Udostępnij za pośrednictwem

Zarządzanie środowiskiem i polityką DLP

  • Artykuł

Obejrzyj przewodnik po tym, jak działa środowisko i proces żądania DLP.

Opis procesu

Opis problemu: Gdy projekt deweloperski wymaga nowego środowiska, a osoby niebędące administratorami nie mogą tworzyć środowisk, jedynym sposobem, w jaki użytkownicy niebędący administratorami mogą uzyskać dostęp do nowych środowisk, jest zarezerwowanie środowiska i udzielenie uprawnień użytkownikom przez administratorów. Administratorzy mogą stać się wąskim gardłem rozwoju, jeśli wielkość zapotrzebowania na środowiska jest wysoka, ponieważ zaangażowanych jest wiele kroków. Nowe środowiska mogą także wymagać nowych łączników lub zasad DLP.

Rozwiązanie: Poniższy proces może być używany przez osoby niebędące administratorami do żądania nowych środowisk i zmian w zasadach DLP dla swoich środowisk.

Proces zarządzania środowiskiem

Deweloperzy (nie będący administratorami) mogą:

  • Przesyłać żądania nowych środowisk.
  • Prześlij żądania, aby zasady DLP zastosować do ich środowisk.

Administratorzy mogą:

  • Wdrożyć nowe środowiska dla deweloperów korzystających z tej aplikacji.
  • Zobacz, jaki wpływ będą mieć nowe środowiska na zasady zapobiegania utracie danych.
  • Zatwierdź lub odrzuć prośby o zasady DLP.

Deweloper: Żądanie środowiska

Deweloperzy (nie będący administratorami) mogą poprosić o nowe środowiska dla swojego administratora do sprawdzenia.

  1. Otwórz aplikację Twórca — żądanie środowiska.

  2. Wybierz + Nowa

  3. W menu wysuwnym wybierz żądane łączniki, które będą potrzebne w nowym środowisku. Następnie wybierz Dalej. Wybierz łączniki

  4. Wybierz konta użytkowników, którzy będą potrzebowali dostępu administratora środowiska. Wybierz administratorów

  5. Podaj podstawowe informacje szczegółowe dotyczące żądanego środowiska, w tym wyświetlana nazwa, region, typ, cel.

  6. Należy wskazać, czy środowisko może być automatycznie czyszczone po określonym czasie.

    1. Jeśli tak, w wyświetlanym rozwijanej liście rozwijanej podaj czas trwania (w dniach). Należy to zrobić, jeśli jest potrzebne środowisko na krótki okres.
    2. Jeśli nie, środowisko nie zostanie usunięte automatycznie. Zrób to, jeśli chcesz zachować środowisko przez długi czas.

  7. Wskazuje, czy ma być inicjowanie obsługi bazy danych Dataverse. Szczegóły środowiska

  8. Jeśli jest potrzebna baza danych (przełącznik=tak), podaj wymagane wartości języka i waluty. Opcjonalnie można podać grupę zabezpieczeń w celu ograniczenia dostępu do środowiska. Wybieranie ustawień bazy danych

  9. Prześlij formularz po kliknięciu przycisku Zapisz.

📧 Zostanie wysłana wiadomość e-mail, aby powiadomić administratorów zestawu startowego CoE o konieczności przejrzenia nowego żądania.

Wyświetl wszystkie przesłane żądania w aplikacji kanwy.

Wyświetlanie żądań

Administrator: zatwierdzanie żądania środowiska lub odrzucanie go

Jako administrator możesz przeglądać i rozwiązywać prośby o nowe środowiska.

  1. Otwórz aplikację kanwy o nazwie Admin – Żądanie dotyczące środowiska.

  2. Wyświetlanie oczekujących wniosków o utworzenie środowiska na ekranie głównym.

    Uwaga

    Domyślnie najpierw wyświetlane są zgłoszenia oczekujące. Zmień filtr stanu zgłoszenia za pomocą rozwijanej listy w prawej części wstążki.

  3. Wybierz wniosek w tabeli, aby zobaczyć więcej szczegółów. Wybierz żądania

  4. Przeczytaj szczegóły wymagane dla nowego środowiska:

    1. Informacja o środowisku, uzasadnienie.

    2. Żądane przez administratorów.

