共用方式為


環境和 DLP 原則管理

觀看環境和 DLP 請求流程工作原理的 演練。

程序描述

問題陳述:當開發專案需要新的環境,並且非管理員被限制創建環境時,非管理員訪問新環境的唯一方法是管理員準備金環境並向使用者授予許可權。 如果環境的需求量很高,因為涉及多個步驟,管理員可能會成為開發的瓶頸。 新環境可能也需要新的連接器或 DLP 原則。

解決方案:非管理員可以使用以下過程來請求新環境並更改其環境的 DLP 策略。

環境管理程序

開發人員 (非管理員) 可以:

  • 提交新環境的要求。
  • 提交要套用至其環境的 DLP 原則要求。

管理員可以:

  • 為使用應用程式的開發人員佈建新的環境。
  • 了解新環境將如何受到資料外洩防護原則的影響。
  • 核准或拒絕 DLP 原則要求。

開發人員:要求環境

開發人員 (非管理員) 可以為其管理員要求新環境進行分級。

  1. 開啟製作者 – 環境要求應用程式。

  2. 選取 + 新增

  3. 在飛出功能表中,選擇新環境中所需的連接器。 然後選取 [下一步]。 選擇連接器

  4. 選擇需要環境管理員存取權的使用者帳戶。 選擇 [管理員]

  5. 提供有關所需環境的基本詳細資料,包括顯示名稱、區域、類型、用途。

  6. 指示是否可在一段時間後自動清除環境。

    1. 如果是,則從顯示的下拉式功能表中提供期間 (天數)。 如果只需要短期專案的環境,請執行此動作。
    2. 如果不是,則不會自動刪除該環境。 如果需要長期保留環境,請執行此動作。
  7. 指出是否佈建 Dataverse 資料庫。 環境詳細資料

  8. 如果需要資料庫 (toggle=yes),請提供所需的語言和貨幣值。 選擇性地提供安全性群組,以限制對環境的存取。 選擇資料庫設定

  9. 完成後,按一下儲存按鈕來提交表單。

📧 將發送一封電子郵件,通知 CoE 初學者工具包管理員審核新請求。

在畫布應用程式中查看您提交的任何要求。

查看要求

管理員:核准或拒絕環境要求

作為管理員,您可以查看和分級新環境的要求。

  1. 開啟名為管理員 – 環境要求的畫布應用程式。

  2. 在主畫面中查看擱置的環境建立要求。

    Note

    根據預設,會先顯示擱置的要求。 使用功能區右側的下拉式清單來變更要求狀態篩選。

  3. 在資料表中選取要求,以查看更多詳細資料。 選取要求

  4. 讀取新環境要求的詳細資料:

    1. 環境資訊,理由。

    2. 已要求管理員。

    3. 查看要求的安全性群組,如果沒有任何已選取的群組,則新增群組。

    4. 連接器。

    5. 影響原則。

    6. 在 [附註] 面板中新增關於該決定的註解。

      檢視詳細資料

    注意

    頁面頂端的橫幅會根據租戶中的現有原則,指名新環境將如何受到的影響。 修改原則時,影響分析將會變更。

  5. 點選建議的動作 (如果有),以修改 [受影響原則] 資料表中的資料外洩防護原則。 檢視動作

    警告

    只能新增某些類型的原則 (不是「所有環境」類型原則的組織層級環境)。

  6. 選取 [查看並修改原則],以查看所有原則及其對要求連接器的影響。 您可以選取原則,並選擇功能區中顯示的動作,向修改清單新增或移除原則。 查看或修改 DLP 原則

