Environnement et gestion de la stratégie DLP
Regardez une procédure guidée du fonctionnement de l’environnement et du processus des requêtes DLP.
Description du processus
Énoncé du problème : lorsqu’un projet de développement nécessite un nouvel environnement et que les non-administrateurs ne peuvent pas créer d’environnements, le seul moyen pour les non-administrateurs d’accéder aux nouveaux environnements est que les administrateurs mettent en service l’environnement et accordent des autorisations aux utilisateurs. Les administrateurs peuvent devenir le goulot d’étranglement du développement si le volume de la demande d’environnements est élevé, car plusieurs étapes sont impliquées. De nouveaux environnements peuvent également nécessiter de nouveaux connecteurs ou stratégies DLP.
Solution : le processus ci-dessous peut être utilisé par des non-administrateurs pour demander de nouveaux environnements et des modifications des stratégies DLP pour leurs environnements.
Les développeurs (non-administrateurs) peuvent :
- Soumettez des demandes pour les nouveaux environnements.
- Soumettez des demandes de stratégies DLP à appliquer à leurs environnements.
Les administrateurs peuvent :
- mettre en service de nouveaux environnements pour les développeurs utilisant l’application.
- Découvrez comment les nouveaux environnements seront affectés par les stratégies de prévention des pertes de données.
- Approuver ou rejeter des demandes de stratégie DLP.
Développeur : demander un environnement
Les développeurs (non-administrateurs) peuvent demander de nouveaux environnements à trier par leur administrateur.
Ouvrez l’application Créateur – Demande d’environnement.
Sélectionner + Nouveau
Dans le menu déroulant, choisissez les connecteurs souhaités nécessaires dans le nouvel environnement. Sélectionnez ensuite Suivant.
Choisissez les comptes d’utilisateurs qui auront besoin d’un accès administrateur à l’environnement.
Fournissez des détails de base sur l’environnement souhaité, y compris le nom complet, la région, le type, l’objectif.
Indiquez si l’environnement peut être nettoyé automatiquement après un certain temps.
- Si oui, indiquez une durée (en jours) dans la liste déroulante qui apparaît. Faites-le si vous n’avez besoin de l’environnement que pour un projet à court terme.
- Si non, l’environnement n’est pas supprimé automatiquement. Faites-le si vous avez besoin de conserver l’environnement à long terme.
Indiquez s’il faut mettre en service une base de données Dataverse.
Si une base de données est nécessaire (activation=oui), fournissez les valeurs de langue et de devise requises. Vous pouvez également fournir un groupe de sécurité pour restreindre l’accès à l’environnement.
Soumettez le formulaire lorsque vous avez terminé en cliquant sur le bouton Enregistrer.
📧 Un e-mail sera envoyé pour informer les administrateurs du CoE Starter Kit d’examiner la nouvelle demande.
Affichez toutes vos demandes soumises dans l’application canevas.
Administrateur : approuver ou refuser une demande d’environnement
En tant qu’administrateur, vous pouvez afficher et trier les demandes de nouveaux environnements.
Ouvrez l’application canevas appelée Administrateur – Demande d’environnement.
Affichez les demandes de création d’environnement en attente sur l’écran d’accueil.
Note
Par défaut, les demandes en attente sont affichées en premier. Modifiez le filtre d’état de la demande à l’aide de la liste déroulante dans la partie droite du ruban.
Sélectionnez une demande dans la table pour afficher plus de détails.
Lisez les détails demandés pour le nouvel environnement :
Informations de l’environnement, justification.
Demandé par les administrateurs.
Affichez le groupe de sécurité demandé ou ajoutez-en un si aucun n’a été sélectionné.
Connecteurs.
Stratégies ayant une incidence.
Ajoutez des commentaires sur la décision dans le panneau Notes.
Note
Une bannière en haut de la page indique comment le nouvel environnement est impacté en fonction des stratégies existantes dans le client. L’analyse d’impact change lorsque les stratégies sont modifiées.
Modifiez les stratégies de prévention des pertes de données dans la table Stratégies ayant une incidence en cliquant sur les actions suggérées (le cas échéant).
Avertissement
Seuls certains types de stratégies peuvent être ajoutés (environnements au niveau de l’organisation qui ne sont pas des stratégies de type « Tous les environnements »).
Sélectionnez « Afficher et modifier les stratégies » pour voir toutes les stratégies et leur impact sur les connecteurs demandés. Vous pouvez ajouter ou supprimer des stratégies à la liste de modifications lors de l’approbation en sélectionnant une stratégie et en choisissant les actions qui apparaissent dans le ruban.
