Udostępnij przez

Zagadnienia dotyczące bezpieczeństwa i zarządzania w Power Platform

Wielu klientów zastanawia się, w jaki sposób można udostępnić Power Platform ich szerszej firmie i wesprzeć ją IT? Odpowiedzią jest nadzór. Umożliwia on grupom biznesowym skoncentrowanie się na efektywnym rozwiązywaniu problemów biznesowych, przestrzegając przy tym odnośnych standardów informatycznych i biznesowych. Poniższa treść ma na celu uporządkowanie tematów często kojarzonych z zarządzaniem oprogramowaniem i uświadomienie możliwości dostępnych dla każdego tematu w odniesieniu do zarządzania platformą Power Platform.

Motyw Typowe pytania związane z każdą dziedziną, dla które ta zawartość odpowiada
Architektura
  • Jakie są podstawowe konstrukcje i koncepcje usług Power Apps, Power Automate i Microsoft Dataverse?

  • Jak te konstrukcje z sobą współpracują w czasie projektowania i wykonywania?
Zabezpieczenia
  • Jakie są najlepsze praktyki w kwestii projektowania zabezpieczeń?

  • Jak mogę wykorzystać nasze istniejące rozwiązania do zarządzania użytkownikami i grupami do zarządzania rolami dostępu i zabezpieczeń w Power Apps?
Alerty i akcje
  • Jak zdefiniować model nadzoru między programistami obywatelskimi a zarządzanymi usługami IT?

  • Jak zdefiniować model nadzoru między centralnym działem IT a administratorami w jednostkach biznesowych?

  • Jak podejść do kwestii obsługi środowisk innych niż domyślne w organizacji?
Monitorowanie
  • Jak są rejestrowane informacje o zgodności/dane z inspekcji?

  • Jak zmierzyć postępy wdrażania i wykorzystywania w organizacji?

Architektura

Budowanie optymalnej struktury nadzoru w firmie najlepiej zacząć od zaznajomienia się ze Środowiskami. Środowiska to kontenery na wszystkie zasoby używane przez Power Apps, Power Automate i Dataverse. Podsumowanie środowisk to dobry początek, po którym należy wpisać Czym jest Dataverse?, Rodzaje Power Apps, Microsoft Power Automate, Łączniki i Bramy lokalne.

Zabezpieczenia

W tej sekcji opisano mechanizmy, które istnieją, aby kontrolować, kto może uzyskiwać dostęp do usługi Power Apps w środowisku i uzyskiwać dostęp do danych: licencje, środowiska, role środowiska, identyfikator Entra firmy Microsoft, zasady danych i łączniki administratora, których można używać z usługą Power Automate.

Licencjonowanie

Dostęp do Power Apps i Power Automate zaczyna się od posiadania licencji. Typ licencji, do których użytkownik ma dostęp, określa zasoby i dane, do których ma dostęp. W poniższej tabeli przedstawiono różnice w zasobach dostępnych dla użytkownika na podstawie posiadanego typu planu, na poziomie ogólnym. Szczegółowe informacje o licencjach można znaleźć w temacie Omówienie licencjonowania.

Planowanie Opis
Uwzględnianie Microsoft 365 Pozwala użytkownikom rozszerzać funkcjonalność programu SharePoint i innych zasobów pakietu Office, które już posiadają.
Pakiet usługi Dynamics 365 Umożliwia to użytkownikom dostosowywanie i rozszerzanie aplikacji angażujących klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation), które już posiadają.
Plan usługi Power Apps Pozwala:
  • udostępnianie do użytku konektorów korporacyjnych i Dataverse.
  • użytkownikom korzystać z zaawansowanej logiki biznesowej między różnymi typami aplikacji i funkcjami administracyjnymi.
Społeczność usługi Power Apps Dzięki temu użytkownik może korzystać z Power Apps, Power Automate, Dataverse i niestandardowych łączników w jednym, do indywidualnego użytku. Nie ma możliwości udostępniania aplikacji.
Power Automate za darmo Dzięki temu użytkownicy mogą tworzyć nieograniczoną liczbę przepływów i wykonać 750 uruchomionych przepływów.
Plan Power Automate Zobacz Przewodnik licencjonowania usług Microsoft Power Apps i Microsoft Power Automate.

