Dôležité informácie týkajúce sa zabezpečenia a riadenia

  • Článok

Veľa zákazníkov je zvedavých, ako možno sprístupniť Power Platform širšiemu publiku pre podnikanie a s podporou IT? Odpoveďou je riadenie. Jeho cieľom je umožniť obchodným skupinám, aby sa zameriavali na efektívne riešenie obchodných problémov a súčasne dodržiavali normy v oblasti IT a podnikania. Nasledujúci obsah má za cieľ štruktúrovať témy, ktoré sa často spájajú s riadiacim softvérom, a priblížiť možnosti, ktoré sú k dispozícii pre každú tému v súvislosti s riadením Power Platform.

Motív Bežné otázky týkajúce sa každej témy, na ktorú tento obsah poskytuje odpovede
Architektúra
  • Aké sú základné konštrukty a koncepty služieb Power Apps, Power Automate a Microsoft Dataverse?

  • Ako tieto konštrukty do seba zapadajú v čase navrhovania a spustenia?
Zabezpečenie
  • Aké sú osvedčené postupy z hľadiska návrhov zabezpečenia?

  • Ako môžem využívať naše existujúce riešenia správy používateľov a skupín na správu prístupových a bezpečnostných rolí v Power Apps?
Upozornenia a akcie
  • Ako môžem definovať model riadenia medzi neprofesionálnymi vývojármi a riadenými IT službami?

  • Ako môžem definovať model riadenia medzi centrálnym oddelením IT a správcami obchodných jednotiek?

  • Ako mám pristupovať k podpore pre neštandardné prostredia v mojej organizácii?
Monitorovanie
  • Ako získavame údaje o zhode/audite?

  • Ako môžem merať mieru prijatia a používania v mojej organizácii?

Architektúra

Najlepšie je oboznámiť sa s prostredím v rámci prvého kroku k vytvoreniu správneho postupu riadenia pre vašu spoločnosť. Prostredia sú kontajnery pre všetky zdroje využívané službami Power Apps, Power Automate a Dataverse. Prehľad prostredí je dobrým základom, po ktorom by mali nasledovať Čo je Dataverse?, Typy Power Apps, Microsoft Power Automate, Konektory a Lokálne brány.

Zabezpečenie

Táto časť popisuje mechanizmy, ktoré existujú na riadenie toho, kto má v prostredí prístup Power Apps a prístup k údajom: licencie, prostredia, roly prostredia, ID, politiky ochrany pred únikom údajov a konektory správcu, Microsoft Entra s ktorými možno použiť Power Automate.

Licencovanie

Prístup k Power Apps a Power Automate začína licenciou. Typ licencie, ktorú má používateľ, určuje aktíva a údaje, ku ktorým má používateľ prístup. Nasledujúca tabuľka uvádza rozdiely v zdrojoch, ktoré má používateľ k dispozícii na základe svojho typu plánu, a to od vysokej úrovne. Podrobné informácie o udeľovaní licencií nájdete v časti Prehľad licencií.

Plánovať Opis
Microsoft 365 je zahrnuté To umožňuje používateľom rozšíriť si SharePoint a ďalšie aktíva zo služby Office, ktorými už disponujú.
Dynamics 365 je zahrnuté To umožňuje používateľom prispôsobiť a rozšíriť aplikácie interakcie so zákazníkmi (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation), ktoré už majú.
Plán pre Power Apps To umožňuje:
  • vytváranie podnikových konektorov a dostupných služieb Dataverse.
  • používateľom využívať robustnú obchodnú logiku naprieč rôznymi typmi aplikácií a správcovskými funkciami.
Power Apps – komunita To umožňuje používateľom využívať Power Apps, Power Automate, Dataverse a zákaznícke konektory na individuálne použitie. Nie je možné zdieľať aplikácie.
Power Automate je bezplatné To umožňuje používateľom vytvárať neobmedzené postupy a vykonať 750 spustení.
Plán pre Power Automate Prečítajte si príručku k licencovaniu Microsoft Power Apps a Microsoft Power Automate.

