Sdílet prostřednictvím

Důležité informace o zabezpečení a zásadách správného řízení

  • Článek

Mnoho zákazníků zajímá, jak lze Power Platform zpřístupnit širšímu okruhu firem a podporovat IT týmem. Odpovědí jsou zásady správného řízení. Jejich cílem je umožnit obchodním skupinám soustředit se na efektivní řešení obchodních problémů při současném dodržování standardů IT a obchodních předpisů. Následující obsah má za cíl strukturovat témata, která jsou často spojena s řídicím softwarem, a upozornit na možnosti jednotlivých témat, pokud jde o řízení Power Platform.

Téma Časté otázky ohledně každého tématu, na které tento obsah dává odpovědi
Architektura
  • Jaké jsou základní konstrukty a koncepty Power Apps, Power Automate a Microsoft Dataverse?

  • Jak tyto konstrukty do sebe zapadají v době návrhu a za běhu?
Zabezpečení
  • Jaké jsou osvědčené postupy týkající se návrhu zabezpečení?

  • Jak mohu používat naše stávající řešení pro správu uživatelů a skupin ke správě přístupových a bezpečnostních rolí Power Apps?
Výstraha a akce
  • Jak definuji model zásad správného řízení mezi občanskými vývojáři a spravovanými IT službami?

  • Jak definuji model zásad správného řízení mezi centrálními správci IT a správci obchodní jednotky?

  • Jak mám přistupovat k podpoře jiných než standardních prostředí v mé organizaci?
Monitorovat
  • Jak získáváme údaje o shodě / auditu?

  • Jak mohu měřit adopci a využití v mé organizaci?

Architektura

Nejlepší je seznámit se s prostředím jako prvním krokem k vytvoření správného příběhu o zásadách správného řízení vaší společnosti. Prostředí jsou kontejnery pro všechny prostředky využívané v Power Apps, Power Automate a Dataverse. Přehled prostředí je dobrý základ, po kterém by mělo následovat Co je Dataverse?, Typy Power Apps, Microsoft Power Automate, konektory a místní Gateways.

Zabezpečení

Tato část popisuje mechanismy, které existují pro účely řízení, kdo má přístup k Power Apps v prostředí a přístup k datům: licence, prostředí, role prostředí, Microsoft Entra ID, Zásady prevence ztráty dat a konektory pro správu, které lze použít s Power Automate.

Licencování

Přístup k Power Apps a Power Automate začíná vlastnictvím licence. Typ licence, kterou má uživatel, určuje zdroje a data, ke kterým má uživatel přístup. Následující tabulka uvádí rozdíly ve zdrojích, které má uživatel k dispozici na základě svého typu plánu, od vysoké úrovně. Podrobné informace o licencích naleznete v části Přehled licencování.

Plán Popis
Včetně Microsoft 365 To umožňuje uživatelům rozšíření SharePoint a dalších aktiv Office, která již mají.
Včetně Dynamics 365 To umožňuje uživatelům přizpůsobit a rozšířit aplikace pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation), které už vlastní.
Plán Power Apps To dovoluje:
  • vytváření podnikových konektorů a Dataverse přístupných pro použití.
  • Uživatelé používají robustní obchodní logiku napříč typy aplikací a možnostmi správy.
Komunita Power Apps To umožňuje uživateli používat Power Apps, Power Automate, Dataverse a vlastní konektory v jednom pro individuální použití. Není možné sdílet aplikace.
Power Automate zdarma Tato licence umožňuje uživatelům neomezeně vytvářet toky a provést 750 běhů.
Plán Power Automate Viz příručka k licencování Microsoft Power Apps a Microsoft Power Automate.

Prostředí

Poté, co si uživatelé pořídí licence, prostředí existují jako kontejnery pro všechny prostředky využívané v Power Apps, Power Automate a Dataverse. Prostředí lze použít k zacílení na různé cílové skupiny a/nebo pro různé účely, jako je vývoj, testování a produkce. Více informací naleznete v tématu Přehled prostředí.

Zabezpečení dat a sítě

  • Power Apps a Power Automate neposkytují uživatelům přístup k žádným datovým aktivům, ke kterým dosud nemají přístup. Uživatelé by měli mít přístup pouze k datům, ke kterým skutečně potřebují přístup.
  • Zásady řízení přístupu k síti se mohou vztahovat také na Power Apps a Power Automate. V prostředí je možné zablokovat přístup k webu v rámci sítě blokováním přihlašovací stránky, aby se zabránilo vytváření připojení k tomuto webu v Power Apps a Power Automate.
  • V prostředí je přístup řízen na třech úrovních: Role prostředí, Oprávnění zdrojů pro Power Apps, Power Automate atd. a Role zabezpečení Dataverse (Pokud je zřízena databáze Dataverse).
  • Když je Dataverse vytvořeno v prostředí, role Dataverse převezmou kontrolu nad bezpečností v prostředí (a všichni správci a tvůrci prostředí jsou migrováni).