Sélectionnez une stratégie et sélectionnez l’action Détails dans le ruban pour visualiser l’impact sur les connecteurs.
Approuvez ou rejetez la demande dans le ruban en haut à gauche.
Chemin approuvé
Une fois la demande approuvée, l’environnement est créé avec les configurations demandées. Les utilisateurs disposent d’un accès administrateur à l’environnement.
⏳ Expiration
Si l’environnement a une date d’expiration, il est automatiquement supprimé après la durée indiquée. Des e-mails d’avertissement sont envoyés chaque semaine aux administrateurs pour leur rappeler d’enregistrer le travail dans le contrôle de la source ou d’autres emplacements en dehors de l’environnement.
Si aucune expiration n’est définie, l’environnement n’est jamais nettoyé automatiquement. L’environnement doit être supprimé manuellement dans le centre d’administration Power Platform.
Logique de recommandation DLP
L’application d’administrateur utilise la logique ci-dessous pour donner des instructions sur la manière de configurer les stratégies DLP pour autoriser les connecteurs demandés.
Matrice de décision : bannière d’avertissement
Il s’agit de la bannière affichée dans l’application d’administrateur lors de l’affichage de la page des détails de la demande.
| Condition | Aucune stratégie ne s’applique à l’environnement | Les stratégies existantes s’appliquent à l’environnement sans l’inclure dans la liste d’environnements d’une stratégie | L’environnement est ajouté aux stratégies après approbation |
|---|---|---|---|
| Débloqué | 🟡 Les connecteurs ne sont ni bloqués ni restreints, mais aucune politique ne protégera l’environnement. Ajoutez un environnement à au moins une stratégie pour éviter la perte de données. | 🟢 Les connecteurs ne sont ni bloqués ni restreints et l’environnement est couvert par au moins une stratégie existante. | 🟢 Les connecteurs ne sont pas bloqués et l’environnement sera ajouté aux politiques sélectionnées après approbation de la demande. |
| Blocage | -- | ⛔ Connecteurs bloqués par les configurations de stratégie d’origine. Ajouter un environnement aux listes d’environnements de politiques existantes ou modifier des stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. | ⛔ Connecteurs bloqués par les configurations de stratégie actuelle. Ajouter un environnement aux différentes stratégies ou modifier les stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. |
| Restreint | -- | 🟡 Connecteurs limités par les configurations de stratégie d’origine. Ajouter un environnement aux listes d’environnements de stratégies existantes ou modifier des stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. | 🟡 Connecteurs limités par les configurations de stratégie actuelles. Ajouter un environnement aux différentes stratégies ou modifier les stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. |
Matrice de décision : actions recommandées au niveau des stratégies
Matrice d’action recommandée en fonction de la stratégie et des connecteurs demandés. Les colonnes horizontales affichent chaque type de stratégie et les lignes verticales de la matrice montrent l’impact de cette stratégie sur les connecteurs demandés en fonction de ses règles.
| Impact | Tous les environnements | Exclure certains environnements | Inclure plusieurs environnements |
|---|---|---|---|
| Non bloqué ou restreint | Aucune action n’est nécessaire. Les connecteurs demandés ne sont pas bloqués par cette stratégie. Ce type de stratégie couvre ce nouvel environnement une fois créé, aucune action n’est donc nécessaire. |
Ajoutez une stratégie si le nouvel environnement n’est pas couvert. S’il est couvert, aucune action n’est requise. | Les connecteurs demandés ne seraient pas bloqués par cette stratégie s’ils étaient ajoutés à sa liste d’environnements. Ajoutez à la liste de cette stratégie si cet environnement est ajouté à une autre liste de stratégies « Exclure certains environnements » qui affecte les connecteurs demandés. |
| Blocage | Débloquer les connecteurs autorisés dans la définition de la stratégie dans le centre d’administration Power Platform. ⚠ATTENTION : la modification des stratégies qui affectent « Tous les environnements » peut potentiellement avoir un impact sur n’importe quelle application canevas et flux cloud dans le client. Confirmez l’impact dans l’outil Éditeur DLP. Si les règles de connecteur de cette stratégie ne peuvent pas être modifiées, vous pouvez faire une exception pour ce nouvel environnement en remplaçant cette stratégie par une stratégie de type « Exclure certains environnements » dans le centre d’administration Power Platform. Recherchez ou créez une stratégie de type « Environnements multiples » qui permet aux connecteurs demandés d’ajouter l’environnement. Revenez à cet enregistrement d’application d’administration de demande d’environnement et ajoutez-le à la liste des environnements des deux stratégies. |
