Teilen über


Umgebungs- und DLP-Richtlinienverwaltung

Sehen Sie sich eine Einführung zur Funktionsweise des Umgebung- und DLP-Anforderungsprozesses an.

Prozessbeschreibung

Problemstellung: Wenn für ein Entwicklungsprojekt ein neues Umgebung erforderlich ist und Nicht-Administratoren keine Umgebungen erstellen dürfen, können Nicht-Administratoren nur dann auf neue Umgebungen zugreifen, wenn Administratoren das Rückstellung verwenden und Benutzern Berechtigungen erteilen. Administratoren können zum Engpass der Entwicklung werden, wenn die Nachfrage nach Umgebungen hoch ist, da mehrere Schritte erforderlich sind. Neue Umgebungen können auch neue Connectors oder DLP-Richtlinien erfordern.

Lösung: Der folgende Prozess kann von Nicht-Administratoren verwendet werden, um neue Umgebungen und Änderungen an DLP-Richtlinien für ihre Umgebungen anzufordern.

Umgebungsverwaltungsprozess

Entwickler (keine Administratoren) können:

  • Anforderungen für neue Umgebungen senden.
  • Senden Sie Anfragen für DLP-Richtlinien, die auf ihre Umgebungen angewendet werden.

Administratoren können:

  • Stellen Sie neue Umgebungen für Entwickler bereit, die die App verwenden.
  • Erfahren Sie, wie sich neue Umgebungen auf Richtlinien zur Verhinderung von Datenverlust auswirken.
  • Genehmigen oder lehnen Sie DLP-Richtlinienanforderungen ab.

Entwickler: Fordern Sie eine Umgebung an

Entwickler (Nicht-Administratoren) können neue Umgebungen für ihre Administratoren zur Triage anfordern.

  1. Öffnen Sie die App Hersteller – Umgebungsanforderung.

  2. Wählen Sie „+ Neu“ aus

  3. Wählen Sie im Flyout-Menü die gewünschten Connectors aus, die in der neuen Umgebung benötigt werden. Wählen Sie dann Weiter. Konnektoren auswählen

  4. Wählen Sie die Benutzerkonten aus, die Zugriff auf die Umgebungs-Administrator benötigen. Administratoren auswählen

  5. Geben Sie grundlegende Details zur gewünschten Umgebung an, einschließlich Anzeigename, Region, Typ und Zweck.

  6. Geben Sie an, ob die Umgebung nach einer bestimmten Zeit automatisch bereinigt werden kann.

    1. Wenn ja, geben Sie eine Dauer (in Tagen) aus der angezeigten Dropdown-Liste ein. Tun Sie dies, wenn Sie die Umgebung nur für ein kurzfristiges Projekt benötigen.
    2. Wenn nein, wird die Umgebung nicht automatisch gelöscht. Tun Sie dies, wenn Sie die Umgebung lange benötigen.
  7. Geben Sie an, ob eine Dataverse Datenbank bereitgestellt werden soll. Umgebungsdetails

  8. Wenn eine Datenbank benötigt wird (Umschaltung=ja), geben Sie die erforderlichen Sprach- und Währungswerte an. Wählen Sie optional eine Sicherheitsgruppe aus, um den Zugriff auf diese Umgebung einzuschränken. Einstellungen für die Datenbank auswählen

  9. Senden Sie das Formular ab, wenn Sie fertig sind, indem Sie auf die Schaltfläche Speichern klicken.

📧 Die Administratoren des CoE Starter Kit werden per E-Mail darüber benachrichtigt, dass sie die neue Anfrage prüfen sollen.

Zeigen Sie alle Ihre gesendeten Anforderungen in der Canvas-App an.

Anforderungen ansehen

Administrator: Umgebungsanforderung genehmigen oder ablehnen

Als Administrator können Sie Anforderungen für neue Umgebungen anzeigen und sortieren.

  1. Öffnen Sie die Canvas-App Administrator – Umgebungsanforderung.

