Zdieľať cez

Úvahy o bezpečnosti a správe vecí verejných v Power Platform

  • Článok

Poznámka

nové a vylepšené Power Platform centrum správcov je teraz vo verejnej ukážke! Nové centrum spravovania sme navrhli tak, aby bolo jednoduchšie na používanie, s navigáciou orientovanou na úlohy, ktorá vám pomôže rýchlejšie dosiahnuť konkrétne výsledky. Keď sa nové Power Platform centrum spravovania presunie na všeobecnú dostupnosť, budeme zverejňovať novú a aktualizovanú dokumentáciu.

Veľa zákazníkov je zvedavých, ako možno sprístupniť Power Platform širšiemu publiku pre podnikanie a s podporou IT? Odpoveďou je riadenie. Jeho cieľom je umožniť obchodným skupinám, aby sa zameriavali na efektívne riešenie obchodných problémov a súčasne dodržiavali normy v oblasti IT a podnikania. Nasledujúci obsah má za cieľ štruktúrovať témy, ktoré sa často spájajú s riadiacim softvérom, a priblížiť možnosti, ktoré sú k dispozícii pre každú tému v súvislosti s riadením Power Platform.

Motív Bežné otázky týkajúce sa každej témy, na ktorú tento obsah poskytuje odpovede
Architektúra
  • Aké sú základné konštrukty a koncepty služieb Power Apps, Power Automate a Microsoft Dataverse?

  • Ako tieto konštrukty do seba zapadajú v čase navrhovania a spustenia?
Zabezpečenie
  • Aké sú osvedčené postupy z hľadiska návrhov zabezpečenia?

  • Ako môžem použiť naše existujúce riešenia správy používateľov a skupín na spravovanie prístupových a bezpečnostných rolí Power Apps?
Upozornenia a akcie
  • Ako môžem definovať model riadenia medzi neprofesionálnymi vývojármi a riadenými IT službami?

  • Ako môžem definovať model riadenia medzi centrálnym oddelením IT a správcami obchodných jednotiek?

  • Ako mám pristupovať k podpore pre neštandardné prostredia v mojej organizácii?
Monitorovanie
  • Ako získavame údaje o zhode/audite?

  • Ako môžem merať mieru prijatia a používania v mojej organizácii?

Architektúra

Najlepšie je oboznámiť sa s prostredím v rámci prvého kroku k vytvoreniu správneho postupu riadenia pre vašu spoločnosť. Prostredia sú kontajnery pre všetky zdroje využívané službami Power Apps, Power Automate a Dataverse. Prehľad prostredí je dobrý základ, po ktorom by malo nasledovať Čo je Dataverse?, Typy Power Apps, Microsoft Power Automate, Connectors a Miestne brány.

Zabezpečenie

V tejto časti sú načrtnuté mechanizmy, ktoré existujú na riadenie toho, kto môže pristupovať Power Apps v prostredí a pristupovať k údajom: licencie, prostredia, roly prostredia, Microsoft Entra ID, zásady prevencie straty údajov a správcovské konektory, ktoré možno použiť s Power Automate.

Licencovanie

Prístup k Power Apps a Power Automate začína licenciou. Typ licencie, ktorú má používateľ, určuje aktíva a údaje, ku ktorým má používateľ prístup. Nasledujúca tabuľka uvádza rozdiely v zdrojoch, ktoré má používateľ k dispozícii na základe svojho typu plánu, a to od vysokej úrovne. Podrobné informácie o udeľovaní licencií nájdete v časti Prehľad licencií.

