Compartir a través de

Administración de entorno y directiva DLP

  • Artículo

Vea un tutorial sobre cómo funciona el proceso de solicitud ambiente y DLP.

Descripción del proceso

Enunciado del problema: Cuando un proyecto de desarrollo requiere un nuevo ambiente y los usuarios que no son administradores no pueden crear entornos, la única forma de que los usuarios que no son administradores puedan acceder a los nuevos entornos es que los administradores provisión el ambiente y otorguen permisos a los usuarios. Los administradores pueden convertirse en el cuello de botella del desarrollo si el volumen de demanda de entornos es alto porque se involucran varios pasos. Los nuevos entornos también pueden requerir nuevos conectores o directivas DLP.

Solución: Los usuarios que no sean administradores pueden usar el siguiente proceso para solicitar nuevos entornos y cambios en las políticas de DLP para sus entornos.

Proceso de administración de entorno

Los desarrolladores (no administradores) pueden:

  • Envíe solicitudes de nuevos entornos.
  • Envíe solicitudes para que se apliquen directivas de DLP a sus entornos.

Los administradores pueden:

  • Aprovisionar nuevos entornos para los desarrolladores que utilizan la aplicación.
  • Vea cómo los nuevos entornos se verán afectados por las políticas de prevención de pérdida de datos.
  • Aprobación o rechazo de una solicitud de directiva DLP.

Desarrollador: solicite un entorno

Los desarrolladores (no administradores) pueden solicitar nuevos entornos para que sus administradores los clasifiquen.

  1. Abra la aplicación Maker – Solicitud de entorno.

  2. Seleccione + Nuevo

  3. En el menú desplegable, elija los conectores deseados que se necesitarán en el nuevo entorno. Seleccione Siguiente. Elegir conectores

  4. Elija las cuentas de usuario que necesitarán acceso al entorno Administrador. Elija administradores

  5. Proporcione detalles básicos sobre el entorno deseado, incluido el nombre, región, tipo, propósito.

  6. Indique si el entorno se puede limpiar automáticamente después de un cierto período de tiempo.

    1. En caso afirmativo, proporcione una duración (en días) en el menú desplegable que aparece. Haga esto si solo necesita el entorno para un proyecto a corto plazo.
    2. Si no, el entorno no se eliminará automáticamente. Haga esto si necesita conservar el entorno durante un largo plazo.

  7. Indique si aprovisionar una base de datos de Dataverse. Detalles del entorno

  8. Si se necesita una base de datos (activar = sí), proporcione el idioma y los valores de moneda requeridos. Opcionalmente proporcione un grupo de seguridad para restringir el acceso al entorno. Elegir configuración de base de datos

  9. Envíe el formulario cuando haya terminado haciendo clic en el botón Guardar.

📧 Se enviará un correo electrónico para notificar a los administradores del Kit de inicio del CoE para que revisen la nueva solicitud.

Vea cualquiera de sus solicitudes enviadas en la aplicación de lienzo.

Ver solicitudes

Administrador: aprobar o denegar una solicitud de entorno

Como administrador, puede ver y clasificar las solicitudes para nuevos entornos.

  1. Abra la aplicación de lienzo Administrador - Solicitud de entorno.

  2. Vea las solicitudes de creación de entornos pendientes en la pantalla de inicio.

    Nota

    De forma predeterminada, las solicitudes pendientes se muestran primero. Cambie el filtro de estado de solicitud usando el menú desplegable en el lado derecho de la cinta.

  3. Seleccione una solicitud en la tabla para ver más detalles. Seleccionar solicitudes

  4. Lea los detalles solicitados para el nuevo entorno:

    1. Información del entorno, justificación.

    2. Administradores solicitados.

    3. Vea el grupo de seguridad solicitado o agregue uno si no se seleccionó ninguno.

    4. Conectores.

    5. Políticas impactantes.

    6. Agregue comentarios sobre la decisión en el panel Notas.

      Ver detalles

    Nota

    Un banner en la parte superior de la página indica cómo se verá afectado el nuevo entorno en función de las políticas existentes en el inquilino. El análisis de impacto cambiará cuando se modifiquen las políticas.

  5. Modifique las políticas de prevención de pérdida de datos en la tabla Políticas afectadas haciendo clic en las acciones sugeridas (si hay alguna disponible). Ver acciones

    Advertencia

    Solo se pueden agregar ciertos tipos de políticas (entornos de nivel de organización que no son políticas del tipo "Todos los entornos").

