Gerenciamento de ambiente e de política DLP
Assista a um passo a passo de como o ambiente e o processo de solicitação de DLP funcionam.
Descrição do processo
Declaração do problema: Quando um projeto de desenvolvimento requer um novo ambiente e usuários não administradores são impedidos de criar ambientes, a única maneira de usuários não administradores acessarem novos ambientes é os administradores provisão o ambiente e concederem permissões aos usuários. Os administradores podem se tornar o gargalo do desenvolvimento se o volume de demanda de ambientes for alto porque várias etapas estão envolvidas. Novos ambientes também podem exigir novos conectores ou políticas DLP.
Solução: O processo abaixo pode ser usado por não administradores para solicitar novos ambientes e alterações nas políticas de DLP para seus ambientes.
Os desenvolvedores (não administradores) podem:
- Enviar solicitações para novos ambientes.
- Enviar solicitações de políticas DLP a serem aplicadas em seus ambientes.
Os administradores podem:
- Provisionar novos ambientes para desenvolvedores usando o aplicativo.
- Ver como os novos ambientes serão afetados pelas políticas de prevenção de perda de dados.
- Aprove ou rejeite solicitações de política DLP.
Desenvolvedor: solicitar um ambiente
Os desenvolvedores (não administradores) podem solicitar novos ambientes para que seu administrador faça a triagem.
Abra o aplicativo Criador – Solicitação de Ambiente.
Selecione + Novo
No submenu, escolha os conectores desejados que serão necessários no novo ambiente. Em seguida, selecione Avançar.
Escolha as contas de usuário que precisarão de acesso de administrador de ambiente.
Forneça detalhes básicos sobre o ambiente desejado, incluindo o nome de exibição, região, tipo e finalidade.
Indique se o ambiente pode ser limpo automaticamente após determinado período de tempo.
- Em caso afirmativo, forneça uma duração (em dias) na lista suspensa que aparece. Faça isso caso você só precise do ambiente para um projeto de curto prazo.
- Caso contrário, o ambiente não será excluído automaticamente. Faça isso se precisar proteger o ambiente por muito tempo.
Indique se um banco de dados do Dataverse deve ser provisionado.
Se um banco de dados for necessário (alternar = sim), forneça o idioma e os valores monetários necessários. Opcionalmente, forneça um grupo de segurança para restringir o acesso ao ambiente.
Envie o formulário quando terminar, clicando no botão Salvar.
📧 Um e-mail será enviado para notificar os administradores do CoE Starter Kit para analisar a nova solicitação.
Exiba qualquer uma de suas solicitações enviadas no aplicativo de tela.
Administrador: aprovar ou negar uma solicitação de ambiente
Como administrador, você pode exibir e fazer a triagem de solicitações para novos ambientes.
Abra o aplicativo de tela chamado Administrador – Solicitação de Ambiente.
Exiba as solicitações de criação de ambiente pendentes na tela inicial.
Nota
Por padrão, as solicitações pendentes são exibidas primeiro. Altere o filtro de estado de solicitação usando a lista suspensa no lado direito da faixa de opções.
Selecione uma solicitação na tabela para ver mais detalhes.
Leia os detalhes solicitados para o novo ambiente:
Informações do ambiente, justificativa.
Administradores solicitados.
Exiba o grupo de segurança solicitado ou adicione um se nenhum tiver sido selecionado.
Conectores.
Políticas de impacto.
Adicione comentários sobre a decisão no painel Notas.
Observação
Um banner na parte superior da página indica como o novo ambiente será impactado com base nas políticas existentes no locatário. A análise de impacto mudará quando as políticas forem modificadas.
Modifique as políticas de prevenção contra a perda de dados na tabela Políticas impactadas clicando nas ações sugeridas (se houver alguma disponível).
Aviso
Somente certos tipos de políticas podem ser adicionados (ambientes no nível da organização que não são políticas do tipo "Todos os ambientes").
Selecione "Exibir e modificar políticas" para ver todas as políticas e seu impacto nos conectores solicitados. Você pode adicionar ou remover políticas da lista de modificações que serão alteradas após a aprovação, selecionando uma política e escolhendo as ações que aparecem na faixa de opções.
