Delen via

Beheer van omgeving en DLP-beleid

  • Artikel

Bekijk een rondleiding over hoe het omgeving- en DLP-aanvraagproces werkt.

Procesbeschrijving

Probleemstelling: Wanneer een ontwikkelingsproject een nieuwe omgeving vereist en niet-beheerders geen omgevingen mogen aanmaken, kunnen niet-beheerders alleen toegang krijgen tot nieuwe omgevingen als beheerders de reserve uitvoeren en gebruikers machtigingen verlenen. Beheerders kunnen het knelpunt bij de ontwikkeling worden als de vraag naar omgevingen groot is omdat er meerdere stappen bij betrokken zijn. Nieuwe omgevingen kunnen ook nieuwe connectors of DLP-beleidsregels vereisen.

Oplossing: Het onderstaande proces kan door niet-beheerders worden gebruikt om nieuwe omgevingen en wijzigingen in DLP-beleid voor hun omgevingen aan te vragen.

Proces voor omgevingsbeheer

Ontwikkelaars (niet-beheerders) kunnen:

  • Aanvragen voor nieuwe omgevingen indienen.
  • Aanvragen indienen om DLP-beleidsregels toe te passen op hun omgevingen.

Beheerders kunnen:

  • Nieuwe omgevingen inrichten voor ontwikkelaars die de app gebruiken.
  • Bekijken hoe nieuwe omgevingen worden beïnvloed door beleid ter voorkoming van gegevensverlies.
  • DLP-beleidsaanvragen goedkeuren of afwijzen.

Ontwikkelaar: een omgeving aanvragen

Ontwikkelaars (niet-beheerders) kunnen nieuwe omgevingen aanvragen voor schifting door hun beheerder.

  1. Open de app Maker - omgevingsaanvraag.

  2. Selecteer + Nieuw

  3. Kies in het flyoutmenu de gewenste connectors die in de nieuwe omgeving nodig zijn. Selecteer daarna Volgende. Connectors kiezen

  4. Kies de gebruikersaccounts die omgevingsbeheerderstoegang nodig hebben. Beheerders kiezen

  5. Verstrek basisdetails over de gewenste omgeving, inclusief de weergavenaam, regio, type, doel.

  6. Geef aan of de omgeving na een bepaalde tijd automatisch kan worden opgeschoond.

    1. Zo ja, geef dan een duur (in dagen) op in de vervolgkeuzelijst die verschijnt. Doe dit als u de omgeving alleen nodig hebt voor een kortlopend project.
    2. Als dat niet het geval is, wordt de omgeving niet automatisch verwijderd. Doe dit als de omgeving voor lange tijd bewaard moet blijven.

  7. Geef aan of u een Dataverse-database wilt inrichten. Omgevingsdetails

  8. Als een database nodig is (wisseloptie=ja), geeft u de vereiste waarden voor taal en valuta op. Geef optioneel een beveiligingsgroep op om de toegang tot de omgeving te beperken. Database-instellingen kiezen

  9. Verzend het formulier wanneer u klaar bent door op de knop Opslaan te klikken.

📧 Er wordt een e-mail verzonden om de beheerders van de CoE Starter Kit op de hoogte te stellen, zodat zij het nieuwe verzoek kunnen beoordelen.

Bekijk al uw ingediende aanvragen in de canvas-app.

Aanvragen weergeven

Beheerder: een omgevingsaanvraag goedkeuren of weigeren

Als beheerder kunt u aanvragen voor nieuwe omgevingen bekijken en schiften.

  1. Open de canvas-app genaamd Beheerder - Omgevingsaanvraag.

  2. Bekijk de lopende aanvragen voor het maken van een omgeving op het startscherm.

    Notitie

    Standaard worden lopende aanvragen als eerste weergegeven. Wijzig het filter voor de aanvraagstatus met behulp van de vervolgkeuzelijst aan de rechterkant van het lint.

