組織的資料對於其成功至關重要。 進行決策時需要用到它的資料,但資料需進行保護,讓不應該存取該資料的對象無法共用。 為了保護此資料,您可以使用 Power Apps 建立並強制執行防止資料原則,定義哪些客戶連接器可以共用特定的商務資料。 例如,使用的 Power Apps 組織可能不希望存儲在其中 SharePoint 的業務數據自動發佈到其 Twitter 源。
若要建立、編輯或刪除資料原則,您必須具有環境系統管理員或 Power Platform 系統管理員的權限。
先決條件
租戶層級的原則
租用戶層級原則可被定義成包括或排除特定環境。 若要按照本文中所述的租戶級策略步驟作,請以具有 Power Platform 管理員角色的使用者身份登錄。 如需進一步了解 Power Platform 管理員角色,請參閱使用服務管理員角色管理您的租用戶。
環境等級原則
若要跟隨環境層級原則步驟,您必須具備 Power Apps 環境管理權限。 若是具有 Dataverse 資料庫的環境,則必須改為將系統管理員角色指派給您
注意
如果在使用 PowerShell 創建數據策略時使用 SingleEnvironment EnvironmentType 參數,則用於創建策略 的使用者帳戶必須 具有 環境級 許可權, 並且不得 具有 租戶級 許可權,如前所述,否則將返回錯誤請求錯誤,並且不會創建 策略。
數據策略流程
要建立資料策略,請完成以下步驟:
- 指派原則名稱。
- 分類連接器。
- 定義原則的範圍。 此步驟不適用環境層級原則。
- 選取環境。
- 評論設定。
下一節將會說明這些步驟。
演練:建立資料原則
使用此演練範例建立租用戶層級的資料原則。 在此演練中,您將完成以下工作:
- 將 SharePoint 和 Salesforce 新增到資料原則的商務資料群組。
- 將 Facebook和 Twitter 新增到已封鎖的資料群組。
- 留下非商務資料群組的其餘連接器。
- 將測試環境從此原則範圍排除,並將原則套用到其餘的環境,例如租用戶中的預設環境和生產環境。
儲存此原則之後,任何 Power Apps 或 Power Automate 屬於資料原則環境的決策者都可建立在或 SharePoint 或 Salesforce 之間共用資料的應用程式或流程。 任何 Power Apps 或 Power Automate 資源,包括與非商務資料群組中連接器的現有連線,都不允許建立與 SharePoint 或 Salesforce 連接器的連線。 這些製作者無法將 Facebook 或 Twitter 連接器新增到任何 Power Apps 或 Power Automate 資源。
在導航窗格中選擇 「安全 」。
在“安全 ” 窗格的“設置”下,選擇 “數據和隱私”。
在「數據保護和隱私」螢幕中,選擇「數據策略 」 部分。 選取 + 新增原則。
如果租用戶中不存在任何原則,您會看到下列頁面。
在「策略名稱」頁中,輸入策略名稱,然後選擇「 下一步」。
在「預構建連接器」頁中,查看可以在「分配連接器 」 螢幕上進行的各種屬性和設置。
屬性
清單
Pivot 名描述 商務 用於敏感資料的連接器。 此群組中的連接器無法與其他群組中的連接器分享資料。 非商業/
預設用於非敏感資料的連接器。 此群組中的連接器無法與其他群組中的連接器分享資料。 預設情況下,未指派的連接器會顯示在此處。 已封鎖 套用此原則的位置無法使用被封鎖的連接器。 默認情況下,不可阻止的連接器將處於非業務狀態。 動作