Ajoutez à cette stratégie ou débloquez les connecteurs bloqués. S’il n’y a pas d’autres stratégies couvrant l’environnement, ajoutez-le à une autre stratégie « Environnements multiples » existante ou nouvelle qui ne bloque pas les connecteurs demandés. |
N’ajoutez pas le nouvel environnement à cette stratégie. L’environnement n’a besoin d’être ajouté à une stratégie de type « Environnements multiples » que s’il n’est pas couvert par d’autres stratégies. Par exemple, s’il n’y a aucune « Stratégies d’environnement » et si l’environnement est exclu de toutes les stratégies de type « Exclure sauf les environnements », aucune stratégie ne couvre l’environnement. S’il n’y a pas de meilleures stratégies auxquelles ajouter cet environnement, envisagez de mettre à jour les groupes de connecteurs de cette stratégie ou créez une stratégie dans le centre d’administration Power Platform. |
| Restreint | Placez les connecteurs restreints dans le même groupe dans la définition de la stratégie dans le centre d’administration Power Platform. ⚠ATTENTION : la modification des stratégies de type « Tous les environnements » peut potentiellement avoir un impact sur n’importe quelle application canevas et flux de cloud dans le client. Si les règles de connecteur de cette stratégie ne peuvent pas être modifiées, vous pouvez faire une exception pour ce nouvel environnement en remplaçant cette stratégie par une stratégie de type « Exclure certains environnements » dans le centre d’administration Power Platform. Recherchez ou créez une stratégie de type « Environnements multiples » qui a les connecteurs demandés dans le même groupe. Revenez à cet enregistrement d’application d’administration de demande de création d’environnement et ajoutez-le à la liste des environnements des deux stratégies. |
Ajoutez l’environnement à la liste d’exceptions de cette stratégie. Si cela est ajouté à la liste des exceptions et qu’il n’y a pas d’autres stratégies couvrant l’environnement, ajoutez-le à une autre stratégie « Environnements multiples » qui ne restreindra pas les connecteurs demandés acceptables, ou créez une autre stratégie pour couvrir les exigences de sécurité les plus critiques. Déterminez si les connecteurs demandés acceptables peuvent être illimités en mettant à jour cette stratégie dans le centre d’administration Power Platform. Attention : veillez à ce que les autres environnements exclus de cette stratégie ne soient pas impactés négativement par ce changement. |
N’ajoutez pas le nouvel environnement à cette stratégie. L’environnement n’a besoin d’être ajouté à une stratégie de type « Environnements multiples » que s’il est exclu d’une stratégie de type « Exclure sauf les environnements » et qu’il n’y a pas d’autres stratégies qui couvrent l’environnement. Si aucune stratégie existante ne fonctionne, déterminez si la mise à jour de cette stratégie pour inclure les connecteurs demandés dans le même groupe est une option. S’assurer que les autres environnements inclus dans la liste des environnements ne soient pas affectés négativement. Accédez au centre d’administration Power Platform pour mettre à jour les règles de stratégie. |
Développeur : demander un changement de stratégie DLP
Les créateurs peuvent utiliser le système de demande de changement de stratégie DLP pour modifier la stratégie DLP appliquée aux environnements où ils sont l’administrateur. Si elle est approuvée, cela active les connecteurs dont vous avez besoin dans les environnements dans lesquels vous travaillez.
- Ouvrez l’application Créateur – Demande d’environnement.
- Accédez à la page Demandes de changement de stratégie de données en utilisant la navigation de gauche.
- Sélectionner + Nouveau
- Dans le champ « Action demandée », choisissez l’option « Appliquer la stratégie à l’environnement ».
- Dans le champ « Stratégie », sélectionnez la stratégie souhaitée.
- Confirmez si les connecteurs requis par votre environnement sont dans la stratégie en cliquant sur l’icône d’information en regard de l’en-tête du champ.
- Confirmez si les connecteurs requis par votre environnement sont dans la stratégie en cliquant sur l’icône d’information en regard de l’en-tête du champ.
- Choisissez l’environnement auquel appliquer cette stratégie. Vous ne pouvez choisir que des environnements dont vous êtes l’administrateur.
- Si vous ne voyez pas d’environnement dans le menu déroulant, vous n’avez pas de rôle d’administrateur d’environnement pour aucun environnement.
- Fournissez une raison pour la demande. Par exemple, il est utile de spécifier les détails de votre projet et les connecteurs dont vous avez besoin.
- Cliquez sur Enregistrer pour soumettre la demande.
- Si l’administrateur approuve la demande, la stratégie est appliquée à l’environnement.
