Suojauksen ja hallinnon näkökohtia

Monet asiakkaat miettivät, miten Power Platform voidaan ottaa laajemmin käyttöön liiketoiminnassa ja miten sitä tuetaan IT:ssä? Vastaus on hallinnointi. Sen tavoitteena on antaa liiketoimintaryhmille mahdollisuus ratkaista liiketoiminnan ongelmia tehokkaasti samalla, kun noudatetaan IT:n ja liiketoiminnan vaatimustenmukaisuuden standardeja. Seuraavan sisällön tarkoituksena on jäsentää teemoja, jotka usein liittyvät hallintaohjelmistoihin ja tuoda tietoisuutta kunkin teeman käytettävissä olevista ominaisuuksista, jotka liittyvät Power Platformin hallintaan.

Teema	Yleisiä kysymyksiä, jotka liittyvät kuhunkin tämän sisällön käsittelemään teemaan
Arkkitehtuuri	Mitkä ovat Power Appsin, Power Automaten ja Microsoft Dataversen perusrakenteet ja -käsitteet? Miten nämä rakenteet sopivat yhteen suunnittelun ja suorituksen aikana?
Suojaus	Mitkä ovat tietoturvan suunnitteluun liittyvät parhaat käytännöt? Miten voin käyttää olemassa olevia käyttäjien ja ryhmien hallintaratkaisujamme käyttöoikeuksien ja käyttöoikeusroolien hallintaan Power Apps?
Hälytys ja toiminto	Miten määritän hallintomallin kehittäjien ja hallinnoitujen IT-palveluiden välille? Miten määritän hallintomallin keskitetyn IT:n ja liiketoimintayksiköiden järjestelmänvalvojien välille? Miten saan tukea organisaation muille kuin oletusympäristöille?
Seuraa	Miten vaatimustenmukaisuus- ja seurantatietoja siepataan? Miten voin mitata käyttöönottoa ja käyttöä omassa organisaatiossani?

Arkkitehtuuri

Ensimmäiseksi kannattaa tutustua ympäristöihin, jotta yritykselle voidaan luoda oikea hallintotapa. Ympäristöt ovat kaikkien Power Apps-, Power Automate- ja Dataverse-resursseja käyttävien resurssien säilöjä. Ympäristöjen yleiskatsaus on hyvä pohjamaali, jota tulisi seurata Mikä on Dataverse?, Tyypit Power Apps, Microsoft Power Automate yhdistimet ja paikallinen yhdyskäytävät.

Suojaus

Tässä osassa esitellään mekanismit, joiden avulla voi hallinnoida Power Appsin käyttöä ympäristössä ja käyttää tietoja, kuten käyttöoikeuksia, ympäristöjä, ympäristön rooleja, Microsoft Entra ID:tä, tietojen menetyksen estämisen käytäntöjä ja järjestelmänvalvojan yhdistimiä, joita voi käyttää Power Automaten kanssa.

Käyttöoikeudet

Power Appsin ja Power Automaten käyttöön tarvitaan käyttöoikeus. Käyttäjällä olevan käyttöoikeuden tyyppi määrittää resurssit ja tiedot, joita käyttäjä voi käyttää. Seuraavassa taulukossa esitellään niiden resurssien erot, jotka ovat käyttäjän käytettävissä palvelupaketin tyypin mukaan ylhäältä alaspäin. Käyttöoikeuksien tarkemmat tiedot löytyvät käyttöoikeuksien yleiskatsauksesta.

Suunnittelu	Kuvaus
Microsoft 365 sisältyy	Tämän ansiosta käyttäjät voivat laajentaa SharePointin ja muut Office-resurssit, jotka heillä on jo käytössä.
Dynamics 365 sisältyy	Näin käyttäjät voivat mukauttaa ja laajentaa asiakkaan aktivointisovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation), jotka heillä jo on.
Power Apps-palvelupaketti	Tämän avulla voi muodostaa yrityksen yhdistimiä ja Dataverse -palvelun käyttöä varten käyttäjät voivat käyttää tehokasta liiketoimintalogiikkaa kaikissa sovellustyypeissä ja hallintaominaisuuksissa.
Power Apps -yhteisö	Näin käyttäjä voi käyttää Power Apps, Power Automate, Dataverse, ja mukautettuja yhdistimiä yhdessä yksittäiseen käyttöön. Sovellusten jakaminen ei ole mahdollista.
Power Automate - ilmainen	Tällä tavoin käyttäjät voivat luoda työnkulkuja rajoittamattoman määrän ja suorittaa niitä 750 kertaa.
Power Automate-palvelupaketti	Lisätietoja on Microsoft Power Appsin ja Microsoft Power Automaten käyttöoikeusoppaassa.

