שיקולי פיקוח
לקוחות רבים תוהים: כיצד Power Apps ו- Power Automate הופכים לזמינים לעסק הרחב יותר שלהם ונתמכים על-ידי IT? פיקוח הוא התשובה. הוא שואף לאפשר לקבוצות עסקיות להתמקד בפתרון בעיות עסקיות ביעילות תוך ציות לתקני התאימות של ה- IT והעסק. התוכן הבא נועד לבנות ערכות נושא המשויכות בדרך כלל לפיקוח על תוכנה ולעורר מודעות בנושא היכולות הזמינות עבור כל ערכת נושא כאשר היא מתייחסת לפיקוח על Power Apps ו- Power Automate.
| ערכת נושא | שאלות נפוצות הקשורות לכל ערכת נושא שעבורה תוכן זה עונה |
|---|---|
| ארכיטקטורה |
|
| אבטחה |
|
| התראה ופעולה |
|
| ניטור |
|
ארכיטקטורה
מומלץ להתוודע לסביבות כשלב הראשון בבניית סיפור הפיקוח המתאים עבור החברה שלך. סביבות הן הגורמים המכילים לכל המשאבים שבהם משתמשות Power Apps, Power Automate ו- Dataverse. מבט כולל על סביבות הוא ספר לימוד טוב למתחילים שאחריו כדאי לקרוא את מה זה Dataverse?, סוגים של Power Apps, Microsoft Power Automate, מחברי, וגם שערים מקומיים.
אבטחה
סעיף זה מתאר מנגנונים שקיימים כדי לשלוט בגורמים שיכולים לגשת אל Power Apps בסביבה ולקבל גישה לנתונים: רשיונות, סביבות, תפקידי סביבה, Azure Active Directory, מדיניות למניעת אובדן נתונים ומחברי ניהול שיכולים לשמש עם Power Automate.
רישוי
גישה ל- Power Apps ו- Power Automate מתחילה עם רישיון. סוג הרישיון שיש למשתמש קובע את הנכסים והנתונים שהמשתמש יכול לגשת אליהם. הטבלה הבאה מציגה את ההבדלים במשאבים העומדים לרשות המשתמש על סמך סוג התוכנית שלו, מרמה גבוהה. ניתן למצוא פרטי רישוי ברמת פירוט גבוהה במבט כולל על רישוי.
| תוכנית | תיאור |
|---|---|
| Microsoft 365 כלול | זה מאפשר למשתמשים להרחיב את SharePoint ונכסי Office אחרים שכבר יש ברשותם. |
| Dynamics 365 כלול | הדבר מאפשר למשתמשים להתאים אישית ולהרחיב את יישומי Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), שכבר יש להם. |
| תוכנית Power Apps | זה מאפשר:
|
| קהילת Power Apps | זה מאפשר למשתמש להשתמש ב- Power Apps, Power Automate, Dataverse ומחברי לקוח בשימוש יחיד ופרטני. אין יכולת לשתף יישומים. |
| Power Automate חופשי | הדבר מאפשר למשתמשים ליצור זרימות בלתי מוגבלות ולבצע 750 הפעלות. |
| תוכנית Power Automate | ראה את מדריך הרישוי של Microsoft Power Apps ו- Microsoft Power Automate. |
סביבות
לאחר שהמשתמשים מקבלים רישיונות, קיימות סביבות כגורמים מכילים לכל המשאבים שבשימוש Power Apps, Power Automate ו- Dataverse. ניתן להשתמש בסביבות כדי להתמקד בקהלים שונים ו/או למטרות שונות כגון פיתוח, בדיקות וייצור. ניתן למצוא מידע נוסף במבט כולל על סביבות.
אבטחת הנתונים והרשת שלך
- Power Apps ו- Power Automate אינם מספקים למשתמשים גישה לנכסי נתונים כלשהם שעדיין אין להם גישה אליהם. למשתמשים צריכה להיות גישה רק לנתונים שהם באמת זקוקים לגישה אליהם.
- מדיניות בקרת גישה לרשת יכולה לחול גם על Power Apps ו- Power Automate. עבור סביבה, אדם יכול לחסום גישה לאתר מתוך רשת על-ידי חסימת דף הכניסה כדי למנוע יצירת חיבורים לאתר זה ב- Power Apps ו- Power Automate.
- הגישה בסביבה נשלטת בשלוש רמות: תפקידי סביבה, הרשאות משאבים עבור Power Apps, Power Automate, וכו'. ותפקידי אבטחה של Dataverse (אם הוקצה מסד נתונים של Dataverse).
- כאשר Dataverse נוצר בסביבה, תפקידי Dataverse ישתלטו לצורך שליטה באבטחה בסביבה (וכל מנהלי המערכת והיוצרים של הסביבה מועברים).
המנהלים הבאים נתמכים עבור כל סוג תפקיד.
| סוג סביבה | תפקיד | סוג מנהל (Azure AD) |
|---|---|---|
| סביבה ללא Dataverse | תפקיד סביבה | משתמש, קבוצה, דייר |
| הרשאת משאב: יישום בד ציור | משתמש, קבוצה, דייר | |
| הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 | משתמש, קבוצה | |
| סביבה עם Dataverse | תפקיד סביבה | User |
| הרשאת משאב: יישום בד ציור | משתמש, קבוצה, דייר | |
| הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 | משתמש, קבוצה | |
| תפקיד Dataverse (חל על כל היישומים מונחי הדגמים והרכיבים) | משתמש |
1 ניתן לשתף רק חיבורים מסוימים (כמו SQL).
הערה
- בסביבת ברירת המחדל, כל המשתמשים בדייר מקבלים גישה לתפקיד 'יוצר הסביבות'.
- למנהלי מערכת כלליים של דייר Azure AD יש גישת מנהל מערכת לכל הסביבות.
שאלות נפוצות - אילו הרשאות קיימות ברמת הדייר של Azure AD?
כיום, מנהלי מערכת של Microsoft Power Platform יכולים לעשות את הפעולות הבאות:
- הורדת דוח רישיון Power Apps ו- Power Automate
- יצירת מדיניות DLP אך ורק בטווח של 'כל הסביבות' או בטווח שכולל/לא כולל סביבות ספציפיות
- ניהול והקצאה של רשיונות דרך מרכז הניהול של Office
- קבל גישה לכל יכולות ניהול הסביבה, היישום והזרימה עבור כל הסביבות בדייר הזמין דרך:
- רכיבי cmdlet של PowerShell עבור מנהלי מערכת של Power Apps
- מחברי ניהול של Power Apps
- קבלת גישה לניתוח ניהול Power Apps ו- Power Automate עבור כל הסביבות בדייר:
שקול שימוש ב- Microsoft Intune
לקוחות בעלי Microsoft Intune יכולים להגדיר מדיניות הגנה על אפליקציה למכשירים ניידים הן עבור אפליקציות Power Apps והן עבור אפליקציות Power Automate ב- Android ו- iOS. הדרכה זו מדגישה הגדרת מדיניות דרך Intune עבור Power Automate.
שקול שימוש בגישה מותנית מבוססת-מיקום
עבור לקוחות בעלי Azure AD Premium, ניתן להגדיר מדיניות גישה מותנית ב- Azure עבור Power Apps ו- Power Automate. זה מאפשר להעניק או לחסום גישה בהתבסס על: משתמש/קבוצה, מכשיר, מיקום.
יצירת מדיניות גישה מותנית
- היכנס אל https://portal.azure.com.
- בחר גישה מותנית של Azure AD.
- בחר +מדיניות חדשה.
- בחר משתמשים וקבוצות שנבחרו.
- בחר כל יישומי הענן > כל יישומי הענן > Common Data Service כדי לשלוט בגישה ליישומי מעורבות לקוחות.
- החל תנאים (סיכון משתמש, פלטפורמות התקנים, מיקומים).
- בחר Create (צור).
מנע דליפת נתונים בעזרת מדיניות אובדן נתונים
מדיניות של מניעת אובדן נתונים (DLP) אוכפת כללים שעבורם ניתן להשתמש במחברים ביחד על-ידי סיווג מחברים כ'נתונים עסקיים בלבד' או 'לא מורשים נתונים עסקיים'. בצורה פשוטה, אם אתה מציב מחבר בקבוצת הנתונים העסקיים בלבד, ניתן להשתמש בו רק עם מחברים אחרים מקבוצה זו באותו יישום. מנהלי Power Platform יכולים להגדיר מדיניות שחלה על כל הסביבות.
שאלות נפוצות
ש: האם אוכל לשלוט ברמת הדייר איזה מחבר זמין בכלל, למשל 'לא' ל- Dropbox או Twitter אך 'כן' ל- SharePoint?
ת: זה אפשרי על-ידי ניצול יכולות סיווג המחברים והקצאת המסווג חסום למחבר אחד או יותר שברצונך להימנע משימוש בהם. שים לב שיש קבוצת מחברים שלא ניתן לחסום.
ש: מה לגבי שיתוף מחברים בין משתמשים? לדוגמה, האם המחבר ל- Teams הוא כללי וניתן לשיתוף?
ת: מחברים זמינים לכל המשתמשים. למעט מחברים מתקדמים או מחברים מותאמים אישית שזקוקים לרישיון נוסף (מחברים מתקדמים) או שיש לשתף אותם במפורש (מחברים מותאמים אישית)
התראה ופעולה
בנוסף לניטור, לקוחות רבים רוצים להירשם כמנויים לאירועי יצירת תוכנה, שימוש או תקינות כך שיידוע מתי לבצע פעולה. סעיף זה מפרט מספר אמצעים לבדיקת אירועים (באופן ידני או תכנותי) ולביצוע פעולות המופעלות על-ידי התרחשות אירוע.
