Creación de la directiva de prevención de pérdida de datos (DLP)
Los datos de una organización son cruciales para su éxito. Sus datos deben estar disponibles para la toma de decisiones, pero al mismo tiempo protegidos para que no se compartan con público que no deben tener acceso a ellos. Para proteger los datos empresariales, Power Automate ofrece la posibilidad de crear y aplicar directivas que definen qué conectores pueden acceder a ellos y compartirlos. Las directivas que definen cómo se pueden compartir los datos se conocen como directivas de prevención de pérdida de datos (DLP).
Los administradores controlan las políticas de DLP. Si una política DLP impide la ejecución de sus flujos, comuníquese con su administrador.
Prevención de pérdida de datos para flujos de escritorio
Power Automate permimte crear y aplicar directivas DLP que clasifiquen los módulos de flujos de escritorio y acciones de módulos individuales en las categorías Comercial, No comercial o Bloqueado. Esta categorización evita que los fabricantes combinen módulos y acciones de diferentes categorías en un flujo de escritorio o entre un flujo de nube y los flujos de escritorio que este utilice.
Importante
- La aplicación de directivas de DLP está disponible solamente para Entornos administrados. A partir de enero de 2025, las directivas de DLP solo evaluarán los flujos de escritorio que se encuentren en entornos administrados.
- DLP para flujos de escritorio está disponible para versiones de Power Automate de escritorio 2.14.173.21294 o más recientes. Si está utilizando una versión anterior, desinstálela y actualice a la última versión.
Ver grupos de acciones de flujo de escritorio
De forma predeterminada, los grupos de acciones de flujo de escritorio no aparecen cuando crea una nueva directiva de DLP. Debe activar la opción Mostrar acciones de flujos de escritorio en las directivas DLP desde la configuración del inquilino.
Si se ha decidido por la versión preliinar pública, la configuración Acciones de flujo de escritorio en DLP ya está habilitada y no se puede cambiar.
Inicie sesión en el Centro de administración de Power Platform.
En el panel lateral izquierdo, Seleccionar Configuración.
En la página configuración del inquilino, seleccione Acciones de flujos de escritorio en DLP.
Active Mostrar acciones de flujo de escritorio en directivas de DLP y luego seleccione Guardar.
Ahora puede clasificar los grupos de acciones de flujo de escritorio cuando crea una política de datos.
Cree una política DLP con restricciones de flujo de escritorio
Cuando los administradores editan o crean directivas, se agregarán grupos de acciones de flujo de escritorio al grupo predeterminado y las directivas se aplicarán después de que se guarden. La directiva se suspende si el grupo predeterminado está configurado como Bloqueado y los flujos de escritorio se están ejecutando en entornos de destino.
Puede administrar sus políticas DLP para flujos de escritorio de la misma manera que administra acciones y conectores de flujo de nube. Los módulos de flujos de escritorio son grupos de acciones similares a las que se muestran en la interfaz de usuario de Power Automate para escritorio. Un módulo es similar a los conectores que se utilizan en los flujos de nube. Puede definir una directiva DLP que administre tanto los módulos de flujos de escritorio como los conectores de flujos de nube. Algunos módulos básicos, como Variables, no se pueden administrar en el alcance de la política DLP porque casi todos los flujos de escritorio necesitan usarlos. Obtenga más información sobre los fundamentos de las políticas DLP y cómo crearlas.
Cuando su inquilino participa en la experiencia de usuario en Power Platform, sus administradores verán automáticamente los nuevos módulos de flujo de escritorio en el grupo de datos predeterminado de la directiva DLP que están creando o actualizando.
Advertencia
Cuando se agregan módulos de flujo de escritorio a las directivas de DLP, los flujos de escritorio de su arrendatario se evaluarán con respecto a ellas y se suspenden si no cumplen. Si su Administrador crea o actualiza la directiva DLP sin tener en cuenta los nuevos módulos, los flujos de escritorio pueden suspenderse inesperadamente.
Controlar los flujos de escritorio fuera de DLP
El control granular sobre el uso de los flujos de escritorio en todas las máquinas, como se ha descrito en las secciones anteriores, será solo para entornos administrados. Tiene otras opciones para gobernar los flujos de escritorio.
Capacidad para gobernar la orquestación de flujo de escritorio: el conector de flujo de escritorio todavía se puede gobernar en sus directivas como cualquier otro conector en todos los entornos.
Capacidad para controlar el uso de Power Automate para escritorio: puede controlar Power Automate para flujos de escritorio a través de GPO. Esta gobernanza le permite activar o desactivar los flujos de escritorio para acciones como restringir a un conjunto de entornos o regiones, limitar el uso de tipos de cuenta, y restringir la actualización manual.
Obtenga más información sobre gobernanza en Power Automate.
