Condividi tramite

Gestione dei criteri DLP e degli ambienti

  • Articolo

Guarda una spiegazione dettagliata del funzionamento del processo di richiesta ambiente e DLP.

Descrizione processo

Enunciato del problema: quando un progetto di sviluppo richiede un nuovo ambiente e ai non amministratori è vietato creare ambienti, l'unico modo per i non amministratori di accedere ai nuovi ambienti è che gli amministratori usino accantonamento il ambiente e concedano le autorizzazioni agli utenti. Gli amministratori possono diventare il collo di bottiglia dello sviluppo se il volume della domanda per gli ambienti è elevato perché sono coinvolti più passaggi. I nuovi ambienti possono anche richiedere nuovi connettori o criteri DLP.

Soluzione: la procedura seguente può essere utilizzata da utenti non amministratori per richiedere nuovi ambienti e modifiche alle policy DLP per i propri ambienti.

Processo di gestione dell'ambiente

Gli sviluppatori (non amministratori) possono:

  • Inviare le richieste per i nuovi ambienti.
  • Invia richieste di criteri DLP da applicare ai loro ambienti.

Gli amministratori possono:

  • Fornire nuovi ambienti per gli sviluppatori che utilizzano l'app.
  • Scopri come i nuovi ambienti saranno interessati dai criteri di prevenzione della perdita di dati.
  • Approvare o rifiutare richieste di criteri DLP.

Sviluppatore: Richiedi un ambiente

Gli sviluppatori (non amministratori) possono richiedere nuovi ambienti per il triage dell'amministratore.

  1. Aprire l'app Autore – Richieste d'ambiente.

  2. Seleziona + Nuovo

  3. Nel menu a comparsa, scegli i connettori desiderati che saranno necessari nel nuovo ambiente. Quindi, seleziona Avanti. Scegli i connettori

  4. Scegli gli account utente che avranno bisogno dell'accesso all'ambiente come amministratore. Scegli gli amministratori

  5. Fornisci dettagli di base sull'ambiente desiderato, inclusi nome visualizzato, area geografica, tipo, scopo.

  6. Indica se l'ambiente può essere ripulito automaticamente dopo un certo periodo di tempo.

    1. In caso affermativo, fornisci la durata (in giorni) dal menu a discesa visualizzato. Esegui questa operazione solo se hai bisogno dell'ambiente solo per un progetto a breve termine.
    2. In caso contrario, l'ambiente non verrà eliminato automaticamente. Esegui questa operazione se hai bisogno di mantenere l'ambiente per un lungo periodo di tempo.

  7. Indica se eseguire il provisioning di un database Dataverse. Dettagli ambiente

  8. Se è necessario un database (interruttore=sì), fornisci i valori di lingua e valuta richiesti. Facoltativamente fornisci un gruppo di sicurezza per limitare l'accesso all'ambiente. Scegli le impostazioni del database

  9. Invia il modulo al termine facendo clic sul pulsante Salva.

📧 Verrà inviata un'e-mail per informare gli amministratori del CoE Starter Kit di esaminare la nuova richiesta.

Visualizza le richieste inviate nell'app canvas.

Visualizza le richieste

Amministratore: approva o rifiuta una richiesta di ambiente

In qualità di amministratore, puoi visualizzare e valutare le richieste per i nuovi ambienti.

  1. Apri l'app canvas chiamata Amministratore – Richiesta ambiente.

  2. Visualizza le richieste di creazione dell'ambiente in sospeso nella schermata principale.

    Nota

    Per impostazione predefinita, le richieste in sospeso vengono visualizzate per prime. Modifica il filtro dello stato della richiesta utilizzando il menu a discesa nella parte destra della barra multifunzione.