Plánovať Opis
Microsoft 365 je zahrnuté To umožňuje používateľom rozšíriť si SharePoint a ďalšie aktíva zo služby Office, ktorými už disponujú.
Dynamics 365 je zahrnuté To umožňuje používateľom prispôsobiť a rozšíriť aplikácie interakcie so zákazníkmi (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation), ktoré už majú.
Plán pre Power Apps To umožňuje:
  • vytváranie podnikových konektorov a dostupných služieb Dataverse.
  • používateľom využívať robustnú obchodnú logiku naprieč rôznymi typmi aplikácií a správcovskými funkciami.
Power Apps – komunita To umožňuje používateľovi používať Power Apps, Power Automate, Dataverse a vlastné konektory v jednom na individuálne použitie. Nie je možné zdieľať aplikácie.
Power Automate je bezplatné To umožňuje používateľom vytvárať neobmedzené postupy a vykonať 750 spustení.
Plán pre Power Automate Prečítajte si príručku k licencovaniu Microsoft Power Apps a Microsoft Power Automate.

Prostredia

Keď majú používatelia licencie, prostredia existujú ako kontajnery pre všetky zdroje použité službami Power Apps, Power Automate a Dataverse. Prostredia možno použiť na zacielenie na rôzne cieľové skupiny a/alebo na rôzne účely, ako je vývoj, testovanie a výroba. Viac informácií nájdete v časti Prehľad prostredí.

Zabezpečte si údaje a sieť

  • Power Apps a Power Automate neposkytujú používateľom prístup k žiadnym dátovým aktívam, ku ktorým ešte nemajú prístup. Používatelia by mali mať prístup iba k údajom, ku ktorým prístup skutočne potrebujú.
  • Na Power Apps a Power Automate sa môžu vzťahovať aj zásady riadenia prístupu k sieti. V rámci prostredia je možné zablokovať prístup k lokalite v rámci siete prostredníctvom zablokovania prihlasovacej stránky s cieľom zabrániť vytvoreniu pripojení k danej lokalite v Power Apps a Power Automate.
  • V prostredí je prístup riadený na troch úrovniach: Roly prostredia, Povolenia zdrojov pre Power Apps, Power Automate atď. aRoly zabezpečenia Dataverse (ak je zriadená databáza Dataverse).
  • Keď je Dataverse vytvorený v prostredí, Dataverse roly prevezmú kontrolu nad bezpečnosťou v prostredí (a migrujú sa všetci správcovia a tvorcovia prostredia).

Nasledujúce subjekty sú podporované pre každý typ roly.

Typ prostredia Role Typ hlavného (Microsoft Entra ID)
Prostredie bez Dataverse Rola prostredia Používateľ, skupina, nájomník
Povolenie zdroja: aplikácia plátna Používateľ, skupina, nájomník
Povolenie zdroja: Power Automate, vlastný konektor, brány, pripojenia1 Používateľ, skupina
Prostredie s Dataverse Rola prostredia User
Povolenie zdroja: aplikácia plátna Používateľ, skupina, nájomník
Povolenie zdroja: Power Automate, vlastný konektor, brány, pripojenia1 Používateľ, skupina
Rola Dataverse (platí pre všetky aplikácie a komponenty s podporou modelov) User

1Možno zdieľať iba určité pripojenia (napríklad SQL).

Poznámka

  • V predvolenom prostredí majú všetci používatelia nájomníka prístup k role Výrobca prostredia.
  • Používatelia s rolou Power Platform Správca majú prístup správcu do všetkých prostredí.

FAQ – Aké povolenia existujú na úrovni Microsoft Entra nájomníka?

Dnes správcovia Microsoft Power Platform môžu robiť nasledovné:

  1. Sťahovanie výkazov o licenciách pre Power Apps a Power Automate
  2. Vytváranie zásad DLP s dosahom iba na „Všetky prostredia“ alebo s dosahom na zahrnutie/vylúčenie konkrétnych prostredí
  3. Správa a priraďovanie licencií prostredníctvom centra spravovania platformy Office
  4. Získajte prístup k funkciám správy prostredí, aplikácií a tokov pre všetky prostredia v nájomníkovi dostupných prostredníctvom:
    • Rutiny cmdlet správcu PowerShell pre Power Apps
    • Konektory správy pre Power Apps
  5. Prístup k analytickým údajom správcu pre Power Apps a Power Automate pre všetky prostredia v rámci nájomcu:

Pouvažujte nad Microsoft Intune

Zákazníci s Microsoft Intune môžu nastaviť zásady ochrany mobilných aplikácií pre aplikácie Power Apps a Power Automate na Android a iOS. V tomto návode nájdete stručný prehľad nastavení zásad cez Intune pre Power Automate.

