管理数据策略
组织的数据对组织的成功至关重要。 组织的数据需要随时可用于决策,但需要受到保护,避免与无权访问这些数据的受众共享。 为了保护此数据,您可以使用 Power Apps 创建和强制执行数据策略,该策略定义可以共享特定业务数据的客户连接器。 例如,使用 Power Apps 的组织可能不希望存储在 SharePoint 中的业务数据自动发布到其 Twitter 源。
若要创建、编辑或删除数据策略,必须有环境管理员或 Power Platform 管理员权限。
先决条件
租户级别策略
租户级别策略可以定义为包含或排除特定环境。 要按照本文中介绍的租户级别策略的步骤操作,需要以下权限之一:
- Microsoft Power Platform 管理员权限
- Microsoft 365 全局管理员权限
在本文全文中,我们将这些角色称为租户管理员。 详细信息:使用服务管理员角色来管理您的租户
环境级别策略
若要按照环境级别策略的步骤进行操作,您需要具有 Power Apps 环境管理员权限。 对于具有 Dataverse 数据库的环境,您需要被分配系统管理员角色。
备注
如果在使用 PowerShell 创建数据策略时使用 SingleEnvironment EnvironmentType 参数,用于创建策略的用户帐户必须具有环境级别权限,不能有租户级别权限,如上所述,否则将返回“错误请求”错误,不会创建策略。
数据策略流程
要创建数据策略,请完成以下步骤。
- 为策略分配名称。
- 将连接器分类。
- 定义策略的范围。 此步骤不适用于环境级别的策略。
- 选择环境。
- 查看设置。
这些步骤将在以下部分中进行说明。
演练:创建数据策略
在此示例演练中,我们将创建一个租户级数据策略。 在本演练中,您将完成以下任务:
- 将 SharePoint 和 Salesforce 添加到数据策略的业务数据组中。
- 将 Facebook 和 Twitter 添加到已阻止数据组中。
- 将其余连接器保留在非业务数据组中。
- 然后,将从此策略的范围中排除测试环境,将策略应用于其余环境,如租户中的默认环境和生产环境。
保存此策略后,属于数据策略环境的任何 Power Apps 或 Power Automate 开发者都可以创建在 SharePoint 或 Salesforce 之间共享数据的应用或流。 对于包含在非业务数据组中有连接器的现有连接的任何 Power Apps 或 Power Automate 资源,不允许其建立与 SharePoint 或 Salesforce 连接器的连接。 这些开发者将无法将 Facebook 或 Twitter 连接器添加到任何 Power Apps 或 Power Automate 资源。
在 Power Platform 管理中心中,选择策略>数据策略>新策略。
如果租户中不存在任何策略,您将看到以下页面。
输入策略名称,然后选择下一步。
查看您可以在分配连接器页面开发的各个属性和设置。
属性
属性 描述 客户 连接器的名称。 可阻止 可以阻止的连接器。 了解详细信息:无法阻止的连接器列表 类型 使用连接器是需要高级许可证,还是在 Power Platform 的基本/标准许可证中包括。 发布程序 发布连接器的公司。 此值可能不同于服务所有者。 例如,Microsoft 可能是 Salesforce 连接器的发布商,但是基础服务归 Salesforce 而非 Microsoft 所有。 关于 选择此 URL 可以获取有关连接器的详细信息。 列表
数据透视 Description 企业 用于业务敏感数据的连接器。 此组中的连接器无法与其他组中的连接器共享数据。 非业务/
默认用于非业务数据(如个人使用数据)的连接器。 此组中的连接器无法与其他组中的连接器共享数据。 已拦截 无法在应用此策略的位置使用已阻止的连接器。 操作
操作 描述 设置默认组 数据策略创建后,映射由 Power Platform 添加的所有新连接器的组。 详细信息:新连接器的默认数据组 搜索连接器 搜索一长串连接器来查找要分类的特定连接器。 您可以在连接器列表视图中的任何字段上进行搜索,如名称、可阻止、类型或发布者。 您可以执行以下操作:
描述 1 在连接器分类组中分配一个或多个连接器 2 连接器分类组数据透视表 3 跨属性(如名称、可阻止、类型或发布商)查找连接器的搜索栏 4 数据策略创建后,映射由 Power Platform 添加的所有新连接器的连接器分类组。 5 选择、多选或批量选择要在组之间移动的连接器 6 跨各个列按字母顺序排序的功能 7 夸连接器分类组分配各个连接器的操作按钮 选择一个或多个连接器。 对于本演练,选择 SalesForce 和 SharePoint 连接器,然后从顶部菜单栏中选择移到业务。 您也可以使用连接器名称右侧的省略号 ()。
连接器将出现在业务数据组中。
连接器一次只能位于一个数据组中。 通过将 SharePoint 和 Salesforce 连接器移至业务数据组,将阻止用户创建将这两个连接器与非业务或已阻止组中的任何连接器合并在一起的流和应用。
对于不可阻止的连接器(如 SharePoint),阻止操作将不可用,并显示警告。
如果需要,查看并更改新连接器的默认组设置。 我们建议保留默认设置非业务,以映射默认添加到 Power Platform 的所有新连接器。 在有机会查看和分配之后,以后可以通过编辑数据策略将非业务连接器手动分配到业务或已阻止。 如果新连接器设置为已阻止,任何可以阻止的新连接器都将按预期映射到已阻止。 但是,任何不能阻止的新连接器都将映射到非业务,因为按照设计,它们无法被阻止。
在右上角,选择设置默认组。