Prostredia

Keď majú používatelia licencie, prostredia existujú ako kontajnery pre všetky zdroje použité službami Power Apps, Power Automate a Dataverse. Prostredia môžu byť zamerané na rôzne cieľové skupiny a/alebo na rôzne účely, napríklad na vývoj, testovanie a výrobu. Viac informácií nájdete v časti Prehľad prostredí.

Zabezpečte si údaje a sieť

  • Power Apps a Power Automate neposkytujú používateľom prístup k žiadnym dátovým prostriedkom, ku ktorým ešte nemajú prístup. Používatelia by mali mať prístup iba k údajom, ku ktorým prístup skutočne potrebujú.
  • Na Power Apps a Power Automate sa môžu vzťahovať aj zásady riadenia prístupu k sieti. V rámci prostredia je možné zablokovať prístup k lokalite v rámci siete prostredníctvom zablokovania prihlasovacej stránky s cieľom zabrániť vytvoreniu pripojení k danej lokalite v Power Apps a Power Automate.
  • V prostredí je prístup riadený na troch úrovniach: Roly prostredia, Povolenia zdrojov pre Power Apps, Power Automate atď. aRoly zabezpečenia Dataverse (ak je zriadená databáza Dataverse).
  • Keď dôjde k vytvoreniu Dataverse v určitom prostredí, roly pre Dataverse prevezmú kontrolu nad zabezpečením v danom prostredí (a dôjde tiež k migrácii všetkých správcov a výrobcov prostredia).

Nasledujúce subjekty sú podporované pre každý typ roly.

Typ prostredia Rola Hlavný typ (Microsoft Entra ID)
Prostredie bez Dataverse Rola prostredia Používateľ, skupina, nájomník
Povolenie zdroja: aplikácia plátna Používateľ, skupina, nájomník
Povolenie zdroja: Power Automate, vlastný konektor, brány, pripojenia1 Používateľ, skupina
Prostredie s Dataverse Rola prostredia User
Povolenie zdroja: aplikácia plátna Používateľ, skupina, nájomník
Povolenie zdroja: Power Automate, vlastný konektor, brány, pripojenia1 Používateľ, skupina
Rola Dataverse (platí pre všetky aplikácie a komponenty s podporou modelov) User

1Možno zdieľať iba určité pripojenia (napríklad SQL).

Poznámka

  • V predvolenom prostredí majú všetci používatelia nájomníka prístup k role Výrobca prostredia.
  • Microsoft Entra nájomníci Globálni správcovia majú správcovský prístup ku všetkým prostrediam.

FAQ – Aké povolenia existujú na úrovni nájomníka Microsoft Entra ?

Dnes správcovia Microsoft Power Platform môžu robiť nasledovné:

  1. Sťahovanie výkazov o licenciách pre Power Apps a Power Automate
  2. Vytváranie zásad DLP s dosahom iba na „Všetky prostredia“ alebo s dosahom na zahrnutie/vylúčenie konkrétnych prostredí
  3. Správa a priraďovanie licencií prostredníctvom centra spravovania platformy Office
  4. Získajte prístup k funkciám správy prostredí, aplikácií a tokov pre všetky prostredia v nájomníkovi dostupných prostredníctvom:
    • Rutiny cmdlet správcu PowerShell pre Power Apps
    • Konektory správy pre Power Apps
  5. Prístup k analytickým údajom správcu pre Power Apps a Power Automate pre všetky prostredia v rámci nájomcu:

Pouvažujte nad Microsoft Intune

Zákazníci so službou Microsoft Intune môžu nastaviť politiky ochrany mobilných aplikácií pre aplikácie Power Apps a aplikácie Power Automate Android . iOS V tomto návode nájdete stručný prehľad nastavení zásad cez Intune pre Power Automate.

Pouvažujte nad podmieneným prístupom založeným na umiestnení

Pre zákazníkov s Microsoft Entra ID P1 alebo P2 môžu byť politiky podmieneného prístupu definované v Azure pre Power Apps a Power Automate. To umožňuje udelenie alebo zablokovanie prístupu na základe: používateľa/skupiny, zariadenia či umiestnenia.