Środowiska

Gdy użytkownicy mają licencje, środowiska istnieją jako kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Środowisk można używać do kierowania działań do różnych odbiorców i/lub do różnych celów, takich jak opracowywanie, testowanie i produkcja. Więcej informacji można znaleźć w temacie Omówienie środowisk.

Zabezpieczenie danych i sieci

  • Usługi Power Apps i Power Automate nie zapewniają użytkownikom dostępu do żadnych zasobów danych, do których nie mają oni jeszcze dostępu. Użytkownicy powinni mieć dostęp tylko do tych danych, których naprawdę potrzebują.
  • Zasady kontroli dostępu do sieci można również zastosować do Power Apps i Power Automate. W przypadku środowiska można zablokować dostęp do witryny z sieci, blokując stronę logowania, aby zapobiec tworzeniu połączeń z tą witryną w Power Apps i Power Automate.
  • W środowisku dostęp jest kontrolowany na trzech poziomach: rolach środowiska, uprawnieniach zasobów dla Power Apps, Power Automate, itp. i rolach zabezpieczeń Dataverse (jeśli jest inicjowanie obsługi bazy danych Dataverse).
  • Kiedy Dataverse jest tworzony w środowisku, role Dataverse przejmują kontrolę nad bezpieczeństwem w środowisku (a wszyscy administratorzy i twórcy środowiska podlegają migracji).

Dla każdego typu roli są obsługiwane następujące podmioty zabezpieczeń.

Typ środowiska Role Typ obiektu principal (Tożsamość Microsoft Entra)
Środowisko bez Dataverse Rola w środowisku Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: aplikacja kanwy Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 Użytkownik, grupa
Środowisko z Dataverse Rola w środowisku Użytkownika
Uprawnienie do zasobu: aplikacja kanwy Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 Użytkownik, grupa
Rola Dataverse (dotyczy wszystkich aplikacji opartych na modelu i składników) Użytkownika

1Tylko niektóre połączenia (na przykład SQL) mogą być udostępnione.

Uwaga

  • W środowisku domyślnym wszystkim użytkownikom w dzierżawie jest przyznawany dostęp do roli Twórca środowiska.
  • Użytkownicy z rolą administratora Power Platform mają dostęp administracyjny do wszystkich środowisk.

Często zadawane pytania — Jakie uprawnienia istnieją na poziomie dzierżawy Microsoft Entra?

Obecnie administratorzy Microsoft Power Platform mogą wykonywać następujące czynności:

  1. Pobieranie raportu o licencjach na usługi Power Apps i Power Automate
  2. Utwórz zasady dotyczące danych obejmujące wyłącznie „Wszystkie środowiska” lub obejmujące/wykluczające określone środowiska
  3. Zarządzanie licencjami i ich przypisywanie za pośrednictwem centrum administracyjnego usługi Office
  4. Uzyskaj dostęp do wszystkich funkcji zarządzania środowiskiem, aplikacjami i przepływami dla wszystkich środowisk dostępnych w dzierżawie za pośrednictwem następujących użytkowników:
    • Polecenia cmdlet PowerShell dla administratora Power Apps
    • Łączniki zarządzania Power Apps
  5. Uzyskaj dostęp do analiz administracyjnych Power Apps i Power Automate dla wszystkich środowisk w dzierżawie:

Zagadnienia dotyczące usługi Microsoft Intune

Klienci korzystający z usługi Microsoft Intune mogą ustawiać zasady ochrony aplikacji mobilnych zarówno dla aplikacji Power Apps, jak i Power Automate w systemach Android i iOS. W tym instruktażu opisano konfigurowanie zasad za pośrednictwem usługi Intune dla Power Automate.