Následující objekty zabezpečení jsou podporovány pro každý typ role.

Typ prostředí Role Typ objektu zabezpečení (Microsoft Entra ID)
Prostředí bez Dataverse Role prostředí Uživatel, skupina, klient
Oprávnění zdrojů: Aplikace plátna Uživatel, skupina, klient
Oprávnění zdrojů: Power Automate, Vlastní konektor, brány, připojení 1 Uživatel, skupina
Prostředí s Dataverse Role prostředí User
Oprávnění zdrojů: Aplikace plátna Uživatel, skupina, klient
Oprávnění zdrojů: Power Automate, Vlastní konektor, brány, připojení 1 Uživatel, skupina
Role Dataverse (platí pro všechny aplikace a komponenty založené na modelu) Uživatelská

1 Lze sdílet pouze určitá připojení (například SQL).

Poznámka:

  • Ve výchozím prostředí je všem uživatelům v klientu udělen přístup k roli Tvůrce prostředí.
  • Uživatelé s rolí Power Platform Administrátor mají přístup správce do všech prostředí.

Nejčastější dotazy – Jaká oprávnění existují na úrovni Microsoft Entra tenanta?

Dne mohou správci Microsoft Power Platform provádět následující:

  1. Stažení sestavy licence Power Apps a Power Automate
  2. Vytvoření zásady DLP s rozsahem určeným pouze pro „Všechna prostředí“ nebo se zahrnutím nebo vyloučením konkrétních prostředí
  3. Správa a přiřazení licencí prostřednictvím centra pro správu Office
  4. Získejte přístup ke všem funkcím správy prostředí, aplikací a toků pro všechna prostředí v klientovi dostupná prostřednictvím:
    • Rutiny správy Power Apps PowerShell
    • Konektory pro správu Power Apps
  5. Přístup k analytice pro správu Power Apps a Power Automate pro všechna prostředí v klientovi:

Zvažte Microsoft Intune

Zákazníci s Microsoft Intune mohou nastavit zásady ochrany mobilních aplikací pro Power Apps a Power Automate aplikace na Android a iOS. Tento průvodců poukazuje na nastavení zásad prostřednictvím Intune for Power Automate.

Úvahy o podmíněném přístupu na základě polohy

Pro zákazníky s Microsoft Entra ID P1 nebo P2 lze zásady podmíněného přístupu definovat v Azure for Power Apps a Power Automate. To umožňuje udělit nebo blokovat přístup na základě: uživatel/skupina, zařízení, umístění.

Vytvoření zásad podmíněného přístupu

  1. Přihlaste se ke službě https://portal.azure.com.
  2. Vyberte Podmíněný přístup.
  3. Vyberte + Nová zásada.
  4. Vyberte vybraní uživatelé a skupiny.
  5. Vyberte Všechny cloudové aplikace>Všechny cloudové aplikace>Common Data Service k řízení přístupu do aplikací Customer Engagement.
  6. Použijte podmínky (riziko uživatele, platformy zařízení, umístění).
  7. Vyberte Vytvořit.

Zabránění úniku dat pomocí zásad zabraňujících ztrátě dat

Zásady prevence ztráty dat (DLP) uplatňují pravidla, pro která lze konektory používat společně, a to klasifikací konektorů buď jako pouze obchodní data, nebo nejsou povolena žádná obchodní data. Jednoduše řečeno, pokud umístíte konektor do skupiny pouze pro obchodní data, lze jej použít pouze s jinými konektory z této skupiny ve stejné aplikaci. Správci Power Platform mohou definovat zásady, které se vztahují na všechna prostředí.

Nejčastější dotazy

Otázka: Mohu na úrovni klienta určit, který konektor je vůbec k dispozici, například Ne na Dropboxu nebo Twitteru, ale Ano v SharePointu?

A: To je možné pomocí funkcí klasifikace konektorů a přiřazení klasifikátoru Blokováno na jeden nebo více konektorů, jejichž používání chcete znemožnit. Existuje sada konektorů, které nelze blokovat.

Otázka: A co sdílení konektorů mezi uživateli? Lze například sdílet konektor pro Teams, který je obecný?

Odpověď: Konektory jsou dostupné všem uživatelům s výjimkou prémiových nebo vlastních konektorů, které vyžadují buď další licenci (prémiové konektory), nebo musí být explicitně sdíleny (vlastní konektory)

Výstraha a akce

Kromě monitorování se mnoho zákazníků chce přihlásit k odběru informací o vytváření, používání nebo zdravotních událostech, aby věděli, kdy mají provést akci. V této části je nastíněno několik způsobů, jak sledovat události (ručně a programově) a provádět akce vyvolané výskytem události.

