Споделяне чрез

Съображения за сигурност и управление в Power Platform

  • Статия

Бележка

Новият и подобрен Power Platform център за администриране вече е в публичен преглед! Проектирахме новия център за администриране така, че да бъде по-лесен за използване, с ориентирана към задачите навигация, която ви помага да постигате конкретни резултати по-бързо. Ще публикуваме нова и актуализирана документация, когато новият Power Platform център за администриране премине към обща наличност.

Много клиенти се чудят как може Power Platform да се предостави за по-широкия им бизнес и подкрепен от ИТ? Управлението е отговорът. То има за цел да даде възможност на бизнес групите да се съсредоточат върху ефективното решаване на работни проблеми, като същевременно спазват ИТ стандартите и стандартите за съответствие на бизнеса. Следващото съдържание е предназначено да структурира теми, често свързвани с управляващия софтуер, и да информира за възможностите, налични за всяка тема, тъй като се отнася за управлението на и Power Platform.

Тема Общи въпроси, свързани с всяка тема, на които отговаря това съдържание
Архитектура
  • Какви са основните конструкции и концепции на Power Apps, Power Automate и Microsoft Dataverse?

  • Как тези конструкции се напасват помежду си при проектиране и по време на изпълнение?
Защита
  • Какви са най-добрите практики за съображения за проектиране на защитата?

  • Как да използвам нашите съществуващи решения за управление на потребители и групи за управление на достъп и права за достъп в Power Apps?
Предупреждение и действие
  • Как да дефинирам модела на управление между разработчици любители и управлявани ИТ услуги?

  • Как да дефинирам модела на управление между централния ИТ отдел и администраторите на бизнес звената?

  • Как да подходя към поддръжката за среди, които не са по подразбиране в моята организация?
Мониторинг
  • Как снемаме данни за съответствие/проверки?

  • Как мога да измеря усвояването и използването в моята организация?

Архитектура

Най-добре е да се запознаете със средите като първа стъпка към изграждането на правилния сценарий за управление за фирмата. Средите са контейнерите за всички ресурси, използвани от Power Apps, Power Automate и Dataverse. Прегледът на средите е добър пример, който трябва да бъде последван от Какво е Dataverse?, Типове Power Apps, Microsoft Power AutomateКонектори и Локални шлюзове.

Защита

Този раздел очертава механизми, които съществуват за контрол на това кой има достъп Power Apps в дадена среда и достъп до данни: лицензи, среди, роли в средата, Microsoft Entra ИД, правила за предотвратяване на загуба на данни и администраторски конектори, с Power Automate които могат да се използват.

Лицензиране

Достъпът до Power Apps и Power Automate започва с притежаването на лиценз. Типът лиценз, който потребителят има, определя активите и данните, до които потребителят има достъп. Следващата таблица представя от високо ниво разликите в ресурсите, налични за потребителя според неговия тип план. Повече подробности за лицензирането могат да бъдат намерени в Преглед на лицензирането.

План Описание
Microsoft 365 включително Позволява потребителите да разширяват SharePoint и други активи на Office, които вече имат.
Dynamics 365 включително Това позволява на потребителите да персонализират и разширяват приложенията за ангажиране на клиенти (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), те вече имат.
План за Power Apps Позволява:
  • предоставяне на достъп за употреба на фирмени конектори и Dataverse.
  • потребителите да използват надеждна бизнес логика в различните типове приложения и възможности за администриране.
Общност на Power Apps Това позволява на потребителя да използва Power Apps и Power Automate Dataverse персонализирани конектори в един за индивидуална употреба. Няма възможност за споделяне на приложения.
Power Automate безплатно Това позволява на потребителите да създават неограничени потоци и да правят 750 изпълнения.
План за Power Automate Вижте Ръководство за лицензиране на Microsoft Power Apps и Microsoft Power Automate.

Среди

След като потребителите имат лицензи, средите съществуват като контейнери за всички ресурси, използвани от Power Apps, Power Automate и Dataverse. Средите могат да се използват за насочване към различни аудитории и/или за различни цели като разработване, тестване и производство. Повече информация можете да намерите в Преглед на средите.

