Partajați prin

Considerații de securitate și guvernare în Power Platform

  • Articol

Notă

Noul și îmbunătățit Power Platform Centrul de administrare este acum în previzualizare publică! Am proiectat noul centru de administrare pentru a fi mai ușor de utilizat, cu o navigare orientată către sarcini care vă ajută să obțineți mai rapid rezultate specifice. Vom publica documentație nouă și actualizată pe măsură ce noul Power Platform centru de administrare va trece la disponibilitate generală.

Mulți clienți se întreabă: cum poate Power Platform fi pusă la dispoziție pe scară largă în afacerea lor și să fie susținute de IT? Guvernarea este răspunsul. Acesta își propune să permită grupurilor de afaceri să se concentreze pe soluționarea eficientă a problemelor de afaceri, respectând în același timp standardele IT și de conformitate cu afacerile. Următorul conținut este destinat să structureze teme adesea asociate cu software-ul de guvernare și să conștientizeze capacitățile disponibile pentru fiecare temă în legătură cu guvernarea Power Platform.

Temă Întrebări comune referitoare la fiecare temă la care răspunde acest conținut
Arhitectură
  • Care sunt constructele și conceptele de bază ale Power Apps, Power Automate și Microsoft Dataverse?

  • Cum se potrivesc aceste constructe la timpul de proiectare și la rulare?
Securitate
  • Care sunt cele mai bune practici pentru considerente de proiectare a securității?

  • Cum folosesc soluțiile noastre existente de gestionare a utilizatorilor și a grupurilor pentru a gestiona accesul și rolurile de securitate în Power Apps?
Alertă și acțiune
  • Cum pot defini modelul de guvernanță între dezvoltatorii cetățeni și serviciile IT gestionate?

  • Cum pot defini modelul de guvernanță între administratorii centrali IT și ai unității de afaceri?

  • Cum ar trebui să abordez asistența pentru medii non-implicite din organizația mea?
Monitorizare
  • Cum captăm datele de conformitate/audit?

  • Cum pot măsura adopția și utilizarea în cadrul organizației mele?

Arhitectură

Cel mai bine este să vă familiarizați cu mediul înconjurător ca primul pas pentru construirea poveștii corecte de guvernanță pentru compania dvs. Mediile sunt containerele pentru toate resursele utilizate de o Power Apps, Power Automate și Dataverse. Prezentare generală a mediului este un primer bun, care ar trebui să fie urmat de Ce este Dataverse?, Tipuri de Power Apps, Microsoft Power Automate, Conectori4>, și gateway-uri locale.

Securitate

Această secțiune prezintă mecanismele care există pentru a controla cine poate accesa Power Apps într-un mediu și acces la date: licențe, medii, roluri de mediu, Microsoft Entra ID, politici de prevenire a pierderii datelor și conectori de administrare care pot fi utilizați cu Power Automate.

Licențiere

Acces la Power Apps și Power Automate începe cu a avea o licență. Tipul de licență pe care îl are un utilizator determină activele și datele pe care le poate accesa un utilizator. Următorul tabel prezintă diferențele de resurse disponibile unui utilizator pe baza tipului său de plan, de la un nivel înalt. Detaliile de licență granulară pot fi găsite în Prezentare generală a licențelor.

Plan Descriere
Microsoft 365 Incluse Acest lucru permite utilizatorilor să extindă SharePoint și alte active Office pe care le au deja.
Dynamics 365 Inclus Acest lucru permite utilizatorilor să personalizeze și să extindă aplicațiile Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, și Dynamics 365 Project Service Automation), deja deținute.
Plan Power Apps Asta permite:
  • realizarea de conectori pentru întreprinderi și Dataverse accesibili pentru utilizare.
  • utilizatorii să utilizeze o logică de afaceri robustă în toate tipurile de aplicații și capabilitățile de administrare.
Comunitatea Power Apps Acest lucru permite unui utilizator să utilizeze Power Apps, Power Automate, Dataverse și conectori personalizați într-un singur mod pentru uz individual. Nu există posibilitatea de a partaja aplicații.
Power Automate Gratuit Acest lucru permite utilizatorilor să creeze fluxuri nelimitate și să facă 750 de rulări.
Plan Power Automate Consultați Microsoft Power Apps și Microsoft Power Automate Ghid de licențiere.

Medii

După ce utilizatorii au licențe, mediile există ca containere pentru toate resursele utilizate de Power Apps, Power Automate și Dataverse. Mediile pot fi folosite pentru a viza diferite audiențe și/sau în scopuri diferite, cum ar fi dezvoltarea, testarea și producția. Mai multe informații pot fi găsite în secțiunea Privire de ansamblu asupra mediilor.

