Управление средой и политикой защиты от потери данных
Посмотрите пошаговый обзор того, как работает среда и процесс запроса DLP.
Описание процесса
Постановка проблемы: Когда для проекта разработки требуется новая среда, а не-администраторы не могут создавать среды, единственный способ для не-администраторов получить доступ к новым средам — это резерв для среды и предоставить разрешения пользователям. Администраторы могут стать узким местом разработки, если объем спроса на среды высок из-за наличия нескольких этапов. Для новых сред также могут потребоваться новые соединители или политики защиты от потери данных.
Решение: Описанный ниже процесс может использоваться лицами, не являющимися администраторами, для запроса новых сред и изменений политик DLP для своих сред.
Разработчики (не являющиеся администраторами) могут:
- Отправлять запросы на новые среды.
- Отправлять запросы на применение политик защиты от потери данных к их средам.
Администраторы могут:
- Создавать новые среды для разработчиков с помощью приложения.
- Узнайте, как политики защиты от потери данных повлияют на новые среды.
- Утверждать или отклонять запросы политик защиты от потери данных.
Разработчик: запрашивает среду
Разработчики (не являющиеся администраторами) могут запросить новые среды для рассмотрения их администратором.
Откройте приложение Создатель — запрос среды.
Выберите "+ Создать"
Во всплывающем меню выберите нужные соединители, которые понадобятся в новой среде. Затем выберите Далее.
Выберите учетные записи пользователей, которым потребуется доступ в качестве администратора среды.
Предоставьте основные сведения о желаемой среде, включая отображаемое имя, регион, тип, цель.
Укажите, может ли среда автоматически очищаться через определенный период времени.
- Если да, укажите продолжительность (в днях) в раскрывающемся списке. Сделайте это, если вам нужна среда только для краткосрочного проекта.
- Если нет, среда не будет удалена автоматически. Сделайте это, если вам нужно хранить среду в течение длительного времени.
Укажите, следует ли подготовить базу данных Dataverse.
Если требуется база данных (выключатель=да), укажите требуемые значения языка и валюты. При необходимости укажите группу безопасности для ограничения доступа к среде.
Отправьте форму, когда закончите, нажав кнопку Сохранить.
📧 Администраторам стартового набора CoE будет отправлено электронное письмо с просьбой рассмотреть новый запрос.
Просмотрите любой из отправленных вами запросов в приложении на основе холста.
Администратор: утверждение или отклонение запроса среды
Как администратор, вы можете просматривать и анализировать запросы для новых сред.
Откройте приложение на основе холста , которое называется Администратор — запрос среды.
Просмотрите ожидающие обработки запросы на создание среды на главном экране.
Заметка
По умолчанию сначала отображаются ожидающие запросы. Измените фильтр состояния запросов, используя раскрывающийся список в правой части ленты.
Выберите запрос в таблице, чтобы просмотреть подробности.
Прочтите подробности, запрошенные для новой среды:
Сведения о среде, обоснование.
Запрошенные администраторы.
Просмотрите запрошенную группу безопасности или добавьте ее, если ни одна не была выбрана.
Соединители.
Затрагиваемые политики.
Добавьте комментарии к решению на панели "Примечания".
Заметка
Баннер в верхней части страницы показывает, как новая среда будет затронута в зависимости от существующих политик в клиенте. Анализ воздействия изменится при изменении политик.
Измените политики защиты от потери данных в таблице "Затронутые политики", щелкнув предлагаемые действия (если они доступны).
Предупреждение
Можно добавить только определенные типы политик (среды на уровне организации, которые не являются политиками типа "Все среды").
Выберите "Просмотр и изменение политик", чтобы увидеть все политики и их влияние на запрошенные соединители. Вы можете добавить или удалить политики в список изменений, который будет изменен после утверждения, выбрав политику и выбрав действия, которые отображаются на ленте.
Выберите политику и нажмите действие Подробности на ленте, чтобы просмотреть влияние на соединители.
Утвердите или отклоните запрос на ленте вверху слева.
Утвержденный путь
После утверждения запроса будет создана среда с запрошенными конфигурациями. Пользователям предоставляется доступ администратора среды.
⏳ Истечение срока действия
Если у среды есть срок действия, она будет автоматически удалена по истечении указанного периода. Предупреждения по электронной почте отправляются администраторам еженедельно, чтобы напомнить им о необходимости сохранить работу в системе управления версиями или в других местах за пределами среды.
Если срок действия не задан, среда никогда не будет очищаться автоматически. Среду необходимо удалить вручную в центре администрирования Power Platform.
Логика рекомендаций политики защиты от потери данных
Приложение администратора использует приведенную ниже логику, чтобы предоставить инструкции по настройке политик защиты от потери данных, чтобы разрешить запрошенные соединители.
Матрица решений: предупреждающий баннер
Это баннер, отображаемый в приложении администратора при просмотре страницы сведений о запросе.