  3. Selecteer een aanvraag in de tabel om nadere details te bekijken. Aanvragen selecteren

  4. Lees details die worden gevraagd voor de nieuwe omgeving:

    1. Omgevingsinformatie, motivatie.

    2. Aangevraagde beheerders.

    3. Bekijk de gevraagde beveiligingsgroep of voeg er een toe als er geen is geselecteerd.

    4. Connectors.

    5. Betrokken beleidsregels.

    6. Voeg opmerkingen over de beslissing toe in het deelvenster Notities.

      Details weergeven

    Notitie

    Een banner boven aan de pagina geeft aan hoe de nieuwe omgeving wordt beïnvloed op basis van het bestaande beleid in de tenant. De impactanalyse verandert als het beleid wordt aangepast.

  5. Wijzig het beleid ter voorkoming van gegevensverlies in de tabel Betrokken beleid door op de voorgestelde acties te klikken (indien beschikbaar). Acties weergeven

    Waarschuwing

    Alleen bepaalde typen beleidsregels kunnen worden toegevoegd (omgevingen op organisatieniveau die niet van het type 'Alle omgevingen' zijn).

  6. Selecteer "Beleid weergeven en wijzigen" om alle beleidsregels en hun impact op de gevraagde connectors te bekijken. U kunt beleid toevoegen aan of verwijderen uit de wijzigingslijst die na goedkeuring wordt gewijzigd door een beleid te selecteren en de acties te kiezen die op het lint worden weergegeven. DLP-beleid weergeven of wijzigen

  7. Selecteer een beleid en klik op de actie Details in het lint om de impact op connectors te bekijken. Beleidsimpact

  8. Keur de aanvraag goed of of weiger deze in het lint linksboven. Goedkeuren of weigeren

Goedgekeurd pad

Nadat de aanvraag is goedgekeurd, wordt de omgeving gemaakt met de gevraagde configuraties. De gebruikers krijgen omgevingsbeheerderstoegang.

⏳ Vervaldatum

Als de omgeving een vervaldatum heeft, wordt deze automatisch verwijderd na de aangegeven duur. Wekelijks worden waarschuwingsberichten naar de beheerders gestuurd om hen eraan te herinneren werk op te slaan in bronbeheer of andere locaties buiten de omgeving.

Als er geen vervaldatum is ingesteld, wordt de omgeving nooit automatisch opgeschoond. De omgeving moet handmatig worden verwijderd in het Power Platform-beheercentrum.

Logica van DLP-aanbevelingen

De beheerdersapp gebruikt de onderstaande logica om richtlijnen te geven voor het configureren van het DLP-beleid om aangevraagde connectors toe te staan.

Beslissingsmatrix: waarschuwingsbanner

Dit is de banner die wordt weergegeven in de beheerdersapp bij het bekijken van de detailpagina van de aanvraag.

Voorwaarde Er is geen beleid van toepassing op de omgeving Bestaand beleid is van toepassing op de omgeving zonder deze op te nemen in de omgevingslijst van een beleid Omgeving wordt na goedkeuring aan het beleid toegevoegd
Gedeblokkeerd 🟡 Connectoren worden niet geblokkeerd of beperkt, maar er worden geen beleidsregels beveiligen de omgeving. Voeg een omgeving toe aan ten minste één beleid om gegevensverlies te voorkomen. 🟢 Connectoren worden niet geblokkeerd of beperkt en omgeving wordt gedekt door ten minste één bestaand beleid. 🟢 Connectors worden niet geblokkeerd en omgeving wordt toegevoegd aan geselecteerde beleidsregels bij goedkeuring van de aanvraag.
Geblokkeerd -- ⛔ Connectoren geblokkeerd door oorspronkelijke beleidsconfiguraties. Voeg omgeving toe aan bestaande lijsten met beleidsomgevingen of wijzig beleidsregels in het Power Platform-beheercentrum om connectors te deblokkeren. ⛔ Connectoren geblokkeerd door huidige beleidsconfiguraties. Voeg omgeving toe aan verschillende beleidsregels of wijzig beleidsregels in het Power Platform-beheercentrum om connectors te deblokkeren.
Beperkt -- 🟡 Connectoren beperkt door oorspronkelijke beleidsconfiguraties. Voeg omgeving toe aan omgevingslijsten van bestaande beleidsregels of wijzig beleidsregels in het Power Platform-beheercentrum om connectors te deblokkeren. 🟡 Connectoren beperkt door huidige beleidsconfiguraties. Voeg omgeving toe aan verschillende beleidsregels of wijzig beleidsregels in het Power Platform-beheercentrum om connectors te deblokkeren.

