Considérations de sécurité et de gouvernance

  • Article

De nombreux clients se demandent comment Power Platform peut être mis à la disposition de leur entreprise au sens large et pris en charge par l’informatique ? La gouvernance est la réponse. Elle vise à autoriser les groupes d’entreprise à se concentrer sur résoudre vos problèmes commerciaux efficacement tout en se conformant au service informatique et aux niveaux de conformité de l’entreprise. Le contenu suivant est destiné à structurer les thèmes souvent associés aux logiciels de gouvernance, et à faire connaître les fonctionnalités disponibles pour chaque thème en ce qui concerne la gouvernance de Power Platform.

Thème Questions courantes relatives à chaque thème auxquelles ce contenu répond
Architecture
  • Quelles sont les constructions et concepts de base de Power Apps, Power Automate, et Microsoft Dataverse ?

  • Comment ces constructions sont-elles assemblées à la conception et à l’exécution ?
Sécurité
  • Quelles sont les meilleures pratiques pour les considérations de conception de la sécurité ?

  • Comment tirer parti de nos solutions existantes de gestion d’utilisateur et de groupes pour la gestion de l’accès et des rôles de sécurité dans Power Apps ?
Alerte et action
  • Comment définir le modèle de gouvernance entre les développeurs citoyens et les services informatiques gérés ?

  • Comment définir le modèle de gouvernance entre les administrateurs informatiques centraux et les administrateurs de division ?

  • Comment approcher la prise en charge des environnements non défini par défaut de mon organisation ?
Surveiller
  • Comment nous capturons les données de conformité/d’audit ?

  • Comment mesurer l’adoption et l’utilisation dans mon organisation ?

Architecture

Il est préférable de vous familiariser avec les environnements avant de générer la gouvernance adéquate pour votre entreprise. Les environnements sont les conteneurs de toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. La section Vue d’ensemble des environnements est une bonne introduction qui devrait être suivie de Qu’est-ce que Dataverse ?, Types de Power Apps, Microsoft Power Automate, Connecteurs et Passerelles locales.

Sécurité

Cette section présente les grandes lignes des mécanismes qui existent pour contrôler qui peut accéder à Power Apps dans un environnement et accéder aux données : licences, environnements, rôles de l’environnement, Microsoft Entra ID, stratégies de prévention contre la perte de données et connecteurs d’administration utilisables avec Power Automate.

Licences

L’accès à Power Apps et Power Automate commence par obtenir une licence. Le type de licence dont dispose un utilisateur détermine les actifs et les données auxquels il peut accéder. La tableau suivant décrit, d’un point de vue global, les différences entre les ressources disponibles pour un utilisateur en fonction de son type de plan. Les détails de licence granulaire se trouvent dans la Vue d’ensemble de licence.

Planifier Description
Microsoft 365 inclus Cela permet aux utilisateurs d’étendre SharePoint et à d’autres actifs Office qu’ils sont déjà.
Dynamics 365 inclus Cela permet aux utilisateurs de personnaliser et d’étendre les applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation), ils l’ont déjà fait.
Plan Power Apps Cela permet :
  • rendre les connecteurs d’entreprise et Dataverse accessibles en vue de leur utilisation.
  • aux utilisateurs d’utiliser une logique de gestion robuste entre plusieurs types d’application et capacités d’administration.
Communauté Power Apps Cela permet à un utilisateur d’utiliser Power Apps, Power Automate, Dataverse et les connecteurs de client dans une utilisation simple et individuelle. Il n’est pas possible de partager des applications.
Power Automate gratuit Cela permet aux utilisateurs de créer des flux illimités et d’effectuer 750 exécutions.
Plan Power Automate Voir le Guide des licences Microsoft Power Apps et Microsoft Power Automate.

Environnements

Une fois que les utilisateurs ont des licences, les environnements existent en tant que conteneurs pour toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. Les environnements peuvent être utilisés pour cibler diverses audiences et/ou à différentes fins comme développer, tester et production. Pour plus d’informations, voir Vue d’ensemble des environnements.

Sécuriser les données et réseau

  • Power Apps et Power Automate ne permettent pas aux utilisateurs d’accéder à tous les ressources de données auxquels ils n’ont pas déjà accès. Les utilisateurs doivent avoir accès uniquement aux données auxquelles ils ont réellement besoin d’accéder.
  • Les stratégies de contrôle d’accès au réseau peuvent également s’appliquer à Power Apps et à Power Automate. Pour l’environnement, un utilisateur peut bloquer l’accès à un site d’un réseau en bloquant la page d’ouverture de session pour empêcher les connexions à ce site dans Power Apps et Power Automate.
  • Dans un environnement, l’accès est contrôlé à trois niveaux : Rôles de l’environnement, Autorisations de ressources pour Power Apps, Power Automate etc., et Rôles de sécurité Dataverse (si une base de données Dataverse est provisionnée).
  • Lorsque Dataverse est créé dans un environnement, les rôles Dataverse succéderont pour contrôler la sécurité dans l’environnement (et tous les administrateurs et créateurs d’l’environnement sont migrés).