Condition | К среде не применяются никакие политики | Существующие политики применяются к среде без включения ее в какой-либо список политик среды | Среда будет добавлена в политики после утверждения |
---|---|---|---|
Разблокировано | 🟡 Разъемы не заблокированы и не ограничены, но никакие политики не защитят окружающую среду. Добавьте среду хотя бы в одну политику, чтобы предотвратить потерю данных. | 🟢 Коннекторы не блокируются и не ограничиваются, а на среду распространяется как минимум одна действующая политика. | 🟢 Коннекторы не блокируются, и среда будет добавлена к выбранным политикам после одобрения запроса. |
Заблокировано | -- | ⛔ Коннекторы заблокированы исходными конфигурациями политики. Добавьте среду в существующие списки политик сред или измените политики в центре администрирования Power Platform для разблокировки соединителей. | ⛔ Коннекторы заблокированы текущими конфигурациями политики. Добавьте среду в другие политики или измените политики в центре администрирования Power Platform для разблокировки соединителей. |
Ограничена | -- | 🟡 Коннекторы ограничены исходными конфигурациями политики. Добавьте среду в списки сред существующих политик или измените политики в центре администрирования Power Platform для разблокировки соединителей. | 🟡 Коннекторы ограничены текущими конфигурациями политики. Добавьте среду в другие политики или измените политики в центре администрирования Power Platform для разблокировки соединителей. |
Матрица решений: рекомендуемые действия на уровне политики
Матрица рекомендуемых действий на основе политики и запрошенных соединителей. Горизонтальные столбцы показывают каждый тип политики, а вертикальные строки матрицы показывают влияние, которое политика оказывает на запрошенные соединители на основе ее правил.
Воздействие | Все среды | Исключить определенные среды | Включить несколько сред |
---|---|---|---|
Не заблокированы и не ограничены | Не требуется ничего делать. Запрошенные соединители не блокируются этой политикой. Этот тип политики будет охватывать эту новую среду после ее создания, поэтому никаких действий не требуется. |
Добавьте политику, если на новую среду она не распространяется. Если она распространяется, никакие действия не требуется. | Запрошенные соединители не будут заблокированы этой политикой, если они будут добавлены в ее список сред. Добавьте в список этой политики, если эта среда будет добавлена в другой список политик "Исключить определенные среды", который влияет на запрошенные соединители. |
Заблокировано | Разблокируйте разрешенные соединители в определении политики в центре администрирования Power Platform. ⚠ВНИМАНИЕ: изменение политик, влияющих на «Все среды», может потенциально повлиять на любое приложение Canvas и облачный поток в клиенте. Проверьте влияние в средстве редактора политик защиты от потери данных. Если правила соединителя этой политики не могут быть изменены, вы можете сделать исключение для этой новой среды, изменив эту политику на политику типа "Исключить определенные среды" в центре администрирования Power Platform. Найдите или создайте политику типа "Несколько сред", которая позволяет добавление запрошенных соединителей в среду. Вернитесь к этой записи приложения администратора запроса среды и добавьте ее в список сред обеих политик. |
Добавьте в эту политику или разблокируйте заблокированные соединители. Если нет других политик, охватывающих среду, добавьте ее к другой существующей или новой политике "Несколько сред", которая не будет блокировать запрошенные соединители. |
Не добавляйте новую среду в эту политику. Среду необходимо добавить только в политику типа "Несколько сред", если она не охвачена другими политиками. Например, если нет политик "Все среды" и среда исключается из всех политик типа "Исключить, кроме сред", никакие политики не охватывают среду. Если нет более эффективных политик для добавления этой среды, рассмотрите возможность обновления групп соединителей этой политики или создайте новую политику в центре администрирования Power Platform. |
Ограничена | Поместите ограниченные соединители в одну группу в определении политики в центре администрирования Power Platform. ⚠ВНИМАНИЕ: изменение политик типа «Все среды» может потенциально повлиять на любое приложение Canvas и облачный поток в клиенте. Если правила соединителя этой политики не могут быть изменены, вы можете сделать исключение для этой новой среды, изменив эту политику на политику типа "Исключить определенные среды" в центре администрирования Power Platform. Найдите или создайте политику типа "Несколько сред", которая содержит запрошенные соединители в той же группе. Вернитесь к этой записи приложения администратора запроса создания среды и добавьте ее в список сред обеих политик. |
Добавьте среду в список исключений этой политики. Если это добавлено в список исключений и нет других политик, охватывающих среду, добавьте ее в другую политику "Несколько сред", которая не будет ограничивать допустимые запрошенные соединители, или создайте другую политику для удовлетворения наиболее критическим требованиям безопасности. Подумайте, можно ли отменить ограничение приемлемых запрошенных соединителей, обновив эту политику в центре администрирования Power Platform. Внимание! Убедитесь, что это изменение не повлияет отрицательно на другие среды, исключенные из этой политики. |
Не добавляйте новую среду в эту политику. Среду необходимо добавить в политику типа "Несколько сред" только в том случае, если она исключается из политики типа "Исключить, кроме сред" и нет других политик, которые охватывали бы среду. Если существующие политики не работают, подумайте, можно ли обновить эту политику для включения запрошенных соединителей в ту же группу. убедившись, что другие среды, включенные в список сред, не пострадают. Перейти в центр администрирования Power Platform для обновления правил политики. |
Разработчик: запрос изменения политики защиты от потери данных
Создатели могут использовать систему запросов на изменение политики защиты от потери данных для изменения политики защиты от потери данных, применяемой к средам, в которых они являются администратором. В случае утверждения это активирует соединители, которые вам нужны в средах, в которых вы работаете.