  3. Seleziona una richiesta nella tabella per visualizzare maggiori dettagli. Seleziona le richieste

  4. Leggi i dettagli richiesti per il nuovo ambiente:

    1. Informazioni sull'ambiente, giustificazione.

    2. Amministratori richiesti.

    3. Visualizza il gruppo di sicurezza richiesto o aggiungine uno se non ne è stato selezionato nessuno.

    4. Connettori.

    5. Criteri interessati.

    6. Aggiungi commenti sulla decisione nel pannello Note.

      Visualizza dettagli

    Nota

    Un banner nella parte superiore della pagina indica l'impatto sul nuovo ambiente in base ai criteri esistenti nel tenant. L'analisi dell'impatto cambierà quando i criteri verranno modificati.

  5. Modifica i criteri di prevenzione della perdita di dati nella tabella Criteri interessati facendo clic sulle azioni suggerite (se disponibili). Visualizza le azioni

    Avviso

    È possibile aggiungere solo determinati tipi di criteri (ambienti a livello di organizzazione che non sono criteri di tipo "Tutti gli ambienti").

  6. Seleziona "Visualizza e modifica criteri" per vedere tutti i criteri e il loro impatto sui connettori richiesti. È possibile aggiungere o rimuovere criteri dall'elenco che verrà modificato dopo l'approvazione selezionando un criterio e scegliendo le azioni visualizzate nella barra multifunzione. Visualizza o modifica i criteri di prevenzione della perdita dei dati

  7. Seleziona un criterio e fai clic sull'azione Dettagli nella barra multifunzione per visualizzare l'impatto sui connettori. Impatto dei criteri

  8. Approva o rifiuta la richiesta nella barra multifunzione in alto a sinistra. Approva o rifiuta

Percorso approvato

Una volta approvata la richiesta, verrà creato l'ambiente con le configurazioni richieste. Agli utenti viene concesso l'accesso come amministratore dell'ambiente.

⏳ Scadenza

Se l'ambiente ha una data di scadenza, verrà automaticamente eliminato dopo la durata indicata. Le e-mail di avviso vengono inviate settimanalmente agli amministratori per ricordare loro di salvare il lavoro nel controllo del codice sorgente o in altre posizioni al di fuori dell'ambiente.

Se non viene impostata alcuna scadenza, l'ambiente non verrà mai ripulito automaticamente. L'ambiente deve essere cancellato manualmente nell'interfaccia di amministrazione di Power Platform.

Logica di elementi consigliati DLP

L'app di amministrazione usa la logica seguente per fornire indicazioni su come configurare i criteri DLP per consentire i connettori richiesti.

Matrice decisionale: banner di avvertenza

Questo è il banner visualizzato nell'app di amministrazione quando si visualizza la pagina dei dettagli della richiesta.

Condizione Nessun criterio si applica all'ambiente I criteri esistenti si applicano all'ambiente senza includerli nell'elenco degli ambienti dei criteri L'ambiente verrà aggiunto ai criteri dopo l'approvazione
Sbloccato 🟡 I connettori non sono bloccati o limitati, ma nessuna politica proteggere o ambiente. Aggiungi l'ambiente ad almeno un criterio per prevenire la perdita di dati. 🟢 I connettori non sono bloccati o limitati e ambiente è coperto da almeno una policy esistente. 🟢 I connettori non vengono bloccati e ambiente verrà aggiunto alle policy selezionate al momento dell'approvazione della richiesta.
Bloccato -- ⛔ Connettori bloccati dalle configurazioni dei criteri originali. Aggiungi l'ambiente agli elenchi di ambienti di criteri esistenti o modifica i criteri nell'interfaccia di amministrazione di Power Platform per sbloccare i connettori. ⛔ Connettori bloccati dalle attuali configurazioni dei criteri. Aggiungi l'ambiente a criteri diversi o modifica i criteri nell'interfaccia di amministrazione di Power Platform per sbloccare i connettori.
Limitata -- 🟡 Connettori limitati dalle configurazioni dei criteri originali. Aggiungi l'ambiente agli elenchi di ambienti di criteri esistenti o modifica i criteri nell'interfaccia di amministrazione di Power Platform per sbloccare i connettori. 🟡 Connettori limitati dalle attuali configurazioni dei criteri. Aggiungi l'ambiente a criteri diversi o modifica i criteri nell'interfaccia di amministrazione di Power Platform per sbloccare i connettori.

