管理 Power Apps
如果您是环境管理员或 Microsoft Power Platform 管理员,则可以管理在您的组织中创建的应用程序。
管理员可以从 Power Platform 管理中心执行以下任务:
- 添加或更改与之共享应用的用户
- 删除当前未使用的应用
先决条件
- Power Apps 计划或 Power Automate 计划。 或者,可以注册免费的 Power Apps 试用版。
- Power Apps 环境管理员或 Power Platform 管理员权限。 有关详细信息,请参阅 Power Apps 中的环境管理。
管理 Power Apps
在导航窗格中,选择环境,再选择具有资源的环境,然后选择 Power Apps 资源。
选择要管理的应用。
选择所需的操作。
管理谁可以共享画布应用
Power Apps 遵循 Dataverse 中的画布应用共享特权。 如果用户没有画布应用共享特权设置为尚未选择之外的值的安全角色,他将无法在环境中共享画布应用。 在默认环境中也遵循此 Dataverse 画布应用共享特权。 本文概述了如何在安全角色中编辑特权:编辑安全角色。
备注
在安全角色中精细控制画布应用共享特权的能力需要更改特权的环境中具有 Dataverse。 Power Apps无法离散识别为环境设置的其他 Dataverse 画布应用实体权限。
系统更新可能会删除对预定义安全角色的自定义,包括环境创建者。 这意味着删除画布应用共享特权可能会在系统更新期间重新引入。 在系统更新期间保留对画布应用共享特权的自定义之前,可能需要重新应用共享特权自定义。
显示组织的治理错误内容
如果您指定治理错误消息内容将显示在错误消息中,当用户发现他们无权在环境中共享应用时,该内容将包含在显示的错误消息中。 了解更多信息,请参阅 PowerShell 治理错误消息内容命令。
区分 Microsoft SharePoint 自定义窗体制作者和一般环境制作者
除了能够将 SharePoint 自定义窗体资源保存到非默认环境之外,还可以将制作者特权限制为只能在非默认环境中创建和编辑 SharePoint 自定义窗体。 在默认环境之外,管理员可以取消分配给用户的环境创建者安全角色,然后分配 SharePoint 自定义窗体制作者安全角色。
备注
区分 SharePoint 自定义窗体制作者和常规环境制作者这一功能要求在将更改权限的环境中安装 Dataverse。
在环境中只有 SharePoint 自定义窗体制作者角色的用户不能在 https://make.powerapps.com 或 https://flow.microsoft.com 中的环境列表中看到此环境。
执行以下操作将制作者权限限制为只能在非默认环境中创建和编辑 SharePoint 自定义窗体。
请管理员为您的环境从 AppSource 安装为 SharePoint 自定义窗体指定的 SharePoint 自定义窗体制作者解决方案。
在 Power Platform 管理中心中,选择在步骤一中为 SharePoint自定义窗体指定的环境,并将 SharePoint 自定义窗体制作者安全角色分配给应该创建 SharePoint 自定义窗体的用户。 请参阅在有 Dataverse 数据库的环境中为用户分配安全角色。
常见问题解答
是否可以编辑 SharePoint 自定义窗体制作者安全角色中的权限?
不可以,SharePoint 自定义窗体制作者安全角色是通过导入不可自定义解决方案添加到环境中的。 请注意,要创建 SharePoint 自定义窗体,需要用户在 SharePoint 和 Power Platform 中拥有权限。 平台会验证用户对使用 Microsoft Lists 创建的目标列表是否具有写入权限,并且用户在 Power Platform 中是否具有创建或更新 SharePoint 自定义窗体的权限。 要让 SharePoint 自定义窗体制作者通过 Power Platform 检查,用户必须拥有 SharePoint 自定义窗体制作者安全角色或环境制作者安全角色。
仅拥有 SharePoint 自定义窗体制作者角色的用户是否可以在 make.powerapps.com 环境选取器中看到环境?
否,不具有选择环境文档中提到的安全角色的制作者不会在 https://make.powerapps.com 中的环境选取器中看到环境。 拥有 SharePoint 自定义窗体制作者角色的用户可能希望通过处理 URI 导航到环境。 如果用户尝试创建独立应用,将会看到权限错误。
管理应用隔离状态
作为 Power Platform 的数据丢失预防策略的补充,Power platform 让管理员能够“隔离”资源,为低代码开发设置护栏。 资源的隔离状态由管理员管理,此状态控制最终用户是否可以访问资源。 在 Power Apps 中,此功能允许管理员直接限制可能需要关注以满足组织合规要求的应用的可用性。
备注
以前从未启动过隔离应用的用户将无法访问该应用。
在隔离前已经播放过隔离的应用的用户可以访问该应用。 如果这些用户过去使用过隔离的应用,可能可以使用该应用几秒钟。 但是在之后如果尝试再次打开该应用,将收到消息,说明已隔离该应用。
下表概括介绍了隔离状态如何影响管理员、制作者和最终用户的体验。
| 角色 | 体验 |
|---|---|
| 管理员 | 无论应用的隔离状态如何,管理员都可以在 Power Platform 管理中心和 PowerShell cmdlet 中看到应用。 |
| 开发者 | 无论应用的隔离状态如何,应用在 https://make.powerapps.com 中都可见,并且可以在 Power Apps Studio 中打开进行编辑。 |
| 最终用户 | 隔离的应用将向启动该应用的最终用户显示一条消息,指示他们无法访问该应用。 |
最终用户在启动已隔离的应用时将看到以下消息。
下表反映了隔离支持情况:
| Power Apps 类型 | 隔离支持 |
|---|---|
| 画布应用 | 正式发布 |
| 模型驱动应用 | 尚不支持 |
隔离应用
Set-AppAsQuarantined -EnvironmentName <EnvironmentName> -AppName <AppName>
取消隔离应用
Set-AppAsUnquarantined -EnvironmentName <EnvironmentName> -AppName <AppName>
获取应用的隔离状态
Get-AppQuarantineState -EnvironmentName <EnvironmentName> -AppName <AppName>
托管环境:单个应用程序的条件访问
除了遵守应用于 Power Apps 服务的条件访问策略之外,在托管环境中,还可以将 Microsoft Entra 条件访问策略应用于使用 Power Apps 创建的单个应用。 例如,管理员可以仅在包含敏感数据的应用上应用需要多重身份验证的条件访问策略。 Power Apps 利用条件访问身份验证上下文作为针对粒度应用的条件访问策略的机制。 管理员是被允许在应用上添加和删除身份验证上下文的角色。 制作者无法在应用上编辑身份验证上下文。
备注
- 在应用上设置的身份验证上下文不会随解决方案中的应用一起移动,将跨环境移动。 这允许将不同的身份验证上下文应用于不同环境中的应用。 而且,当应用通过解决方案跨环境移动时,环境中设置的身份验证上下文将保留。 例如,如果在 UAT 环境中的应用上设置了身份验证上下文,将保留该身份验证上下文。
- 可以在应用上设置多个身份验证上下文。 最终用户必须通过多个身份验证上下文应用的条件访问策略的联合验证。
- 对单个应用的条件访问是托管环境的一项功能。
下表概括了对特定应用实施条件访问会对管理员、制作者和最终用户的体验有怎样的影响。
| 角色 | 体验 |
|---|---|
| 管理员 | 无论与应用关联的条件访问策略如何,管理员都可以在 Power Platform 管理中心和 PowerShell cmdlet 中看到应用。 |
| 制作者 | 无论与应用关联的条件访问策略如何,应用都在 https://make.powerapps.com 中可见,并可以在 Power Apps Studio 中打开进行编辑。 |
| 最终用户 | 当最终用户启动应用时,会强制执行应用于应用的条件访问策略。 未通过条件访问检查的用户会在身份验证体验中看到一个对话,指示不允许他们访问资源。 |
在管理员将身份验证上下文关联到 https://portal.azure.com 中的条件访问策略后,他们可以在应用上设置身份验证上下文 ID。 下图说明了在何处获取身份验证上下文 ID。
不满足条件访问策略要求的最终用户会收到一条错误消息,指示他们无权访问。
下表反映了粒度应用的条件访问支持:
| Power Apps 类型 | 单个应用的条件访问支持 |
|---|---|
| 画布应用 | 预览可用性 |
| 模型驱动应用 | 不支持 |
将条件访问身份验证上下文 ID 添加到应用
Set-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName> -AuthenticationContextIds <id1, id2, etc...>
在应用上设置条件访问身份验证上下文 ID
Get-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName>
删除应用上的条件访问身份验证上下文 ID
Remove-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName>