组织的数据对组织的成功至关重要。 组织的数据需要随时可用于决策,但需要受到保护,避免与无权访问这些数据的受众共享。 为了保护此数据,您可以使用 Power Apps 创建和强制执行数据策略,该策略定义可以共享特定业务数据的客户连接器。 例如,使用的 Power Apps 组织可能不希望存储在其中 SharePoint 的业务数据自动发布到其 Twitter 源。
若要创建、编辑或删除数据策略,必须有环境管理员或 Power Platform 管理员权限。
先决条件
租户级别策略
租户级别策略可以定义为包含或排除特定环境。 若要按照本文中所述的租户级策略步骤作,请以具有 Power Platform 管理员角色的用户身份登录。 有关 Power Platform 管理员角色的更多信息,请参阅使用服务管理员角色管理租户。
环境级别策略
若要按照环境级别策略的步骤进行操作,您需要具有 Power Apps 环境管理员权限。 对于具有 Dataverse 数据库的环境,您需要被分配系统管理员角色。
备注
如果在使用 PowerShell 创建数据策略时使用 SingleEnvironment EnvironmentType 参数,则用于创建策略 的用户帐户必须 具有 环境级 权限, 并且不得 具有 租户级 权限,如前所述,否则将返回错误请求错误,并且不会创建策略。
数据策略流程
要创建数据策略,请完成以下步骤:
- 为策略分配名称。
- 将连接器分类。
- 定义策略的范围。 此步骤不适用于环境级别的策略。
- 选择环境。
- 查看设置。
这些步骤将在以下部分中进行说明。
演练:创建数据策略
在此示例演练中,我们将创建一个租户级数据策略。 在本演练中,您将完成以下任务:
- 将 SharePoint 和 Salesforce 添加到数据策略的业务数据组中。
- 将 Facebook 和 Twitter 添加到已阻止数据组中。
- 将其余连接器保留在非业务数据组中。
- 然后,将从此策略的范围中排除测试环境,将策略应用于其余环境,如租户中的默认环境和生产环境。
保存此策略后,属于数据策略环境的任何 Power Apps 或 Power Automate 开发者都可以创建在 SharePoint 或 Salesforce 之间共享数据的应用或流。 对于包含在非业务数据组中有连接器的现有连接的任何 Power Apps 或 Power Automate 资源,不允许其建立与 SharePoint 或 Salesforce 连接器的连接。 这些开发者将无法将 Facebook 或 Twitter 连接器添加到任何 Power Apps 或 Power Automate 资源。
在导航窗格中选择 “安全 ”。
在“安全 ” 窗格的“设置”下,选择 “数据和隐私”。
在“数据保护和隐私”屏幕中,选择“数据策略 ” 部分。 选择 + 新建策略。
如果租户中不存在任何策略,您将看到以下页面。
在“策略名称”页中,输入策略名称,然后选择“ 下一步”。
在“预构建连接器”页中,查看可以在“分配连接器 ” 屏幕上进行的各种属性和设置。
属性
列表
数据透视 Description 企业 敏感数据的连接器。 此组中的连接器无法与其他组中的连接器共享数据。 非商业/
默认非敏感数据的连接器。 此组中的连接器无法与其他组中的连接器共享数据。 默认情况下,此处将显示未分派的连接器。 已拦截 无法在应用此策略的位置使用已阻止的连接器。 默认情况下,不可阻止的连接器将处于非业务状态。 操作
操作 Description 设置默认组 数据策略创建后,映射由 Power Platform 添加的所有新连接器的组。 详细信息:新连接器的默认数据组 搜索连接器 搜索一长串连接器来查找要分类的特定连接器。 您可以在连接器列表视图中的任何字段上进行搜索,如名称、可阻止、类型或发布者。 选择一个或多个预构建的连接器。 在本演练中,选择 Salesforce 和 SharePoint 连接器,然后从顶部菜单栏中选择 “移至业务 ”。 还可以使用连接器名称右侧的省略号(
)。 连接器现在显示在“业务 ” 数据组中。
连接器一次只能位于一个数据组中。 通过将 Salesforce 和 SharePoint 连接器移动到业务 数据 组,您可以阻止用户创建将这两个连接器与非业务 或 阻止 组中 的任何连接器组合在一起的流和应用。
对于此类连接器 SharePoint 不可阻止, “阻止” 作不可用,并显示警告。
如果需要,查看并更改新连接器的默认组设置。 建议将默认设置保留为“非业务”, 以映射默认添加到的任何新连接器 。 Power Platform 在有机会查看和分配非业务连接器后,可以手动将非业务 连接器分配给 业务 或 稍 后通过编辑数据策略来阻止它们。 如果新连接器设置为已阻止,任何可以阻止的新连接器都将按预期映射到已阻止。 但是,任何不可阻止的新连接器都映射到 非业务 连接器,因为根据设计,它们无法被阻止。
在右上角,选择设置默认组。
完成跨业务 非业务/阻止/组的所有 连接器分配并为新连接器设置默认组后,选择 下一步。
在“自定义连接器”页中,xxxxxxxxxxx 选择下一步继续操作。
在范围页面中,选择数据策略的范围。 此步骤不可用于环境级别策略,因为它们始终只用于单个环境。
在本演练中,将从此策略中排除测试环境。 选择 “排除某些环境 ”,然后选择“ 下一步”。
在“环境”页面中,查看“排除环境 ” 屏幕上的各种属性和设置。 对于租户级别策略,此列表将显示租户中所有环境的租户级别管理员。 对于环境级策略,此列表仅显示租户中由以环境管理员或具有数据库的 Dataverse 环境的系统管理员身份登录的用户管理的环境子集。
