Overvejelser om sikkerhed og styring

  • Artikel

Mange kunder spekulerer på, hvordan Power Platform kan gøres tilgængelig for hele virksomheden og understøttes af it? Svaret er styring. Det er med til at gøre det muligt for virksomhedsgrupper at fokusere på at løse forretningsproblemer på en effektiv måde, mens de overholder it- og virksomhedsstandarder. Følgende indhold har til formål at strukturere temaer, der ofte er knyttet til den styrende software, og at skabe opmærksomhed om de funktioner, der er tilgængelige for hvert tema i forhold til at styre Power Platform.

Tema Almindelige spørgsmål vedrørende de enkelte temaer, som dette indhold giver svar på
Arkitektur
  • Hvad er de grundlæggende strukturere og begreber i Power Apps, Power Automate og Microsoft Dataverse?

  • Hvordan passer disse strukturer sammen på designtidspunktet og under kørslen?
Sikkerhed
  • Hvilken bedste praksis er der for overvejelser i forbindelse med sikkerhedsdesign?

  • Hvordan bruger jeg vores eksisterende løsninger til brugerlogon og gruppestyring til at administrere adgangs- og sikkerhedsroller i Power Apps?
Advarsler og handlinger
  • Hvordan kan jeg definere styringsmodellen mellem borgernes udviklere og administrerede it-tjenester?

  • Hvordan kan jeg definere styringsmodellen mellem central it og administratorer af afdelinger?

  • Hvordan skal jeg forholde mig til support til ikke-standardmiljøer i min organisation?
Overvåg
  • Hvordan henter vi data om overholdelse/overvågning?

  • Hvordan kan jeg måle implementering og forbrug i min organisation?

Arkitektur

Det er en god ide at orientere dig om miljøer som det første trin, når du skal skabe den rette styringshistorie for virksomheden. Miljøer er objektbeholderne for alle ressourcer, der anvendes af Power Apps, Power Automate og Dataverse. Miljøoversigt er en god start, som skal følges af Hvad er Dataverse?, Typer af Power Apps, Microsoft Power Automate, Connectorer og Gateways i det lokale miljø.

Sikkerhed

I dette afsnit beskrives mekanismer, der findes til styring af, hvem der kan få adgang til Power Apps i et miljø og få adgang til data: licenser, miljøer, miljøroller, Microsoft Entra ID, politikker til forebyggelse af datatab og administrationsforbindelser, der kan bruges sammen med Power Automate.

Licensering

Adgang til Power Apps og Power Automate starter med at få en licens. Den type licens, en bruger har, bestemmer, hvilke aktiver og data en bruger har adgang til. I følgende tabel beskrives forskelle i ressourcer, der er tilgængelige for en bruger, baseret på deres plantype, overordnet set. Du kan finde detaljerede licensoplysninger i Licensoversigt.

Planlæg Beskrivelse
Microsoft 365 inkluderet Det giver brugere mulighed for at udvide SharePoint og andre Office-aktiver, de allerede har.
Dynamics 365 inkluderet På denne måde kan brugere tilpasse og udvide kundeengagement-apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation), som de allerede har.
Power Apps-plan Det giver mulighed for følgende:
  • Oprettelse af virksomhedsforbindelser Dataverse tilgængelighed til brug.
  • Brugerne kan anvende robust forretningslogik på tværs af programtyper og administrationsfunktioner.
Power Apps Community Det giver en bruger mulighed for bruge Power Apps, Power Automate, Dataverse og kundeforbindelser for den enkelte bruger. Det er ikke muligt at dele apps.
Power Automate ledig Det giver brugere mulighed for at oprette et ubegrænset antal flow og udføre 750 kørsler.
Power Automate-plan Se Vejledning om Microsoft Power Apps- og Microsoft Power Automate-licenser.

Miljøer

Når brugere har licenser, findes der miljøer som objektbeholdere til alle ressourcer, der bruges af Power Apps, Power Automate og Dataverse. Miljøer kan bruges til at målrette forskellige målgrupper og/eller forskellige formål, f.eks. udvikling, test og produktion. Du kan finde flere oplysninger i Oversigt over miljøer.

Sikring af data og netværk

  • Power Apps og Power Automate giver ikke brugere adgang til dataaktiver, som de ikke allerede har adgang til. Brugere skal kun have adgang til data, som de rent faktisk skal have adgang til.
  • Politikker for kontrol af netværksadgang kan også gælde for Power Apps og Power Automate. For miljøet kan en bruger blokere adgang til et websted fra et netværk ved at blokere logonsiden for at forhindre, at der oprettes forbindelse til det pågældende websted i Power Apps og Power Automate.
  • I et miljø styres adgangen på tre niveauer: miljøroller, ressourcetilladelser til Power Apps, Power Automate osv. og sikkerhedsroller til Dataverse (hvis en Dataverse-database er klargjort).
  • Når Dataverse oprettes i et miljø, overtager Dataverse-rollerne for at kontrollere sikkerheden i miljøet (og alle miljøadministratorer og -oprettere overføres).