Módulos de flujo de Desktop en DLP
Los siguientes módulos de flujo de escritorio están disponibles en DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Browser Automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sesión CMD
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Portapapeles
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compresión
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografía
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Base de datos
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Correo electrónico
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Archivo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Carpeta
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitivo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Bandejas de mensajes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mouse and keyboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Ejecutar flujo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripts
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminal emulation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatización de UI
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Servicios de Windows
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Estación de trabajo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Compatibilidad con PowerShell para módulos de flujo de escritorio
Si no desea activar la configuración Mostrar acciones de flujo de escritorio en políticas DLP, puede usar el siguiente script de PowerShell para agregar todos los módulos de flujo de escritorio a Grupo bloqueado de una política DLP. Si ya activó la opción, no necesita usar este script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
El siguiente script de PowerShell añade dos módulos de flujo de escritorio específicos al grupo de datos predeterminados de una directiva DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script de PowerShell para cancelar los flujos de esscritorio
Si no desea utilizar la característica DLP para flujos de escritorio, puede usar el siguiente script de PowerShell para no participar.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Una vez habilitada la directiva
Si sus usuarios no tienen la última versión Power Automate para escritorio, la aplicación de la política DLP es limitada. No ven los mensajes de error en el momento del diseño cuando intenten ejecutar, depurar o guardar los flujos de escritorio que infrinjan las directivas de DLP. Los trabajos en segundo plano analizan periódicamente los flujos de escritorio en el entorno y suspenderán automáticamente los que infrinjan las directivas DLP. Los usuarios no pueden ejecutar flujos de escritorio desde un flujo de nube si el flujo de escritorio infringe alguna directiva de prevención de pérdida de datos.
Los creadores que tienen la última versión Power Automate para escritorio no pueden depurar, ejecutar ni guardar flujos de escritorio que infrinjan la política DLP. Tampoco pueden seleccionar un flujo de escritorio que infrinja una política de DLP desde un paso de flujo de nube.
Aplicación y suspensión de DLP
- Cuando crea o edita un flujo, Power Automate lo evalúa contra el conjunto actual de políticas de DLP.
- La aplicación de flujos sin un flujo secundario, que representa el 99 % de los flujos, es sincrónica y se produce en tiempo real.
- La aplicación de un flujo con un flujo secundario es asincrónica, ya que los flujos secundarios también deben evaluarse y ocurre en un plazo de 24 horas.
- Cuando crea o cambia una directiva DLP, un trabajo en segundo plano analiza todos los flujos activos en el entorno, los evalúa y luego suspende los flujos que infringen la directiva. La aplicación es asíncrona y se produce en 24 horas. Si se produce un cambio en la directiva de DLP cuando se está evaluando la directiva de DLP anterior, la evaluación se reinicia para garantizar que se apliquen las directivas más recientes.
- Semanalmente, un trabajo en segundo plano realiza una verificación de coherencia de todos los flujos activos en el entorno con respecto a las directivas DLP para confirmar que no se pasó por alto una verificación de directiva DLP.
Reactivación de DLP
Si el trabajo en segundo plano de aplicación de DLP encuentra un flujo de escritorio que ya no infringe ninguna directiva DLP, el trabajo en segundo plano quita la suspensión automáticamente. Sin embargo, el trabajo en segundo plano de aplicación de DLP no anula automáticamente la suspensión de los flujos de nube.
Proceso de cambio del cumplimiento de DLP
Periódicamente, la aplicación de DLP debe cambiar porque se implementan nuevas capacidades de DLP o se corrige un error o se llena un vacío en la aplicación. Cuando los cambios puedan afectar a los flujos existentes, aplique el siguiente proceso de administración de cambios de cumplimiento de DLP por etapas:
Investigación: confirme la necesidad de un cambio de aplicación de DLP e investigue los detalles del cambio.
Aprendizaje: implemente el cambio y recopile datos sobre la amplitud de los efectos del cambio. Documente los cambios del cumplimiento de DLP para explicar el alcance del cambio. Si los datos sugieren que los clientes se verán muy afectados, puede que se envíe una notificación a esos clientes para informarles de que se avecina un cambio. Si el cambio tiene una amplia incidencia en los flujos ya existentes, en una etapa posterior de la fase de aprendizaje, cuando el trabajo de aplicación de DLP en segundo plano encuentre una infracción en un flujo existente, Power Automate notificará a los propietarios del flujo que el flujo se suspenderá, para que tengan más tiempo para responder.
Solo notificar: active las notificaciones por correo electrónico solo para las infracciones de DLP, para que los propietarios de los flujos existentes reciban una notificación sobre el próximo cambio de aplicación de DLP. Cuando el trabajo de cumplimiento de DLP en segundo plano encuentre una infracción en un flujo existente, notifique a los propietarios del flujo que se suspenderá el flujo. Este mecanismo funciona semanalmente.
