环境和 DLP 策略管理

  • 项目

观看环境和 DLP 请求流程工作原理的 演练。

流程说明

问题陈述:当开发项目需要新环境,并且非管理员被限制创建环境时,非管理员访问新环境的唯一方法是管理员准备金环境并向用户授予权限。 如果环境需求量很大,因为涉及多个步骤,管理员可能会成为开发的瓶颈。 新环境可能还需要新的连接器或 DLP 策略。

解决方案:非管理员可以使用以下过程来请求新环境并更改其环境的 DLP 策略。

环境管理流程

开发人员(非管理员)可以:

  • 提交新环境请求。
  • 提交请求以将 DLP 策略应用于环境。

管理员可以:

  • 为使用应用的开发人员预配新环境。
  • 了解新环境将如何受数据丢失防护策略的影响。
  • 批准或拒绝 DLP 策略请求。

开发人员:请求环境

开发人员(非管理员)可以请求新环境,让管理员进行会审。

  1. 打开制作者 – 环境请求应用。

  2. 选择“+ 新建”

  3. 在弹出菜单中,选择新环境中所需的连接器。 然后选择“下一步”。 选择连接器

  4. 选择需要环境管理员访问权限的用户帐户。 选择管理员

  5. 提供有关所需环境的基本详细信息,包括显示名称、区域、类型、用途。

  6. 指示是否可以在一段时间后自动清理环境。

    1. 如果可以,从出现的下拉列表中提供持续时间(以天为单位)。 如果您只需要为短期项目请求环境,请执行此操作。
    2. 否则,环境不会自动删除。 如果您需要长时间保留环境,请执行此操作。

  7. 指示是否预配 Dataverse 数据库。 环境详细信息

  8. 如果需要数据库(切换=是),请提供所需的语言和货币值。 (可选)提供安全组以限制对环境的访问。 选择数据库设置

  9. 完成后单击保存按钮提交表单。

📧 将发送一封电子邮件,通知 CoE 初学者工具包管理员审核新请求。

在画布应用中查看您提交的任何请求。

查看请求

管理员:批准或拒绝环境请求

作为管理员,您可以查看和会审新环境的请求。

  1. 打开名为管理员 - 环境请求的画布应用。

  2. 在主屏幕中查看待处理的环境创建请求。

    备注

    默认情况下,将首先显示待处理请求。 使用功能区右侧的下拉列表更改请求状态筛选器。

  3. 在表中选择一个请求来查看更多详细信息。 选择请求

  4. 阅读新环境请求的详细信息:

    1. 环境信息,理由。

    2. 管理员已请求。

    3. 查看请求的安全组,如果未选择,添加一个。

    4. 连接器。

    5. 影响策略。

    6. 在“注释”面板中添加有关决定的注释。

      查看详细信息

    备注

    页面顶部的横幅指示新环境将如何受到租户中现有策略的影响。 修改策略时,影响分析会发生变化。

  5. 单击建议的操作(如果有)修改“受影响策略”表中的数据丢失防护策略。 查看操作

    警告

    只能添加某些类型的策略(不是“所有环境”类型策略的组织级环境)。

  6. 选择“查看和修改策略”来查看所有策略及其对请求的连接器的影响。 您可以通过选择策略并选择功能区中显示的操作,向修改列表中添加或删除策略,策略将在审批后发生更改。 查看或修改 DLP 策略

