共用方式為

Power Platform 中的安全性和治理考量

許多客戶想知道如何讓 Power Platform 廣泛運用於其業務並獲得 IT 支援? 治理是解答。 它旨在讓業務群組能在符合 IT 和商務合規性標準的同時,有效地解決商務問題。 下列內容旨在建構通常與治理軟件相關聯的主題,讓使用者了解各主題在管理 Power Platform 時所提供的功能。

主題 與此內容答案所屬的各主題相關常見問題
架構
  • Power Apps、Power Automate 和 Microsoft Dataverse 的基本結構與概念是什麼?

  • 設計和執行階段時,如何將這些建構函式相符結合?
安全性
  • 安全性設計考量因素的最佳作法是什麼?

  • 如何利用現有的使用者和群組管理解決方案來管理 Power Apps 中的存取和資訊安全角色?
警示和動作
  • 我如何定義公民開發人員和受控 IT 服務之間的治理模型?

  • 我如何定義中央 IT 和商務單位管理員之間的治理模型?

  • 我應該如何在組織中受惠於非預設環境的支援方法?
監視
  • 我們如何捕獲合規性/稽核資料?

  • 我如何衡量組織內的採行與使用方式?

架構

為您的公司建立正確的治理案例時,首要步驟最好是讓自己熟悉環境。 環境是 Power Apps、Power Automate 和 Dataverse 使用之所有資源的容器。 環境概觀是絕佳的入門指南,建議接著閱讀什麼是 Dataverse?Power Apps 類型Microsoft Power Automate連接器內部部署閘道

安全性

本節概述用於控制誰可以存取環境中的 Power Apps 並存取資料的機制:授權、環境、環境角色、Microsoft Entra ID、資料原則和可與 Power Automate 搭配使用的管理員連接器。

授權

要存取 Power Apps 和 Power Automate,首先得擁有授權。 使用者擁有的權限類型決定了使用者可以存取的資產和資料。 下表根據他們的方案類型,從最上層概述使用者可使用的資源差異。 您可以在授權概觀找到詳細的授權資料。

計劃 描述:
已包含 Microsoft 365 這可讓使用者擴充 SharePoint 以及他們已擁有的其他 Office 資產。
Dynamics 365 已納入其中 這可讓使用者自訂並擴充他們已經有的 Customer Engagement 應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。
Power Apps 方案 這讓:
  • 使企業連接器和 Dataverse 可供使用。
  • 使用者可以跨類型和管理功能使用健全的商務規則。
Power BI 社群 這可讓使用者單獨使用 Power Apps、Power Automate、Dataverse 和自訂連接器。 無法共用應用程式。
Power Automate 免費 讓使用者可以建立無限流量,並進行 750 次執行。
Power Automate 方案 請參閱 Microsoft Power Apps 和 Microsoft Power Automate 授權指南

環境

使用者擁有授權後,環境會成為 Power Apps、Power Automate 和 Dataverse 使用的所有資源的容器。 環境可用於針對不同的受眾和/或不同的目的,例如開發、測試和生產。 更多資訊請參閱 環境概觀

保護您的資料和網路

  • Power Apps 和 Power Automate 不會讓使用者存取其尚未擁有存取權限的任何資料資產。 使用者應只能存取他們真正需要存取的資料。
  • 網路存取控制原則也適用 Power Apps 和 Power Automate。 對於環境,使用者可封鎖登入頁面以阻止從網路內部存取網站,避免在 Power Apps 和 Power Automate 中建立與該網站的連線。
  • 在環境中,存取受三個層級控制:環境角色、Power Apps、Power Automate 等應用程式的資源權限以及 Dataverse 資訊安全角色 (如果已佈建 Dataverse 資料庫)。
  • 在環境中建立 Dataverse 後,Dataverse 角色會接管環境中的安全性控制 (並移轉所有環境管理員和製作者)。

下列主題支援各種角色類型。

環境類型 Role 主體類型 (Microsoft Entra ID)
沒有 Dataverse 的環境 環境角色 使用者、群組、租用戶
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
具備 Dataverse 的環境 環境角色 User
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
Dataverse 角色 (適用於所有模型導向應用程式和元件) User

1只能共用特定連接 (例如 SQL)。

Note

  • 在預設環境中,租用戶中的所有使用者都會被授與環境建立者角色的存取權。
  • 具備 Power Platform 管理員角色的使用者擁有所有環境的管理員存取權限。

常見問題 - Microsoft Entra 租用戶層級存在哪些權限?

目前,Microsoft Power Platform 管理員可以執行下列動作:

  1. 下載 Power Apps 和 Power Automate 授權報表
  2. 建立僅適用於「所有環境」或包含/排除特定環境的資料政策。
  3. 透過 Office 系統管理中心管理和轉讓授權
  4. 透過以下方式存取租用戶中所有可用環境的所有環境、應用程式及流程管理能力:
    • Power Apps 管理員 PowerShell Cmdlet
    • Power Apps 管理連接器
  5. 在租用戶中存取所有環境的 Power Apps 和 Power Automate 管理員分析:

考量 Microsoft Intune

Microsoft Intune 客戶可以為 Android 和 iOS 上的 Power Apps 與 Power Automate 應用程式設定行動應用程式保護原則。 此逐步解說重點說明如何透過 Intune 設定 Power Automate 的原則。

