Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Kunden fragen Sie: Wie kann Power Platform für ihr Unternehmen umfangreich verfügbar gemacht und von der IT unterstützt werden? Governance ist die Antwort. Ziel ist es, Geschäftsgruppen in die Lage zu versetzen, sich auf die effiziente Lösung von Geschäftsproblemen unter Einhaltung von IT- und Business-Compliance-Standards zu konzentrieren. Der folgende Inhalt soll Themen strukturieren, die oft mit der Governing-Software in Verbindung gebracht werden, und das Bewusstsein für die für jedes Thema verfügbaren Fähigkeiten schärfen, wenn es um die Governance von Power Platform geht.
| Theme | Allgemeine Fragen bezüglich jedes Themas, die dieser Inhalt beantwortet |
|---|---|
| Architektur |
|
| Sicherheit |
|
| Warnungsaktionen |
|
| Überwachen |
|
Architektur
Es ist am besten, sich mit Umgebungen als ersten Schritt beim Erstellen der passenden Governance-Geschichte Ihres Unternehmens vertraut zu machen. Umgebungen sind die Container für alle Ressourcen, die von einer Power Apps, Power Automate und Dataverse verwendet werden. Übersicht der Umgebungen ist ein gute Einführung, der gefolgt werde soll von Was ist Dataverse?, Typen von Power Apps, Microsoft Power Automate, Connectors, und On-premises Gateways.
Sicherheit
In diesem Abschnitt werden Mechanismen beschrieben, die vorhanden sind, um zu steuern, wer auf Power Apps in einer Umgebung zugreifen kann und auf Daten zugreifen kann: Lizenzen, Umgebungen, Umgebungsrollen, Microsoft Entra-ID, Datenrichtlinien und Administratorconnectors, die mit Power Automate verwendet werden können.
Lizenzierung
Zugriff auf Power Apps und Power Automate beginnt mit einer Lizenz. Die Art der Lizenz, über die ein Benutzer verfügt, bestimmt die Anlagen und Daten, auf die ein Benutzer zugreifen kann. Die folgende Tabelle beschreibt Unterschiede der Ressourcen, die für einen Benutzer auf Basis des Plantyps verfügbar sind, von einer hohen Ebene aus. Präzise Lizenzierungsdetails finden Sie in der Lizenzierungsübersicht.
| Plan | Beschreibung |
|---|---|
| Microsoft 365 eingeschlossen | Dadurch können Benutzer SharePoint und andere Office-Ressourcen, die Sie bereits haben, erweitern. |
| Einschließlich Dynamics 365 | So können Benutzer die Kundenbindungs-Apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation), die Sie bereits haben, anpassen und erweitern. |
| Power Apps-Plan | Dadurch können:
|
| Power Apps Community | Dies ermöglicht einem Benutzer, Power Apps, Power Automate, Dataverse und benutzerdefinierte Konnektoren an einem Ort für den individuellen Gebrauch zu verwenden. Es gibt keine Möglichkeit, Apps zu teilen. |
| Power Automate kostenlos | Auf diese Weise können Benutzer unbegrenzte Flows erstellen und 750 Ausführungen machen. |
| Power Automate-Plan | Siehe Microsoft Power Apps und Microsoft Power Automate Lizenzanleitung. |
Umgebungen
Nachdem Benutzer Lizenzen erhalten haben, existieren Umgebungen als Container für alle Ressourcen, die von Power Apps, Power Automate und Dataverse verwendet werden. Umgebungen können verwendet werden, um unterschiedliche Zielgruppen und/oder verschiedene Zwecke zu erreichen, z. B. Entwicklung, Test und Produktion. Weitere Informationen sind in der Umgebungsübersicht enthalten.
Sichern Ihrer Daten und Ihres Netzwerks
- Power Apps und Power Automate bieten Benutzern keinen Zugriff auf irgendwelche Datenressourcen, zu denen sie nicht bereits schon Zugriff haben. Benutzer sollten nur Zugriff auf Daten haben, zu denen sie wirklich Zugriff benötigen.