Защита на вашите данни и мрежа

  • Power Apps и Power Automate не предоставят на потребителите достъп до активи от данни, до които все още нямат достъп. Потребителите трябва да имат достъп само до данни, до които наистина се нуждаят от достъп.
  • Правилата за контрол на мрежовия достъп също могат да се прилагат за Power Apps и Power Automate. За средата човек може да блокира достъпа до сайт от мрежа, като блокира страницата за влизане, за да забрани създаването на връзки към този сайт в Power Apps и Power Automate.
  • В среда достъпът се контролира на три нива: Роли на среда, Разрешения за ресурси за Power Apps, Power Automate и т.н. и роли на защита на Dataverse (ако Dataverse база данни е осигурена).
  • Когато Dataverse се създава в среда, Dataverse ролите поемат контрола на защитата в средата (и всички администратори и създатели на среда се мигрират).

Следните принципи се поддържат за всеки тип роля.

Тип среда Role Основен тип (Microsoft Entra ID)
Среда без Dataverse Роля в среда Потребител, група, клиент
Разрешение за ресурс: приложение на платно Потребител, група, клиент
Разрешение за ресурс: Power Automate, персонализиран конектор, шлюзове, връзки 1 Потребител, група
Среда с Dataverse Роля в среда User
Разрешение за ресурс: приложение на платно Потребител, група, клиент
Разрешение за ресурс: Power Automate, персонализиран конектор, шлюзове, връзки 1 Потребител, група
Роля в Dataverse (важи за всички управлявани от модели приложения и компоненти) Потребители

1Само определени връзки (като SQL) могат да бъдат споделени.

Бележка

  • В средата по подразбиране всички потребители в клиент получават достъп до ролята на създател на средата.
  • Потребителите с Power Platform роля на администратор имат администраторски достъп до всички среди.

Често задавани въпроси - Какви разрешения съществуват на Microsoft Entra ниво клиент?

Днес, Microsoft Power Platform администраторите могат да направят следното:

  1. Изтегляне на отчет за лицензи за Power Apps и Power Automate
  2. Създаване на правила за DLP, разработени да обхващат само „Всички среди“ или да включват/изключват конкретни среди
  3. Управление и присвояване на лицензи чрез центъра за администриране на Office
  4. Достъп до всички възможности за управление на среда, приложенията и потока за всички среди в клиента, достъпни чрез:
    • Кратки команди на PowerShell за администриране на Power Apps
    • Конектори за управление на Power Apps
  5. Достъп до административни анализи на Power Apps и Power Automate за всички среди в клиента:

Съображения за Microsoft Intune

Клиентите с Microsoft Intune могат да задават правила за защита на мобилни приложения както Power Apps Power Automate за приложенията, така и за приложенията. Android iOS Това кратко ръководство обръща внимание на определянето на правила чрез Intune за Power Automate.

Съображения за базиран на местоположението условен достъп

За клиенти с Microsoft Entra ID P1 или P2 правилата за условен достъп могат да бъдат дефинирани в Azure за Power Apps и Power Automate. Това позволява предоставяне или блокиране на достъп въз основа на: потребител/група, устройство, местоположение.

Създаване на правила за условен достъп

  1. Влезте в https://portal.azure.com.
  2. Изберете Условен достъп.
  3. Изберете + Нова политика.
  4. Изберете избрани потребители и групи.
  5. Изберете Всички облачни приложения>Всички облачни приложения>Common Data Service за контрол на достъпа до приложения за ангажиране на клиенти.
  6. Приложете условия (риск на потребителя, платформи на устройства, местоположения).
  7. Изберете Създаване.

Предотвратяване на изтичане на данни с правила за защита от загуба на данни

Правилата за предотвратяване на загуба на данни (DLP) налагат правила, за които конекторите могат да се използват заедно, като класифицират конекторите като само бизнес данни или не са разрешени бизнес данни. С две думи, ако поставите конектор в групата само за бизнес данни, той може да се използва само с други съединители от тази група в същото приложение. Администраторите на Power Platform могат да дефинират правила, които се прилагат за всички среди.

ЧЗВ

Въпрос: Мога ли да контролирам на ниво клиент кой конектор изобщо е наличен, например „Не” на Dropbox или Twitter, но „Да” на SharePoint?

О: Това е възможно, като използвате класификация на конекторите възможности и присвояване на Блокиран класификатор към един или повече конектори, които искате да не използвате. Има набор от конектори, които не могат да бъдат блокирани.

В.: Какво ще кажете за споделянето на конектори между потребителите? Например съединителят за Teams е общ, който може да се споделя?