Ympäristöt

Kun käyttäjillä on käyttöoikeudet, ympäristöt ovat käytettävissä kaikkien Power Apps-, Power Automate- ja Dataverse-resurssien käyttäminä säilöinä. Ympäristöjä voidaan käyttää eri yleisöille kohdistamiseen ja/tai eri tarkoituksiin, kuten kehittämiseen, testaamiseen ja tuotantoon. Lisätietoja on ympäristöjen yleiskatsauksessa.

Tietojen ja verkon suojaaminen

• Power Apps Älä Power Automate myöskään anna käyttäjille käyttöoikeutta tietoresursseihin, joihin heillä ei vielä ole käyttöoikeutta. Käyttäjillä on oltava käytettävissään vain ne tiedot, joihin he tarvitsevat käyttöoikeudet.
• Verkon käyttöoikeuksien hallintakäytännöt voivat koskea myös Power Appsia ja Power Automatea. Ympäristön yksi käytäntö voi estää verkkoa käyttämästä sivustoa estämällä sisäänkirjaussivun yhteyksien luomisen Power Appsissa ja Power Automatessa.
• Käyttöoikeutta hallitaan ympäristössä kolmella tavalla: ympäristön roolit, Power Appsin, Power Automaten jne. resurssien oikeudet ja Dataversen käyttöoikeusroolit (jos Dataverse-tietokanta on valmisteltu).
• Kun Dataverse luodaan ympäristössä, roolit Dataverse siirtyvät ympäristön suojauksen hallintaan (ja kaikki ympäristön järjestelmänvalvojat ja tekijät siirretään).

Kukin roolityyppi tukee seuraavia objekteja.

Ympäristön tyyppi	Role	Objektityyppi (Microsoft Entra ID)
Ympäristö ilman Dataversea	Ympäristön rooli	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: kaaviosovellus	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1	Käyttäjä, ryhmä
Ympäristö Dataversen kanssa	Ympäristön rooli	Käyttäjä
	Resurssin oikeudet: kaaviosovellus	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1	Käyttäjä, ryhmä
	Dataverse-rooli (koskee kaikkia mallipohjaisia sovelluksia ja osia)	User

1 Vain tietyt yhteydet (kuten SQL) voidaan jakaa.

Muistiinpano

• Oletusympäristössä kaikille vuokraajan käyttäjille myönnetään käyttöoikeus ympäristön tekijän rooliin.
• Käyttäjillä, joilla on Järjestelmänvalvoja rooli, Power Platform on järjestelmänvalvojan käyttöoikeudet kaikkiin ympäristöihin.

FAQ - Mitä käyttöoikeuksia Microsoft Entra vuokraajatasolla on?

Microsoft Power Platformin järjestelmänvalvojilla on tällä hetkellä seuraavat mahdollisuudet:

1. Power Appsin ja Power Automaten käyttöoikeusraportin lataaminen
2. Luo DLP-käytäntö, joka on tarkoitettu kaikille ympäristöille, sisältämään tietyt ympäristöt tai sulkemaan tietyt ympäristöt pois.
3. Käyttöoikeuksien hallinta ja delegoiminen Office-hallintakeskuksen kautta
4. Voit käyttää kaikkia ympäristön, sovelluksen ja työnkulun hallintaominaisuuksia kaikissa vuokraajan ympäristöissä seuraavien avulla:
   • Power Apps-järjestelmänvalvojan PowerShell cmdlets -komennot
   • Power Appsin hallinnan yhdistimet
5. Käytä Power Appsin ja Power Automaten järjestelmänvalvojan analyyseja kaikissa vuokraajan ympäristöissä:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Harkitse Microsoft Intunen käyttöä

Asiakkaat, joilla on käytössä Microsoft Intune, voivat määrittää mobiilisovelluksen tietoturvakäytännöt sekä Power Apps- että Power Automate -sovelluksille Android- ja iOS-käyttöjärjestelmissä. Tässä opastuksessa kerrotaan käytännön määrittämisestä Power Automatelle Intunen avulla.

