環境とデータ ポリシー要求プロセスのしくみのチュートリアルをご覧ください。
プロセスの説明
問題の説明: 開発プロジェクトに新しい環境が必要であり、管理者以外が環境の作成を制限されている場合、管理者のみが環境を設定し、それを使用するアクセス許可をユーザーに付与できます。 複数の手順が関係しているため、環境の需要が高い場合、管理者は開発を遅くすることができます。 新しい環境では、新しいコネクタまたはデータ ポリシーが必要になる場合もあります。
解決策: 管理者以外のユーザーは、次のプロセスを使用して、新しい環境と、その環境のデータ ポリシーの変更を要求できます。
開発者 (管理者以外) は次のことができます。
- 新しい環境の要求の送信。
- 環境に適用するデータ ポリシーの要求を送信します。
管理者は次のことを行うことができます。
- アプリを使用した開発者向けの新しい環境のプロビジョニング。
- 新しい環境がデータ ポリシーによってどのように影響を受けるかを確認します。
- データ ポリシー要求を承認または拒否します。
開発者: 環境の要求
開発者 (管理者以外) は、管理者がトリアージする新しい環境を要求できます。
Maker - 環境要求アプリを開きます。
[+新規] を選択します。
ポップアップ メニューで、新しい環境で必要なコネクタを選択します。 次に、[次へ] を選択します。
![コネクタを選択する [新しい環境作成要求] パネルを示すスクリーンショット。](media/dev-resources-maker-connectors.png)
環境管理者アクセスが必要なユーザー アカウントを選択します。
![管理者を選択した [新しい環境の作成要求] パネルを示すスクリーンショット。](media/dev-resources-maker-admins.png)
表示名、リージョン、種類、目的など、目的の環境に関する基本的な詳細を指定します。
一定期間後に環境を自動的にクリーンアップできるかどうかを示します。
- [はい] の場合は、表示されたドロップダウンから期間 (日数) を入力します。 このオプションは、短期的なプロジェクトにのみ環境が必要な場合に使用します。
- いいえの場合、環境は自動的に削除されません。 環境を長時間保持する必要がある場合は、このオプションを使用します。
Dataverse データベースをプロビジョニングするかどうかを示します。
![環境の詳細を指定する [新しい環境の作成要求] 画面を示すスクリーンショット。](media/dev-resources-maker-env.png)
データベースが必要な場合 (toggle=yes)、必要な言語と通貨の値を指定します。 必要に応じて、環境へのアクセスを制限するセキュリティ グループを指定します。
![言語と通貨の設定を選択する [新しい環境の作成要求] ウィンドウを示すスクリーンショット。](media/dev-resources-maker-db.png)
[ 保存] を 選択してフォームを送信します。
新しい要求を確認するように CoE Starter Kit 管理者に通知する電子メールが送信されます。
送信された要求がキャンバス アプリに表示されます。
![[My Pending Environment Creation Requests]\(保留中の環境作成要求\) ページの 1 つの項目を示すスクリーンショット。](media/dev-resources-maker-pending.png)
管理者: 環境リクエストを承認または拒否する
管理者は、新しい環境の要求を表示およびトリアージできます。
管理者 - 環境要求というキャンバス アプリを開きます。
保留中の環境作成要求を表示します。
ヒント
既定では、保留中の要求が最初に表示されます。 要求状態フィルターは、リボンの右側にあるドロップダウンを使用して変更できます。
要求を選択して詳細を表示します。
新しい環境に対して要求された詳細を確認します。
環境情報、正当性。
管理者が要求しました。
要求されたセキュリティ グループを表示するか、何も選択されていない場合は追加します。
コネクタ。
影響力のあるポリシー。
[メモ] パネルに決定に関するコメントを追加します。
メモ
ページの上部にあるバナーは、テナント内の既存のポリシーに基づいて新しい環境がどのように影響するかを示します。 ポリシーが変更されると、影響分析が変更されます。
推奨されるアクション (使用可能な場合) を選択して、[影響を受けたポリシー] テーブルのデータ ポリシーを変更します。
警告
特定の種類のポリシー ("すべての環境" タイプ のポリシーではない組織レベルの環境) のみを追加できます。
[ ポリシーの表示と変更 ] を選択すると、すべてのポリシーと、要求されたコネクタへの影響が表示されます。 ポリシーを選択し、リボンに表示されるアクションを選択することで、承認時に変更する変更リストにポリシーを追加または削除できます。
ポリシーを選択し、リボンの [詳細 ] を選択して、コネクタへの影響を表示します。
左上のリボンで要求を承認または拒否します。
![[承認] または [却下] オプションを示すスクリーンショット。](media/dev-resources-admin-details-decision.png)
承認されたパス
要求が承認されると、システムは要求された構成を使用して環境を作成します。 ユーザーには、環境管理者アクセスが許可されます。
⏳ 有効期限
有効期限が設定されている環境は、指定した期間が経過すると自動的に削除されます。 管理者に警告メールが毎週送信され、ソース管理や環境外の他の場所に作業を保存するよう通知されます。
有効期限が設定されていない場合、環境は自動的に削除されません。 環境は、Power Platform 管理センターで手動で削除する必要があります。
データ ポリシーの推奨事項のロジック
管理者アプリは、次のロジックを使用して、要求されたコネクタを許可するようにデータ ポリシーを構成する方法に関するガイダンスを提供します。
決定マトリックス: 警告バナー
このバナーは、要求の詳細ページを表示すると、管理アプリに表示されます。
| 状態 | この環境に適用されるポリシーはありません | 既存のポリシーは、ポリシーの環境リストに含めずに環境に適用されます。 | 承認時に環境がポリシーに追加されます。 |
|---|---|---|---|
| ブロック解除済み | コネクタはブロックも制限もされませんが、環境を保護するポリシーはありません。 データ損失を防ぐために、環境を少なくとも 1 つのポリシーに追加します。 | コネクタはブロックまたは制限されず、環境には少なくとも 1 つの既存のポリシーが適用されます。 | コネクタはブロックされず、要求を承認すると、選択したポリシーに環境が追加されます。 |
| ブロック済み | -- | ⛔ コネクタは元のポリシー構成によってブロックされます。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 | ⛔ コネクタは現在のポリシー構成によってブロックされます。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 |
| 制限付き | -- | 元のポリシー構成が制限したコネクタ。 既存のポリシー環境リストに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 | 現在のポリシー構成が制限したコネクタ。 異なるポリシーに環境を追加するか、Power Platform 管理センターでポリシーを変更してコネクタのブロックを解除します。 |
意思決定マトリックス: ポリシーレベルの推奨アクション
ポリシーと要求されたコネクタに基づく推奨されるアクションには、次のマトリックスを使用します。 水平方向の列には各ポリシーの種類が表示され、垂直方向の行には、規則に基づいて、要求されたコネクタに対するポリシーの影響が示されます。
| 影響 | すべての環境 | 特定の環境を除外する | 複数の環境を含める |
|---|---|---|---|
| ブロックされていない、または制限済み | 対処は必要ありません。 要求されたコネクタは、このポリシーによってブロックされません。 この種類のポリシーは、作成後にこの新しい環境を対象とするため、アクションは必要ありません。 |
新しい環境がカバーされていない場合は、ポリシーを追加します。 カバーされている場合は、アクションは必要ありません。 | 要求されたコネクタは、その環境リストに追加された場合、このポリシーによってブロックされません。 この環境が、要求されたコネクタに影響を与えている別の "特定の環境を除外する" ポリシー リストに追加される場合は、このポリシーのリストに追加します。 |
| ブロック済み | Power Platform 管理センターのポリシー定義で許可されているコネクタのブロックを解除します。 ⚠注意: 「すべての環境」 に影響するポリシーを変更すると、テナント内のキャンバス アプリとクラウド フローに影響を与える可能性があります。 DLP エディター ツールで影響を確認します。 このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでこのポリシーを [特定の環境を除外する] タイプ ポリシーに変更することで、この新しい環境の例外を作成できます。 要求されたコネクタが環境を追加できるようにする "複数の環境" タイプのポリシーを検索または作成します。 この環境要求管理アプリ レコードに戻り、両方のポリシーの環境の一覧に追加します。 |
このポリシーに追加するか、ブロックされたコネクタのブロックを解除します。 環境を対象とする他のポリシーがない場合は、要求されたコネクタをブロックしない別の既存または新しい "複数の環境" ポリシーに追加します。 |
このポリシーに新しい環境を追加しないでください。 環境は、他のポリシーでカバーされていない場合にのみ、"複数の環境" タイプ のポリシーに追加する必要があります。 たとえば、"すべての環境ポリシー" がなく、環境がすべての "環境を除く除外" タイプ のポリシーから除外されている場合、環境に対応するポリシーはありません。 この環境を追加する適切なポリシーがない場合は、このポリシーのコネクタ グループを更新するか、Power Platform 管理センターで新しいポリシーを作成することを検討してください。 |
| 制限付き | 制限付きコネクタを、Power Platform 管理センターのポリシーの定義内の同じグループに配置します。 ⚠注意: 「すべての環境」 タイプのポリシーを変更すると、テナント内のキャンバス アプリとクラウド フローに影響を与える可能性があります。 このポリシーのコネクタ ルールを変更できない場合は、Power Platform 管理センターでこのポリシーを [特定の環境を除外する] タイプ ポリシーに変更することで、この新しい環境の例外を作成できます。 同じ環境に要求されたコネクタが存在する "複数の環境" タイプのポリシーを検索または作成します。 この環境作成要求管理アプリのレコードに戻って、両方のポリシーの環境リストに追加してください。 |
このポリシーの例外リストに環境を追加します。 これを例外一覧に追加し、その環境をカバーする他のポリシーがない場合は、許容可能な要求されたコネクタを制限しない別の "複数の環境" ポリシーに追加するか、最も重要なセキュリティ要件を満たす別のポリシーを作成します。 Power Platform 管理センターでこのポリシーを更新して、受け入れ可能な要求済みコネクタの制限を解除できないかどうかを確認してください。 注意: このポリシーから除外されている他の環境がこの変更によって悪影響を受けないようにしてください。 |
このポリシーに新しい環境を追加しないでください。 環境を "複数の環境" タイプ ポリシーに追加する必要があるのは、"環境を除く除外" タイプ ポリシーから除外されていて、その環境に対応する他のポリシーがない場合のみです。 既存のポリシーが機能しない場合は、このポリシーを更新して、要求されたコネクタを同じグループに含めることができるかを確認してください。 環境の一覧に含まれる他の環境が悪影響を受けないことを確認します。 Power Platform 管理センターに移動してポリシー ルールを更新します。 |
開発者: データ ポリシーの変更を要求する
作成者は、データ ポリシー変更要求システムを使用して、管理者である環境に適用されるデータ損失防止ポリシーを変更できます。 承認された場合、この変更により、作業中の環境で必要なコネクタが有効になります。
Maker - 環境要求アプリを開きます。
左側のナビゲーションを使用して 、データ ポリシー変更要求 に移動します。
![[データ ポリシー変更要求] 画面を示すスクリーンショット。](media/dlp-1.png)
[+新規] を選択します。
[ アクション要求 ] フィールドで、[ 環境にポリシーを適用 ] オプションを選択します。
[ ポリシー ] フィールドで、目的のポリシーを選択します。
環境に必要なコネクタがポリシー内にあるかどうかを確認するには、[ポリシー] の横にある情報 アイコンを選択します。
このポリシーに追加する環境を選択します。 選択できるのは、自分が管理者である環境のみです。
ドロップダウンに環境が表示されない場合は、環境に対する環境管理者ロールはありません。
要求の理由を入力します。 たとえば、プロジェクトの詳細や必要なコネクタなどです。
保存 を選択して要求を送信します。
管理者が要求を承認すると、ポリシーが環境に適用されます。
管理者: データ ポリシー変更要求を承認または拒否する
重要
このシステムでデータ ポリシー変更要求を承認すると、状態が [承認済み] に更新されます。 この状態の変更により、選択したポリシーが指定された環境に自動的に適用されるフローがトリガーされます。 また、"含める" 環境スコープを持つ他のすべてのポリシーから環境が削除され、"除外" 環境スコープを持つすべてのポリシーに環境が追加されます。 データ ポリシー要求ツールを使用する前に、このプロセスがセットアップに適合していることを確認してください。
共有ポリシーを構成する
Power Platform 管理センターで データ ポリシー を構成します。
メモ
ベスト プラクティスに従って 、データ ポリシー戦略を作成します。
さまざまなレベルのグループに対応する共有データ ポリシーのセットの例:
- 生産性 (除くすべての環境に適用): このポリシーは、既定の環境、試用環境、および他の環境でカバーされていないその他のすべての環境を対象としています。 これには最も制限の厳しいルールがあります。
- Power User (複数の環境に適用): 生産性よりも規則の制限が少ない個々の環境で使用できます。
- Pro Dev (複数の環境に適用): Power User と比較して、ほとんどのコネクタにアクセスできる個々の環境で使用できます。 これは、会社のデータ セキュリティ ポリシーに同意するトレーニング済みのユーザーを対象としています。これには、使用に対する責任の確認を含める必要があります。
共有ポリシーを同期する
作成者はすべてのデータ ポリシーを表示できないため、要求システムによって、Dataverse を介してこの情報がユーザーに表示されます。 システムは、指定されたポリシーを Power Platform サービスから Dataverse テーブルに同期し、作成者は管理者が表示を許可するポリシーを確認できます。 作成者は、それらの共有ポリシーを自分の環境に適用することを要求できます。
共有データ ポリシーを作成者に表示するには、Dataverse でレコードとしてポリシーを作成します。
開発者 – 環境要求 アプリを開きます。
左側のナビゲーションの [データ ポリシー ] に移動します。
作成者に表示するポリシーを選択し、リボンの [ 表示 する] オプションを選択します。
アプリと手順を開発者と共有する
- 開発者に 開発者 – 環境要求 キャンバス アプリへのアクセス許可を付与し、彼らに Power Platform 開発者 SR セキュリティ ロールを割り当てます。 Microsoft Entra グループを使用して割り当てを簡素化します。
- 要求システムの使用方法についてユーザーに説明します。
要求を承認または拒否する
ユーザーがアクセス権を持ち、要求の作成を開始すると、管理者は 管理者 - 環境要求 キャンバス アプリでこれらの要求を確認できます。
DLP ポリシー変更要求を表示して応答するには:
開発者 – 環境要求 アプリを開きます。
左側のナビゲーションを使用して 、[ポリシー変更要求 ] に移動します。
要求一覧の表示 リボンの右側にある状態フィルターを使用して、状態で要求をフィルター処理できます。
要求をより詳細に表示するには、要求のいずれかを選択し、リボンの [詳細 ] アクションを選択します。
要求を承認または拒否するには、ステータスを "保留中" にフィルタ―処理し、要求の 1 つを選択します。 アプリで応答できるのは、ステータスが保留中の要求のみです。
リボンのアクションを使用して、選択した要求を "承認" または "拒否" することを選択します。
要求を承認すると、アプリは状態を "承認済み" に更新します。 この更新プログラムは、選択したポリシーを指定された環境に自動的に適用するフローをトリガーします。 また、"含める" 環境スコープを持つ他のすべてのポリシーから環境が削除され、"除外" 環境スコープを持つすべてのポリシーに環境が追加されます。 続行する前に、この動作が会社のセキュリティ要件に適合していることを確認してください。 自動化が完了すると、要求の状態は "Fulfilled" に設定され、レコードは非アクティブ化されます。
要求を拒否すると、アプリによって状態が "Rejected" に設定され、レコードが非アクティブ化されます。