Følgende sikkerhedskonti understøttes for hver enkelt rolletype.

Miljøtype Rolle Kontotype (Microsoft Entra ID)
Miljø uden Dataverse Miljørolle Bruger, gruppe, lejer
Ressourcetilladelse: lærredsapp Bruger, gruppe, lejer
Ressourcetilladelse: Power Automate, brugerdefineret forbindelse, gateways,-forbindelser1 Bruger, gruppe
Miljø med Dataverse Miljørolle Bruger
Ressourcetilladelse: lærredsapp Bruger, gruppe, lejer
Ressourcetilladelse: Power Automate, brugerdefineret forbindelse, gateways,-forbindelser1 Bruger, gruppe
Dataverse-rolle (gælder for alle modelbaserede apps og komponenter) Bruger

1Det er kun visse forbindelser (f.eks. SQL), der kan deles.

Bemærk

  • I standardmiljøet tildeles alle brugere i en lejer adgang til rollen Miljøopretter.
  • Globale administratorer af Microsoft Entra-lejer har administratoradgang til alle miljøer.

Ofte stillede spørgsmål – Hvilke tilladelser findes der på et Microsoft Entra-lejerniveau?

I dag kan Microsoft Power Platform-administratorer gøre følgende:

  1. Hente Power Apps- og Power Automate-licensrapporten
  2. Oprette en DLP-politik, der kun er beregnet til 'Alle miljøer' eller beregnet til at inkludere/udelukke bestemte miljøer
  3. Administrere og tildele licenser via Office Administration
  4. Få adgang til alle miljø-, app- og flowstyringsfunktioner for alle miljøer i lejeren, der er tilgængelige via:
    • Power Apps PowerShell-cmdlet'er til administratorer
    • Power Apps-administrationsforbindelser
  5. Få adgang til Power Apps- og Power Automate-administrationsanalyse for alle miljøer i lejeren:

Overvej Microsoft Intune

Kunder, der har Microsoft Intune, kan oprette politikker for beskyttelse af både Power Apps- og Power Automate-mobilapps på Android og iOS. I denne gennemgang oprettes der en politik via Intune til Power Automate.

Overvej placeringsbaseret betinget adgang

For kunder med Microsoft Entra ID P1 eller P2 kan politikker for betinget adgang defineres i Azure til Power Apps og Power Automate. Det gør det muligt at tildele eller blokere adgang på baggrund af: bruger/gruppe, enhed, placering.

Oprettelse af en politik for betinget adgang

  1. Log på https://portal.azure.com.
  2. Vælg Betinget adgang.
  3. Vælg + Ny politik.
  4. Vælg valgte brugere og grupper.
  5. Vælg Alle skyapps>Alle skyapps>Common Data Service for at styre adgangen til kundeengagementsapps.
  6. Anvend betingelser (brugerrisici, enhedsplatforme og placeringer).
  7. Vælg Opret.

Forhindre datalækager med politikker til forebyggelse af datatab

DLP-politikker (politikker til forebyggelse af datatab) gennemtvinger regler for, hvilke connectorer der kan bruges sammen, ved at klassificere connectorer som enten rene virksomhedsdata, eller ingen virksomhedsdata tillades. Hvis du anbringer en connector i gruppen kun med virksomhedsdata, kan den kun bruges sammen med andre connectorer fra den pågældende gruppe i det samme program. Power Platform-administratorer kan definere politikker, der gælder for alle miljøer.

Ofte stillede spørgsmål

Sp: Kan jeg på lejerniveau styre, hvilken connector der overhovedet er tilgængelig, f.eks. Nej til Dropbox eller Nej til Twitter, men Ja til SharePoint?

Sv: Det kan du gøre ved at bruge funktionerne til klassificering af connectorer og tildele den blokerede klassificering til en eller flere connectorer, du vil undgå at bruge. Bemærk, at der findes nogle connectorer, som ikke kan blokeres.

Sp: Hvad med deling af connectorer mellem brugere? Connectoren for Teams er f.eks. en generel en, der kan deles?

Sv: Connectorer er tilgængelige for alle brugere. Bortset fra Premium- eller brugerdefinerede connectorer, som kræver enten en ekstra licens (Premium-connectorer), eller som udtrykkeligt skal deles (brugerdefinerede connectorer)

Advarsler og handlinger

Ud over overvågning vil mange kunder abonnere på softwareoprettelse, brug eller tilstandshændelser, så de ved, hvornår de skal udføre en handling. I dette afsnit beskrives et par måder, du kan overvåge hændelser på (manuelt og via programmering), og udføre handlinger, der udløses af en hændelsesforekomst.

