次の方法で共有

環境および DLP Policy 管理

  • [アーティクル]

環境と DLP 要求プロセスの仕組みに関する チュートリアルを見る

プロセスの説明

問題の内容: 開発プロジェクトに新しい環境が必要で、非管理者による環境の作成を制限されている場合、管理者が環境をプロビジョニングしてユーザーに権限を付与することでしか、非管理者が新しい環境にアクセスすることができません。 段階が複数あるため環境に対する需要が多い場合、管理者が開発のボトルネックになる場合があります。 新しい環境では、新しいコネクタか DLP ポリシーも必要になる場合があります。

ソリューション: 以下のプロセスは、管理者以外のユーザーが新しい環境とその環境の DLP ポリシーの変更を要求するために使用できます。

環境管理プロセス

開発者 (管理者以外) は次のことができます。

  • 新しい環境の要求の送信。
  • 環境に適用される DLP ポリシーの要求を送信します。

管理者は次のことを行うことができます。

  • アプリを使用した開発者向けの新しい環境のプロビジョニング。
  • データ損失防止ポリシーが与える新しい環境への影響をご確認ください。
  • DLP ポリシー要求の承認または拒否をします。

開発者: 環境の要求

開発者 (管理者以外) は、管理者がトリアージする新しい環境を要求できます。

  1. 開発者 – 環境要求 アプリを開きます。

  2. + 新規 を選択します

  3. フライアウト メニューで、新しい環境で必要なコネクタを選択します。 続いて [次へ] を選択します。 コネクタを選択する

  4. 環境管理者アクセスが必要なユーザー アカウントを選択します。 管理者を選択する

  5. 表示名、地域、タイプ、目的など、必要な環境に関する基本的な詳細を提供します。

  6. 一定期間後に環境を自動的にクリーンアップできるかどうかを示します。

    1. [はい] の場合は、表示されたドロップダウンから期間 (日数) を入力します。 短期プロジェクト用の環境のみが必要な場合は、次を実行してください。
    2. そうでない場合は、環境は自動的に削除されません。 長期で環境が必要な場合は、次を実行してください。

  7. Dataverse データベースをプロビジョニングするかどうかを示します。 環境の詳細

  8. データベースが必要な場合 (トグル = はい)、必要な言語と通貨の値を指定します。 この環境へのアクセスを制限するセキュリティ グループを提供します (オプション)。 データベース設定の選択

  9. 完了したら、保存 ボタンをクリックしてフォームを送信します。

?? CoE スターター キットの管理者に新しい要求を確認するように通知メールが送信されます。

キャンバス アプリで送信された要求を表示します。

要求を表示

管理者: 環境リクエストを承認または拒否する

管理者は、新しい環境の要求を表示して優先順位を付けることができます。

  1. 管理者 - 環境要求というキャンバス アプリを開きます。

  2. 保留中の環境作成の要求をホーム画面に表示します。

    Note

    既定では、保留中の要求が最初に表示されます。 リボンの右側にあるドロップダウンを使用して、要求状態フィルターを変更します。

  3. 詳細を表示するには、テーブルで要求を選択してください。 要求を選択する

  4. 新しい環境に要求された詳細をお読みください。

    1. 環境情報、正当性。

    2. 管理者が要求しました。

    3. 要求されたセキュリティ グループを表示するか、何も選択されていない場合は追加します。

    4. コネクタ。

    5. 影響力のあるポリシー。

    6. [メモ] パネルに決定に関するコメントを追加します。

      詳細を表示する

    Note

    ページ上部のバナーは、テナントの既存のポリシーに基づいて、新しい環境がどのように影響を受けるかを示しています。 ポリシーが変更されると、影響分析が変更されます。

  5. 提案されたアクション (利用可能な場合) をクリックして、[影響を受けたポリシー] テーブルのデータ損失防止ポリシーを変更します。 アクションを表示する

    警告

    特定のタイプのポリシーのみを追加できます ("すべての環境" タイプのポリシーではない組織レベルの環境)。

  6. [ポリシーの表示と変更] を選択して、すべてのポリシーと、要求されたコネクタへの影響を確認します。 ポリシーを選択し、リボンに表示されるアクションを選択して、承認時に変更される変更リストにポリシーを追加または削除できます。 DLP ポリシーを表示または変更する

