若您是环境管理员或 Microsoft Power Platform 管理员,可管理组织内创建的应用程序。
管理员可在 Power Platform 管理中心执行以下操作:
- 添加或更改与之共享应用的用户
- 删除当前未使用的应用
必备条件
- Power Apps 计划或 Power Automate 计划。 或注册 Power Apps 免费试用版。
- Power Apps 环境管理员或 Power Platform 管理员权限。 更多信息请参阅 Power Apps 环境管理。
管理 Power Apps
- 登录 Power Platform 管理中心。
- 在导航窗格中,选择管理。
- 在管理窗格中,选择环境。
- 在环境页面上,选择一个环境。
- 在资源窗格中,选择 Power Apps。
- 选择要管理的应用。
- 在命令栏中选择所需操作:共享或删除。
管理谁可以共享画布应用
Power Apps 遵循 Dataverse 中画布应用的共享权限设置。 如果用户没有画布应用共享特权设置为尚未选择之外的值的安全角色,他将无法在环境中共享画布应用。 此 Dataverse 画布应用共享权限在默认环境中同样有效。 阅读 安全角色的编辑设置以了解更多信息。
备注
要在安全角色中精细控制画布应用共享权限,需在权限变更环境中配置 Dataverse。 Power Apps 不会单独识别环境中设置的其他 Dataverse 画布应用实体权限。
系统更新可能会删除对预定义安全角色的自定义,包括环境创建者。 这意味着删除画布应用共享特权可能会在系统更新期间重新引入。 在系统更新期间保留对画布应用共享特权的自定义之前,可能需要重新应用共享特权自定义。
揭示组织的治理错误的内容
如果指定治理错误消息内容在错误提示中显示,那么当用户发现自己无权限在环境中共享应用时,这些内容将被包括在错误提示中。 了解更多信息,请参阅 PowerShell 治理错误消息内容命令。
区分 Microsoft SharePoint 自定义表单创建者与普通环境创建者
除了能够将 SharePoint 自定义窗体资源保存到非默认环境之外,还可以将制作者特权限制为只能在非默认环境中创建和编辑 SharePoint 自定义窗体。 在默认环境之外,管理员可以取消分配给用户的环境创建者安全角色,然后分配 SharePoint 自定义窗体制作者安全角色。
备注
区分 SharePoint 自定义窗体制作者和常规环境创建者这一功能要求在将更改权限的环境中安装 Dataverse。
在环境中只具有 SharePoint 自定义表单创建者角色的用户,不会在 Power Apps 或 Power Automate 的环境列表中看到该环境。
执行以下操作将制作者权限限制为只能在非默认环境中创建和编辑 SharePoint 自定义窗体。
请管理员将 AppSource 中的 SharePoint 自定义表单生成器解决方案安装到您指定用于 SharePoint 自定义表单的环境中。
在 Power Platform 管理中心中,选择在步骤一中为 SharePoint 自定义窗体指定的环境,并将 SharePoint 自定义窗体制作者安全角色分配给应该创建 SharePoint 自定义窗体的用户。 请参阅在有 Dataverse 数据库的环境中为用户分配安全角色。
常见问题解答
是否可以编辑 SharePoint 自定义窗体制作者安全角色中的权限?
不可以,SharePoint 自定义窗体制作者安全角色是通过导入不可自定义解决方案添加到环境中的。 请注意,要创建 SharePoint 自定义窗体,需要用户在 SharePoint 和 Power Platform 中拥有权限。 平台会验证用户对使用 Microsoft Lists 创建的目标列表是否具有写入权限,并且用户在 Power Platform 中是否具有创建或更新 SharePoint 自定义窗体的权限。 要让 SharePoint 自定义窗体制作者通过 Power Platform 检查,用户必须拥有 SharePoint 自定义窗体制作者安全角色或环境创建者安全角色。
仅拥有 SharePoint 自定义窗体制作者角色的用户是否可以在 make.powerapps.com 环境选取器中看到环境?