    3. Wyświetl żądaną grupę zabezpieczeń lub dodaj ją, jeśli nie wybrano żadnej.

    4. Łączniki.

    5. Ma to wpływ na zasady.

    6. Dodaj komentarze dotyczące decyzji w panelu Notatki.

      Wyświetl szczegóły

    Uwaga

    Banner u góry strony wskazuje, jak wpłynie to na nowe środowisko na podstawie zasad istniejących w dzierżawie. Analiza wpływu zmieni się po zmodyfikowaniu zasad.

  5. Zmodyfikuj zasady zapobiegania utracie danych w tabeli Zasady wpływu, klikając sugerowane akcje (jeśli są dostępne). Wyświetl akcje

    Ostrzeżenie

    Można dodawać tylko pewne typy zasad (środowiska na poziomie organizacji, które nie są zasadami typu „Wszystkie środowiska”).

  6. Wybierz opcję „Wyświetlanie i modyfikowanie zasad”, aby zobaczyć wszystkie zasady i ich wpływ na żądane łączniki. Do listy modyfikacji, która zostanie zmieniona po zatwierdzeniu, można dodać lub usunąć zasady, wybierając zasady i wybierając akcje widoczne na wstążce. Wyświetlanie i modyfikowanie zasad DLP

  7. Wybierz zasady i kliknij akcję Szczegóły na wstążce, aby wyświetlić wpływ na łączniki. Wpływ na zasady

  8. Zatwierdzenie lub odrzucenie żądania z lewej górnej wstążki. Zatwierdzanie lub odrzucanie

Zatwierdzona ścieżka

Po zatwierdzeniu żądania środowisko zostanie utworzone z wymaganymi konfiguracjami. Użytkownikom udzielono uprawnień administratora środowiska.

⏳ Wygaśnięcie

Jeśli środowisko ma datę wygaśnięcia, zostanie automatycznie usunięte po upływie wskazanego czasu. Maile ostrzegawcze są wysyłane co tydzień do administratorów, aby przypomnieć im o zapisaniu pracy w kontroli źródeł lub innych lokalizacjach poza środowiskiem.

Jeśli nie zostanie ustawiony termin wygaśnięcia, środowisko nigdy nie zostanie automatycznie usunięte. Środowisko należy usunąć ręcznie w centrum administracyjnym Power Platform.

Logika rekomendacji DLP

Aplikacja administracyjna wykorzystuje poniższą logikę, aby dostarczyć wskazówek, jak skonfigurować polityki DLP, aby zezwolić na żądane złącza.

Macierz decyzji: banner ostrzeżenia

Jest to banner wyświetlany w aplikacji administracyjnej podczas wyświetlania strony szczegółów żądania.

Stan Zasady nie mają zastosowania do środowiska Istniejące zasady mają zastosowanie do środowiska bez jego uwzględnienia na liście środowiskowej stosowanej w ramach zasad Środowisko zostanie dodane do zasad po zatwierdzeniu
Odblokowane 🟡 Łączniki nie są blokowane ani ograniczane, ale żadne zasady nie będą chronić środowiska. Dodaj środowisko do co najmniej jednej zasady, aby zapobiec utracie danych. 🟢 Łączniki nie są blokowane ani ograniczane, a środowisko jest objęte co najmniej jedną istniejącą zasadą. 🟢 Łączniki nie są blokowane, a środowisko zostanie dodane do wybranych polityk po zatwierdzeniu żądania.
Zablokowano -- ⛔ Łączniki zablokowane przez oryginalne konfiguracje zasad. Dodaj środowisko do istniejących list środowiska zasad lub zmodyfikuj zasady w centrum administracyjnym Power Platform, aby odblokować łączniki. ⛔ Łączniki zablokowane przez bieżące konfiguracje zasad. Dodaj środowisko do różnych zasad lub zmodyfikuj zasady w centrum administracyjnym Power Platform, aby odblokować łączniki.
Podlega ograniczeniom -- 🟡 Łączniki ograniczone przez oryginalne konfiguracje zasad. Dodaj środowisko do istniejących środowisk zasad lub zmodyfikuj zasady w centrum administracyjnym Power Platform, aby odblokować łączniki. 🟡 Łączniki ograniczone przez bieżące konfiguracje zasad. Dodaj środowisko do różnych zasad lub zmodyfikuj zasady w centrum administracyjnym Power Platform, aby odblokować łączniki.