  7. ポリシーを選択し、リボンにある 詳細 アクションをクリックしてコネクタへの影響を表示します。 ポリシーへの影響

  8. 左上のリボンで要求を承認または拒否します。 承認または拒否

承認されたパス

要求が承認されると、要求された構成で環境が作成されます。 ユーザーには、環境管理者アクセスが許可されます。

⏳ 有効期限

環境に有効期限がある場合、指定された期間が経過すると自動的に削除されます。 管理者に警告メールが毎週送信され、ソース管理または環境外の他の場所に作業を保存するように通知されます。

有効期限が設定されていない場合、環境が自動的にクリーンアップされることはありません。 環境は、Power Platform 管理センターで手動で削除する必要があります。

DLP レコメンデーション ロジック

管理アプリは以下のロジックを使用して、要求されたコネクタを使用できるように DLP ポリシーを構成する方法に関するガイダンスを提供します。

決定マトリックス: 警告バナー

これは、要求の詳細ページを表示しているときに管理アプリに表示されるバナーです。

条件 この環境に適用されるポリシーはありません 既存のポリシーは、ポリシーの環境リストに含めずに環境に適用されます 環境は承認時にポリシーに追加されます
ブロック解除済み ?? コネクタはブロックまたは制限されていませんが、環境を保護するポリシーはありません。 データの損失を防ぐために、少なくとも 1 つのポリシーに環境を追加します。 ?? コネクタはブロックまたは制限されておらず、環境は少なくとも 1 つの既存のポリシーでカバーされています。 ?? コネクタはブロックされず、要求の承認時に選択したポリシーに環境が追加されます。
ブロック済み -- ⛔ 元のポリシー構成がブロックしたコネクタ。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 ⛔ 現在のポリシー構成がブロックしたコネクタ。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。
制限付き -- ?? 元のポリシー構成が制限したコネクタ。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 ?? 現在のポリシー構成が制限したコネクタ。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。

ポリシーと要求されたコネクタに基づいた推奨アクションのマトリックス。 横の列は各ポリシー タイプを表し、マトリックスの縦の行は、ポリシーがそのルールに基づいて要求されたコネクタに与える影響を表します。

影響 すべての環境 特定の環境を除外する 複数の環境を含める
ブロックされていない、または制限済み 対処は必要ありません。

要求されたコネクタは、このポリシーによってブロックされていません。 このタイプのポリシーは、作成されたこの新しい環境を対象とするため、アクションは不要です。		 新しい環境がカバーされていない場合は、ポリシーを追加します。 カバーされている場合、アクションは不要です。 要求されたコネクタは、その環境リストに追加された場合、このポリシーによってブロックされません。 この環境が、要求されたコネクタに影響を与えている別の "特定の環境を除外する" ポリシー リストに追加される場合は、このポリシーのリストに追加します。
ブロック済み Power Platform 管理センターのポリシーの定義で許可されているコネクタのブロックを解除します。

⚠注意: "すべての環境" に影響するポリシーを変更すると、テナント内のキャンバス アプリとクラウド フローに影響を与える可能性があります。 DLP エディター ツールで影響を確認します。

このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでポリシーを "特定の環境を除外する" タイプのポリシーに変更すると、新しい環境の例外を作成できます。 要求されたコネクタが環境を追加できるようにする "複数の環境" タイプのポリシーを検索または作成します。 環境要求管理アプリ レコードに戻り、これを両方のポリシーの環境リストに追加します。		 このポリシーに追加するか、ブロックされたコネクタのブロックを解除します。

