שיקולי פיקוח

לקוחות רבים תוהים: כיצד Power Apps ו- Power Automate הופכים לזמינים לעסק הרחב יותר שלהם ונתמכים על-ידי IT? פיקוח הוא התשובה. הוא שואף לאפשר לקבוצות עסקיות להתמקד בפתרון בעיות עסקיות ביעילות תוך ציות לתקני התאימות של ה- IT והעסק. התוכן הבא נועד לבנות ערכות נושא המשויכות בדרך כלל לפיקוח על תוכנה ולעורר מודעות בנושא היכולות הזמינות עבור כל ערכת נושא כאשר היא מתייחסת לפיקוח על Power Apps ו- Power Automate.

ערכת נושא שאלות נפוצות הקשורות לכל ערכת נושא שעבורה תוכן זה עונה
ארכיטקטורה
  • מהם המבנים והמושגים הבסיסיים של Power Apps, Power Automate ו- Microsoft Dataverse?

  • כיצד מבנים אלה משתלבים ביחד בזמן התכנון וזמן הריצה?
אבטחה
  • מהן שיטות העבודה המומלצות עבור שיקולי תכנון אבטחה?

  • כיצד ניתן למנף את פתרונות ניהול המשתמשים והקבוצות הקיימים שלנו כדי לנהל גישה ותפקידי אבטחה ב- Power Apps?
התראה ופעולה
  • כיצד ניתן להגדיר את מודל הפיקוח בין מפתחים אזרחיים ושירותי IT מנוהלים?

  • כיצד ניתן להגדיר את מודל הפיקוח בין IT מרכזי ומנהלי היחידות העסקיות?

  • כיצד עליי להתייחס לתמיכה עבור סביבות שאינן מהוות ברירת מחדל בארגון שלי?
ניטור
  • כיצד אנחנו מתעדים נתוני תאימות / ביקורת?

  • כיצד ניתן למדוד הטמעה ושימוש בארגון שלי?

ארכיטקטורה

מומלץ להתוודע לסביבות כשלב הראשון בבניית סיפור הפיקוח המתאים עבור החברה שלך. סביבות הן הגורמים המכילים לכל המשאבים שבהם משתמשות Power Apps, Power Automate ו- Dataverse. מבט כולל על סביבות הוא ספר לימוד טוב למתחילים שאחריו כדאי לקרוא את מה זה Dataverse?, סוגים של Power Apps, Microsoft Power Automate, מחברי, וגם שערים מקומיים.

אבטחה

סעיף זה מתאר מנגנונים שקיימים כדי לשלוט בגורמים שיכולים לגשת אל Power Apps בסביבה ולקבל גישה לנתונים: רשיונות, סביבות, תפקידי סביבה, Azure Active Directory, מדיניות למניעת אובדן נתונים ומחברי ניהול שיכולים לשמש עם Power Automate.

רישוי

גישה ל- Power Apps ו- Power Automate מתחילה עם רישיון. סוג הרישיון שיש למשתמש קובע את הנכסים והנתונים שהמשתמש יכול לגשת אליהם. הטבלה הבאה מציגה את ההבדלים במשאבים העומדים לרשות המשתמש על סמך סוג התוכנית שלו, מרמה גבוהה. ניתן למצוא פרטי רישוי ברמת פירוט גבוהה במבט כולל על רישוי.

תוכנית תיאור
Microsoft 365 כלול זה מאפשר למשתמשים להרחיב את SharePoint ונכסי Office אחרים שכבר יש ברשותם.
Dynamics 365 כלול הדבר מאפשר למשתמשים להתאים אישית ולהרחיב את יישומי Customer Engagement ‏(Dynamics 365 Sales, ‏Dynamics 365 Customer Service, Dynamics 365 Field Service,‏ Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), שכבר יש להם.
תוכנית Power Apps זה מאפשר:
  • הפיכת מחברים ארגוניים ו- Dataverse לנגישים לשימוש.
  • למשתמשים להשתמש בלוגיקה עסקית חזקה בין סוגי אפליקציות ויכולות ניהול.
קהילת Power Apps זה מאפשר למשתמש להשתמש ב- Power Apps, Power Automate, Dataverse ומחברי לקוח בשימוש יחיד ופרטני. אין יכולת לשתף יישומים.
Power Automate חופשי הדבר מאפשר למשתמשים ליצור זרימות בלתי מוגבלות ולבצע 750 הפעלות.
תוכנית Power Automate ראה את מדריך הרישוי של Microsoft Power Apps ו- Microsoft Power Automate.

