Freigeben über

Sicherheits- und Governanceüberlegungen

  • Artikel

Viele Kunden fragen sich, wie Power Platform in ihrem Unternehmen umfangreich bereitgestellt und von der IT unterstützt werden kann? Governance ist die Antwort. Ziel ist es, Geschäftsgruppen in die Lage zu versetzen, sich auf die effiziente Lösung von Geschäftsproblemen unter Einhaltung von IT- und Business-Compliance-Standards zu konzentrieren. Der folgende Inhalt soll Themen strukturieren, die häufig mit Governance-Software in Verbindung stehen, und das Bewusstsein für die Funktionen schärfen, die für jedes Thema in Bezug auf Governance in Power Platform zur Verfügung stehen.

Thema Allgemeine Fragen bezüglich jedes Themas, die dieser Inhalt beantwortet
Architektur
  • Was sind die grundlegenden Konstrukte und Konzepte von Power Apps, Power Automate und Microsoft Dataverse?

  • Wie passen diese Konstrukte zusammen zur Entwurfszeit und Runtime?
Sicherheit
  • Was sind die bewährten Methoden für Sicherheitsentwurfsüberlegungen?

  • Wie verwende ich unsere vorhandenen Benutzer- und Gruppenverwaltungslösungen, um Zugriffs- und Sicherheitsrollen zu verwalten Power Apps?
Warnungsaktionen
  • Wie definiere ich das Governance-Modell zwischen Citizen-Entwicklern und verwalteten IT-Services?

  • Wie definiere ich das Governance-Modell zwischen der zentralen IT und den Admins der Geschäftseinheiten?

  • Wie sollte ich Unterstützung für nicht standardmäßige Umgebungen in meiner Organisation angehen?
Überwachen
  • Wie erfassen wir Konformitäts-/Überwachungsdaten?

  • Wie kann ich Akzeptanz und Verwendung in meiner Organisation messen?

Architektur

Es ist am besten, sich mit Umgebungen als ersten Schritt beim Erstellen der passenden Governance-Geschichte Ihres Unternehmens vertraut zu machen. Umgebungen sind die Container für alle Ressourcen, die von einer Power Apps, Power Automate und Dataverse verwendet werden. „Umgebungsübersicht“ ist eine gute Einführung, gefolgt von Was ist Dataverse?, Typen von Power Apps, Microsoft Power Automate, Konnektoren und lokal-Gateways.

Sicherheit

Dieser Abschnitt beschreibt Mechanismen, die es gibt, um zu steuern, wer in einer Umgebung auf Power Apps und auf Daten zugreifen darf: Lizenzen, Umgebungen, Umgebungsrollen, Microsoft Entra ID, Data Loss Prevention-Richtlinien und Admin-Konnektoren, die mit Power Automate verwendet werden können.

Lizenzierung

Zugriff auf Power Apps und Power Automate beginnt mit einer Lizenz. Die Art der Lizenz, über die ein Benutzer verfügt, bestimmt die Anlagen und Daten, auf die ein Benutzer zugreifen kann. Die folgende Tabelle beschreibt Unterschiede der Ressourcen, die für einen Benutzer auf Basis des Plantyps verfügbar sind, von einer hohen Ebene aus. Präzise Lizenzierungsdetails finden Sie in der Lizenzierungsübersicht.

Planen Beschreibung
Microsoft 365 Enthalten Dadurch können Benutzer SharePoint und andere Office-Ressourcen, die Sie bereits haben, erweitern.
Einschließlich Dynamics 365 Auf diese Weise können Benutzer bereits vorhandene Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) anpassen und erweitern.
Power Apps Planen Dadurch können:
  • Unternehmenskonnektoren erstellt und Dataverse für den Gebrauch zugänglich gemacht werden.
  • Benutzer solide Geschäftslogik über Anwendungstypen hinweg und administrative Funktionen verwenden.
Power Apps Community Auf diese Weise kann ein Benutzer Power Apps, Power Automate, Dataverse und benutzerdefinierte Konnektoren in einem einzigen für den individuellen Gebrauch verwenden. Es gibt keine Möglichkeit, Apps zu teilen.
Power Automate Frei Auf diese Weise können Benutzer unbegrenzte Flows erstellen und 750 Ausführungen machen.
Power Automate Planen Sieh Microsoft Power Apps und Microsoft Power Automate Lizenzanleitung.