Cumplimiento de tiempo de diseño: active el cumplimiento de tiempo de diseño de las infracciones de DLP, para que los propietarios de los flujos existentes reciban una notificación sobre el próximo cambio de cumplimiento de DLP, pero cualquier flujo que se modifique obtiene una evaluación completa de la directiva de DLP en el momento del diseño. Esto también se conoce como cumplimiento flexible.
Tiempo de diseño: cuando se actualiza y guarda un flujo, use el cumplimiento de DLP actualizado y suspenda el flujo si es necesario, para que el creador conozca de inmediato el cumplimiento.
Proceso en segundo plano: cuando la tarea de aplicación de DLP en segundo plano encuentre una infracción en un flujo existente, notifique a los propietarios del flujo que el flujo se suspenderá en el futuro. Este mecanismo incluye la creación o los cambios en la directiva DLP y las comprobaciones de coherencia.
Cumplimiento estricto: active el cumplimiento estricto de las infracciones de DLP, de modo que las directivas DLP se apliquen por completo en todos los flujos existentes y nuevos. Las políticas DLP se aplican íntegramente cuando los flujos se guarden durante la evaluación del trabajo en segundo plano de cumplimiento de DLP. Esto también se conoce como cumplimiento estricto.
Lista de cambio del cumplimiento de DLP
La tabla siguiente muestra los cambios en el cumplimiento de DLP y la fecha en que entraron en vigor los cambios.
Date | Descripción | Razón del cambio | Fase | Disponibilidad de cumplimiento en tiempo de diseño* | Disponibilidad total de ejecución* |
---|---|---|---|---|---|
Mayo de 2022 | Aplicación de trabajo en segundo plano de autorización delegada | Las políticas DLP se aplican en flujos que usan autorización delegada mientras se guarda el flujo, pero no durante la evaluación del trabajo en segundo plano. | Completo | 2 de Junio de 2022 | 21 de Julio de 2022 |
Mayo de 2022 | Solicitar el cumplimiento del desencadenador de apiConnection | Las directivas de DLP no se aplicaron correctamente para algunos desencadenadores. Los desencadenadores afectados tienen type=Request y kind=apiConnection. Muchos de los desencadenadores afectados son desencadenadores instantáneos que se utilizan en flujos instantáneos o desencadenados manualmente. Los desencadenadores afectados incluyen los siguientes. - Power BI: botón de Power BI presionado - Teams: desde el cuadro de redacción (V2) - OneDrive para la Empresa: para un archivo seleccionado - Dataverse: cuando se ejecuta un paso de flujo desde un flujo de proceso de negocio - Dataverse (heredado): cuando se selecciona un registro - Excel Online (Empresa): para una fila seleccionada - SharePoint: para un elemento seleccionado - Microsoft Copilot Studio: Cuando Copilot Studio llama a un flujo (V2) |
Completo | 2 de Junio de 2022 | 25 de agosto de 2022 |
Julio de 2022 | Aplicar políticas de DLP en flujos secundarios | Habilite la aplicación de directivas DLP para incluir flujos secundarios. Si se encuentra una infracción en cualquier parte del árbol de flujo, se suspende el flujo primario. Después de editar y guardar el flujo secundario para eliminar la infracción, los flujos primarios se pueden volver a guardar o reactivar para ejecutar la evaluación de la directiva DLP nuevamente. Se implementará un cambio para dejar de bloquear los flujos secundarios cuando el conector HTTP esté bloqueado simultáneamente al cumplimiento estricto de las directivas DLP en los flujos secundarios. Una vez que se disponga del pleno cumplimiento, este incluirá los flujos de escritorio secundarios. | Completo | 14 de febrero de 2023 | Marzo de 2023 |
Enero de 2023 | Aplicar políticas de DLP en flujos de escritorio secundarios | Habilite la aplicación de directivas DLP para incluir flujos de escritorio secundarios. Si se encuentra una infracción en cualquier parte del árbol de flujo, se suspende el flujo de escritorio primario. Después de editar y guardar el flujo de escritorio secundario para eliminar la infracción, los flujos de escritorio principales se reactivan automáticamente. | Completo | - | Agosto de 2023 |
* La programación de disponibilidad puede cambiar y depende del despliegue
Suspensión de flujo por violación de DLP
Los flujos suspendidos se muestran como suspendidos en Power Automate Maker Portal y en el Centro de administración de Power Platform. Cuando se devuelve un flujo a través de una API, PowerShell o el Conector de administración de Power Automate enumera flujos "como acción de administrador", el flujo tiene Estado=Suspendido, y los valores FlowSuspensionReason=CompanyDlpViolation y FlowSuspensionTime indican cuándo se suspendió el flujo.
Limitaciones conocidas
Más información sobre los problemas conocidos de DLP.