Delen via

Beveiligings- en governance-overwegingen in Power Platform

Veel klanten vragen zich af hoe Power Platform voor een groter deel van hun bedrijf beschikbaar kan worden gemaakt en kan worden ondersteund door de IT-afdeling. Governance is het antwoord. Governance is bedoeld om bedrijfsgroepen in staat te stellen zich te concentreren op het efficiënt oplossen van bedrijfsproblemen en tegelijkertijd te voldoen aan IT- en nalevingsnormen. De volgende inhoud is bedoeld om thema's te structureren die vaak worden geassocieerd met aansturingssoftware (governing software) en om voorlichting te geven over de beschikbare mogelijkheden voor elk thema met betrekking tot het aansturen van Power Platform.

Thema Veelgestelde vragen met betrekking tot elk thema waarop in dit artikel antwoorden worden gegeven
Architectuur
  • Wat zijn de basisconstructies en -concepten van Power Apps, Power Automate en Microsoft Dataverse?

  • Hoe komen deze concepten samen tijdens het ontwerpen en uitvoeren?
Beveiliging
  • Wat zijn de aanbevolen procedures voor het creëren van een beveiligingsontwerp?

  • Hoe gebruik ik onze bestaande oplossingen voor gebruikers- en groepsbeheer om de toegang en beveiligingsrollen te beheren in Power Apps?
Waarschuwing en actie
  • Hoe definieer ik het governance-model tussen 'citizen developers' en beheerde IT-services?

  • Hoe definieer ik het governance-model tussen de centrale IT-afdeling en beheerders van business units?

  • Hoe moet ik ondersteuning voor niet-standaardomgevingen in mijn organisatie vormgeven?
Monitoren
  • Hoe leggen we compliance- en controlegegevens vast?

  • Hoe kan ik de acceptatie en het gebruik binnen mijn organisatie meten?

Architectuur

Het is het beste om u te verdiepen in het concept Omgevingen als de eerste stap bij het ontwikkelen van het juiste governance-scenario voor uw bedrijf. Omgevingen zijn de containers voor alle resources die worden gebruikt door Power Apps, Power Automate en Dataverse. Overzicht van omgevingen is een goede introductietekst die kan worden gevolgd door Wat is Dataverse?, Typen Power Apps, Microsoft Power Automate, Connectors en On-premises gateways.

Beveiliging

In deze sectie worden mechanismen beschreven die bestaan om te bepalen wie toegang heeft tot Power Apps in een omgeving en toegang tot gegevens: licenties, omgevingen, omgevingen, omgevingsrollen, Microsoft Entra-id, gegevensbeleid en beheerdersconnectors die kunnen worden gebruikt met Power Automate.

Licenties

Toegang tot Power Apps en Power Automate begint met een licentie. Het type licentie dat een gebruiker heeft, bepaalt de activa en gegevens waartoe een gebruiker toegang heeft. In de volgende tabel wordt een overzicht gegeven van de verschillen in beschikbare resources voor een gebruiker op basis van het type abonnement van die gebruiker op een hoog niveau. Gedetailleerde licentiegegevens zijn te vinden in het Licentieoverzicht.

Plannen Beschrijving
Microsoft 365 inbegrepen Hiermee kunnen gebruikers SharePoint en andere Office-programma's die ze al hebben, uitbreiden.
Dynamics 365 is inbegrepen Hierdoor kunnen gebruikers de klantbetrokkenheids-apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing en Dynamics 365 Project Service Automation) aanpassen en uitbreiden die zij al hebben.
Power Apps-abonnement Dit biedt de volgende mogelijkheden:
  • Het toegankelijk maken van enterprise-connectors en Dataverse voor gebruik.
  • Gebruikers kunnen robuuste bedrijfslogica gebruiken voor verschillende toepassingstypen en beheermogelijkheden.
Power Apps-community Hierdoor kan een gebruiker Power Apps, Power Automate, Dataverse en aangepaste connectors gebruiken in één app voor individueel gebruik. Er is geen mogelijkheid om apps te delen.
Power Automate Free Hierdoor kunnen gebruikers onbeperkte stromen maken en deze 750 keer uitvoeren.
Power Automate-abonnement Zie Licentiehandleiding voor Microsoft Power Apps en Microsoft Power Automate.

Omgevingen

Als gebruikers licenties hebben, vormen omgevingen containers voor alle resources die worden gebruikt door Power Apps, Power Automate en Dataverse. Omgevingen kunnen door een bedrijf worden gebruikt om zich op verschillende doelgroepen te richten en kunnen voor verschillende doeleinden worden ingezet, zoals ontwikkeling, tests en productie. Meer informatie is te vinden in het Overzicht van omgevingen.

