Důležité informace o zabezpečení a zásadách správného řízení

  • Článek

Mnoho zákazníků zajímá, jak lze Power Platform zpřístupnit širšímu okruhu firem a podporovat IT týmem. Odpovědí jsou zásady správného řízení. Jejich cílem je umožnit obchodním skupinám soustředit se na efektivní řešení obchodních problémů při současném dodržování standardů IT a obchodních předpisů. Následující obsah má za cíl strukturovat témata, která jsou často spojena s řídicím softwarem, a upozornit na možnosti jednotlivých témat, pokud jde o řízení Power Platform.

Téma Časté otázky ohledně každého tématu, na které tento obsah dává odpovědi
Architektura
  • Jaké jsou základní konstrukty a koncepty Power Apps, Power Automate a Microsoft Dataverse?

  • Jak tyto konstrukty do sebe zapadají v době návrhu a za běhu?
Zabezpečení
  • Jaké jsou osvědčené postupy týkající se návrhu zabezpečení?

  • Jak mohu využít stávající řešení správy uživatelů a skupin ke správě přístupových a bezpečnostních rolí v Power Apps?
Výstraha a akce
  • Jak definuji model zásad správného řízení mezi občanskými vývojáři a spravovanými IT službami?

  • Jak definuji model zásad správného řízení mezi centrálními správci IT a správci obchodní jednotky?

  • Jak mám přistupovat k podpoře jiných než standardních prostředí v mé organizaci?
Monitorovat
  • Jak získáváme údaje o shodě / auditu?

  • Jak mohu měřit adopci a využití v mé organizaci?

Architektura

Nejlepší je seznámit se s prostředím jako prvním krokem k vytvoření správného příběhu o zásadách správného řízení vaší společnosti. Prostředí jsou kontejnery pro všechny prostředky využívané v Power Apps, Power Automate a Dataverse. Je dobré začít částí Přehled prostředí a poté by měly následovat sekce Co je Dataverse?, Typy Power Apps, Microsoft Power Automate, Konektory a Místní brány.

Zabezpečení

Tato část popisuje mechanismy, které existují pro účely řízení, kdo má přístup k Power Apps v prostředí a přístup k datům: licence, prostředí, role prostředí, Microsoft Entra ID, Zásady prevence ztráty dat a konektory pro správu, které lze použít s Power Automate.

Licencování

Přístup k Power Apps a Power Automate začíná vlastnictvím licence. Typ licence, kterou má uživatel, určuje zdroje a data, ke kterým má uživatel přístup. Následující tabulka uvádí rozdíly ve zdrojích, které má uživatel k dispozici na základě svého typu plánu, od vysoké úrovně. Podrobné informace o licencích naleznete v části Přehled licencování.

Plán Popis
Včetně Microsoft 365 To umožňuje uživatelům rozšíření SharePoint a dalších aktiv Office, která již mají.
Včetně Dynamics 365 To umožňuje uživatelům přizpůsobit a rozšířit aplikace pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation), které už vlastní.
Plán Power Apps To dovoluje:
  • vytváření podnikových konektorů a Dataverse přístupných pro použití.
  • Uživatelé používají robustní obchodní logiku napříč typy aplikací a možnostmi správy.
Komunita Power Apps To umožňuje uživateli používat Power Apps, Power Automate, Dataverse a zákaznické konektory v jednom pro individuální použití. Není možné sdílet aplikace.
Power Automate zdarma Tato licence umožňuje uživatelům neomezeně vytvářet toky a provést 750 běhů.
Plán Power Automate Viz příručka k licencování Microsoft Power Apps a Microsoft Power Automate.

Prostředí

Poté, co si uživatelé pořídí licence, prostředí existují jako kontejnery pro všechny prostředky využívané v Power Apps, Power Automate a Dataverse. Prostředí lze použít k zacílení na různé cílové skupiny a / nebo k různým účelům, jako je vývoj, testování a výroba. Více informací naleznete v tématu Přehled prostředí.

Zabezpečení dat a sítě

  • Power Apps a Power Automate neposkytují uživatelům přístup k datovým aktivům, ke kterým dosud nemají přístup. Uživatelé by měli mít přístup pouze k datům, ke kterým skutečně potřebují přístup.
  • Zásady řízení přístupu k síti se mohou vztahovat také na Power Apps a Power Automate. V prostředí je možné zablokovat přístup k webu v rámci sítě blokováním přihlašovací stránky, aby se zabránilo vytváření připojení k tomuto webu v Power Apps a Power Automate.
  • V prostředí je přístup řízen na třech úrovních: Role prostředí, Oprávnění zdrojů pro Power Apps, Power Automate atd. a Role zabezpečení Dataverse (Pokud je zřízena databáze Dataverse).
  • Když je Dataverse vytvořena v prostředí, role Dataverse převezmou kontrolu nad zabezpečením v prostředí (a migrují se všichni administrátoři a tvůrci prostředí).