Matrice per l'azione consigliata in base ai criteri e ai connettori richiesti. Le colonne orizzontali mostrano ogni tipo di criterio e le righe verticali della matrice mostrano l'impatto che il criterio ha sui connettori richiesti in base alle sue regole.

Impatto Tutti gli ambienti Escludi alcuni ambienti Includi più ambienti
Non bloccati o limitati Non è necessaria alcuna azione.

I connettori richiesti non sono bloccati da questo criterio. Questo tipo di criterio coprirà questo nuovo ambiente una volta creato, quindi non è necessaria alcuna azione.		 Aggiungi il criterio se il nuovo ambiente non è coperto. Se è coperto, non è necessaria alcuna azione. I connettori richiesti non vengono bloccati da questo criterio se aggiunti al relativo elenco di ambienti. Aggiungi a questo elenco di criteri se questo ambiente verrà aggiunto a un altro elenco di criteri "Escludi alcuni ambienti" che interessa i connettori richiesti.
Bloccato Sblocca i connettori consentiti nella definizione del criterio nell'interfaccia di amministrazione di Power Platform.

⚠ATTENZIONE: la modifica dei criteri che interessano "Tutti gli ambienti" può potenzialmente avere un impatto su qualsiasi app canvas e flusso cloud nel tenant. Conferma l'impatto nello strumento Editor DLP.

Se le regole del connettore di questo criterio non possono essere modificate, puoi fare un'eccezione per questo nuovo ambiente modificando questo criterio in un criterio di tipo "Escludi alcuni ambienti" nell'interfaccia di amministrazione di Power Platform. Trova o crea un criterio di tipo "Più ambienti" che consenta ai connettori richiesti di aggiungere l'ambiente. Torna a questo record dell'app di amministrazione della richiesta di ambiente e aggiungilo all'elenco degli ambienti di entrambi i criteri.		 Aggiungi a questo criterio o sblocca i connettori bloccati.

Se non sono presenti altri criteri che coprono l'ambiente, aggiungilo a un altro criterio "Più ambienti" esistente o nuovo che non bloccherà i connettori richiesti.		 Non aggiungere il nuovo ambiente a questo criterio.

L'ambiente deve essere aggiunto a un criterio di tipo "Più ambiente" solo se non è coperto da altri criteri. Ad esempio, se non sono presenti "Tutti i criteri dell'ambiente" e l'ambiente viene escluso da tutti i criteri di tipo "Escludi tranne gli ambienti", nessun criterio copre l'ambiente.

Se non ci sono criteri migliori a cui aggiungere questo ambiente, prendi in considerazione l'aggiornamento dei gruppi di connettori di questo criterio o crea un nuovo criterio nell'interfaccia di amministrazione di Power Platform.
Limitata Metti i connettori limitati nello stesso gruppo nella definizione dei criteri nell'interfaccia di amministrazione di Power Platform.

⚠ATTENZIONE: la modifica dei criteri di tipo "Tutti gli ambienti" può avere un impatto potenziale su qualsiasi app canvas e flusso cloud nel tenant.

Se le regole del connettore di questo criterio non possono essere modificate, puoi fare un'eccezione per questo nuovo ambiente modificando questo criterio in un criterio di tipo "Escludi alcuni ambienti" nell'interfaccia di amministrazione di Power Platform. Trova o crea un criterio di tipo "Più ambienti" che abbia i connettori richiesti nello stesso gruppo. Torna a questo record dell'app di amministrazione della richiesta di creazione ambiente e aggiungilo all'elenco degli ambienti di entrambi i criteri.		 Aggiungi l'ambiente all'elenco delle eccezioni di questo criterio.