  6. Seleccione "Ver y modificar directivas" para ver todas las directivas y su impacto en los conectores solicitados. Puede agregar o eliminar directivas a la lista de modificaciones que se cambiarán una vez que se aprueben seleccionando una política y eligiendo las acciones que aparecen en la cinta. Ver o modificar las directivas de DLP

  7. Seleccione una directiva y haga clic en la acción Detalles en la cinta para ver el impacto en los conectores. Impacto de la directiva

  8. Apruebe o rechace la solicitud en la cinta superior izquierda. Aprobar o rechazar

Ruta aprobada

Una vez aprobada la solicitud, se creará el entorno con las configuraciones solicitadas. Los usuarios tienen acceso de administrador del entorno.

⏳ Vencimiento

Si el entorno tiene una fecha de caducidad, se eliminará automáticamente después de la duración indicada. Los correos electrónicos de advertencia se envían semanalmente a los administradores para recordarles que deben guardar trabajo en el control de fuente u otras ubicaciones fuera del entorno.

Si no se establece la caducidad, el entorno nunca se limpiará automáticamente. El entorno debe eliminarse manualmente en el centro de administración Power Platform.

Lógica de recomendación DLP

La aplicación de administración utiliza la siguiente lógica para brindar orientación sobre cómo configurar las políticas de DLP para permitir los conectores solicitados.

Matriz de decisiones: banner de advertencia

Este es el banner que se muestra en la aplicación de administración cuando se visualiza la página de detalles de la solicitud.

Condición No se aplican directivas al entorno Las directivas existentes se aplican al entorno sin incluirlo en la lista de entorno de ninguna directiva El entorno se agregará a las directivas tras su aprobación
Desbloqueado 🟡 Conectores no bloqueados ni restringidos, pero ninguna política proteger el ambiente. Agregue entorno a al menos una directiva para evitar la pérdida de datos. 🟢 Los conectores no están bloqueados ni restringidos y el ambiente está cubierto por al menos una política existente. 🟢 Los conectores no están bloqueados y ambiente se agregará a las políticas seleccionadas tras la aprobación de la solicitud.
Bloqueado -- ⛔ Conectores bloqueados por configuraciones de políticas originales. Agregue un entorno a las listas de entornos de directivas existentes o modifique las políticas en el centro de administración Power Platform para desbloquear conectores. ⛔ Conectores bloqueados por las configuraciones de políticas actuales. Agregue un entorno a directivas diferentes o modifique las políticas en el centro de administración Power Platform para desbloquear conectores.
Restringido -- 🟡 Conectores restringidos por configuraciones de políticas originales. Agregue un entorno a las listas de entornos de directivas existentes o modifique las políticas en el centro de administración Power Platform para desbloquear conectores. 🟡 Conectores restringidos por las configuraciones de políticas actuales. Agregue un entorno a directivas diferentes o modifique las políticas en el centro de administración Power Platform para desbloquear conectores.

Matriz de acción recomendada basada en la directiva y los conectores solicitados. Las columnas horizontales muestran cada tipo de política y las filas verticales de la matriz muestran el impacto que tiene la directiva en los conectores solicitados según sus reglas.

Impacto Todos los entornos Excluir ciertos entornos Incluir varios entornos
No bloqueado o restringido No es necesaria ninguna acción.

Esta directiva no bloquea los conectores solicitados. Este tipo de directiva cubrirá este nuevo entorno una vez creado, por lo que no es necesario realizar ninguna acción.		 Agregue la directiva si el nuevo entorno no lo cubre. Si está cubierto, no es necesario realizar ninguna acción. Los conectores solicitados no serían bloqueados por esta directiva si se agregan a su lista de entornos. Agregue a la lista de esta directiva si este entorno se agregará a otra lista de directivas "Excluir ciertos entornos" que está afectando a los conectores solicitados.
Bloqueado Desbloquee los conectores permitidos en la definición de la directiva en el Centro de administración Power Platform.

⚠PRECAUCIÓN: cambiar las políticas que afectan a "Todos los entornos" puede afectar potencialmente a cualquier aplicación de lienzo y flujo de nube en el inquilino. Confirme el impacto en la herramienta DLP Editor.

