Uso di Flow per la governance dei dati direzionale

  • 12 minuti

In alcune situazioni aziendali, i dati potrebbero provenire da origini esterne tramite connettori ed essere inseriti in servizi che a loro volta contengono informazioni aziendali importanti. In genere, questi connettori comunicano tra loro. La sfida dei criteri di prevenzione della perdita dei dati (DLP) consiste nel garantire che i connettori comunichino solo in una direzione, evitando che i preziosi dati aziendali vengano inviati accidentalmente a terze parti. La gestione del flusso di dati al fine di assicurarsi che i dati vadano solo dove devono andare è conosciuta come governance dei dati direzionale.

Attualmente, i criteri DLP non gestiscono automaticamente la governance dei dati direzionale. È però possibile usare Power Automate per intercettare e impedire a qualsiasi flusso di inviare dati aziendali a terze parti.

Ecco un esempio: si supponga che la propria organizzazione voglia usare SharePoint per tenere traccia dei post su X (in precedenza Twitter). Senza misure di controllo, le informazioni aziendali potrebbero fluire da SharePoint a X.

Per garantire che i dati si spostino solo nella direzione corretta (da X a SharePoint), attenersi alla seguente procedura:

  1. Creare un criterio DLP dall'interfaccia di amministrazione di Power Platform per includere i connettori di SharePoint X nel gruppo di dati Aziendale. Ciò permette ai creatori di creare flussi usando entrambi i connettori.

    Screenshot della pagina Criteri dati dell'interfaccia di amministrazione di Microsoft Power Platform nel passaggio di assegnazione dei connettori che mostra i connettori di X e SharePoint.

  2. Quindi, accedere a Power Automate Maker Portal usando l'account amministratore per creare un flusso di governance. Si crea un flusso pianificato che viene eseguito ogni ora.

  3. Dal menu sul lato sinistro della schermata Home selezionare +Crea, quindi Flusso cloud pianificato. Assegnare al flusso un Nome flusso, una data di inizio e di fine e una ripetizione di 1 ora, quindi selezionare Crea.

    Screenshot della finestra di dialogo Crea un flusso pianificato con Rilevamento azioni X in Nome flusso.

    Un trigger di ricorrenza verrà aggiunto automaticamente al flusso.

  4. Successivamente, si crea una variabile che calcola il numero di "tick" da 60 minuti fa a ora (uni tick è un'unità minima di tempo). Si usa la variabile creata in questo passaggio nella parte restante del flusso per verificare se sono stati creati o modificati flussi dall'ultima esecuzione del flusso, avvenuta 60 minuti prima.

  5. Selezionare il segno + nel trigger Ricorrenza per visualizzare il menu Aggiungi un'azione. In Cerca immettere Inizializza variabile e scorrere i risultati per trovare l'azione Inizializza variabile, disponibile nelle azioni Variabile.

  6. Selezionare il titolo Inizializza variabile e rinominare l'azione in Inizializza variabile - Timestamp un'ora fa. In Nome, assegnare all'azione il nome previousTimestamp. In Tipo selezionare Numero intero. Posizionare il cursore nel campo Valore. Viene visualizzata l'opzione che consente selezionare un fulmine (per aggiungere contenuto dinamico da un passaggio precedente) o fx (per aggiungere un'espressione). Poiché si desidera immettere un'espressione, selezionare fx.

    Immettere la formula seguente: ticks(addMinutes(utcNow(),-60)), quindi selezionare Aggiungi.

    Screenshot della pagina Flussi personali di Power Automate con la proprietà Value dell'azione Inizializza variabile e la formula dei tick evidenziata.

    Successivamente, si crea un'altra variabile. Questa variabile si userà successivamente nel flusso per rilevare se altri flussi includono un'azione X.

  7. Selezionare il segno + sotto il passaggio appena creato per aggiungere un'altra azione. Cercare e aggiungere un'altra azione Inizializza variabile. Selezionare l'azione Inizializza variabile e modificarla in Inizializza variabile - Il flusso contiene l'azione X. In Nome aggiungere isFlowAction, quindi modificare il Tipo in Booleano. Impostare false come valore predefinito selezionando false dal menu a discesa sotto Valore. Questa variabile verrà usata successivamente nel flusso quando si rileva che un flusso include un'azione X.

    Screenshot di una seconda azione Inizializza variabile denominata Flusso contiene azione X.

    Successivamente viene visualizzato un elenco di ambienti. Si usa l'elenco di ambienti creati in questo passaggio più avanti nel flusso per verificare in ogni ambiente i flussi che includono azioni X.

  8. Selezionare il segno + sotto il passaggio creato e cercare Elenca ambienti come amministratore. L'azione è disponibile nel connettore PowerPlatform for Admins. Non è necessario modificare nessuno dei parametri in questo passaggio.