Matrix voor aanbevolen actie op basis van het beleid en de gevraagde connectors. Horizontale kolommen tonen elk beleidstype en verticale rijen van de matrix tonen de impact die het beleid heeft op de gevraagde connectors op basis van de regels.

Impact Alle omgevingen Bepaalde omgevingen uitsluiten Meerdere omgevingen opnemen
Niet geblokkeerd of beperkt U hoeft niets te doen.

Aangevraagde connectors worden niet geblokkeerd door dit beleid. Dit type beleid dekt deze nieuwe omgeving zodra deze is gemaakt, dus is er geen actie nodig.		 Voeg beleid toe als de nieuwe omgeving er niet onder valt. Als dat wel het geval is, hoeft geen actie te worden uitgevoerd. Aangevraagde connectors worden niet geblokkeerd door dit beleid als ze worden toegevoegd aan de omgevingslijst. Voeg toe aan de lijst van dit beleid als deze omgeving wordt toegevoegd aan een andere beleidslijst 'Bepaalde omgevingen uitsluiten' die van invloed is op de aangevraagde connectors.
Geblokkeerd Deblokkeer toegestane connectors in de definitie van het beleid in het Power Platform-beheercentrum.

⚠LET OP: het wijzigen van beleid dat van invloed is op 'Alle omgevingen' kan mogelijk gevolgen hebben voor elke canvas-app en cloudstroom in de tenant. Bevestig de impact in de DLP Editor-tool.

Als de connectorregels van dit beleid niet kunnen worden gewijzigd, kunt u een uitzondering maken voor deze nieuwe omgeving door dit beleid te wijzigen in een beleid van het type 'Bepaalde omgevingen uitsluiten' in het Power Platform-beheercentrum. Zoek of maak een beleid van het type 'Meerdere omgevingen' waarmee de aangevraagde connectors aan de omgeving kunnen worden toegevoegd. Ga terug naar deze record van de beheerders-app voor omgevingsaanvragen en voeg deze toe aan de omgevingenlijst van beide beleidsregels.		 Voeg toe aan dit beleid of deblokkeer de geblokkeerde connectors.

Als er geen ander beleid voor de omgeving is, voeg het dan toe aan een ander bestaand of nieuw beleid voor 'Meerdere omgevingen' dat de gevraagde connectors niet blokkeert.		 Voeg de nieuwe omgeving niet toe aan dit beleid.

De omgeving hoeft alleen te worden toegevoegd aan een beleid van het type 'Meerdere omgevingen' als deze niet onder andere beleidsregels valt. Als er bijvoorbeeld geen beleid 'Alle omgevingen' is en de omgeving wordt uitgesloten van alle beleidsregels van het type 'Uitsluiten behalve omgevingen', wordt de omgeving door geen enkel beleid gedekt.

Als er geen beter beleid is om deze omgeving aan toe te voegen, overweeg dan om de connectorgroepen van dit beleid bij te werken of een nieuw beleid te maken in het Power Platform-beheercentrum.
Beperkt Plaats de beperkte connectors in dezelfde groep in de definitie van het beleid in het Power Platform-beheercentrum.

⚠LET OP: het wijzigen van het beleid van het type 'Alle omgevingen' kan mogelijk van invloed zijn op elke canvas-app en cloudstroom in de tenant.

Als de connectorregels van dit beleid niet kunnen worden gewijzigd, kunt u een uitzondering maken voor deze nieuwe omgeving door dit beleid te wijzigen in een beleid van het type 'Bepaalde omgevingen uitsluiten' in het Power Platform-beheercentrum. Zoek of maak een beleid van het type 'Meerdere omgevingen' waarbij de aangevraagde connectors zich in dezelfde groep bevinden. Ga terug naar deze record van de beheerders-app voor het maken van omgevingsaanvragen en voeg deze toe aan de omgevingenlijst van beide beleidsregels.		 Voeg de omgeving toe aan de lijst met uitzonderingen voor dit beleid.

