環境および DLP Policy 管理
環境 とDLPリクエスト プロセスがどのように機能するかについてのウォークスルー をご覧ください。
プロセスの説明
問題の説明: 開発プロジェクトで新しい 環境 が必要で、管理者以外のユーザーが環境を作成できない場合、管理者以外のユーザーが新しい環境にアクセスする唯一の方法は、管理者が 準備額 してユーザーに権限を付与することです。 段階が複数あるため環境に対する需要が多い場合、管理者が開発のボトルネックになる場合があります。 新しい環境では、新しいコネクタか DLP ポリシーも必要になる場合があります。
解決策: 以下のプロセスは、管理者以外のユーザーが新しい環境をリクエストしたり、その環境のDLPポリシーを変更したりするために使用できます。
開発者 (管理者以外) は次のことができます。
- 新しい環境の要求の送信。
- 環境に適用される DLP ポリシーの要求を送信します。
管理者は次のことを行うことができます。
- アプリを使用した開発者向けの新しい環境のプロビジョニング。
- データ損失防止ポリシーが与える新しい環境への影響をご確認ください。
- DLP ポリシー要求の承認または拒否をします。
開発者: 環境の要求
開発者 (管理者以外) は、管理者がトリアージする新しい環境を要求できます。
開発者 – 環境要求 アプリを開きます。
+ 新規 を選択します
フライアウト メニューで、新しい環境で必要なコネクタを選択します。 続いて [次へ] を選択します。
環境管理者アクセスが必要なユーザー アカウントを選択します。
表示名、地域、タイプ、目的など、必要な環境に関する基本的な詳細を提供します。
一定期間後に環境を自動的にクリーンアップできるかどうかを示します。
- [はい] の場合は、表示されたドロップダウンから期間 (日数) を入力します。 短期プロジェクト用の環境のみが必要な場合は、次を実行してください。
- そうでない場合は、環境は自動的に削除されません。 長期で環境が必要な場合は、次を実行してください。
Dataverse データベースをプロビジョニングするかどうかを示します。
データベースが必要な場合 (トグル = はい)、必要な言語と通貨の値を指定します。 この環境へのアクセスを制限するセキュリティ グループを提供します (オプション)。
完了したら、保存 ボタンをクリックしてフォームを送信します。
📧 CoEスターター キット管理者に新しいリクエストを確認するよう通知する電子メールが送信されます。
キャンバス アプリで送信された要求を表示します。
管理者: 環境リクエストを承認または拒否する
管理者は、新しい環境の要求を表示して優先順位を付けることができます。
管理者 - 環境要求というキャンバス アプリを開きます。
保留中の環境作成の要求をホーム画面に表示します。
Note
既定では、保留中の要求が最初に表示されます。 リボンの右側にあるドロップダウンを使用して、要求状態フィルターを変更します。
詳細を表示するには、テーブルで要求を選択してください。
新しい環境に要求された詳細をお読みください。
環境情報、正当性。
管理者が要求しました。
要求されたセキュリティ グループを表示するか、何も選択されていない場合は追加します。
コネクタ。
影響力のあるポリシー。
[メモ] パネルに決定に関するコメントを追加します。
Note
ページ上部のバナーは、テナントの既存のポリシーに基づいて、新しい環境がどのように影響を受けるかを示しています。 ポリシーが変更されると、影響分析が変更されます。
提案されたアクション (利用可能な場合) をクリックして、[影響を受けたポリシー] テーブルのデータ損失防止ポリシーを変更します。
警告
特定のタイプのポリシーのみを追加できます ("すべての環境" タイプのポリシーではない組織レベルの環境)。
[ポリシーの表示と変更] を選択して、すべてのポリシーと、要求されたコネクタへの影響を確認します。 ポリシーを選択し、リボンに表示されるアクションを選択して、承認時に変更される変更リストにポリシーを追加または削除できます。
ポリシーを選択し、リボンにある 詳細 アクションをクリックしてコネクタへの影響を表示します。
左上のリボンで要求を承認または拒否します。
承認されたパス
要求が承認されると、要求された構成で環境が作成されます。 ユーザーには、環境管理者アクセスが許可されます。
⏳ 有効期限
環境に有効期限がある場合、指定された期間が経過すると自動的に削除されます。 管理者に警告メールが毎週送信され、ソース管理または環境外の他の場所に作業を保存するように通知されます。
有効期限が設定されていない場合、環境が自動的にクリーンアップされることはありません。 環境は、Power Platform 管理センターで手動で削除する必要があります。
DLP レコメンデーション ロジック
管理アプリは以下のロジックを使用して、要求されたコネクタを使用できるように DLP ポリシーを構成する方法に関するガイダンスを提供します。
決定マトリックス: 警告バナー
これは、要求の詳細ページを表示しているときに管理アプリに表示されるバナーです。
条件 | この環境に適用されるポリシーはありません | 既存のポリシーは、ポリシーの環境リストに含めずに環境に適用されます | 環境は承認時にポリシーに追加されます |
---|---|---|---|
ブロック解除済み | 🟡 コネクタはブロックも制限もされていませんが、保護 はポリシーによって 環境 されません。 データの損失を防ぐために、少なくとも 1 つのポリシーに環境を追加します。 | 🟢 コネクタはブロックまたは制限されておらず、環境 は少なくとも1つの既存のポリシーによってカバーされています。 | 🟢 コネクタはブロックされず、リクエストが承認されると、選択したポリシーに 環境 が追加されます。 |