    Screenshot del connettore Power Platform for Admins con l'azione Elenca ambienti come amministratore evidenziata.

    Dopo aver elencato gli ambienti, si ottiene un elenco dei flussi in ciascun ambiente.

  9. Selezionare il segno + sotto il passaggio creato, quindi cercare Elenca flussi come amministratore (V2). Se è presente una versione successiva alla V2, usare la versione più recente. Questa azione è disponibile sotto il connettore di gestione di Power Automate.

    Screenshot del passaggio Scegli un'azione con Flow Management ed Elenca flussi come amministratore evidenziati.

  10. L'azione Elenca flussi come amministratore richiede il nome di un ambiente come parametro di input. Posizionare il cursore nel campo Ambiente e selezionare Valori personalizzati dal menu a discesa. Il fulmine e l'fx appariranno di nuovo. Questa volta si desidera usare il contenuto dinamico generato nel passaggio Elenca ambienti come amministratore, quindi selezionare il fulmine.

  11. Viene visualizzato un elenco di output disponibili per l'uso dai precedenti passaggi creati nel flusso. Scorrere verso il basso e trovare il passaggio Elenca ambienti come amministratore; sotto questo passaggio, selezionare la colonna Nome. Quando si fornisce questo input, viene automaticamente aggiunta un'azione Applica a ogni che permetterà di eseguire l'iterazione di tutti gli ambienti.

    Screenshot dell'azione Applica a ogni con Elenca flussi come amministratore e il contenuto dinamico Name.

Poiché si è interessati solo all'esplorazione dei flussi modificati successivamente all'ultima esecuzione del flusso, si aggiungerà una condizione al flusso e si confronteranno i tick del timestamp dell'ultima modifica del flusso rispetto alla variabile Timestamp un'ora fa definita in precedenza in questo flusso.

  1. A tale scopo, occorre prima calcolare i tick del timestamp dell'ultima modifica. L'istruzione completa è ticks(items('Apply_to_each_2')?['properties']?['lastModifiedTime']) is greater than previousTimestamp.

    Screenshot della condizione con numero di tick maggiore del precedente con le opzioni Se sì e Se no.

  2. Quando si rileva che un flusso è stato modificato negli ultimi 60 minuti, si vorrà verificare che non appartenga all'amministratore. Questa verifica permette di evitare un errore quando si tenta di aggiungere l'amministratore come comproprietario di un flusso in un passaggio successivo.

    Usare il connettore Utenti di Office 365 e l'azione Recupera profilo personale (v2) e aggiungerli al ramo Se sì. Questo passaggio restituisce informazioni sull'utente che ha stabilito una connessione al connettore, che in questo caso è l'amministratore.

    Screenshot di utenti di Office 365 nella condizione Se sì con l'azione Recupera profilo personale evidenziata.

  3. A questo punto, si aggiunge un'altra condizione che verifica se l'ID oggetto Autore (dell'azione Elenca flussi come amministratore) corrisponde all'ID (dell'azione Recupera profilo personale (V2)).

    Nel ramo Se sì aggiungere l'azione Modifica ruolo proprietario flusso come amministratore che appartiene al connettore Power Automate for Admins. Si aggiungerà l'amministratore come comproprietario del flusso e sarà possibile estrarre la definizione del flusso, operazione consentita ai comproprietari del flusso.

    La definizione del flusso verrà recuperata in un passaggio successivo, ma per il momento occorre specificare il Nome ambiente e il Nome flusso correnti. Espandere la sezione Corpo/put e aggiungere i seguenti dettagli relativi all'utente amministratore: indirizzo e-mail, nome visualizzato e ID. Questi valori sono accessibili nel contenuto dinamico dall'azione Recupera profilo personale (V2).

    Screenshot di Modifica ruolo proprietario flusso come amministratore con le proprietà evidenziate.

  4. Dopo aver aggiunto l'account amministratore come comproprietario del flusso, è possibile chiamare l'azione Ottieni flusso come amministratore dal connettore Flow Management.

    Screenshot di Flow Management con Ottieni flusso come amministratore evidenziato.

  5. Gli input per l'azione Ottieni flusso come amministratore includono il Nome ambiente e il Nome flusso correnti. L'output di questa azione include la definizione del flusso che consentirà di determinare se è presente un'azione X.

    Screenshot della condizione Se sì con Ottieni flusso come amministratore aggiunto con Ambiente impostato su Nome e Flusso impostato su Nome flusso.

  6. Per verificare se viene usata un'azione X, aggiungere una condizione al flusso e verificare se il nome dell'API azione (dall'azione Ottieni flusso come amministratore) corrisponde a shared_twitter. Dopo aver aggiunto questa condizione, verrà applicato un ciclo Applica a ogni. Ciò è dovuto al fatto che l'attributo nome dell'azione API fa parte di una matrice perché ogni flusso può avere più azioni.