Vytvorenie zásad podmieneného prístupu

  1. Prihlásiť sa do https://portal.azure.com.
  2. Vyberte položku Podmienený prístup.
  3. Vyberte položku + Nové zásady.
  4. Vyberte vybratí používatelia a skupiny.
  5. Vyberte Všetky cloudové aplikácie>Všetky cloudové aplikácie>Common Data Service na kontrolu prístupu k aplikáciám na interakciu so zákazníkmi.
  6. Použite podmienky (riziko používateľa, platformy zariadení, umiestnenia).
  7. Vyberte položku Vytvoriť.

Zabráňte úniku údajov pomocou zásad ochrany pred únikom údajov

Zásady ochrany pred únikom údajov (DLP) presadzujú pravidlá, pri ktorých sa môžu konektory používať spolu, a to prostredníctvom klasifikácie konektorov obmedzených iba na obchodné údaje alebo so zakázanými obchodnými údajmi. Stručne povedané, ak vložíte konektor do skupiny obmedzenej iba na obchodné údaje, dá sa použiť iba v kombinácii s inými konektormi z danej skupiny v rámci rovnakej aplikácie. Správcovia Power Platform môžu definovať zásady, ktoré sa vzťahujú na všetky prostredia.

Najčastejšie otázky

Otázka: Môžem na úrovni nájomníka ovládať, ktorý konektor je k dispozícii, napríklad Nie pre Dropbox alebo Twitter, ale Áno pre SharePoint?

Odpoveď: Je to možné pomocou schopností klasifikácie konektorov a priradenia klasifikátora Blokované k jednému alebo viacerým konektorom, ktoré sa nemajú používať. Všimnite si, že existuje súprava konektorov, ktoré nemožno zablokovať.

Otázka: A čo zdieľanie konektorov medzi používateľmi? Napríklad konektor pre Teams je všeobecný, ktorý je možné zdieľať?

Odpoveď: Konektory sú k dispozícii pre všetkých používateľov. S výnimkou prémiových alebo vlastných konektorov, ktoré si vyžadujú dodatočnú licenciu (prémiové konektory) alebo ktoré musia byť explicitne zdieľané (vlastné konektory)

Upozornenia a akcie

Okrem monitorovania sa mnohí zákazníci chcú prihlásiť na odber udalostí týkajúcich sa vytvárania softvéru, jeho využívania alebo zdravia, aby vedeli, kedy vykonať príslušnú akciu. V tejto časti nájdete prehľad niekoľkých prostriedkov na pozorovanie udalostí (manuálne a programovo) a vykonávanie akcií vyvolaných výskytom udalosti.

Vytvárajte toky pre Power Automate s cieľom upozorňovať na kľúčové udalosti auditu

  1. Príkladom upozornenia, ktoré možno implementovať, je odber záznamov auditu pre Microsoft 365 Security and Compliance.
  2. To sa dá dosiahnuť prostredníctvom odberu služby webhook alebo hlasovacieho prístupu. Po pripojení platformy Power Automate k týmto upozorneniam však môžeme správcom poskytovať viac ako len e-mailové upozornenia.

Vytvorte si zásady, ktoré potrebujete, so službou Power Apps, Power Automate a PowerShell

  1. Tieto rutiny cmdlet pre PowerShell vkladajú úplnú kontrolu do rúk správcov, ktorí môžu automatizovať potrebné zásady riadenia.
  2. Konektory správy poskytujú rovnakú úroveň kontroly, ale s pridanou rozšíriteľnosťou a uľahčením používania vďaka využívania služieb Power Apps a Power Automate.
  3. Nasledujúce šablóny pre konektory správcov v Power Automate slúžia na rýchle rozbehnutie:
    1. Zoznam nových konektorov služby Power Automate
    2. Získajte zoznam nových tokov Power Apps, Power Automate a konektorov
    3. Zašlite mi e-mail s týždenným súhrnom oznámení z Centra správ pre Office 365
    4. Prístup k záznamom o bezpečnosti a dodržiavaní predpisov pre Office 365 z Power Automate
  4. Použite tento blog a šablónu aplikácie a rýchlo sa rozbehnite v oblasti konektorov na správu.
  5. Okrem toho sa oplatí vyskúšať obsah zdieľaný v Komunitnej galérii aplikácií; ide o ďalší príklad správcovského rozhrania vytvoreného pomocou konektorov správcov v službe Power Apps.