Následující objekty zabezpečení jsou podporovány pro každý typ role.

Typ prostředí Role Typ objektu zabezpečení (Microsoft Entra ID)
Prostředí bez Dataverse Role prostředí Uživatel, skupina, klient
Oprávnění zdrojů: Aplikace plátna Uživatel, skupina, klient
Oprávnění zdrojů: Power Automate, Vlastní konektor, brány, připojení 1 Uživatel, skupina
Prostředí s Dataverse Role prostředí User
Oprávnění zdrojů: Aplikace plátna Uživatel, skupina, klient
Oprávnění zdrojů: Power Automate, Vlastní konektor, brány, připojení 1 Uživatel, skupina
Role Dataverse (platí pro všechny aplikace a komponenty založené na modelu) Uživatelská

1 Lze sdílet pouze určitá připojení (například SQL).

Poznámka:

  • Ve výchozím prostředí je všem uživatelům v klientu udělen přístup k roli Tvůrce prostředí.
  • Globální správci klienta Microsoft Entra mají přístup pro správu do všech prostředí.

Nejčastější dotazy - Jaká oprávnění existují na úrovni klienta Microsoft Entra?

Dne mohou správci Microsoft Power Platform provádět následující:

  1. Stažení sestavy licence Power Apps a Power Automate
  2. Vytvoření zásady DLP s rozsahem určeným pouze pro „Všechna prostředí“ nebo se zahrnutím nebo vyloučením konkrétních prostředí
  3. Správa a přiřazení licencí prostřednictvím centra pro správu Office
  4. Získejte přístup ke všem funkcím správy prostředí, aplikací a toků pro všechna prostředí v klientovi dostupná prostřednictvím:
    • Rutiny správy Power Apps PowerShell
    • Konektory pro správu Power Apps
  5. Přístup k analytice pro správu Power Apps a Power Automate pro všechna prostředí v klientovi:

Aspekty Microsoft Intune

Zákazníci s Microsoft Intune mohou nastavit zásady ochrany mobilních aplikací pro aplikace Power Apps i Power Automate v systémech Android a iOS. Tento průvodců poukazuje na nastavení zásad prostřednictvím Intune for Power Automate.

Úvahy o podmíněném přístupu na základě polohy

Pro zákazníky s Microsoft Entra ID P1 nebo P2 lze zásady podmíněného přístupu definovat v Azure for Power Apps a Power Automate. To umožňuje udělit nebo blokovat přístup na základě: uživatel/skupina, zařízení, umístění.

Vytvoření zásad podmíněného přístupu

  1. Přihlaste se ke službě https://portal.azure.com.
  2. Vyberte Podmíněný přístup.
  3. Vyberte + Nová zásada.
  4. Vyberte vybraní uživatelé a skupiny.
  5. Vyberte Všechny cloudové aplikace>Všechny cloudové aplikace>Common Data Service k řízení přístupu do aplikací Customer Engagement.
  6. Použijte podmínky (riziko uživatele, platformy zařízení, umístění).
  7. Vyberte Vytvořit.

Zabránění úniku dat pomocí zásad zabraňujících ztrátě dat

Zásady prevence ztráty dat (DLP) vynucují pravidla, pro která lze konektory použít společně klasifikováním konektorů jako povolených pouze obchodních dat nebo povolených žádných obchodních dat. Jednoduše řečeno, pokud umístíte konektor do skupiny pouze pro obchodní data, lze jej použít pouze s jinými konektory z této skupiny ve stejné aplikaci. Správci Power Platform mohou definovat zásady, které se vztahují na všechna prostředí.

Nejčastější dotazy

Otázka: Mohu na úrovni klienta určit, který konektor je vůbec k dispozici, například Ne na Dropboxu nebo Twitteru, ale Ano v SharePointu?

A: To je možné pomocí funkcí klasifikace konektorů a přiřazení klasifikátoru Blokováno na jeden nebo více konektorů, jejichž používání chcete znemožnit. Existuje sada konektorů, které nelze blokovat.

Otázka: A co sdílení konektorů mezi uživateli? Lze například sdílet konektor pro Teams, který je obecný?

Odpověď: Konektory jsou k dispozici všem uživatelům. S výjimkou prémiových nebo vlastních konektorů, které vyžadují buď dodatečnou licenci (prémiové konektory), nebo musí být explicitně sdíleny (vlastní konektory)

Výstraha a akce

Kromě monitorování se mnoho zákazníků chce přihlásit k odběru softwaru, akcí použití nebo stavu událostí, aby věděli, kdy provést akci. V této části je nastíněno několik způsobů, jak sledovat události (ručně a programově) a provádět akce vyvolané výskytem události.