בניית זרימות Power Automate כדי להתריע על אירועי ביקורת מרכזיים
- דוגמה להתראה שניתן ליישם היא הרשמה ליומני ביקורת אבטחה ותאימות של Microsoft 365.
- ניתן להשיג זאת באמצעות גישת מנוי webhook או תשאול. עם זאת, על-ידי צירוף Power Automate להתראות אלה, אנחנו יכולים לספק למנהלי מערכת יותר מהתראות דוא"ל.
בניית המדיניות שאתה זקוק לה עם Power Apps, Power Automate, ו- PowerShell
- רכיבי cmdlet אלה של PowerShell מציבים שליטה מלאה בידיהם של מנהלי מערכת כדי להפוך את מדיניות הפיקוח הדרושה לאוטומטית.
- מחברי הניהול מספקים את אותה רמה של שליטה, אבל עם יכולת הרחבה נוספת וקלות שימוש על-ידי מינוף Power Apps ו- Power Automate.
- תבניות Power Automate הבאות עבור מחברי ניהול קיימות עבור גידול מהיר:
- השתמש בתבנית בלוג ויישום זו כדי להתחיל בעבודה במהירות במחברי הניהול.
- בנוסף, כדאי לעיין בתוכן ששותף בגלריית יישומי הקהילה, הנה דוגמה נוספת לחוויה ניהולית שנבנתה באמצעות Power Apps ומחברי מנהל מערכת.
שאלות נפוצות
בעיה נכון לעכשיו, כל המשתמשים בעלי רישיונות Microsoft E3 יכולים ליצור יישומים בסביבת ברירת המחדל. כיצד ניתן לאפשר זכויות של יוצר הסביבות כדי לבחור קבוצה, לדוגמה. 10 אנשים ליצירת יישומים?
המלצה רכיבי ה- cmdlet של PowerShell ומחברי הניהול מספקים גמישות ושליטה מלאות למנהלי מערכת המאפשרות להם לבנות את המדיניות הרצויה עבור הארגון שלהם.
ניטור
מובן שניטור הוא היבט קריטי של ניהול תוכנה בקנה מידה גדול, סעיף זה מדגיש מספר אמצעים לקבלת תובנות בפיתוח ושימוש ב- Power Apps ו- Power Automate.
סקירת מסלול הביקורת
רישום פעילות עבור Power Apps משולב עם מרכז האבטחה והתאימות של Office לרישום מקיף בשירותי Microsoft כמו Dataverse ו- Microsoft 365. Office מספק ממשק API לביצוע שאילתה בנתונים אלה, המשמש כעת ספקי SIEM רבים לצורך שימוש בנתוני רישום הפעילות עבור דיווח.
הצג את דוח הרישיון של Power Apps ו- Power Automate
עבור אל מרכז הניהול של Power Platform.
בחר ניתוח > Power Automate או Power Apps.
הצגת ניתוח הניהול של Power Apps ו- Power Automate
באפשרותך לקבל מידע אודות הפרטים הבאים:
- משתמש פעיל ושימוש ביישום - כמה משתמשים משתמשים ביישום ובאיזו תדירות?
- מיקום - היכן נמצא השימוש?
- ביצועי שירות של מחברים
- דיווח על שגיאות - מהם היישומים המועדים ביותר לשגיאות
- זרימות בשימוש לפי סוג ותאריך
- זרימות שנוצרו על-ידי סוג ותאריך
- ביקורת ברמת יישום
- תקינות השירות
- מחברים הנמצאים בשימוש
הצגת המשתמשים המורשים
אתה תמיד יכול לצפות ברישוי משתמשים בודדים במרכז הניהול של Microsoft 365 על ידי הסתעפות למשתמשים ספציפיים.
באפשרותך גם להשתמש בפקודה הבאה של PowerShell כדי לייצא רשיונות משתמש שהוקצו.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
מייצא את כל רשיונות המשתמש שהוקצו (Power Apps ו- Power Automate) בדייר שלך לקובץ .csv של תצוגה טבלאית. הקובץ המיוצא מכיל הן תוכניות ניסיון פנימיות להרשמה לשירות עצמי והן תוכניות שמקורן ב- Azure Active Directory. תוכניות הניסיון הפנימיות אינן גלויות למנהלי מערכת במרכז הניהול של Microsoft 365.
הייצוא עשוי להימשך זמן מה עבור דיירים בעלי מספר רב של משתמשי Power Platform.
הצגת משאבי יישום המשמשים בסביבה
- במרכז הניהול של Power Platform, בחר 'סביבות' בתפריט הניווט.
- בחר סביבה.
- לבחירתך, ניתן להוריד את רשימת המשאבים המשמשת בסביבה כ- .csv
למידע נוסף
שימוש בשיטות עבודה מומלצות כדי לאבטח סביבות Power Automate ולפקח עליהן
ערכת המתחילים של מרכז המצוינות (CoE) של Microsoft Power Platform