Vytváření zásad ochrany před únikem informací

Data organizace jsou zásadní pro její úspěch. Její data musí být snadno dostupná pro rozhodování, ale zároveň musí být chráněna, aby nebyla sdílena s publikem, které by k nim nemělo mít přístup. Pro ochranu vašich obchodních dat poskytuje Power Automate možnost vytvářet a vynucovat zásady definující konektory, které k nim mají přístup a mohou je sdílet. Tyto zásady, které definují způsoby sdílení dat, jsou označovány jako zásady ochrany před únikem informací.

Administrátoři řídí zásady DLP. Pokud zásady ochrany před únikem informací blokují běh vašich toků, kontaktujte svého správce.

Přečtěte si další informace o ochraně dat pomocí Power Platform zásad prevence ztráty dat (DLP).

Ochrana před únikem informací pro desktopové toky

Power Automate vám umožňuje vytvářet a prosazovat zásady ochrany před únikem informací, které klasifikují moduly desktopových toků a jednotlivé akce modulu jako firemní, nefiremní a blokované. Tato kategorizace zabraňuje tvůrcům kombinovat moduly a akce z různých kategorií do desktopového toku nebo mezi cloudovým tokem a desktopovým tokem, který používá.

Důležité

  • Prosazování zásad ochrany před únikem informací je dostupné pouze pro spravovaná prostředí. Počínaje lednem 2025 budou podle zásad ochrany před únikem informací (DLP) hodnoceny pouze toky na počítačích, které se nacházejí ve spravovaných prostředích.
  • Ochrana před únikem informací pro desktopové toky je k dispozici pro verze Power Automate pro desktopy 2.14.173.21294 nebo novější. Pokud používáte dřívější verzi, odinstalujte ji a aktualizujte na nejnovější verzi.

Zobrazení skupiny akcí desktopových toků

Ve výchozím nastavení se při vytváření zásad ochrany před únikem informací nezobrazují skupiny akcí desktopového toku. V nastavení klienta musíte zapnout nastavení Zobrazit akce desktopových toků v zásadách ochrany před únikem informací.

Pokud jste přihlášeni k verzi Public Preview, nastavení Akce desktopového toku v zásadách ochrany před únikem informací je již zapnutá a nelze ji změnit.

  1. Přihlaste se k centru pro správu Power Platform.

  2. Na levém postranním panelu vyberte Nastavení.

  3. Na stránce Nastavení klienta vyberte možnost Akce desktopových toků v zásadách ochrany před únikem informací.

  4. Zapněte nastavení Zobrazit akce desktopového toku v zásadách ochrany před únikem informací a poté vyberte Uložit.

    Screenshot nastavení ochrany před únikem informací pro desktopové toky v centru pro správu Power Platform.

Při vytváření zásad dat můžete nyní klasifikovat skupiny akcí desktopových toků.

Vytvoření zásad ochrany před únikem informací s omezením desktopových toků

Když správci upraví nebo vytvoří zásadu, do výchozí skupiny se přidají skupiny akcí desktopového toku a zásady se po uložení použijí. Zásady jsou pozastaveny, když je výchozí skupina nastavena jako Blokováno a v cílových prostředích běží desktopové toky.

Zásady ochrany před únikem dat pro desktopové toky můžete spravovat stejným způsobem, jakým spravujete konektory a akce cloudových toků. Moduly desktopových toků jsou skupiny podobných akcí, jaké jsou zobrazeny v uživatelském rozhraní Power Automate pro desktopy. Modul je podobný konektorům, které se používají v cloudových tocích. Můžete definovat zásady ochrany před únikem informací, které spravují moduly desktopových toků i konektory cloudových toků. Některé základní moduly, jako jsou Proměnné, nelze spravovat v rámci zásad ochrany před únikem informací, protože je musí používat téměř všechny desktopové toky. Přečtěte si další informace o základech zásad ochrany před únikem informací a jak je vytvořit.

Když je váš klient přihlášen k uživatelskému prostředí v Power Platform, vaši administrátoři automaticky uvidí nové moduly desktopových toků ve výchozí skupině dat zásad DLP, které vytvářejí nebo aktualizují.

Screenshot zásad ochrany před únikem informací ve výstavbě v centru pro správu Power Platform.

Upozorňující

Když jsou moduly desktopových toků přidány do zásad ochrany před únikem informací, stávající desktopové toky vašeho klienta jsou podle nich vyhodnoceny a jsou pozastaveny, pokud nejsou v souladu s předpisy. Pokud váš správce vytvoří nebo aktualizuje zásady ochrany před únikem informací bez upozornění na nové moduly, může dojít k neočekávanému pozastavení desktopových toků.

Řízení desktopových toků mimo DLP

Podrobné řízení použití desktopových toků na všech počítačích popsané v předchozích částech platí pouze pro spravovaná prostředí. Existují další možnosti, jak řídit desktopové toky.

  • Schopnost řídit orchestraci desktopového toku: Konektor desktopového toku lze řídit ve vašich zásadách jako jakýkoli jiný konektor ve všech prostředích.

  • Schopnost řídit použití Power Automate pro desktop: Můžete řídit Power Automate pro desktopové toky prostřednictvím GPO. Toto řízení vám umožňuje zapnout nebo vypnout desktopové toky pro akce, jako je omezení na sadu prostředí nebo oblastí, omezení použití typů účtů a omezení ručních aktualizací.

Další informace o zásadách správného řízení v Power Automate.

Moduly toku desktopů v DLP

V zásadách ochrany před únikem informací jsou k dispozici následující moduly desktopových toků:

  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatizace prohlížeče
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Relace CMD
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Schránka
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Komprese
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Kryptografie
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Databáze
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Soubor
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Složka
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google kognitivní
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM kognitivní
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Pole se zprávami
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft kognitivní
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Myš a klávesnice
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Spuštění toku
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Skriptování
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Systém
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulace terminálu
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automatizace
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Pracovní stanice
  • providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML

Podpora prostředí PowerShell pro moduly desktopových toků

Pokud tuto funkci nechcete zapínat nastavení Zobrazit akce desktopového toku v zásadách ochrany před únikem informací, pomocí následujícího skriptu PowerShell můžete přidat všechny moduly desktopových toků do skupiny Blokované v zásadách ochrany před únikem informací. Pokud jste již toto nastavení zapnuli, nemusíte tento skript používat.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy 
  $desktopFlowModulesToAddToPolicy = @()  
        foreach ($modules in $desktopFlowModules) {  
          $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
          id=$modules.id  
          name=$modules.Properties.displayName  
          type=$modules.type  
      }  
  }  

# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy' 
    Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose 

Následující skript prostředí PowerShell přidává dva specifické desktopové toky do výchozí datové skupiny zásad ochrany před únikem informací.

# Step #1: Retrieve a DLP policy named 'My DLP Policy' 
  $dlpPolicies = Get-DlpPolicy  
  $dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}  

# Step #2: Get all Power Automate for desktop flow modules 
  $desktopFlowModules = Get-DesktopFlowModules  

# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules 
  $desktopFlowModulesToAddToPolicy = @()  
  $activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$activeDirectoryModule.id  
    name=$activeDirectoryModule.Properties.displayName  
    type=$activeDirectoryModule.type  
  }
  $clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}  
  $desktopFlowModulesToAddToPolicy += [pscustomobject]@{  
    id=$clipboardModule.id  
    name=$clipboardModule.Properties.displayName  
    type=$clipboardModule.type  
  }  

# Step #4: Add both modules to the default data group of 'My DLP Policy' 
  Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose 

Skript PowerShell pro odhlášení desktopových toků

Pokud nechcete používat funkci ochrany před únikem informací pro desktopové toky, k odhlášení můžete použít následující skript PowerShell.

# Step #1: Retrieve the DLP policy named 'My DLP Policy'

$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }

# Step #2: Get all Power Automate for desktop flow modules

$desktopFlowModules = Get-DesktopFlowModules
 
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy

foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
   $connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}

# Step #4: Save the updated policy

Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy

Po povolení zásad

Pokud vaši uživatelé nemají nejnovější Power Automate pro desktopy, je vynucování zásad ochrany před únikem informací omezené. Uživatelé neuvidí chybové zprávy v době návrhu, když se pokoušejí spustit, ladit nebo uložit desktopové toky, které porušují zásady ochrany před únikem informací. Úlohy na pozadí pravidelně skenují desktopové toky v prostředí a automaticky pozastaví jakékoli, které porušují zásady ochrany před únikem informací. Uživatelé nemohou spouštět desktopové toky z cloudového toku, pokud desktopový tok porušuje jakékoli zásady ochrany před únikem informací.