U gegevens en netwerk beveiligen

  • Power Apps en Power Automate bieden gebruikers geen toegang tot alle gegevensactiva waartoe zij nog geen toegang hebben. Gebruikers dienen alleen toegang te krijgen tot gegevens waartoe ze echt toegang nodig hebben.
  • Beleid voor netwerktoegangsbeheer kan ook van toepassing zijn op Power Apps en Power Automate. Voor een omgeving kan iemand de toegang tot een site vanuit een netwerk blokkeren door de aanmeldingspagina te blokkeren om te voorkomen dat er verbinding met die site wordt gemaakt in Power Apps en Power Automate.
  • In een omgeving wordt de toegang op drie niveaus gecontroleerd: Omgevingsrollen, Resourcemachtigingen voor Power Apps, Power Automate enz. en Dataverse-beveiligingsrollen (als een Dataverse-database wordt ingericht).
  • Wanneer Dataverse wordt gemaakt in een omgeving, nemen de Dataverse-rollen het over en wordt de beveiliging in de omgeving gecontroleerd (en worden alle omgevingsbeheerders en makers gemigreerd).

De volgende principals worden ondersteund voor elk type rol:

Type omgeving Role Type principal (Microsoft Entra ID)
Omgeving zonder Dataverse Omgevingsrol Gebruiker, groep, tenant
Resourcemachtiging: Canvas-app Gebruiker, groep, tenant
Resourcemachtiging: Power Automate, aangepaste connector, gateways, verbindingen1 Gebruiker, groep
Omgeving met Dataverse Omgevingsrol User
Resourcemachtiging: Canvas-app Gebruiker, groep, tenant
Resourcemachtiging: Power Automate, aangepaste connector, gateways, verbindingen1 Gebruiker, groep
Dataverse-rol (van toepassing op alle modelgestuurde apps en componenten) User

1 Alleen bepaalde verbindingen (zoals SQL) kunnen worden gedeeld.

Opmerking

  • In de standaardomgeving krijgen alle gebruikers in een tenant toegang tot de rol Omgevingsmaker.
  • Gebruikers met de rol Power Platform-beheerder hebben beheerderstoegang tot alle omgevingen.

Veelgestelde vragen - welke machtigingen zijn beschikbaar op Microsoft Entra-tenantniveau?

Op dit moment kunnen Microsoft Power Platform-beheerders het volgende doen:

  1. Het Power Apps & Power Automate-licentierapport downloaden
  2. Gegevensbeleid maken dat alleen gericht is op 'Alle omgevingen' of gericht om specifieke omgevingen op te nemen/uit te sluiten.
  3. Licenties beheren en toewijzen via het Office-beheercentrum
  4. Toegang tot alle omgevings-, app- en stroombeheermogelijkheden voor alle omgevingen in de tenant beschikbaar via:
    • Power Apps Admin PowerShell-cmdlets
    • Power Apps-beheerconnectors
  5. Toegang krijgen tot de Power Apps- en Power Automate-beheeranalyses voor alle omgevingen in de tenant:

Het gebruik van Microsoft Intune overwegen

Klanten met Microsoft Intune kunnen een beveiligingsbeleid voor mobiele apps instellen voor zowel Power Apps- als Power Automate-apps in Android en iOS. In dit overzicht wordt het instellen van beleid via Intune voor Power Automate belicht.

Het gebruik van op locatie gebaseerde voorwaardelijke toegang overwegen

Voor klanten met Microsoft Entra ID P1 of P2, kan beleid voor voorwaardelijke toegang worden gedefinieerd in Azure voor Power Apps en Power Automate. Hiermee kunt u toegang verlenen of blokkeren op basis van: gebruiker/groep, apparaat, locatie.

Beleid voor voorwaardelijke toegang opstellen

  1. Aanmelden bij https://portal.azure.com.
  2. Selecteer Voorwaardelijke toegang.
  3. Selecteer + Nieuw beleid.
  4. Selecteer geselecteerde gebruikers en groepen.
  5. Selecteer Alle cloud-apps>Alle cloud-apps>Common Data Service om de toegang tot apps voor klantbetrokkenheid te beheren.
  6. Pas voorwaarden toe (gebruikersrisico, apparaatplatforms, locaties).
  7. Selecteer Maken.

Gegevenslekken voorkomen met gegevensbeleid

Met Gegevensbeleid kunt u regels afdwingen waarmee u bepaalt welke connectors samen kunnen worden gebruikt door connectors als Alleen zakelijke gegevens of Geen zakelijke gegevens toegestaan te classificeren. Simpel gezegd: als u een connector in de groep 'Alleen zakelijke gegevens' plaatst, kan deze alleen worden gebruikt met andere connectors van die groep in dezelfde app. Power Platform-beheerders kunnen beleid definiëren dat van toepassing is op alle omgevingen.

Veelgestelde vragen

V: Kan ik op tenantniveau bepalen welke connector überhaupt beschikbaar is, bijvoorbeeld Nee tegen Dropbox of Twitter, maar Ja tegen SharePoint?

A: Dit is mogelijk door gebruik te maken van de mogelijkheden avn Classificatie connectors: en door de classificatie Geblokkeerd toe te wijzen aan een of meer connectors die u niet wilt laten gebruiken. Er is een set connectors die niet kunnen worden geblokkeerd.

Vraag: Hoe zit het met het delen van connectors tussen gebruikers? Is de connector voor Teams bijvoorbeeld een algemene connector die kan worden gedeeld?

