Utiliser Flow pour la gouvernance des données directionnelles

  • 12 minutes

Dans certaines situations professionnelles, vous pouvez disposer de données provenant de sources externes via des connecteurs, et ces données sont transmises à des services qui contiennent des informations commerciales importantes vous concernant. Lorsqu’il s’agit de stratégies de protection contre la perte de données (DLP), elles nécessitent généralement que ces deux connecteurs communiquent entre eux. La partie la plus délicate consiste à s’assurer que les connecteurs ne communiquent que dans une seule direction et que vos précieuses données professionnelles ne sont pas accidentellement transmises à des tiers. Nous appelons cela la gestion du flux de données, qui consiste notamment à s’assurer qu’elles ne vont que là où elles sont censées aller. C’est ce que l’on appelle gouvernance directionnelle des données.

À l’heure actuelle, les stratégies DLP ne gèrent pas automatiquement la gouvernance directionnelle des données. Pas d’inquiétude cependant, vous pouvez utiliser Power Automate pour intercepter et stopper tous les flux qui tentent d’envoyer les données de votre entreprise vers des lieux externes.

Voici un exemple : imaginons que votre organisation souhaite utiliser SharePoint pour garder une trace des données Twitter. Le problème ici est que des informations confidentielles pourraient finir par aller de SharePoint à Twitter.

Pour vous assurer que vos données ne se déplacent que dans la bonne direction, commencez par créer une stratégie DLP dans le Centre d’administration Power Platform. Dans cette stratégie, vous regroupez les connecteurs SharePoint et Twitter comme étant des Données métier. Ainsi, vous permettez aux utilisateurs de créer des flux à l’aide de ces deux connecteurs, mais vous vous assurez également que vos données restent en sécurité et ne tombent pas accidentellement dans de mauvaises mains.

  1. La première étape de la mise en œuvre de la gouvernance des données directionnelles consiste à créer une stratégie DLP qui inclut les connecteurs SharePoint et Twitter dans le groupe de données Métier à partir du Centre d’administration Power Platform. En utilisant cette configuration, vous autorisez les créateurs à créer des flux qui incluent ces deux connecteurs.

    Capture d’écran de la page Stratégies de données du Centre d’administration Microsoft Power Platform affichant les options Twitter et SharePoint de l’étape Attribuer des connecteurs.

  2. Vous passerez ensuite au Maker Portal Power Automate et vous vous connecterez à l’aide de votre compte administrateur pour pouvoir créer votre flux de gouvernance. Votre objectif est de créer un flux planifié qui s’exécutera toutes les heures.

    Capture d’écran de la boîte de dialogue Créer un flux planifié avec le champ Nom du flux défini sur Détecter les actions Twitter.

  3. Un déclencheur de périodicité sera automatiquement ajouté à votre flux. Vous allez maintenant ajouter une action Initialiser la variable à votre flux. Nommez cette variable previousTimestamp, puis incluez une expression ticks(addMinutes(utcNow(),-60)). Cette expression calcule le nombre de cycles depuis 60 minutes. La raison pour laquelle vous incluez cette expression est que vous souhaitez voir si des flux ont été créés ou modifiés depuis la dernière exécution de votre flux, dans ce cas depuis 60 minutes.

    Capture d’écran de la page Mes flux Power Automate avec le champ Valeur de l’action Initialiser la variable contenant la formule relative aux cycles mis en surbrillance.

  4. Ajoutez une autre variable nommée isFlowAction, qui est de type booléen et dont la valeur par défaut est false. Vous utiliserez cette variable ultérieurement dans votre flux lorsque vous détecterez qu’un flux inclut une action Twitter.

    Capture d’écran d’une deuxième action Initialiser la variable nommée Le flux contient-il une action Twitter ?

  5. Utilisez ensuite le connecteur Power Platform for Admins et l’action Lister les environnements en tant qu’administrateur, qui fournira à votre flux une liste complète des environnements dans votre abonné. Parcourez ensuite chaque environnement afin de pouvoir rechercher les flux qui incluent des actions Twitter.

    Capture d’écran de la nouvelle action Power Platform for Admins avec l’option Lister les environnements en tant qu’administrateur mise en surbrillance.

  6. Après avoir dressé la liste de tous les environnements, vous allez ajouter le connecteur Gestion des flux et utiliser l’action Lister les flux en tant qu’administrateur qui fournit une liste de tous les flux pour un environnement donné.

    Capture d’écran de l’étape Choisir une action avec le connecteur Gestion des flux et l’action Lister les flux en tant qu’administrateur mis en surbrillance.