Sestavení toků Power Automate k upozornění na klíčové události auditu

  1. Příkladem výstrahy, kterou lze implementovat, je přihlášení k odběru protokolů auditu zabezpečení a dodržování předpisů Microsoft 365.
  2. Toho lze dosáhnout prostřednictvím odběru webhook nebo přístupu cyklického dotazování. Nicméně připojením Power Automate k těmto upozorněním můžeme správcům poskytnout více než jen e-mailová upozornění.

Vytvořte zásady, které potřebujete, s Power Apps, Power Automate a PowerShell

  1. Tyto rutiny PowerShell dávají plnou kontrolu do rukou správců za účelem automatizace nezbytných zásad správy.
  2. Konektory pro správu poskytují stejnou úroveň ovládání, ale s přidanou rozšiřitelností a snadným použitím pomocí Power Apps a Power Automate.
  3. Následující šablony Power Automate pro konektory pro správu existují pro rychlé stoupání stabilním tempem:
    1. Vypsat nové Power Automate konektory
    2. Získejte seznam nových Power Apps, Power Automate toků a konektorů
    3. Pošlete mi e-mailem týdenní shrnutí Office 365 Centrum zpráv oznámení
    4. Přístup k protokolům Office 365 Zabezpečení a dodržování předpisů z Power Automate
  4. Pomocí tohoto blogu a šablony aplikace se rychle seznámíte s konektory pro správu.
  5. Kromě toho se vyplatí vyzkoušet obsah sdílený v Galerii komunitních aplikací, zde je další příklad administrativního porstředí vytvořeného pomocí Power Apps a konektorů pro správu.

Často kladené dotazy

Problém V současné době mohou všichni uživatelé s Microsoft licencemi E3 vytvářet aplikace ve výchozím prostředí. Jak například můžeme povolit práva nástroje Tvůrce prostředí pro vybranou skupinu. Deset lidí, kteří budou vytvářet aplikace?

Doporučení Rutiny PowerShell a Konektory pro správu poskytují plnou flexibilitu a kontrolu správcům vytvořit zásady, které chtějí pro svou organizaci.

Monitorování

Je dobře známo, že monitorování je kritickým aspektem správy softwaru ve velkém měřítku. Tato část zdůrazňuje několik způsobů, jak získat přehled o Power Apps a Power Automate vývoji a používání.

Kontrola záznamu pro audit

Protokolování aktivit pro Power Apps je integrováno s centrem Office Security and Compliance pro komplexní protokolování napříč Microsoft službami jako Dataverse a Microsoft 365. Office poskytuje rozhraní API k dotazování těchto dat, které v současné době používá mnoho dodavatelů SIEM k použití dat protokolování aktivity pro vykazování.

Zobrazení sestavy licencí Power Apps a Power Automate

  1. Přejděte do centra pro správu Power Platform.

  2. Vyberte Analýza>Power Automate nebo Power Apps.

  3. Pohled analytiky správce Power Apps a Power Automate

    Můžete získat informace o následujícím:

    • Aktivní využití uživatelů a aplikací – kolik uživatelů používá aplikaci a jak často?
    • Místo - kde je využití?
    • Výkon konektorů služby
    • Hlášení chyb - které jsou nejvíce náchylné k chybám
    • Používané toky podle typu a data
    • Toky vytvořené podle typu a data
    • Audit na úrovni aplikace
    • Stav služby
    • Použité konektory

Podívejte se, na co mají uživatelé licenci

Vždy se můžete podívat na jednotlivá licencování uživatelů v centru pro správu Microsoft 365 procházením k podrobnostem konkrétních uživatelů.

Následující příkaz PowerShell můžete také použít k exportu přiřazených uživatelských licencí.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportuje všechny přidělené uživatelské licence (Power Apps a Power Automate) ve vašem klientovi do tabelárního zobrazení souboru .csv. Exportovaný soubor obsahuje plány samoobslužných registrací interní zkušební verze i plány, ze kterých pochází Microsoft Entra ID. Interní zkušební plány nejsou správcům viditelné v centru pro správu Microsoft 365.

Export může pro klienty s vysokým počtem uživatelů Power Platform nějakou dobu trvat.

Zobrazení zdrojů aplikace používaných v prostředí

  1. V centru pro správu Power Platform vyberte Prostředí v navigační nabídce.
  2. Vyberte prostředí.
  3. Volitelně lze seznam zdrojů používaných v prostředí stáhnout jako .csv.

Viz také

Použijte osvědčené postupy k zabezpečení a správě Power Automate prostředí
Microsoft Power Platform Startovací sada Center of Excellence (CoE).