Partager via


Environnement et gestion de la stratégie DLP

Regardez une procédure guidée du fonctionnement de l’environnement et du processus des requêtes DLP.

Description du processus

Énoncé du problème : lorsqu’un projet de développement nécessite un nouvel environnement et que les non-administrateurs ne peuvent pas créer d’environnements, le seul moyen pour les non-administrateurs d’accéder aux nouveaux environnements est que les administrateurs mettent en service l’environnement et accordent des autorisations aux utilisateurs. Les administrateurs peuvent devenir le goulot d’étranglement du développement si le volume de la demande d’environnements est élevé, car plusieurs étapes sont impliquées. De nouveaux environnements peuvent également nécessiter de nouveaux connecteurs ou stratégies DLP.

Solution : le processus ci-dessous peut être utilisé par des non-administrateurs pour demander de nouveaux environnements et des modifications des stratégies DLP pour leurs environnements.

Processus de gestion de l’environnement

Les développeurs (non-administrateurs) peuvent :

  • Soumettez des demandes pour les nouveaux environnements.
  • Soumettez des demandes de stratégies DLP à appliquer à leurs environnements.

Les administrateurs peuvent :

  • mettre en service de nouveaux environnements pour les développeurs utilisant l’application.
  • Découvrez comment les nouveaux environnements seront affectés par les stratégies de prévention des pertes de données.
  • Approuver ou rejeter des demandes de stratégie DLP.

Développeur : demander un environnement

Les développeurs (non-administrateurs) peuvent demander de nouveaux environnements à trier par leur administrateur.

  1. Ouvrez l’application Créateur – Demande d’environnement.

  2. Sélectionner + Nouveau

  3. Dans le menu déroulant, choisissez les connecteurs souhaités nécessaires dans le nouvel environnement. Sélectionnez ensuite Suivant. Choisir des connecteurs

  4. Choisissez les comptes d’utilisateurs qui auront besoin d’un accès administrateur à l’environnement. Choisir les administrateurs

  5. Fournissez des détails de base sur l’environnement souhaité, y compris le nom complet, la région, le type, l’objectif.

  6. Indiquez si l’environnement peut être nettoyé automatiquement après un certain temps.

    1. Si oui, indiquez une durée (en jours) dans la liste déroulante qui apparaît. Faites-le si vous n’avez besoin de l’environnement que pour un projet à court terme.
    2. Si non, l’environnement n’est pas supprimé automatiquement. Faites-le si vous avez besoin de conserver l’environnement à long terme.
  7. Indiquez s’il faut mettre en service une base de données Dataverse. Détails de l’environnement

  8. Si une base de données est nécessaire (activation=oui), fournissez les valeurs de langue et de devise requises. Vous pouvez également fournir un groupe de sécurité pour restreindre l’accès à l’environnement. Choisir les paramètres de la base de données

  9. Soumettez le formulaire lorsque vous avez terminé en cliquant sur le bouton Enregistrer.

📧 Un e-mail sera envoyé pour informer les administrateurs du CoE Starter Kit d’examiner la nouvelle demande.

Affichez toutes vos demandes soumises dans l’application canevas.

Afficher les demandes

Administrateur : approuver ou refuser une demande d’environnement

En tant qu’administrateur, vous pouvez afficher et trier les demandes de nouveaux environnements.

  1. Ouvrez l’application canevas appelée Administrateur – Demande d’environnement.

  2. Affichez les demandes de création d’environnement en attente sur l’écran d’accueil.

    Note

    Par défaut, les demandes en attente sont affichées en premier. Modifiez le filtre d’état de la demande à l’aide de la liste déroulante dans la partie droite du ruban.

  3. Sélectionnez une demande dans la table pour afficher plus de détails. Sélectionner les demandes

  4. Lisez les détails demandés pour le nouvel environnement :

    1. Informations de l’environnement, justification.

    2. Demandé par les administrateurs.

    3. Affichez le groupe de sécurité demandé ou ajoutez-en un si aucun n’a été sélectionné.

    4. Connecteurs.

    5. Stratégies ayant une incidence.

    6. Ajoutez des commentaires sur la décision dans le panneau Notes.

      Afficher les détails

    Note

    Une bannière en haut de la page indique comment le nouvel environnement est impacté en fonction des stratégies existantes dans le client. L’analyse d’impact change lorsque les stratégies sont modifiées.

  5. Modifiez les stratégies de prévention des pertes de données dans la table Stratégies ayant une incidence en cliquant sur les actions suggérées (le cas échéant). Afficher les actions

    Avertissement 

    Seuls certains types de stratégies peuvent être ajoutés (environnements au niveau de l’organisation qui ne sont pas des stratégies de type « Tous les environnements »).

