Criação da política de prevenção de perda de dados (DLP)
Os dados de uma organização são críticos para o seu sucesso. Esses dados têm de estar prontamente disponíveis para tomada de decisões, mas, ao mesmo tempo, têm de estar protegidos para que não sejam partilhados com audiências que não deveriam ter acesso aos mesmos. Para proteger os dados do seu negócio, o Power Automate dá-lhe a capacidade de criar e impor políticas que definem que conectores conseguem aceder e partilhá-los. As políticas que definem a forma como os dados podem ser partilhados são referidas como políticas de prevenção de perda de dados (DLP).
Os administradores controlam políticas DLP. Se uma política DLP estiver a bloquear a execução dos seus fluxos, contacte o seu administrador.
Prevenção de perda de dados para fluxos de ambiente de trabalho
O Power Automate permite-lhe criar e impor políticas DLP que classificam os módulos do fluxo de ambiente de trabalho e ações de módulos individuais, como Negócio, Não negócio ou Bloqueadas. Esta categorização impede que os criador combinem módulos e ações de diferentes categorias num fluxo de ambiente de trabalho ou entre um fluxo de cloud e os fluxos de ambiente de trabalho que utiliza.
Importante
- A imposição de política DLP para fluxos de ambiente de trabalho está disponível em todos os ambientes.
- A DLP para fluxos de ambiente de trabalho está disponível para versões do Power Automate para ambiente de trabalho 2.14.173.21294 ou posterior. Se estiver a utilizar uma versão anterior, desinstale-o e atualize para a versão mais recente.
Ver grupos de ações do fluxo de ambiente de trabalho
Por predefinição, os grupos de ações de fluxos de ambiente de trabalho não aparecem quando está a criar uma política DLP. Tem de ativar a definição Mostrar ações do fluxo de ambiente de trabalho em políticas DLP nas definições do seu inquilino.
Se optou pela pré-visualização pública, a definição Ações de fluxo de ambiente de trabalho em DLP já está ativada e não pode ser alterada.
Inicie sessão no centro de administração do Power Platform.
No painel do lado esquerdo, selecione Configurações.
Na página Definições do inquilino, selecione Ações do fluxo de ambiente de trabalho na DLP.
Ative Mostrar ações do fluxo de ambiente de trabalho em políticas DLP e, em seguida, selecione Guardar.
Pode agora classificar grupos de ações do fluxo de ambiente de trabalho quando cria uma política de dados.
Criar uma política DLP com restrições de fluxo de ambiente de trabalho
Quando os admins editam ou criam uma política, os grupos de ações de fluxos de ambiente de trabalho são adicionados ao grupo predefinido e a política é aplicada depois de ser guardada. A política é suspensa se o grupo predefinido for definido como Bloqueado e os fluxos de ambiente de trabalho estiverem em execução nos ambientes de destino.
Pode gerir as políticas DLP para fluxos de ambientes de trabalho da mesma forma que gere conectores e ações de fluxo de cloud. Os módulos do fluxo de ambiente de trabalho são grupos de ações semelhantes, tal como apresentados na interface de utilizador do Power Automate para computadores. Um módulo é semelhante aos conectores que são usados nos fluxos de cloud. Pode definir uma política DLP que gere tanto os módulos do fluxo de ambiente de trabalho como os conectores do fluxo de cloud. Alguns módulos básicos, tais como Variáveis, não podem ser geridos no âmbito da política DLP porque quase todos os fluxos de ambiente de trabalho precisam de os utilizar. Obter mais informações sobre as noções básicas de políticas DLP e como criá-las.
Quando o seu inquilino participa ativamente na experiência de utilizador no Power Platform, os seus administradores verão automaticamente os novos módulos de fluxo de ambiente de trabalho no grupo de dados predefinido da política DLP que estão a criar ou atualizar.
Aviso
Quando os módulos de fluxo de ambiente de trabalho são adicionados a políticas DLP, os fluxos de ambiente de trabalho do seu inquilino são avaliados em comparação com elas e serão suspensos se não forem compatíveis. Se o seu administrador criar ou atualizar a política DLP sem reparar nos novos módulos, os fluxos de ambiente de trabalho poderão ficar inesperadamente suspensos.
Controlar os fluxos de ambiente de trabalho fora da DLP
O controlo granular sobre a utilização de fluxos de ambiente de trabalho em todos os computadores, como descrito nas secções anteriores. aplica-se apenas a Ambientes Geridos. Tem outras opções para governar fluxos de ambiente de trabalho.
Capacidade de governar a orquestração do fluxo de ambiente de trabalho: o conector do fluxo de ambiente de trabalho pode ser governado nas suas políticas como qualquer outro conector em todos os ambientes.
Capacidade de governar a utilização do Power Automate para ambiente de trabalho: pode governar fluxos do Power Automate para ambiente de trabalho através de objetos de Política de Grupo (GPO). Esta governação permite-lhe ativar ou desativar fluxos de ambiente de trabalho para ações, como restringir a um conjunto de ambientes ou regiões, limitar a utilização de tipos de conta e restringir atualizações manuais.
