共用方式為

環境和 DLP 原則管理

  • 發行項

觀看環境和 DLP 要求流程運作方式的逐步說明

程序描述

問題陳述式:當開發專案需要新環境,且非管理員受到限制,無法建立環境時,非管理員存取新環境的唯一方法就是由管理員佈建環境,並授與使用者權限。 如果環境的需求量很高,因為涉及多個步驟,管理員可能會成為開發的瓶頸。 新環境可能也需要新的連接器或 DLP 原則。

解決方案:非管理員可以使用下列程序,來要求新環境和對其環境的 DLP 原則進行變更。

環境管理程序

開發人員 (非管理員) 可以:

  • 提交新環境的要求。
  • 提交要套用至其環境的 DLP 原則要求。

管理員可以:

  • 為使用應用程式的開發人員佈建新的環境。
  • 了解新環境將如何受到資料外洩防護原則的影響。
  • 核准或拒絕 DLP 原則要求。

開發人員:要求環境

開發人員 (非管理員) 可以為其管理員要求新環境進行分級。

  1. 開啟製作者 – 環境要求應用程式。

  2. 選取 + 新增

  3. 在飛出功能表中,選擇新環境中所需的連接器。 然後選取 [下一步]。 選擇連接器

  4. 選擇需要環境管理員存取權的使用者帳戶。 選擇 [管理員]

  5. 提供有關所需環境的基本詳細資料,包括顯示名稱、區域、類型、用途。

  6. 指示是否可在一段時間後自動清除環境。

    1. 如果是,則從顯示的下拉式功能表中提供期間 (天數)。 如果只需要短期專案的環境,請執行此動作。
    2. 如果不是,則不會自動刪除該環境。 如果需要長期保留環境,請執行此動作。

  7. 指出是否佈建 Dataverse 資料庫。 環境詳細資料

  8. 如果需要資料庫 (toggle=yes),請提供所需的語言和貨幣值。 選擇性地提供安全性群組,以限制對環境的存取。 選擇資料庫設定

  9. 完成後,按一下儲存按鈕來提交表單。

?? 將會傳送一封電子郵件,通知「CoE 入門套件」管理員檢閱新的要求。

在畫布應用程式中查看您提交的任何要求。

查看要求

管理員:核准或拒絕環境要求

作為管理員,您可以查看和分級新環境的要求。

  1. 開啟名為管理員 – 環境要求的畫布應用程式。

  2. 在主畫面中查看擱置的環境建立要求。

    Note

    根據預設,會先顯示擱置的要求。 使用功能區右側的下拉式清單來變更要求狀態篩選。

  3. 在資料表中選取要求,以查看更多詳細資料。 選取要求

  4. 讀取新環境要求的詳細資料:

    1. 環境資訊,理由。

    2. 已要求管理員。

    3. 查看要求的安全性群組,如果沒有任何已選取的群組,則新增群組。

    4. 連接器。

    5. 影響原則。

    6. 在 [附註] 面板中新增關於該決定的註解。

      檢視詳細資料

    注意

    頁面頂端的橫幅會根據租戶中的現有原則,指名新環境將如何受到的影響。 修改原則時,影響分析將會變更。

  5. 點選建議的動作 (如果有),以修改 [受影響原則] 資料表中的資料外洩防護原則。 檢視動作

    警告

    只能新增某些類型的原則 (不是「所有環境」類型原則的組織層級環境)。

  6. 選取 [查看並修改原則],以查看所有原則及其對要求連接器的影響。 您可以選取原則,並選擇功能區中顯示的動作,向修改清單新增或移除原則。 查看或修改 DLP 原則