  2. Zeigen Sie die ausstehenden Anforderungen zur Umgebungserstellung auf dem Startbildschirm an.

    Notiz

    Standardmäßig werden ausstehende Anforderungen zuerst angezeigt. Ändern Sie den Anforderungsstatusfilter über das Dropdown-Menü auf der rechten Seite des Menübands.

  3. Wählen Sie eine Anforderung in der Tabelle aus, um weitere Details anzuzeigen. Anforderungwählen

  4. Lesen Sie die angeforderten Details für die neue Umgebung:

    1. Umgebungsinformationen werden gesammelt.

    2. Administratoren angefordert.

    3. Zeigen Sie die angeforderte Sicherheitsgruppe an oder fügen Sie eine hinzu, wenn keine ausgewählt wurde.

    4. Konnektoren.

    5. Auswirkungen auf die Richtlinien.

    6. Fügen Sie Kommentare zur Entscheidung im Notizenbereich hinzu.

      Details anzeigen

    Notiz

    Ein Banner oben auf der Seite zeigt an, wie sich die neue Umgebung basierend auf den bestehenden Richtlinien im Mandanten auswirkt. Die Auswirkungsanalyse ändert sich, wenn Richtlinien geändert werden.

  5. Ändern Sie die Richtlinien zur Verhinderung von Datenverlust in der Tabelle Betroffene Richtlinien, indem Sie auf die vorgeschlagenen Aktionen klicken (sofern verfügbar). Aktionen anzeigen

    Warnung

    Es können nur bestimmte Richtlinientypen hinzugefügt werden (Umgebungen auf Organisationsebene, die keine Richtlinien vom Typ Alle Umgebungen sind).

  6. Wählen Sie Richtlinien anzeigen und ändern, um alle Richtlinien und ihre Auswirkungen auf die angeforderten Konnektoren anzuzeigen. Sie können der Änderungsliste, die nach der Genehmigung geändert wird, Richtlinien hinzufügen oder entfernen, indem Sie eine Richtlinie auswählen und die im Menüband angezeigten Aktionen auswählen. Anzeigen oder Ändern von DLP-Richtlinien

  7. Wählen Sie eine Richtlinie aus und klicken Sie auf die Einzelheiten Aktion im Menüband, um die Auswirkungen auf Anschlüsse anzuzeigen. Auswirkungen auf die Richtlinie

  8. Genehmigen oder lehnen Sie die Anfrage im Menüband oben links ab. Formular genehmigen oder ablehnen

Genehmigter Pfad

Sobald die Anfrage genehmigt wurde, wird die Umgebung mit den angeforderten Konfigurationen erstellt. Den Benutzern wird der Zugriff auf den Umgebungsadministrator gewährt.

⏳ Ablauf

Wenn die Umgebung ein Ablaufdatum hat, wird sie nach der angegebenen Dauer automatisch gelöscht. Wöchentlich werden Warn-E-Mails an die Administratoren gesendet, um sie daran zu erinnern, Arbeit in der Quellcodeverwaltung oder an anderen Orten außerhalb der Umgebung zu speichern.

Wenn kein Ablaufdatum festgelegt ist, wird die Umgebung nie automatisch bereinigt. Die Umgebung muss manuell im Power Platform Admin-Center gelöscht werden.

DLP Empfehlungslogik

Die Administrator-App verwendet die folgende Logik, um Anleitungen zum Konfigurieren der DLP-Richtlinien bereitzustellen, um angeforderte Connectors zuzulassen.

Entscheidungsmatrix: Warnbanner

Dies ist das Banner, das in der Admin-App angezeigt wird, wenn die Detailseite der Anfrage angezeigt wird.