否,不具有选择环境文档中提到的安全角色的制作者不会在 https://make.powerapps.com 中的环境选取器中看到环境。 拥有 SharePoint 自定义窗体制作者角色的用户可能希望通过处理 URI 导航到环境。 如果用户尝试创建独立应用,他们将看到权限错误。
管理应用隔离状态
作为 Power Platform 数据丢失防护策略的补充,Power Platform 使管理员能够“隔离”资源,为低代码开发设置防护措施。 资源的隔离状态由管理员管理,并控制资源是否可供最终用户访问。 在 Power Apps 中,此功能允许管理员直接限制可能需要注意以满足组织的合规性要求的应用的可用性。
备注
以前从未启动过隔离应用的用户将无法访问该应用。
在隔离前已经播放过隔离的应用的用户可以访问该应用。 如果这些用户过去使用过隔离的应用,可能可以使用该应用几秒钟。 但是在之后如果尝试再次打开该应用,将收到消息,说明已隔离该应用。
下表概括介绍了隔离状态如何影响管理员、制作者和最终用户的体验。
| 角色 | 体验 |
|---|---|
| 管理员 | 无论应用的隔离状态如何,Power Platform Admin Center 和 PowerShell cmdlet 中的管理员都会看到应用。 |
| 制作者 | 无论应用的隔离状态如何,应用都在https://make.powerapps.com中可见,并且可以在 Power Apps Studio 中打开以进行编辑。 |
| 最终用户 | 隔离的应用向启动应用的最终用户显示一条消息,指示他们无法访问该应用。 |
最终用户在启动已隔离的应用时将看到错误消息。
下表反映了隔离支持情况:
| Power Apps 类型 | 隔离支持 |
|---|---|
| 画布应用 | 正式发布 |
| 模型驱动应用 | 尚不支持 |
隔离应用
Set-AppAsQuarantined -EnvironmentName <EnvironmentName> -AppName <AppName>
取消隔离应用
Set-AppAsUnquarantined -EnvironmentName <EnvironmentName> -AppName <AppName>
获取应用的隔离状态
Get-AppQuarantineState -EnvironmentName <EnvironmentName> -AppName <AppName>
托管环境:单个应用程序的条件访问
除了遵守应用于 Power Apps 服务的条件访问策略之外,在托管环境中,还可以将 Microsoft Entra 条件访问策略应用于使用 Power Apps 创建的单个应用。 例如,管理员可以仅在包含敏感数据的应用上应用需要多重身份验证的条件访问策略。 Power Apps 利用条件访问身份验证上下文作为针对粒度应用的条件访问策略的机制。 管理员是被允许在应用上添加和删除身份验证上下文的角色。 制作者无法在应用上编辑身份验证上下文。
备注
- 在应用上设置的身份验证上下文不会随解决方案中的应用一起移动,将跨环境移动。 这允许将不同的身份验证上下文应用于不同环境中的应用。 而且,当应用通过解决方案跨环境移动时,环境中设置的身份验证上下文将保留。 例如,如果在 UAT 环境中的应用上设置了身份验证上下文,将保留该身份验证上下文。
- 可以在应用上设置多个身份验证上下文。 最终用户必须通过多个身份验证上下文应用的条件访问策略的联合验证。
- 对单个应用的条件访问是托管环境的一项功能。
下表概括了对特定应用实施条件访问会对管理员、制作者和最终用户的体验有怎样的影响。
| 角色 | 体验 |
|---|---|
| 管理员 | 无论与应用关联的条件访问策略如何,管理员都可以在 Power Platform 管理中心和 PowerShell cmdlet 中看到应用。 |
| 制作者 | 无论与应用关联的条件访问策略如何,应用都在 https://make.powerapps.com 中可见,并可以在 Power Apps Studio 中打开进行编辑。 |
| 最终用户 | 当最终用户启动应用时,会强制执行应用于应用的条件访问策略。 未通过条件访问检查的用户会在身份验证体验中显示一个对话框,指示他们不允许访问资源。 |
在管理员将身份验证上下文关联到 https://portal.azure.com 中的条件访问策略后,他们可以在应用上设置身份验证上下文 ID。 下图说明了在何处获取身份验证上下文 ID。
不满足条件访问策略要求的最终用户会收到一条错误消息,指示他们无权访问。
下表反映了粒度应用的条件访问支持:
| Power Apps 类型 | 单个应用的条件访问支持 |
|---|---|
| 画布应用 | 预览版可用性 |
| 模型驱动应用 | 不支持 |
将条件访问身份验证上下文 ID 添加到应用
Set-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName> -AuthenticationContextIds <id1, id2, etc...>
在应用上设置条件访问身份验证上下文 ID
Get-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName>
删除应用上的条件访问身份验证上下文 ID
Remove-AdminPowerAppConditionalAccessAuthenticationContextIds –EnvironmentName <EnvironmentName> -AppName <AppName>