Tvůrci, kteří mají nejnovější Power Automate pro desktopy, nemohou ladit, spouštět ani ukládat desktopové toky, které porušují zásady ochrany před únikem informací. Z kroku cloudového toku také nemohou vybrat desktopový tok, který je v rozporu se zásadami ochrany před únikem informací.

Vymáhání a pozastavení zásad ochrany před únikem informací

  1. Když vytvoříte nebo upravíte tok, Power Automate ho vyhodnotí proti aktuální sadě zásad DLP.
    1. Vynucení toků bez podřízeného toku, což je 99 % toků, je synchronní a probíhá v reálném čase.
    2. Vynucení toku s podřízeným tokem je asynchronní, protože je třeba vyhodnotit i podřízený tok, a dochází k němu do 24 hodin.
  2. Když vytvoříte nebo změníte zásady ochrany před únikem informací, úloha na pozadí prohledá všechny aktivní toky v prostředí, vyhodnotí je a poté pozastaví toky, které porušují aktualizované zásady. Vynucování je asynchronní a probíhá do 24 hodin. Pokud dojde ke změně zásad ochrany před únikem informací při vyhodnocování předchozích zásad ochrany před únikem informací, pak se vyhodnocení restartuje, aby se zajistilo, že jsou vynucovány nejnovější zásady.
  3. Úloha na pozadí každý týden provádí kontrolu konzistence všech aktivních toků v prostředí se zásadami DLP, aby se potvrdilo, že kontrola zásad DLP nebyla vynechána.

Opětovná aktivace zásad ochrany před únikem informací

Pokud úloha vynucení ochrany před únikem informací na pozadí najde desktopový tok, který již neporušuje žádné zásady ochrany před únikem informací, úloha na pozadí automaticky odebere pozastavení. Úloha na pozadí pro vynucení ochrany před únikem informací však automaticky nezruší zablokování cloudových toků.

Proces změny vynucení DLP

Vynucování ochrany před únikem informací se musí pravidelně měnit, protože jsou zaváděny nové funkce ochrany před únikem informací nebo opravy chyb nebo je zaplněna mezera v prosazování. Pokud změny mohou ovlivnit stávající toky, použijte následující postupný proces správy změn vynucení ochrany před únikem informací:

  1. Vyšetřování: Potvrďte potřebu změny vynucení DLP a prozkoumejte specifika změny.

  2. Učení: Implementujte změnu a shromážděte data o šíři dopadů změny. Dokumentujte změny vynucování ochrany před únikem informací osvětlující rozsah změny. Pokud data naznačují, že zákazníci budou výrazně ovlivněni, těmto zákazníkům může být zaslána komunikace, která jim dává vědět, že se blíží změna. Pokud má změna široký dopad na existující toky, pak v pozdější fázi učení, když úloha na pozadí pro vynucení ochrany před únikem informací zjistí porušení v existujícím toku, Power Automate oznámí vlastníkům toku, že tok bude pozastaven, aby měli více času na reakci.

  3. Pouze upozorňovat: Zapněte e-mailová upozornění pouze na porušení DLP, aby byli vlastníci stávajících toků informováni o nadcházející změně vynucení DLP. Když úloha vynucení DLP na pozadí zjistí porušení v existujícím toku, upozorněte vlastníky toku, že tok bude pozastaven. Tento mechanismus běží každý týden.

  4. Vynucení v času návrhu: Zapněte vynucení porušení DLP v čase návrhu, aby majitelé stávajících toků byli informováni o nadcházející změně vynucení DLP, ale všechny toky, které se změní, získají úplné vyhodnocení zásad DLP v době návrhu. To se také označuje jako měkké vynucování.