  7. L’action Lister les flux en tant qu’administrateur nécessite le nom d’un environnement comme paramètre d’entrée. Utilisez la colonne Nom renvoyée par votre appel Lister les environnements en tant qu’administrateur. Lorsque vous fournissez cette entrée, une action Appliquer à chacun est automatiquement ajoutée, ce qui vous permet d’itérer dans tous les environnements.

    Capture d’écran de l’action Appliquer à chacun avec l’action Lister les flux en tant qu’administrateur contenant le contenu dynamique Name.

  8. Comme seule l’exploration des flux récemment modifiés vous intéresse, vous allez ajouter une condition à votre flux et comparer les cycles du dernier horodatage modifié du flux à celui de la variable définie plus tôt dans votre flux. Pour accomplir cette tâche, utilisez une expression permettant de calculer les cycles de votre dernier horodatage modifié. L’instruction complète est ticks(items('Apply_to_each_2')?['properties']?['lastModifiedTime']) is greater than previousTimestamp.

    Capture d’écran de l’action Condition avec un nombre de cycles supérieur au précédent avec les options Si oui et Si non.

  9. Si vous détectez qu’un flux a été modifié dans les 60 dernières minutes, vous souhaiterez vérifier qu’il n’appartient pas à votre administrateur. Cette vérification vous aidera à éviter une erreur lorsque vous tenterez d’ajouter l’administrateur en tant que copropriétaire d’un flux lors d’une étape future. Pour détecter si le flux actuel appartient à votre administrateur, utilisez le connecteur Utilisateurs d’Office 365 et l’action Obtenir mon profil (V2). Cette étape renvoie des informations sur l’utilisateur qui a établi une connexion avec le connecteur. Dans ce cas, il s’agit de l’administrateur. Ajoutez ensuite l’action Utilisateurs d’Office 365 à la branche Si oui.

    Capture d’écran de l’action Utilisateurs d’Office 365 sous la branche Si oui avec l’action Obtenir mon profil mise en surbrillance.

  10. À présent, vous allez ajouter une autre condition qui vérifiera si l’ID d’objet Créateur (de l’action Lister les flux en tant qu’administrateur) est différent de l’ID (de l’action Obtenir mon profil (V2)). Dans la branche Si oui, ajoutez l’action Modifier le rôle du propriétaire du flux en tant qu’administrateur, qui appartient au connecteur Microsoft Flow for Admins. Cette action va ajouter votre utilisateur administrateur en tant que copropriétaire du flux et vous aider à extraire la définition de flux, ce qui nécessite que vous soyez un copropriétaire du flux. Vous récupérerez la définition du flux lors d’une étape ultérieure, mais pour le moment, fournissez le nom de l’environnement actuel, le nom du flux actuel et des détails sur votre utilisateur administrateur, tels qu’une adresse e-mail, un nom d’affichage et un ID. Ces valeurs sont accessibles à partir de votre action Obtenir mon profil (V2).

    Capture d’écran de l’action Modifier le rôle du propriétaire du flux en tant qu’administrateur avec les propriétés mises en surbrillance.

  11. Après avoir ajouté votre compte administrateur en tant que copropriétaire du flux, vous pouvez appeler l’action Obtenir le flux en tant qu’administrateur à partir du connecteur Gestion des flux.

    Capture d’écran du connecteur Gestion des flux avec l’action Obtenir le flux en tant qu’administrateur mis en surbrillance.

  12. Les entrées pour l’action Obtenir le flux en tant qu’administrateur incluent le nom de l’environnement et le nom du flux actuels. Le résultat de cette action inclut la définition du flux qui vous permettra de déterminer si une action Twitter existe.

    Capture d’écran de la branche Si oui contenant l’action Obtenir le flux en tant qu’administrateur ajoutée avec le champ Environnement défini sur Nom et le champ Flux défini sur Nom du flux.

  13. Pour vérifier si une action Twitter est utilisée, ajoutez une condition à votre flux et vérifiez si le nom API d’action (de l’action Obtenir le flux en tant qu’administrateur) est identique à shared_twitter. Après avoir ajouté cette condition, une boucle Appliquer à chacun sera mise en œuvre, car l’attribut de nom API d’action fait partie d’un groupe étant donné que chaque flux peut avoir plusieurs actions.

  14. Dans la branche Si oui, mettez à jour votre variable isFlowAction pour la définir sur true, puisque vous avez maintenant trouvé un flux qui inclut une action Twitter. Vous utiliserez cette variable ultérieurement dans votre flux pour déterminer si vous devez désactiver un flux et envoyer un e-mail à son propriétaire.

    Capture d’écran de l’action Condition - Y a-t-il une action Twitter ? avec la branche Si oui et l’action Définir une variable - Une action Twitter existe mises en surbrillance.