סביבות

לאחר שהמשתמשים מקבלים רישיונות, קיימות סביבות כגורמים מכילים לכל המשאבים שבשימוש Power Apps, Power Automate ו- Dataverse. ניתן להשתמש בסביבות כדי להתמקד בקהלים שונים ו/או למטרות שונות כגון פיתוח, בדיקות וייצור. ניתן למצוא מידע נוסף במבט כולל על סביבות.

אבטחת הנתונים והרשת שלך

  • Power Apps ו- Power Automate אינם מספקים למשתמשים גישה לנכסי נתונים כלשהם שעדיין אין להם גישה אליהם. למשתמשים צריכה להיות גישה רק לנתונים שהם באמת זקוקים לגישה אליהם.
  • מדיניות בקרת גישה לרשת יכולה לחול גם על Power Apps ו- Power Automate. עבור סביבה, אדם יכול לחסום גישה לאתר מתוך רשת על-ידי חסימת דף הכניסה כדי למנוע יצירת חיבורים לאתר זה ב- Power Apps ו- Power Automate.
  • הגישה בסביבה נשלטת בשלוש רמות: תפקידי סביבה, הרשאות משאבים עבור Power Apps, Power Automate, וכו'. ותפקידי אבטחה של Dataverse (אם הוקצה מסד נתונים של Dataverse).
  • כאשר Dataverse נוצר בסביבה, תפקידי Dataverse ישתלטו לצורך שליטה באבטחה בסביבה (וכל מנהלי המערכת והיוצרים של הסביבה מועברים).

המנהלים הבאים נתמכים עבור כל סוג תפקיד.

סוג סביבה תפקיד סוג מנהל (Azure AD)
סביבה ללא Dataverse תפקיד סביבה משתמש, קבוצה, דייר
הרשאת משאב: יישום בד ציור משתמש, קבוצה, דייר
הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 משתמש, קבוצה
סביבה עם Dataverse תפקיד סביבה User
הרשאת משאב: יישום בד ציור משתמש, קבוצה, דייר
הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 משתמש, קבוצה
תפקיד Dataverse (חל על כל היישומים מונחי הדגמים והרכיבים) משתמש

1 ניתן לשתף רק חיבורים מסוימים (כמו SQL).

הערה

  • בסביבת ברירת המחדל, כל המשתמשים בדייר מקבלים גישה לתפקיד 'יוצר הסביבות'.
  • למנהלי מערכת כלליים של דייר Azure AD יש גישת מנהל מערכת לכל הסביבות.

שאלות נפוצות - אילו הרשאות קיימות ברמת הדייר של Azure AD?

כיום, מנהלי מערכת של Microsoft Power Platform יכולים לעשות את הפעולות הבאות:

  1. הורדת דוח רישיון Power Apps ו- Power Automate
  2. יצירת מדיניות DLP אך ורק בטווח של 'כל הסביבות' או בטווח שכולל/לא כולל סביבות ספציפיות
  3. ניהול והקצאה של רשיונות דרך מרכז הניהול של Office
  4. קבל גישה לכל יכולות ניהול הסביבה, היישום והזרימה עבור כל הסביבות בדייר הזמין דרך:
    • רכיבי cmdlet של PowerShell עבור מנהלי מערכת של Power Apps
    • מחברי ניהול של Power Apps
  5. קבלת גישה לניתוח ניהול Power Apps ו- Power Automate עבור כל הסביבות בדייר:

שקול שימוש ב- Microsoft Intune

לקוחות בעלי Microsoft Intune יכולים להגדיר מדיניות הגנה על אפליקציה למכשירים ניידים הן עבור אפליקציות Power Apps והן עבור אפליקציות Power Automate ב- Android ו- iOS. הדרכה זו מדגישה הגדרת מדיניות דרך Intune עבור Power Automate.