- Откройте приложение Создатель — запрос среды.
- Перейдите на страницу Запросы на изменение политики данных с помощью левой навигации.
- Выберите "+ Создать"
- В поле "Запрошенное действие" выберите параметр "Применить политику к среде".
- В поле «Политика» выберите нужную политику.
- Убедитесь, что соединители, необходимые для вашей среды, включены в политику, щелкнув значок информации рядом с заголовком поля.
- Выберите среду, к которой требуется применить эту политику. Вы можете выбрать только среды, в которых являетесь администратором.
- Если вы не видите никаких сред в раскрывающемся списке, у вас нет роли администратора среды ни для каких сред.
- Укажите причина для запроса. Например, это помогает указать детали вашего проекта и необходимые соединители.
- Выберите Сохранить, чтобы отправить запрос.
- Если администратор утвердит запрос, политика будет применена к среде.
Администратор: утвердить или отклонить запрос на изменение политики защиты от потери данных
Внимание
Если запрос на изменение политики защиты от потери данных будет одобрен в этой системе, он обновит статус до Утверждено, что запустит поток, который автоматически применит выбранную политику к указанной среде. Это также удалит среду из всех других политик с областью действия «включить» и добавит среду во все политики с областью действия «исключить». Прежде чем использовать инструмент запроса политики защиты от потери данных, убедитесь, что этот процесс соответствует вашей настройке.
Настройка общих политик
Настройте политики данных в центре администрирования Power Platform.
Заметка
Следуйте нашим рекомендациям, чтобы создать стратегию защиты от потери данных.
Пример набора общих политик защиты от потери данных, которые могут относиться к разным уровням групп:
- Производительность (Применяется ко всем средам, кроме) — эта политика распространяется на среду по умолчанию, пробные среды и все другие среды, которые не охвачены другими средами. Она имеет самые строгие правила.
- Опытный пользователь (Применяется к нескольким средам) — доступно для отдельных сред с немного менее строгими правилами, чем «Производительность».
- Pro Dev (Применяется к нескольким средам) — доступно для отдельных сред с доступом к большинству коннекторов по сравнению с Power User и предназначено для пользователей, которые хорошо обучены и согласны с политиками безопасности данных компании, которые должны быть определены с признанием ответственности за использование.
Синхронизация общих политик
Поскольку создатели не могут видеть все политики данных, система запросов позволяет легко отображать эту информацию создателям через Dataverse. Система синхронизирует указанные политики из службы Power Platform в таблицу Dataverse, и создатели могут видеть политики, которые администратор разрешает им просматривать. Затем создатели могут запросить применение этих общих политик к своей среде.
Чтобы сделать Общую политику защиты от потери данных видимой создателям, политика должна быть создана как запись в Dataverse.
- Откройте приложение Администратор — запрос среды.
- Перейдите на страницу Политики данных в левой навигации.
- Выберите политику, которую вы хотите сделать видимой для создателей, затем выберите параметр Сделать видимой на ленте
Предоставление общего доступа к приложениям и инструкциям для создателей
- Предоставьте своим создателям доступ к приложению на основе холста Создатель — запрос среды и назначьте им роль безопасности Роль безопасности создателя Power Platform. Используйте группу Microsoft Entra, чтобы упростить назначение.
- Предоставьте пользователям инструкции по использованию системы запросов.
Утверждение или отклонение запросов
Как только пользователи получают доступ и начинают делать запросы, администраторы могут видеть эти запросы в приложении на основе холста Администратор — запрос среды.
Чтобы просмотреть запросы на изменение политики защиты от потери данных и ответить на них:
- Откройте приложение Администратор — запрос среды.
- Перейдите на страницу Запросы на изменение политики с помощью левой навигации.
- Просмотрите список запросов. Вы можете отфильтровать запрос по статусу, используя фильтр статуса в правой части ленты.
- Чтобы просмотреть запрос более подробно, выберите один из запросов и нажмите действие Сведения на ленте.
- Чтобы одобрить или отклонить запрос, отфильтруйте по состоянию «Ожидание» и выберите один из запросов. В приложении можно отвечать только на запросы со статусом ожидания.
- После выбора запроса вы можете «утвердить» или «отклонить» запрос, используя действия на ленте.
- Если запрос утвержден, он обновит статус до «Утверждено», что запустит поток, который автоматически применит выбранную политику к указанной среде. Это также удалит среду из всех других политик с областью действия «включить» и добавит среду во все политики с областью действия «исключить». Прежде чем продолжить, убедитесь, что это поведение соответствует требованиям безопасности вашей компании. После завершения автоматизации статус запроса устанавливается на «Выполнено», а запись деактивируется.
- Если запрос отклонен, статус устанавливается на «Отклонено» и запись деактивируется.