動作 名描述 設定預設群組 建立資料原則後,對應 Power Platform 新增的任何新連接器的群組。 深入了解:新連接器的預設資料群組 搜索連接器 搜尋連接器長清單尋找要分類的特定連接器。 您可以搜尋連接器清單視圖中的任何欄位,例如 名稱、可封鎖的、類型或 發行商。 選擇一個或多個預構建的連接器。 在本演練中,選擇 Salesforce 和 SharePoint 連接器,然後從頂部功能表欄中選擇 “移至業務 ”。 還可以使用連接器名稱右側的省略號 (
)。 連接器現在顯示在「業務 」 數據組中。
連接器一次只能駐留在一個資料群組中。 通過將 Salesforce 和 SharePoint 連接器移動到業務數據組,您可以阻止使用者創建將這兩個連接器與非業務或阻止組中的任何連接器組合在一起的流和應用。
對於此類連接器 SharePoint 不可阻止, “阻止” 作不可用,並顯示警告。
如有需要,請評論並變更新連接器的預設群組設定。 建議將預設設置保留為「非業務」以 映射預設添加到的任何新連接器 。 Power Platform 在有機會查看和分配非業務連接器后,可以手動將非業務 連接器分配給 業務 或 稍 後通過編輯數據策略來阻止它們。 如果新連接器設定被 封鎖,任何可封鎖的新連接器將會如預期對應到 已封鎖。 但是,任何不可阻止的新連接器都映射到 非業務 連接器,因為根據設計,它們無法被阻止。
在右上角選取 設定預設群組。
完成跨業務/非業務/阻止組的所有連接器分配併為新連接器設置預設組后,選擇下一步。
在“自定義連接器”頁中,xxxxxxxxxxx 選取下一步以繼續。
在範圍頁面中,選擇數據策略的範圍。 此步驟不適用環境層級原則,因為它們始終適用單一環境。
在本演練中,將從此策略中排除測試環境。 選擇 “排除某些環境 ”,然後選擇“ 下一步”。
在「環境」頁面中,查看「排除環境 」 螢幕上的各種屬性和設置。 對於租用戶層級原則,此清單會顯示租用戶層級管理租用戶中的所有環境。 對於環境級策略,此列表僅顯示租戶中由以環境管理員或具有資料庫的 Dataverse 環境的系統管理員身份登錄的使用者管理的環境子集。
屬性
屬性 名描述 姓名 環境的名稱。 識別碼 環境的 ID。 類型 環境類型:試用、生產、沙箱、預設 地區 與環境相關聯的地區。 建立者: 建立環境的使用者。 建立 (時間) 建立環境的日期。 清單
Pivot 名描述 可用 在原則範圍中未明確納入或排除的環境。 針對環境層級原則及範圍定義為 新增多個環境的租戶層級原則,此清單代表未包含在原則範圍中的環境子集。 針對範圍定義為 排除特定環境的租戶層級原則,此樞紐分析表代表包含在原則範圍內的環境集。 從政策中排除 ***************對於範圍定義為「添加多個環境 」的環境級策略和租戶級策略,此透視表示從策略範圍中排除的環境子集。 對於範圍定義為“排除某些環境 ”的租戶級策略,此透視表示從策略範圍中排除的環境子集**********。 ******************** 動作
動作 名描述 新增至原則 使用此作,可以將「可用 」 類別中的環境移動到「 從策略 中排除」類別。 從原則移除 使用此作,可以將「從策略 中排除」 類別中的環境移動到「可用 」 類別。 **** 選擇一個或多個環境。 您可以使用搜尋列快速尋找相關環境。 在此演練中,搜尋測試環境 - 類型沙箱。 選擇沙箱環境后,我們使用頂部功能表欄中的“從策略 中排除”將它們 分配給策略範圍。****
由於策略範圍最初選擇為“排除某些環境”, 因此這些測試環境現在從策略範圍中排除,並且數據策略設置將應用於所有剩餘 (可用)環境。 根據環境層級原則,您只能從可用環境清單中選取單一環境。 在為環境進行選取之後,請選取 下一步。
在「查看」頁中,查看策略設置,然後選擇「 創建策略」。