Zagadnienia dotyczące dostępu warunkowego na podstawie lokalizacji

W przypadku klientów z identyfikatorem Microsoft Entra P1 lub P2 zasady dostępu warunkowego można zdefiniować na platformie Azure dla Power Apps i Power Automate. Umożliwia to przyznawanie lub blokowanie dostępu na podstawie użytkownika/grupy, urządzenia lub lokalizacji.

Tworzenie zasady dostępu warunkowego

  1. Zaloguj się w https://portal.azure.com.
  2. Wybierz opcję Dostęp warunkowy.
  3. Wybierz opcję +Nowa zasada.
  4. Wybierz wybrani użytkownicy i grupy.
  5. Wybierz wszystkie aplikacje w chmurze>Wszystkie aplikacje w chmurze>Common Data Service, aby kontrolować dostęp do aplikacji Customer Engagement.
  6. Zastosuj warunki (ryzyko użytkownika, platformy urządzeń, lokalizacje).
  7. Wybierz pozycję Utwórz.

Zapobieganie wyciekom danych przy użyciu zasad danych

Zasady ochrony przed utratą danych (DLP) egzekwują reguły decydujące o tym, które łączniki mogą być używane razem, klasyfikując łączniki jako Tylko dane biznesowe lub Zakaz danych biznesowych. Krótko mówiąc, jeśli łącznik zostanie umieszczony w grupie typu Tylko dane biznesowe, może być używany tylko razem z innymi łącznikami z tej grupy w tej samej aplikacji. Administratorzy Power Platform mogą definiować zasady mające zastosowanie do wszystkich środowisk.

Często zadawane pytania

Pyt.: Czy można kontrolować na poziomie dzierżawy, który łącznik jest w ogóle dostępny, na przykład Nie dla usług Twitter lub Dropbox, ale tak dla SharePoint?

Odp.: Jest to możliwe, klikając możliwości klasyfikacji łączników i przypisując zablokowany klasyfikator do jednego lub kilku łączników, które nie mają być używane. Należy pamiętać, że istnieje zestaw łączników, których nie można blokować.

P: A co z udostępnianiem łączników między użytkownikami? Na przykład czy łącznik dla Teams jest łącznikiem ogólnym, który można udostępnić?

O: Łączniki są dostępne dla wszystkich użytkowników z wyjątkiem łączników premium lub niestandardowych, które wymagają innej licencji (łączniki premium) lub muszą być jawnie udostępniane (łączniki niestandardowe)

Alerty i akcje

Poza monitorowaniem wielu klientów chce subskrybować również zdarzenia tworzenia, użytkowania lub informowania o kondycji oprogramowania, tak aby wiedzieć, kiedy należy podjąć czynności. W tej sekcji przedstawiono kilka sposobów obserwowania zdarzeń (ręcznie i programowo) oraz wykonywania akcji wyzwalanych wystąpieniem zdarzenia.

Tworzenie przepływów usługi Power Automate do alarmowania o kluczowych zdarzeniach inspekcyjnych

  1. Przykład alertu, który można zaimplementować, jest subskrybowany przez dzienniki inspekcji Centrum zabezpieczeń i zgodności usług Microsoft 365.
  2. Można to osiągnąć poprzez subskrypcję elementu webhook lub poprzez sondowanie. Jednak wykorzystanie usługi Power Automate do tych alertów pozwala zaoferować administratorom więcej niż tylko alerty pocztą e-mail.

Twórz potrzebne zasady za pomocą Power Apps, Power Automate i PowerShell

  1. Te polecenia cmdlet programu PowerShell przekazują całą kontrolę w ręce administratorów, umożliwiając zautomatyzowanie niezbędnych zasad nadzoru.
  2. Łączniki Power Platform for Admins V2 (wersja zapoznawcza) i zarządzania Power Automate zapewniają ten sam poziom kontroli, ale z dodatkową rozszerzalnością i łatwością użytkowania dzięki wykorzystaniu Power Apps i Power Automate.
  3. Zapoznaj się z najlepszymi rozwiązaniami Power Platform dotyczącymi administracji i ładu oraz rozważ skonfigurowanie zestawu startowego Centrum doskonałości (CoE).
  4. Korzystaj z tego szablonu bloga i aplikacji szybko na łącznikach administracji.
  5. Ponadto warto sprawdzić zawartość udostępnioną w Galerii aplikacji społeczności, gdzie przedstawiono więcej przykładów środowisk administracyjnych utworzonych za pomocą usługi Power Apps i łączników administracyjnych.

