Skapande av principer för dataförlustskydd (DLP)
En organisations data är viktiga för dess framgång. Dessa data måste vara tillgängliga för beslutsfattande, men de måste samtidigt också vara skyddade så att de inte delas med målgrupper som inte ska ha åtkomst till dem. För att skydda dina affärsdata ger Power Automate dig möjligheten att skapa och genomdriva policyer som definierar vilka anslutningsprogram som får åtkomst till och kan dela den. De policyer som definierar hur data kan delas kallas policyer för dataförlustskydd (data loss prevention, DLP).
Administratörer styr DLP-principer. Kontakta administratören om en DLP-policy blockerar dina flöden från att köras.
Dataförlustskydd för datorflöden
Power Automate låter dig skapa och framtvinga DLP-principer för klassificering av moduler för datorflöden och enskilda modulåtgärder som affär, inte affär eller blockerade. Den här kategoriseringen förhindrar att beslutsfattare kombinerar moduler och åtgärder från olika kategorier till ett datorflöde, eller mellan ett molnflöde och det datorflöde som det använder.
Viktigt!
- Tillämpning av DLP-policyer kommer endast att vara tillgänglig för hanterade miljöer. Från och med januari 2025 kommer endast datorflöden som finns i hanterade miljöer att utvärderas av DLP-policyer.
- DLP för datorflöden finns för versioner av Power Automate för dator 2.14.173.21294 eller senare. Om du använder en äldre version avinstallerar du och uppdaterar till den senaste versionen.
Visa åtgärdsgrupper för datorflöden
Som standard visas inte åtgärdsgrupper för datorflöde när en DLP-policy skapas. Du måste aktivera inställningen Visa datorflödesåtgärder i DLP-policyer i klientorganisationens inställningar.
Om du har valt den allmänt tillgängliga förhandsversionen har inställningen Datorflödesåtgärder i DLP redan aktiverats och kan inte ändras.
Logga in på Power Platform administratörscenter.
I vänster sidoruta väljer du Inställningar.
På sidan inställningar för klientorganisationen, välj Datorflödesåtgärder i DLP.
Aktivera växlingsknappen Visa datorflödesåtgärder i DLP-policyer och välj Spara.
Nu kan du kategorisera åtgärdsgrupper för datorflöden när du skapar en datapolicy.
Skapa en DLP-policy med begränsningar för datorflöde
När administratörer redigerar eller skapar en policy läggs åtgärdsgrupper för datorflöde till standardgruppen och principen tillämpas när den har sparats. Policy är avstängd om standardgruppen är inställd på Blockerad och datorflöden körs i målmiljöerna.
Du kan hantera dina DLP-policyer för datorflöden på samma sätt som de hanterar molnflödesanslutningar och åtgärder. Moduler för datorflöden är grupper med liknande åtgärder som visas i användargränssnittet för Power Automate för dator. En modul liknar kopplingar som används i molnflöden. Du kan definiera en DLP-policy som hanterar både datorflödesmoduler och molnflödesanslutningar. Vissa grundmodular, t.ex. variabler, kan inte hanteras i omfånget för DLP-policyn eftersom så gott som alla datorflöden behöver använda dem. Lär dig mer om grunderna för DLP-policyer och hur du skapar dem.
När din klientorganisationen har valt att använda användarupplevelsen i Power Platform, kommer dina administratörer automatiskt se de nya datorflödesmodulerna i standarddatagruppen för DLP-policyn som de skapar eller uppdaterar.
Varning
När datorflödesmoduler läggs till i DLP-policyer, kommer din klients befintliga datorflöden att utvärderas mot dem och de kommer att stängas av om de inte är kompatibla. Om din administratör skapar eller uppdaterar DLP-policyn utan att ta del av de nya modulerna, kan därför datorflöden bli oväntat pausade.
Styra datorflöden utanför DLP
Granulär kontroll över användningen av datorflöden på alla maskiner som beskrivs i föregående avsnitt gäller endast hanterade miljöer. Du har andra alternativ för att styra datorflöden.
Möjlighet att styra datorflödesorkestrering: Datorflödesanslutningen kan styras i dina policyer, precis som alla andra anslutningsprogram i alla miljöer.
Möjlighet att styra användningen av Power Automate för dator: Du kan styra Power Automate för datorflöden via gruppolicyobjekt (GPO). Denna styrning låter dig slå på eller stänga av datorflöden för åtgärder som att begränsa till en uppsättning miljöer eller regioner, begränsa användningen av kontotyper, begränsa manuell uppdatering.
Läs mer om styrning i Power Automate.