Pouvažujte nad podmieneným prístupom založeným na umiestnení

Pre zákazníkov s Microsoft Entra ID P1 alebo P2 možno v Azure definovať politiky podmieneného prístupu pre Power Apps a Power Automate. To umožňuje udelenie alebo zablokovanie prístupu na základe: používateľa/skupiny, zariadenia či umiestnenia.

Vytvorenie zásad podmieneného prístupu

  1. Prihlásiť sa do https://portal.azure.com.
  2. Vyberte Podmienený prístup.
  3. Vyberte položku + Nové zásady.
  4. Vyberte vybraných používateľov a skupiny.
  5. Vyberte Všetky cloudové aplikácie>Všetky cloudové aplikácie>Common Data Service na kontrolu prístupu k aplikáciám na interakciu so zákazníkmi.
  6. Použite podmienky (riziko používateľa, platformy zariadení, umiestnenia).
  7. Vyberte položku Vytvoriť.

Zabráňte úniku údajov pomocou zásad ochrany pred únikom údajov

Zásady prevencie straty údajov (DLP) presadzujú pravidlá, pre ktoré je možné konektory používať spoločne, a to klasifikáciou konektorov buď ako iba obchodné údaje, alebo ako nie sú povolené žiadne obchodné údaje. Stručne povedané, ak vložíte konektor do skupiny obmedzenej iba na obchodné údaje, dá sa použiť iba v kombinácii s inými konektormi z danej skupiny v rámci rovnakej aplikácie. Správcovia Power Platform môžu definovať zásady, ktoré sa vzťahujú na všetky prostredia.

Najčastejšie otázky

Otázka: Môžem na úrovni nájomníka ovládať, ktorý konektor je k dispozícii, napríklad Nie pre Dropbox alebo Twitter, ale Áno pre SharePoint?

Odpoveď: Je to možné pomocou schopností klasifikácie konektorov a priradenia klasifikátora Blokované k jednému alebo viacerým konektorom, ktoré sa nemajú používať. Existuje sada konektorov, ktoré sa nedajú zablokovať.

Otázka: A čo zdieľanie konektorov medzi používateľmi? Napríklad konektor pre Teams je všeobecný, ktorý je možné zdieľať?

Odpoveď: Konektory sú dostupné pre všetkých používateľov okrem prémiových alebo vlastných konektorov, ktoré potrebujú buď ďalšiu licenciu (prémiové konektory), alebo musia byť explicitne zdieľané (vlastné konektory).

Upozornenia a akcie

Okrem monitorovania si mnohí zákazníci chcú predplatiť vytváranie softvéru, jeho používanie alebo zdravotné udalosti, aby vedeli, kedy vykonať akciu. V tejto časti nájdete prehľad niekoľkých prostriedkov na pozorovanie udalostí (manuálne a programovo) a vykonávanie akcií vyvolaných výskytom udalosti.

Vytvárajte toky pre Power Automate s cieľom upozorňovať na kľúčové udalosti auditu

  1. Príkladom upozornenia, ktoré možno implementovať, je odber záznamov auditu pre Microsoft 365 Security and Compliance.
  2. To sa dá dosiahnuť prostredníctvom odberu služby webhook alebo hlasovacieho prístupu. Po pripojení platformy Power Automate k týmto upozorneniam však môžeme správcom poskytovať viac ako len e-mailové upozornenia.

Vytvorte si zásady, ktoré potrebujete, so službou Power Apps, Power Automate a PowerShell

  1. Tieto rutiny cmdlet pre PowerShell vkladajú úplnú kontrolu do rúk správcov, ktorí môžu automatizovať potrebné zásady riadenia.
  2. Konektory Power Platform for Admins V2 (Ukážka) a Power Automate Správa poskytujú rovnakú úroveň ovládania, no s pridanou rozšíriteľnosťou a jednoduchosťou použitia pomocou Power Apps a Power Automate.
  3. Prečítajte si Power Platform osvedčené postupy pre správu a správu a zvážte vytvorenie Úvodnej súpravy Centra excelentnosti (CoE).
  4. Použite tento blog a šablónu aplikácie a rýchlo sa rozbehnite v oblasti konektorov na správu.
  5. Okrem toho sa oplatí vyskúšať obsah zdieľaný v Komunitnej galérii aplikácií; ide o ďalší príklad správcovského rozhrania vytvoreného pomocou konektorov správcov v službe Power Apps.

Najčastejšie otázky

Problém V súčasnosti môžu všetci používatelia s licenciami Microsoft E3 vytvárať aplikácie v predvolenom prostredí. Ako napríklad môžeme povoliť práva výrobcu prostredia pre vybranú skupinu. Desať ľudí na vytváranie aplikácií?

Odporúčanie

PowerShell cmdlets a Konektory správy poskytujú úplnú flexibilitu a kontrolu správcom pri vytváraní politík, ktoré chcú pre svoju organizáciu.

Monitorovanie

Je dobre známe, že monitorovanie je kritickým aspektom správy softvéru vo veľkom rozsahu. Táto časť zdôrazňuje niekoľko spôsobov, ako získať prehľad o Power Apps a Power Automate vývoji a používaní.

Skontrolujte auditovací záznam

Protokolovanie aktivity pre Power Apps je integrované s centrom Office Security and Compliance Center pre komplexné protokolovanie v rámci služieb spoločnosti Microsoft, ako sú Dataverse a Microsoft 365. Office poskytuje rozhranie API na dotazovanie týchto údajov, ktoré v súčasnosti využíva veľa dodávateľov typu SIEM s cieľom využívať údaje o protokolovaní aktivity pri vykazovaní.

Zobrazenie zostavy s licenciami pre Power Apps a Power Automate

  1. Prejdite na centrum spravovania platformy Power Platform.

  2. Vyberte položku Analýza>Power Automate alebo Power Apps.

  3. Zobrazenie analytických údajov správy pre Power Apps a Power Automate

    Môžete získať nasledovné informácie:

    • Miera používania aktívnych používateľov a aplikácií – koľko používateľov používa určitú aplikáciu a ako často?
    • Umiestnenie – kde dochádza k využívaniu?
    • Výkon služieb konektorov
    • Hlásenie chýb – ktoré aplikácie sú najviac náchylné k vzniku chýb
    • Používané toky podľa typu a dátumu
    • Vytvorené toky podľa typu a dátumu
    • Audit na úrovni aplikácie
    • Stav služby
    • Použité konektory

Zistite, na čo majú používatelia licenciu

Licencie jednotlivého používateľa sa môžete kedykoľvek pozrieť v správcovskom centre Microsoft 365 vykonaním konkrétnych používateľov.

Nasledujúci príkaz pre PowerShell môžete použiť aj na export priradených používateľských licencií.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportuje všetky priradené používateľské licencie (Power Apps a Power Automate) vo vašom nájomníkovi do tabuľkového zobrazenia v súbore .csv. Exportovaný súbor obsahuje interné skúšobné plány samoobslužnej registrácie a plány, ktoré pochádzajú z Microsoft Entra ID. Interné skúšobné plány nie sú viditeľné pre správcov v centre spravovania Microsoft 365.

Export môže chvíľu trvať pre nájomníkov s veľkým počtom používateľov Power Platform.

Zobrazenie zdrojov aplikácie využívaných v rámci prostredia

  1. V centre spravovania platformy Power Platform si vyberte z navigačnej ponuky položku Prostredia.
  2. Vyberte si prostredie.
  3. Voliteľne je možné stiahnuť zoznam zdrojov používaných v prostredí ako .csv.