שקול שימוש בגישה מותנית מבוססת-מיקום

עבור לקוחות בעלי Azure AD Premium, ניתן להגדיר מדיניות גישה מותנית ב- Azure עבור Power Apps ו- Power Automate. זה מאפשר להעניק או לחסום גישה בהתבסס על: משתמש/קבוצה, מכשיר, מיקום.

יצירת מדיניות גישה מותנית

  1. היכנס אל https://portal.azure.com.
  2. בחר גישה מותנית של Azure AD.
  3. בחר +מדיניות חדשה.
  4. בחר משתמשים וקבוצות שנבחרו.
  5. בחר כל יישומי הענן > כל יישומי הענן > Common Data Service כדי לשלוט בגישה ליישומי מעורבות לקוחות.
  6. החל תנאים (סיכון משתמש, פלטפורמות התקנים, מיקומים).
  7. בחר Create (צור).

מנע דליפת נתונים בעזרת מדיניות אובדן נתונים

מדיניות של מניעת אובדן נתונים (DLP) אוכפת כללים שעבורם ניתן להשתמש במחברים ביחד על-ידי סיווג מחברים כ'נתונים עסקיים בלבד' או 'לא מורשים נתונים עסקיים'. בצורה פשוטה, אם אתה מציב מחבר בקבוצת הנתונים העסקיים בלבד, ניתן להשתמש בו רק עם מחברים אחרים מקבוצה זו באותו יישום. מנהלי Power Platform יכולים להגדיר מדיניות שחלה על כל הסביבות.

שאלות נפוצות

ש: האם אוכל לשלוט ברמת הדייר איזה מחבר זמין בכלל, למשל 'לא' ל- Dropbox או Twitter אך 'כן' ל- SharePoint?

ת: זה אפשרי על-ידי ניצול יכולות סיווג המחברים והקצאת המסווג חסום למחבר אחד או יותר שברצונך להימנע משימוש בהם. שים לב שיש קבוצת מחברים שלא ניתן לחסום.

ש: מה לגבי שיתוף מחברים בין משתמשים? לדוגמה, האם המחבר ל- Teams הוא כללי וניתן לשיתוף?

ת: מחברים זמינים לכל המשתמשים. למעט מחברים מתקדמים או מחברים מותאמים אישית שזקוקים לרישיון נוסף (מחברים מתקדמים) או שיש לשתף אותם במפורש (מחברים מותאמים אישית)

התראה ופעולה

בנוסף לניטור, לקוחות רבים רוצים להירשם כמנויים לאירועי יצירת תוכנה, שימוש או תקינות כך שיידוע מתי לבצע פעולה. סעיף זה מפרט מספר אמצעים לבדיקת אירועים (באופן ידני או תכנותי) ולביצוע פעולות המופעלות על-ידי התרחשות אירוע.

בניית זרימות Power Automate כדי להתריע על אירועי ביקורת מרכזיים

  1. דוגמה להתראה שניתן ליישם היא הרשמה ליומני ביקורת אבטחה ותאימות של Microsoft 365.
  2. ניתן להשיג זאת באמצעות גישת מנוי webhook או תשאול. עם זאת, על-ידי צירוף Power Automate להתראות אלה, אנחנו יכולים לספק למנהלי מערכת יותר מהתראות דוא"ל.

בניית המדיניות שאתה זקוק לה עם Power Apps, Power Automate, ו- PowerShell

  1. רכיבי cmdlet אלה של PowerShell מציבים שליטה מלאה בידיהם של מנהלי מערכת כדי להפוך את מדיניות הפיקוח הדרושה לאוטומטית.
  2. מחברי הניהול מספקים את אותה רמה של שליטה, אבל עם יכולת הרחבה נוספת וקלות שימוש על-ידי מינוף Power Apps ו- Power Automate.
  3. תבניות Power Automate הבאות עבור מחברי ניהול קיימות עבור גידול מהיר:
    1. פירוט מחברי Power Automate חדשים
    2. קבל רשימה של זרימות ומחברים חדשים של Power Apps, Power Automate
    3. שלח לי בדוא"ל סיכום שבועי של הודעות מרכז ההודעות של Office 365
    4. קבלת גישה אל יומני אבטחה ותאימות של Office 365 מ- Power Automate
  4. השתמש בתבנית בלוג ויישום זו כדי להתחיל בעבודה במהירות במחברי הניהול.
  5. בנוסף, כדאי לעיין בתוכן ששותף בגלריית יישומי הקהילה, הנה דוגמה נוספת לחוויה ניהולית שנבנתה באמצעות Power Apps ומחברי מנהל מערכת.