Datorflödesmoduler i DLP
Följande datorflödesmodul är tillgängliga i DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Webbläsarautomatisering
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD-session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Urklipp
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Kompression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptografi
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Databas
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-post
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Fil
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Mapp
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitiv
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM-kognitiv
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Meddelandekorgar
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitiv
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mus och tangentbord
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Hemliga variabler
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Körningsflöde
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skript
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Terminalemulering
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI-automatisering
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows-tjänst
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Arbetsstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
PowerShell-stöd för datorflödesmoduler
Om du inte vill slå på inställningen Visa datorflödesåtgärder i DLP-policyer, du kan använda följande PowerShell-skript för att lägga till alla skrivbordsflödesmoduler till gruppen Blockerad av en DLP-policy. Om du redan har aktiverat inställningen behöver du inte använda det här skriptet.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Följande PowerShell-skript lägger till två specifika datorflödesmoduler till standard datagrupp i en DLP-policy.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
PowerShell-skript för att välja bort datorflöden
Om du inte vill använda DLP för funktionen för datorflöden kan du välja bort följande PowerShell-skript.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
När principen har aktiverats
Om dina användare inte har det senaste Power Automate för datorer är tvingande DLP-policy begränsad. De ser inte felmeddelandena om designtiden när de försöker köra, felsöka eller spara datorflöden som strider mot DLP-principer. Bakgrundsjobb som regelbundet söker igenom datorflöden i miljön och automatiskt stänga av alla som bryter mot DLP-policyer. Användarna kan inte köra datorflöden från ett molnflöde om det finns någon policy om dataförlustskydd.
Utvecklare som har den senaste Power Automate för dator kan inte felsöka, köra eller spara datorflöden som bryter mot DLP-policyn. De kan inte heller välja ett datorflöde som strider mot en DLP-policy i ett molnflödessteg.
Tillämpning och hävande av DLP
- När du skapar eller redigerar ett flöde utvärderar Power Automate det mot den aktuella uppsättningen DLP-principer.
- Upprätthållande av flöden utan ett underordnat flöde, vilket utgör är 99 % av flödena, är synkront och sker i realtid.
- Upprätthållandet av ett flöde med ett underordnat flöde är asynkront eftersom även underordnade flöden måste utvärderas och detta sker inom 24 timmar.
- När du skapar eller ändrar en DLP-princip genomsöks och utvärderas alla aktiva flöden i miljön av ett bakgrundsjobb och sedan avbryts flödena som strider mot principen. Tvingande åtgärder är asynkrona och sker inom 24 timmar. Om en DLP-policyändring inträffar när den tidigare DLP-policyn utvärderas, startar utvärderingen om för att säkerställa att de senaste policyerna tillämpas.
- Varje vecka gör ett bakgrundsjobb en konsekvenskontroll av alla aktiva flöden i miljön mot DLP-principerna för att bekräfta att en DLP-principkontroll inte missas.
Omaktivering av DLP
Återaktivera – Om DLP-bakgrundsjobbet hittar ett datorflöde som inte längre förser DLP-polict tar sedan bakgrundsjobbet automatiskt bort uppskjutningen. Bakgrundsjobbet för DLP-tillämpning kommer dock inte automatiskt att avbryta molnflöden.
DLP-tvingande ändringsprocess
Med jämna mellanrum måste tvingande DLP ändras eftersom nya DLP-funktioner eller en felkorrigering ges ut eller en lucka stängs. +När ändringar kan påverka befintliga flöden, används följande steg för DLP-tillämpning av förändringshantering:
Undersöker: Bekräfta behovet av en DLP-tillämpningsändring och undersök detaljerna i ändringen.
Utbildning: Implementera förändringen och samla in data om bredden på förändringarnas effekter. DLP-tvingande ändringar dokumenteras för att beskriva ändringens omfattning. Om informationen tyder på att kunderna kommer att påverkas kraftigt, kan kommunikation komma att skickas till de kunderna i syfte att låta dem veta att en förändring kommer att ske. Om förändringen har en bred inverkan på befintliga flöden, i ett senare skede i utbildningsfasen, när bakgrundsjobbet för tvingande DLP-jobb hittar en överträdelse i ett befintligt flöde, meddelar Power Automate flödesägarna att flödet kommer att avbrytas, så att de får mer tid att svara.
Meddela endast Aktivera endast e-postaviseringar för kränkningar av DLP så att ägare av befintliga flöden får information om den kommande ändringen av tvingande DLP. När DLP-upprätthållandet i bakgrunden hittar en överträdelse i ett befintligt flöde, meddela flödesägarna att flödet kommer att avbrytas. Den här mekanism körs varje vecka.
Tillämpning av designtid: Aktivera tillämpning av designtid för DLP-kränkningar så att ägare av befintliga flöden får information om den förestående ändringen av tvingande DLP, men alla flöden som ändras får en fullständig DLP-policyutvärdering när de utformas. Detta kallas även för icke-tvingande tillämpning.
