Hensyn til sikkerhet og styring

  • Artikkel

Mange kunder lurer på hvordan Power Platform kan gjøres tilgjengelig for en større del av virksomheten og støttes av IT? Styring er svaret. Det har som mål å gjøre forretningsgrupper i stand til å fokusere på å løse forretningsproblemer på en effektiv måte, samtidig som de overholder bedriftens standarder. Innholdet nedenfor er ment å strukturere emner som ofte forbindes med styring av programvare, og skape oppmerksomhet rundt funksjoner som er tilgjengelige for hvert emne, i den grad det er knyttet til styring av Power Platform.

Emne Vanlige spørsmål som er relatert til hvert emne som dette innholdet svarer på
Arkitektur
  • Hva er de grunnleggende konstruksjonene og konseptene for Power Apps, Power Automate og Microsoft Dataverse?

  • Hvordan tilpasses disse konstruksjonene ved utforming og kjøretid?
Sikkerhet
  • Hva er gode fremgangsmåter for sikkerhetsutformingshensyn?

  • Hvordan drar jeg nytte av de eksisterende bruker- og gruppeadministreringsløsningene for å administrere tilgang og sikkerhetsroller i Power Apps?
Varsel og handling
  • Hvordan definerer jeg styringsmodellen mellom borgerutviklere og administrerte IT-tjenester?

  • Hvordan definerer jeg styringsmodellen mellom sentral IT og forretningsenhetsadministratorer?

  • Hvordan bør jeg behandle støtte for miljøer som ikke er standard, i organisasjonen min?
Overvåk
  • Hvordan registrerer vi overholdelse av regler og standarder / sporing av endringer av data?

  • Hvordan kan jeg måle tilpassing og bruk i organisasjonen min?

Arkitektur

Det er best å gjøre seg kjent med miljøene som det første trinnet for å utvikle den rette fremgangsmåten for styring for selskapet. Miljøer er beholdere for alle ressurser som brukes av en Power Apps, Power Automate og Dataverse. Miljøoversikt er en god begynnelse som bør følges av Hva er Dataverse?, Typer Power Apps, Microsoft Power Automate, Koblinger og Lokale gatewayer.

Sikkerhet

Denne delen beskriver mekanismer som finnes for å styre hvem som får tilgang til Power Apps i et miljø og få tilgang til data: lisenser, miljøer, miljøroller, Microsoft Entra ID, forebyggende policyer for datatap og administratorkoblinger som kan brukes med Power Automate.

Lisensiering

Tilgang til Power Apps og Power Automate starter med å ha en lisens. Lisenstypen en bruker har, avgjør hvilke aktiva og data en bruker har tilgang til. Tabellen nedenfor viser forskjeller mellom ressurser som er tilgjengelige for en bruker basert på plantypen, fra et høyt nivå. Detaljerte lisensdetaljer finner du i Oversikt over lisensiering.

Plan Beskrivelse
Microsoft 365 inkludert Dette gjør det mulig for brukere å utvide SharePoint og andre Office-aktiva de allerede har.
Dynamics 365 inkludert Dette gjør det mulig for brukere å tilpasse og utvide kundeengasjementsapper (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation) de har allerede.
Power Apps-abonnement Dette gjør det mulig:
  • å gjøre virksomhetskoblinger og Dataverse tilgjengelige for bruk.
  • for brukere å bruke robust forretningslogikk på tvers av programtyper og administrasjonsfunksjoner.
Power Apps Community Dette gjør det mulig for brukeren å bruke Power Apps, Power Automate, Dataverse og kundetilkoblingsprogrammer sammen for enkeltbrukere. Du kan ikke dele apper.
Power Automate ledig Dette gjør det mulig for brukere å opprette ubegrensede flyter og utføre 750 kjøringer.
Power Automate-abonnement Se Veiledning om lisenser for Microsoft Power Apps og Microsoft Power Automate.

Miljøer

Når brukere har fått lisenser, finnes det miljøer som beholdere for alle ressursene som brukes av Power Apps, Power Automate og Dataverse. Miljøer kan brukes til å målrette forskjellige målgrupper og/eller til ulike formål, for eksempel utvikling, testing og produksjon. Du finner mer informasjon i Oversikt over miljøer.

Sikre dataene og nettverket

  • Power Apps og Power Automate gir ikke brukere tilgang til alle dataressurser som de ikke allerede har tilgang til. Brukere bør bare ha tilgang til data som de virkelig krever tilgang til.
  • Policyer for nettverkstilgangskontroll kan også gjelde for Power Apps og Power Automate. For miljøer kan én blokkere tilgang til et område fra et nettverk ved å blokkere påloggingssiden for å hindre at tilkoblinger til området blir opprettet i Power Apps og Power Automate.
  • I et miljø kontrolleres tilgang på tre nivåer: Miljøroller, Ressurstillatelser for Power Apps, Power Automate osv. og Dataverse-sikkerhetsroller (hvis en Dataverse-database er klargjort).
  • Når Dataverse opprettes i et miljø, vil Dataverse-rollene overta for kontroll av sikkerheten i miljøet (og alle miljøadministratorer og -utviklere overføres).