  6. Sélectionnez « Afficher et modifier les stratégies » pour voir toutes les stratégies et leur impact sur les connecteurs demandés. Vous pouvez ajouter ou supprimer des stratégies à la liste de modifications lors de l’approbation en sélectionnant une stratégie et en choisissant les actions qui apparaissent dans le ruban. Afficher ou modifier les stratégies DLP

  7. Sélectionnez une stratégie et sélectionnez l’action Détails dans le ruban pour visualiser l’impact sur les connecteurs. Incidence de la stratégie

  8. Approuvez ou rejetez la demande dans le ruban en haut à gauche. Approuver ou rejeter un formulaire

Chemin approuvé

Une fois la demande approuvée, l’environnement est créé avec les configurations demandées. Les utilisateurs disposent d’un accès administrateur à l’environnement.

⏳ Expiration

Si l’environnement a une date d’expiration, il est automatiquement supprimé après la durée indiquée. Des e-mails d’avertissement sont envoyés chaque semaine aux administrateurs pour leur rappeler d’enregistrer le travail dans le contrôle de la source ou d’autres emplacements en dehors de l’environnement.

Si aucune expiration n’est définie, l’environnement n’est jamais nettoyé automatiquement. L’environnement doit être supprimé manuellement dans le centre d’administration Power Platform.

Logique de recommandation DLP

L’application d’administrateur utilise la logique ci-dessous pour donner des instructions sur la manière de configurer les stratégies DLP pour autoriser les connecteurs demandés.

Matrice de décision : bannière d’avertissement

Il s’agit de la bannière affichée dans l’application d’administrateur lors de l’affichage de la page des détails de la demande.

Condition Aucune stratégie ne s’applique à l’environnement Les stratégies existantes s’appliquent à l’environnement sans l’inclure dans la liste d’environnements d’une stratégie L’environnement est ajouté aux stratégies après approbation
Débloqué 🟡 Les connecteurs ne sont ni bloqués ni restreints, mais aucune politique ne protégera l’environnement. Ajoutez un environnement à au moins une stratégie pour éviter la perte de données. 🟢 Les connecteurs ne sont ni bloqués ni restreints et l’environnement est couvert par au moins une stratégie existante. 🟢 Les connecteurs ne sont pas bloqués et l’environnement sera ajouté aux politiques sélectionnées après approbation de la demande.
Blocage -- ⛔ Connecteurs bloqués par les configurations de stratégie d’origine. Ajouter un environnement aux listes d’environnements de politiques existantes ou modifier des stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. ⛔ Connecteurs bloqués par les configurations de stratégie actuelle. Ajouter un environnement aux différentes stratégies ou modifier les stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs.
Restreint -- 🟡 Connecteurs limités par les configurations de stratégie d’origine. Ajouter un environnement aux listes d’environnements de stratégies existantes ou modifier des stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs. 🟡 Connecteurs limités par les configurations de stratégie actuelles. Ajouter un environnement aux différentes stratégies ou modifier les stratégies dans le centre d’administration Power Platform pour débloquer les connecteurs.

Matrice d’action recommandée en fonction de la stratégie et des connecteurs demandés. Les colonnes horizontales affichent chaque type de stratégie et les lignes verticales de la matrice montrent l’impact de cette stratégie sur les connecteurs demandés en fonction de ses règles.

Impact Tous les environnements Exclure certains environnements Inclure plusieurs environnements
Non bloqué ou restreint Aucune action n’est nécessaire.

Les connecteurs demandés ne sont pas bloqués par cette stratégie. Ce type de stratégie couvre ce nouvel environnement une fois créé, aucune action n’est donc nécessaire.
Ajoutez une stratégie si le nouvel environnement n’est pas couvert. S’il est couvert, aucune action n’est requise. Les connecteurs demandés ne seraient pas bloqués par cette stratégie s’ils étaient ajoutés à sa liste d’environnements. Ajoutez à la liste de cette stratégie si cet environnement est ajouté à une autre liste de stratégies « Exclure certains environnements » qui affecte les connecteurs demandés.
Blocage Débloquer les connecteurs autorisés dans la définition de la stratégie dans le centre d’administration Power Platform.

⚠ATTENTION : la modification des stratégies qui affectent « Tous les environnements » peut potentiellement avoir un impact sur n’importe quelle application canevas et flux cloud dans le client. Confirmez l’impact dans l’outil Éditeur DLP.

Si les règles de connecteur de cette stratégie ne peuvent pas être modifiées, vous pouvez faire une exception pour ce nouvel environnement en remplaçant cette stratégie par une stratégie de type « Exclure certains environnements » dans le centre d’administration Power Platform. Recherchez ou créez une stratégie de type « Environnements multiples » qui permet aux connecteurs demandés d’ajouter l’environnement. Revenez à cet enregistrement d’application d’administration de demande d’environnement et ajoutez-le à la liste des environnements des deux stratégies.
Ajoutez à cette stratégie ou débloquez les connecteurs bloqués.