Mais informações sobre governação no Power Automate.
Módulos de fluxo de trabalho na DLP
Os seguintes módulos de fluxo de ambiente de trabalho estão disponíveis na DLP:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatização do Browser
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd Sessão CMD
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Área de Transferência
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compressão
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Criptografia
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Base de Dados
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email E-mail
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File Ficheiro
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Pasta
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Serviços cognitivos da Google
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive Serviços cognitivos da IBM
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Caixas de mensagens
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Serviços cognitivos da Microsoft
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Rato e teclado
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Secret Variables
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Executar fluxo
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System Sistema
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulação de terminal
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation Automatização da IU
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Serviços Windows
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Estação de trabalho
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Suporte do PowerShell para módulos de fluxo de ambiente de trabalho
Se não pretender ativar a definição Mostrar ações do fluxo de ambiente de trabalho em políticas DLP, poderá utilizar o script do PowerShell que se segue para adicionar todos os módulos de fluxo de ambiente de trabalho ao grupo Bloqueado de uma política DLP. Se já tiver ativado a definição, não necessita de utilizar este script.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
O seguinte script do PowerShell adiciona dois módulos de fluxo de ambiente de trabalho específicos ao grupo de dados predefinidos de uma política DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Script do PowerShell para optar ativamente por não participar em fluxos de ambiente de trabalho
Se não pretender utilizar a DLP para a caraterística de fluxos de ambiente de trabalho, pode utilizar o seguinte script do PowerShell para optar ativamente por não participar.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Após a política estar ativada
Se os seus utilizadores não tiverem o Power Automate para computadores mais recente, a imposição da política DLP é limitada. Não vêem as mensagens de erro no momento da conceção quando estão a tentar executar, depurar ou guardar fluxos de ambiente de trabalho que violem as políticas DLP. As tarefas de fundo analisam periodicamente os fluxos de ambiente de trabalho no ambiente e suspendem automaticamente todos os que violam as políticas DLP. Os utilizadores não são capazes de executar fluxos de ambiente de trabalho a partir de um fluxo de cloud se o fluxo de ambiente de trabalho violar qualquer política de prevenção de perda de dados.
Os criadores que tenham o Power Automate para computadores mais recente não conseguem depurar, executar ou guardar fluxos de ambiente de trabalho que violem a política DLP. Também não conseguem selecionar fluxos de ambiente de trabalho que esteja a violar uma política DLP a partir do passo de um fluxo de cloud.
Imposição e suspensão da DLP
- Quando cria ou edita um fluxo, o Power Automate avalia-o em relação ao conjunto atual de políticas DLP.
- A imposição de fluxos sem um fluxo subordinado, que representa 99% dos fluxos, é síncrona e ocorre em tempo real.
- A imposição de um fluxo com um fluxo subordinado é assíncrona, uma vez que os fluxos subordinados também precisam de ser avaliados, e ocorre dentro de 24 horas.
- Quando cria ou altera uma política DLP, uma tarefa de fundo analisa todos os fluxos ativos no ambiente, avalia-os e, em seguida, suspende os fluxos que violam a política. A imposição é assíncrona e ocorre dentro de 24 horas. Se ocorrer uma alteração à política DLP quando a política DLP anterior está a ser avaliada, a avaliação é reiniciada para se certificar de que as políticas mais recentes são impostas.
- Semanalmente, uma tarefa em fundo verifica a consistência de todos os fluxos ativos no ambiente em relação às políticas DLP para confirmar que não foi perdida uma verificação de política DLP.
Reativação da DLP
Se a tarefa de fundo de imposição DLP encontrar um fluxo de ambiente de trabalho que já não viola qualquer política DLP, a tarefa de fundo remove automaticamente a suspensão. No entanto, a tarefa de fundo de imposição DLP não ativa automaticamente fluxos de cloud com suspensão anulada.
Processo de alteração de imposição DLP
Periodicamente, a imposição de DLP precisa de mudar porque novas capacidades de DLP, uma correção de erros são lançadas ou quando uma lacuna de imposição é preenchida. Quando as alterações podem afetar fluxos existentes, aplique o seguinte processo de gestão de alterações de imposição de DLP faseada:
A investigar: confirme a necessidade de uma alteração à imposição de DLP e investigue as especificidades da alteração.
Aprendizagem: implemente a alteração e recolha dados sobre a amplitude dos efeitos da alteração. Documente as alterações à imposição de DLP para explicar o âmbito da alteração. Se os dados sugerirem que alguns clientes serão bastante afetados, pode ser enviada comunicação aos clientes, indicando-lhes que está a chegar uma alteração. Se a alteração tiver um impacto abrangente em fluxos existentes, numa fase de aprendizagem posterior, quando a tarefa de imposição de DLP de fundo encontrar uma violação num fluxo existente, o Power Automate notifica os proprietários de que o fluxo será suspenso, para que tenham mais tempo para responder.
Notificar apenas: ative as notificações por e-mail apenas para violações DLP para que os proprietários de fluxos existentes seja notificado acerca da alteração de imposição DLP. Quando a tarefa de imposição de DLP de fundo encontra uma violação num fluxo existente, notifique os proprietários do fluxo de que o fluxo será suspenso. Este mecanismo é executado semanalmente.