Harkitse sijaintiin perustuvan ehdollisen käyttöoikeuden käyttöä

Jos asiakkailla on käytössä Microsoft Entra ID P1 tai P2, ehdollisen käyttöoikeuden käytännöt voidaan määrittää Power Appsille ja Power Automatelle Azuressa. Tämä mahdollistaa käyttöoikeuden myöntämisen tai estämisen käyttäjän/ryhmän, laitteen ja sijainnin perusteella.

Ehdollisen käyttöoikeuden käytännön luominen

1. Kirjaudu https://portal.azure.com.
2. Valitse Ehdollinen käyttöoikeus.
3. Valitse + Uusi käytäntö.
4. Valitse valitut käyttäjät ja ryhmät.
5. Valitse Kaikki pilvisovellukset>Kaikki pilvisovellukset>Common Data Service hallitaksesi asiakasvuorovaikutussovellusten käyttöoikeuksia.
6. Ehtojen (käyttäjäriskien, laiteympäristöjen ja sijaintien) käyttö.
7. Valitse Luo.

Tietovuotojen estäminen tietojen menetyksen estämiskäytäntöjen avulla

Tietovuotojen estämiskäytännöt (DLP) käyttävät sääntöjä, joissa voi käyttää yhdistimiä yhdessä ja luokitella yhdistimet joko Vain liiketoimintatiedot- tai Liiketoimintatiedot eivät sallittuja -merkinnällä. Jos siis yhdistin asetetaan Vain liiketoimintatiedot -ryhmälle, sitä voi käyttää vain yhdessä muiden saman sovelluksen ryhmän yhdistimien kanssa. Power Platform järjestelmänvalvojat voivat määrittää käytäntöjä, jotka koskevat kaikkia ympäristöjä.

Usein kysytyt kysymykset

K: Onko vuokraajatasolla mahdollista hallita, mikä yhdistin on käytettävissä esimerkiksi niin, että Dropbox tai Twitter eivät ole sallittuja mutta SharePoint on?

A: Tämä on mahdollista käyttämällä yhdistimien luokitusominaisuuksia ja delegoimalla estetty-luokitus vähintään yhdelle yhdistimelle, jota et halua käytettävän. Huomaa, että on olemassa yhdistinten joukko, jota ei voi estää.

K: Onko yhdistimien jakaminen käyttäjien kanssa mahdollista? Onko esimerkiksi Teamsin yhdistin yleiskäyttöinen ja jaettava?

V: Yhdistimet ovat kaikkien käyttäjien käytettävissä lukuun ottamatta premium-yhdistimiä tai mukautettuja yhdistimiä, jotka tarvitsevat joko toisen käyttöoikeuden (premium-yhdistimet) tai jotka on jaettava eksplisiittisesti (mukautetut yhdistimet)

Hälytys ja toiminto

Valvonnan lisäksi monet asiakkaat haluavat tilata ohjelmistojen luomis-, käyttö- tai terveystapahtumia, jotta he tietävät, milloin toiminto on suoritettava. Tässä osassa esitellään muutamia keinoja, joiden avulla voi tarkkailla tapahtumia (manuaalisesti ja ohjelmallisesti) sekä suorittaa tapahtumaesiintymän käynnistämiä toimintoja.

Luo Power Automate -työnkulkuja, jos haluat hälytyksen tärkeistä tarkistustapahtumista

1. Esimerkki käyttöönotettavasta hälytyksestä on Microsoft 365:n tietoturvan ja vaatimustenmukaisuuden tarkistuslokien tilaaminen.
2. Tämä voidaan tehdä käyttämällä joko webhook-tilausta tai kyselyä. Kun Power Automate liitetään näihin hälytyksiin, järjestelmänvalvojat saavat sähköpostihälytysten lisäksi muitakin tietoja.