Macierz dla zalecanej akcji opartej na zasadach i żądanych łącznikach. Kolumny poziome przedstawiają każdy typ zasad, a pionowe wiersze macierzy pokazują wpływ danej zasady na żądane łączniki w oparciu o jej reguły.

Wpływ Wszystkie środowiska Wyklucz pewne środowiska Zawarcie wielu środowisk
Nie zablokowane ani nie ograniczone Nie trzeba wykonywać żadnej akcji.

Żądane złącza nie są blokowane przez tę zasadę. Ten rodzaj zasad obejmie nowe środowisko po jego utworzeniu, więc nie ma potrzeby podejmowania żadnych działań.		 Jeśli nowe środowisko nie jest uwzględnione, należy dodać zasady. Jeśli jest uwzględnione, nie trzeba nic robić. Żądane łączniki nie zostaną zablokowane przez tę zasady po dodaniu ich do listy środowiska. Dodaj do listy zasad, jeśli to środowisko zostanie dodane do innej listy zasad „Wykluczanie pewnych środowisk”, która ma wpływ na żądane łączniki.
Zablokowano Odblokuj dozwolone łączniki w definicji zasad w centrum administracyjnym Power Platform.

⚠PRZESTROGA: zmiana zasad, które mają wpływ na "Wszystkie środowiska", może potencjalnie mieć wpływ na dowolną aplikację kanwy i przepływ w chmurze w dzierżawie. Potwierdź wpływ w narzędziu DLP Editor.

Jeśli nie można zmienić reguł łącznika zasad, dla nowego środowiska można określić wyjątek, zmieniając tę zasady na zasady „Wykluczanie pewnych środowisk” w centrum administracyjnym Power Platform. Znajdź lub utwórz zasady typu „Wiele środowisk”, które umożliwią żądanym łącznikom dodanie środowiska. Wróć do tego rekordu aplikacji administracyjnej żądania środowiska i dodaj go do listy środowisk obu zasad.		 Dodaj do tej zasady lub odblokuj zablokowane łączniki.

Jeśli nie istnieją inne zasady dotyczące środowiska, należy dodać je do innych istniejących lub nowych zasad typu „wiele środowisk”, które nie będą blokować żądanych łączników.		 Nie należy dodawać nowego środowiska do tej zasady.

Środowisko należy dodać do zasady typu „Wiele środowisk”, jeśli nie jest ono uwzględnione w innych zasadach. Na przykład jeśli nie istnieją „Wszystkie zasady środowiska”, a środowisko jest wyłączone ze wszystkich zasad typu „Wykluczanie z wyjątkiem środowisk”, nie ma żadnych zasad dotyczących środowiska.

Jeśli nie istnieją żadne lepsze zasady dodawania tego środowiska, można rozważyć zaktualizowanie grup łączników zasad lub utworzenie nowych zasad w centrum administracyjnym Power Platform.
Podlega ograniczeniom Umieść łączniki ograniczone w tej samej grupie w definicji zasad w centrum administracyjnym Power Platform.

⚠PRZESTROGA: zmiana zasad typu "Wszystkie środowiska" może potencjalnie mieć wpływ na dowolną aplikację kanwy i przepływ w chmurze w dzierżawie.

Jeśli nie można zmienić reguł łącznika zasad, dla nowego środowiska można określić wyjątek, zmieniając tę zasady na zasady „Wykluczanie pewnych środowisk” w centrum administracyjnym Power Platform. Znajdź lub utwórz zasady typu „Wiele środowisk”, które posiadają łączniki w tej samej grupie. Wróć do tego rekordu aplikacji administracyjnej tworzenia środowiska i dodaj go do listy środowisk obu zasad.		 Dodaj środowisko do listy wyjątków zasady.