Imposição de tempo de estruturação: ative a imposição de tempo de estruturação de violações DLP para que os proprietários de fluxos existentes sejam notificados sobre a próxima alteração da imposição DLP, mas quaisquer fluxos alterados obterão uma avaliação completa da política DLP no momento da estruturação. Isto também é conhecido como imposição não-restritiva.
Tempo de estruturação: quando um fluxo é atualizado e guardado, utilize a imposição de DLP atualizada e suspenda o fluxo, se necessário, para que o criador esteja imediatamente ciente da imposição.
Processo em segundo plano: quando a tarefa de imposição de DLP em segundo plano encontra uma violação num fluxo, notifique os proprietários do fluxo de que o fluxo será suspenso. Este mecanismo inclui a criação ou alterações à política DLP e verificações de consistência.
Imposição total: ative a imposição total de violações DLP, para que as políticas DLP sejam totalmente impostas a todos os fluxos, existentes e novos. As políticas DLP são totalmente impostas quando os fluxos são guardados durante a avaliação da tarefa de fundo da imposição de DLP. Isto também é conhecido como imposição restritiva.
Lista de alterações de imposição DLP
A tabela seguinte lista alterações à imposição DLP e a data em que as alterações entraram em vigor.
| Date | Descrição | Razão para a alteração | Fase | Disponibilidade de imposição no momento da conceção* | Disponibilidade de imposição total* |
|---|---|---|---|---|---|
| Maio de 2022 | Imposição de tarefa de fundo de autorização delegada | As políticas DLP são impostas em fluxos que utilizam autorização delegada enquanto o fluxo está a ser guardado, mas não durante a avaliação da tarefa em fundo. | Total | 2 de junho de 2022 | 21 de julho de 2022 |
| Maio de 2022 | Pedir a imposição do acionador apiConnection | Algumas políticas DLP não foram impostas corretamente para alguns acionadores. Os acionadores afetados têm type=Request e kind=apiConnection. Muitos dos acionadores afetados são acionadores instantâneos, que são utilizados em fluxos instantâneos ou acionados manualmente. Os acionadores afetados incluem o seguinte. - Power BI: Power BI clicado pelo botão - Teams: da caixa de composição (V2) - OneDrive para Empresas: para um ficheiro selecionado - Dataverse: quando um passo de fluxo é executado a partir de um fluxo do processo de negócio - Dataverse (legado): quando um registo é selecionado - Excel Online (Business): para uma linha selecionada - SharePoint: para um item selecionado - Microsoft Copilot Studio: quando o Copilot Studio chama um fluxo (V2) |
Total | 2 de junho de 2022 | 25 de agosto de 2022 |
| Julho de 2022 | Impor políticas DLP em fluxos subordinados | Permita que a imposição de políticas DLP incluam fluxos subordinados. Se for encontrada uma violação em qualquer parte da árvore do fluxo, o fluxo principal é suspenso. Depois de o fluxo subordinado ser editado e guardado para remover a violação, os fluxos principais podem ser guardados novamente ou reativados para executarem novamente a avaliação da política DLP. Uma alteração para deixar de bloquear fluxos subordinados quando o conector HTTP é bloqueado será implementado juntamente com a imposição total de políticas DLP nos fluxos subordinados. Quando a imposição total estiver disponível, a imposição incluirá fluxos de ambiente de trabalho subordinados. | Total | 14 de fevereiro de 2023 | Março de 2023 |
| Janeiro de 2023 | Impor políticas DLP em fluxos de ambiente de trabalho subordinados | Permita que a imposição de políticas DLP incluam fluxos de ambiente de trabalho subordinados. Se for encontrada uma violação em qualquer parte da árvore do fluxo, o fluxo principal de ambiente de trabalho é suspenso. Depois de o fluxo de ambiente de trabalho subordinado ser editado e guardado para remover a violação, os fluxos de ambiente de trabalho principais são reativados automaticamente. | Total | - | Agosto de 2023 |
| Outubro de 2024 | Impor o controlo da ação do conector em acionadores e ações internas | Expanda a aplicação do controlo da ação do conector para garantir que os acionadores e as ações internas sejam cobertos. Liste-os no centro de administração do Power Platform e imponha o seu bloqueio se forem referenciados individualmente nas políticas DLP ou se a política DLP não os incluir como permitido. | Formação | Janeiro de 2025 | Fevereiro de 2025 |
*A agenda de disponibilidade pode mudar e depende da implementação.
Suspensão de fluxo para violação DLP
Os fluxos suspensos são apresentados como suspensos no Power Automate Maker Portal e no centro de administração do Power Platform. Quando um fluxo é devolvido através de uma API, do PowerShell ou da ação Fluxos de lista de conectores de gestão do Power Automate "como Admin", o fluxo tem valores State=Suspended, FlowSuspensionReason=CompanyDlpViolation e FlowSuspensionTime a indicar quando o fluxo foi suspenso.
Limitações conhecidas
Conheça os problemas conhecidos de DLP.