環境をカバーする他のポリシーがない場合は、要求されたコネクタをブロックしない別の既存または新しい "複数環境" ポリシーに追加します。		 新しい環境をこのポリシーに追加しないでください。

他のポリシーでカバーされていない場合のみ、環境を "複数環境" タイプのポリシーに追加する必要があります。 たとえば、"すべての環境ポリシー" がなく、環境がすべての "環境以外を除外" タイプのポリシーから除外されている場合、その環境をカバーしているポリシーはありません。

この環境を追加するために適切なポリシーがない場合は、ポリシーのコネクタ グループを更新するか、Power Platform 管理センターで新しいポリシーを作成することを検討してください。
制限付き Power Platform 管理センターで、制限されたコネクタを、ポリシーの定義の同じグループに配置します。

⚠注意: "すべての環境" タイプのポリシーを変更すると、テナント内のキャンバス アプリとクラウド フローに影響を与える可能性があります。

このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでポリシーを "特定の環境を除外する" タイプのポリシーに変更すると、新しい環境の例外を作成できます。 同じ環境に要求されたコネクタが存在する "複数の環境" タイプのポリシーを検索または作成します。 環境作成要求管理アプリ レコードに戻り、これを両方のポリシーの環境リストに追加します。		 このポリシーの例外リストに環境を追加します。

これが例外リストに追加され、環境をカバーする他のポリシーがない場合は、受け入れ可能な要済みコネクタを制限しない別の "複数環境" ポリシーに追加するか、最も重要なセキュリティ要件をカバーする別のポリシーを作成します。

Power Platform 管理センターでこのポリシーを更新して、受け入れ可能な要求済みコネクタの制限を解除できないかどうかを確認してください。

注意: このポリシーから除外されている他の環境が、変更することで悪影響を受けないことを確認してください。		 新しい環境をこのポリシーに追加しないでください。

環境を "複数の環境" タイプのポリシーに追加する必要があるのは、"環境以外を除外" タイプのポリシーから除外されていて、環境をカバーする他のポリシーがない場合のみです。

既存のポリシーが機能しない場合は、このポリシーを更新して、要求されたコネクタを同じグループに含めることができるかを確認してください。 環境リストに含まれている他の環境が悪影響を受けないことを確認してください。 Power Platform 管理センターに移動してポリシー ルールを更新します。

開発者: DLP ポリシーの変更を要求する

開発者は、DLP ポリシー変更要求システムを使用して、管理者である環境に適用される DLP ポリシーを変更できます。 承認された場合、これにより、作業する環境で必要なコネクタが有効になります。

  1. 開発者 – 環境要求 アプリを開きます。
  2. 左のナビゲーションを使用して データ ポリシー変更要求 ページに移動します。 データ ポリシー変更要求スクリーン
  3. + 新規 を選択します
  4. "要求されたアクション" フィールドで、"ポリシーを環境に適用する" オプションを選択します。
  5. "ポリシー" フィールドで、目的のポリシーを選択します。
    1. フィールド ヘッダーの横にある情報アイコンをクリックして、ご使用の環境で必要なコネクタがポリシーに含まれているかどうかを確認します。 必要なコネクタがこのポリシーで許可されていることを確認してください。
  6. このポリシーに追加する環境を選択します。 あなたが管理者である選択された環境だけになります。
    1. ドロップダウンに環境が表示されない場合は、どの環境に対しても環境管理者ロールがありません。
    2. 要求の理由を入力します。 たとえば、これはプロジェクトの詳細と必要なコネクタを指定するのに役立ちます。
  7. 保存 を選択して要求を送信します。
  8. 管理者が要求を承認すると、ポリシーが環境に適用されます。

管理者: DLP ポリシー変更要求を承認または拒否する

重要

このシステムで DLP ポリシー変更要求が承認されると、ステータスが 承認済み に更新され、これにより、選択したポリシーを指定された環境に自動的に適用するフローがトリガーされます。 また、環境スコープを "含む" を持つ他のすべてのポリシーから環境を削除し、環境スコープの "除外" を持つすべてのポリシーに環境を追加します。 DLP ポリシー要求ツールを使用する前に、このプロセスが設定に適合していることを確認してください。

