اعتبارات الأمان والحوكمة في Power Platform

يتساءل العديد من العملاء كيف يمكن توفير Power Platform لأعمالهم الأوسع ودعمها بواسطة تكنولوجيا المعلومات؟ تكمن الإجابة في الإدارة. وهدفها هو تمكين مجموعات الأعمال من التركيز على حل مشاكل العمل بشكل فعال مع الالتزام في الوقت نفسه بمعايير امتثال الأعمال وتقنية المعلومات. يهدف المحتوى التالي إلى هيكلة الموضوعات التي غالبًا ما ترتبط بالبرامج الحاكمة وزيادة الوعي بالإمكانيات المتاحة لكل موضوع من حيث صلته بحوكمة Power Platform.

النسق	الأسئلة الشائعة المتعلقة بكل نسق والتي يقدم هذا المحتوى إجابات لها
الهندسة	ما البنيات والمفاهيم الأساسية لـ Power Apps و Power Automate و Microsoft Dataverse؟ كيف تتلائم هذه البنيات معًا وقت التصميم ووقت التشغيل؟
الأمان	ما أفضل الممارسات الخاصة باعتبارات تصميم الأمان؟ كيف يمكنني استخدام حلول إدارة المستخدمين المجموعات الحالية لإدارة أدوار الوصول والأمان في Power Apps؟
التنبيه وإجراءات	كيف يمكنني تحديد نموذج الإدارة بين مطوري المواطنين وخدمات تقنية المعلومات المُدارة؟ كيف يمكنني تحديد نموذج الإدارة بين مسؤولي تقنية المعلومات ووحدات الأعمال؟ كيف أصل إلى الدعم اللازم للبيئات غير الافتراضية في مؤسستي؟
مراقبة	كيف نجمع بيانات التدقيق والتوافق؟ كيف يمكنني قياس الاعتماد والاستخدام في مؤسستي؟

الهندسة

من الأفضل أن يتعرف الشخص على البيئات كأول خطوة في بناء قصة الإدارة المناسبة لشركك. البيئات هي حاويات لجميع الموارد المستخدمة بواسطة Power Apps وPower Automate وDataverse. نظرة عامة على البيئات هي سابقة جيدة يجب أن يتبعها حسب ما هو Dataverse؟ وأنواع Power AppsMicrosoft Power Automate والموصلات والبوابات الداخلية.

الأمان

يوضح هذا القسم الآليات الموجودة للتحكم في من يمكنه الوصول إلى Power Apps في بيئة والوصول إلى البيانات: التراخيص والبيئات وأدوار البيئة ومعرف Microsoft Entra ونهج البيانات وموصلات المسؤول التي يمكن استخدامها مع Power Automate.

الترخيص

الوصول إلى ترخيص Power Apps وPower Automate والبدء بهما. نوع الترخيص الذي يحدد المستخدم الأصول والبيانات التي يمكن للمستخدم الوصول إليها. يوضح الجدول التالي الاختلافات في الموارد المتوفرة للمستخدم استنادا إلى نوع الخطة الخاصة به، من مستوى عال. يمكن العثور على أدق تفاصيل الترخيص في نظرة عامة على الترخيص.

الخطة	الوصف
Microsoft 365 مضمّن	ويسمح ذلك للمستخدمين بتوسيع SharePoint وأصول Office الأخرى التي لديهم بالفعل.
Dynamics 365 مضمّن	ويتيح ذلك للمستخدمين تخصيص وتوسيع تطبيقات مشاركة العميل (وهي Dynamics 365 Sales وDynamics 365 Customer Service وDynamics 365 Field Service وDynamics 365 Marketing وDynamics 365 Project Service Automation) الموجودة لديهم.
خطة Power Apps	يسمح هذا بما يلي: جعل موصلات المؤسسة و Dataverse يمكن الوصول إليها للاستخدام. تمكين المستخدمين من استخدام منطق عمل قوي عبر أنواع التطبيقات وقدرات الإدارة.
Power Apps Community	يسمح هذا للمستخدم باستخدام Power Appsو Power Automateو Dataverse وموصلات مخصصة وحدها في الاستخدامات الفردية. لا توجد إمكانية لمشاركة التطبيقات.
Power Automate مجاني	ويسمح ذلك للمستخدمين بإنشاء تدفقات غير محدودة وإنشاء 750 عملية تشغيل.
خطة Power Automate	راجع دليل ترخيص Microsoft Power Apps وMicrosoft Power Automate.