- Netzwerk-Access Control-Regeln können auch auf Power Apps und Power Automate angewendet werden. Für Umgebungen kann der Zugriff auf eine Website aus einem Netzwerk blockiert werden, indem die die Anmeldeseite gesperrt wird, um die Erstellung von Verbindungen zu dieser Website in Power Apps und Power Automate zu verhindern.
- In einer Umgebung wird der Zugriff auf drei Ebenen gesteuert: Umgebungsrollen, Ressourcenberechtigungen für Power Apps, Power Automate, usw. und Dataverse Sicherheitsrollen (wenn eine Dataverse Datenbank bereitgestellt wird).
- Wenn Dataverse in einer Umgebung erstellt wird, übernehmen die Dataverse-Rollen die Kontrolle der Sicherheit in der Umgebung (und alle Umgebungsadministratoren und -Ersteller werden migriert).
Die folgenden Prinzipals werden für jeden Rollentyp unterstützt.
| Umgebungstyp | Role | Prinzipaltyp (Microsoft Entra ID) |
|---|---|---|
| Umgebung ohne Dataverse | Umgebungsrolle | Benutzer, Gruppe, Mandant |
| Ressourcenberechtigung: Canvas-App | Benutzer, Gruppe, Mandant | |
| Ressourcenberechtigung: Power Automate, benutzerdefinierter Konnektor, Gateways, Verbindungen1 | Benutzer, Gruppe | |
| Umgebung mit Dataverse | Umgebungsrolle | User |
| Ressourcenberechtigung: Canvas-App | Benutzer, Gruppe, Mandant | |
| Ressourcenberechtigung: Power Automate, benutzerdefinierter Konnektor, Gateways, Verbindungen1 | Benutzer, Gruppe | |
| Dataverse-Rolle (gilt für alle modellgesteuerten Apps und Komponenten) | User |
1 Nur bestimmte Verbindungen (wie SQL) können gemeinsam genutzt werden.
Notiz
- In der Standardumgebung erhalten alle Benutzer in einem Mandanten Zugriff auf die Umgebungserstellerrolle.
- Benutzer mit der Rolle des Power Platform Administrators haben Administratorzugriff für sämtliche Umgebungen.
FAQ: Welche Berechtigungen gibt es auf Microsoft Entra-Mandantenebene?
Jetzt können Microsoft Power Platform Administratoren Folgendes tun:
- Herunterladen des Power Apps & Power Automate Lizenzberichts
- Erstellen Sie eine Datenrichtlinie, die entweder nur auf "Alle Umgebungen" festgelegt ist oder so konzipiert ist, dass sie spezifische Umgebungen ein- oder ausschließt.
- Verwalten und Zuweisen von Lizenzen über das Office Admin Center
- Greifen Sie auf alle Umgebungs-, App- und Flow-Management-Funktionen für alle Umgebungen im Mandanten zu, die verfügbar sind über:
- Power Apps Admin-PowerShell-Cmdlets
- Power Apps Veraltungs-Konnektoren
- Zugriff auf Power Apps und Power Automate Administratoranalytik für alle Umgebung im Mandant:
Microsoft Intune betrachten
Kunden mit Microsoft Intune können Schutzrichtlinien für mobile Anwendungen sowohl für Power Apps und Power Automate Apps als auch für Android und iOS festlegen. Dieser Überblick hebt das Einstellen einer Richtlinie über Intune für Power Automate hervor.
Betrachten Sie ortsbasierten bedingten Zugriff
Für Kunden mit Microsoft Entra ID P1 oder P2, können bedingte Zugriffsrichtlinien in Azure für Power Apps und Power Automate definiert werden. Dies ermöglicht das Gewähren oder Blockieren von Zugriff auf der Basis von: Benutzer/Gruppe, Gerät, Standort.