  7. 選取原則,並按一下功能區中的詳細資料動作,以查看對連接器的影響。 原則影響

  8. 在左上角功能區核准或拒絕要求。 核准或拒絕

核准的路徑

要求獲得核准後,就會使用要求的設定建立環境。 授與使用者環境管理員存取權。

⏳ 呼氣

如果環境有到期日,則會在指示的期間後自動將其刪除。 每週都會傳送警告電子郵件給管理員,提醒他們將工作儲存在來源控制或環境之外的其他位置。

如果未設定到期日,則永遠不會自動清除環境。 必須在 Power Platform 系統管理中心手動刪除環境。

DLP 建議邏輯

管理員應用程式會使用以下邏輯,提供有關如何將 DLP 原則設定為允許要求連接器的指導。

決策矩陣:警告橫幅

這是在查看要求的詳細資料頁面時,會顯示在管理應用程式中的橫幅。

條件 不會將任何原則套用至環境 現有原則會套用至環境,但不會將其包含在任何原則的環境清單中 環境將在核准後新增到原則中
解除封鎖 🟡 連接器未被阻止或限制,但沒有策略會保護環境。 將環境新增到至少一個原則以防止資料外洩。 🟢 連接器不會被阻止或限制,並且環境至少包含在一個現有策略中。 🟢 連接器不會被阻止,環境將在請求獲得批准時添加到選定的策略中。
已封鎖 -- ⛔ 連接器被原始策略配置阻止。 將環境新增至現有原則環境清單,或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。 ⛔ 當前策略配置阻止的連接器。 將環境新增至其他原則或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。
受限制 -- 🟡 連接器受原始策略配置限制。 將環境新增至現有原則環境清單,或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。 🟡 連接器受當前策略配置限制。 將環境新增至其他原則或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。

根據原則和要求連接器的建議動作矩陣。 水平資料行顯示每個原則類型,矩陣的垂直資料列則根據其規則,顯示原則對要求連接器產生的影響。

影響 所有環境 排除特定環境 包含多個環境
未封鎖或未受限 不需要採取動作。

此原則不會封鎖要求連接器。 此類原則會在建立之後涵蓋此新環境,因此無需採取任何動作。
如果未涵蓋新環境,請新增原則。 如果涵蓋,則無需採取任何動作。 如果將要求的連接器新增到其環境清單中,則此原則不會封鎖要求的連接器。 若要將此環境新增至影響要求連接器另一個「排除特定環境」原則清單,請新增至此原則的清單。
已封鎖 在 Power Platform 系統管理中心的原則定義中解除封鎖允許的連接器。

⚠注意:更改影響“所有環境”的策略可能會影響租戶中的任何畫布應用程式和雲端流程。 在 DLP 編輯器工具中確認影響。

如果無法變更此原則的連接器規則,您可以在 Power Platform 系統管理中心將此原則變更為「排除特定環境」類型原則,以將此新環境設為例外。 尋找或建立「多環境」類型原則,允許要求的連接器將環境新增至其中。 返回此「環境要求管理員應用程式」記錄,並將其新增至兩個原則的環境清單中。
新增至此原則或將已封鎖的連接器解除封鎖。

如果沒有其他涵蓋該環境的原則,請將其新增至另一個現有或新的「多環境」原則,該原則不會封鎖要求的連接器。
不要將新環境新增到此原則中。

如果該環境未涵蓋在其他原則中,則只需將其新增到「多環境」類型原則中。 例如,如果沒有「所有環境原則」,且該環境從所有「排除例外環境」類型的原則中排除,則沒有原則覆蓋該環境。

如果無法將此環境新增到更好的原則,請考慮更新此原則的連接器群組,或在 Power Platform 系統管理中心建立新原則。
受限制 將受限連接器放在 Power Platform 系統管理中心原則定義中的同一個群組中。

⚠注意:更改「All environments」類型策略可能會影響租戶中的任何畫布應用程式和雲端流程。

如果無法變更此原則的連接器規則,您可以在 Power Platform 系統管理中心將此原則變更為「排除特定環境」類型原則,以將此新環境設為例外。 尋找或建立在同一群組中具有要求連接器的「多環境」類型原則。 返回此「環境建立管理員應用程式」記錄,並將其新增至兩個原則的環境清單中。
將環境新增到此原則的例外清單中。

如果這新增至例外清單,且沒有其他原則涵蓋該環境,請將其新增至另一個「多環境」原則,該原則將不會限制可接受的要求連接器,或是建立另一個原則來涵蓋最重要的安全性需求。

考慮是否可透過在 Power Platform 系統管理中心更新此原則,來取消限制可接受的要求連接器。

注意:請確認從此原則排除的其他環境不會受到這種變更的負面影響。
不要將新環境新增到此原則中。

如果環境從「排除例外環境」類型原則中排除,且沒有其他原則涵蓋該環境,則只需將該環境新增至「多環境」類型原則中。

如果現有原則無法運作,請考慮更新此原則,以將要求連接器納入相同的群組中。 確認環境清單中包含的其他環境將不會受到負面影響。 前往 Power Platform 系統管理中心以更新原則規則。