البيئات

بعد أن يكون لدى المستخدمين تراخيص، توجد البيئات كحاويات لجميع الموارد المستخدمة بواسطة Power Apps، وPower Automate وDataverse. يمكن استخدام البيئات لاستهداف جماهير مختلفة و/أو أغراض مختلفة مثل التطوير والاختبار والإنتاج. يمكن العثور على مزيد من المعلومات في نظرة عامة على البيئات.

تأمين البيانات والشبكة

• Power Apps وPower Automate لا يوفران للمستخدمين حق الوصول إلى أي من أصول البيانات التي لا يتمتعون بالوصول اليها بالفعل. يجب أن يتوفر للمستخدمين حق الوصول إلى البيانات التي يطلبون الوصول اليها بالفعل.
• يمكن أيضا تطبيق نهج التحكم في الوصول إلى الشبكة لـ Power Appsو Power Automate. بالنسبة للبيئة، يمكن لأي فرد حظر الوصول إلى موقع ما من داخل شبكة اتصال بواسطة حظر صفحة تسجيل الدخول لمنع إنشاء الاتصالات إلى هذا الموقع في Power Apps و Power Automate.
• في البيئة، يتم التحكم في الوصول على ثلاثة مستويات: أدوار البيئة وأذونات الموارد لـ Power Apps وPower Automate وغيرها وأدوار الأمان Dataverse (في حالة توفير قاعدة بيانات Dataverse).
• عندما يتم إنشاء Dataverse في بيئة ما، فإن أدوار Dataverse ستتولى مسؤولية التحكم في الأمان في البيئة (ويتم ترحيل جميع المسؤولي والمنشئين).

يتم دعم الأساسيات التالية لكل نوع من أنواع الأدوار.

نوع البيئة	الدور	نوع الأساس (معرف Microsoft Entra )
البيئة بدون Dataverse	دور البيئة	المستخدم، المجموعة، المستأجر
	إذن الموارد: تطبيق اللوحة	المستخدم، المجموعة، المستأجر
	إذن الموارد: Power Automate، موصل مخصص، البوابات، الاتصالات1	المستخدم، المجموعة
البيئة مع Dataverse	دور البيئة	User
	إذن الموارد: تطبيق اللوحة	المستخدم، المجموعة، المستأجر
	إذن الموارد: Power Automate، موصل مخصص، البوابات، الاتصالات1	المستخدم، المجموعة
	دور Dataverse (ينطبق على جميع التطبيقات والمكونات المستندة إلى النموذج)	User

¹يمكن مشاركة اتصالات معينة فقط (مثل SQL).

إشعار

• في البيئة الافتراضية، يتم منح كافة المستخدمين في مستأجر صلاحية الوصول إلى دور منشئ البيئة.
• المستخدمون الذين لديهم دور مسؤول Power Platform ولديهم وصول المسؤول إلى كافة البيئات.

الأسئلة المتداولة - ما الأذونات الموجودة في أحد مستويات مستأجر Microsoft Entra؟

اليوم، يمكن للمسؤولين Microsoft Power Platform القيام بما يلي:

1. تنزيل تقرير ترخيص Power Apps و Power Automate
2. إنشاء نهج بيانات محدد النطاق فقط إلى "كافة البيئات" أو نطاقه لتضمين/استبعاد بيئات معينة
3. إدارة التراخيص وتعيينها عبر مركز إدارة Office
4. قم بالوصول إلى جميع البيئات والتطبيقات وإمكانات إدارة التدفق لكافة البيئات في المستأجر المتوفرة من خلال:
   • PowerShell cmdlets لمسؤول Power Apps
   • موصلات إدارة Power Apps
5. الوصول إلى تحليلات إدارة Power AppsوPower Automate لجميع البيئات في المستأجر:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

بالنسبة إلى Microsoft Intune

يمكن للعملاء الذين لديهم Microsoft Intune تعيين نهج حماية تطبيق الأجهزة المحمولة لكل من تطبيقات Power Apps وPower Automate على Android وiOS. تلقي الإرشادات التفصيلية هذه الضوء على إعداد نهج عبر Intune لـ Power Automate.

