Bendrinti naudojant

Saugumo ir valdymo aspektai Power Platform

  • Straipsnis

Pastaba.

Naujas ir patobulintas Power Platform administravimo centras dabar yra viešoje peržiūroje! Sukūrėme naująjį administravimo centrą, kad jį būtų lengviau naudoti su į užduotis orientuotu naršymu, kuris padeda greičiau pasiekti konkrečių rezultatų. Publikuosime naujus ir atnaujintus dokumentus, kai naujasis Power Platform administravimo centras taps visuotinai pasiekiamas.

Daug klientų klausia, kaip įjungti Power Platform platesnį naudojimą verslo poreikiais ir jų IT palaikymą? Tai daroma naudojant valdymą. Taikant valdymą, siekiama verslo grupėms sudaryti sąlygas veiksmingai spręsti verslo problemas, tuo pat metu laikantis IT ir verslo atitikties standartų. Toliau pateikiamas turinys skirtas temoms, dažnai siejamoms su valdymo programine įranga, susisteminti ir pristatyti kiekvienos temos galimybes, susijusias su Power Platform.

Tema Dažnai užduodami klausimai apie kiekvieną temą, į kuriuos atsakoma turinyje
Architektūra
  • Kokios yra pagrindinės „Power Apps“, „Power Automate“ ir „Microsoft Dataverse“ konstrukcijos ir koncepcijos?

  • Kaip šios konstrukcijos dera tarpusavyje kuriant ir vykdant?
Sauga
  • Kokios geriausios praktikos taikytinos siekiant užtikrinti saugą?

  • Kaip naudoti esamus vartotojų ir grupių valdymo sprendimus prieigos ir saugos vaidmenims valdyti Power Apps?
Įspėjimas ir veiksmas
  • Kaip apibrėžti valdymo modelį, taikomą piliečiams kūrėjams ir valdomam IT aptarnavimui?

  • Kaip apibrėžti valdymo modelį, taikomą centro IT ir verslo vieneto administratoriams?

  • Kaip kreiptis pagalbos dėl nenumatytųjų aplinkų organizacijoje?
Stebėjimas
  • Kaip fiksuojame atitikties / audito duomenis?

  • Kaip įvertinti pratinimą ir naudojimą organizacijoje?

Architektūra

Jei norite sukurti tinkamą įmonės valdymo istoriją, patartina susipažinti su aplinkomis kuo anksčiau. Aplinkos yra visų išteklių, kuriuos naudoja „Power Apps”, „Power Automate” ir „Dataverse”, talpyklos. Aplinkų apžvalga yra geras gruntas, po kurio turėtų sekti Kas yra Dataverse?, Tipai Power Apps, Microsoft Power Automate Jungtys ir Vietiniai šliuzai.

Sauga

Šiame skyriuje aprašomi mechanizmai, skirti kontroliuoti, kas gali pasiekti Power Apps aplinką ir pasiekti duomenis: licencijos, aplinkos, aplinkos vaidmenys, Microsoft Entra ID, duomenų praradimo prevencijos strategijos ir administravimo jungtys, su Power Automate kuriomis galima naudoti.

Licencijavimas

Prieiga prie „Power Apps” ir „Power Automate” prasideda nuo licencijos turėjimo. Vartotojo licencijos tipas apibrėžia turtą ir duomenis, kuriuos vartotojas gali pasiekti. Toliau pateikiamoje lentelėje aprašyti vartotojui prieinamų išteklių skirtumai pagal jo plano tipą, pradedant nuo aukšto lygiu. Išsamios licencijavimo informacijos ieškokite skyriuje Licencijavimo apžvalga.

Planas Aprašas
Įtrauktas „Microsoft 365“ Tai suteikia vartotojams galimybę išplėsti jau turimą „SharePoint“ ir kitą „Office“ turtą.
Įtraukta „Dynamics 365“ Tai leidžia vartotojams tinkinti ir išplėsti „klientų įtraukimo” programas („Dynamics 365 Sales”, „Dynamics 365 Customer Service”, „Dynamics 365 Field Service, „Dynamics 365 Marketing” ir „Dynamics 365 Project Service Automation”), kurias jie jau turi.
„Power Apps” planas Turint šį planą, galima:
  • suteikti prieigą prie įmonės jungčių ir „Dataverse“;
  • vartotojai gali naudoti patikimą verslo logiką skirtingų tipų programose ir administravimo galimybėse.
„Power Apps“ bendruomenė Tai leidžia vartotojui naudoti Power Apps Power Automate Dataverse ir pasirinktines jungtis viename asmeniniam naudojimui. Nėra galimybės bendrinti programas.
„Power Automate“ nemokamai Tai leidžia vartotojams kurti neribotus srautus ir atlikti 750 vykdymų.
„Power Automate” planas Žiūrėkite „Microsoft Power Apps” ir „Microsoft Power Automate” licencijavimo vadovas.