О: Конекторите са достъпни за всички потребители, с изключение на премиум или персонализирани конектори, които се нуждаят или от друг лиценз (премиум конектори), или трябва да бъдат изрично споделени (персонализирани конектори)

Предупреждение и действие

В допълнение към наблюдението, много клиенти искат да се абонират за създаване, използване или здравни събития на софтуер, за да знаят кога да извършат дадено действие. Този раздел представя няколко начина за наблюдение на събития (ръчно и програмно) и извършване на действия, задействани от възникване на събитие.

Създаване на потоци в Power Automate за предупреждение за основни събития за проверка

  1. Пример за предупреждение, което може да бъде реализирано, е абониране за регистрационни файлове за проверки за защита и съответствие на Microsoft 365.
  2. Това може да бъде постигнато или чрез абонамент за уеб обратно повикване, или чрез подход с обхождане. Чрез прикрепване на Power Automate към тези предупреждения обаче можем да предоставим на администраторите повече от известия по имейл.

Създаване на необходимите правила с Power Apps, Power Automate и PowerShell

  1. Тези кратки команди на PowerShell предоставят целия контрол в ръцете на администраторите за автоматизиране на необходимите правила за управление.
  2. Конекторите Power Platform for Admins V2 (Preview) и Power Automate Management осигуряват същото ниво на контрол, но с допълнителна разширяемост и лекота на използване чрез използване Power Apps на и Power Automate.
  3. Прегледайте Power Platform най-добрите практики за администриране и управление и помислете за създаване на стартовия комплект на Центъра за върхови постижения (CoE).
  4. Използвай този шаблон за блог и приложение набийте бързо на конекторите за администриране.
  5. Освен това си струва да проверите съдържанието, споделено в галерията за приложения на общността, което е още един пример за административен опит, натрупан чрез използване на Power Apps и конекторите за администриране.

ЧЗВ

Проблем В момента всички потребители с лицензи за Microsoft E3 могат да създават приложения в средата по подразбиране. Как можем да разрешим например правата за създаване на среда на избрана група. Десет души за създаване на приложения?

Препоръка

Кратките команди и конекторите за управление на PowerShell предоставят пълна гъвкавост и контрол на администраторите за изграждане на правилата, които искат за своята организация.

Мониторинг

Добре известно е, че мониторингът е критичен аспект от управлението на софтуера в мащаб. Този раздел подчертава няколко начина за получаване на представа Power Apps , Power Automate разработка и употреба.

Преглед на регистъра за проверка

Регистрирането на дейности за Power Apps е интегрирано с центъра за защита и съответствие на Office за цялостно регистриране в услуги на Microsoft като Dataverse и Microsoft 365. Office предоставя API за заявка на тези данни, който в момента се използва от много доставчици на SIEM, за да използват данните за регистриране на дейностите за отчитане.

Вижте лицензионен доклад за Power Apps и Power Automate

  1. Отидете в центъра за администриране на Power Platform.

  2. Изберете анализ>Power Automate или Power Apps.

  3. Преглед на административен анализ за Power Apps и Power Automate

    Можете да получите информация за следните:

    • Активни потребители и използване на приложения – колко потребители използват дадено приложение и колко често?
    • Местоположение – къде е използването?
    • Работа на услугата на конекторите
    • Отчитане на грешки – кои са най-податливите на грешки приложения
    • Използвани потоци по тип и дата
    • Създадени потоци по тип и дата
    • Проверка на ниво приложение
    • Работно състояние на услугата
    • Използвани съединители

Вижте какви потребители са лицензирани

Винаги можете да разгледате лицензирането на отделни потребители в административния център на Microsoft 365, като пробиете конкретни потребители.

Можете също да използвате следната команда на PowerShell, за да експортирате назначени лицензи на потребители.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Експортира всички назначени лицензи за потребители (Power Apps и Power Automate) във вашия клиент в .csv файл с табличен изглед. Експортираният файл съдържа както вътрешни пробни планове за регистрация на самообслужване, така и планове, които са получени от Microsoft Entra ИД. Вътрешните пробни планове не са видими за администраторите в административния център на Microsoft 365.

Износът може да отнеме известно време за клиенти с голям брой потребители на Power Platform.

Преглед на ресурси на приложението, използвани в дадена среда

  1. В центъра за администриране на Power Platform изберете „Среди“ в менюто за навигация.
  2. Изберете среда.
  3. По желание списъкът с ресурси, използвани в дадена среда, може да бъде изтеглен като .csv.