Erstellen einer bedingten Zugriffs-Richtlinie
- Melden Sie sich bei https://portal.azure.com an.
- Wählen Sie Bedingten Zugriff.
- Wählen Sie + Neue Richtlinie.
- Wählen Sie Benutzer und Gruppen ausgewählt.
- Wählen Sie Alle Cloud-Apps>Alle Cloud-Apps>Common Data Service, um den Zugriff auf Kundenbindung-Apps zu steuern.
- Anwenden von Bedingungen (Benutzerrisiko, Geräteplattformen, Standorte).
- Wählen Sie Erstellen aus
Verhindern von Datenlecks mit Datenrichtlinien
Datenrichtlinien setzen Regeln durch, nach denen Konnektoren gemeinsam verwendet werden können, indem Konnektoren entweder als „nur Geschäftsdaten“ oder „keine Geschäftsdaten erlaubt“ klassifiziert wurden. Einfach gesagt, wenn Sie einen Konnektor in die Nur Geschäftsdaten-Gruppe aufnehmen, kann er nur mit anderen Konnektoren der Gruppe in derselben Anwendung verwendet werden. Power Platform Administratoren können Richtlinien definieren, die für alle Umgebungen angewendet werden.
Häufig gestellte Fragen
F: Kann ich auf Mandant-Ebene steuern, welcher Konnektor überhaupt verfügbar ist, z. B. Nein zu Dropbox oder Twitter, aber Ja zu SharePoint?
A: Das ist möglich, indem Sie die Funktionalitäten Klassifizierung der Konnektoren nutzen und einem oder mehreren Konnektoren, die nicht verwendet werden sollen, den Klassifikator Blockiert zuweisen. Es gibt einen Satz von Connectors, die nicht blockiert werden können.
F: Wie steht es mit der Freigabe von Konnektoren zwischen Benutzern? Beispielsweise ist der Konnektor für Teams ein allgemeiner Konnektor, der gemeinsam genutzt werden kann?
A: Mit Ausnahme von Premium- oder benutzerdefinierten Konnektoren, die entweder eine weitere Lizenz (Premium-Konnektoren) erfordern oder explizit freigegeben werden müssen (benutzerdefinierte Connectors), stehen Connectors allen Benutzer zur Verfügung
Warnungsaktionen
Zusätzlich zur Überwachung möchten viele Kunden die Erstellung von Software, den Verbrauch oder Integritätsereignisse abonnieren, damit sie wissen, wann eine Aktion ausgeführt werden muss. In diesem Abschnitt werden einige Mittel zur Beobachtung von Ereignissen beschrieben (manuell und programmatisch) und Aktionen auszuführen, die durch ein Ereignisvorkommen ausgelöst werden.
Bilden von Power Automate-Flows, um auf Schlüsselüberwachungsereignisse hinzuweisen
- Ein Beispiel für eine Warnmeldung, die implementiert werden kann, ist das Abonnieren von Microsoft 365-Sicherheits- und Compliance-Überwachungsprotokollen.
- Dies kann entweder durch einen Webhook, Abonnement oder Abruf erreicht werden. Durch das Anfügen von Power Automate an diese Warnungen, können wir Administratoren jedoch mehr als nur E-Mail-Warnungen an die Hand geben.
Erstellen Sie die Richtlinien, die Sie benötigen, mit Power Apps, Power Automate und PowerShell
- Diese PowerShell-Cmdlets geben Administratoren ganze Kontrolle, um die erforderlichen Governance-Richtlinien zu automatisieren.
- Die Konnektoren für Power Platform for Admins V2 (Vorschauversion) und zur Power Automate-Verwaltung bieten dasselbe Maß an Kontrolle aber mit zusätzlicher Erweiterbarkeit und Einfachheit durch die Nutzung von Power Apps und Power Automate.
- Sehen Sie sich die Best Practices für die Verwaltung und Governance von Power Platform an und überlegen Sie, ein Center of Excellence (CoE) Starter Kit einzurichten.