    • Doba návrhu: Když je tok aktualizován a uložen, použijte aktualizované vynucení DLP a v případě potřeby pozastavte tok, aby byl tvůrce okamžitě informován o vynucení.

    • Proces na pozadí: Když úloha vynucení DLP na pozadí zjistí porušení v toku, upozorněte vlastníky toku, že tok bude pozastaven. Tento mechanismus zahrnuje vytváření nebo změny zásad DLP a kontroly konzistence.

  5. Úplné vynucení: Zapněte pro úplné vynucení porušení DLP, aby byly zásady ochrany před únikem informací plně uplatňovány u všech stávajících i nových toků. Zásady ochrany před únikem informací jsou plně uplatněny při ukládání toků během vyhodnocování úlohy vynucení ochrany před únikem informací na pozadí. To se také označuje jako tvrdé vynucování.

Seznam změn vynucení DLP

Následující tabulka obsahuje seznam změn vynucení ochrany před únikem informací a datum, kdy byly změny provedeny.

Date Popis Důvod změny Fáze Dostupnost vynucení v době návrhu* Plná dostupnost vymáhání*
Květen 2022 Vynucení úlohy na pozadí delegované autorizace Zásady ochrany před únikem informací jsou vynuceny pro toky, které používají delegovanou autorizaci během ukládání toku, ale ne během vyhodnocování úlohy na pozadí. Úplný 2. června 2022 21. července 2022
Květen 2022 Žádost o vynucení spouštěče apiConnection Zásady DLP nebyly u některých spouštěčů správně vynuceny. Dotčené spouštěče mají typ=Request a kind=apiConnection. Mnohé z dotčených triggerů jsou okamžité triggery, které se používají v okamžitých nebo ručně aktivovaných tocích. Mezi ovlivněné spouštěče patří následující.
- Power BI: Bylo kliknuto na tlačítko Power BI
- Teams: Z pole pro sestavení (V2)
- OneDrive pro Business: Pro vybraný soubor
- Dataverse: Když je krok toku spuštěn z toku obchodního procesu
- Dataverse (zastaralý): Při výběru záznamu
- Excel Online (Business): Pro vybraný řádek
- SharePoint: Pro vybranou položku
- Microsoft Copilot Studio: Když Copilot Studio volá tok (V2)
Úplný 2. června 2022 25. srpna 2022
Červenec 2022 Vynutit zásady ochrany před únikem informací u podřízených toků Povolte vynucení zásad DLP tak, aby zahrnovaly podřízené toky. Pokud je kdekoli ve stromu toku nalezeno porušení, nadřazený tok se pozastaví. Po úpravě a uložení podřízeného toku za účelem odebrání porušení lze nadřazené toky znovu uložit nebo znovu aktivovat, aby bylo možné znovu spustit vyhodnocení zásad ochrany před únikem informací. Změna, která již nebude blokovat podřízené toky, když je zablokován konektor HTTP, bude zavedena spolu se striktním prosazováním zásad DLP u podřízených toků. Jakmile bude k dispozici úplné vynucení, vynucení bude zahrnovat podřízené desktopové toky. Úplný 14. února 2023 Březen 2023
Leden 2023 Vynucení zásad ochrany před únikem informací u podřízených desktopových toků Povolte vynucení zásad ochrany před únikem informací tak, aby zahrnovaly podřízené desktopové toky. Pokud je kdekoli ve stromu toku nalezeno porušení, nadřazený desktopový tok je pozastaven. Po úpravě a uložení podřízeného desktopového toku při odebrání porušení se nadřazené desktopové toky automaticky znovu aktivují. Úplný - Srpen 2023

*Plán dostupnosti se může změnit a závisí na zavedení.

Pozastavení toku z důvodu porušení DLP

Pozastavené toky se na Power Automate Maker Portal a v centru pro správu Power Platform zobrazují jako pozastavené. Když se tok vrátí prostřednictvím rozhraní API, PowerShell nebo toků seznamu konektorů správy Power Automate jako akce správce, tok má hodnoty State=Suspended, FlowSuspensionReason=CompanyDlpViolation a FlowSuspensionTime, které označují, kdy byl tok pozastaven.

Známá omezení

Přečtěte si o známých problémech s ochranou před únikem informací.