  7. 選取原則,並按一下功能區中的詳細資料動作,以查看對連接器的影響。 原則影響

  8. 在左上角功能區核准或拒絕要求。 核准或拒絕

核准的路徑

要求獲得核准後,就會使用要求的設定建立環境。 授與使用者環境管理員存取權。

⏳ 到期

如果環境有到期日,則會在指示的期間後自動將其刪除。 每週都會傳送警告電子郵件給管理員,提醒他們將工作儲存在來源控制或環境之外的其他位置。

如果未設定到期日,則永遠不會自動清除環境。 必須在 Power Platform 系統管理中心手動刪除環境。

DLP 建議邏輯

管理員應用程式會使用以下邏輯,提供有關如何將 DLP 原則設定為允許要求連接器的指導。

決策矩陣:警告橫幅

這是在查看要求的詳細資料頁面時,會顯示在管理應用程式中的橫幅。

條件 不會將任何原則套用至環境 現有原則會套用至環境,但不會將其包含在任何原則的環境清單中 環境將在核准後新增到原則中
解除封鎖 ?? 連接器未封鎖或受限,但沒有原則會保護環境。 將環境新增到至少一個原則以防止資料外洩。 ?? 連接器未封鎖或受限,且至少有一個現有原則涵蓋環境。 ?? 連接器未封鎖,且環境將在要求批准時新增至所選原則中。
已封鎖 -- ⛔ 連接器遭原始原則設定封鎖。 將環境新增至現有原則環境清單,或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。 ⛔ 連接器遭目前原則設定封鎖。 將環境新增至其他原則或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。
受限制 -- ?? 連接器遭原始原則設定限制。 將環境新增至現有原則環境清單,或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。 ?? 連接器遭目前原則設定限制。 將環境新增至其他原則或修改 Power Platform 系統管理中心的原則,以解除封鎖連接器。

根據原則和要求連接器的建議動作矩陣。 水平資料行顯示每個原則類型,矩陣的垂直資料列則根據其規則,顯示原則對要求連接器產生的影響。

影響 所有環境 排除特定環境 包含多個環境
未封鎖或未受限 不需要採取動作。

此原則不會封鎖要求連接器。 此類原則會在建立之後涵蓋此新環境,因此無需採取任何動作。		 如果未涵蓋新環境,請新增原則。 如果涵蓋,則無需採取任何動作。 如果將要求的連接器新增到其環境清單中,則此原則不會封鎖要求的連接器。 若要將此環境新增至影響要求連接器另一個「排除特定環境」原則清單,請新增至此原則的清單。
已封鎖 在 Power Platform 系統管理中心的原則定義中解除封鎖允許的連接器。

⚠注意:變更影響「所有環境」的原則可能會影響租用戶中的任何畫布應用程式和雲端流程。 在 DLP 編輯器工具中確認影響。

如果無法變更此原則的連接器規則,您可以在 Power Platform 系統管理中心將此原則變更為「排除特定環境」類型原則,以將此新環境設為例外。 尋找或建立「多環境」類型原則,允許要求的連接器將環境新增至其中。 返回此「環境要求管理員應用程式」記錄,並將其新增至兩個原則的環境清單中。		 新增至此原則或將已封鎖的連接器解除封鎖。

如果沒有其他涵蓋該環境的原則,請將其新增至另一個現有或新的「多環境」原則,該原則不會封鎖要求的連接器。		 不要將新環境新增到此原則中。

如果該環境未涵蓋在其他原則中,則只需將其新增到「多環境」類型原則中。 例如,如果沒有「所有環境原則」,且該環境從所有「排除例外環境」類型的原則中排除,則沒有原則覆蓋該環境。

如果無法將此環境新增到更好的原則,請考慮更新此原則的連接器群組,或在 Power Platform 系統管理中心建立新原則。
受限制 將受限連接器放在 Power Platform 系統管理中心原則定義中的同一個群組中。

⚠注意:變更「所有環境」類型原則可能會影響租用戶中的任何畫布應用程式和雲端流程。

如果無法變更此原則的連接器規則,您可以在 Power Platform 系統管理中心將此原則變更為「排除特定環境」類型原則,以將此新環境設為例外。 尋找或建立在同一群組中具有要求連接器的「多環境」類型原則。 返回此「環境建立管理員應用程式」記錄,並將其新增至兩個原則的環境清單中。		 將環境新增到此原則的例外清單中。

如果這新增至例外清單,且沒有其他原則涵蓋該環境,請將其新增至另一個「多環境」原則,該原則將不會限制可接受的要求連接器,或是建立另一個原則來涵蓋最重要的安全性需求。

考慮是否可透過在 Power Platform 系統管理中心更新此原則,來取消限制可接受的要求連接器。

注意:請確認從此原則排除的其他環境不會受到這種變更的負面影響。		 不要將新環境新增到此原則中。

如果環境從「排除例外環境」類型原則中排除,且沒有其他原則涵蓋該環境,則只需將該環境新增至「多環境」類型原則中。

如果現有原則無法運作,請考慮更新此原則,以將要求連接器納入相同的群組中。 確認環境清單中包含的其他環境將不會受到負面影響。 前往 Power Platform 系統管理中心以更新原則規則。