Se viene aggiunto all'elenco delle eccezioni e non sono presenti altri criteri che coprono l'ambiente, aggiungilo a un altro criterio "Più ambienti" che non limiti i connettori richiesti accettabili o crea un altro criterio per coprire i requisiti di sicurezza più critici.

Considera se i connettori richiesti accettabili possono essere illimitati aggiornando questi criteri nell'interfaccia di amministrazione di Power Platform.

Attenzione: assicurati che altri ambienti esclusi da questo criterio non subiranno un impatto negativo da questa modifica.		 Non aggiungere il nuovo ambiente a questo criterio.

L'ambiente deve essere aggiunto a un criterio di tipo "Più ambienti" se viene escluso da un criterio di tipo "Escludi ad eccezione degli ambienti" e non sono presenti altri criteri che coprono l'ambiente.

Se nessun criterio esistente funziona, considera se l'aggiornamento di questo criterio per includere i connettori richiesti nello stesso gruppo è una possibilità. assicurandoti che gli altri ambienti inclusi nell'elenco degli ambienti non vengano influenzati negativamente. Vai all'interfaccia di amministrazione di Power Platform per aggiornare le regole dei criteri.

Sviluppatore: richiedi una modifica ai criteri DLP

I creatori possono utilizzare il sistema di richiesta di modifica dei criteri DLP per modificare i criteri DLP applicata agli ambienti in cui sono amministratore. Se approvato, ciò abiliterà i connettori necessari negli ambienti in cui lavori.

  1. Aprire l'app Autore – Richieste d'ambiente.
  2. Andare alla pagina Richieste di modifica dei dati utilizzando la navigazione a sinistra. Schermata Richieste di modifica dei criteri sui dati
  3. Seleziona + Nuovo
  4. Nel campo "Azione richiesta", scegli l'opzione "Applica criterio all'ambiente".
  5. Nel campo "Criteri", seleziona la politica desiderata.
    1. Conferma se i connettori richiesti dal tuo ambiente sono nei criteri facendo clic sull'icona delle informazioni accanto all'intestazione del campo. Conferma che i connettori richiesti sono consentiti da questi criteri.
  6. Scegli l'ambiente a cui applicare questi criteri. Sarai solo selezionato per gli ambienti di cui sei un amministratore.
    1. Se non vedi alcun ambiente nell'elenco a discesa, significa che non hai un ruolo amministratore dell'ambiente per nessun ambiente.
    2. Fornisci una ragione per la richiesta. Ad esempio, aiuta a specificare i dettagli del progetto e i connettori necessari.
  7. Seleziona Salva per inviare la richiesta.
  8. Se l'amministratore approva la richiesta, i criteri verranno applicati all'ambiente.

Amministratore: approva o rifiuta una richiesta di modifica dei criteri DLP

Importante

Se una richiesta di modifica dei criteri DLP viene approvata in questo sistema, lo stato verrà aggiornato su Approvato, che attiverà un flusso che applica automaticamente i criteri selezionati all'ambiente indicato. Rimuoverà anche l'ambiente da tutte le altre politiche che hanno un ambito di ambiente "include" e aggiungerà l'ambiente a tutte le politiche con un ambito di ambiente "exclude". Prima di utilizzare gli strumenti per la richiesta dei criteri DLP, assicurati che questo processo sia adatto alla tua configurazione.

Configura criteri condivisi

Configura i criteri dei dati nell'interfaccia di amministrazione Power Platform.

Nota

Segui le nostre best practice per creare una strategia DLP.

