Поділитися через

Керування середовищем і політикою захисту від втрати даних

  • Стаття

Подивіться покрокову інструкцію про те, як працює середовище та процес запиту DLP.

Опис процесу

Постановка проблеми: Коли проект розробки вимагає нового Середовища, а не-адміністратори обмежені у створенні Середовищ, єдиний спосіб для не-адмінів отримати доступ до нових Середовищ – це забезпечення Середовища та надання дозволів користувачам. Якщо попит на нові середовища високий, адміністратори можуть стати вузьким місцем у процесі розробки, оскільки необхідно пройти багато етапів. Для нових середовищ також можуть знадобитися нові з’єднувачі або політики захисту від втрати даних.

Рішення: Наведений нижче процес може використовуватися не адміністраторами для запиту нових середовищ і змін до політик DLP для своїх середовищ.

Процес керування середовищем

Розробники (не адміністратори) можуть:

  • Надсилати запити на нові середовища.
  • Надсилати запити щодо політик захисту від втрати даних, щоб застосувати їх до своїх середовищ.

Адміністратори можуть:

  • Виконувати підготовку нових середовищ для розробників у програмі.
  • Дізнатися, як впливатимуть на нові середовища політики запобігання втраті даних.
  • Затвердити або відхилити запити щодо політик захисту від втрати даних.

Розробник: запит середовища

Розробники (не адміністратори) можуть надсилати запити на нові середовища на розгляд адміністраторам.

  1. Відкрийте програму Розробник – Запит середовища.

  2. Виберіть + Створити

  3. У спливаючому меню виберіть з'єднувачі, які знадобляться в новому середовищі. Натисніть кнопку Далі. Виберіть з’єднувачі

  4. Виберіть облікові записи користувачів, яким буде потрібен доступ до середовища із правами адміністратора. Виберіть адміністраторів

  5. Укажіть основні відомості про бажане середовище, зокрема коротке ім'я, регіон, тип, призначення.

  6. Укажіть, чи можна автоматично очистити середовище через певний проміжок часу.

    1. Якщо так, у розкривному списку, що з'явиться, укажіть тривалість (у днях). Зробіть це, якщо середовище потрібно тільки для короткого проекту.
    2. Якщо ні, середовище не буде видалено автоматично. Зробіть це, якщо потрібно зберігати середовище тривалий час.

  7. Укажіть, чи слід підготувати базу даних Dataverse. Відомості про середовище

  8. Якщо база даних потрібна (перемикач = так), укажіть потрібні значення для мови та грошової одиниці. За бажанням укажіть групу безпеки, щоб обмежити доступ до середовища. Укажіть параметри бази даних

  9. Після завершення налаштувань надішліть форму, клацнувши кнопку Зберегти.

📧 Буде надіслано електронний лист із повідомленням адміністраторів стартового набору CoE про розгляд нового запиту.

Перегляньте всі надіслані вами запити в компонованій програмі.

Перегляд запитів

Адміністратор: затвердження або відхилення запитів щодо середовища

Як адміністратор, ви можете переглядати та обробляти запити щодо нових середовищ.

  1. Відкрийте компоновану програму Адміністратор – Запит середовища.

  2. Перегляньте на головному екрані запити на створення середовищ.

    Нотатка

    За замовчуванням запити, що очікують обробки, відображаються першими. Змініть фільтр стану запиту, використовуючи розкривний список у правій частині стрічки.

  3. Виберіть запит у таблиці, щоб переглянути додаткові відомості. Виберіть запити

  4. Ознайомтеся із подробицями, що є необхідними для нового середовища:

    1. Відомості про середовище, обґрунтування.

    2. Потрібні адміністратори.

    3. Перегляньте запитану групу безпеки або додайте групу, якщо значення не вибрано.

    4. З’єднувачі.

    5. Політики, що мають вплив.

    6. Додайте коментарі щодо прийнятого рішення на панелі «Примітки».

      Переглянути відомості

    Нотатка

    Банер у верхній частині сторінки показує, як на нове середовище впливатимуть наявні політики клієнта. Аналіз впливу змінюватиметься при зміні політик.

  5. Змініть політики запобігання втраті даних у таблиці «Політики, що зазнають впливу», клацнувши на запропоновані дії (якщо такі доступні). Перегляньте дії

    Попередження

    Можна додавати лише певні типи політик (середовища на рівні організації, які не є політиками типу «Усі середовища»).