Najčastejšie otázky

Problém V súčasnosti môžu všetci používatelia s licenciami Microsoft E3 vytvárať aplikácie v predvolenom prostredí. Ako napríklad môžeme povoliť práva výrobcu prostredia pre vybranú skupinu. 10 osôb na vytváranie aplikácií?

OdporúčanieRutiny cmdlet pre PowerShell a Konektory správy poskytujú správcom úplnú flexibilitu a kontrolu pri tvorbe zásad, ktoré chcú presadzovať vo svojej organizácii.

Monitorovanie

Je známe, že monitorovanie je kritickým aspektom správy softvéru väčšieho rozsahu; táto časť vám prináša prehľad niekoľkých prostriedkov, ktoré slúžia na získavanie prehľadu o vývoji a mierne využitia platformy Power Apps a Power Automate.

Skontrolujte auditovací záznam

Protokolovanie aktivity pre Power Apps je integrované do centra Office Security and Compliance s cieľom vykonávať komplexné protokolovanie naprieč službami spoločnosti Microsoft, ako je Dataverse a Microsoft 365. Office poskytuje rozhranie API na dotazovanie týchto údajov, ktoré v súčasnosti využíva veľa dodávateľov typu SIEM s cieľom využívať údaje o protokolovaní aktivity pri vykazovaní.

Zobrazenie zostavy s licenciami pre Power Apps a Power Automate

  1. Prejdite na centrum spravovania platformy Power Platform.

  2. Vyberte položku Analýza>Power Automate alebo Power Apps.

  3. Zobrazenie analytických údajov správy pre Power Apps a Power Automate

    Môžete získať nasledovné informácie:

    • Miera používania aktívnych používateľov a aplikácií – koľko používateľov používa určitú aplikáciu a ako často?
    • Umiestnenie – kde dochádza k využívaniu?
    • Výkon služieb konektorov
    • Hlásenie chýb – ktoré aplikácie sú najviac náchylné k vzniku chýb
    • Používané toky podľa typu a dátumu
    • Vytvorené toky podľa typu a dátumu
    • Audit na úrovni aplikácie
    • Stav služby
    • Použité konektory

Zistite, na čo majú používatelia licenciu

Licencie jednotlivého používateľa sa môžete kedykoľvek pozrieť v správcovskom centre Microsoft 365 vykonaním konkrétnych používateľov.

Nasledujúci príkaz pre PowerShell môžete použiť aj na export priradených používateľských licencií.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportuje všetky priradené používateľské licencie (Power Apps a Power Automate) vo vašom nájomníkovi do tabuľkového zobrazenia v súbore .csv. Exportovaný súbor obsahuje samoobslužné registrácie, interné skúšobné plány, ako aj plány, ktoré pochádzajú z Microsoft Entra ID. Interné skúšobné plány nie sú viditeľné pre správcov v centre spravovania Microsoft 365.

Export môže chvíľu trvať pre nájomníkov s veľkým počtom používateľov Power Platform.

Zobrazenie zdrojov aplikácie využívaných v rámci prostredia

  1. V centre spravovania platformy Power Platform si vyberte z navigačnej ponuky položku Prostredia.
  2. Vyberte si prostredie.
  3. Prípadne si môžete stiahnuť zoznam zdrojov využívaných v rámci prostredia vo formáte .csv.

Pozrite si tiež:

Použitie najvhodnejších postupov na zabezpečenie a riadenie prostredí so službou Power Automate
Úvodná súprava pre Centrum excelentnosti (Center of Excellence, CoE) služby Microsoft Power Platform