بالنسبة إلى الوصول المشروط المستند إلى الموقع

بالنسبة للعملاء الذين لديهم Microsoft Entra ID P1، يمكن تحديد نُهج الوصول المشروط في Azure لـ Power Appsو Power Automate. وهو ما يسمح بمنح الوصول أو حظره استنادا إلى: مستخدم/مجموعة، جهاز، موقع.

إنشاء نهج وصول مشروط

1. قم بتسجيل الدخول إلى https://portal.azure.com.
2. حدد الوصول المشروط.
3. حدد + نهج جديد.
4. حدد المستخدمين والمجموعات المحددة.
5. حدد كافة التطبيقات السحابية>كافة التطبيقات السحابية>Common Data Serviceللتحكم في الوصول إلى تطبيقات مشاركة العملاء.
6. قم بتطبيق الشروط (مخاطرة المستخدم، الأنظمة الأساسية للجهاز، المواقع).
7. حدد إنشاء.

منع تسرب البيانات باستخدام نهج البيانات

تطبيق سياسات البيانات القواعد المتعلقة باستخدام الموصلات معاً عن طريق تصنيف الموصلات إلى فئتين: بيانات عمل فقط، أو عدم السماح باستخدام بيانات العمل. ببساطة، إذا قمت بوضع موصل في مجموعة بيانات الأعمال فقط، فلن يمكن استخدام إلا مع الموصلات الأخرى من هذه المجموعة في نفس التطبيق. بإمكان مسؤولي Power Platform تعريف النهج التي تنطبق على كافة البيئات.

الأسئلة الشائعة

س: هل يمكنني التحكم، على مستوى المستأجر، في أي موصل متوفر على الإطلاق، على سبيل المثال لا لـ Dropbox أو Twitter لكن نعم لـ SharePoint؟

ج: يمكن القيام بذلك عن طريق استخدام إمكانات تصنيف الموصلات وتعيين المصنف المحظور لواحد أو أكثر من الموصلات التي تريد عدم استخدامها. هناك مجموعة من الموصلات التي لا يمكن حظرها.

س: ماذا عن مشاركة الموصلات بين المستخدمين؟ على سبيل المثال، الموصل للفرق هو موصل عام يمكن مشاركته؟

أ: الموصلات متاحة لجميع المستخدمين باستثناء الموصلات المتميزة أو المخصصة التي تحتاج إما إلى ترخيص آخر (الموصلات المتميزة) أو مشاركتها بشكل صريح (الموصلات المخصصة)

التنبيه وإجراءات

بالإضافة إلى المراقبة، يرغب الكثير من العملاء في الاشتراك في إنشاء البرامج أو الاستخدام أو أحداث السلامة حتى يعرفون متى يتم تنفيذ أحد الإجراءات. يوضح هذا القسم عدة طرق لملاحظة الأحداث (يدويًا و برمجيًا) وتنفيذ الإجراءات التي تم تشغيلها بواسطة تكرار حدث.

إنشاء عمليات سير عمل Power Automate للتنبيه بخصوص أحداث التدقيق الرئيسية

1. من أمثلة التنبيات التي يمكن تنفيذها هي الاشتراك في سجلات تدقيق الأمان والتوافق في Microsoft 365.
2. يمكن تحقيق ذلك من خلال الاشتراك في خطاف الويب أو نهجالاستطلاع‬. ومع ذلك، بإرفاق Power Automate في هذه التنبيهات، يمكننا تزويد المسؤولين بأكثر من مجرد تنبيهات البريد الإلكتروني.

بناء النُهج التي تحتاجها مع Power Apps و Power Automate وPowerShell

1. من خلال PowerShell cmdlets يتحكم المسؤولون بشكل كامل في أتمتة نُهج الإدارة الضرورية.
2. توفر موصلات Power Platform for Admins V2 (إصدار أولي) و Power Automate إدارة نفس مستوى التحكم ولكن مع مزيد من قابلية التوسعة وسهولة الاستخدام باستخدام Power Apps وPower Automate.
3. راجع Power Platform أفضل ممارسات الإدارة والحوكمة وفكر في إعداد مجموعة بدء تشغيل مركز التميز..
4. استخدم هذه المدونة وقالب التطبيق قم بالتكثيف سريعًا على موصلات الإدارة.
5. بالإضافة إلى ذلك، من المفيد التحقق من المحتوى المشارك في معرض تطبيقات المجتمع ، وفيما يلي مثال آخر لتجربة إدارية مضمّنة باستخدام موصلات Power Apps وموصلات المسؤول.