Selecione uma política e clique na ação Detalhes na faixa de opções para ver o impacto nos conectores.
Aprove ou rejeite a solicitação na faixa superior esquerda.
Caminho aprovado
Assim que a solicitação for aprovada, o ambiente será criado com as configurações solicitadas. Os usuários têm acesso de administrador ao ambiente.
⏳ Expiração
Se o ambiente tiver uma data de validade, ele será excluído automaticamente após a duração indicada. Emails de aviso são enviados semanalmente aos administradores para lembrá-los de salvar o trabalho no controle de origem ou em outros locais fora do ambiente.
Se nenhuma expiração for definida, o ambiente nunca será limpo automaticamente. O ambiente deve ser excluído manualmente no centro de administração da Power Platform.
Lógica de recomendação DLP
O aplicativo de administração usa a lógica abaixo para fornecer orientação sobre como configurar as políticas DLP para permitir os conectores solicitados.
Matriz de decisão: banner de aviso
Este é o banner exibido no aplicativo de administração ao exibir a página de detalhes da solicitação.
| Condição | Nenhuma política se aplica ao ambiente | As políticas existentes se aplicam ao ambiente, sem incluí-lo em qualquer lista de políticas de ambiente | O ambiente será adicionado às políticas após a aprovação |
|---|---|---|---|
| Desbloqueado | 🟡 Conectores não bloqueados ou restritos, mas nenhuma política irá proteger o ambiente. Adicione o ambiente a pelo menos uma política para evitar perda de dados. | 🟢 Os conectores não são bloqueados ou restritos e o ambiente é coberto por pelo menos uma política existente. | 🟢 Os conectores não são bloqueados e o ambiente será adicionado às políticas selecionadas após a aprovação da solicitação. |
| Bloqueado | -- | ⛔ Conectores bloqueados pelas configurações de política originais. Adicione o ambiente às listas de ambiente de política existentes ou modifique as políticas no centro de administração da Power Platform para desbloquear os conectores. | ⛔ Conectores bloqueados pelas configurações de política atuais. Adicione o ambiente a diferentes políticas ou modifique as políticas no centro de administração da Power Platform para desbloquear os conectores. |
| Restrito | -- | 🟡 Conectores restritos pelas configurações de política originais. Adicione o ambiente às listas de ambientes das políticas existentes ou modifique as políticas no centro de administração da Power Platform para desbloquear os conectores. | 🟡 Conectores restritos pelas configurações de política atuais. Adicione o ambiente a diferentes políticas ou modifique as políticas no centro de administração da Power Platform para desbloquear os conectores. |
Matriz de decisão: ações recomendadas em nível de política
Matriz para ação recomendada com base na política e nos conectores solicitados. As colunas horizontais mostram cada tipo de política e as linhas verticais da matriz mostram o impacto que a política tem nos conectores solicitados com base em suas regras.
| Impacto | Todos os ambientes | Excluir certos ambientes | Incluir vários ambientes |
|---|---|---|---|
| Não está bloqueado ou restrito | Nenhuma ação necessária. Os conectores solicitados não são bloqueados por esta política. Este tipo de política cobrirá este novo ambiente uma vez criado; portanto, nenhuma ação é necessária. |
Adicione a política se o novo ambiente não for coberto. Se houver cobertura, nenhuma ação será necessária. | Os conectores solicitados não serão bloqueados por esta política se forem adicionados à sua lista de ambientes. Adicione à lista desta política se este ambiente for adicionado a outra lista de política "Excluir determinados ambientes" que está afetando os conectores solicitados. |
| Bloqueado | Desbloqueie os conectores permitidos na definição da política no centro de administração da Power Platform. ⚠CUIDADO: alterar políticas que afetam "Todos os ambientes" pode impactar qualquer aplicativo Canvas e fluxo da nuvem no locatário. Confirme o impacto na ferramenta DLP Editor. Se as regras do conector desta política não puderem ser alteradas, você pode fazer uma exceção para este novo ambiente alterando esta política para uma política do tipo "Excluir determinados ambientes" no centro de administração da Power Platform. Encontre ou crie uma política do tipo "Vários ambientes" que permita aos conectores solicitados adicionar o ambiente. Volte para esse registro de aplicativo de administração de solicitação de ambiente e adicione-o à lista de ambientes de ambas as políticas. |
