Comparteix a través de

Consideracions de seguretat i governança en Power Platform

  • Article

Nota

El centre Power Platform d'administració nou i millorat ja està en versió preliminar pública. Hem dissenyat el nou centre d'administració perquè sigui més fàcil d'utilitzar, amb una navegació orientada a tasques que us ajuda a aconseguir resultats específics més ràpidament. Publicarem documentació nova i actualitzada a mesura que el nou Power Platform centre d'administració passi a la disponibilitat general.

Alguns clients es pregunten com es pot fer que el Power Platform estigui disponible per al seu negoci més ampli i admesos per TI. La governança és la resposta. El seu objectiu és permetre que els grups empresarials es centrin en la solució de problemes empresarials de manera eficaç al complir amb els estàndards de TI i compliment de l'empresa. El contingut següent té com a objectiu estructurar temes que sovint s'associen amb el programari de governança i donar a conèixer les opcions disponibles per a cada tema pel que fa a la governança al Power Platform.

Tema Preguntes habituals relacionades amb cada tema que respon aquest contingut
Arquitectura
  • Quines són les construccions i els conceptes bàsics del Power Apps, Power Automate i Microsoft Dataverse?

  • Com encaixen aquestes construccions en el moment de disseny i d'execució?
Seguretat
  • Quines són les pràctiques recomanades per a les consideracions de disseny de seguretat?

  • Com puc utilitzar les nostres solucions d'administració d'usuaris i grups existents per gestionar les funcions d'accés i seguretat Power Apps?
Alerta i acció
  • Com es defineix el model de governança entre desenvolupadors ciutadans i els serveis de TI gestionats?

  • Com es defineix el model de governança entre les els administradors de TI centrals i de les unitats de negoci?

  • Com hauria d'enfocar la implementació dels entorns personalitzats a la meva organització?
Supervisió
  • Com s'estan capturant les dades de compliment/auditoria?

  • Com puc mesurar l'adopció i l'ús dins de la meva organització?

Arquitectura

El millor és familiaritzar-se amb els entorns com a primer pas per construir la història de gestió adequada per a la vostra empresa. Els entorns són els contenidors de tots els recursos utilitzats per un Power Apps, Power Automate i Dataverse. La visió general dels entorns és una bona introducció , que hauria d'anar seguida de Què és Dataverse?, Tipus de Power Apps, Microsoft Power Automate, Connectors i passarel·les locals.

Seguretat

Aquesta secció descriu els mecanismes que existeixen per controlar qui pot accedir Power Apps a un entorn i accedir a les dades: llicències, entorns, rols d'entorn, Microsoft Entra ID, polítiques de prevenció de pèrdua de dades i connectors d'administració amb Power Automate els quals es poden utilitzar.

Llicències

L'accés al Power Apps i el Power Automate comença per tenir una llicència. El tipus de llicència que un usuari té determina els actius i les dades als quals pot accedir. A la taula següent es descriuen les diferències en els recursos disponibles per a un usuari segons el tipus de pla, des d'un alt nivell. Els detalls de les llicències més complets es poden trobar a Resum de les llicències.

Pla Descripció
Microsoft 365 inclòs Això permet que els usuaris ampliïn el SharePoint i altres recursos de l'Office que ja tenen.
Dynamics 365 inclòs Això permet que els usuaris personalitzin i ampliïn les aplicacions d'interacció amb el client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation) que ja tenen.
Pla del Power Apps Això permet:
  • Fer els connectors empresarials i el Dataverse accessibles per a l'ús.
  • Que els usuaris utilitzin una lògica empresarial robusta en tots els tipus d'aplicacions i capacitats d'administració.
Power Apps Community Això permet a l'usuari utilitzar Power Apps Power Automate Dataverse connectors personalitzats en un sol ús individual. No hi ha capacitat per compartir aplicacions.
Power Automate gratuït Això permet als usuaris crear fluxos il·limitats i fer 750 execucions.
Pla del Power Automate Vegeu la Guia de llicències del Microsoft Power Apps i el Microsoft Power Automate.

Entorns

Un cop els usuaris tenen llicències, existeixen entorns com a contenidors per a tots els recursos utilitzats al Power Apps, el Power Automate i el Dataverse. Els entorns es poden utilitzar per dirigir-se a diferents públics i/o per a diferents propòsits, com ara desenvolupament, proves i producció. Podeu trobar més informació a Descripció general dels entorns.