الأسئلة الشائعة

المشكلة في الوقت الحالي، بإمكان جميع المستخدمين الذين لديهم تراخيص Microsoft E3 إنشاء تطبيقات في البيئة الافتراضية. كيف يمكننا تمكين حقوق منشئ البيئة لمجموعة محددة، على سبيل المثال. هل يكفي عشرة أشخاص لإنشاء تطبيقات؟

التوصية

يوفر PowerShell cmdlets وموصلات الإدارة للمسؤولين المرونة والتحكم التام لإنشاء النهج التي يرغبون فيها للمؤسسة الخاصة بهم.

مراقبة

من المفهوم جيدًا أن المراقبة هي جانب مهم لإدارة البرامج على نطاق واسع. يسلط هذا القسم الضوء على وسيلتين للحصول على تفاصيل عن التطوير والاستخدام في Power Apps وPower Automate.

مراجعة سجل التدقيق

تسجيل الأنشطة لـ Power Apps مُدمج مع مركز التوافق والأمان بـ Office من أجل التسجيل الشامل عبر خدمات Microsoft مثل Dataverse و Microsoft 365. يوفر Office واجهة برمجة تطبيقات API للاستعلام عن هذه البيانات، التي يتم استخدامها حاليا بواسطة العديد من بائعي SIEM لاستخدام بيانات تسجيل النشاط لإعداد التقارير.

عرض تقرير ترخيص Power Apps وPower Automate

1. سجل دخولك إلى مركز إدارة Power Platform.
2. فِي جزء التنقل، حدد الترخيص.
3. في جزء الترخيص ، حدد Power Automate المعلومات أو Power Apps مراجعتها.

يمكنك الحصول على معلومات حول ما يلي:

• المستخدم النشط واستخدام التطبيق - كم عدد المستخدمين الذين يستخدمون تطبيقًا ما وعدد مرات ذلك؟
• الموقع – أين الاستخدام؟
• أداء موصلات الخدمة
• الإبلاغ عن الأخطاء – وهي أكثر التطبيقات التي تعتمد على الخطأ
• عمليات سير العمل قيد الاستخدام حسب النوع والتاريخ
• عمليات سير العمل المنشأة حسب النوع والتاريخ
• التدقيق على مستوى التطبيق
• سلامة الخدمة
• الموصلات المستخدمة

عرض المستخدمين المرخصين

يمكنك دائما النظر إلى ترخيص المستخدم الفردي في مركز إدارة Microsoft 365 عن طريق البحث في مستخدمين معينين.

يمكنك أيضًا استخدام أمر PowerShell التالي لتصدير تراخيص المستخدم المعينة.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

يقوم بتصدير كافة تراخيص المستخدمين المعينين ( Power AppsوPower Automate) في المستأجر الخاص بك إلى ملف .csv لطريقة العرض الجدولية. يحتوي الملف الذي تم تصديره على خطط وخطط تجريبية داخلية للتسجيل الذاتي للخدمة التي تم الحصول عليها من معرف Microsoft Entra. خطط الإصدار التجريبي الداخلية غير مرئية للمسؤولين في مركز إدارة Microsoft 365.

قد يستغرق التصدير بعض الوقت للمستأجرين الذين لديهم عدد كبير من مستخدمي Power Platform.

عرض موارد التطبيق المستخدمة في بيئة

1. سجل دخولك إلى مركز إدارة Power Platform.
2. في جزء التنقل، حدد الادارة.
3. في جزء ادارة حدد البيئات.
4. في صفحة البيئات ، حدد بيئة.
5. في قسم الموارد ، راجع قائمة التطبيقات المستخدمة في البيئة.

المحتوى ذو الصلة

• استخدام أفضل الممارسات لتأمين بيئات Power Automate والتحكم فيها
  
• مجموعة بدء تشغيل مركز التميز Microsoft Power Platform