Designtid: När ett flöde uppdateras och sparas, använd då den uppdaterade DLP-tillämpningen och avbryt flödet om det behövs så att tillverkaren omedelbart blir medveten om tillämpningen.
Bakgrundsprocess: När DLP-upprätthållandet i bakgrunden hittar en överträdelse i ett flöde, meddela då flödesägarna att flödet kommer att avbrytas. Med den här mekanism kan du skapa eller ändra DLP-princip och konsekvenskontroller.
Fullständig tillämpning: Aktivera fullständig tillämpning av DLP-överträdelser, så att DLP-policyer tillämpas fullt ut på alla befintliga och nya flöden. DLP-policyerna träder i full kraft när flöden sparas i samband med utvärdering av bakgrundsjobb för DLP-ikraftträdande. Detta kallas även för tvingande tillämpning.
Ändringslista för DLP-ikraftträdande
Följande är en lista över ändringar i DLP-ikraftträdande och det datum då ändringarna trädde i kraft.
| Date | Beskrivning | Orsak till ändringen | Fas | Tillgänglighet för tvingande designtid* | Fullständig tvingande tillgänglighet* |
|---|---|---|---|---|---|
| Maj 2022 | Framtvingat bakgrundsjobb för delegerad auktorisering | DLP-policyer tillämpas på flöden som använder delegerad auktorisering när flödet sparas, men inte i samband med att bakgrundsjobbet utvärderas. | Fullständig | 2 juni 2022 | 21 juli 2022 |
| Maj 2022 | Begär tvingande av apiConnection-utlösare | DLP-policyer framtvingas inte korrekt för vissa utlösare. Påverkade utlösare har type=Request och kind=apiConnection. Många av de påverkade utlösarna är direkta utlösare som används i ögonblickliga eller manuellt utlösta flöden. Påverkade utlösare inkluderar följande. - Power BI: Power BI-knapp som klickats - Teams: Från komponeringsrutan (V2) - OneDrive for Business: För en vald fil - Dataverse: När ett flödessteg körs från ett affärsprocessflöde - Dataverse (äldre): När en post väljs - Excel Online (Business): För en vald rad - SharePoint: För ett valt objekt - Microsoft Copilot Studio: När Copilot Studio anropar ett flöde (V2) |
Fullständig | 2 juni 2022 | 25 augusti 2022 |
| juli 2022 | Framtvinga DLP-principer för underordnade flöden | Gör det möjligt att se till att DLP-principer även omfattar underordnade flöden. Om en överträdelse påträffas var som helst i flödesträdet är det överordnade flödet pausat. När det underordnade flödet har redigerats och sparats för att ta bort överträdelse kan det överordnade flödet återaktiveras eller återaktiveras för att köra utvärderingen av DLP-policyn. En ändring att inte längre blockera underordnade flöden när HTTP-anslutningsprogrammet blockeras, kommer att distribueras tillsammans med fullständig tillämpning DLP-principer för underordnade flöden. När fullständig tillämpning är tillgänglig omfattar tillämpningen underordnade datorflöden. | Fullständig | 14 februari 2023 | Mars 2023 |
| Januari 2023 | Framtvinga DLP-principer för underordnade datorflöden | Gör det möjligt att se till att DLP-principer även omfattar underordnade datorflöden. Om en överträdelse påträffas var som helst i flödesträdet är det överordnade datorflödet pausat. När det underordnade datorflöden redigeras och sparas för att ta bort överträdelsen återaktiveras de överordnade datorflödena automatiskt. | Fullständig | - | Augusti 2023 |
| Oktober 2024 | Framtvinga åtgärdskontroll för anslutningsprogram för utlösare och interna åtgärder | Utöka tillämpningen av åtgärdskontrollen för anslutningsprogram för att säkerställa att utlösare och interna åtgärder omfattas. Visa en lista över dem i administratörscentret för Power Platform, och framtvinga blockering av dem om de refereras till individuellt i DLP-principer eller om DLP-principen inte har inkluderat dem som tillåtna. | Utbildning | Januari 2025 | Februari 2025 |
*Tillgänglighetsschemat kan ändras och beror på sammanslagningen.
Flödesuppskjutning för DLP-överträdelse
Pausade flöden visas som pausade i Power Automate Maker Portal och Power Platform administrationscenter. När ett flöde returneras via API, PowerShell eller Power Automate hanteringsanslutningslista flödar som administratörsåtgärd, kommer flödet att bli Tillstånd=Pausad, FlowSuspensionReason=CompanyDlpViolation och värdet FlowSuspensionTime och ha lämpliga värden för.
Kända begränsningar
Lär dig mer om kända DLP-problem.