Als deze wordt toegevoegd aan de lijst met uitzonderingen en er geen ander beleid voor de omgeving is, voeg het dan toe aan een ander beleid voor 'Meerdere omgevingen' dat de acceptabele gevraagde connectors niet beperkt of maak een ander beleid om aan de meest kritieke beveiligingsvereisten te voldoen.

Overweeg of acceptabele aangevraagde connectors onbeperkt kunnen worden door dit beleid bij te werken in het Power Platform-beheercentrum.

Let op: zorg ervoor dat andere omgevingen die zijn uitgesloten van dit beleid, geen negatieve gevolgen ondervinden van deze wijziging.		 Voeg de nieuwe omgeving niet toe aan dit beleid.

De omgeving hoeft alleen te worden toegevoegd aan een beleid van het type 'Meerdere omgevingen' als deze wordt uitgesloten van een beleid van het type 'Uitsluiten behalve omgevingen' en er geen ander beleid is dat de omgeving dekt.

Als geen bestaand beleid werkt, overweeg dan of het bijwerken van dit beleid om de gevraagde connectors in dezelfde groep op te nemen een optie is. Zorg ervoor dat de andere omgevingen in de omgevingslijst niet negatief worden beïnvloed. Ga naar het Power Platform-beheercentrum om beleidsregels bij te werken.

Ontwikkelaar: een wijziging van het DLP-beleid aanvragen

Makers kunnen het systeem voor wijzigingsaanvragen van DLP-beleid gebruiken om het DLP-beleid te wijzigen dat is toegepast op omgevingen waarin ze de beheerder zijn. Indien de aanvraag wordt goedgekeurd, worden de connectors ingeschakeld die u nodig hebt in de omgevingen waarin u werkt.

  1. Open de app Maker - omgevingsaanvraag.
  2. Navigeer naar de pagina Wijzigingsaanvragen gegevensbeleid met behulp van de linkernavigatie. Scherm Wijzigingsaanvragen gegevensbeleid
  3. Selecteer + Nieuw
  4. Kies in het veld "Actie aangevraagd" de optie "Beleid toepassen op omgeving".
  5. Selecteer in het veld "Beleid" het gewenste beleid.
    1. Bevestig of de connectors die vereist zijn voor uw omgeving in het beleid voorkomen door op het informatiepictogram naast de veldkop te klikken. Controleer of uw vereiste connectors zijn toegestaan door dit beleid.
  6. Kies de omgeving waarop u dit beleid wilt toepassen. U kunt alleen omgevingen selecteren waarvan u beheerder bent.
    1. Als u geen omgevingen in de vervolgkeuzelijst ziet, hebt u voor geen enkele omgeving een beheerdersrol voor de omgeving.
    2. Geef een reden voor de aanvraag op. Het helpt bijvoorbeeld om uw projectdetails en de benodigde connectors op te geven.
  7. Selecteer Opslaan om de aanvraag in te dienen.
  8. Als de beheerder de aanvraag goedkeurt, wordt het beleid toegepast op de omgeving.

Beheerder: een aanvraag voor wijziging van DLP-beleid goedkeuren of weigeren

Belangrijk

Als een aanvraag voor wijziging van het DLP-beleid in dit systeem wordt goedgekeurd, wordt de status gewijzigd in Goedgekeurd. Hiermee wordt een stroom geactiveerd waarmee het geselecteerde beleid automatisch op de aangegeven omgeving wordt toegepast. Ook wordt de omgeving uit alle andere beleidsregels verwijderd die een “inclusief“ omgevingsbereik hebben en wordt de omgeving toegevoegd aan alle beleidsregels met een “exclusief“ omgevingsbereik. Voordat u de hulpmiddelen voor DLP-beleidsaanvragen gebruikt, moet u ervoor zorgen dat dit proces past bij uw instellingen.

Gedeelde beleidsregels configureren

Configureer gegevensbeleidsregels in het Power Platform-beheercentrum.

Notitie

Volg onze aanbevolen procedures om een DLP-strategie te maken.