  15. Outre la variable Appliquer à chacun qui vous permet d’itérer dans toutes les actions de votre flux, ajoutez une autre condition. Cette condition vérifie si la valeur de votre variable isFlowAction est true.

    Capture d’écran de l’action Condition 3 - Existe-t-il une action Twitter ? mise en surbrillance.

  16. Dans la branche Si oui, ajoutez le connecteur Microsoft Flow for Admins, puis sélectionnez l’action Désactiver le flux en tant qu’administrateur. Cette action vous permet de désactiver le flux pour empêcher que des informations puissent être envoyées à Twitter. Pour appeler cette action, incluez le nom de l’environnement et le nom du flux actuels.

    Capture d’écran de la branche Si oui contenant l’action Désactiver le flux en tant qu’administrateur avec le champ Nom de l’environnement défini sur Nom et le champ Nom du flux défini sur Nom du flux.

  17. Si vous désactivez le flux de quelqu’un, vous souhaiterez lui envoyer un e-mail l’informant que son flux n’est plus exécuté. Pour obtenir l’adresse e-mail du propriétaire du flux, utilisez le connecteur Utilisateurs d’Office 365 et l’action Obtenir le profil utilisateur (V2) pour renvoyer l’adresse e-mail du propriétaire. Pour obtenir son adresse e-mail, vous devez ajouter l’ID d’objet créateur, qui peut être récupéré à partir de l’action Lister les flux en tant qu’administrateur.

    Capture d’écran de l’action Obtenir le profil utilisateur - Créateur de flux avec le champ Utilisateur (UPN) défini sur ID d’objet créateur.

  18. Envoyez un e-mail au propriétaire du flux à l’aide du connecteur Office 365 Outlook et de l’action Envoyer un e-mail (V2). Utilisez les informations renvoyées par l’action Obtenir un profil utilisateur (V2) pour envoyer cet e-mail, notamment les attributs E-mail et Nom donné. De plus, vous pouvez inclure le nom du flux en ajoutant l’attribut Nom complet du flux se trouvant dans la sortie Lister les flux en tant qu’administrateur.

    Capture d’écran de l’action Envoyer un e-mail avec le champ À défini sur E-mail, du texte saisi dans le champ Objet et du texte saisi dans l’encadré Corps avec les éléments de contenu dynamique Prénom et Nom complet du flux.

  19. Comme vous parcourez tous les flux de votre client, vous devez redéfinir votre variable isFlowAction sur false de manière à pouvoir rechercher d’autres flux susceptibles de contenir une action Twitter. Vous pouvez maintenant enregistrer votre flux d’administration.

    Capture d’écran de l’action Définir la variable - Réinitialiser l’indicateur Twitter avec le champ Nom défini sur isFlowAction et le champ Valeur défini sur false.

  20. Pour tester votre flux, connectez-vous au Maker Portal Power Automate avec un autre compte. Vous allez maintenant créer un flux qui inclut un déclencheur SharePoint et une action Twitter. Ce scénario ne sera pas bloqué par votre stratégie DLP, mais il devrait être détecté par le flux d’administration que vous avez créé.

    Capture d’écran de Power Automate sur la page Mes flux créant un flux comprenant une action Twitter avec les étapes « Lorsqu’un élément est créé » et « Obtenir le profil utilisateur ».

  21. Vous pouvez maintenant exécuter votre flux Détecter les actions Twitter créé préalablement en tant qu’administrateur. Lorsque ce flux est exécuté, il devrait détecter qu’un flux a été modifié récemment et qu’il inclut une action Twitter. Un e-mail sera alors envoyé au propriétaire du flux.

    Capture d’écran d’un e-mail avec l’objet « Votre flux a été désactivé » et le message « Votre flux : SharePoint > Twitter a été désactivé… »

  22. Si vous examinez le flux entre SharePoint et Twitter, vous allez constater qu’il a été désactivé parce que votre administrateur a désactivé le flux.

    Capture d’écran de la page Flux Power Automate avec le flux SharePoint -> Twitter désactivé.

Cependant, récupérer des informations de Twitter et les envoyer à SharePoint n’enfreint pas vos règles de gouvernance. Vous pouvez donc créer un autre flux en utilisant le compte du créateur de votre flux, qui inclut un déclencheur Twitter et une action SharePoint. Lorsque vous exécutez votre flux de gouvernance Détecter les actions Twitter, il reste fonctionnel et n’est pas désactivé, car il s’agit d’un cas d’utilisation autorisé.

Capture d’écran de Power Automate sur la page Mes flux créant un flux comprenant une action Twitter avec les étapes « Lorsqu’un nouveau tweet est publié » et « Créer un élément ».