Adicione a essa política ou desbloqueie os conectores bloqueados. Se não houver nenhuma outra política cobrindo o ambiente, adicione-a a outra política existente ou nova de "Vários ambientes" que não bloqueará os conectores solicitados. |
Não adicione o novo ambiente a esta política. O ambiente só precisa ser adicionado a uma política do tipo "Vários ambientes" se não for coberto por outras políticas. Por exemplo, se não houver "Todas as políticas de ambiente" e o ambiente estiver sendo excluído de todas as políticas do tipo "Excluir exceto ambientes", nenhuma política estará cobrindo o ambiente. Se não houver políticas melhores para adicionar esse ambiente, considere atualizar os grupos de conectores dessa política ou crie uma política no centro de administração da Power Platform. |
| Restrito | Coloque os conectores restritos no mesmo grupo na definição da política no centro de administração da Power Platform. ⚠CUIDADO: alterar as políticas do tipo "Todos os ambientes" pode impactar qualquer aplicativo Canvas e fluxo da nuvem no locatário. Se as regras do conector desta política não puderem ser alteradas, você pode fazer uma exceção para este novo ambiente alterando esta política para uma política do tipo "Excluir determinados ambientes" no centro de administração da Power Platform. Encontre ou crie uma política do tipo "Vários ambientes" que possui os conectores solicitados no mesmo grupo. Volte para esse registro de aplicativo de administração de solicitação de criação de ambiente e adicione-o à lista de ambientes de ambas as políticas. |
Adicione o ambiente à lista de exceções dessa política. Se isso for adicionado à lista de exceções e não houver outras políticas cobrindo o ambiente, adicione-o a outra política de "Vários ambientes" que não restrinja os conectores solicitados aceitáveis ou crie outra política para cobrir os requisitos de segurança mais críticos. Considere se os conectores solicitados aceitáveis podem ser irrestritos, atualizando esta política no centro de administração da Power Platform. Cuidado: certifique-se de que outros ambientes excluídos dessa política não serão afetados negativamente por essa mudança. |
Não adicione o novo ambiente a esta política. O ambiente só precisa ser adicionado a uma política do tipo "Vários ambientes" se estiver sendo excluído de uma política do tipo "Excluir exceto ambientes" e não houver outras políticas que cubram o ambiente. Se nenhuma política existente funcionar, considere se a atualização dessa política para incluir os conectores solicitados no mesmo grupo é uma opção. certificando-se de que os outros ambientes incluídos na lista de ambientes não serão afetados negativamente. Acesse o centro de administração do Power Platform para atualizar as regras de política. |
Desenvolvedor: solicitar uma alteração na política DLP
Os criadores podem usar o sistema de solicitação de alteração de política DLP para modificar a política DLP aplicada a ambientes nos quais eles são o administrador. Se aprovado, isso habilitará os conectores necessários nos ambientes em que você trabalha.
- Abra o aplicativo Criador – Solicitação de Ambiente.
- Navegue até a página Solicitações de Alteração da Política de Dados usando a navegação à esquerda.
- Selecione + Novo
- No campo "Ação Solicitada", escolha a opção "Aplicar Política ao Ambiente".
- No campo "Política", selecione a política desejada.
- Confirme se os conectores exigidos pelo seu ambiente estão na política clicando no ícone de informações ao lado do cabeçalho do campo.
- Confirme se os conectores exigidos pelo seu ambiente estão na política clicando no ícone de informações ao lado do cabeçalho do campo.
- Escolha o ambiente para a aplicação desta política. Você poderá selecionar somente os ambientes dos quais é administrador.
- Se você não vir nenhum ambiente na lista suspensa, você não tem a função de administrador de ambiente para nenhum ambiente.
- Forneça um motivo para a solicitação. Por exemplo, é útil especificar os detalhes do projeto e os conectores necessários.
- Selecione Salvar para enviar a solicitação.
- Se o administrador aprovar a solicitação, a política será aplicada ao ambiente.