Voorbeeldenset van gedeelde DLP-beleidsregels voor verschillende niveaus van groepen:

  • productiviteit (Van toepassing op alle omgevingen behalve) – Dit beleid is bedoeld om de standaard omgeving, proefomgevingen en alle andere omgevingen te dekken die niet door de andere omgevingen worden gedekt. Het heeft de meest beperkende regels.
  • Power User (Toepassen op meerdere omgevingen) – Beschikbaar voor individuele omgevingen met iets minder beperkende regels dan productiviteit.
  • Pro Dev (Toepassen op meerdere omgevingen) – Beschikbaar voor individuele omgevingen met toegang tot de meeste connectoren in vergelijking met Power User en is bedoeld voor gebruikers die goed zijn opgeleid en akkoord gaan met het bedrijfsbeleid voor gegevensbeveiliging dat moet worden gedefinieerd met een erkenning van aansprakelijkheid voor gebruik.

Gedeelde beleidsregels synchroniseren

Omdat makers niet alle gegevensbeleidsregels kunnen zien, maakt het aanvraagsysteem het gemakkelijk om die informatie via Dataverse aan de makers weer te geven. Het systeem synchroniseert de aangegeven beleidsregels van de Power Platform-service met een Dataverse-tabel, en makers kunnen de beleidsregels zien die een beheerder hen toestaat te bekijken. Makers kunnen vervolgens een aanvraag indienen om die gedeelde beleidsregels toe te passen op hun omgevingen.

Om een Gedeeld DLP-beleid zichtbaar te maken voor makers, moet het beleid als een record in Dataverse worden gemaakt.

  • Open de app Beheerder - omgevingsaanvraag.
  • Navigeer naar de pagina Gegevensbeleid in de linkernavigatie.
  • Selecteer het beleid dat u zichtbaar wilt maken voor makers en selecteer vervolgens de optie Zichtbaar maken in het lint Gedeelde beleidsregels zichtbaar maken voor makers.

App en instructies met makers delen

  • Verleen uw makers toegang tot de canvas-app Maker - omgevingsaanvraag en wijs hen de beveiligingsrol Power Platform-maker SR toe. Gebruik een Microsoft Entra-groep om de toewijzing gemakkelijker te maken.
  • Geef gebruikers instructies over het gebruik van het aanvraagsysteem.

Aanvragen goedkeuren of afwijzen

Zodra gebruikers toegang hebben en aanvragen gaan indienen, kunnen beheerders deze aanvragen zien in de canvas-app Beheerder – omgevingsaanvraag.

Aanvragen weergeven in de app Beheerder - omgevingsaanvraag

Ga als volgt te werk om de aanvragen voor wijziging van DLP-beleid weer te geven en erop te reageren:

  1. Open de app Beheerder - omgevingsaanvraag.
  2. Navigeer naar de pagina Wijzigingsaanvragen beleid met behulp van de linkernavigatie.
  3. Geef de lijst met aanvragen weer. U kunt de aanvraag filteren op status met behulp van de statusfilter aan de rechterkant van het lint. De lijst met aanvragen weergeven
  4. Als u de aanvraag in meer detail wilt weergeven, selecteert u een van de aanvragen en klikt u op de actie Details in het lint.
  5. Als u een aanvraag wilt goedkeuren of afwijzen, filtert u de status op "In behandeling" en selecteert u een van de aanvragen. Alleen op aanvragen met de status In behandeling kan worden gereageerd in de app.
  6. Zodra een aanvraag is geselecteerd, kunt u ervoor kiezen om de aanvraag goed te keuren of af te wijzen met behulp van de acties in het lint.
    1. Als een aanvraag wordt goedgekeurd, wordt de status gewijzigd in Goedgekeurd. Hiermee wordt een stroom geactiveerd waarmee het geselecteerde beleid automatisch op de aangegeven omgeving wordt toegepast. Ook wordt de omgeving uit alle andere beleidsregels verwijderd die een “inclusief“ omgevingsbereik hebben en wordt de omgeving toegevoegd aan alle beleidsregels met een “exclusief“ omgevingsbereik. Zorg ervoor dat dit gedrag past bij de beveiligingsvereisten van uw bedrijf voordat u doorgaat. Zodra de automatisering is voltooid, wordt de aanvraagstatus ingesteld op "Voltooid" en wordt de record gedeactiveerd.
    2. Als de aanvraag wordt afgewezen, wordt de status ingesteld op "Afgewezen" en wordt de record gedeactiveerd.