Często zadawane pytania

Problem Obecnie wszyscy użytkownicy z licencjami Microsoft E3 mogą tworzyć aplikacje w środowisku domyślnym. W jaki sposób można włączyć prawa Kreatora środowisk na przykład dla wybranej grupy. 10 osób, aby utworzyć aplikacje?

Rekomendacja.

Rekomendacja Polecenia cmdlet programu PowerShell i łączniki zarządzania zapewniają administratorom pełną elastyczność i kontrolę nad tworzeniem zasad potrzebnych w podległych im organizacjach.

Monitorowanie

Powszechnie wiadomo, że monitorowanie jest krytycznym aspektem zarządzania oprogramowaniem na dużą skalę. W tej sekcji omówiono kilka sposobów uzyskania wglądu w rozwój i użytkowanie Power Apps i Power Automate.

Przeglądanie dziennika inspekcji

Funkcja rejestrowanie działań w Power Apps jest zintegrowana z Centrum zabezpieczeń i zgodności z pakietem Office w celu wszechstronnego logowania do usług Microsoft, takich jak Dataverse i Microsoft 365. W pakiecie Office udostępniono interfejs API umożliwiający wysyłanie zapytań o te dane. Interfejs jest obecnie używany przez wielu dostawców SIEM jako narzędzie pozwalające wykorzystywać dane z funkcji Rejestrowanie działań na potrzeby raportowania.

Wyświetl raport dotyczący licencji Power Apps i Power Automate

  1. Zaloguj się do centrum administracyjnego Power Platform.
  2. W okienku nawigacji wybierz Licencje.
  3. W okienku Licencjonowanie wybierz lub Power AutomatePower Apps, aby przejrzeć informacje.

Można zdobyć następujące informacje:

  • Liczba aktywnych użytkowników i użytkowanie aplikacji – ilu użytkowników korzysta z aplikacji i jak często?
  • Lokalizacja — gdzie się odbywa użytkowanie?
  • Działanie usług w łącznikach
  • Raportowanie błędów — aplikacje, w których najczęściej występujące błędy
  • Wykorzystywane przepływy według typu i daty
  • Tworzone przepływy według typu i daty
  • Inspekcje na poziomie aplikacji
  • Service Health
  • Używane łączniki

Wyświetlanie licencjonowanych użytkowników

Użytkownik może zawsze sprawdzić Licencjonowanie poszczególnych użytkowników w centrum administracyjnym Microsoft 365, wykonując drążenie według określonych użytkowników.

Do wyeksportowania przydzielonych licencji użytkownika można również użyć poniższego polecenia środowiska PowerShell.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportuje wszystkie przypisane licencje użytkowników (Power Apps i Power Automate) w dzierżawie do pliku .csv w widoku tabelarycznym. Wyeksportowany plik zawiera wewnętrzne plany na wersje próbne z samodzielną rejestracją oraz plany pobrane z usługi Tożsamość Microsoft Entra. Wewnętrzne plany z wersjami próbnymi są niewidoczne dla administratorów w centrum administracyjnym usługi Microsoft 365.

Eksport może zająć trochę czasu w przypadku dzierżaw z dużą liczbą użytkowników Power Platform.

Wyświetlanie zasobów aplikacji używanych w środowisku

  1. Zaloguj się do centrum administracyjnego Power Platform.
  2. W okienku nawigacyjnym wybierz Zarządzanie.
  3. W okienku Zarządzaj, wybierz Środowiska.
  4. Na stronie Środowiska wybierz swoje środowisko.
  5. W sekcji Zasoby przejrzyj listę aplikacji używanych w środowisku.

Powiązana zawartość

  • Last updated on