Jeśli jest to dodane do listy wyjątków i nie ma innych zasad obejmujących to środowisko, należy dodać je do innej zasady „Wiele środowisk”, która nie będzie ograniczać żądanych łączników lub stworzyć inną zasadę obejmującą najbardziej krytyczne wymagania bezpieczeństwa.

Należy rozważyć, czy akceptowalne żądane łączniki mogą być nieograniczone poprzez aktualizację tej polityki w centrum administracyjnym Power Platform.

Uwaga: upewnij się, że zmiana nie wpłynie negatywnie na inne środowiska wyłączone z tej zasady.		 Nie należy dodawać nowego środowiska do tej zasady.

Środowisko należy dodać do zasad typu „Wiele środowisk”, jeśli jest ono wyłączone z zasad typu „Wykluczanie z wyjątkiem środowisk” i nie istnieją żadne inne zasady dotyczące środowiska.

Jeśli nie działają żadne istniejące zasady, należy rozważyć możliwość zaktualizowania tych zasad w celu uwzględnienia żądanych łączników w tej samej grupie. upewniając się, że nie będzie to miało negatywnego wpływu na inne środowiska znajdujące się na liście środowisk. Przejdź do centrum administracyjnego Power Platform, aby zaktualizować reguły zasad.

Deweloper: Żądanie zmiany zasad DLP

Twórcy mogą używać systemu żądań zmian zasad DLP do modyfikowania zasad DLP stosowanych w środowiskach, w których są one Administrator. Jeśli te łączniki zostaną zatwierdzone, zostaną włączyć łączniki potrzebne w środowiskach, w których pracuje użytkownik.

  1. Otwórz aplikację Twórca — żądanie środowiska.
  2. Przejdź do strony Żądania zmian zasad danych, używając lewej nawigacji. Ekran Żądania zmiany zasad danych
  3. Wybierz + Nowa
  4. W polu „Wymagane działanie” wybierz opcję „Zastosuj zasady do środowiska”.
  5. W polu „Polityka” wybierz żądaną politykę.
    1. Potwierdź, czy łączniki wymagane przez Twoje środowisko znajdują się w zasadach, klikając ikonę informacji obok nagłówka pola. Potwierdź, że wymagane łączniki są dozwolone w tej zasadach.
  6. Wybierz środowisko, do którego chcesz zastosować tę zasadę. Będziesz tylko wybranymi środowiskami, których jesteś administratorem.
    1. Jeśli nie widzisz żadnych środowisk na liście rozwijanej, oznacza to, że nie masz roli administratora środowiska dla żadnego środowiska.
    2. Podaj powód prośby. Na przykład może pomóc w określeniu szczegółów projektu i wymaganych łączników.
  7. Wybierz opcję Zapisz, aby przesłać żądanie.
  8. Jeśli administrator zatwierdzi żądanie, polityka zostanie zastosowana do środowiska.

Administrator: zatwierdzenie żądania zmiany zasad DLP lub odmowa go

Ważne

Jeśli w tym systemie jest zatwierdzone żądanie zmiany zasad DLP, stan ten zostanie zaktualizowany na Zatwierdzony, co spowoduje wyzwolenie przepływu, który automatycznie stosuje wybrane zasady do środowiska wybranego. Spowoduje to również usunięcie środowiska ze wszystkich innych zasad, które mają zakres środowiska „włącz” i doda środowisko do wszystkich zasad z zakresem środowiska „wyklucz”. Przed zastosowaniem narzędzi do stosowania zasad DLP należy się upewnić, że ten proces pasuje do konfiguracji.

Konfigurowanie zasad udostępnionych

Konfigurowanie zasad danych w Centrum administracyjnym Power Platform.

Uwaga

Postępuj zgodnie z najlepszymi praktykami w celu utworzenia strategii DLP.