  7. 选择一个策略,然后单击功能区中的详细信息操作来查看对连接器的影响。 策略影响

  8. 在左上方功能区批准或拒绝请求。 批准或拒绝

批准路径

请求获得批准后,将使用请求的配置创建环境。 用户将被授予环境管理员访问权限。

⏳ 呼气

如果环境有到期日期,它将在指示的持续时间后自动删除。 每周会向管理员发送警告电子邮件,提醒他们将工作保存在源代码管理中或环境之外的其他位置。

如果没有设置过期时间,环境永远不会被自动清理。 必须在 Power Platform 管理中心手动删除环境。

DLP 建议逻辑

管理员应用使用以下逻辑提供有关如何配置 DLP 策略以允许请求的连接器的指导。

决定矩阵:警告横幅

这是查看请求的详细信息页面时管理应用中显示的横幅。

条件 没有策略应用于环境 现有策略应用于环境,但未将其包含在任何策略的环境列表中 环境将在审批后添加到策略中
已取消阻止 🟡 连接器未被阻止或限制,但没有策略会保护环境。 将环境添加到至少一个策略中以防止数据丢失。 🟢 连接器未被阻止或限制,并且至少一个现有策略涵盖环境。 🟢 连接器不会被阻止,并且环境将在请求获得批准时添加到选定的策略中。
已屏蔽 -- ⛔ 连接器被原始策略配置阻止。 在 Power Platform 管理中心将环境添加到现有策略环境列表或修改策略以取消阻止连接器。 ⛔ 当前策略配置阻止的连接器。 在 Power Platform 管理中心将环境添加到不同策略或修改策略以取消阻止连接器。
受限 -- 🟡 连接器受原始策略配置限制。 在 Power Platform 管理中心将环境添加到现有策略的环境列表或修改策略以取消阻止连接器。 🟡 连接器受当前策略配置限制。 在 Power Platform 管理中心将环境添加到不同策略或修改策略以取消阻止连接器。

基于策略和请求的连接器的建议操作矩阵。 水平列显示每个策略类型,矩阵的垂直行显示根据策略规则策略将对请求的连接器产生的影响。

影响 所有环境 排除特定环境 包含多个环境
未阻止或限制 无需任何操作。

请求的连接器未被此策略阻止。 此类型策略将在创建后覆盖此新环境,因此无需执行任何操作。		 如果未覆盖新环境,请添加策略。 如果覆盖,则无需执行任何操作。 如果将请求的连接器添加到策略的环境列表中,此策略将不会阻止请求的连接器。 如果此环境将添加到影响请求的连接器的另一个“排除某些环境”策略列表,则添加到此策略的列表。
已屏蔽 在 Power Platform 管理中心的策略定义中取消阻止允许的连接器。

⚠注意:更改影响“所有环境”的策略可能会影响租户中的任何画布应用和云端流。 在 DLP 编辑器工具中确认影响。

如果无法更改此策略的连接器规则,您可以通过在 Power Platform 管理中心中将此策略更改为“排除某些环境”类型的策略来将这个新环境设置为例外。 查找或创建允许请求的连接器将环境添加到其中的“多个环境”类型的策略。 返回此环境请求管理员应用记录,将此环境添加到两个策略的环境列表中。		 添加到此策略或取消阻止已阻止的连接器。

如果没有其他政策覆盖此环境,请将其添加到另一个现有的或新的“多个环境”策略中,该策略不会阻止请求的连接器。		 请勿将新环境添加到此策略中。

如果环境未被其他策略覆盖,只需将其添加到“多个环境”类型的策略中。 例如,如果没有“所有环境策略”并且环境被从所有“排除例外环境”类型的策略中排除,则没有策略覆盖该环境。

如果没有可将此环境添加到的更好的策略,请考虑更新此策略的连接器组,或在 Power Platform 管理中心创建新策略。
受限 将受限连接器放在 Power Platform 管理中心中策略定义中的同一组中。

⚠注意:更改“所有环境”类型策略可能会影响租户中的任何画布应用和云端流。

如果无法更改此策略的连接器规则,您可以通过在 Power Platform 管理中心中将此策略更改为“排除某些环境”类型的策略来将这个新环境设置为例外。 查找或创建在同一组中具有请求的连接器的“多个环境”类型的策略。 返回此环境创建请求管理员应用记录,将此环境添加到两个策略的环境列表中。		 将环境添加到此策略的例外列表中。

如果环境被添加到例外列表并且没有其他策略覆盖该环境,请将其添加到另一个不会限制可接受的请求连接器的“多个环境”策略中,或者创建另一个策略来满足最关键的安全要求。

考虑是否可以通过在 Power Platform 管理中心更新此策略来取消限制可接受的请求连接器。

注意:请确保从此政策中排除的其他环境不会受到此更改的负面影响。		 请勿将新环境添加到此策略中。

如果环境被从“排除例外环境”类型的策略中排除,并且没有其他策略会覆盖该环境,则只需将该环境添加到“多个环境”类型的策略中。

如果没有现有策略在运行,请考虑是否可以更新此策略来将请求的连接器包含在同一个组中。 请确保环境列表中包含的其他环境不会受到负面影响。 转到 Power Platform 管理中心更新策略规则。