Insieme di esempio di criteri DLP condivisi che possono indirizzare diversi livelli di gruppi:

  • Produttività (si applica a tutti gli ambienti eccetto): questa politica è intesa a coprire gli ambienti ambiente predefiniti, gli ambienti di prova e tutti gli altri ambienti non coperti dagli altri ambienti. Ha le regole più restrittive.
  • Utente esperto (si applica a più ambienti) – Disponibile per singoli ambienti con regole leggermente meno restrittive rispetto a Produttività.
  • Pro Dev (si applica a più ambienti) – Disponibile per singoli ambienti con accesso alla maggior parte dei connettori rispetto a Power User ed è destinato agli utenti ben formati e che accettano le policy di sicurezza dei dati aziendali che devono essere definite con un riconoscimento di responsabilità per l'uso.

Sincronizza i criteri condivisi

Poiché gli autori non possono visualizzare tutti i criteri dei dati, il sistema di richiesta semplifica la visualizzazione di tali informazioni agli autori tramite Dataverse. Il sistema sincronizza i criteri indicati dal servizio Power Platform ad una tabella Dataverse e gli autori possono vedere i criteri che un amministratore consente loro di visualizzare. Gli autori possono quindi richiedere di applicare tali criteri condivisi ai propri ambienti.

Per fare Criteri DLP condivisi visibili agli autori, i criteri devono essere creati come un record in Dataverse.

  • Apri l'app Amministratore – Richiesta ambiente.
  • Passa alla pagina Criteri dati nel riquadro di navigazione a sinistra.
  • Seleziona i criteri che vuoi rendere visibili agli autori, quindi seleziona l'opzione Rendi visibile nella barra multifunzione Rendi visibili i criteri condivisi agli autori. option in the ribbon Rendi visibili i criteri condivisi agli autori.

Condividi app e istruzioni con gli autori

  • Concedi ai tuoi autori l'accesso all'app canvas Autore – Richieste d'ambiente e assegna loro il ruolo di sicurezza Autore SR di Power Platform. Usa un gruppo Microsoft Entra per facilitare l'assegnazione.
  • Fornire agli utenti le istruzioni su come utilizzare il sistema di richiesta.

Approvare o rifiutare richieste

Una volta che gli utenti hanno accesso e iniziano a effettuare richieste, gli amministratori possono visualizzare tali richieste nell'app canvas Amministratore – Richiesta ambiente.

Visualizza richieste nell'app Amministratore – Richiesta ambiente

Per visualizzare e rispondere alle richieste di modifica dei criteri DLP:

  1. Apri l'app Amministratore – Richiesta ambiente.
  2. Andare alla pagina Richieste di modifica dei criteri utilizzando la navigazione a sinistra.
  3. Visualizza l'elenco delle richieste. Puoi filtrare la richiesta in base allo stato utilizzando il filtro di stato sul lato destro della barra multifunzione. Visualizza l'elenco delle richieste
  4. Per visualizzare la richiesta in modo più dettagliato, seleziona una delle richieste e fai clic sull'azione Dettagli nella barra multifunzione.
  5. Per approvare o rifiutare una richiesta, filtra lo stato su "In sospeso" e seleziona una delle richieste. Nell'app è possibile rispondere solo alle richieste con stato in sospeso.
  6. Una volta selezionata una richiesta, puoi scegliere di "approvare" o "rifiutare" la richiesta utilizzando le azioni nella barra multifunzione.
    1. Se una richiesta viene approvata, lo stato verrà aggiornato su "Approvato", che attiverà un flusso che applica automaticamente i criteri selezionati all'ambiente indicato. Rimuoverà anche l'ambiente da tutte le altre politiche che hanno un ambito di ambiente "include" e aggiungerà l'ambiente a tutte le politiche con un ambito di ambiente "exclude". Assicurati che questo comportamento sia conforme ai requisiti di sicurezza della tua azienda prima di continuare. Una volta completata l'automazione, lo stato della richiesta viene impostato su "Eseguito" e il record viene disattivato.
    2. Se la richiesta viene rifiutata, lo stato della richiesta viene impostato su "Rifiutato" e il record viene disattivato.