此原則即會建立並出現在資料原則清單中。 由於這個原則,SharePoint 和 Salesforce 應用程式可在非測試環境 ( 例如生產環境) 中分享資料,因為它們都是同一個商業資料群組的一部分。 但是,位於非商業資料群組的所有連接器 (例如 Outlook.com) 將不會使用 SharePoint 或 Salesforce 連接器與應用程式和流程分享資料。 Facebook 和 Twitter 連接器一起被封鎖,無法在非測試環境如生產或預設環境中的任何應用程式或流程中使用。
讓管理員與其組織共用資料原則清單是不錯的實務做法,可讓使用者在建立應用程式之前提早知道這些原則。
此表格描述您建立的資料原則如何影響應用程式和流程中的資料連線。
| 連接器矩陣 | SharePoint (商務) | Salesforce (商務) | Outlook.com (非商務) | Facebook (已封鎖) | Twitter (已封鎖) |
|---|---|---|---|---|---|
| SharePoint (商務) | 允許 | 允許 | 拒絕 | 拒絕 | 拒絕 |
| Salesforce (商務) | 允許 | 允許 | 拒絕 | 拒絕 | 拒絕 |
| Outlook.com (非商務) | 拒絕 | 拒絕 | 允許 | 拒絕 | 拒絕 |
| Facebook (已封鎖) | 拒絕 | 拒絕 | 拒絕 | 拒絕 | 拒絕 |
| Twitter (已封鎖) | 拒絕 | 拒絕 | 拒絕 | 拒絕 | 拒絕 |
由於沒有數據策略應用於測試環境,因此應用和流可以在這些環境中一起使用任何一組連接器。
尋找與觀看資料原則
在「數據保護和隱私」螢幕中,選擇“ 數據策略”。 如果您的原則清單很長,請使用搜尋方塊尋找特定的資料原則。
清單會顯示下列特性:
| 屬性 | 名描述 |
|---|---|
| 姓名 | 原則名稱。 |
| Scope | 策略類型,例如環境級別或租戶級別。 |
| 已套用至 | 與原則有關的環境範圍。 對於環境層級原則,這是與原則關聯的單一環境名稱。 在租用戶層級的原則,可能會是下列其中一個值: - 所有環境 - 所有環境,除了 (n) - (n) 環境 - 單一環境名稱 |
| 建立者 | 建立原則的使用者。 |
| 建立(日期) | 建立原則的日期。 |
| 修改者 | 修改原則的使用者。 |
| 修改(日期) | 修改原則的日期。 |
編輯資料原則
從數據策略清單中,選擇一個策略,然後選擇 “編輯策略”。 如果您的原則清單很長,請使用搜尋方塊尋找特定的資料原則。
注意
環境管理員無法編輯由租戶管理員所建立的原則。
繼續執行演練:建立資料原則中所描述的步驟,然後選取更新原則。
注意
環境等級資料原則無法覆寫整個租用戶的資料原則。
(選用) 如有必要,請考慮在連線上強制執行資料原則。 深入了解:針對違規連線強制執行資料原則
注意
強制實施數據策略會禁用違反任何數據策略的現有連接,並啟用以前禁用的任何不再違反任何數據策略的連接。
刪除資料原則
從數據策略清單中,選擇一個策略,然後選擇 “刪除策略”。 如果您的原則清單很長,請使用搜尋方塊尋找特定的資料原則。
注意
環境管理員無法刪除租戶管理員創建的策略。
在確認對話方塊中,選取刪除。
變更預設資料群組
從數據策略清單中,選擇一個策略,然後選擇 “編輯策略”。 如果您的原則清單很長,請使用搜尋方塊尋找特定環境中的 DLP 原則。
注意
環境管理員無法編輯由租戶管理員所建立的原則。
在「編輯策略 」 過程中選擇「預生成連接器 」 步驟。
在右上角選取 設定預設群組。
選擇一個預設群組,然後選取套用。 深入了解:連接器分類和新連接器的預設資料群組
視需要選取下一步以關閉 編輯原則程序。
選擇的數據群組將是預設組,用於在創建策略後自動對添加到 Power Platform 的任何新連接器進行分類。
使用 PowerShell 命令
請參閱資料原則命令。