A: Connectors zijn beschikbaar voor alle gebruikers. Dit geldt echter niet voor premium-connectors of aangepaste connectors waarvoor een extra licentie nodig is (premium-connectors) of die expliciet moeten worden gedeeld (aangepaste connectors)

Waarschuwing en actie

Behalve monitoren willen veel klanten zich abonneren op softwarecreatie-, gebruiks- of statusgebeurtenissen, zodat ze weten wanneer ze een actie moeten uitvoeren. In deze sectie worden enkele manieren beschreven om (handmatige en programmatische) gebeurtenissen te observeren en acties uit te voeren die worden getriggerd door een gebeurtenis.

Power Automate-stromen bouwen om te waarschuwen bij belangrijke controlegebeurtenissen

  1. Een voorbeeld van een waarschuwing die kan worden geïmplementeerd, is een abonnement op Microsoft 365 Security and Compliance Audit Logs.
  2. Dit kan worden bereikt via een webhook-abonnement of polling-benadering. Door Power Automate aan deze waarschuwingen te koppelen, kunnen we beheerders echter meer bieden dan alleen e-mailmeldingen.

Beleid ontwikkelen dat u nodig hebt met Power Apps, Power Automate en PowerShell

  1. Deze PowerShell-cmdlets bieden beheerders volledige controle om het benodigde governance-beleid te automatiseren.
  2. De connectors voor Power Platform for Admins V2 (preview) en Power Automate-beheer bieden dezelfde mate van controle, maar met extra uitbreidbaarheid en gebruiksgemak omdat ze gebruikmaken van Power Apps en Power Automate.
  3. Bekijk de Best practices voor beheer en governance van Power Platform en overweeg om de Center of Excellence (CoE) Starter Kit op te zetten.
  4. Gebruik deze blog- en app-sjabloon om snel aan de slag te gaan met de beheerconnectors.
  5. Bovendien is het de moeite waard om de inhoud te bekijken die wordt gedeeld in de galerie van community-apps. En hier is nog een voorbeeld van een beheerervaring die is gebouwd met behulp van Power Apps en beheerconnectors.

Veelgestelde vragen

Probleem Momenteel kunnen alle gebruikers met Microsoft E3-licenties apps maken in de standaardomgeving. Hoe kunnen we de rechten voor Omgevingsmaker bijvoorbeeld voor een bepaalde groep inschakelen. Tien personen om apps te maken?

Aanbeveling

De PowerShell-cmdlets en beheerconnectors bieden beheerders volledige flexibiliteit en controle om het gewenste beleid te ontwikkelen voor hun organisatie.

Monitoren

Het is algemeen bekend dat monitoring een cruciaal aspect is bij het beheren van software op grote schaal. In dit gedeelte wordt een aantal manieren belicht om inzicht te krijgen in de ontwikkeling en het gebruik van Power Apps en Power Automate.

De audittrail bekijken

Activiteitenregistratie voor Power Apps is geïntegreerd met het Office-beveiligings- en compliancecentrum voor uitgebreide logboekregistratie voor Microsoft-services zoals Dataverse en Microsoft 365. Office biedt een API voor het opvragen van deze gegevens, die momenteel door veel SIEM-leveranciers wordt gebruikt om de logboekregistratie van activiteiten te gebruiken voor rapportagedoeleinden.

Het Power Apps- en Power Automate-licentierapport bekijken

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer Licenties in het navigatiedeelvenster.
  3. Selecteer in het deelvenster Licenties de optie Power Automate of Power Apps om de informatie te bekijken.

U kunt gegevens ophalen over het volgende:

  • Actieve gebruiker en app-gebruik - hoeveel gebruikers gebruiken een app en hoe vaak?
  • Locatie - waar vindt het gebruikplaats?
  • Serviceprestaties van connectors
  • Foutrapportage - wat zijn de meest foutgevoelige apps
  • Stromen die in gebruik zijn, op type en datum
  • Stromen die zijn gemaakt, op type en datum
  • Controle op toepassingsniveau
  • Servicestatus
  • Gebruikte connectors

Bekijken welke gebruikers een licentie hebben

U kunt altijd kijken naar individuele gebruikerslicenties in het Microsoft 365-beheercentrum, door in te zoomen op specifieke gebruikers.

U kunt ook de volgende PowerShell-opdracht gebruiken om toegewezen gebruikerslicenties te exporteren.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Hiermee exporteert u alle toegewezen gebruikerslicenties (Power Apps en Power Automate) in uw tenant naar een CSV-bestand in de tabelweergave. Het geëxporteerde bestand bevat zowel interne proefabonnementen voor selfservice-aanmelding als abonnementen die afkomstig zijn van Microsoft Entra ID. De interne proefabonnementen zijn niet zichtbaar voor beheerders in het Microsoft 365-beheercentrum.

De export kan enige tijd duren voor tenants met een groot aantal Power Platform-gebruikers.

App-resources die in een omgeving worden gebruikt

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer in het deelvenster BeherenOmgevingen.
  4. Selecteer een omgeving op de pagina Omgevingen.
  5. Bekijk in het gedeelte Resources de lijst met apps die in de omgeving worden gebruikt.

Gerelateerde inhoud

  • Last updated on