  7. All'interno del ramo Se sì, aggiornare la variabile isFlowAction in modo che sia impostata su true poiché è stato rilevato un flusso che include un'azione Twitter. Questa variabile verrà usata successivamente nel flusso per determinare se è necessario disabilitare un flusso e inviare un messaggio e-mail al proprietario del flusso.

    Screenshot dell'azione Condizione - Esiste un'azione Twitter con il ramo Se sì e l'azione Imposta variabile - Azione Twitter esistente evidenziata.

  8. All'esterno della variabile Applica a ogni che permette di eseguire l'iterazione di tutte le azioni nel flusso aggiungere un'altra condizione. Questa condizione verifica se il valore della variabile isFlowAction è true.

    Screenshot dell'azione Condizione 3 - Esiste l'azione Twitter? evidenziata.

  9. Nel ramo Se sì aggiungere il connettore Microsoft Flow for Admins e selezionare l'azione Disabilita flusso come amministratore. In questo modo è possibile disabilitare il flusso in modo che le informazioni non possano essere inviate a X. Per chiamare questa azione, includere il Nome ambiente e il Nome flusso correnti.

    Screenshot della condizione Se sì contenente Disabilita flusso come amministratore e Nome ambiente impostato su Nome e Nome flusso impostato su Nome flusso.

  10. Quando si disabilita il flusso di un utente, è buona norma inviare all'utente un messaggio e-mail per comunicare allo stesso che il flusso non è più in esecuzione. Per ottenere l'indirizzo e-mail del proprietario del flusso, usare il connettore Utenti di Office 365 e l'azione Recupera profilo utente (V2) per restituire l'indirizzo e-mail del proprietario. Per ottenere l'indirizzo e-mail, è necessario aggiungere ID oggetto autore, che può essere recuperato dall'azione Elenca flussi come amministratore.

    Screenshot di Recupera profilo utente - Autore flusso con Utente (UPN) impostato su ID oggetto autore.

  11. Inviare un messaggio e-mail al proprietario del flusso usando il connettore Office 365 Outlook e l'azione Invia un messaggio e-mail (v2). Usare le informazioni restituite dall'azione Recupera profilo utente (V2) per inviare questo messaggio e-mail, inclusi gli attributi Posta e Nome. È anche possibile inserire il nome del flusso aggiungendo l'attributo Nome visualizzato flusso incluso nell'output di Elenca flussi come amministratore.

    Screenshot di Invia un messaggio e-mail con A impostato su Posta, testo in Oggetto e testo nel corpo con i campi Nome e Nome visualizzato flusso.

  12. Poiché vengono riprodotti a ciclo continuo tutti i flussi nel tenant, è necessario impostare di nuovo la variabile isFlowAction su false in modo che sia possibile cercare altri flussi che potrebbero includere un'azione Twitter. È ora possibile salvare il flusso amministrativo.

    Screenshot di Imposta variabile - Reimposta flag Twitter con Nome impostato su isFlowAction e Valore impostato su false.

  13. Per testare il flusso, accedere a Power Automate Maker Portal usando un account diverso. Creare un flusso che include un trigger SharePoint e un'azione X. Questo scenario non verrà bloccato dai criteri DLP, ma dovrebbe essere rilevato dal flusso amministrativo creato.

    Screenshot di Power Automate nella pagina Flussi personali che crea un flusso con l'azione Twitter con i passaggi

  14. È ora possibile eseguire il flusso Rilevamento azioni X (precedentemente noto come Twitter) creato in precedenza come amministratore. Durante l'esecuzione di questo flusso, viene rilevata una modifica recente a un flusso che include un'azione Twitter. Di conseguenza, viene inviato un messaggio e-mail al proprietario del flusso.

    Screenshot del messaggio e-mail con l'oggetto Il flusso è stato disabilitato e il messaggio

  15. Se si esamina il flusso da SharePoint a X, si può notare che è stato disabilitato dall'amministratore.

    Screenshot della pagina Flussi di Power Automate con il flusso SharePoint > Twitter disabilitato.

Tuttavia, il recupero delle informazioni da X e il loro invio a SharePoint non violano le regole di governance. Di conseguenza, è possibile creare un altro flusso usando l'account dell'autore del flusso che include un trigger X e un'azione SharePoint. Quando si esegue il flusso di governance di rilevamento delle azioni X, il flusso rimane funzionante e non viene disabilitato poiché si tratta di un caso d'uso consentito.

Screenshot di Power Automate nella pagina Flussi personali per la creazione di un flusso con l'azione X con i passaggi