共有ポリシーの構成

Power Platform管理センターで、データポリシー を構成します。

Note

ベストプラクティスに従って、DLP 戦略 を作成します。

さまざまなレベルのグループに対応できる共有 DLP ポリシーのセットの例:

  • 生産性 (を除くすべての環境に適用) – このポリシーは、規定環境、試用環境、その他の環境でカバーされていない他のすべての環境をカバーすることを目的としています。 これには最も制限の厳しいルールがあります。
  • Power ユーザー (複数の環境に適用) – 生産性よりもわずかに制限の少ないルールを持つ個々の環境で使用できます。
  • プロの開発者 (複数の環境に適用) – Power ユーザーと比較してほとんどのコネクタにアクセスできる個々の環境で利用でき、十分なトレーニングを受けており、使用責任を認めて定義する必要がある企業のデータ セキュリティ ポリシーに同意するユーザーを対象としています。

共有されたポリシーを同期する

開発者はすべてのデータ ポリシーを表示できるわけではないため、要求システムを使用すると、その情報を Dataverse を介して開発者に簡単に表示できます。 システムは、示されたポリシーを Power Platform サービスから Dataverse テーブルへと同期し、開発者は、管理者が表示を許可するポリシーを表示できます。 その後、開発者はそれらの共有ポリシーを自分の環境に適用するように要求できます。

共有された DLP ポリシー を開発者に対して可視化するには、ポリシーは Dataverse の記録として作成する必要があります。

  • 開発者 – 環境要求 アプリを開きます。
  • 左側のナビゲーションで、データ ポリシー ページへ移動します。
  • 開発者に表示するポリシーを選択してから、表示するオプションを選択して、リボン 共有ポリシーを開発者に表示します。 で 共有ポリシーを開発者に表示します。

アプリと手順を開発者と共有する

  • 開発者に 開発者 – 環境要求 キャンバス アプリへのアクセス許可を付与し、彼らに Power Platform メーカー SR セキュリティ ロールを割り当てます。 Microsoft Entra グループを使用して割り当てを簡素化します。
  • 要求システムの使用方法についてユーザーに説明します。

要求の承認または拒否

ユーザーがアクセスして要求を開始すると、管理者はそれらのリクエストを 管理者 – 環境要求 キャンバス アプリで見ることができます。

管理者環境要求アプリで要求を表示します。

DLP ポリシー変更要求を表示して応答するには:

  1. 開発者 – 環境要求 アプリを開きます。
  2. 左のナビゲーションを使用して データ ポリシー変更要求 ページに移動します。
  3. 要求一覧の表示 リボンの右側にあるステータス フィルターを使用して、ステータスで要求をフィルター処理できます。 要求一覧の表示
  4. 要求をより詳細に表示するには、要求の 1 つを選択し、リボンで 詳細 アクションをクリックします。
  5. 要求を承認または拒否するには、ステータスを "保留中" にフィルタ―処理し、要求の 1 つを選択します。 アプリで応答できるのは、ステータスが保留中の要求のみです。
  6. 要求を選択すると、リボンのアクションを使用して要求を "承認" または "拒否" することができます。
    1. 要求が承認されると、ステータスが "承認済み" に更新され、これにより、選択したポリシーを指定された環境に自動的に適用するフローがトリガーされます。 また、環境スコープを "含む" を持つ他のすべてのポリシーから環境を削除し、環境スコープの "除外" を持つすべてのポリシーに環境を追加します。 続行する前に、この動作が会社のセキュリティ要件に適合していることを確認してください。 自動化が完了すると、要求のステータスは "実行完了済み" に設定され、レコードは非アクティブ化されます。
    2. 要求が拒否されると、ステータスは "拒否" に設定され、レコードは非アクティブ化されます。