Поділитися через

Міркування безпеки та врядування в Power Platform

  • Стаття

Багато клієнтів цікавляться, як платформу Power Platform можна зробити доступною для великих компаній і підтримувати силами ІТ-відділу. Керування — ось відповідь. Воно спрямоване на те, щоб бізнес-групи зосередилися на ефективному вирішенні бізнес-проблем і в той же час відповідали стандартам відповідності ІТ та бізнесу. Дали наведено відомості, які допоможуть структурувати теми, часто пов'язані з керуванням програмним забезпеченням, а також описано можливості, доступні для кожної теми в аспекті керування Power Platform.

Тема Поширені запитання для кожної теми, на які відповідає цей вміст
Архітектура
  • Які основні конструкції та концепції Power Apps, Power Automate і Microsoft Dataverse?

  • Як ці конструкції поєднуються на час розробки та виконання?
Безпека
  • Які оптимальні методи для факторів проектування безпеки?

  • Як використовувати наявні рішення для керування користувачами та групами для керування ролями доступу та безпеки Power Apps?
Оповіщення та дії
  • Як визначити модель керування між розробниками-аматорами та керованими ІТ-службами?

  • Як визначити модель керування між адміністраторами головного відділу ІТ і адміністраторами підрозділів?

  • Який слід обрати підхід до підтримки нестандартних середовищ у моїй організації?
Відстежувати
  • Як ми захоплюємо дані про відповідність/відстеження?

  • Як я можу вимірювати впровадження та використання в організації?

Архітектура

Краще всього почати з ознайомлення з розділу «Середовища». Це перший крок до створення правильної історії керування для вашої компанії. Середовища – це контейнери для всіх ресурсів, які використовуються в Power Apps, Power Automate і Dataverse. Огляд середовищ є хорошим ґрунтовкою, за якою слід слідувати Що є Dataverse?, Типи Power Apps, Microsoft Power Automate Конектори та Локальні шлюзи.

Безпека

У цьому розділі описано механізми, які існують для контролю за тим, хто може отримати доступ Power Apps у середовищі та отримувати доступ до даних: ліцензії, середовища, ролі середовища, Microsoft Entra ідентифікатор, політики запобігання втраті даних та конектори адміністратора, з Power Automate якими можна використовувати.

Ліцензування

Доступ до Power Apps і Power Automate запускається з ліцензією. Тип ліцензії, наявний у користувача, визначає активи та дані, до яких користувач має доступ. У наведеній нижче таблиці описані відмінності в доступних для користувача ресурсах відповідно до типу плану, починаючи з вищого рівня. Деталізовані відомості про ліцензування можна знайти в Огляді ліцензування.

План Опис
Microsoft 365 включено Дозволяє користувачам розширити SharePoint та інші ресурси Office, які вони вже мають.
Dynamics 365 включено Це дозволяє користувачам індивідуально настроювати та розширювати програми для взаємодії з клієнтами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing і Dynamics 365 Project Service Automation), які в них уже є.
План Power Apps Дозволяє:
  • налаштувати доступ до використання корпоративних з’єднувачів і Dataverse.
  • користувачам використовувати надійну бізнес-логіку в різних типах програм і можливостях адміністрування.
Спільнота Power Apps Це дозволяє користувачеві використовувати Power Apps Power Automate Dataverse та користувальницькі конектори в одному для індивідуального використання. Немає можливості надавати спільний доступ до програм.
Power Automate безкоштовно Це дозволяє користувачам створювати необмежені потоки та виконувати 750 запусків.
План Power Automate Див. Посібник з ліцензування Microsoft Power Apps і Microsoft Power Automate.

Середовища

Після використання ліцензій середовища існують як контейнери для всіх ресурсів, що використовуються в Power Apps, Power Automate і Dataverse. Середовища можна використовувати для націлювання на різні аудиторії та/або для різних цілей, таких як розробка, тестування та виробництво. Детальнішу інформацію можна знайти в Огляді середовищ.

Захистіть дані та мережу

  • Power Apps і Power Automate не надавайте користувачам доступ до будь-яких об’єктів даних, до яких вони ще не мають доступу. Користувачі повинні мати доступ лише до даних, доступ до яких їм дійсно потрібний.
  • Політики керування доступом до мережі також можуть застосовуватися до Power Apps і Power Automate. Для середовища можна заблокувати доступ до сайту з мережі, заблокувавши сторінку входу, щоб запобігти створенню підключень до цього сайту в Power Apps і Power Automate.
  • У середовищах керування доступом здійснюється на трьох рівнях: Ролі середовища, дозволи ресурсу для Power Apps, Power Automate тощо і Ролі безпеки Dataverse (якщо надано базу даних Dataverse).
  • Коли Dataverse створюється в середовищі, Dataverse ролі беруть на себе контроль безпеки в середовищі (і всі адміністратори та виробники середовища переносяться).

Для кожного типу ролей підтримуються описані нижче принципали.

Тип середовища Role Тип принципала (Microsoft Entra ID)
Середовище без Dataverse Роль середовища Користувач, група, клієнт
Дозвіл ресурсу: програма з полотна Користувач, група, клієнт
Дозвіл ресурсу: Power Automate, настроюваний з’єднувач, шлюзи, з’єднання1 Користувач, група
Середовище з Dataverse Роль середовища User
Дозвіл ресурсу: програма з полотна Користувач, група, клієнт
Дозвіл ресурсу: Power Automate, настроюваний з’єднувач, шлюзи, з’єднання1 Користувач, група
Роль Dataverse (застосовується до всіх програм на основі моделі та компонентів) User

1Можна надавати спільний доступ лише до певних підключень (наприклад, SQL).

Нотатка

  • У стандартному середовищі всі користувачі в клієнті отримують доступ до ролі «Відповідальна особа для середовища».
  • Користувачі з Power Platform роллю адміністратора мають доступ адміністратора до всіх середовищ.

FAQ - Які дозволи існують на Microsoft Entra рівні орендаря?

Сьогодні адміністратори Microsoft Power Platform можуть виконувати такі дії:

  1. Завантажувати звіт про ліцензії Power Apps і Power Automate
  2. Створювати політику DLP, яка обмежується лише до «Всіх середовищ» або обмежується до включення/виключення певних середовищ
  3. Керувати ліцензіями та призначати їх за допомогою Центру адміністрування Office
  4. Доступ до всіх можливостей середовищ, програм і засобів керування потоками для всіх середовищ у клієнті, доступних через такі ресурси:
    • Командлети PowerShell для адміністрування Power Apps
    • З'єднувачі керування Power Apps
  5. Доступ до аналітичних даних адміністрування Power Apps і Power Automate для всіх середовищ у клієнті:

Оцініть Microsoft Intune

Клієнти з Microsoft Intune можуть встановлювати політики захисту мобільних додатків для обох Power Apps і Power Automate програм на Android and iOS. Цей покроковий посібник описує встановлення політики за допомогою InTune для Power Automate.

Розгляньте умовний доступ з урахуванням розташувань

Для клієнтів з Microsoft Entra ідентифікатором P1 або P2 в Azure можна визначити політики умовного доступу для Power Apps and Power Automate. Це дозволяє надавати або блокувати доступ на основі параметрів: користувач/група, пристрій, розташування.

Створення політики умовного доступу

  1. Увійти до https://portal.azure.com.
  2. Виберіть Умовний доступ.
  3. Виберіть + Створити політику.
  4. Виберіть користувачів і вибрані групи.
  5. Виберіть Усі хмарні програми>Усі хмарні програми>Common Data Service, щоб керувати доступом до програм для взаємодії з клієнтами.
  6. Задайте умови (ризик для користувачів, платформи пристроїв, розташування).
  7. Виберіть Створити.

Запобігання витоку даних за допомогою політик запобігання втраті даних

Політики запобігання втраті даних (DLP) встановлюють правила, за якими з’єднувачі можна використовувати разом, класифікуючи з’єднувачі як «лише бізнес-дані» або «Без бізнес-даних». Просто, якщо ви помістите з’єднувач у групу «Лише бізнес-дані», його можна використовувати лише з іншими з’єднувачами з цієї групи в одній програмі. Адміністратори Power Platform можуть визначати політику, яка застосовується до всіх середовищ.

Поширені запитання

Питання: Чи можу я керувати на рівні клієнта, який з'єднувач взагалі доступний, наприклад «Ні» для Dropbox або Twitter, але «Так» для SharePoint?

Відповідь: Це можливо, якщо застосувати можливості класифікації з'єднувачів і призначити класифікатор Заблоковано одному або кільком з'єднувачам, використання яких потрібно заборонити. Є набір роз’ємів, які не можна заблокувати.

З: Як працює спільний доступ до з’єднувачів між користувачами? Наприклад, з'єднувач для Teams є загальним для спільного доступу?

A: Конектори доступні для всіх користувачів, за винятком преміум або кастомних конекторів, яким потрібна або інша ліцензія (преміум-конектори), або їх потрібно явно використовувати (спеціальні конектори)

Оповіщення та дії

Окрім моніторингу, багато клієнтів хочуть підписатися на створення, використання програмного забезпечення або події щодо здоров’я, щоб знати, коли виконувати дію. У цьому розділі описано кілька способів спостереження за подіями (вручну та за допомогою програмних засобів), а також виконання дій, які викликаються повторенням події.

Створення потоків Power Automate для оповіщення про ключові події аудиту

  1. Приклад оповіщення, який може бути реалізований, підписується на журнали аудиту безпеки та дотримання вимог Microsoft 365.
  2. Це можна досягнути шляхом підписки на веб-сигнальник або опитування. Однак, якщо додати Power Automate до цих оповіщень, можна надати адміністраторам більше можливостей, ніж просто оповіщення електронною поштою.

Створення необхідних політик за допомогою Power Apps, Power Automate і PowerShell

  1. Ці командлети PowerShell надають усі можливості керування в руки адміністраторів для необхідної автоматизації політик керування.
  2. З’єднувачі Power Platform for Admins V2 (попередній перегляд) і Power Automate Management забезпечують той самий рівень керування, але з додатковою розширюваністю та зручністю використання завдяки використанню Power Apps та Power Automate.
  3. Ознайомтеся з найкращими практиками Power Platform адміністрування та управління, а також розгляньте можливість створення стартового набору Center of Excellence (CoE).
  4. Використовуйте цей блоґ і шаблон програми швидко ознайомитися зі з’єднувачами адміністрування.
  5. Крім того, варто ознайомитися з вмістом, опублікованим у Community Apps Gallery, ось ще один приклад адміністративного інтерфейсу, створеного за допомогою Power Apps та з’єднувачів адміністрування.

Запитання й відповіді

Проблема Наразі всі користувачі з ліцензіями Microsoft E3 можуть створювати програми в середовищі за замовчуванням. Наприклад, як можна ввімкнути права «Відповідальна особа для середовища» для вибору групи. Десять людей для створення додатків?

Рекомендація

Командлети PowerShell і з’єднувачі керування забезпечують повну гнучкість і контроль для адміністраторів для створення потрібних політик для своєї організації.

Відстежувати

Добре відомо, що моніторинг є критично важливим аспектом управління програмним забезпеченням у масштабі. У цьому розділі висвітлено кілька способів отримати розуміння Power Apps , а також Power Automate розробку та використання.

Перегляд контрольного журналу

Журнал активності інтегровано Power Apps з Центром безпеки Office і Центром відповідності для всебічного ведення журналів у всіх службах Microsoft, таких як Dataverse і Microsoft 365. Office надає API для запиту цих даних, який наразі використовується багатьма постачальниками SIEM, щоб використовувати дані журналювання справ для звітування.

Перегляньте звіт про ліцензії на Power Apps і Power Automate

  1. Перейдіть до Центру адміністрування Power Platform.

  2. Виберіть Засоби аналізу>Power Automate або Power Apps.

  3. Перегляд аналітичних даних адміністрування Power Apps і Power Automate

    Відображатимуться наведені нижче відомості.

    • Активний користувач і використання програм: скільки користувачів використовують програми та як часто?
    • Розташування: де знаходиться використання?
    • Продуктивність служби з’єднувачів
    • Звіти про помилки: які програми найбільш вразливі до помилок
    • Потоки, які використовуються, за типом і датою
    • Створені потоки за типом і датою
    • Відстеження на рівні програми
    • Стан служби
    • Використані з’єднувачі

Перегляд ліцензій користувачів

У Центрі адміністрування Microsoft 365 завжди можна переглянути ліцензії окремих користувачів, надіславши відповідний запит.

Крім того, для експорту призначених ліцензій користувачів можна використовувати зазначену нижче команду PowerShell.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Експортує усі призначені ліцензії користувачів (Power Apps та Power Automate) у вашому клієнті у вигляді таблиці у файлі .csv. Експортований файл містить як внутрішні пробні плани самостійної реєстрації, так і плани, отримані з Microsoft Entra ID. Адміністратори не бачать внутрішні ознайомлювальні плани в Центрі адміністрування Microsoft 365.

Експорт може зайняти певний час для клієнтів із великою кількістю користувачів Power Platform.

Перегляд ресурсів програми, які використовуються в середовищі

  1. У центрі адміністрування Power Platform виберіть «Середовища» в меню переходів.
  2. Виберіть середовище.
  3. За бажанням, список ресурсів, що використовуються в середовищі, може бути завантажений як .csv.