- Verwenden Sie die Blog- und App-Vorlage, um Administrations-Connectors schnell zu implementieren.
- Außerdem lohnt es sich, Inhalte, die in der Community-App-Galerie geteilt werden, anzusehen. Hier ein weiteres Beispiel einer Verwaltungsumgebung, die mit Power Apps und Administrator-Konnektoren erstellt wurde.
Häufig gestellte Fragen
Problem Derzeit können alle Benutzer mit Microsoft E3-Lizenzen Apps in der Standardumgebung erstellen. Wie können wir beispielsweise Umgebungsersteller-Rechte für eine ausgewählte Gruppe aktivieren? Zehn Personen, um Apps zu erstellen?
Empfehlung
Die PowerShell-Cmdlets und Verwaltungsconnectors bieten Fachkräften für die Administration volle Flexibilität und Kontrolle bei der Erstellung der Richtlinien, die sie für ihre Organisation wollen.
Überwachen
Es ist allgemein bekannt, dass die Überwachung ein entscheidender Aspekt bei der Verwaltung von Software im großen Stil ist. In diesem Abschnitt werden einige Möglichkeiten beschrieben, um mehr über die Entwicklung und Verwendung von Power Apps und Power Automate zu erfahren.
Lesen Sie die Informationen über den Audit-Trail
Aktivitätsprotokollierung für Power Apps ist in das Office Security und Compliance Center integriert, um eine umfassende Protokollierung für Microsoft-Dienste wie Dataverse und Microsoft 365 zu ermöglichen. Office bietet eine API, um diese Daten abzufragen, die derzeit von vielen SIEM-Zulieferern verwendet wird, um die Aktivitäts-Protokollierungsdaten für die Berichterstellung zu verwenden.
Power Apps und Power Automate Lizenzbericht anzeigen
- Melden Sie sich beim Power Platform Admin Center an.
- Wählen Sie im Navigationsbereich Lizenzierung aus.
- Wählen Sie im Bereich LizenzierungPower Automate oder Power Apps aus, um die Informationen zu überprüfen.
Sie können Informationen zu folgenden Elementen erhalten:
- Aktive Benutzer- und App-Verwendung – wie viele Benutzer verwenden eine App und wie oft?
- Ort – wo findet die Verwendung statt?
- Service-Leistung von Konnektoren
- Fehlerberichterstattung – was sind die fehleranfälligsten Apps
- Verwendete Flows nach Typ und Datum
- Erstellte Flows nach Typ und Datum
- Überprüfung auf Anwendungsebene
- Service-Integrität
- Verwendete Konnektoren
Lizenzierte Benutzer anzeigen
Sie können einzelne Benutzerlizenzen immer im Microsoft 365 Admin Center anzeigen, indem Sie Details zu bestimmten Benutzern anzeigen.
Sie können auch den folgenden PowerShell-Befehl verwenden, um zugewiesene Benutzerlizenzen zu exportieren.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exportiert alle zugewiesenen Benutzerlizenzen (Power Apps und Power Automate) in Ihrem Mandant in einer tabellarischen Ansicht in eine .csv-Datei. Die exportierte Datei enthält sowohl Self-Service-Anmeldepläne für interne Tests als auch Pläne, die von Microsoft Entra ID bezogen werden. Die internen Test-Pläne sind für Admins im Microsoft 365 Admin Center nicht sichtbar.
Der Export kann für Mandanten mit einer großen Anzahl von Power Platform-Benutzern eine Weile dauern.
Anzeige der App-Ressourcen, die in einer Umgebung verwendet werden
- Melden Sie sich beim Power Platform Admin Center an.
- Wählen Sie im Navigationsbereich die Option Verwalten aus.
- Wählen Sie im Bereich VerwaltenUmgebungen aus.
- Wählen Sie auf der Seite Umgebungen eine Umgebung aus.
- Überprüfen Sie im Abschnitt Ressourcen die Liste der Apps, die in der Umgebung verwendet werden.