücke geschlossen wird. Wenn sich Änderungen auf bestehende Flows auswirken können, wird der folgende abgestufte Prozess zum Management von DLP-Erzwingungsänderungen angewendet:
Untersuchung: Die Notwendigkeit einer Änderung an der DLP-Durchsetzung wird überprüft, und die Änderung wird im Detail untersucht.
Lernen: Die Änderung wird implementiert, und es werden Daten im Hinblick auf den Umfang der Auswirkungen der Änderung erfasst. Dokumentieren Sie die Änderungen der DLP-Erzwingung, um den Umfang der Änderung zu erläutern. Wenn die Daten darauf hindeuten, dass einige Kunden stark betroffen sein werden, kann eine Mitteilung an diese Kunden gesendet werden, um sie darüber zu informieren, dass eine Änderung ansteht. Wenn die Änderung weitreichende Auswirkungen auf bestehende Flows hat, benachrichtigt Power Automate die Flowbesitzenden zu einem späteren Zeitpunkt in der Lernphase (wenn der Hintergrundauftrag zur DLP-Erzwingung einen Verstoß bei einem vorhandenen Flow findet) darüber, dass der Flow gesperrt wird. So haben sie mehr Zeit, um entsprechend zu reagieren.
Nur benachrichtigen: Aktivieren Sie E-Mail-Benachrichtigungen nur für DLP-Verstöße, sodass die Besitzer vorhandener Flows über die bevorstehende Änderung an der DLP-Durchsetzung benachrichtigt werden. Wenn der DLP-Erzwingungsjob im Hintergrund eine Verletzung in einem vorhandenen Flow findet, benachrichtigen Sie die Flow-Besitzer, dass der Flow ausgesetzt wird. Dieser Mechanismus läuft wöchentlich.
Entwurfszeitdurchsetzung: Aktivieren Sie die Entwurfszeitdurchsetzung bei DLP-Verstößen, damit Besitzer vorhandener Flows über die bevorstehende Änderung an der DLP-Durchsetzung benachrichtigt werden, aber für alle geänderten Flows die DLP-Richtlinien zur Entwurfszeit vollständig ausgewertet werden. Dies ist auch bekannt als sanfte Durchsetzung.
Entwurfszeit: Wenn ein Flow aktualisiert und gespeichert wird, wird die aktualisierte DLP-Durchsetzung verwendet. Der Flow wird bei Bedarf gesperrt, damit der Ersteller die Durchsetzung sofort erkennt.
Hintergrundprozess: Wenn der Hintergrundauftrag zur DLP-Erzwingung einen Verstoß bei einem Flow findet, werden die Flowbesitzenden darüber benachrichtigt, dass der Flow gesperrt wird. Dieser Mechanismus umfasst die Erstellung oder Änderung von DLP-Richtlinien und Konsistenzprüfungen.
Vollständige Durchsetzung: Aktivieren Sie die vollständige Durchsetzung von DLP-Verstößen, damit DLP-Richtlinien für alle vorhandenen und neuen Flows vollständig erzwungen werden. Die DLP-Richtlinien werden vollständig erzwungen, wenn Flows während der Bewertung von Hintergrundaufträgen zur DLP-Erzwingung gespeichert werden. Dies ist auch bekannt als harte Durchsetzung.
Änderungsliste für die DLP-Erzwingung
In der folgenden Tabelle finden Sie eine Liste der DLP-Erzwingungsänderung und das Datum, an dem die Änderungen wirksam wurden.
Date | Beschreibung | Änderungsgrund | Freigabefenster | Verfügbarkeit der Erzwingung zur Entwurfszeit* | Vollständige Durchsetzungsverfügbarkeit* |
---|---|---|---|---|---|
Mai 2022 | Durchsetzung von Hintergrundaufträgen mit delegierter Autorisierung | DLP-Richtlinien werden bei Flows erzwungen, die delegierte Autorisierung verwenden, während der Flow gespeichert wird, aber nicht während der Bewertung des Hintergrundauftrags. | Vollständig | 2. Juni 2022 | 21. Juli 2022 |
Mai 2022 | Anfordern der Durchsetzung des apiConnection-Triggers | DLP-Richtlinien wurden für einige Trigger nicht richtig erzwungen. Die betroffenen Trigger haben type=Request und kind=apiConnection. Viele der betroffenen Trigger sind sofortige Trigger, die in Direktflows oder manuell ausgelösten Flows verwendet werden. Zu den betroffenen Triggern gehören Folgende. - Power BI: Power BI-Schaltfläche angeklickt - Teams: aus dem Feld zum Erstellen (V2) - OneDrive for Business: für eine ausgewählte Datei - Dataverse: Wenn ein Flowschritt von einem Geschäftsprozessflow ausgeführt wird - Dataverse (veraltet): bei Auswahl eines Datensatzes - Excel Online (Business): für eine ausgewählte Zeile - SharePoint: für ein ausgewähltes Element - Microsoft Copilot Studio: Wenn Copilot Studio einen Flow aufruft (V2) |
Vollständig | 2. Juni 2022 | 25. August 2022 |
Juli 2022 | Setzen Sie DLP-Richtlinien für untergeordnete Flows durch | Aktivieren Sie die Durchsetzung von DLP-Richtlinien, um untergeordnete Flows einzuschließen. Wenn irgendwo in der Ablaufstruktur ein Verstoß gefunden wird, wird der übergeordnete Ablauf ausgesetzt. Nachdem der untergeordnete Flow bearbeitet und gespeichert wurde, um die Verletzung zu entfernen, können die übergeordneten Flows erneut gespeichert oder reaktiviert werden, um die DLP-Richtlinienauswertung erneut auszuführen. Eine Änderung, bei der untergeordnete Flows nicht mehr blockiert werden, wenn der HTTP-Konnektor blockiert ist, wird zusammen mit der vollständigen Durchsetzung von DLP-Richtlinien für untergeordnete Flows eingeführt. Sobald die vollständige Durchsetzung verfügbar ist, umfasst die Durchsetzung untergeordnete Desktop-Flows. | Vollständig | 14. Februar 2023 | März 2023 |
Januar 2023 | Setzen Sie DLP-Richtlinien für untergeordnete Desktop-Flows durch | Aktivieren Sie die Durchsetzung von DLP-Richtlinien, um untergeordnete Desktop-Flows einzuschließen. Wenn irgendwo in der Ablaufstruktur ein Verstoß gefunden wird, wird der übergeordnete Desktop-Flow ausgesetzt. Nachdem der untergeordnete Desktop-Flow bearbeitet und gespeichert wurde, um den Verstoß zu beseitigen, werden die übergeordneten Desktop-Flows automatisch reaktiviert. | Vollständig | - | August 2023 |
*Der Verfügbarkeitszeitplan kann sich ändern und hängt vom Rollout ab.
Flow-Suspendierung wegen DLP-Verletzung
Angehaltene Flows werden im Power Automate Maker Portal und im Power Platform Admin Center als angehalten angezeigt. Wenn ein Flow über eine API, PowerShell oder einen Power Automate Verwaltungs-Connector oder die Aktion „Flows als Administrierender auflisten“ zurückgegeben wird, hat der Flow State=Suspended-, FlowSuspensionReason=CompanyDlpViolation- und FlowSuspensionTime-Werte, die angeben, wann der Flow ausgesetzt wurde.
Bekannte Einschränkungen
Erfahren Sie mehr über bekannte DLP-Probleme.