S’il n’y a pas d’autres stratégies couvrant l’environnement, ajoutez-le à une autre stratégie « Environnements multiples » existante ou nouvelle qui ne bloque pas les connecteurs demandés.
N’ajoutez pas le nouvel environnement à cette stratégie.

L’environnement n’a besoin d’être ajouté à une stratégie de type « Environnements multiples » que s’il n’est pas couvert par d’autres stratégies. Par exemple, s’il n’y a aucune « Stratégies d’environnement » et si l’environnement est exclu de toutes les stratégies de type « Exclure sauf les environnements », aucune stratégie ne couvre l’environnement.

S’il n’y a pas de meilleures stratégies auxquelles ajouter cet environnement, envisagez de mettre à jour les groupes de connecteurs de cette stratégie ou créez une stratégie dans le centre d’administration Power Platform.
Restreint Placez les connecteurs restreints dans le même groupe dans la définition de la stratégie dans le centre d’administration Power Platform.

⚠ATTENTION : la modification des stratégies de type « Tous les environnements » peut potentiellement avoir un impact sur n’importe quelle application canevas et flux de cloud dans le client.

Si les règles de connecteur de cette stratégie ne peuvent pas être modifiées, vous pouvez faire une exception pour ce nouvel environnement en remplaçant cette stratégie par une stratégie de type « Exclure certains environnements » dans le centre d’administration Power Platform. Recherchez ou créez une stratégie de type « Environnements multiples » qui a les connecteurs demandés dans le même groupe. Revenez à cet enregistrement d’application d’administration de demande de création d’environnement et ajoutez-le à la liste des environnements des deux stratégies.
Ajoutez l’environnement à la liste d’exceptions de cette stratégie.

Si cela est ajouté à la liste des exceptions et qu’il n’y a pas d’autres stratégies couvrant l’environnement, ajoutez-le à une autre stratégie « Environnements multiples » qui ne restreindra pas les connecteurs demandés acceptables, ou créez une autre stratégie pour couvrir les exigences de sécurité les plus critiques.

Déterminez si les connecteurs demandés acceptables peuvent être illimités en mettant à jour cette stratégie dans le centre d’administration Power Platform.

Attention : veillez à ce que les autres environnements exclus de cette stratégie ne soient pas impactés négativement par ce changement.
N’ajoutez pas le nouvel environnement à cette stratégie.

L’environnement n’a besoin d’être ajouté à une stratégie de type « Environnements multiples » que s’il est exclu d’une stratégie de type « Exclure sauf les environnements » et qu’il n’y a pas d’autres stratégies qui couvrent l’environnement.

Si aucune stratégie existante ne fonctionne, déterminez si la mise à jour de cette stratégie pour inclure les connecteurs demandés dans le même groupe est une option. S’assurer que les autres environnements inclus dans la liste des environnements ne soient pas affectés négativement. Accédez au centre d’administration Power Platform pour mettre à jour les règles de stratégie.

Développeur : demander un changement de stratégie DLP

Les créateurs peuvent utiliser le système de demande de changement de stratégie DLP pour modifier la stratégie DLP appliquée aux environnements où ils sont l’administrateur. Si elle est approuvée, cela active les connecteurs dont vous avez besoin dans les environnements dans lesquels vous travaillez.

  1. Ouvrez l’application Créateur – Demande d’environnement.
  2. Accédez à la page Demandes de changement de stratégie de données en utilisant la navigation de gauche. Écran Demandes de changement de stratégie de données
  3. Sélectionner + Nouveau
  4. Dans le champ « Action demandée », choisissez l’option « Appliquer la stratégie à l’environnement ».
  5. Dans le champ « Stratégie », sélectionnez la stratégie souhaitée.
    1. Confirmez si les connecteurs requis par votre environnement sont dans la stratégie en cliquant sur l’icône d’information en regard de l’en-tête du champ. Confirmez que vos connecteurs requis sont autorisés par cette stratégie.
  6. Choisissez l’environnement auquel appliquer cette stratégie. Vous ne pouvez choisir que des environnements dont vous êtes l’administrateur.
    1. Si vous ne voyez pas d’environnement dans le menu déroulant, vous n’avez pas de rôle d’administrateur d’environnement pour aucun environnement.
    2. Fournissez une raison pour la demande. Par exemple, il est utile de spécifier les détails de votre projet et les connecteurs dont vous avez besoin.
  7. Cliquez sur Enregistrer pour soumettre la demande.
  8. Si l’administrateur approuve la demande, la stratégie est appliquée à l’environnement.