开发人员:请求 DLP 策略更改

制作者可以使用 DLP 策略更改请求系统来修改应用于他们作为管理员的环境的 DLP 策略。 如果获得批准,这将在您工作的环境中启用您需要的连接器。

  1. 打开制作者 – 环境请求应用。
  2. 使用左侧导航导航到数据策略更改请求页面。 数据策略更改请求屏幕
  3. 选择“+ 新建”
  4. 在“请求的操作”字段中,选择“将策略应用于环境”选项。
  5. 在“策略”字段中,选择所需的策略。
    1. 通过单击字段标头旁边的信息图标,确认您的环境所需的连接器是否在策略中。 确认此策略允许您所需的连接器。
  6. 选择要应用此策略的环境。 您只能选择您作为管理员的环境。
    1. 如果您在下拉列表中看不到任何环境,说明您没有任何环境的环境管理员角色。
    2. 提供请求的理由。 例如,有助于指定您的项目详细信息和您需要的连接器。
  7. 选择保存提交请求。
  8. 如果管理员批准请求,策略将应用于环境。

管理员:批准或拒绝 DLP 策略更改请求

重要提示

如果 DLP 策略更改请求在此系统中获得批准,它会将状态更新为已批准,这将触发自动将所选策略应用到指定环境的流。 它还将从具有“包含”环境范围的所有其他策略中删除该环境,并将该环境添加到具有“排除”环境范围的所有策略中。 在使用 DLP 策略请求工具之前,请确保此流程适合您的设置。

配置共享策略

在 Power Platform 管理中心配置数据策略

备注

按照我们的最佳实践创建 DLP 策略

可以处理不同级别组的共享 DLP 策略的示例集:

  • 工作效率 (应用于除之外的所有环境)–此策略旨在涵盖默认环境、试用环境以及其他环境未涵盖的所有其他环境。 它具有最严格的规则。
  • 高级用户 (应用于多个环境)–适用于规则限制性略低于 Productivity 的单个环境。
  • Pro Dev (适用于多个环境)–与 Power User 相比,适用于可以访问大多数连接器的单个环境,适用于受过良好培训并同意公司数据安全策略的用户,这些策略应在定义使用责任的情况下进行定义。

同步共享策略

制作者无法查看所有数据策略,请求系统可以通过 Dataverse 让这些信息向制作者轻松显示。 系统将指示的策略从 Power Platform 服务同步到 Dataverse 表,制作者可以看到管理员允许他们查看的策略。 然后,制作者可以请求将这些共享策略应用到他们的环境中。

要使共享 DLP 策略对制作者可见,需要将该策略创建为 Dataverse 中的记录。

  • 打开管理员 – 环境请求应用。
  • 在左侧导航中导航到数据政策页面。
  • 选择您希望对制作者可见的策略,然后选择功能区中的公开选项 使共享策略对制作者可见。

与制作者共享应用与说明

  • 授予您的制作者访问制作者 – 环境请求画布应用的权限,并为他们分配 Power Platform 制作者 SR 安全角色。 使用 Microsoft Entra 组使分配更容易。
  • 向用户提供有关如何使用请求系统的说明。

批准或拒绝请求

当用户有权访问并开始发起请求后,管理员就可以在管理员 – 环境请求画布应用中看到这些请求。

在管理员环境请求应用中查看请求

要查看和响应 DLP 策略更改请求:

  1. 打开管理员 – 环境请求应用。
  2. 使用左侧导航导航到策略更改请求页面。
  3. 查看请求列表。 您可以使用功能区右侧的状态筛选器按状态筛选请求。 查看请求列表
  4. 要更详细地查看请求,选择其中一个请求,单击功能区中的详细信息操作。
  5. 要批准或拒绝请求,筛选“待处理”状态的请求,选择其中一个请求。 在应用中只能响应具有待处理状态的请求。
  6. 选择请求后,您可以使用功能区中的操作选择“批准”或“拒绝”请求。
    1. 如果请求获得批准,它会将状态更新为“已批准”,这将触发自动将所选策略应用到指定环境的流。 它还将从具有“包含”环境范围的所有其他策略中删除该环境,并将该环境添加到具有“排除”环境范围的所有策略中。 在继续之前,请确保此行为符合您公司的安全要求。 自动化完成后,请求状态将设置为“已完成”,记录将停用。
    2. 如果请求被拒绝,状态将设置为“已拒绝”,记录将停用。