  6. Виберіть «Перегляд і змінення політик», щоб переглянути всі політики та їх вплив на запитані з'єднувачі. До списку змін, який буде змінено після затвердження, ви можете додавати або видаляти політики, вибравши політику та обравши дії з-поміж тих, що відображаються на стрічці. Перегляд або змінення політик DLP

  7. Виберіть політику та клацніть дію Докладно на стрічці, щоб побачити її вплив на з'єднувачі. Вплив політики

  8. Затвердіть або відхиліть запит ліворуч на верхній стрічці. Затвердіть або відхиліть

Затверджений шлях

Після затвердження запиту буде створено середовище із запитаною конфігурацією. Відповідним користувачам надається доступ адміністратора середовища.

⏳ Закінчення

Якщо для середовища зазначено дату завершення існування, при зазначенні тривалості її буде автоматично видалено. Повідомлення електронної пошти із попередженням надсилатимуться адміністраторам щотижня, щоб нагадати їм, що слід зберегти роботу в системі керування вихідним кодом або іншому розташуванні за межами середовища.

Якщо термін дії не встановлено, середовище не буде автоматично очищено. Середовище потрібно буде видаляти вручну у центрі адміністрування Power Platform.

Логіка рекомендацій DLP

Програма адміністрування використовує описану нижче логіку для надання вказівок щодо налаштування політик DLP і забезпечення роботи усіх запитаних з'єднувачів.

Матриця рішень: банер із попередженням

Цей банер, що відображається в програмі адміністрування під час перегляду сторінки додаткових відомостей про запит.

Стан До середовища не застосовуються політики Наявні політики застосовуються до середовища, і при цьому воно не вноситься до списку середовищ жодної з політик Середовище буде додано до політик після затвердження
Розблоковано 🟡 Конектори не заблоковані та не обмежені, але жодні політики не захистять навколишнє середовище. Додайте середовище до принаймні однієї політики, щоб запобігти втраті даних. 🟢 З’єднувачі не заблоковані та не обмежені, а середовище підпадає під дію принаймні однієї існуючої політики. 🟢 Конектори не блокуються і оточення буде додано до обраних політик при затвердженні запиту.
Заблоковано -- ⛔ Конектори заблоковані оригінальними конфігураціями політик. Додайте середовище до списків середовищ наявних політик або змініть політики у центрі адміністрування Power Platform, щоб розблокувати з'єднувачі. ⛔ Конектори, заблоковані поточними конфігураціями політик. Додайте середовище до інших політик або змініть політики у центрі адміністрування Power Platform, щоб розблокувати з'єднувачі.
З обмеженим доступом -- 🟡 Конектори обмежені оригінальними конфігураціями політик. Додайте середовище до списків середовищ наявних політик або змініть політики у центрі адміністрування Power Platform, щоб розблокувати з'єднувачі. 🟡 Конектори обмежені поточними конфігураціями політик. Додайте середовище до інших політик або змініть політики у центрі адміністрування Power Platform, щоб розблокувати з'єднувачі.

Матриця для рекомендованих дій ґрунтується на певній політиці та запитаних з'єднувачах. У горизонтальних стовпцях показано кожен тип політики, а вертикальні рядки матриці показують вплив цієї політики на запитані з'єднувачі залежно від її правил.

Вплив Усі середовища Виключити певні середовища Включення кількох середовищ
Не заблоковано і не обмежено Дії не потребуються.

Запитані з'єднувачі не блокуються цією політикою. Цей тип політики покриє це нове середовище після створення, тому жодних дій не потрібно.		 Додайте політику, якщо на нове середовище не поширюється дія політик. Якщо поширюється, дії не потрібні. Запитані з'єднувачі не блокуватимуться цією політикою, якщо додати їх до її списку середовищ. Додайте до списку цієї політики, якщо це середовище буде додано до списку «Виключити певні середовища» іншої політики, яка впливає на запитані з'єднувачі.
Заблоковано Розблокуйте дозволені з'єднувачі у визначенні політики в Центрі адміністрування Power Platform.

⚠УВАГА: зміна політик, які впливають на параметр "Усі середовища", потенційно може вплинути на будь-який полотняний додаток і хмарний цикл у клієнті. Підтвердьте вплив у засобі «Редактор DLP».

Якщо правила з'єднувачів цієї політики змінити не можна, ви можете зробити виняток для даного нового середовища, змінивши цю політику на політику типу «Виключити певні середовища» у Центрі адміністрування Power Platform. Знайдіть або створіть політику типу «Кілька середовищ», в яку запитані з'єднувачі зможуть додати це середовище. Поверніться до цього запису програми адміністратора «Запит середовища» й додайте це до списків середовищ обох політик.		 Додайте до цієї політики або розблокуйте заблоковані з'єднувачі.