ブロック済み | -- | ⛔ 元のポリシー構成によってブロックされたコネクタ。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 | ⛔ 現在のポリシー構成によってブロックされているコネクタ。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 |
制限付き | -- | 🟡 元のポリシー構成によって制限されるコネクタ。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 | 🟡 現在のポリシー構成によって制限されているコネクタ。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 |
意思決定マトリックス: ポリシーレベルの推奨アクション
ポリシーと要求されたコネクタに基づいた推奨アクションのマトリックス。 横の列は各ポリシー タイプを表し、マトリックスの縦の行は、ポリシーがそのルールに基づいて要求されたコネクタに与える影響を表します。
影響 | すべての環境 | 特定の環境を除外する | 複数の環境を含める |
---|---|---|---|
ブロックされていない、または制限済み | 対処は必要ありません。 要求されたコネクタは、このポリシーによってブロックされていません。 このタイプのポリシーは、作成されたこの新しい環境を対象とするため、アクションは不要です。 |
新しい環境がカバーされていない場合は、ポリシーを追加します。 カバーされている場合、アクションは不要です。 | 要求されたコネクタは、その環境リストに追加された場合、このポリシーによってブロックされません。 この環境が、要求されたコネクタに影響を与えている別の "特定の環境を除外する" ポリシー リストに追加される場合は、このポリシーのリストに追加します。 |
ブロック済み | Power Platform 管理センターのポリシーの定義で許可されているコネクタのブロックを解除します。 ⚠注意:「すべての環境」に影響するポリシーを変更すると、テナント内のすべてのキャンバス アプリと クラウド フロー に影響する可能性があります。 DLP エディター ツールで影響を確認します。 このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでポリシーを "特定の環境を除外する" タイプのポリシーに変更すると、新しい環境の例外を作成できます。 要求されたコネクタが環境を追加できるようにする "複数の環境" タイプのポリシーを検索または作成します。 環境要求管理アプリ レコードに戻り、これを両方のポリシーの環境リストに追加します。 |
このポリシーに追加するか、ブロックされたコネクタのブロックを解除します。 環境をカバーする他のポリシーがない場合は、要求されたコネクタをブロックしない別の既存または新しい "複数環境" ポリシーに追加します。 |
新しい環境をこのポリシーに追加しないでください。 他のポリシーでカバーされていない場合のみ、環境を "複数環境" タイプのポリシーに追加する必要があります。 たとえば、"すべての環境ポリシー" がなく、環境がすべての "環境以外を除外" タイプのポリシーから除外されている場合、その環境をカバーしているポリシーはありません。 この環境を追加するために適切なポリシーがない場合は、ポリシーのコネクタ グループを更新するか、Power Platform 管理センターで新しいポリシーを作成することを検討してください。 |
制限付き | Power Platform 管理センターで、制限されたコネクタを、ポリシーの定義の同じグループに配置します。 ⚠注意:「すべての環境」タイプのポリシーを変更すると、テナント内のすべてのキャンバス アプリと クラウド フロー に影響が及ぶ可能性があります。 このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでポリシーを "特定の環境を除外する" タイプのポリシーに変更すると、新しい環境の例外を作成できます。 同じ環境に要求されたコネクタが存在する "複数の環境" タイプのポリシーを検索または作成します。 環境作成要求管理アプリ レコードに戻り、これを両方のポリシーの環境リストに追加します。 |
このポリシーの例外リストに環境を追加します。 これが例外リストに追加され、環境をカバーする他のポリシーがない場合は、受け入れ可能な要済みコネクタを制限しない別の "複数環境" ポリシーに追加するか、最も重要なセキュリティ要件をカバーする別のポリシーを作成します。 Power Platform 管理センターでこのポリシーを更新して、受け入れ可能な要求済みコネクタの制限を解除できないかどうかを確認してください。 注意: このポリシーから除外されている他の環境が、変更することで悪影響を受けないことを確認してください。 |
新しい環境をこのポリシーに追加しないでください。 環境を "複数の環境" タイプのポリシーに追加する必要があるのは、"環境以外を除外" タイプのポリシーから除外されていて、環境をカバーする他のポリシーがない場合のみです。 既存のポリシーが機能しない場合は、このポリシーを更新して、要求されたコネクタを同じグループに含めることができるかを確認してください。 環境リストに含まれている他の環境が悪影響を受けないことを確認してください。 Power Platform 管理センターに移動してポリシー ルールを更新します。 |