Administrateur : approuver ou refuser une demande de changement de stratégie DLP

Important

Si une demande de changement de politique DLP est approuvée dans ce système, le statut est mis à jour sur Approuvé, ce qui déclenche un flux qui applique automatiquement la stratégie sélectionnée à l’environnement indiqué. Cela supprime également l’environnement de toutes les autres stratégies qui ont une portée d’environnement « include » et ajoute l’environnement à toutes les stratégies avec une portée d’environnement « exclude ». Avant d’utiliser l’outil de demande de stratégie DLP, veillez à ce que ce processus corresponde à votre configuration.

Configurer les stratégies partagées

Configurez les stratégies de données dans le centre d’administration Power Platform.

Note

Suivez nos bonnes pratiques pour créer une stratégie DLP.

Exemple d’ensemble de stratégies DLP partagées pouvant s’adresser à différents niveaux de groupes :

  • Productivity (Appliquer à tous les environnements sauf) : cette stratégie est destinée à couvrir l’environnement par défaut, les environnements d’essai et tous les autres environnements qui ne sont pas couverts par les autres environnements. Elle a les règles les plus restrictives.
  • Power User (Appliquer à plusieurs environnements) : disponible pour les environnements individuels avec des règles légèrement moins restrictives que Productivity.
  • Pro Dev (Appliquer à plusieurs environnements) : disponible pour les environnements individuels avec accès à la plupart des connecteurs par rapport à Power User et destiné aux utilisateurs avertis et acceptant les stratégies de sécurité des données de l’entreprise qui doivent être définies avec une reconnaissance de responsabilité d’utilisation.

Synchroniser les stratégies partagées

Étant donné que les créateurs ne peuvent pas voir toutes les stratégies de données, le système de demande facilite l’affichage de ces informations aux créateurs via Dataverse. Le système synchronise les stratégies indiquées à partir du service Power Platform vers une table Dataverse et les créateurs peuvent voir les stratégies qu’un administrateur leur permet d’afficher. Les créateurs peuvent ensuite demander à appliquer ces stratégies partagées à leurs environnements.

Pour rendre une Stratégie DLP partagée visible aux créateurs, la stratégie doit être créée comme un enregistrement dans Dataverse.

  • Ouvrez l’application Administrateur – Demande d’environnement.
  • Accédez à la page Stratégies de données dans la navigation de gauche.
  • Sélectionnez la stratégie que vous souhaitez rendre visible aux créateurs, puis sélectionnez l’option Rendre visible dans le ruban Faites en sorte que les politiques partagées soient visibles pour les décideurs.

Partager l’application et les instructions avec les créateurs

  • Accordez à vos créateurs l’accès à l’application canevas Créateur – Demande d’environnement et attribuez-leur le rôle de sécurité Créateur SR Power Platform. Utilisez un groupe Microsoft Entra pour faciliter l’affectation.
  • Fournissez aux utilisateurs des instructions sur la façon d’utiliser le système de demande.

Approuver ou rejeter les demandes

Une fois que les utilisateurs ont accès et commencent à faire des demandes, les administrateurs peuvent voir ces demandes dans l’application canevas Administrateur – Demande d’environnement.

Afficher les demandes dans l’application Demande d’environnement de l’administrateur

Pour afficher et répondre aux demandes de changement de stratégie DLP :

  1. Ouvrez l’application Administrateur – Demande d’environnement.
  2. Accédez à la page Demandes de changement de stratégie en utilisant la navigation de gauche.
  3. Affichez la liste des demandes. Vous pouvez filtrer la demande par statut à l’aide du filtre de statut dans la partie droite du ruban. Afficher la liste des demandes
  4. Pour afficher la demande plus en détail, sélectionnez l’une des demandes et sélectionnez le bouton Détails dans le ruban.
  5. Pour approuver ou refuser une demande, filtrez le statut sur « En attente » et sélectionnez l’une des demandes. Seules les demandes en attente peuvent recevoir une réponse dans l’application.
  6. Une fois qu’une demande est sélectionnée, vous pouvez choisir d’« approuver » ou de « rejeter » la demande en utilisant les actions du ruban.
    1. Si une demande est approuvée dans ce système, le statut est mis à jour sur « Approuvé », ce qui déclenche un flux qui applique automatiquement la stratégie sélectionnée à l’environnement indiqué. Cela supprime également l’environnement de toutes les autres stratégies qui ont une portée d’environnement « include » et ajoute l’environnement à toutes les stratégies avec une portée d’environnement « exclude ». Assurez-vous que ce comportement correspond aux exigences de sécurité de votre entreprise avant de continuer. Une fois l’automatisation terminée, le statut de la demande est défini sur « Exécuté » et l’enregistrement est désactivé.
    2. Une fois la demande rejetée, le statut de la demande est défini sur « Rejeté » et l’enregistrement est désactivé.