Якщо жодна з інших політик не покриває цього середовища, додайте його до іншої наявної або нової політики «Кілька середовищ», яка не блокуватиме запитуваних з'єднувачів.		 Не додавайте нового середовища до цієї політики.

Середовище слід додати до політики типу «Кілька середовищ», лише якщо воно не покривається іншими політиками. Наприклад, якщо немає «політик для усіх середовищ» і середовище виключається з усіх політик типу «Виключити, за винятком середовищ», жодні політики цього середовища не стосуватимуться.

Якщо відсутні кращі політики, до яких можна було б додати це середовище, обміркуйте можливість оновлення груп з'єднувачів політики, або створіть нову політику у Центрі адміністрування Power Platform.
З обмеженим доступом Помістіть обмежені з'єднувачі в одну групу у визначенні політики у Центрі адміністрування Power Platform.

⚠УВАГА: зміна політик типу "Усі середовища" потенційно може вплинути на будь-який додаток canvas і хмарний цикл у клієнті.

Якщо правила з'єднувачів цієї політики змінити не можна, ви можете зробити виняток для даного нового середовища, змінивши цю політику на політику типу «Виключити певні середовища» у Центрі адміністрування Power Platform. Знайдіть або створіть політику типу «Кілька середовищ», в якій запитані з'єднувачі містяться в такій самій групі. Поверніться до цього запису програми адміністратора «Створення середовища» й додайте це до списків середовищ обох політик.		 Додайте середовище до списку винятків цієї політики.

Якщо це додається до списку винятків і жодних інших політик, які стосуються середовища, немає, додайте його до іншої політики «Кілька середовищ», яка не обмежуватиме прийнятні запитані з'єднувачі, або ж створить іншу політику, що відповідатиме найбільш важливим вимогам безпеки.

З'ясуйте, чи можна зняти обмеження з прийнятних запитуваних з'єднувачів, оновивши цю політику в центрі адміністрування Power Platform.

Застереження: переконайтеся, що інші середовища, виключені з цієї політики, не зазнають негативного впливу цих змін.		 Не додавайте нового середовища до цієї політики.

До політики типу «Кілька середовищ» середовище слід додавати лише якщо його виключено з політики типу «Виключити, за винятком середовищ» і відсутні інші політики, що стосуються цього середовища.

Якщо жодна з наявних політик не працює, обміркуйте оновлення політики із метою включення запитуваних з'єднувачів до складу тієї ж групи. Переконайтесь, що відсутній негативний вплив на інші середовища, включені до списку середовищ. Перейдіть до центру адміністрування Power Platform, щоб оновити правила політики.

Розробник: запит на змінення політики захисту від втрати даних

Розробники можуть використовувати систему запитів на змінення політики захисту від втрати даних, щоб змінювати політики захисту від втрати даних, застосовані до середовищ, в яких вони є адміністратором. Якщо запит схвалено, це дасть змогу ввімкнути потрібні з’єднувачі в середовищах, в яких ви працюєте.

  1. Відкрийте програму Розробник – Запит середовища.
  2. Перейдіть на сторінку Запити на змінення політики даних за допомогою області переходів ліворуч. Екран запитів на зміну політики даних
  3. Виберіть + Створити
  4. У полі «Запитано дію» виберіть параметр «Застосувати політику до середовища».
  5. У полі «Політика» виберіть потрібну політику.
    1. Підтвердьте наявність в політиці з’єднувачів, необхідних для використання в середовищі, натиснувши інформаційну піктограму поряд із заголовком поля. Переконайтеся, що необхідні з’єднувачі дозволені цією політикою.
  6. Виберіть середовище, до якого потрібно застосувати цю політику. Можна вибрати лише ті середовища, в яких ви є адміністратором.
    1. Якщо жодне середовище не відображається в розкривному списку, це означає, що ви не маєте ролі адміністратора середовища для жодного середовища.
    2. Зазначте причину для запиту. Наприклад, це допомагає вказати відомості про проект і потрібні з’єднувачі.
  7. Натисніть Зберегти, щоб надіслати запит.
  8. Якщо адміністратор схвалить запит, політику буде застосовано до середовища.

Адміністратор: затвердження або відхилення запитів на змінення політики захисту від втрати даних

Важливо

Якщо запит на змінення політики захисту від втрати даних схвалено в цій системі, стан буде оновлено на Схвалено, що запустить цикл, який автоматично застосовує вибрану політику до вказаного середовища. Також буде видалено середовище з усіх інших політик, які мають область застосування середовища «включити» , й додано середовище до всіх політик з областю застосування середовища «виключити». Перед використанням інструмента для запиту політики захисту від втрати даних слід переконатися, що цей процес відповідає налаштуванням.

Настроювання політик спільного доступу

Налаштуйте політики даних в центрі адміністрування Power Platform.

Нотатка

Щоб створити стратегію захисту від втрати даних, дотримуйтеся наших рекомендацій.

Приклад набору політик спільного доступу для захисту від втрати даних, які може бути застосовано до різних рівнів груп:

  • Продуктивність (застосовується до всіх середовищ) – ця політика призначена для охоплення середовища за замовчуванням, пробних середовищ та всіх інших середовищ, які не покриваються іншими середовищами. Вона має найбільш обмежувані правила.
  • Досвідчений користувач (застосовується до кількох середовищ) – доступний для окремих середовищ із трохи менш обмежувальними правилами, ніж продуктивність.
  • Pro Dev (застосовується до кількох середовищ) – доступний для окремих середовищ з доступом до більшості конекторів порівняно з досвідченим користувачем і призначений для користувачів, які добре навчені та погоджуються з політиками безпеки даних компанії, які повинні бути визначені з визнанням відповідальності за використання.

Синхронізація політик спільного доступу

Оскільки розробники не можуть переглядати всі політики даних, система запитів спрощує відображення цієї інформації для постачальників за допомогою Dataverse. Система синхронізує вказані політики зі служби Power Platform з таблицею Dataverse, і розробники можуть переглядати ті політики, які дозволяє адміністратор. Потім розробники можуть надати запит на застосування цих політик спільного доступу до їхніх середовищ.

Щоб політика спільного доступу для захисту від втрати даних була видимою для постачальників, політику потрібно створити як запис Dataverse.

  • Відкрийте програму Адміністратор – Запит середовища.
  • Перейдіть на сторінку Політики даних в області переходів ліворуч.
  • Виберіть політику, яку потрібно зробити видимою для виробників, а потім виберіть опцію Зробити видимою на стрічці Зробіть спільні політики видимими для розробників.

Надання розробникам спільного доступу до програми та інструкцій

  • Надайте розробникам доступ до компонованої програми Розробник – Запит середовища і призначте їм роль безпеки Роль безпеки розробника Power Platform. Використовуйте групу Microsoft Entra , щоб полегшити виконання завдань.
  • Надайте користувачам вказівки щодо використання системи запитів.

Схвалення або відхилення запитів

Після того, як користувачі отримають доступ до запитів і почнуть їх надавати, адміністратори зможуть переглядати ці запити в компонованій програмі Адміністратор – Запити середовища.

Перегляд запитів у програмі «Запити середовища адміністратора»

Щоб переглянути запити на змінення політики захисту від втрати даних і відповісти на них, необхідно виконати наведені нижче дії.

  1. Відкрийте програму Адміністратор – Запит середовища.
  2. Перейдіть на сторінку Запити на змінення політики за допомогою області переходів ліворуч.
  3. Перегляньте список запитів. Запити можна відфільтрувати за станом, використовуючи фільтр станів у правій частині стрічки. Переглянути список запитів
  4. Щоб переглянути запит докладніше, виберіть один із запитів і натисніть у стрічці дію Докладні відомості.
  5. Щоб схвалити або відхилити запит, відфільтруйте стан за параметром «В очікуванні» та виберіть один із запитів. У програмі можна відповісти лише на запити зі станом «В очікуванні».
  6. Після вибору запиту можна «схвалити» або «відхилити» запит за допомогою дій у стрічці.
    1. Якщо запит схвалено, стан буде оновлено на «Схвалено», що запустить цикл, який автоматично застосовує вибрану політику до вказаного середовища. Також буде видалено середовище з усіх інших політик, які мають область застосування середовища «включити» , й додано середовище до всіх політик з областю застосування середовища «виключити». Перш ніж продовжити переконайтеся, що ця поведінка відповідає вимогам безпеки вашої компанії. Після завершення автоматизації для стану запиту буде встановлено значення «Виконано», і запис буде вимкнуто.
    2. Якщо запит відхилено, для стану запиту буде встановлено значення «Відхилено», і запис буде вимкнуто.