Aplinkos

Kai vartotojai turi licencijas, aplinkos yra kaip visų „Power Apps”, „Power Automate” ir „Dataverse” naudojamų išteklių talpyklos. Aplinkos gali būti naudojamos skirtingoms auditorijoms ir (arba) skirtingiems tikslams, pvz., kūrimui, testavimui ir gamybai. Daugiau informacijos pateikiama skyriuje Aplinkų apžvalga.

Duomenų ir tinklo apsauga

  • Power Apps ir Power Automate nesuteikite naudotojams prieigos prie jokių duomenų išteklių, prie kurių jie dar neturi prieigos. Vartotojams turėtų būti suteikiama prieiga tik prie tų duomenų, kurių jiems tikrai reikia.
  • Tinklo prieigos valdymo strategijos taip pat gali būti taikomos „Power Apps“ ir „Power Automate“. Aplinkoje galima blokuoti prieigą prie svetainės iš tinklo, blokuojant prisijungimo puslapį, kad su svetaine nebūtų galima susisiekti naudojant „Power Apps“ ir „Power Automate“.
  • Aplinkoje prieiga yra valdoma trimis lygiais: Aplinkos vaidmenys, Išteklių teisės, skirtos „Power Apps”, „Power Automate” ir kt., bei „Dataverse” saugos vaidmenys (jei sukonfigūruota „Dataverse” duomenų bazė).
  • Kai Dataverse sukuriama aplinkoje, Dataverse vaidmenys perima aplinkos saugos valdymą (ir visi aplinkos administratoriai ir kūrėjai perkeliami).

Palaikomi toliau pateikiami vaidmenų tipų nariai.

Aplinkos tipas Role Pagrindinis tipas (Microsoft Entra ID)
Aplinka, kurioje nėra „Dataverse“ Aplinkos vaidmuo Vartotojas, grupė, nuomotojas
Ištekliaus teisė: drobės programa Vartotojas, grupė, nuomotojas
Ištekliaus teisė: „Power Automate“, pasirinktinė jungtis, šliuzai, ryšiai1 Vartotojas, grupė
Aplinka, kurioje yra Dataverse Aplinkos vaidmuo Vartotojas
Ištekliaus teisė: drobės programa Vartotojas, grupė, nuomotojas
Ištekliaus teisė: „Power Automate“, pasirinktinė jungtis, šliuzai, ryšiai1 Vartotojas, grupė
„Dataverse“ vaidmuo (taikomas visoms modeliu grįstoms programoms ir komponentams) User

1 Galima bendrinti tik tam tikrus ryšius (pvz., SQL).

Pastaba.

  • Numatytoje aplinkoje visiems nuomotojo vartotojams suteikiama prieiga prie vaidmens Aplinkų kūrėjas.
  • Vartotojai, turintys administratoriaus vaidmenį, Power Platform turi administratoriaus prieigą prie visų aplinkų.

DUK - Kokios teisės galioja nuomotojo Microsoft Entra lygiu?

Šiuo metu „Microsoft Power Platform” administratoriai gali atlikti šiuos veiksmus:

  1. Atsisiųsti „Power Apps“ ir „Power Automate“ licencijos ataskaitą
  2. Kurti DLP strategiją, aprėpiančią tik „Visas aplinkas“ arba konkrečias aplinkas, kurias galima įtraukti arba neįtraukti
  3. Valdyti ir priskirti licencijas „Office“ administravimo centre
  4. Pasiekite visas aplinkas, programas ir srauto valdymo galimybes visose nuomotojo aplinkose, pasiekiamose:
    • „Power Apps“ administravimo „PowerShell“ „cmdlet“
    • „Power Apps“ valdymo jungtys
  5. Turėti prieigą prie „Power Apps“ ir „Power Automate“ administravimo analizės visose nuomotojo aplinkose:

„Microsoft Intune“ aptarimas

Klientai, turintys "Microsoft Intune", gali nustatyti mobiliųjų programų apsaugos strategijas abiem ir Power Apps programoms Power Automate , esančioms Android ir iOS. Šioje apžvalgoje aprašomas strategijos nustatymas naudojant „Intune“, skirtą „Power Automate“.