Securizați-vă datele și rețeaua

  • Power Apps și Power Automate nu oferiți utilizatorilor acces la niciun material de date la care ei nu au deja acces. Utilizatorii ar trebui să aibă acces doar la datele la care într-adevăr necesită acces.
  • Politicile de control de acces la rețea se pot aplica și la Power Apps și Power Automate. Pentru mediu, se poate bloca accesul la un site dintr-o rețea prin blocarea paginii de conectare pentru a împiedica crearea conexiunilor la acel site în Power Apps și Power Automate.
  • Într-un mediu, accesul este controlat la trei niveluri: Roluri de mediu, Permisiuni de resurse pentru Power Apps, Power Automate, etc. și Dataverse roluri de securitate (în cazul în care este furnizată o bază de date Dataverse).
  • Când Dataverse este creat într-un mediu, rolurile Dataverse preiau controlul securității în mediu (și toți administratorii și creatorii de mediu sunt migrați).

Următoarele principale sunt acceptate pentru fiecare tip de rol.

Tip de mediu Role Tip principal (Microsoft Entra ID)
Mediu fără Dataverse Rolul mediului Utilizator, grup, entitate găzduită
Permisiunea de resurse: aplicație pânză Utilizator, grup, entitate găzduită
Permisiunea resursei: Power Automate, Conector particularizat, Gatewayuri, Conexiuni1 Utilizator, grup
Mediu cu Dataverse Rolul mediului User
Permisiunea de resurse: aplicație pânză Utilizator, grup, entitate găzduită
Permisiunea resursei: Power Automate, Conector particularizat, Gatewayuri, Conexiuni1 Utilizator, grup
Rolul Dataverse (se aplică tuturor aplicațiilor și componentelor bazate pe model) User

1Doar anumite conexiuni (precum SQL) pot fi partajate.

Notă

  • În mediul implicit, toți utilizatorii dintr-o entitate găzduită au acces la rolul Creator de mediu.
  • Utilizatorii cu rolul Power Platform Administrator au acces de administrator la toate mediile.

Întrebări frecvente - Ce permisiuni există la un Microsoft Entra nivel de chiriaș?

Astăzi, administratorii Microsoft Power Platform pot face următoarele:

  1. Descărcați raportul de licență Power Apps și Power Automate
  2. Creați o politică DLP orientată doar la „Toate mediile” sau abordată pentru a include/exclude medii specifice
  3. Gestionați și atribuiți licențe prin centrul de administrare Office
  4. Accesați toate funcțiile de mediu, aplicație și gestionarea fluxului pentru toate mediile din entitatea găzduită disponibile prin:
    • Cmdleturi Power Apps administrator PowerShell
    • Power Apps conectori de management
  5. Accesați Power Apps și administrator de analize Power Automate pentru toate mediile în entitatea găzduită:

Considerați Microsoft Intune

Clienții cu Microsoft Intune pot seta politici de protecție a aplicațiilor mobile atât pentru aplicațiile Power Apps cât și pentru Power Automate pe Android și iOS. Această prezentare evidențiază stabilirea unei politici prin intermediul Intune pentru Power Automate.

Luați în considerare accesul condiționat bazat pe locație

Pentru clienții cu Microsoft Entra ID P1 sau P2, politicile de acces condiționat pot fi definite în Azure pentru Power Apps și Power Automate. Aceasta permite acordarea sau blocarea accesului bazat pe: utilizator/grup, dispozitiv, locație.

Crearea unei politici de acces condiționat

  1. Conectați-vă la https://portal.azure.com.
  2. Selectați Acces condiționat.
  3. Selectați + Politică nouă.
  4. Selectați utilizatori și grupuri selectate.
  5. Selectați Toate aplicațiile cloud>Toate aplicațiile cloud>Common Data Service pentru a controla accesul la aplicațiile de implicare a clienților.
  6. Aplicați condițiile (riscul utilizatorului, platformele dispozitivelor, locații).
  7. Selectați Creare.

Preveniți scurgerea de date cu politici de prevenire a pierderilor de date

Politicile de prevenire a pierderii datelor (DLP) implic regulile pentru care conectorii pot fi utilizați împreună, clasificând conectorii fie Numai date de afaceri sau Nu sunt permise date de afaceri. Pur și simplu, dacă introduceți un conector în grupul de date de afaceri, acesta poate fi utilizat doar cu alți conectori din acel grup din aceeași aplicație. Administratorii Power Platform pot defini politicile care se aplică tuturor mediilor.

Întrebări frecvente

Î: Pot controla, la nivel de entitate găzduită, ce conector este disponibil, de exemplu, Nu la Dropbox sau Twitter, dar Da la SharePoint?

R: Acest lucru este posibil utilizând capacitățile de clasificare a conectorilor și atribuirea clasificatorului Blocat la unul sau mai mulți conectori a căror utilizare nu o doriți. Există un set de conectori care nu pot fi blocați.

Î: Dar Partajarea conectoarelor între utilizatori? De exemplu, conectorul pentru Teams este unul general care poate fi partajat?

R: Conectorii sunt disponibili pentru toți utilizatorii, cu excepția conectorilor premium sau personalizați, care au nevoie fie de altă licență (conectori premium) fie trebuie partajați în mod explicit (conectori personalizați)

Alertă și acțiune

Pe lângă monitorizare, mulți clienți doresc să se aboneze la evenimente de creare, utilizare sau sănătate a software-ului, astfel încât să știe când să efectueze o acțiune. Această secțiune prezintă câteva mijloace de a observa evenimentele (manual și programatic) și de a efectua acțiuni declanșate de o apariție a evenimentului.

Construiți fluxuri Power Automate pentru a alerta cu privire la evenimentele cheie de audit

  1. Un exemplu de alertare care poate fi implementat este abonarea la Jurnalele de audit Microsoft 365 de securitate și conformitate.
  2. Acest lucru poate fi obținut fie printr-un abonament webhook sau abordarea interogare. Cu toate acestea, prin atașarea Power Automate la aceste alerte, putem oferi administratorilor mai mult decât doar alerte prin e-mail.

Construiți politicile de care aveți nevoie cu Power Apps, Power Automate și PowerShell

  1. Aceste Cmdlet-uri PowerShell pune controlul deplin în mâinile administratorilor pentru a automatiza politicile de guvernare necesare.
  2. Conectorii Power Platform for Admins V2 (Previzualizare) și Power Automate Management oferă același nivel de control, dar cu extensibilitate suplimentară și ușurință în utilizare prin utilizarea Power Apps și Power Automate.
  3. Examinați Power Platform cele mai bune practici de administrare și guvernare și luați în considerare configurarea Setul de pornire al Centrului de excelență (CoE).
  4. Utilizați acest șablon de blog și aplicație pentru a ajuta rapid conectorii de administrare.
  5. În plus, merită să verificați conținutul partajat în Galeria de aplicații comunitare, iată un alt exemplu de experiență administrativă construită folosind Power Apps și conectori administrativi.

Întrebări frecvente

Problemă În prezent, toți utilizatorii cu licențe Microsoft E3 pot crea aplicații în mediul implicit. Cum putem să activăm drepturile de creator de mediu asupra unui grup selectat, de exemplu. Zece persoane pentru a crea aplicații?

Recomandare

Cmdleturile PowerShell și Conectorii de gestionare oferă flexibilitate și control deplin administratorilor pentru a crea politicile pe care le doresc pentru organizația lor.

Monitorizare

Este bine înțeles că monitorizarea este un aspect critic al gestionării software-ului la scară. Această secțiune evidențiază câteva mijloace pentru a obține informații despre Power Apps și Power Automate dezvoltare și utilizare.

Examinați traseul de audit

Înregistrarea activității pentru Power Apps este integrată cu Centrul de securitate și conformitate Office pentru o înregistrare completă în serviciile Microsoft precum Dataverse și Microsoft 365. Office oferă o API pentru a interoga aceste date, care sunt utilizate în prezent de mulți furnizori SIEM pentru a utiliza datele de jurnal de activitate pentru raportare.

Vizualizați raportul de licență Power Apps și Power Automate

  1. Accesați Centrul de Administrare Power Platform .

  2. Selectați Analiză>Power Automate sau Power Apps.

  3. Vizualuzați analizele administrative Power Apps și Power Automate

    Aveți posibilitatea să obțineți informații despre următoarele:

    • Utilizare activă a utilizatorului și aplicației - câți utilizatori utilizează o aplicație și cât de des?
    • Locație - unde este utilizarea?
    • Serviciul Performanța conectorilor
    • Raportarea erorilor - care sunt cele mai predispuse la erori
    • Fluxuri de utilizare în funcție de tip și dată
    • Fluxuri create în funcție de tip și dată
    • Audit la nivel de aplicație
    • Starea Service
    • Conectori utilizați

Vizulizați ce utilizatori sunt autorizați

Puteți să vă uitați întotdeauna la licențierea pentru utilizatori individuali în centrul de administrare Microsoft 365, prin detalierea către utilizatori specifici.

De asemenea, puteți utiliza următoarea comandă PowerShell pentru a exporta licențele de utilizator alocate.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportă toate licențele de utilizator alocate (Power Apps și Power Automate) în entitatea găzduită într-un fișier .csv vizualizare tabulară. Fișierul exportat conține atât planuri de încercare interne pentru înregistrarea cu autoservire, cât și planuri care provin de la Microsoft Entra ID. Planurile de încercare interne nu sunt vizibile pentru administratori în centrul de administrare Microsoft 365.

Exportul poate dura un timp pentru entitățile găzduite cu un număr mare de utilizatori Power Platform.

Vizualizați resursele aplicației utilizate într-un Mediu

  1. În centrul de administrare Power Platform, selectați Medii în meniul de navigare.
  2. Selectați un Mediu.
  3. Opțional, lista de resurse utilizate într-un mediu poate fi descărcată ca .csv.