Si las reglas del conector de esta directiva no se pueden cambiar, puede hacer una excepción para este nuevo entorno cambiando esta directiva a una de tipo "Excluir ciertos entornos" en el Centro de administración de Power Platform. Busque o cree una directiva de tipo "Múltiples entornos" que permita a los conectores solicitados agregar el entorno. Vuelva a este registro de la aplicación de administración de solicitud de entorno y agréguelo a la lista de entornos de ambas directivas.		 Agregue a esta directiva o desbloquee los conectores bloqueados.

Si no hay otras directivas que cubran el entorno, agréguelo a otra directiva de "entornos múltiples" existente o nueva que no bloqueará los conectores solicitados.		 No agregue el nuevo entorno a esta directiva.

El entorno solo debe agregarse a una política de tipo "Varios entornos" si no está cubierto por otras directivas. Por ejemplo, si no hay "Directivas de todos los entornos" y el entorno se excluye de todas las directivas de tipo "Excluir excepto entornos", ninguna directiva cubre el entorno.

Si no hay mejores directivas para agregar este entorno, considere actualizar los grupos de conectores de esta directiva o cree una nueva en el Centro de administración Power Platform.
Restringido Coloque los conectores restringidos en el mismo grupo en la definición de la directiva en el Centro de administración Power Platform.

⚠PRECAUCIÓN: cambiar las políticas de tipo "Todos los entornos" puede afectar potencialmente a cualquier aplicación de lienzo y flujo de nube en el inquilino.

Si las reglas del conector de esta directiva no se pueden cambiar, puede hacer una excepción para este nuevo entorno cambiando esta directiva a una de tipo "Excluir ciertos entornos" en el Centro de administración de Power Platform. Busque o cree una directiva de tipo "Múltiples entornos" que tiene los conectores solicitados en el mismo grupo. Vuelva a este registro de la aplicación de administración de solicitud de creación de entorno y agréguelo a la lista de entornos de ambas directivas.		 Agregue el entorno a la lista de excepciones de esta directiva.

Si esto se agrega a la lista de excepciones y no hay otras directivas que cubran el entorno, agréguelo a otra directiva de "Múltiples entornos" que no restringirá los conectores solicitados aceptables o cree otra directiva para cubrir los requisitos de seguridad más críticos.

Considere si los conectores solicitados aceptables pueden no estar restringidos actualizando esta directiva en el centro de administración Power Platform.

Precaución: asegúrese de que otros entornos excluidos de esta directiva no se vean afectados negativamente por este cambio.		 No agregue el nuevo entorno a esta directiva.

El entorno solo debe agregarse a una directiva de tipo "Varios entornos" si se excluye de una directiva de tipo "Excluir excepto entornos" y no hay otras directivas que cubran el entorno.

Si ninguna directiva existente funciona, considere si actualizar esta directiva para incluir los conectores solicitados en el mismo grupo es una opción. Asegurándose de que los otros entornos incluidos en la lista de entornos no se verán afectados negativamente. Vaya al centro de administración Power Platform para actualizar las reglas de la directiva.

Desarrollador: solicitar un cambio de directiva de DLP

Los creadores pueden usar el sistema de solicitud de cambio de directiva de DLP para modificar la directiva de DLP aplicada a los entornos en los que son Administrador. Si se aprueba, habilitará los conectores que necesita en los entornos en los que trabaja.

  1. Abra la aplicación Maker – Solicitud de entorno.
  2. Vaya a la página Solicitudes de cambio de directiva de datos usando la navegación izquierda. Pantalla Solicitudes de cambio de directiva de datos
  3. Seleccione + Nuevo
  4. En el campo "Acción solicitada", elija la opción "Aplicar directiva al entorno".
  5. En el campo "Directiva", seleccione la directiva deseada.
    1. Confirme si los conectores requeridos por su entorno están en la directiva haciendo clic en el icono de información junto al encabezado del campo. Confirme que sus conectores requeridos están permitidos por esta directiva.
  6. Elegir el entorno al que se aplicará esta directiva. Solo estará en entornos seleccionados de los que sea un Administrador.
    1. Si no ve ningún entorno en el menú desplegable, entonces no tiene un rol de entorno Administrador para ningún entorno.
    2. Especifique una razón para la solicitud. Por ejemplo, ayuda a especificar los detalles de su proyecto y los conectores que necesita.
  7. Seleccione Guardar para completar la solicitud.
  8. Si el Administrador aprueba la solicitud, la directiva se aplicará al entorno.