Bedingung Für die Umgebung gelten keine Richtlinien Vorhandene Richtlinien gelten für die Umgebung, ohne sie in die Umgebungsliste einer Richtlinie aufzunehmen Umgebung wird nach der Genehmigung zur Richtlinien hinzugefügt
Nicht blockiert 🟡 Konnektoren werden nicht blockiert oder eingeschränkt, aber es werden keine Richtlinien schützen die Umgebung. Fügen Sie mindestens einer Richtlinie einer Umgebung hinzu, um Datenverlust zu verhindern. 🟢 Konnektoren sind nicht blockiert oder eingeschränkt und Umgebung wird von mindestens einer bestehenden Richtlinie abgedeckt. 🟢 Konnektoren werden nicht blockiert und Umgebung wird nach Genehmigung der Anfrage zu ausgewählten Richtlinien hinzugefügt.
Blockiert -- ⛔ Durch ursprüngliche Richtlinienkonfigurationen blockierte Konnektoren. Umgebung zu bestehenden Richtlinienumgebungslisten hinzufügen oder Richtlinien im Power Platform Admin Center zum Entsperren von Konnektoren ändern. ⛔ Durch aktuelle Richtlinienkonfigurationen blockierte Konnektoren. Umgebung zu bestehenden Richtlinienumgebungslisten hinzufügen oder Richtlinien im Power Platform Admin Center zum Entsperren von Konnektoren ändern.
Eingeschränkt -- 🟡 Durch ursprüngliche Richtlinienkonfigurationen eingeschränkte Konnektoren. Umgebung zu bestehenden Richtlinienumgebungslisten hinzufügen oder Richtlinien im Power Platform Admin Center zum Entsperren von Konnektoren ändern. 🟡 Durch aktuelle Richtlinienkonfigurationen eingeschränkte Konnektoren. Umgebung zu bestehenden Richtlinienumgebungslisten hinzufügen oder Richtlinien im Power Platform Admin Center zum Entsperren von Konnektoren ändern.

Matrix für empfohlene Maßnahmen basierend auf der Richtlinie und den angeforderten Konnektoren. Horizontale Spalten zeigen jeden Richtlinientyp und vertikale Zeilen der Matrix zeigen die Auswirkungen der Richtlinie auf die angeforderten Konnektoren basierend auf ihren Regeln.

Auswirkungen Alle Umgebungen Bestimmte Umgebungen ausschließen Mehrere Umgebungen einschließen
Nicht blockiert oder eingeschränkt Es ist keine Aktion erforderlich.

Angeforderte Konnektoren werden von dieser Richtlinie nicht blockiert. Dieser Richtlinientyp deckt diese neue Umgebung ab, sobald sie erstellt wurde, sodass keine Aktion erforderlich ist.
Fügen Sie eine Richtlinie hinzu, wenn die neue Umgebung nicht abgedeckt ist. Wenn es abgedeckt ist, sind keine Maßnahmen erforderlich. Angeforderte Konnektoren würden von dieser Richtlinie nicht blockiert, wenn sie ihrer Umgebungsliste hinzugefügt würden. Zur Liste dieser Richtlinie hinzufügen, wenn diese Umgebung zu einer anderen Richtlinienliste Bestimmte Umgebungen ausschließen hinzugefügt wird, die sich auf die angeforderten Konnektoren auswirkt.
Blockiert Entsperren Sie zulässige Konnektoren in der Definition der Richtlinie im Power Platform Admin-Center.

⚠ACHTUNG: Das Ändern von Richtlinien, die „Alle Umgebungen“ betreffen, kann potenziell Auswirkungen auf alle Canvas-Apps und Cloud-Flow im Mandanten haben. Bestätigen Sie die Auswirkungen im DLP-Editor-Tool.

Wenn die Konnektor-Regeln dieser Richtlinie nicht geändert werden können, können Sie eine Ausnahme für diese neue Umgebung machen, indem Sie diese Richtlinie in eine Richtlinie vom Typ Bestimmte Umgebungen ausschließen im Power Platform Admin-Center ändern. Suchen oder erstellen Sie eine Richtlinie vom Typ Mehrere Umgebungen, die es den angeforderten Konnektoren ermöglicht, die Umgebung hinzuzufügen. Kehren Sie zu diesem Umgebungsanforderungs-Admin-App-Datensatz zurück und fügen Sie ihn der Umgebungsliste beider Richtlinien hinzu.
Fügen Sie dieser Richtlinie hinzu oder entsperren Sie die blockierten Konnektoren.

Wenn keine anderen Richtlinien für die Umgebung vorhanden sind, fügen Sie sie einer anderen vorhandenen oder neuen Richtlinie Mehrere Umgebungen hinzu, die die angeforderten Konnektoren nicht blockiert.
Fügen Sie die neue Umgebung dieser Richtlinie hinzu.

Die Umgebung muss nur dann einer Richtlinie vom Typ Mehrere Umgebungen hinzugefügt werden, wenn sie nicht durch andere Richtlinien abgedeckt ist. Wenn beispielsweise keine Alle Umgebungsrichtlinien vorhanden sind und die Umgebung von allen Richtlinien des Typs Ausnahmen außer Umgebungen ausgeschlossen wird, decken keine Richtlinien die Umgebung ab.

Wenn es keine besseren Richtlinien zum Hinzufügen dieser Umgebung gibt, sollten Sie die Konnektoren-Gruppen dieser Richtlinie aktualisieren oder eine neue Richtlinie im Power Platform Admin-Center erstellen.
Eingeschränkt Platzieren Sie die eingeschränkten Konnektoren in derselben Gruppe in der Definition der Richtlinie im Power Platform Admin-Center.

⚠ACHTUNG: Das Ändern von Richtlinien des Typs „Alle Umgebungen“ kann möglicherweise Auswirkungen auf alle Canvas-Apps und Cloud-Flow im Mandanten haben.

Wenn die Konnektor-Regeln dieser Richtlinie nicht geändert werden können, können Sie eine Ausnahme für diese neue Umgebung machen, indem Sie diese Richtlinie in eine Richtlinie vom Typ Bestimmte Umgebungen ausschließen im Power Platform Admin-Center ändern. Suchen oder erstellen Sie eine Richtlinie vom Typ Mehrere Umgebungen, die die angeforderten Konnektoren in der gleichen Gruppe hat. Kehren Sie zu diesem Umgebungserstellungs™anforderungs-Admin-App-Datensatz zurück und fügen Sie ihn der Umgebungsliste beider Richtlinien hinzu.
Fügen Sie die Umgebung zur Ausnahmeliste dieser Richtlinie hinzu.

Wenn dies der Ausnahmeliste hinzugefügt wird und keine anderen Richtlinien für die Umgebung vorhanden sind, fügen Sie es einer anderen Richtlinie Mehrere Umgebungen hinzu, die die akzeptablen angeforderten Konnektoren nicht einschränkt, oder erstellen Sie eine andere Richtlinie, um die wichtigsten Sicherheitsanforderungen abzudecken.

Überlegen Sie, ob akzeptable angeforderte Konnektoren nicht eingeschränkt werden können, indem Sie diese Richtlinie im Power Platform Admin-Center aktualisieren.

Achtung: Stellen Sie sicher, dass andere Umgebungen, die von dieser Richtlinie ausgeschlossen sind, von dieser Änderung nicht beeinträchtigt werden.
Fügen Sie die neue Umgebung dieser Richtlinie hinzu.

Die Umgebung muss nur dann zu einer Richtlinie des Typs Mehrere Umgebungen hinzugefügt werden, wenn sie von einer Richtlinie des Typs Ausgenommen Umgebungen ausschließen ausgeschlossen wird und es keine anderen Richtlinien gibt, die die Umgebung abdecken.

Wenn keine vorhandenen Richtlinien funktionieren, sollten Sie erwägen, diese Richtlinie zu aktualisieren, um die angeforderten Konnektoren in dieselbe Gruppe aufzunehmen. Stellen Sie sicher, dass die anderen in der Umgebungsliste enthaltenen Umgebungen nicht beeinträchtigt werden. Gehen Sie zum Power Platform Admin Center, um Richtlinienregeln zu aktualisieren.