Przykładowy zestaw udostępnionych zasad DLP, które mogą dotyczyć różnych poziomów grup:

  • Produktywność (Zastosuj do wszystkich środowisk z wyjątkiem) — te zasady mają na celu objęcie środowiska domyślnego, środowisk próbnych i wszystkich innych środowisk, które nie są objęte innymi środowiskami. Zawiera najbardziej restrykcyjne reguły.
  • Zaawansowany użytkownik (Zastosuj do wielu środowisk) — dostępne dla poszczególnych środowisk z nieco mniej restrykcyjnymi regułami niż produktywność.
  • Pro Dev (Zastosuj do wielu środowisk) — dostępne dla poszczególnych środowisk z dostępem do większości konektorów w porównaniu do użytkownika zaawansowanego i jest przeznaczone dla użytkowników, którzy są dobrze przeszkoleni i zgadzają się na firmowe zasady bezpieczeństwa danych, które powinny być zdefiniowane z potwierdzeniem odpowiedzialności za użytkowanie.

Synchronizuj wspólne zasady

Ponieważ twórcy nie widzą wszystkich zasad danych, system żądań ułatwia wyświetlanie tych informacji twórcom za pośrednictwem Dataverse. System synchronizuje wskazane zasady z usługi Power Platform z tabelą Dataverse, a twórcy mogą zobaczyć zasady, które administrator zezwoli im wyświetlić. Następnie osoby te mogą zażądać zastosowania tych zasad do swoich środowisk.

Aby zasady DLP były widoczne dla osób, które utworzyły przedsiębiorstwo, trzeba utworzyć je jako rekord w Dataverse.

  • Otwórz aplikację Administrator — żądanie środowiska.
  • Przejdź na stronę Zasady danych w lewej nawigacji.
  • Wybierz zasady, które mają być widoczne dla twórców, a następnie wybierz opcję Udostępnij zasady widoczne dla twórców na wstążce Udostępnij zasady innym twórcom.

Udostępnianie aplikacji i instrukcji twórcom

  • Nadaj swoim twórcom dostęp do aplikacji kanwy Twórca — żądanie środowiska i przypisz im rolę zabezpieczeń Power Platform Twórca SR. Użyj grupy Microsoft Entra, aby ułatwić przydzielanie zadań.
  • Instrukcje dotyczące korzystania z systemu żądań należy przekazać użytkownikom.

Zatwierdź lub odrzuć prośby

Gdy użytkownicy będą mieli dostęp do aplikacji i rozpocząć wykonywanie żądań, administratorzy będą widzieć te żądania w aplikacji Administrator — żądanie środowiska.

Wyświetl żądania w aplikacji Admin Environment Request

Aby wyświetlić żądania zmiany zasad DLP i odpowiadać na nie:

  1. Otwórz aplikację Administrator — żądanie środowiska.
  2. Przejdź do strony Żądania zmian zasad, używając lewej nawigacji.
  3. Zobacz listę próśb. Żądanie można filtrować według stanu przy użyciu filtru stanu po prawej stronie wstążki. Zobacz listę próśb
  4. Aby wyświetlić żądanie bardziej szczegółowo, wybierz jedno z żądań i kliknij akcję Szczegóły na wstążce.
  5. Aby zatwierdzić lub odrzucić prośbę, przefiltruj stan na „Oczekujące” i wybierz jedną z próśb. Na aplikacje można odpowiadać tylko żądania ze stanem oczekującym.
  6. Po wybraniu żądania możesz „zatwierdzić” lub „odrzucić” żądanie, korzystając z akcji na wstążce.
    1. Jeśli żądanie zostanie zatwierdzone, zaktualizuje status na „Zatwierdzone”, co uruchomi przepływ, który automatycznie zastosuje wybraną politykę do wskazanego środowiska. Spowoduje to również usunięcie środowiska ze wszystkich innych zasad, które mają zakres środowiska „włącz” i doda środowisko do wszystkich zasad z zakresem środowiska „wyklucz”. Zanim będzie można kontynuować, upewnij się, że takie zachowanie spełnia wymagania zabezpieczeń firmy. Po zakończeniu automatyzacji status żądania jest ustawiony na „Spełnione”, a rekord jest dezaktywowany.
    2. Jeśli żądanie zostanie odrzucone, status zostanie ustawiony na „Odrzucone”, a rekord zostanie dezaktywowany.