開発者: DLP ポリシーの変更を要求する
開発者は、DLP ポリシー変更要求システムを使用して、管理者である環境に適用される DLP ポリシーを変更できます。 承認された場合、これにより、作業する環境で必要なコネクタが有効になります。
- 開発者 – 環境要求 アプリを開きます。
- 左のナビゲーションを使用して データ ポリシー変更要求 ページに移動します。
- + 新規 を選択します
- "要求されたアクション" フィールドで、"ポリシーを環境に適用する" オプションを選択します。
- "ポリシー" フィールドで、目的のポリシーを選択します。
- フィールド ヘッダーの横にある情報アイコンをクリックして、ご使用の環境で必要なコネクタがポリシーに含まれているかどうかを確認します。
- このポリシーに追加する環境を選択します。 あなたが管理者である選択された環境だけになります。
- ドロップダウンに環境が表示されない場合は、どの環境に対しても環境管理者ロールがありません。
- 要求の理由を入力します。 たとえば、これはプロジェクトの詳細と必要なコネクタを指定するのに役立ちます。
- 保存 を選択して要求を送信します。
- 管理者が要求を承認すると、ポリシーが環境に適用されます。
管理者: DLP ポリシー変更要求を承認または拒否する
重要
このシステムで DLP ポリシー変更要求が承認されると、ステータスが 承認済み に更新され、これにより、選択したポリシーを指定された環境に自動的に適用するフローがトリガーされます。 また、環境スコープを "含む" を持つ他のすべてのポリシーから環境を削除し、環境スコープの "除外" を持つすべてのポリシーに環境を追加します。 DLP ポリシー要求ツールを使用する前に、このプロセスが設定に適合していることを確認してください。
共有ポリシーの構成
Power Platform管理センターで、データポリシー を構成します。
Note
ベストプラクティスに従って、DLP 戦略 を作成します。
さまざまなレベルのグループに対応できる共有 DLP ポリシーのセットの例:
- 生産性 (以下を除くすべての環境に適用) – このポリシーは、デフォルトの 環境、試用環境、および他の環境でカバーされていない他のすべての環境を対象とすることを目的としています。 これには最も制限の厳しいルールがあります。
- パワー ユーザー (複数の環境に適用) – 生産性よりも若干制限の少ないルールで個々の環境で利用できます。
- Pro Dev (複数の環境に適用) – Power Userと比較してほとんどのコネクタにアクセスできる個々の環境で利用可能で、十分なトレーニングを受けており、使用責任を認めて定義する必要がある会社のデータ セキュリティ ポリシーに同意するユーザーを対象としています。
共有されたポリシーを同期する
開発者はすべてのデータ ポリシーを表示できるわけではないため、要求システムを使用すると、その情報を Dataverse を介して開発者に簡単に表示できます。 システムは、示されたポリシーを Power Platform サービスから Dataverse テーブルへと同期し、開発者は、管理者が表示を許可するポリシーを表示できます。 その後、開発者はそれらの共有ポリシーを自分の環境に適用するように要求できます。
共有された DLP ポリシー を開発者に対して可視化するには、ポリシーは Dataverse の記録として作成する必要があります。
- 開発者 – 環境要求 アプリを開きます。
- 左側のナビゲーションで、データ ポリシー ページへ移動します。
- 開発者に表示するポリシーを選択してから、表示するオプションを選択して、リボン で 共有ポリシーを開発者に表示します。
アプリと手順を開発者と共有する
- 開発者に 開発者 – 環境要求 キャンバス アプリへのアクセス許可を付与し、彼らに Power Platform メーカー SR セキュリティ ロールを割り当てます。 Microsoft Entra グループを使用して割り当てを簡素化します。
- 要求システムの使用方法についてユーザーに説明します。
要求の承認または拒否
ユーザーがアクセスして要求を開始すると、管理者はそれらのリクエストを 管理者 – 環境要求 キャンバス アプリで見ることができます。
DLP ポリシー変更要求を表示して応答するには:
- 開発者 – 環境要求 アプリを開きます。
- 左のナビゲーションを使用して データ ポリシー変更要求 ページに移動します。
- 要求一覧の表示 リボンの右側にあるステータス フィルターを使用して、ステータスで要求をフィルター処理できます。
- 要求をより詳細に表示するには、要求の 1 つを選択し、リボンで 詳細 アクションをクリックします。
- 要求を承認または拒否するには、ステータスを "保留中" にフィルタ―処理し、要求の 1 つを選択します。 アプリで応答できるのは、ステータスが保留中の要求のみです。
- 要求を選択すると、リボンのアクションを使用して要求を "承認" または "拒否" することができます。
- 要求が承認されると、ステータスが "承認済み" に更新され、これにより、選択したポリシーを指定された環境に自動的に適用するフローがトリガーされます。 また、環境スコープを "含む" を持つ他のすべてのポリシーから環境を削除し、環境スコープの "除外" を持つすべてのポリシーに環境を追加します。 続行する前に、この動作が会社のセキュリティ要件に適合していることを確認してください。 自動化が完了すると、要求のステータスは "実行完了済み" に設定され、レコードは非アクティブ化されます。
- 要求が拒否されると、ステータスは "拒否" に設定され、レコードは非アクティブ化されます。