Sestavení toků Power Automate k upozornění na klíčové události auditu

  1. Příkladem výstrahy, kterou lze implementovat, je přihlášení k odběru protokolů auditu zabezpečení a dodržování předpisů Microsoft 365.
  2. Toho lze dosáhnout prostřednictvím odběru webhook nebo přístupu cyklického dotazování. Nicméně připojením Power Automate k těmto upozorněním můžeme správcům poskytnout více než jen e-mailová upozornění.

Vytvořte zásady, které potřebujete, s Power Apps, Power Automate a PowerShell

  1. Tyto rutiny PowerShell dávají plnou kontrolu do rukou správců za účelem automatizace nezbytných zásad správy.
  2. Konektory pro správuposkytují stejnou úroveň kontroly, ale s přidanou rozšiřitelností a snadným použitím s využitím Power Apps a Power Automate.
  3. Následující šablony Power Automate pro konektory pro správu existují pro rychlé stoupání stabilním tempem:
    1. Uvádí nové konektory Power Automate
    2. Získejte seznam nových toků a konektorů Power Apps a Power Automate
    3. Zašlete mi na e-mail týdenní přehled oznámení centra zpráv Office 365
    4. Přístup k profilům zabezpečení a dodržování předpisů Office 365 z Power Automate
  4. Pomocí tohoto blogu a šablony aplikace se rychle seznámíte s konektory pro správu.
  5. Kromě toho se vyplatí vyzkoušet obsah sdílený v Galerii komunitních aplikací, zde je další příklad administrativního porstředí vytvořeného pomocí Power Apps a konektorů pro správu.

Často kladené dotazy

Problém V současné době mohou všichni uživatelé s licencemi Microsoft E3 vytvářet aplikace ve výchozím prostředí. Jak například můžeme povolit práva nástroje Tvůrce prostředí pro vybranou skupinu. 10 osob pro vytváření aplikací?

DoporučeníRutiny PowerShell a Konektory pro správu poskytují správcům plnou flexibilitu a kontrolu při vytváření zásad, které chtějí pro svou organizaci.

Monitorovat

Je dobře známo, že monitorování je kritický aspekt správy softwaru v rozsahu, tato část upozorňuje na několik způsobů, jak získat přehled o vývoji a použití Power Apps a Power Automate.

Kontrola záznamu pro audit

Protokolování aktivity pro Power Apps je integrováno s centrem pro zabezpečení a vyhovění předpisům Office pro komplexní protokolování napříč službami Microsoft, jako je Dataverse a Microsoft 365. Office poskytuje rozhraní API k dotazování těchto dat, které v současné době používá mnoho dodavatelů SIEM k použití dat protokolování aktivity pro vykazování.

Zobrazení sestavy licencí Power Apps a Power Automate

  1. Přejděte do centra pro správu Power Platform.

  2. Vyberte Analýza>Power Automate nebo Power Apps.

  3. Pohled analytiky správce Power Apps a Power Automate

    Můžete získat informace o následujícím:

    • Aktivní využití uživatelů a aplikací – kolik uživatelů používá aplikaci a jak často?
    • Místo - kde je využití?
    • Výkon konektorů služby
    • Hlášení chyb - které jsou nejvíce náchylné k chybám
    • Používané toky podle typu a data
    • Toky vytvořené podle typu a data
    • Audit na úrovni aplikace
    • Stav služby
    • Použité konektory

Podívejte se, na co mají uživatelé licenci

Vždy se můžete podívat na jednotlivá licencování uživatelů v centru pro správu Microsoft 365 procházením k podrobnostem konkrétních uživatelů.

Následující příkaz PowerShell můžete také použít k exportu přiřazených uživatelských licencí.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportuje všechny přidělené uživatelské licence (Power Apps a Power Automate) ve vašem klientovi do tabelárního zobrazení souboru .csv. Exportovaný soubor obsahuje samoobslužné registrační plány interních zkušebních verzí i plány pocházející z Microsoft Entra ID. Interní zkušební plány nejsou správcům viditelné v centru pro správu Microsoft 365.

Export může pro klienty s vysokým počtem uživatelů Power Platform nějakou dobu trvat.

Zobrazení zdrojů aplikace používaných v prostředí

  1. V centru pro správu Power Platform vyberte Prostředí v navigační nabídce.
  2. Vyberte prostředí.
  3. Seznam zdrojů použitých v prostředí lze případně stáhnout jako CSV.

Viz také

Používání osvědčených postupů k zabezpečení a řízení prostředí Power Automate
Úvodní sada Microsoft Power Platform Center of Excellence (CoE)