Entwickler: Fordern Sie eine Änderung der DLP-Richtlinie an

Hersteller können das DLP-Richtlinienänderungsanforderungssystem verwenden, um die DLP-Richtlinie zu ändern, die auf Umgebungen angewendet wird, in denen sie der Administrator sind. Falls die Genehmigung erfolgt, werden die Connectors aktiviert, die Sie in den Umgebungen, in denen Sie arbeiten, benötigen.

  1. Öffnen Sie die App Hersteller – Umgebungsanforderung.
  2. Navigieren Sie über die Navigation links zur Seite Datenrichtlinie-Änderungsanforderungen. Bildschirm „Datenrichtlinien-Änderungsanforderungen“
  3. Wählen Sie „+ Neu“ aus
  4. Wählen Sie im Feld „Aktion angefordert“ die Option „Richtlinie auf Umgebung anwenden“.
  5. Wählen Sie im Feld „Richtlinie“ die gewünschte Richtlinie aus.
    1. Bestätigen Sie, ob die für Ihre Umgebung erforderlichen Connectors in der Richtlinie enthalten sind, indem Sie auf das Informationssymbol neben der Feldüberschrift klicken. Bestätigen Sie, dass Ihre erforderlichen Connectors durch diese Richtlinie zulässig sind.
  6. Wählen Sie die Umgebung aus, die auf diese Richtlinie angewendet werden soll. Sie werden nur Umgebungen auswählen, für die Sie ein Administrator sind.
    1. Wenn in der Dropdown-Liste keine Umgebungen angezeigt werden, haben Sie für Umgebungen keine Umgebungsadministratorrolle.
    2. Geben Sie für die Anforderung einen Grund an. Es hilft beispielsweise, Ihre Projektdetails und die von Ihnen benötigten Connectors anzugeben.
  7. Wählen Sie Speichern aus, um die Anforderung einzureichen.
  8. Wenn der Administrator die Anforderung genehmigt, wird die Richtlinie auf die Umgebung angewendet.

Administrator: eine DLP-Richtlinienänderungsanforderung genehmigen oder ablehnen

Wichtig

Wenn eine DLP-Richtlinienänderungsanforderung in diesem System genehmigt wird, wird der Status auf Genehmigt gesetzt, wodurch ein Flow ausgelöst wird, der die ausgewählte Richtlinie automatisch auf die angegebene Umgebung anwendet. Außerdem wird die Umgebung aus allen anderen Richtlinien mit dem Umgebungsbereich „Einschließen“ entfernt und die Umgebung zu allen Richtlinien mit dem Umgebungsbereich „Ausschließen“ hinzugefügt. Stellen Sie vor der Verwendung des DLP-Richtlinien-Anforderungstools sicher, dass dieser Prozess zu Ihren Einstellungen passt.

Gemeinsame Richtlinien konfigurieren

Konfigurieren Sie Datenrichtlinien im Power Platform Admin-Center.

Notiz

Befolgen Sie unsere Best Practices, um eine DLP-Strategie zu erstellen.

Beispielsatz gemeinsamer DLP-Richtlinien, die verschiedene Gruppenebenen adressieren können:

  • Produktivität (Auf alle Umgebungen anwenden außer) – Diese Richtlinie soll die Standardumgebungen Umgebung, Testumgebungen und alle anderen Umgebungen abdecken, die nicht von den anderen Umgebungen abgedeckt werden. Hier gelten die restriktivsten Regeln.
  • Power User (Auf mehrere Umgebungen anwenden) – Verfügbar für einzelne Umgebungen mit etwas weniger restriktiven Regeln als Produktivität.
  • Pro Dev (Auf mehrere Umgebungen anwendbar) – Verfügbar für einzelne Umgebungen mit Zugriff auf die meisten Konnektoren im Vergleich zu Power User und ist für Benutzer gedacht, die gut geschult sind und den Datensicherheitsrichtlinien des Unternehmens zustimmen, die mit einer Haftungsbestätigung für die Verwendung definiert werden sollten.