属性
属性 Description 客户 环境的名称。 ID 环境的 ID。 类型 环境的类型:试用、生产、沙盒、默认 地区 与环境关联的区域。 创建者 创建环境的用户。 创建日期 创建环境的日期。 列表
数据透视 Description 可用 未在策略范围内明确包含或排除的环境。 对于范围定义为添加多个环境的环境级别策略和租户级别策略,此列表表示策略范围中未包括的环境的子集。 对于范围定义为排除特定环境的租户级别策略,此数据透视表示策略范围中包括的环境集。 从政策中排除 ***************对于范围定义为“添加多个环境 ”的环境级策略和租户级策略,此透视表示从策略范围中排除的环境子集。 对于范围定义为“排除某些环境 ”的租户级策略,此透视表示从策略范围中排除的环境子集**********。 ******************** 操作
操作 描述 添加到策略 使用此作,可以将“可用 ” 类别中的环境移动到“ 从策略 中排除”类别。 从策略中删除 使用此作,可以将“从策略 中排除” 类别中的环境移动到“可用 ” 类别。 **** 选择一个或多个环境。 您可以使用搜索栏快速查找感兴趣的环境。 在本演练中,搜索测试环境 - 键入沙盒。 选择沙盒环境后,我们使用顶部菜单栏中的“从策略 中排除”将它们 分配给策略范围。****
由于策略范围最初选择为“排除某些环境”, 因此这些测试环境现在从策略范围中排除,并且数据策略设置将应用于所有剩余(可用)环境。 对于环境级别策略,您只能从可用环境列表中选择一个环境。 在选择环境后,选择下一步。
在“查看”页中,查看策略设置,然后选择“ 创建策略”。
策略已创建并显示在数据策略列表中。 由于此策略,SharePoint 和 Salesforce 应用可以在非测试环境(如生产环境)中共享数据,因为它们都属于同一个业务数据组。 但是,位于非业务数据组中的任何连接器(如 Outlook.com)都不会使用 SharePoint 或 Salesforce 连接器与应用和流共享数据。 Facebook 和 Twitter 连接器完全被阻止,不能在非测试环境(如生产环境或默认环境)的任何应用或流中使用。
这是一种管理员与组织共享数据策略列表使得用户在创建应用前注意策略的好方法。
此表介绍您所创建的数据策略如何影响应用和流中的数据连接。
| 连接器矩阵 | SharePoint(业务) | Salesforce(业务) | Outlook.com(非业务) | Facebook(已阻止) | Twitter(已阻止) |
|---|---|---|---|---|---|
| SharePoint(业务) | 允许 | 允许 | 拒绝 | 拒绝 | 拒绝 |
| Salesforce(业务) | 允许 | 允许 | 拒绝 | 拒绝 | 拒绝 |
| Outlook.com(非业务) | 拒绝 | 拒绝 | 允许 | 拒绝 | 拒绝 |
| Facebook(已阻止) | 拒绝 | 拒绝 | 拒绝 | 拒绝 | 拒绝 |
| Twitter(已阻止) | 拒绝 | 拒绝 | 拒绝 | 拒绝 | 拒绝 |
由于没有数据策略应用于测试环境,因此应用和流可以在这些环境中一起使用任何一组连接器。
查找并查看数据策略
在“数据保护和隐私”屏幕中,选择“ 数据策略”。 如果您的策略列表很长,请使用搜索框查找特定数据策略。
列表视图显示以下属性:
| 属性 | 描述 |
|---|---|
| 客户 | 策略的名称。 |
| Scope | 策略类型,例如环境级别或租户级别。 |
| 已应用于 | 与策略关联的环境范围。 对于环境级别策略,这将是与策略关联的单一环境名称。 对于租户级别策略,它可以是以下值之一: - 所有环境 - 除 (n) 外的所有环境 - (n) 环境 - 单个环境名称 |
| 创建者 | 创建策略的用户。 |
| 创建日期 | 策略创建的日期。 |
| 修改者 | 修改策略的用户。 |
| 修改日期 | 策略修改的日期。 |
编辑数据策略
从数据策略列表中,选择一个策略,然后选择 “编辑策略”。 如果您的策略列表很长,请使用搜索框查找特定数据策略。
备注
环境管理员无法编辑租户管理员创建的策略。
继续执行演练:创建数据策略中介绍的步骤,然后选择更新策略。
备注
环境级数据策略无法替代租户范围的数据策略。
(可选)如有必要,考虑在连接上实施数据策略。 了解更多信息:针对违反连接的情况实施数据策略
备注
强制实施数据策略会禁用违反任何数据策略的现有连接,并启用以前禁用的任何不再违反任何数据策略的连接。
删除数据策略
从数据策略列表中,选择一个策略,然后选择 “删除策略”。 如果您的策略列表很长,请使用搜索框查找特定数据策略。
备注
环境管理员无法删除租户管理员创建的策略。
在确认对话框中,选择删除。
更改默认数据组
从数据策略列表中,选择一个策略,然后选择 “编辑策略”。 如果有一长串的策略,请使用搜索框查找特定的环境。
备注
环境管理员无法编辑租户管理员创建的策略。
在“编辑策略 ” 过程中选择“预生成连接器 ” 步骤。
在右上角,选择设置默认组。
选择一个默认组,然后选择应用。 详细信息:连接器分类和新连接器的默认数据组
根据需要选择下一步以关闭编辑策略流程。
选择的数据组将是默认组,用于在创建策略后自动对添加到 Power Platform 的任何新连接器进行分类。
使用 PowerShell 命令
请参阅数据策略命令。