Administrador: Aprobar o denegar una solicitud de cambio de directiva de DLP

Importante

Si se aprueba una solicitud de cambio de directiva DLP en este sistema, actualizará el estado a Aprobado, que desencadenará un flujo que aplicará automáticamente la directiva seleccionada al entorno indicado. También eliminará el entorno de todas las demás directivas que tengan un ámbito de entorno "incluido" y agregará el entorno a todas las directivas con un ámbito de entorno "excluido". Antes de usar las herramientas de solicitud de directivas de DLP, asegúrese de que este proceso se ajuste a su configuración.

Configurar directivas compartidas

Configure directivas de datos en el Centro de administración de Power Platform.

Nota

Siga nuestras prácticas recomendadas para crear una estrategia DLP.

Conjunto de ejemplo de directivas DLP compartidas que pueden abordar diferentes niveles de grupos:

  • Productividad (Aplicar a todos los entornos excepto): esta política está destinada a cubrir el entorno predeterminado ambiente, los entornos de prueba y todos los demás entornos que no estén cubiertos por los otros entornos. Tiene las reglas más restrictivas.
  • Usuario avanzado (aplicar a múltiples entornos): disponible para entornos individuales con reglas ligeramente menos restrictivas que Productividad.
  • Pro Dev (Aplicar a múltiples entornos): disponible para entornos individuales con acceso a la mayoría de los conectores en comparación con Power User y está destinado a usuarios que están bien capacitados y aceptan las políticas de seguridad de datos de la empresa que deben definirse con un reconocimiento de responsabilidad por el uso.

Sincronizar directivas compartidas

Dado que los creadores no pueden ver todas las directivas de datos, el sistema de solicitud facilita mostrar esa información a los creadores a través de Dataverse. El sistema sincroniza las directivas indicadas desde el servicio Power Platform a una tabla Dataverse y los creadores pueden ver las directivas que un administrador les permite ver. Luego, los creadores pueden solicitar aplicar esas directivas compartidas a sus entornos.

Para hacer visible una Directiva de DLP compartida a los creadores, la directiva debe crearse como un registro en Dataverse.

  • Abra la aplicación Administrador – Solicitud de entorno.
  • Vaya a la página Directivas de datos en la navegación izquierda.
  • Seleccione la directiva que desea hacer visible para los creadores, luego seleccione la opción Hacer visible en la cinta Haga que las directivas compartidas sean visibles para los creadores.

Comparte la aplicación y las instrucciones con los creadores

  • Otorgue a sus creadores acceso a la aplicación de lienzo Maker – Solicitud de entorno y asígneles el rol de seguridad Power Platform Creador SR. Use un grupo de Microsoft Entra para facilitar la tarea.
  • Proporcionar a los usuarios instrucciones sobre cómo utilizar el sistema de solicitudes.

Aprobar o rechazar solicitudes

Una vez que los usuarios tienen acceso y comienzan a realizar solicitudes, los administradores pueden ver esas solicitudes en la aplicación de lienzo Administrador: Solicitud de entorno.

Ver solicitudes en la aplicación Administrador Solicitud de entorno

Para ver y responder a las solicitudes de cambio de directiva de DLP:

  1. Abra la aplicación Administrador – Solicitud de entorno.
  2. Vaya a la página Solicitudes de cambio de directiva usando la navegación izquierda.
  3. Ver la lista de solicitudes. Puede filtrar la solicitud por estado usando el filtro de estado en el lado derecho de la cinta. Ver la lista de solicitudes
  4. Para ver la solicitud con más detalle, seleccione una de las solicitudes y haga clic en la acción Detalles en la cinta.
  5. Para aprobar o rechazar una solicitud, filtre el estado a "Pendiente" y seleccione una de las solicitudes. Solo las solicitudes con estado pendiente se pueden responder en la aplicación.
  6. Una vez que se selecciona una solicitud, puede optar por "aprobar" o "rechazar" la solicitud mediante las acciones de la cinta.
    1. Si se aprueba una solicitud, actualizará el estado a "Aprobado", que desencadenará un flujo que aplicará automáticamente la directiva seleccionada al entorno indicado. También eliminará el entorno de todas las demás directivas que tengan un ámbito de entorno "incluido" y agregará el entorno a todas las directivas con un ámbito de entorno "excluido". Asegúrese de que este comportamiento se ajuste a los requisitos de seguridad de su empresa antes de continuar. Una vez que se completa la automatización, el estado de la solicitud se establece en "Completado" y el registro se desactiva.
    2. Si la solicitud es rechazada, el estado de la solicitud se establece en "Rechazada" y el registro se desactiva.