Gemeinsame Richtlinien synchronisieren

Da Hersteller nicht alle Datenrichtlinien sehen können, macht es das Anforderungssystem einfach, diese Informationen den Herstellern über Dataverse anzuzeigen. Das System synchronisiert die angegebenen Richtlinien aus dem Power Platform-Dienst in eine Dataverse-Tabelle und Hersteller können die Richtlinien sehen, die ihnen ein Administrator erlaubt. Hersteller können dann anfordern, diese freigegebenen Richtlinien auf ihre Umgebungen anzuwenden.

Um eine Gemeinsame DLP-Richtlinie für Hersteller sichtbar zu machen, muss die Richtlinie als Datensatz in Dataverse erstellt werden.

  • Öffnen Sie die App Administrator – Umgebungsanforderung.
  • Navigieren Sie zur Seite Datenrichtlinien in der linken Navigation.
  • Wählen Sie die Richtlinie aus, die Sie für Hersteller sichtbar machen möchten, und wählen Sie dann die Option Sichtbar machen im Menüband Machen Sie gemeinsame Richtlinien für Hersteller sichtbar.

App und Anleitungen mit Herstellern teilen

  • Gewähren Sie Ihren Herstellern Zugriff auf die Hersteller – Umgebungsanforderungen-Canvas-App und weisen Sie ihnen die Power Platform Hersteller-SR-Sicherheitsrolle zu. Benutzen Sie eine Microsoft Entra-Gruppe, um die Zuweisung zu erleichtern.
  • Geben Sie Benutzern Anweisungen zur Verwendung des Anforderungssystems.

Anforderungen genehmigen oder ablehnen

Sobald Benutzer Zugriff haben und Anforderungen stellen können, können Administratoren diese Anforderungen in der Administrator – Umgebungsanforderung-Canvas-App.

Anforderungen in der „Administrator – Umgebungsanforderung“-App anzeigen

So zeigen Sie die DLP-Richtlinienänderungsanforderungen an und beantworten sie:

  1. Öffnen Sie die App Administrator – Umgebungsanforderung.
  2. Navigieren Sie über die Navigation links zur Seite Richtlinienänderungsanforderungen.
  3. Lassen Sie sich die Liste der Anforderungen anzeigen. Sie können die Anforderungen nach Status filtern, indem Sie den Statusfilter auf der rechten Seite des Menübands verwenden. Lassen Sie sich die Liste der Anforderungen anzeigen
  4. Um die Anforderung genauer anzuzeigen, wählen Sie eine der Anforderungen aus und klicken Sie im Menüband auf die Aktion Details.
  5. Um eine Anforderung zu genehmigen oder abzulehnen, filtern Sie den Status nach „Ausstehend“ und wählen Sie eine der Anforderungen aus. In der App können nur Anforderungen mit dem Status „Ausstehend“ beantwortet werden.
  6. Nachdem eine Anforderung ausgewählt wurde, können Sie die Anforderung mit den Aktionen im Menüband „Genehmigt“ oder „Abgelehnt“ auswählen.
    1. Wenn eine Anforderung in diesem System genehmigt wird, wird der Status auf „Genehmigt“ gesetzt, wodurch ein Flow ausgelöst wird, der die ausgewählte Richtlinie automatisch auf die angegebene Umgebung anwendet. Außerdem wird die Umgebung aus allen anderen Richtlinien mit dem Umgebungsbereich „Einschließen“ entfernt und die Umgebung zu allen Richtlinien mit dem Umgebungsbereich „Ausschließen“ hinzugefügt. Stellen Sie sicher, dass dieses Verhalten den Sicherheitsanforderungen Ihres Unternehmens entspricht, bevor Sie fortfahren. Sobald die Automatisierung abgeschlossen ist, wird der Anforderungsstatus auf „Erfüllt“ gesetzt und der Datensatz wird deaktiviert.
    2. Wird die Anforderung abgelehnt, wird der Status auf „Abgelehnt“ gesetzt und der Datensatz deaktiviert.