Les principaux suivants sont pris en charge pour chaque type de rôle.

Type d’environnement Role Type de principal (Microsoft Entra ID)
Environnement sans Dataverse Rôle de l’environnement Utilisateur, groupe, client
Autorisation de la ressource : Application canevas Utilisateur, groupe, client
Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 Utilisateurs, groupe
Environnement avec Dataverse Rôle de l’environnement User
Autorisation de la ressource : Application canevas Utilisateur, groupe, client
Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 Utilisateurs, groupe
Rôle Dataverse (s’applique à toutes les applications pilotées par modèle et composants) User

1Seules certaines connexions (comme SQL) peuvent être partagées.

Note

  • Dans l’environnement par défaut, tous les utilisateurs dans un client ont accès au rôle de Créateur d’environnement.
  • Les administrateurs globaux de client Microsoft Entra ont un accès d’administration à tous les environnements.

FAQ - Quelles autorisations existent à un niveau de client Microsoft Entra ?

Aujourd’hui, les administrateurs de Microsoft Power Platform peuvent effectuer les opérations suivantes :

  1. Télécharger le rapport de licence Power Apps et Power Automate
  2. Créer une stratégie DLP dont la portée s’applique uniquement à « Tous les environnements » ou pour inclure/exclure des environnements spécifiques
  3. Gérer et attribuer des licences via le centre d’administration Office
  4. Accédez à toutes les capacités de gestion des environnements, des applications et des flux pour tous les environnements du client via :
    • des applets de commande PowerShell pour les administrateurs Power Apps
    • des connecteurs de gestion Power Apps
  5. Accédez aux analyses d’administration de Power Apps et de Power Automate pour tous les environnements dans le client :

Envisager Microsoft Intune

Les clients avec Microsoft Intune peuvent définir des stratégies de protection d’application mobile pour les applications Power Apps et Power Automate sous Android et iOS. Ce guide pas-à-pas met en surbrillance la définition d’une stratégie via Intune pour Power Automate.

Envisager l’accès conditionnel géolocalisé

Pour les clients avec Microsoft Entra ID P1 ou P2, des stratégies d’accès conditionnel peuvent être définies dans Azure pour Power Apps et Power Automate. Cela permet d’accorder ou de bloquer l’accès selon : l’utilisateur/le groupe, l’appareil, l’emplacement.

Création d’une stratégie d’accès conditionnel

  1. Connectez-vous à https://portal.azure.com.
  2. Sélectionnez Accès conditionnel.
  3. Sélectionnez + Nouvelle stratégie.
  4. Sélectionnez Utilisateurs et groupes sélectionnés.
  5. Sélectionnez Toutes les applications du cloud>Toutes les applications du cloud>Common Data Service pour contrôler l’accès aux applications d’engagement client.
  6. Appliquez les conditions (risque utilisateur, plateformes d’appareil, emplacements).
  7. Sélectionnez Créer.

Empêcher la fuite de données avec des stratégies de protection contre la perte de données

Les stratégies de protection contre la perte de données (DLP) appliquent les règles d’utilisation des connecteurs en classant les connecteurs comme données d’entreprise uniquement ou aucune donnée d’entreprise autorisée. En bref, si vous placez un connecteur dans le groupe de données d’entreprise uniquement, il peut être utilisé uniquement avec d’autres connecteurs de ce groupe dans la même application. Les administrateurs Power Platform peuvent définir des stratégies qui s’appliquent à tous les environnements.

FAQ

Q : Puis-je contrôler, au niveau du locataire, quel connecteur est disponible (par exemple Non pour Dropbox ou Twitter mais Oui pour SharePoint) ?

R : Cela est possible en utilisant les fonctionnalités de classification des connecteurs et l’attribution du classificateur Bloqué à un ou plusieurs connecteurs dont vous souhaitez empêcher l’utilisation. Notez qu’il existe un ensemble de connecteurs qui ne peuvent pas être bloqués.

Q : Qu’en est-il du partage des connecteurs entre utilisateurs ? Par exemple, le connecteur pour Teams est un connecteur général qui peut être partagé ?

R : Les connecteurs sont disponibles pour tous les utilisateurs. À l’exception des connecteurs Premium ou personnalisés ayant besoin d’une licence supplémentaire (connecteurs Premium) ou doivent être partagés explicitement (connecteurs personnalisés)

Alerte et action

Outre la surveillance, un grand nombre de clients souhaitent s’abonner à la création de logiciels, aux événements d’utilisation ou d’intégrité afin qu’ils sachent quand exécuter une action. Cette section présente les grandes lignes de quelques méthodes d’observation des événements (manuellement et par programme) et d’effectuer des actions déclenchées par une occurrence d’événements.