Følgende sikkerhetskontohavere støttes for hver rolletype.

Miljøtype Rolle Kontohavertype (Microsoft Entra ID)
Miljø uten Dataverse Miljørolle Bruker, gruppe, leier
Ressurstillatelse: lerretsapp Bruker, gruppe, leier
Ressurstillatelse: Power Automate, egendefinert kobling, gatewayer, tilkoblinger1 Bruker, gruppe
Miljø med Dataverse Miljørolle User
Ressurstillatelse: lerretsapp Bruker, gruppe, leier
Ressurstillatelse: Power Automate, egendefinert kobling, gatewayer, tilkoblinger1 Bruker, gruppe
Dataverse-rolle (gjelder alle modelldrevne apper og komponenter) User

1Bare bestemte tilkoblinger (for eksempel SQL) kan deles.

Obs!

  • I standardmiljøet får alle brukere i en leier tilgang til miljøoppretterrollen.
  • Globale administratorer for Microsoft Entra-leieren har administratortilgang til alle miljøer.

Vanlige spørsmål – Hvilke tillatelser finnes på Microsoft Entra-leiernivå?

I dag kan Microsoft Power Platform-administratorer gjøre følgende:

  1. Laste ned Power Apps og Power Automate -lisensrapporten
  2. Opprette DLP-policyer som er avgrenset bare for "Alle miljøer" eller for å inkludere eller ekskludere bestemte miljøer
  3. Behandle og tilordne lisenser via Office-administrasjonssenteret
  4. Tilgang til alle administrasjonsfunksjoner for miljø, app og flyt for alle miljøer i leieren tilgjengelig gjennom:
    • PowerShell-cmdleter for administrasjon av Power Apps
    • Power Apps-administrasjonskoblinger
  5. Tilgang til Power Apps og Power Automate-administratoranalyse for alle miljøer i leieren:

Vurdere Microsoft Intune

Kunder med Microsoft Intune kan angi policyer for mobilprogrambeskyttelse for både Power Apps- og Power Automate-apper på Android og iOS. Denne gjennomgangen fremhever angivelse av en policy via Intune for Power Automate.

Vurdere stedsbasert betinget tilgang

For kunder med Microsoft Entra ID P1 eller P2 kan policyer for betinget tilgang defineres i Azure for Power Apps og Power Automate. Dette tillater at du gir eller blokkerer tilgang basert på: bruker/gruppe, enhet, plassering.

Opprette en policy for betinget tilgang

  1. Logg på https://portal.azure.com.
  2. Velg Betinget tilgang.
  3. Velg + Ny policy.
  4. Velg valgte brukere og grupper.
  5. Velg Alle skyapper>Alle skyapper>Common Data Service for å styre tilgang til kundeengasjementsapper.
  6. Bruk betingelser (brukerrisiko, enhetsplattformer, steder).
  7. Velg Opprett.

Hindre datalekkasje med policyer som hindrer datatap

Policyer for hindring av tap av data håndhever regler for hvilke koblinger som kan brukes sammen, ved å klassifisere koblinger som Bare forretningsdata eller Ingen forretningsdata er tillatt. Hvis du legger til en kobling i gruppen for bare forretningsdata, kan den bare brukes med andre koblinger fra den gruppen i samme program. Power Platform-administratorer kan definere policyer som gjelder for alle miljøer.

Vanlige spørsmål

Sp. Kan jeg styre hvilken kontakt som er tilgjengelig på leiernivå, for eksempel Nei til Dropbox eller Twitter, men Ja til SharePoint?

A: Dette er mulig ved å bruke tilkoblingsklassifisering-funksjonene og tilordne Blokkert-klassifiseringen til én eller flere koblinger som du vil at ikke skal brukes. Vær oppmerksom på at det finnes et sett med koblinger som ikke kan blokkeres.

Sp: Hva med å dele koblinger mellom brukere? Er for eksempel koblingen for Teams en generell tilkobling som kan deles?

Sv: Koblinger er tilgjengelige for alle brukere. Med unntak av premium-koblinger eller egendefinerte koblinger, som krever en tilleggslisens (premium-kontakter) eller må deles eksplisitt (egendefinerte koblinger)

Varsel og handling

I tillegg til å overvåke ønsker mange kunder å abonnere på opprettelses-, bruks- eller tilstandshendelser for programvare, slik at de vet når de skal utføre en handling. Denne delen viser noen få metoder for å observere hendelser (manuelt og programmatisk) og utføre handlinger som utløses av en hendelsesforekomst.