שאלות נפוצות

בעיה נכון לעכשיו, כל המשתמשים בעלי רישיונות Microsoft E3 יכולים ליצור יישומים בסביבת ברירת המחדל. כיצד ניתן לאפשר זכויות של יוצר הסביבות כדי לבחור קבוצה, לדוגמה. 10 אנשים ליצירת יישומים?

המלצה רכיבי ה- cmdlet של PowerShell ומחברי הניהול מספקים גמישות ושליטה מלאות למנהלי מערכת המאפשרות להם לבנות את המדיניות הרצויה עבור הארגון שלהם.

ניטור

מובן שניטור הוא היבט קריטי של ניהול תוכנה בקנה מידה גדול, סעיף זה מדגיש מספר אמצעים לקבלת תובנות בפיתוח ושימוש ב- Power Apps ו- Power Automate.

סקירת מסלול הביקורת

רישום פעילות עבור Power Apps משולב עם מרכז האבטחה והתאימות של Office לרישום מקיף בשירותי Microsoft כמו Dataverse ו- Microsoft 365. Office מספק ממשק API לביצוע שאילתה בנתונים אלה, המשמש כעת ספקי SIEM רבים לצורך שימוש בנתוני רישום הפעילות עבור דיווח.

הצג את דוח הרישיון של Power Apps ו- Power Automate

  1. עבור אל מרכז הניהול של Power Platform.

  2. בחר ניתוח > Power Automate או Power Apps.

  3. הצגת ניתוח הניהול של Power Apps ו- Power Automate

    באפשרותך לקבל מידע אודות הפרטים הבאים:

    • משתמש פעיל ושימוש ביישום - כמה משתמשים משתמשים ביישום ובאיזו תדירות?
    • מיקום - היכן נמצא השימוש?
    • ביצועי שירות של מחברים
    • דיווח על שגיאות - מהם היישומים המועדים ביותר לשגיאות
    • זרימות בשימוש לפי סוג ותאריך
    • זרימות שנוצרו על-ידי סוג ותאריך
    • ביקורת ברמת יישום
    • תקינות השירות
    • מחברים הנמצאים בשימוש

הצגת המשתמשים המורשים

אתה תמיד יכול לצפות ברישוי משתמשים בודדים במרכז הניהול של Microsoft 365 על ידי הסתעפות למשתמשים ספציפיים.

באפשרותך גם להשתמש בפקודה הבאה של PowerShell כדי לייצא רשיונות משתמש שהוקצו.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

מייצא את כל רשיונות המשתמש שהוקצו (Power Apps ו- Power Automate) בדייר שלך לקובץ ‎.csv של תצוגה טבלאית. הקובץ המיוצא מכיל הן תוכניות ניסיון פנימיות להרשמה לשירות עצמי והן תוכניות שמקורן ב- Azure Active Directory. תוכניות הניסיון הפנימיות אינן גלויות למנהלי מערכת במרכז הניהול של Microsoft 365.

הייצוא עשוי להימשך זמן מה עבור דיירים בעלי מספר רב של משתמשי Power Platform.

הצגת משאבי יישום המשמשים בסביבה

  1. במרכז הניהול של Power Platform, בחר 'סביבות' בתפריט הניווט.
  2. בחר סביבה.
  3. לבחירתך, ניתן להוריד את רשימת המשאבים המשמשת בסביבה כ- ‎.csv

למידע נוסף

שימוש בשיטות עבודה מומלצות כדי לאבטח סביבות Power Automate ולפקח עליהן
ערכת המתחילים של מרכז המצוינות (CoE) של Microsoft Power Platform