Créez des flux Power Automate pour alerter en cas d’événements d’audit clés

  1. Un exemple d’alerte qui peut être mis en œuvre consiste à s’abonner aux journaux d’audit de sécurité et conformité Microsoft 365.
  2. Cela peut être exécuté par un d’un abonnement à un webhook ou une approche par interrogation. Toutefois, en associant Power Automate à ces alertes, nous pouvons fournir aux administrateurs plus que des alertes par courrier électronique.

Générez des stratégies nécessaires avec Power Apps, Power Automate et PowerShell

  1. Ces applets de commande PowerShell donnent le contrôle total aux administrateurs pour automatiser les stratégies gouvernance nécessaires.
  2. Les connecteurs de gestion fournissent le même niveau de contrôle mais avec une extensibilité accrue et une facilité d’utilisation supplémentaires avec Power Apps et Power Automate.
  3. Les modèles Power Automate suivants pour les connecteurs d’administration existent pour créer rapidement :
    1. Lister les nouveaux connecteurs Power Automate
    2. Obtenir la liste des nouveaux flux et connecteurs Power Apps et Power Automate
    3. M’envoyer un courrier électronique des notifications du Centre de messages Office 365
    4. Accéder aux journaux de sécurité et de conformité Office 365 à partir de Power Automate
  4. Utilisez ce modèle de blog et d’application pour pouvoir travailler rapidement sur les connecteurs d’administration.
  5. En outre, il est important de vérifier le contenu partagé dans la Galerie d’applications de la communauté. Voici un autre exemple d’une expérience administrative basée sur Power Apps et les connecteurs d’administration.

FAQ

Problème Actuellement, tous les utilisateurs disposant de licences Microsoft E3 peuvent créer des applications dans l’environnement par défaut. Comment pouvons-nous activer les droits de Créateur d’environnement sur un groupe sélectionné, par exemple. 10 personnes pour créer des applications ?

Recommandation Les applets de commande PowerShell et les Connecteurs de gestion offrent la souplesse complète et le contrôle aux administrateurs d’établir des stratégies qu’il convient dans l’organisation.

Surveiller

Nous comprenons bien que la surveillance est un aspect essentiel de la gestion du logiciel à l’échelle, cette section met en surbrillance quelques méthodes pour obtenir des informations sur le développement et l’utilisation de Power Apps et Power Automate.

Examiner le journal d’audit

La Journalisation d’activité pour Power Apps est intégrée au Centre de sécurité et de conformité d’Office pour une journalisation complète de plusieurs services Microsoft, tels que Dataverse et Microsoft 365. Office fournit une API pour interroger ces données, qui sont actuellement utilisées par de nombreux fournisseurs SIEM pour utiliser la journalisation d’activité à des fins de rapports.

Voir le rapport de licence Power Apps et Power Automate

  1. Accédez au Centre d’administration de Power Platform.

  2. Sélectionner Analyse>Power Automate ou Power Apps.

  3. Afficher les analyses d’administration de Power Apps et de Power Automate

    Vous pouvez obtenir des informations sur ce qui suit :

    • Utilisateur actif ou utilisation d’application : nombre d’utilisateurs utilisant une application et à quelle fréquence ?
    • Emplacement : où est l’utilisation ?
    • Performances de service des connecteurs
    • Rapports d’erreurs : quelles applications les plus soumises aux erreurs
    • Flux en service par type et date
    • Flux créés par type et date
    • Audit au niveau de l’application
    • Service Health
    • Connecteurs utilisés

Voir quels utilisateurs ont une licence

Vous pouvez toujours consulter les licences d’utilisateurs individuels dans le centre d’administration Microsoft 365 en explorant des utilisateurs spécifiques.

Vous pouvez également utiliser la commande PowerShell suivante pour exporter les licences utilisateur attribuées.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporte toutes les licences utilisateur attribuées (Power Apps et Power Automate) dans votre client dans un fichier .csv de vue tabulaire. Le fichier exporté contient à la fois des plans d’évaluation internes d’inscription en libre-service ainsi que des plans provenant de Microsoft Entra ID. Les plans d’évaluation internes ne sont pas visibles pour les administrateurs dans le centre d’administration Microsoft 365.

L’exportation peut prendre un certain temps pour les clients avec un grand nombre d’utilisateurs Power Platform.

Afficher les ressources d’application utilisées dans un environnement

  1. Dans le Centre d’administration Power Platform, sélectionnez Environnements dans le menu de navigation.
  2. Sélectionnez un environnement.
  3. Éventuellement, la liste de ressources utilisées dans un environnement peut être téléchargée en tant que fichier .csv.

Voir aussi

Utiliser les meilleures pratiques pour sécuriser et gouverner les environnements Power Automate
Starter Kit Microsoft Power Platform Center of Excellence (CoE)