Administrateur : approuver ou refuser une demande de changement de stratégie DLP
Important
Si une demande de changement de politique DLP est approuvée dans ce système, le statut est mis à jour sur Approuvé, ce qui déclenche un flux qui applique automatiquement la stratégie sélectionnée à l’environnement indiqué. Cela supprime également l’environnement de toutes les autres stratégies qui ont une portée d’environnement « include » et ajoute l’environnement à toutes les stratégies avec une portée d’environnement « exclude ». Avant d’utiliser l’outil de demande de stratégie DLP, veillez à ce que ce processus corresponde à votre configuration.
Configurer les stratégies partagées
Configurez les stratégies de données dans le centre d’administration Power Platform.
Note
Suivez nos bonnes pratiques pour créer une stratégie DLP.
Exemple d’ensemble de stratégies DLP partagées pouvant s’adresser à différents niveaux de groupes :
- Productivity (Appliquer à tous les environnements sauf) : cette stratégie est destinée à couvrir l’environnement par défaut, les environnements d’essai et tous les autres environnements qui ne sont pas couverts par les autres environnements. Elle a les règles les plus restrictives.
- Power User (Appliquer à plusieurs environnements) : disponible pour les environnements individuels avec des règles légèrement moins restrictives que Productivity.
- Pro Dev (Appliquer à plusieurs environnements) : disponible pour les environnements individuels avec accès à la plupart des connecteurs par rapport à Power User et destiné aux utilisateurs avertis et acceptant les stratégies de sécurité des données de l’entreprise qui doivent être définies avec une reconnaissance de responsabilité d’utilisation.
Synchroniser les stratégies partagées
Étant donné que les créateurs ne peuvent pas voir toutes les stratégies de données, le système de demande facilite l’affichage de ces informations aux créateurs via Dataverse. Le système synchronise les stratégies indiquées à partir du service Power Platform vers une table Dataverse et les créateurs peuvent voir les stratégies qu’un administrateur leur permet d’afficher. Les créateurs peuvent ensuite demander à appliquer ces stratégies partagées à leurs environnements.
Pour rendre une Stratégie DLP partagée visible aux créateurs, la stratégie doit être créée comme un enregistrement dans Dataverse.
- Ouvrez l’application Administrateur – Demande d’environnement.
- Accédez à la page Stratégies de données dans la navigation de gauche.
- Sélectionnez la stratégie que vous souhaitez rendre visible aux créateurs, puis sélectionnez l’option Rendre visible dans le ruban
Partager l’application et les instructions avec les créateurs
- Accordez à vos créateurs l’accès à l’application canevas Créateur – Demande d’environnement et attribuez-leur le rôle de sécurité Créateur SR Power Platform. Utilisez un groupe Microsoft Entra pour faciliter l’affectation.
- Fournissez aux utilisateurs des instructions sur la façon d’utiliser le système de demande.
Approuver ou rejeter les demandes
Une fois que les utilisateurs ont accès et commencent à faire des demandes, les administrateurs peuvent voir ces demandes dans l’application canevas Administrateur – Demande d’environnement.
Pour afficher et répondre aux demandes de changement de stratégie DLP :
- Ouvrez l’application Administrateur – Demande d’environnement.
- Accédez à la page Demandes de changement de stratégie en utilisant la navigation de gauche.
- Affichez la liste des demandes. Vous pouvez filtrer la demande par statut à l’aide du filtre de statut dans la partie droite du ruban.
- Pour afficher la demande plus en détail, sélectionnez l’une des demandes et sélectionnez le bouton Détails dans le ruban.
- Pour approuver ou refuser une demande, filtrez le statut sur « En attente » et sélectionnez l’une des demandes. Seules les demandes en attente peuvent recevoir une réponse dans l’application.
- Une fois qu’une demande est sélectionnée, vous pouvez choisir d’« approuver » ou de « rejeter » la demande en utilisant les actions du ruban.
- Si une demande est approuvée dans ce système, le statut est mis à jour sur « Approuvé », ce qui déclenche un flux qui applique automatiquement la stratégie sélectionnée à l’environnement indiqué. Cela supprime également l’environnement de toutes les autres stratégies qui ont une portée d’environnement « include » et ajoute l’environnement à toutes les stratégies avec une portée d’environnement « exclude ». Assurez-vous que ce comportement correspond aux exigences de sécurité de votre entreprise avant de continuer. Une fois l’automatisation terminée, le statut de la demande est défini sur « Exécuté » et l’enregistrement est désactivé.
- Une fois la demande rejetée, le statut de la demande est défini sur « Rejeté » et l’enregistrement est désactivé.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour