管理資料原則

  • 發行項

組織的資料對於其成功至關重要。 進行決策時需要用到它的資料,但資料需進行保護,讓不應該存取該資料的對象無法共用。 為了保護此資料,您可以使用 Power Apps 建立並強制執行防止資料原則,定義哪些客戶連接器可以共用特定的商務資料。 例如,使用 Power Apps 的組織可能不會想將它儲存在 SharePoint 中的商務資料自動發佈至其 Twitter 的訂閱。

若要建立、編輯或刪除資料原則,您必須具有環境系統管理員或 Power Platform 系統管理員的權限。

先決條件

租戶層級的原則

租用戶層級原則可被定義成包括或排除特定環境。 若要遵循本文所述的租用戶層級原則策步驟,下列權限之一為必要項目:

  • Microsoft Power Platform 管理員權限
  • Microsoft 365 全域管理員權限

我們將本文的這些角色稱為租用戶管理員。 深入了解:使用服務管理員角色管理您的租用戶

環境等級原則

若要跟隨環境層級原則步驟,您必須具備 Power Apps 環境管理權限。 若是具有 Dataverse 資料庫的環境,則必須改為將系統管理員角色指派給您

Note

當使用 POWERSHELL 建立 MUST 原則時,如果使用 SingleEnvironment EnvironmentType 參數,則用來建立原則的使用者帳戶必須具備環境等級,而且不得具有上述所述的租用戶層級權限,否則無法建立資料原則。

資料原則程序

若要建立資料原則,請完成以下步驟。

  1. 指派原則名稱。
  2. 分類連接器。
  3. 定義原則的範圍。 此步驟不適用環境層級原則。
  4. 選取環境。
  5. 評論設定。

下一節將會說明這些步驟。

演練:建立資料原則

使用此演練範例建立租用戶層級的資料原則。 在此演練中,您將完成以下工作:

  • 將 SharePoint 和 Salesforce 新增到資料原則的商務資料群組。
  • 將 Facebook和 Twitter 新增到已封鎖的資料群組。
  • 留下非商務資料群組的其餘連接器。
  • 將測試環境從此原則範圍排除,並將原則套用到其餘的環境,例如租用戶中的預設環境和生產環境。

儲存此原則之後,任何 Power Apps 或 Power Automate 屬於資料原則環境的決策者都可建立在或 SharePoint 或 Salesforce 之間共用資料的應用程式或流程。 任何 Power Apps 或 Power Automate 資源,包括與非商務資料群組中連接器的現有連線,都不允許建立與 SharePoint 或 Salesforce 連接器的連線。 這些製作者無法將 Facebook 或 Twitter 連接器新增到任何 Power Apps 或 Power Automate 資源。

  1. Power Platform 系統管理中心中,選取原則>資料原則>新原則

    如果租用戶中不存在任何原則,您將會看到下列頁面。

    無原則檢視

  2. 輸入原則名稱,然後選取 下一個

  3. 請評論您可以在 指派連接器 頁面上制訂的各種屬性和設定。

    指派連接器

    屬性

    屬性 描述
    姓名 連接器名稱。
    可封鎖 會被封鎖的連接器。 深入了解:無法封鎖的連接器清單
    類型​ 不論連接器的使用是否需要進階授權或已包含在 Power Platform 的基礎/標準授權中。
    發行者 公佈連接器的公司。 此值會與服務擁有者不同。 例如,Microsoft 會是 Salesforce 連接器的發行商,但是基礎服務是由 Salesforce 擁有,而不是 Microsoft 擁有。
    關於 選取 URL 以取得有關連接器的詳細資訊。

    清單

    Pivot Description
    商務 適用商業敏感性資料的連接器。 此群組中的連接器無法與其他群組中的連接器分享資料。
    非商業/
    預設    		 非商商資料的連接器,例如個人使用資料。 此群組中的連接器無法與其他群組中的連接器分享資料。
    已封鎖 套用此原則的位置無法使用被封鎖的連接器。

    動作

    動作​​ 描述
    設定預設群組 建立資料原則,對應 Power Platform 新增的任何新連接器的群組。 深入了解:新連接器的預設資料群組
    搜尋連接器 搜尋連接器長清單尋找要分類的特定連接器。 您可以搜尋連接器清單視圖中的任何欄位,例如 名稱可封鎖的類型發行商

    您可以採取下列行動:

    指派連接器動作。

    描述
    1 指派跨連接器分類群組的一個或多個連接器
    2 連接器分類群組樞紐分析表
    3 搜尋列可跨屬性如 名稱可封鎖的類型發行商 尋找連接器。
    4 連接器分類群組,用於對應建立資料原則,Power Platform 新增的任何新連接器。
    5 選取、多重選取或大量選取連接器,以便跨群組移動
    6 跨各欄位的字母排序功能
    7 將各連接器進行跨連接器分類群組指派的動作按鈕

  4. 選取一個或多個連接器。 在點收過程中,請選取 SalesForce 和 SharePoint連接器,然後從頂端功能表列選取 移往商業。 您也可以使用刪節號到 (省略符號。) 連接器名稱的右邊。

    指派多重連接器。

    連接器會出現在商務資料群組中。

    業務資料群組

    連接器一次只能駐留在一個資料群組中。 藉由將 SharePoint 和 Salesforce 連接器移至 商業資料群組,您可預防使用者建立流程和應用程式合併這兩個連接器與 非商業被封鎖 群組中的任何連接器。

    對於像 SharePoint 這樣不可封鎖的連接器,封鎖動作不可用,而且會顯示警告。

  5. 如有需要,請評論並變更新連接器的預設群組設定。 我們建議您保留預設設定為 非商業,以對應預設會新增到 Power Platform 的任何新連接器。 在您有機會查看和指派非商務連接器之後,可以透過編輯資料原則將它們手動指派給商務已封鎖。 如果新連接器設定被 封鎖,任何可封鎖的新連接器將會如預期對應到 已封鎖。 不過,任何不可封鎖的新連接器都會對應到非商務,因為按設計,它們無法封鎖。

    在右上角選取 設定預設群組

    設定預設群組

    在完成跨 業務/非業務/已封鎖 群組的所有連接器指派並且設定新連接器的預設群組後,請選取 下一步

  6. 選擇資料原則的範圍。 此步驟不適用環境層級原則,因為它們始終適用單一環境。

    定義範圍

    基於此點收的目的,您會從此原則中排除測試環境。 選取 排除特定環境,然後在 新增環境 頁面上選取 下一步

  7. 請評論 新增環境 頁面上的各種屬性和設定。 對於租用戶層級原則,此清單會顯示租用戶層級管理租用戶中的所有環境。 對於環境層級的原則,此清單會僅顯示租用戶中由以環境管理員或系統管理員身份登入之使用者管理的環境子集,以使用 Dataverse 資料庫的環境。

    新增環境

    屬性

    屬性 Description
    姓名 環境的名稱。
    類型​​ 環境類型:試用、生產、沙箱、預設
    區域 與環境相關聯的地區。
    建立者: 建立環境的使用者。
    建立 (時間) 建立環境的日期。

    清單

    Pivot Description
    可用 在原則範圍中未明確納入或排除的環境。 針對環境層級原則及範圍定義為 新增多個環境的租戶層級原則,此清單代表未包含在原則範圍中的環境子集。 針對範圍定義為 排除特定環境的租戶層級原則,此樞紐分析表代表包含在原則範圍內的環境集。
    已新增至原則 針對環境層級原則及範圍定義為 新增多個環境的租戶層級原則,此樞紐分析表代表已在原則範圍內的環境子集。 針對範圍定義為 排除特定環境的租戶層級原則,此樞紐分析表代表排除在原則範圍之外的環境子集。

    動作

    動作​​ 描述
    新增至原則 可用 類別中的環境可以使用此動作移至 新增至原則 類別。
    從原則移除 新增至原則 類別中的環境可以使用此動作移至 可用 類別。

  8. 選取一個或多個環境。 您可以使用搜尋列快速尋找相關環境。 在此演練中,搜尋測試環境 - 類型沙箱。 選取沙箱環境之後,我們會使用 新增至原則 從頂端功能表列將它們指派給原則範圍。

    指派原則。

    因為原則範圍最初是選取為 排除某些環境,所以這些測試環境現在會從原則範圍中排除,而且資料原則設定會套用到所有剩餘 (可用) 的環境。 根據環境層級原則,您只能從可用環境清單中選取單一環境。

    在為環境進行選取之後,請選取 下一步

  9. 評論原則設定,然後選取 建立原則

    評論新原則。

此原則即會建立並出現在資料原則清單中。 由於這個原則,SharePoint 和 Salesforce 應用程式可在非測試環境 ( 例如生產環境) 中分享資料,因為它們都是同一個商業資料群組的一部分。 但是,位於非商業資料群組的所有連接器 (例如 Outlook.com) 將不會使用 SharePoint 或 Salesforce 連接器與應用程式和流程分享資料。 Facebook 和 Twitter 連接器一起被封鎖,無法在非測試環境如生產或預設環境中的任何應用程式或流程中使用。

讓管理員與其組織共用資料原則清單是不錯的實務做法,可讓使用者在建立應用程式之前提早知道這些原則。

此表格描述您建立的資料原則如何影響應用程式和流程中的資料連線。

連接器矩陣 SharePoint (商務) Salesforce (商務) Outlook.com (非商務) Facebook (已封鎖) Twitter (已封鎖)
SharePoint (商務) 允許 允許 拒絕 拒絕 拒絕
Salesforce (商務) 允許 允許 拒絕 拒絕 拒絕
Outlook.com (非商務) 拒絕 拒絕 允許 拒絕 拒絕
Facebook (已封鎖) 拒絕 拒絕 拒絕 拒絕 拒絕
Twitter (已封鎖) 拒絕 拒絕 拒絕 拒絕 拒絕

因為尚未將資料原則套用到測試環境,所以應用程式和流程可以在這些環境中同時使用任何連接器集。

尋找與觀看資料原則

  1. 登入 Power Platform 系統管理中心

  2. 在導覽窗格中,選取資料原則。 如果您的原則清單很長,請使用搜尋方塊尋找特定的資料原則。

    資料原則清單。

    清單會顯示下列特性:

    屬性 描述
    姓名 原則名稱。
    Scope 原則的類型,例如環境等級或租戶等級
    已套用至 與原則有關的環境範圍。
    對於環境層級原則,這是與原則關聯的單一環境名稱。
    在租用戶層級的原則,可能會是下列其中一個值:
    - 所有環境
    - 所有環境,除了 (n)
    - (n) 環境
    - 單一環境名稱
    建立者 建立原則的使用者。
    建立(日期) 建立原則的日期。
    修改者 修改原則的使用者。
    修改(日期) 修改原則的日期。

編輯資料原則

  1. 登入 Power Platform 系統管理中心

  2. 從資料原則清單中,選取環境,然後選取編輯原則。 如果您的原則清單很長,請使用搜尋方塊尋找特定環境中的 DLP 原則。

    編輯資料原則。

    注意

    環境管理員無法編輯由租戶管理員所建立的原則。

  3. 繼續執行演練:建立資料原則中所描述的步驟,然後選取更新原則

    注意

    環境等級資料原則無法覆寫整個租用戶的資料原則。

    編輯資料原則檢閱。

  4. (選用) 如有必要,請考慮在連線上強制執行資料原則。 深入了解:針對違規連線強制執行資料原則

    注意

    強制執行資料原則將停用違反任何資料原則的現有連線,並啟用任何先前停用的不再違反任何資料原則的連線。

刪除資料原則

  1. 登入 Power Platform 系統管理中心

  2. 從資料原則清單中,選取環境,然後選取刪除原則。 如果您的原則清單很長,請使用搜尋方塊尋找特定環境中的 DLP 原則。

    刪除資料原則。

    注意

    環境管理員無法刪除由租戶管理員所建立的原則。

  3. 在確認對話方塊中,選取刪除

變更預設資料群組

  1. 全域管理員身分登入 Power Platform 系統管理中心

  2. 從資料原則清單中,選取環境,然後選取編輯原則。 如果您的原則清單很長,請使用搜尋方塊尋找特定環境中的 DLP 原則。

    編輯資料原則。

    注意

    環境管理員無法編輯由租戶管理員所建立的原則。

  3. 編輯原則程序中,選取連接器步驟。

  4. 在右上角選取 設定預設群組

    設定預設群組。

  5. 選擇一個預設群組,然後選取套用。 深入了解:連接器分類新連接器的預設資料群組

  6. 視需要選取下一步以關閉 編輯原則程序。

您的原則建立後,您所選取的資料群組將會成為預設群組,以自動分類任何新增至 Power Platform 的新連接器。

使用 PowerShell 命令

請參閱資料原則命令

另請參閱

資料外洩防護原則
資料原則命令
Power Platform 資料原則 SDK