開發人員:要求 DLP 原則變更

製作者可以使用 DLP 原則變更要求系統,來修改套用於其身為管理員之環境的 DLP 原則。 如果獲得核准,這將會在您使用的環境中啟用所需的連接器。

  1. 開啟製作者 – 環境要求應用程式。
  2. 使用左側導覽瀏覽至資料原則變更要求頁面。 資料原則變更要求畫面
  3. 選取 + 新增
  4. 在「要求的動作」欄位中,選擇「將原則套用至環境」選項。
  5. 在「原則」欄位中,選取想要的原則。
    1. 按一下欄位標題旁邊的 [資訊] 圖示,確認環境所需的連接器是否在原則中。 確認此原則允許您所需的連接器。
  6. 選擇要套用這個原則的環境。 您只能選取您是管理員的環境。
    1. 如果您在下拉式清單中沒看到任何環境,代表您不具備任何環境管理員角色。
    2. 提供要求的原因。 例如,這有助於指定您的專案詳細資料與所需的連接器。
  7. 選取儲存來提交要求。
  8. 如果管理員核准要求,則會將原則套用至環境。

管理員:核准或拒絕 DLP 原則變更要求

重要

如果 DLP 原則變更要求在此系統中獲得核准,其會將狀態更新為已核准,這會觸發自動將所選原則套用至指定環境的流程。 它還會從所有具有「包含」環境範圍的原則中移除環境,並將環境新增至所有具有「排除」環境範圍的原則中。 在使用 DLP 原則要求工具之前,請確定此程序符合您的設定。

設定共用原則

在 Power Platform 系統管理中心設定資料原則

Note

依照我們的最佳做法,建立 DLP 原則

可以處理不同群組層級的共用 DLP 原則範例集:

  • 工作效率 (應用於除之外的所有環境)–此策略旨在涵蓋預設環境、試用環境以及其他環境未涵蓋的所有其他環境。 它的規則最嚴格。
  • 高級使用者 (應用於多個環境)–適用於規則限制性略低於 Productivity 的單個環境。
  • Pro Dev (適用於多個環境)–與 Power User 相比,適用於可以存取大多數連接器的單個環境,適用於受過良好培訓並同意公司數據安全策略的使用者,這些策略應在定義使用責任的情況下進行定義。

同步處理共用原則

由於製作者看不到所有的資料原則,因此要求系統可輕鬆透過 Dataverse 將這些資訊顯示給製作者。 系統會將所指示的原則從 Power Platform 服務同步處理至 Dataverse 資料表,且製作者可以看到管理員允許他們查看的原則。 然後,製作者可以要求將這些共用原則套用至他們的環境。

若要讓製作者可以看到共用的 DLP 原則,則必須將該原則建立為 Dataverse 中的記錄。

  • 開啟管理員 – 環境要求應用程式。
  • 瀏覽至左側導覽中的資料原則頁面。
  • 選取您想讓製作者看見的原則,然後選取功能區中的設為可見選項 使製作者可以看到共用原則。

與製作者共用應用程式和指示

  • 授與您的製作者存取製作者 – 環境要求畫布應用程式的權限,並為他們指派 Power Platform 製作者 SR資訊安全角色。 使用 Microsoft Entra 群組可讓工作指派變得更輕鬆。
  • 提供使用者如何使用要求系統的指示。

核准或拒絕要求

一旦使用者存取並開始提出要求,管理員就可以在管理員 – 環境要求畫布應用程式中查看這些要求。

在管理員環境要求應用程式中檢視要求

若要檢視並回覆 DLP 原則變更要求:

  1. 開啟管理員 – 環境要求應用程式。
  2. 使用左側導覽瀏覽至原則變更要求頁面。
  3. 檢視要求清單。 您可以使用功能區右側的狀態篩選來依狀態篩選要求。 檢視要求清單
  4. 若要更詳細地檢視要求,請選取其中一個要求,然後按一下功能區中的詳細資料動作。
  5. 若要核准或拒絕要求,請將狀態篩選為「擱置」,然後選取其中一項要求。 在應用程式中,只有擱置狀態的要求可以得到回應。
  6. 選取要求之後,您可以選擇使用功能區中的動作選擇「核准」或「拒絕」要求。
    1. 如果要求在此系統中獲得核准,其會將狀態更新為「已核准」,這會觸發自動將所選原則套用至指定環境的流程。 它還會從所有具有「包含」環境範圍的原則中移除環境,並將環境新增至所有具有「排除」環境範圍的原則中。 在繼續之前,請確定此行為符合公司的安全性需求。 自動化完成後,要求狀態會設定為「已完成」,且該記錄會停用。
    2. 如果要求遭到拒絕,則要求狀態會設定為「拒絕」,且該記錄會停用。