Vieta pagrįstos sąlyginės prieigos aptarimas

Klientams, turintiems Microsoft Entra ID P1 arba P2, sąlyginės prieigos strategijas galima apibrėžti "Azure", skirtoje Power Apps ir Power Automate. Taip galima suteikti arba blokuoti prieigą, remiantis vartotoju / grupe, įrenginiu, vieta.

Sąlyginės prieigos strategijos kūrimas

  1. Prisijunkite prie https://portal.azure.com.
  2. Pasirinkite Sąlyginė prieiga.
  3. Pasirinkite + Nauja strategija.
  4. Pasirinkite pasirinktus vartotojus ir grupes.
  5. Pasirinkite Visos debesies programos>Visos debesies programos>„Common Data Service“, kad valdytumėte prieigą prie „Customer Engagement“ programų.
  6. Pritaikykite sąlygas (vartotojo riziką, įrenginio platformos ir vietos).
  7. Pasirinkite Kurti.

Duomenų nutekėjimo prevencija naudojant duomenų praradimo prevencijos strategijas

Duomenų praradimo prevencijos strategijos (DLP) įgalina taisykles, pagal kurias jungtis galima naudoti kartu, klasifikuojant jungtis kaip tik verslo duomenis arba neleidžiama naudoti jokių verslo duomenų. Trumpai tariant, jei įtraukėte jungtį į tik verslo duomenims skirtą grupę, jungtį galima naudoti tik su tos pačios grupės jungtimis toje pačioje programoje. „Power Platform” administratoriai gali apibrėžti strategijas, taikomas visose aplinkose.

DUK

K: Ar galiu nuomotojo lygiu kontroliuoti, kuri jungtis yra pasiekiama, pavyzdžiui, „Ne” į „Dropbox” arba „Twitter”, bet „Taip” į „SharePoint”?

A: Tai įmanoma naudojant jungčių klasifikacijos pajėgumus ir priskiriant Blokuotą klasifikatorių vienai ar daugiau jungčių, kurių nenorite naudoti. Yra jungčių, kurių negalima užblokuoti, rinkinys.

Klausimas: ar vartotojai gali bendrinti jungtis? Pavyzdžiui, „Teams” jungtis yra bendra, kurią galima bendrinti?

A: Jungtys yra prieinamos visiems vartotojams, išskyrus aukščiausios kokybės arba pasirinktines jungtis, kurioms reikia kitos licencijos (aukščiausios kokybės jungtys) arba kurias reikia aiškiai bendrinti (pasirinktinės jungtys)

Įspėjimas ir veiksmas

Be stebėjimo, daugelis klientų nori užsiprenumeruoti programinės įrangos kūrimą, naudojimą ar sveikatos įvykius, kad žinotų, kada atlikti veiksmą. Šiame skyriuje aprašomos kelios priemonės, skirtos stebėti įvykius (rankiniu būdu ir programiškai), ir atlikti veiksmus, kuriuos suaktyvino įvykis.

„Power Automate“ srautų, skirtų pranešti apie pagrindinius tikrinimo įvykius, kūrimas

  1. Įspėjimo, kurį galima sukurti, pavyzdys būtų „Microsoft 365“ saugos ir atitikties tikrinimo žurnalų prenumeravimas.
  2. Tai daroma užsiprenumeravus „Webhook“ arba naudojant apklausų metodą. Tačiau, prijungdami „Power Automate“ prie šių įspėjimų, administratoriams galime pateikti daugiau nei tiesiog el. pašto įspėjimus.