Umgebungen

Nachdem Benutzer Lizenzen haben, sind Umgebungen die Container für alle Ressourcen, die von einer Power Apps, Power Automate und Dataverse verwendet werden. Umgebungen können für unterschiedliche Zielgruppen und/oder für unterschiedliche Zwecke wie Entwicklung, Tests und Produktion verwendet werden. Weitere Informationen sind in der Umgebungsübersicht enthalten.

Sichern Ihrer Daten und Ihres Netzwerks

  • Power Apps und Power Automate erteilen Sie Benutzern keinen Zugriff auf Datenbestände, auf die sie nicht bereits Zugriff haben. Benutzer sollten nur Zugriff auf Daten haben, zu denen sie wirklich Zugriff benötigen.
  • Netzwerk-Access Control-Regeln können auch auf Power Apps und Power Automate angewendet werden. Für Umgebungen kann der Zugriff auf eine Website aus einem Netzwerk blockiert werden, indem die die Anmeldeseite gesperrt wird, um die Erstellung von Verbindungen zu dieser Website in Power Apps und Power Automate zu verhindern.
  • In einer Umgebung wird der Zugriff auf drei Ebenen gesteuert: Umgebungsrollen, Ressourcenberechtigungen für Power Apps, Power Automate usw. und Dataverse Sicherheitsrollen (wenn eine Dataverse Datenbank bereitgestellt wird).
  • Wenn Dataverse in einem Umgebung erstellt wird, übernehmen die Dataverse Rollen die Steuerung der Sicherheit im Umgebung (und alle Umgebung-Administratoren und -Ersteller werden migriert).

Die folgenden Prinzipals werden für jeden Rollentyp unterstützt.

Umgebungstyp Role Prinzipaltyp (Microsoft Entra ID)
Umgebung ohne Dataverse Umgebungsrolle Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Canvas-App Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Power Automate Benutzerdefinierter Konnektor, Gateways, Verbindungen1 Benutzer, Gruppe
Umgebung mit Dataverse. Umgebungsrolle User
Ressourcenberechtigung: Canvas-App Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Power Automate Benutzerdefinierter Konnektor, Gateways, Verbindungen1 Benutzer, Gruppe
Dataverse Rolle (gilt für alle Modellgesteuerten Anwendungen und Komponenten) User

1Nur bestimmte Verbindungen (wie SQL) können gemeinsam genutzt werden.

Notiz

  • In der Standardumgebung erhalten alle Benutzer in einem Mandanten Zugriff auf die Umgebungserstellerrolle.
  • Benutzer mit der Rolle Power Platform Administrator haben Administratorzugriff auf alle Umgebungen.

FAQ – Welche Berechtigungen gibt es auf Microsoft Entra Mandantenebene?

Jetzt können Microsoft Power Platform Administratoren Folgendes tun:

  1. Herunterladen der Power Apps und Power Automate Lizenzberichte
  2. Erstellen einer DLP-Richtlinie, deren Umfang nur „Alle Umgebungen” oder das Einschließen/Ausschließen bestimmter Umgebungen umfasst
  3. Verwalten und Zuweisen von Lizenzen über das Office-Administratorcenter
  4. Greifen Sie auf alle Umgebungs-, App- und Flow-Management-Funktionen für alle Umgebungen im Mandanten zu, die verfügbar sind über:
    • Power Apps Admin PowerShell cmdlets
    • Power Apps Managementkonnektoren
  5. Zugriff auf Power Apps und Power Automate Administratoranalytik für alle Umgebung im Mandanten:

Erwägen Sie Microsoft Intune

Kunden mit Microsoft Intune können Richtlinien zum Schutz mobiler Anwendungen sowohl für Power Apps als auch Power Automate Apps auf Android und iOS festlegen. Dieser Überblick hebt das Einstellen einer Richtlinie über Intune für Power Automate hervor.

Betrachten Sie ortsbasierten bedingten Zugriff

Für Kunden mit Microsoft Entra ID P1 oder P2, können bedingte Zugriffsrichtlinien in Azure für Power Apps und Power Automate definiert werden. Dies ermöglicht das Gewähren oder Blockieren von Zugriff auf der Basis von: Benutzer/Gruppe, Gerät, Standort.