Protegiu les dades i la xarxa

  • Power Apps i Power Automate no proporcioneu als usuaris accés a cap actiu de dades al qual encara no tinguin accés. Els usuaris només han de tenir accés a les dades a les que realment requereixen l'accés.
  • Les normes de control d'accés de xarxa també es poden aplicar al Power Apps i el Power Automate. Per a l'entorn, es pot bloquejar l'accés a un lloc des d'una xarxa mitjançant el bloqueig de la pàgina d'inici de sessió per evitar que es creïn connexions al lloc al Power Apps i el Power Automate.
  • En un entorn, l'accés es controla en tres nivells: Funcions de l'entorn, Permisos de recursos per al Power Apps, el Power Automate, etc. i funcions de seguretat del Dataverse (si s'ha proveït una base de dades del Dataverse).
  • Quan Dataverse es crea en un entorn, els Dataverse rols prenen el relleu per controlar la seguretat a l'entorn (i es migren tots els administradors i creadors de l'entorn).

Les entitats amb seguretat assignada següents s'admeten per a cada tipus de funció.

Tipus d’entorn Funció Tipus de principal (Microsoft Entra ID)
Entorn sense el Dataverse Funció de l'entorn Usuari, grup, inquilí
Permís de recursos: aplicació del llenç Usuari, grup, inquilí
Permís de recursos Power Automate:, connector personalitzat, passarel·les, connexions1 Usuari, grup
Entorn amb Dataverse Funció de l'entorn User
Permís de recursos: aplicació del llenç Usuari, grup, inquilí
Permís de recursos Power Automate:, connector personalitzat, passarel·les, connexions1 Usuari, grup
Funció del Dataverse (s'aplica a totes les aplicacions i components basats en models) User

1Només es poden compartir certes connexions (com ara l'SQL).

Nota

  • En l'entorn per defecte, es concedirà a tots els usuaris d'un inquilí accés a la funció de fabricant de l'entorn.
  • Els usuaris amb la funció d'administrador tenen accés d'administrador Power Platform a tots els entorns.

Preguntes freqüents: quins permisos existeixen a nivell d'inquilí Microsoft Entra ?

Avui, els administradors del Microsoft Power Platform poden fer les accions següents:

  1. Baixar l'informe de llicència del Power Apps i el Power Automate
  2. Crear una norma DLP enfocada només a "Tots els entorns" o enfocada a incloure o excloure entorns específics
  3. Administrar i assignar llicències mitjançant el centre d'administració de l'Office
  4. Accediu a totes les funcionalitats d'administració de l'entorn, de l'aplicació i del flux per a tots els entorns de l'inquilí disponibles mitjançant:
    • Cmdlets del PowerShell de l'administrador del Power Apps
    • Connectors de gestió del Power Apps
  5. Accediu a l'anàlisi d'administració del Power Apps i el Power Automate per a tots els entorns de l'inquilí:

Considereu el Microsoft Intune

Els clients amb el Microsoft Intune poden definir normes de protecció d'aplicacions mòbils per a les aplicacions Power Apps Power Automate i les aplicacions en Android i iOS. Aquest tutorial destaca la definició d'una norma mitjançant l'Intune per al Power Automate.

Considereu l'accés condicional basat en la ubicació

Per als clients amb Microsoft Entra ID P1 o P2, les normes d'accés condicional es poden definir a l'Azure per a Power Apps i Power Automate. Això permet concedir o bloquejar l'accés segons: usuari/grup, dispositiu, ubicació.

Crear una norma d'accés condicional

  1. Inicieu la sessió a https://portal.azure.com.
  2. Seleccioneu Accés condicional.
  3. Seleccioneu + Norma nova.
  4. Seleccioneu els usuaris i grups seleccionats.
  5. Seleccioneu Totes les aplicacions al núvol>Totes les aplicacions al núvol>Common Data Service per controlar l'accés a les aplicacions del Customer Engagement.
  6. Aplicar condicions (risc d'usuari, plataformes de dispositius, ubicacions).
  7. Seleccioneu Crea.

Eviteu fuites de dades amb normes de prevenció de pèrdua de dades

Les polítiques de prevenció de pèrdua de dades (DLP) apliquen regles per a les quals els connectors es poden utilitzar junts classificant els connectors com a Només dades empresarials o No es permeten dades empresarials. Simplement, si poseu un connector al grup només de dades de l'empresa, només es pot utilitzar amb altres connectors d'aquest grup a la mateixa aplicació. Els administradors del Power Platform poden definir les normes que s'apliquen a tots els entorns.

PREGUNTES MÉS FREQÜENTS

P: Puc controlar, al nivell d'inquilí, quin connector està disponible, per exemple No a Dropbox o Twitter, però Sí a SharePoint?

R: Això és possible utilitzant les capacitats de classificació dels connectors i assignant el classificador Bloquejat a un o més connectors que voleu evitar que s'utilitzin. Hi ha un conjunt de connectors que no es poden bloquejar.

P: Què passa amb l'ús compartit de connectors entre usuaris? Per exemple, el connector del Teams és un connector general que es pot compartir?

R: Els connectors estan disponibles per a tots els usuaris, excepte els connectors premium o personalitzats, que necessiten una altra llicència (connectors premium) o s'han de compartir explícitament (connectors personalitzats)

Alerta i acció

A més de la supervisió, molts clients volen subscriure's a esdeveniments de creació, ús o salut de programari perquè sàpiguen quan realitzar una acció. Aquesta secció descriu unes quantes maneres d'observar esdeveniments (manualment i programàticament) i dur a terme accions provocades per l'ocurrència d'un esdeveniment.

Crear fluxos del Power Automate per alertar en esdeveniments clau de l'auditoria

  1. Un exemple d'alerta que es pot implementar és subscriure's a registres d'auditoria de seguretat i compliment de l'Microsoft 365.
  2. Això es pot aconseguir a través d'una subscripció al webhook o un enfocament de sondeig. No obstant, si adjunteu el Power Automate a aquestes alertes, podem proporcionar als administradors més que simplement alertes per correu electrònic.

Crear les normes que necessiteu amb el Power Apps, el Power Automate i el PowerShell

  1. Aquests cmdlets del PowerShell situen el control total en mans dels administradors per automatitzar les normes de governança necessàries.
  2. Els Power Platform for Admins connectors V2 (Preview) i Management Power Automate proporcionen el mateix nivell de control, però amb una extensibilitat i facilitat d'ús afegides mitjançant l'ús Power Apps de and Power Automate.
  3. Reviseu les pràctiques Power Platform recomanades d'administració i governança i considereu la possibilitat de configurar el kit d'inici delcentre d'excel·lència (CoE).
  4. Utilitzeu aquesta plantilla de blog i d'aplicació per posar-vos al dia amb rapidesa sobre connectors d'administració.
  5. A més, val la pena donar una ullada al contingut compartit a la Galeria d'aplicacions de la comunitat; aquí teniu un altre exemple d'experiència administrativa creada amb el Power Apps i els connectors d'administració.

PMF

Problema Actualment, tots els usuaris amb llicències de Microsoft E3 poden crear aplicacions a l'entorn per defecte. Com podem habilitar els drets de creador d'entorns a un grup determinat, per exemple. Deu persones per crear apps?

Recomanació

Els cmdlets del PowerShell i els connectors d'administració proporcionen flexibilitat i control totals als administradors per crear les polítiques que volen per a la seva organització.

Supervisió

S'entén bé que la supervisió és un aspecte crític de la gestió del programari a escala. Aquesta secció destaca un parell de mitjans per obtenir informació sobre Power Apps el Power Automate desenvolupament i l'ús.

Revisar la pista d'auditoria

El registre d'activitats s'integra Power Apps amb el centre de seguretat i compliment de l'Office per al registre complet dels serveis de Microsoft com Dataverse i Microsoft 365. L'Office proporciona una API per consultar aquestes dades, que actualment utilitzen molts proveïdors de SIEM per utilitzar les dades del Registre d'activitat per als informes.

Visualitzar l'informe de llicències del Power Apps i el Power Automate

  1. Aneu al Centre d'administració del Power Platform.

  2. Seleccioneu Anàlisi>Power Automate o Power Apps.

  3. Visualitzar l'anàlisi d'administració del Power Apps i el Power Automate

    Podeu obtenir la informació sobre els següents elements:

    • Usuari actiu i ús de l'aplicació: quants usuaris utilitzen una aplicació i amb quina freqüència?
    • Ubicació: on és l'ús?
    • Rendiment del servei dels connectors
    • Informes d'error: quines són les aplicacions més propenses a errors
    • Fluxos en ús per tipus i data
    • Fluxos creats per tipus i data
    • Auditoria a nivell d'aplicació
    • Estat del servei
    • Connectors utilitzats

Veure quins usuaris tenen llicència

Sempre podeu cercar una llicència d'usuari individual al Centre d'administració del Microsoft 365 mitjançant l'exploració amb detall d'usuaris específics.

També podeu utilitzar l'ordre del PowerShell següent per exportar llicències d'usuari assignades.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta totes les llicències d'usuari assignades (Power Apps i Power Automate) a l'inquilí en un fitxer .csv de visualització tabular. El fitxer exportat conté plans de prova interns d'autoservei i plans que provenen de Microsoft Entra l'ID. Els plans de prova interns no estan visibles per als administradors al centre d'administració del Microsoft 365.

L'exportació pot tardar una estona per a inquilins amb un gran nombre d'usuaris del Power Platform.

Visualitzar els recursos de l'aplicació utilitzats en un entorn

  1. Al centre d'administració del Power Platform, seleccioneu Entorns al menú de navegació.
  2. Seleccioneu un entorn.
  3. Opcionalment, la llista de recursos utilitzats en un entorn es pot descarregar com a .csv.