Kurkite reikiamas strategijas naudodami „Power Apps“, „Power Automate“ ir „PowerShell“

  1. Šie „PowerShell“ „cmdlet“ administratoriams suteikia visišką kontrolę, kad būtinos valdymo strategijos būtų automatizuotos.
  2. V2 Power Platform for Admins (peržiūros) ir Power Automate valdymo jungtys suteikia tą patį valdymo lygį, tačiau padidina išplečiamumą ir patogumą naudoti ir Power Apps Power Automate.
  3. Power Platform Peržiūrėkite geriausią administravimo ir valdymo praktiką ir apsvarstykite galimybę sukurti kompetencijos centro (CoE) pradinį rinkinį.
  4. Naudodami šį tinklaraštį ir programos šabloną galite greitai naudoti administravimo jungtis.
  5. Be to, verta susipažinti su turiniu, bendrinamu Bendruomenės programų galerijoje; štai dar vienas administravimo patirties, sukurtos naudojant „Power Apps“ ir administravimo jungtis, pavyzdys.

DUK

Problema Šiuo metu visi vartotojai, turintys "Microsoft E3" licencijas, gali kurti programas numatytojoje aplinkoje. Kaip galime įjungti aplinkos kūrėjo teises, pavyzdžiui, pasirinktos grupės. Dešimt asmenų, kurie kurs programėles?

Rekomendacija

" PowerShell" cmdlet ir valdymo jungtys suteikia administratoriams visišką lankstumą ir kontrolę, kad jie galėtų kurti strategijas, kurių jie nori savo organizacijoje.

Stebėjimo priemonė

Gerai suprantama, kad stebėjimas yra kritinis programinės įrangos valdymo dideliu mastu aspektas. Šiame skyriuje pabrėžiamos kelios priemonės, kaip gauti įžvalgų, Power Apps Power Automate kūrimo ir naudojimo.

Įrašo sekimo peržiūra

Veiklos registravimas Power Apps yra integruotas su "Office" saugos ir atitikties centru, kad būtų galima išsamiai registruoti "Microsoft" paslaugas, pvz., Dataverse ir Microsoft 365. „Office“ pateikia API, kad galėtų pateikti užklausas dėl šių duomenų, kuriuos šiuo metu naudoja daug SIEM tiekėjų, kad galėtų naudoti veiklos registravimo duomenis ataskaitoms pateikti.

„Power Apps” ir „Power Automate” licencijos ataskaitos peržiūra

  1. Eikite į „Power Platform“ administravimo centrą.

  2. Pasirinkite Analizė>„Power Automate“ arba „Power Apps“.

  3. „Power Apps“ ir „Power Automate“ administravimo analizės peržiūra

    Galite gauti informacija apie šiuos dalykus:

    • Aktyvieji vartotojai ir programų naudojimas – kiek vartotojų naudoja programą ir kaip dažnai?
    • Vieta – kur naudojama?
    • Jungčių aptarnavimo efektyvumas
    • Klaidų ataskaitos – kuriose programose dažniausiai pasitaiko klaidų
    • Naudojami srautai, suskirstyti pagal tipą ir datą
    • Sukurti srautai, suskirstyti pagal tipą ir datą
    • Tikrinimas programų lygiu
    • Aptarnavimo būsena
    • Naudojamos jungtys

Peržiūrėkite, kokie vartotojai turi licencijas

Visada galite patikrinti konkretaus vartotojo licencijavimą „Microsoft 365“ administravimo centre, detalizuodami iki konkrečių vartotojų.

Taip pat galite naudoti „PowerShell“ komandą priskirtoms vartotojo licencijoms eksportuoti.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportuoja visas priskirtas vartotojo licencijas („Power Apps“ ir „Power Automate“) į Jūsų nuomotojo lentelės formos rodinio .csv failą. Eksportuotame faile yra ir savitarnos registracijos vidiniai bandomieji planai, ir planai, gauti iš Microsoft Entra ID. Vidiniai bandomieji planai nėra matomi administratoriams „Microsoft 365“ administravimo centre.

Nuomotojams, turintiems didelį „Power Platform“ vartotojų skaičių, eksportavimas gali užtrukti.

Aplinkoje naudojamų programų išteklių peržiūra

  1. „Power Platform“ administravimo centro naršymo meniu pasirinkite Aplinkos.
  2. Pasirinkite aplinką.
  3. Pasirinktinai aplinkoje naudojamų išteklių sąrašą galima atsisiųsti kaip .csv.