Opbygge Power Automate-flows til advarsel ved overvågningshændelser for nøgler

  1. Et eksempel på en advarsel, der kan implementeres, er at abonnere på Microsoft 365-sikkerhedslogge og -overvågningslogge for overholdelse.
  2. Dette kan opnås enten via et webhook-abonnement eller en forespørgselsmetode. Men ved at knytte Power Automate til disse advarsler kan vi give administratorer mere end bare mailbeskeder.

Oprette de politikker, du skal bruge sammen med Power Apps, Power Automate og PowerShell

  1. Disse PowerShell-cmdlet'er giver fuld kontrol til administratorer, som kan automatisere de nødvendige styringspolitikker.
  2. Administrationsconnectorerne giver samme kontrolniveau, men med tilføjelsesmuligheder og brugervenlighed ved at udnytte Power Apps og Power Automate.
  3. Der findes følgende Power Automate-skabeloner til administrationsconnectorer til hurtig anvendelse:
    1. Liste over nye Power Automate-connectorer
    2. Få liste over nye Power Apps, Power Automate-flows og connectorer
    3. Send en ugentlig oversigt over meddelelser fra Office 365 Meddelelsescenter
    4. Få adgang til Office 365-sikkerheds- og overholdelseslogge fra Power Automate
  4. Brug denne blog- og appskabelon til hurtigt at få styr på administrationens connectorer.
  5. Det er også en god ide at kontrollere indhold, der deles af galleriet med communityapps. Her er et andet eksempel på en administrativ oplevelse, der er udviklet ved hjælp af Power Apps og administrationsconnectorer.

OFTE STILLEDE SPØRGSMÅL

Problem I øjeblikket kan alle brugere med Microsoft E3 licenser oprette apps i standardmiljøet. Hvordan kan vi aktivere miljøopretterrettigheder for en udvalgt gruppe. Ti personer opretter apps?

AnbefalingPowerShell-cmdlet'er og administrationsconnectorer giver fuld fleksibilitet og kontrol til administratorer med henblik på at opbygge de politikker, de ønsker at bruge i organisationen.

Overvåg

Det er forstået, at overvågning er et vigtigt aspekt i forhold til administration af skaleringssoftware, men i dette afsnit fremhæves et par forskellige måder, du kan få indblik i udvikling og anvendelse af Power Apps og Power Automate.

Gennemse revisionssporet

Aktivitetslogføring for Power Apps er integreret i Office Security og Compliance Center for omfattende logføring på tværs af Microsoft-tjenester som Dataverse og Microsoft 365. Office indeholder en API til forespørgsel i disse data, som i øjeblikket anvendes af mange SIEM-leverandører for at bruge data om aktivitetslogføring til rapportering.

Få vist Power Apps- og Power Automate-licensrapporten

  1. Gå til Power Platform Administration.

  2. Vælg Analyser>Power Automate eller Power Apps.

  3. Få vist Power Apps- og Power Automate-administratoranalyser

    Du kan få oplysninger om følgende:

    • Aktiv bruger- og appanvendelse – hvor mange brugere anvender en app og hvor ofte?
    • Placering – hvor er forbruget?
    • Tjenesteydeevne for connectorer
    • Fejlrapportering – som er de mest fejlbehæftede apps
    • Flows i brug efter type og dato
    • Flows oprettet efter type og dato
    • Overvågning på programniveau
    • Servicetilstand
    • Anvendte connectorer

Se, hvilke brugere der har licens

Du kan altid kigge på individuelle brugerlicenser i Microsoft 365 Administration ved at få detaljer om bestemte brugere.

Du kan også bruge følgende PowerShell-kommando til at eksportere tildelte brugerlicenser.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksporterer alle de tildelte brugerlicenser (Power Apps og Power Automate) i din lejer til en tabelopdelt .csv-fil. Den eksporterede fil indeholder både selvbetjeningstilmelding af interne prøveplaner samt planer, der er hentet fra Microsoft Entra ID. De interne prøveplaner er ikke synlige for administratorer i Microsoft 365 Administration.

Eksporten kan tage et stykke tid for lejere, der har et stort antal Power Platform-brugere.

Få vist appressourcer, der bruges i et miljø

  1. Vælg miljøer i navigationsmenuen i Power Platform Administration.
  2. Vælg et miljø.
  3. Listen over ressourcer, der bruges i et miljø, kan eventuelt hentes som en .csv-fil.

Se også

Anvend bedste praksis for at sikre og styre Power Automate-miljøer
Microsoft Power Platform Center of Excellence (CoE)-startpakke