開發人員:要求 DLP 原則變更

製作者可以使用 DLP 原則變更要求系統,來修改套用於其身為管理員之環境的 DLP 原則。 如果獲得核准,這將會在您使用的環境中啟用所需的連接器。

  1. 開啟製作者 – 環境要求應用程式。
  2. 使用左側導覽瀏覽至資料原則變更要求頁面。 資料原則變更要求畫面
  3. 選取 + 新增
  4. 在「要求的動作」欄位中,選擇「將原則套用至環境」選項。
  5. 在「原則」欄位中,選取想要的原則。
    1. 按一下欄位標題旁邊的 [資訊] 圖示,確認環境所需的連接器是否在原則中。 確認此原則允許您所需的連接器。
  6. 選擇要套用這個原則的環境。 您只能選取您是管理員的環境。
    1. 如果您在下拉式清單中沒看到任何環境,代表您不具備任何環境管理員角色。
    2. 提供要求的原因。 例如,這有助於指定您的專案詳細資料與所需的連接器。
  7. 選取儲存來提交要求。
  8. 如果管理員核准要求,則會將原則套用至環境。

管理員:核准或拒絕 DLP 原則變更要求

重要

如果 DLP 原則變更要求在此系統中獲得核准,其會將狀態更新為已核准,這會觸發自動將所選原則套用至指定環境的流程。 它還會從所有具有「包含」環境範圍的原則中移除環境,並將環境新增至所有具有「排除」環境範圍的原則中。 在使用 DLP 原則要求工具之前,請確定此程序符合您的設定。

設定共用原則

在 Power Platform 系統管理中心設定資料原則

Note

依照我們的最佳做法,建立 DLP 原則

可以處理不同群組層級的共用 DLP 原則範例集:

  • 生產力 (適用於除此之外的所有環境) –此原則是用來涵蓋預設環境、試用環境以及其他環境未涵蓋的所有其他環境。 它的規則最嚴格。
  • 進階使用者 (適用於多個環境) – 適用於限制性規則略低於「生產力」的單一環境。
  • 專業開發人員 (套用至多個環境) – 適用於可存取大多數連接器的個人環境 (與進階使用者相比),且適用於受過良好培訓並同意公司資料安全原則的使用者 (這些原則應在確認使用責任的情況下進行定義)。

同步處理共用原則

由於製作者看不到所有的資料原則,因此要求系統可輕鬆透過 Dataverse 將這些資訊顯示給製作者。 系統會將所指示的原則從 Power Platform 服務同步處理至 Dataverse 資料表,且製作者可以看到管理員允許他們查看的原則。 然後,製作者可以要求將這些共用原則套用至他們的環境。

若要讓製作者可以看到共用的 DLP 原則,則必須將該原則建立為 Dataverse 中的記錄。

  • 開啟管理員 – 環境要求應用程式。
  • 瀏覽至左側導覽中的資料原則頁面。
  • 選取您想讓製作者看見的原則,然後選取功能區中的設為可見選項 使製作者可以看到共用原則。

與製作者共用應用程式和指示

  • 授與您的製作者存取製作者 – 環境要求畫布應用程式的權限,並為他們指派 Power Platform 製作者 SR資訊安全角色。 使用 Microsoft Entra 群組可讓工作指派變得更輕鬆。
  • 提供使用者如何使用要求系統的指示。

核准或拒絕要求

一旦使用者存取並開始提出要求,管理員就可以在管理員 – 環境要求畫布應用程式中查看這些要求。

在管理員環境要求應用程式中檢視要求

若要檢視並回覆 DLP 原則變更要求:

  1. 開啟管理員 – 環境要求應用程式。
  2. 使用左側導覽瀏覽至原則變更要求頁面。
  3. 檢視要求清單。 您可以使用功能區右側的狀態篩選來依狀態篩選要求。 檢視要求清單
  4. 若要更詳細地檢視要求,請選取其中一個要求,然後按一下功能區中的詳細資料動作。
  5. 若要核准或拒絕要求,請將狀態篩選為「擱置」,然後選取其中一項要求。 在應用程式中,只有擱置狀態的要求可以得到回應。
  6. 選取要求之後,您可以選擇使用功能區中的動作選擇「核准」或「拒絕」要求。
    1. 如果要求在此系統中獲得核准,其會將狀態更新為「已核准」,這會觸發自動將所選原則套用至指定環境的流程。 它還會從所有具有「包含」環境範圍的原則中移除環境,並將環境新增至所有具有「排除」環境範圍的原則中。 在繼續之前,請確定此行為符合公司的安全性需求。 自動化完成後,要求狀態會設定為「已完成」,且該記錄會停用。
    2. 如果要求遭到拒絕,則要求狀態會設定為「拒絕」,且該記錄會停用。