考量位置為主的條件式存取

對於擁有 Microsoft Entra ID P1 或 P2 的客戶,可在 Azure for Power Apps 和 Power Automate 中定義條件式存取原則。 這允許根據下列條件授予或封鎖存取:使用者/群組、裝置、位置。

建立條件式存取原則

  1. 登入 https://portal.azure.com
  2. 選取條件式存取
  3. 選取 + 新增原則
  4. 選擇選定的使用者和群組
  5. 選取所有雲端應用程式>所有雲端應用程式>Common Data Service 以控制對 Customer Engagement 應用程式的存取。
  6. 套用條件 (使用者風險、裝置平台、位置)。
  7. 選取 建立

使用資料原則防止資料外洩

資料原則將連接器分類為「僅限商務資料」或「不允許商務資料」,以強制哪些連接器可以搭配使用的規則。 您只要將連接器放在商務資料專用群組,它就只能與相同應用程式中該群組的其他連接器搭配使用。 Power Platform 管理員可以定義適用於所有環境的原則。

FAQ

問題:是否可以在租用戶層級控制哪些連接器可供使用 (例如,Dropbox 或 Twitter 不可用,但 SharePoint 可用)?

答案:利用連接器分類功能,並將已封鎖分類器指派給您要避免使用的一個或多個連接器,即可達成此目標。 有一組無法被阻塞的連接器

問題:使用者之間共用連接器? 例如,Teams 的連接器是可以共用的一般連接器嗎?

答:連接器可供所有使用者使用,但進階或自訂連接器除外,這些連接器需要另一個授權 (進階連接器) 或必須明確共用 (自訂連接器)

警示和動作

除了監控之外,許多客戶還希望訂閱軟體建立、使用或執行狀況事件,以便他們知道何時執行操作。 本節概述一些觀察事件的方式(手動和程式),及執行事件發生觸發的動作。

建置 Power Automate 流程以對重要稽核事件發出警示

  1. 例如,可實作的警示是訂閱 Microsoft 365 安全性與合規性稽核記錄。
  2. 這可以透過 Webhook 訂閱或輪詢方法辦到。 不過,將 Power Automate 附加至這些警示,我們能為管理員提供的就不只是電子郵件警示。

使用 Power Apps、Power Automate 和 PowerShell 建置您需要的原則

  1. 這些 PowerShell Cmdlet 會放置完全控制在系統管理員手上,以便自動化必要的治理原則。
  2. Power Platform for Admins V2 (預覽版)Power Automate 管理連接器使用 Power Apps 和 Power Automate,提供相同等級的控制,但有更高的擴充性和易用性。
  3. 檢閱 Power Platform 管理和治理最佳做法,並考慮設定卓越中心 (CoE) 入門套件
  4. 在系統管理連接器上快速逐步增加使用此此部落格和應用程式範本
  5. 此外,也值得查看社群應用程式庫共用的內容,以下是另一個使用 Power Apps 和系統管理連接器組建的系統管理體驗範例。

FAQ

問題目前所有使用 Microsoft E3 授權的使用者都可以在預設環境中建立應用程式。 例如,我們如何為選取群組啟用環境建立者權利。 十個人來建立應用程式?

建議

PowerShell cmdlet管理連接器為管理員提供了充分的靈活性和控制力,並為其組織建置所需的原則。

監視

眾所周知,監控是大規模管理軟體的關鍵面向。 本節重點介紹幾種深入了解如何開發和使用 Power Apps 與 Power Automate 的方法。

評論稽核線索

Power Apps 的活動記錄與 Office 安全性和合規性中心整合,可跨 Microsoft 服務 (如 Dataverse 和 Microsoft 365) 進行完整的記錄。 Office 提供 API 查詢此項資料,此資料目前由許多 SIEM 供應商用於編製活動日誌報表。

檢視 Power Apps 和 Power Automate 授權報表

  1. 登入 Power Platform 系統管理中心
  2. 在導覽窗格中,選擇授權
  3. 授權窗格中,選取 Power AutomatePower Apps 以檢閱資訊。

您可以用下列方式取得資訊:

  • 使用中的使用者和應用程式使用方式 - 目前有多少使用者正在使用應用程式以及使用頻率?
  • 位置 – 使用方式在哪裡?
  • 連接器的服務效能
  • 錯誤報表 – 是最容易出錯的應用程式
  • 按類型和日期排列使用中的流程
  • 按類型和日期建立的流程
  • 應用程式等級的稽核
  • 服務健康狀態
  • 使用的連接器

查看哪些使用者獲得授權

您始終可以透過查看特定使用者,查看 Microsoft 365 系統管理中心的每個使用者授權。

您也可以使用下列 PowerShell 命令來匯出指派的使用者授權。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

將租用戶中所有指派的使用者授權 (Power Apps 和 Power Automate) 匯出至表格式檢視表 .csv 檔案。 匯出的檔案包含自助註冊內部試用版方案和源自 Microsoft Entra ID 的方案。 管理員不會在 Microsoft 365 系統管理中心中看到內部試用版方案。

有大量 Power Platform 使用者的租用戶,其匯出可能需要一段時間。

查看在環境中使用的應用程式資源

  1. 登入 Power Platform 系統管理中心
  2. 在導覽窗格中,選擇管理
  3. 管理窗格中,選擇環境
  4. 環境頁面上,選取一個環境。
  5. 資源區段中,檢視環境中使用的應用程式清單。

相關內容

  • Last updated on