Administrador: aprovar ou negar uma solicitação de alteração de política DLP
Importante
Se uma solicitação de alteração de política DLP for aprovada neste sistema, o status será atualizado para Aprovado, que acionará um fluxo que aplica automaticamente a política selecionada ao ambiente indicado. Ela também removerá o ambiente de todas as outras políticas que tenham um escopo de ambiente "incluir" e adicionará o ambiente a todas as políticas com um escopo de ambiente "excluir". Antes de usar as ferramentas de solicitação de política DLP, verifique se esse processo se ajusta à sua configuração.
Configurar políticas compartilhadas
Configure políticas de dados no Centro de administração do Power Platform.
Nota
Siga nossas melhores práticas para criar uma estratégia de DLP.
Exemplo de conjunto de políticas DLP compartilhadas que podem abordar diferentes níveis de grupos:
- Produtividade (Aplicar a todos os ambientes, exceto) – Esta política se destina a cobrir o ambiente Padrão, ambientes de teste e todos os outros ambientes que não são cobertos pelos outros ambientes. Ela tem as regras mais restritivas.
- Usuário avançado (Aplicar a vários ambientes) – Disponível para ambientes individuais com regras um pouco menos restritivas do que a Produtividade.
- Pro Dev (Aplicar a vários ambientes) – Disponível para ambientes individuais com acesso à maioria dos conectores em comparação ao Power User e é destinado a usuários bem treinados e que concordam com as políticas de segurança de dados da empresa, que devem ser definidas com um reconhecimento de responsabilidade pelo uso.
Sincronizar políticas compartilhadas
Como os criadores não podem ver todas as políticas de dados, o sistema de solicitação facilita a exibição dessas informações aos criadores por meio do Dataverse. O sistema sincroniza as políticas indicadas do serviço Power Platform com uma tabela do Dataverse, e os criadores podem ver as políticas que um administrador permite que eles vejam. Os criadores podem então solicitar a aplicação dessas políticas compartilhadas a seus ambientes.
Para tornar uma Política DLP compartilhada visível para os criadores, a política deve ser criada como um registro no Dataverse.
- Abra o aplicativo Administrador – Solicitação de Ambiente.
- Navegue até a página Políticas de dados na navegação à esquerda.
- Escolha a política que você quer tornar visível para os criadores e selecione a opção Tornar visível na faixa de opções
Compartilhar o aplicativo e as instruções com os criadores
- Conceda aos seus criadores acesso ao aplicativo de tela Criador – Solicitação de Ambiente e atribua a eles o direito de acesso Criador SR do Power Platform. Use um grupo do Microsoft Entra para facilitar a atribuição.
- Forneça aos usuários instruções sobre como usar o sistema de solicitação.
Aprovar ou rejeitar solicitações
Depois que os usuários tiverem acesso e começarem a fazer solicitações, os administradores poderão ver essas solicitações no aplicativo de tela Administrador – Solicitação de Ambiente.
Para exibir e responder às solicitações de alteração de política DLP:
- Abra o aplicativo Administrador – Solicitação de Ambiente.
- Navegue até a página Solicitações de Alteração da Política usando a navegação à esquerda.
- Exiba a lista de solicitações. Você pode filtrar a solicitação por status usando o filtro de status no lado direito da faixa de opções.
- Para exibir a solicitação com mais detalhes, selecione uma das solicitações e clique na ação Detalhes na faixa de opções.
- Para aprovar ou negar uma solicitação, filtre o status para "Pendente" e selecione uma das solicitações. Somente as solicitações com status pendente podem ser respondidas no aplicativo.
- Depois que uma solicitação é selecionada, você pode optar por "aprovar" ou "rejeitar" a solicitação usando as ações na faixa de opções.
- Se uma solicitação for aprovada, o status será atualizado para "Aprovado", que acionará um fluxo que aplica automaticamente a política selecionada ao ambiente indicado. Ela também removerá o ambiente de todas as outras políticas que tenham um escopo de ambiente "incluir" e adicionará o ambiente a todas as políticas com um escopo de ambiente "excluir". Certifique-se de que esse comportamento esteja de acordo com os requisitos de segurança da sua empresa antes de continuar. Após a conclusão da automação, o status da solicitação será definido como "Cumprido" e o registro será desativado.
- Se a solicitação for rejeitada, o status será definido como "Rejeitado" e o registro será desativado.