Bygge Power Automate-flyter for å varsle om viktige overvåkingshendelser

  1. Eksempel på varsling som kan implementeres, er å abonnere på Microsoft 365-revisjonslogger for sikkerhet og forskriftssamsvar.
  2. Dette kan du oppnå via et webhook-abonnement eller avspørring. Ved å koble Power Automate til disse varslene kan vi imidlertid gi administratorer mer enn bare e-postvarslinger.

Opprette policyene du trenger, med Power Apps, Power Automate og PowerShell

  1. Disse PowerShell-cmdletene gir administratorer full kontroll over automatiseringen av de nødvendige styringspolicyene.
  2. Administrasjonskoblingene gir det samme kontrollnivået, men har flere utvidelsesmuligheter og økt brukervennlighet ved å dra nytte av Power Apps og Power Automate.
  3. Følgende Power Automate-maler for administrasjonskoblinger finnes for raskt opptrapping:
    1. Vis nye Power Automate-koblinger
    2. Hent liste over nye Power Apps, Power Automate-flyter og -kontakter
    3. Send meg et ukentlig sammendrag via e-post om Office 365-meldingssentervarsler
    4. Tilgang til Office 365-logger for sikkerhet og samsvar fra Power Automate
  4. Bruk denne blogg- og appmalen til å trappe opp raskt på administrasjonskoblingene.
  5. I tillegg er det verdt å sjekke ut innhold som er delt i galleriet over fellesskapsapper, og her er et annet eksempel på en administrativ opplevelse som er skapt med Power Apps og administratorkoblinger.

VANLIGE SPØRSMÅL

Problem For øyeblikket kan alle brukere med Microsoft E3-lisenser opprette apper i standardmiljøet. Hvordan kan vi aktivere Miljøoppretter-rettigheter til en utvalgt gruppe, for eksempel. 10 personer til å opprette apper?

AnbefalingPowerShell-cmdleter og Administrasjonskoblinger gir full fleksibilitet og kontroll til administratorer til å bygge policyene de ønsker for organisasjonen.

Overvåk

Det er en etablert forståelse for at overvåkingen er en viktig del av administrasjon av store mengder programvare, og denne delen fremhever et par måter å få innsikt i utvikling og bruk av Power Apps og Power Automate.

Se gjennom revisjonssporet

Aktivitetslogging for Power Apps er integrert i Office-sikkerhets- og samsvarssenteret for omfattende logging på tvers av Microsoft-tjenester som Dataverse og Microsoft 365. Office inneholder en API som brukes til å spørre disse dataene, som for øyeblikket brukes av mange SIEM-leverandører for å bruke aktivitetsloggingsdataene for rapportering.

Vise Power Apps og Power Automate-lisensrapporten

  1. Gå til administrasjonssenteret for Power Platform.

  2. Velg Analytics>Power Automate eller Power Apps.

  3. Vise Power Apps- og Power Automate-administrasjonsanalyse

    Du kan få informasjon om følgende:

    • Aktiv brukere og appbruk – hvor mange brukere som bruker en app, og hvor ofte?
    • Sted – Hvor er bruken?
    • Tjenesteytelse for koblinger
    • Feilrapportering – Hva er de mest feilutsatte appene?
    • Flyter i bruk etter type og dato
    • Flyter opprettet etter type og dato
    • Revisjon på programnivå
    • Tjenestetilstand
    • Brukte koblinger

Vise hvilke brukere som er lisensiert

Du kan alltid se på individuell brukerlisensiering i administrasjonssenteret for Microsoft 365 ved å drille ned i bestemte brukere.

Du kan også bruke følgende PowerShell-kommando til å eksportere tilordnede brukerlisenser.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksporterer alle de tilordnede brukerlisensene (Power Apps og Power Automate) i leieren til en CSV-fil for tabellvisning. Den eksporterte filen inneholder både selvbetjeningsregistrering, interne prøveversjonsplaner og planer som hentes fra Microsoft Entra ID. De interne prøveversjonsplanene vises ikke for administratorer i administrasjonssenteret for Microsoft 365.

Det kan ta litt tid å eksportere for leiere med et stort antall Power Platform-brukere.

Vise programressurser som brukes i et miljø

  1. Velg miljøer på navigasjonsmenyen i Power Platform-administrasjonssenteret.
  2. Velg et miljø.
  3. Du kan også laste ned listen over ressurser som brukes i et miljø, som en CSV-fil.

Se også

Bruk anbefalte fremgangsmåter for å sikre og styre Power Automate-miljøer
Startpakke for Microsoft Power Platform Center of Excellence (CoE)