Erstellen einer bedingten Zugriffs-Richtlinie

  1. Melden Sie sich bei https://portal.azure.com an.
  2. Wählen Sie Bedingten Zugriff.
  3. Wählen Sie + Neue Richtlinie.
  4. Auswählen Benutzer und Gruppen ausgewählt.
  5. Wählen Sie Alle Cloud-Apps>Alle Cloud-Apps>Common Data Service, um den Zugriff auf Customer Engagement-Apps zu steuern.
  6. Anwenden von Bedingungen (Benutzerrisiko, Geräteplattformen, Standorte).
  7. Wählen Sie Erstellen aus.

Verhindern Sie Datenlecks durch Richtlinien zur Verhinderung von Datenverlust

Daten-Schadensverhütung-Richtlinien (DLP) erzwingen Regeln dafür, welche Konnektoren zusammen verwendet werden können, indem Konnektoren entweder als „Nur Geschäftsdaten“ oder „Keine Geschäftsdaten zulässig“ klassifiziert werden. Einfach gesagt, wenn Sie einen Konnektor in die Nur Geschäftsdaten-Gruppe aufnehmen, kann er nur mit anderen Konnektoren der Gruppe in derselben Anwendung verwendet werden. Power Platform-Administratoren können Richtlinien definieren, die für alle Umgebungen gelten.

Häufig gestellte Fragen

F: Kann ich auf Mandant-Ebene steuern, welcher Konnektor überhaupt verfügbar ist, z. B. Nein zu Dropbox oder Twitter, aber Ja zu SharePoint?

A: Das ist möglich, indem Sie die Funktionalitäten Klassifizierung der Konnektoren nutzen und einem oder mehreren Konnektoren, die nicht verwendet werden sollen, den Klassifikator Blockiert zuweisen. Beachten Sie, dass es einen Satz von Konnektoren gibt, die nicht blockiert werden können.

F: Wie steht es mit der Freigabe von Konnektoren zwischen Benutzern? Beispielsweise ist der Konnektor für Teams ein allgemeiner Konnektor, der gemeinsam genutzt werden kann?

A: Konnektoren stehen allen Benutzern zur Verfügung, mit Ausnahme von Premium- oder benutzerdefinierten Konnektoren, die entweder eine andere Lizenz benötigen (Premium-Konnektoren) oder explizit freigegeben werden müssen (benutzerdefinierte Konnektoren).

Warnungsaktionen

Zusätzlich zur Überwachung möchten viele Kunden auch Ereignisse zur Softwareerstellung, -nutzung oder -integrität abonnieren, damit sie wissen, wann sie eine Aktion ausführen müssen. In diesem Abschnitt werden einige Mittel zur Beobachtung von Ereignissen beschrieben (manuell und programmatisch) und Aktionen auszuführen, die durch ein Ereignisvorkommen ausgelöst werden.

Bilden von Power Automate-Flows, um auf Schlüsselüberwachungsereignisse hinzuweisen

  1. Beispiel für Warnungen, das implementiert werden kann, ist das Abonnieren von Microsoft 365 Sicherheits- und Kompatibilitäts-Überwachungsprotokollen.
  2. Dies kann entweder durch einen Webhook, Abonnement oder Abruf erreicht werden. Durch das Anfügen von Power Automate an diese Warnungen, können wir Administratoren jedoch mehr als nur E-Mail-Warnungen an die Hand geben.

Erstellen Sie die Richtlinien, die Sie benötigen, mit Power Apps, Power Automate und PowerShell

  1. Diese PowerShell-Cmdlets geben Administratoren ganze Kontrolle, um die erforderlichen Governance-Richtlinien zu automatisieren.
  2. Die Verwaltungskonnektoren bieten dasselbe Maß an Kontrolle, jedoch mit zusätzlicher Erweiterbarkeit und Benutzerfreundlichkeit durch die Verwendung von Power Apps und Power Automate.
  3. Die folgenden Power Automate Vorlagen für Verwaltungskonnektoren stehen für ein schnelles Hochfahren zur Verfügung:
    1. Neue Power Automate Konnektoren auflisten
    2. Liste der neuen Power Apps, Power Automate Flows und Connectors abrufen
    3. Senden Sie mir per E-Mail eine wöchentliche Zusammenfassung der Office 365 Nachrichtencenter-Benachrichtigungen
    4. Zugriff auf Office 365 Sicherheits- und Compliance-Protokolle von Power Automate
  4. Verwenden Sie die Blog- und App-Vorlage, um Administrations-Connectors schnell zu implementieren.
  5. Außerdem lohnt es sich, Inhalte, die in der Community-App-Galerie geteilt werden, anzusehen. Hier ein weiteres Beispiel einer Verwaltungsumgebung, die mit Power Apps und Administrator-Konnektoren erstellt wurde.