完成业务/非业务/已阻止组中的所有连接器分配并为新连接器设置默认组后,选择下一步。
选择数据策略的范围。 此步骤不可用于环境级别策略,因为它们始终只用于单个环境。
出于本演练的目的,您将从此策略中排除测试环境。 选择排除特定环境,然后在添加环境页上,选择下一步。
在添加环境页上查看各个属性和设置。 对于租户级别策略,此列表将显示租户中所有环境的租户级别管理员。 对于环境级策略,此列表将仅显示租户中那些由作为具有 Dataverse 数据库的环境的环境管理员或系统管理员登录的用户管理的环境子集。
属性
属性 Description 客户 环境的名称。 Type 环境的类型:试用、生产、沙盒、默认 地区 与环境关联的区域。 创建者 创建环境的用户。 创建日期 创建环境的日期。 列表
数据透视 Description 可用 未在策略范围内明确包含或排除的环境。 对于范围定义为添加多个环境的环境级别策略和租户级别策略,此列表表示策略范围中未包括的环境的子集。 对于范围定义为排除特定环境的租户级别策略,此数据透视表示策略范围中包括的环境集。 已添加到策略 对于范围定义为添加多个环境的环境级别策略和租户级别策略,此数据透视表示在策略范围内的环境的子集。 对于范围定义为排除特定环境的租户级别策略,此数据透视表示从策略范围排除的环境的子集。 操作
操作 描述 添加到策略 可以使用此操作将可用类别中的环境移到已添加到策略类别中。 从策略中删除 可以使用此操作将已添加到策略类别中的环境移到可用类别中。 选择一个或多个环境。 您可以使用搜索栏快速查找感兴趣的环境。 在本演练中,搜索测试环境 - 键入沙盒。 选择沙盒环境后,我们通过使用顶部菜单栏中的添加到策略将其分配到策略范围。
由于最初将策略范围选择为排除特定环境,因此现在这些测试环境将被从策略范围中排除,数据策略设置将应用于所有其余(可用)环境。 对于环境级别策略,您只能从可用环境列表中选择一个环境。
在选择环境后,选择下一步。
查看策略设置,然后选择创建策略。
策略已创建并显示在数据策略列表中。 由于此策略,SharePoint 和 Salesforce 应用可以在非测试环境(如生产环境)中共享数据,因为它们都属于同一个业务数据组。 但是,位于非业务数据组中的任何连接器(如 Outlook.com)都不会使用 SharePoint 或 Salesforce 连接器与应用和流共享数据。 Facebook 和 Twitter 连接器完全被阻止,不能在非测试环境(如生产环境或默认环境)的任何应用或流中使用。
这是一种管理员与组织共享数据策略列表使得用户在创建应用前注意策略的好方法。
此表介绍您所创建的数据策略如何影响应用和流中的数据连接。
连接器矩阵 | SharePoint(业务) | Salesforce(业务) | Outlook.com(非业务) | Facebook(已阻止) | Twitter(已阻止) |
---|---|---|---|---|---|
SharePoint(业务) | 允许 | 允许 | 拒绝 | 拒绝 | 拒绝 |
Salesforce(业务) | 允许 | 允许 | 拒绝 | 拒绝 | 拒绝 |
Outlook.com(非业务) | 拒绝 | 拒绝 | 允许 | 拒绝 | 拒绝 |
Facebook(已阻止) | 拒绝 | 拒绝 | 拒绝 | 拒绝 | 拒绝 |
Twitter(已阻止) | 拒绝 | 拒绝 | 拒绝 | 拒绝 | 拒绝 |
由于未对测试环境应用数据策略,因此应用和流可以在这些环境中将任意一组连接器一起。
查找并查看数据策略
在导航窗格中,选择数据策略。 如果您的策略列表很长,请使用搜索框查找特定数据策略。
列表视图显示以下属性:
属性 描述 客户 策略的名称。 Scope 策略的类型,如环境级别或租户级别 已应用于 与策略关联的环境范围。
对于环境级别策略,这将是与策略关联的单一环境名称。
对于租户级别策略,它可以是以下值之一:
- 所有环境
- 除 (n) 外的所有环境
- (n) 环境
- 单个环境名称创建者 创建策略的用户。 创建日期 策略创建的日期。 修改者 修改策略的用户。 修改日期 策略修改的日期。
编辑数据策略
在数据策略列表中,选择一个环境,然后选择编辑策略。 如果有一长串的策略,请使用搜索框查找特定的环境。
备注
环境管理员无法编辑租户管理员创建的策略。
继续执行演练:创建数据策略中介绍的步骤,然后选择更新策略。
备注
环境级数据策略无法替代租户范围的数据策略。
(可选)如有必要,考虑在连接上实施数据策略。 了解更多信息:针对违反连接的情况实施数据策略
备注
实施数据策略将禁用违反任何数据策略的现有连接,并启用任何以前禁用的不再违反任何数据策略的连接。
删除数据策略
在数据策略列表中,选择一个环境,然后选择删除策略。 如果有一长串的策略,请使用搜索框查找特定的环境。
备注
环境管理员无法删除租户管理员创建的策略。
在确认对话框中,选择删除。
更改默认数据组
以全局管理员身份登录 Power Platform 管理中心。
在数据策略列表中,选择一个环境,然后选择编辑策略。 如果有一长串的策略,请使用搜索框查找特定的环境。
备注
环境管理员无法编辑租户管理员创建的策略。
选择编辑策略流程中的连接器步骤。
在右上角,选择设置默认组。
选择一个默认组,然后选择应用。 详细信息:连接器分类和新连接器的默认数据组
根据需要选择下一步以关闭编辑策略流程。
创建策略后,您选择的数据组将是自动分类添加到 Power Platform 的所有新连接器的默认组。
使用 PowerShell 命令
请参阅数据策略命令。
另请参见
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