Häufig gestellte Fragen

Problem Derzeit können alle Benutzer mit Microsoft E3-Lizenzen Apps im Standard Umgebung erstellen. Wie können wir beispielsweise Umgebungserstellungsrechte für eine ausgewählte Gruppe aktivieren? Zehn Personen, um Apps zu erstellen?

Empfehlung Die PowerShell-Cmdlets und Verwaltungskonnektoren bieten Administratoren volle Flexibilität und Kontrolle beim Erstellen der gewünschten Richtlinien für ihre Organisation.

Monitor

Es ist allgemein bekannt, dass die Überwachung ein entscheidender Aspekt bei der Verwaltung großer Softwaremengen ist. In diesem Abschnitt werden einige Möglichkeiten hervorgehoben, um Einblick in Power Apps und Power Automate Entwicklung und Nutzung zu erhalten.

Lesen Sie die Informationen über den Audit-Trail

Die Aktivitätsprotokollierung für Power Apps ist in das Office Security and Compliance Center integriert und ermöglicht eine umfassende Protokollierung über Microsoft Dienste wie Dataverse und Microsoft 365 hinweg. Office bietet eine API, um diese Daten abzufragen, die derzeit von vielen SIEM-Zulieferern verwendet wird, um die Aktivitäts-Protokollierungsdaten für die Berichterstellung zu verwenden.

Sehen Sie sich den Lizenzbericht Power Apps und Power Automate an

  1. Navigieren Sie zum Power Platform Admin Center.

  2. Wählen Sie Analysen>Power Automate oder Power Apps.

  3. Anzeige Power Apps und Power Automate Admin Analytik

    Sie können Informationen zu folgenden Elementen erhalten:

    • Aktive Benutzer- und App-Verwendung – wie viele Benutzer verwenden eine App und wie oft?
    • Ort – wo findet die Verwendung statt?
    • Service-Leistung von Konnektoren
    • Fehlerberichterstattung – was sind die fehleranfälligsten Apps
    • Verwendete Flows nach Typ und Datum
    • Erstellte Flows nach Typ und Datum
    • Überprüfung auf Anwendungsebene
    • Service-Integrität
    • Verwendete Konnektoren

Lizenzierte Benutzer anzeigen

Sie können sich jederzeit die individuelle Benutzerlizenzierung im Microsoft 365 Admin Center ansehen, indem Sie Detailinformationen zu bestimmten Benutzern aufrufen.

Sie können auch den folgenden PowerShell-Befehl verwenden, um zugewiesene Benutzerlizenzen zu exportieren.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportiert alle zugewiesenen Benutzerlizenzen (Power Apps und Power Automate) in Ihrem Mandanten in einer tabellarischen Ansicht in eine .csv-Datei. Die exportierte Datei enthält sowohl Self-Service-Anmeldepläne für interne Tests als auch Pläne, die von Microsoft Entra ID bezogen werden. Die internen Testversionspläne sind für Administratoren im Microsoft 365 Admin Center nicht sichtbar.

Der Export kann für Mandanten mit einer großen Anzahl von Power Platform-Benutzern eine Weile dauern.

Anzeige der App-Ressourcen, die in einer Umgebung verwendet werden

  1. Klicken Sie im Power Platform Admin Center im Navigationsmenü auf Umgebungen.
  2. Wählen Sie eine Umgebung aus.
  3. Optional kann die Liste der in einem Umgebung verwendeten Ressourcen als CSV heruntergeladen werden.

Siehe auch

Nutzen Sie bewährte Methoden zur Sicherung und Verwaltung von Power Automate Umgebungen
Microsoft Power Platform Starterkit für Kompetenzzentren (CoE)