Luo tarvittavat käytännöt Power Appsia, Power Automatea ja PowerShellia varten

1. Nämä PowerShell cmdlet -komennot antavat hallinnan järjestelmänvalvojille. He voivat automatisoida hallintakäytäntöjä tarvittaessa.
2. Hallintaliittimet tarjoavat samantasoisen hallinnan, mutta lisäävät laajennettavuutta ja helppokäyttöisyyttä käyttämällä Power Apps ja Power Automate.
3. Seuraavia järjestelmänvalvojan yhdistimien Power Automate -malleja voi ottaa nopeasti käyttöön:
   1. Uusien Power Automaten yhdistimien luettelo
   2. Uusien Power Apps- ja Power Automate -työnkulkujen ja -yhdistimien luettelon hakeminen
   3. Lähetä minulle viikoittainen yhteenveto Office 365:n viestikeskuksen ilmoituksista
   4. Office 365:n tietoturvan ja vaatimustenmukaisuuden lokien käyttöönotto Power Automatesta
4. Tämän blogin ja sovellusmallin avulla voi lisätä nopeasti hallinnan yhdistämiä.
5. Lisäksi kannattaa tutustua sisältöön, joka jaetaan yhteisön sovellusten galleriassa. Tässä on toinen esimerkki hallintakokemuksesta, jossa käytetään Power Appsia ja hallinnan yhdistimiä.

Usein kysytyt kysymykset

Ongelma Tällä hetkellä kaikki käyttäjät, joilla on Microsoft E3 -lisenssejä, voivat luoda sovelluksia oletusympäristössä. Miten esimerkiksi ympäristön tekijäoikeudet voidaan ottaa käyttöön tietyssä ryhmässä. Kymmenen henkilöä luomaan sovelluksia?

Suositus PowerShellin cmdlets-komennot ja hallinnan yhdistimet antavat järjestelmänvalvojille täydet mahdollisuudet muodostaa käytäntöjä, jotka he haluavat luoda organisaatiolle.

Valvonta

On hyvin ymmärretty, että valvonta on kriittinen osa ohjelmistojen hallintaa suuressa mittakaavassa. Tässä osiossa korostetaan muutamia tapoja saada tietoa Power Apps kehityksestä Power Automate ja käytöstä.

Kirjausketjun tarkistaminen

Power Appsin aktiviteettien kirjaaminen on integroitu Officen tietoturvan ja vaatimustenmukaisuuden keskuksen kanssa, jotta Microsoftin palveluiden, kuten Dataversen ja Microsoft 365:n, kirjaaminen on yhdenmukaista kaikkialla. Office sisältää ohjelmointirajapinnan, joka tekee näistä tiedoista kyselyn. Useat SIEM-toimittajat käyttävät sitä parhaillaan aktiviteettien kirjaustiedoissa raportointia varten.

Tarkastele Power Appsin ja Power Automaten käyttöoikeusraporttia

1. Siirry Power Platform -hallintakeskukseen.

2. Valitse Analyysit>Power Automate tai Power Apps.

3. Power Appsin ja Power Automaten järjestelmänvalvojan analyysien tarkasteleminen

   Voit saada tietoja seuraavista asioista:

   • Aktiivinen käyttäjä ja sovelluksen käyttö – kuinka monta käyttäjää sovelluksella on ja miten usein?
   • SIjainti - missä käyttö tapahtuu?
   • Yhdistimien palvelun suorituskyky
   • Virheiden raportointi - sovellukset, joissa tapahtuu eniten virheitä
   • Käytössä olevat työnkulut tyypin ja päivämäärän mukaan
   • Luodut työnkulut tyypin ja päivämäärän mukaan
   • Sovellustason seuranta
   • Palvelun kunto
   • Käytössä olevat yhdistimet

Käyttöluvan saaneiden käyttäjien tarkasteleminen

Voit tarkastella yksittäisiä käyttöoikeuksia Microsoft 365 -hallintakeskuksessa porautumalla tiettyihin käyttäjiin.

Voit viedä delegoituja käyttöoikeuksia myös seuraavan PowerShellin komennon avulla.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Vie kaikki vuokralaiselle määritetyt käyttöoikeudet (Power Apps ja Power Automate) taulukkomuotoiseen .csv-tiedostoon. Viety tiedosto sisältää sekä itsepalvelun kirjautumisen sisäiset kokeilusuunnitelmat että suunnitelmat, jotka ovat peräisin Microsoft Entra ID:stä. Sisäiset kokeilusuunnitelmat eivät näy Microsoft 365 -hallintakeskuksen järjestelmänvalvojille.

Vienti voi kestää jonkin aikaa niiden vuokraajien osalta, joilla on suuri määrä Power Platform -käyttäjiä.

Ympäristössä käytettävien sovellusresurssien tarkasteleminen

1. Valitse Power Platform -hallintakeskuksessa ympäristöt siirtymisvalikossa.
2. Valitse ympäristö.
3. Vaihtoehtoisesti ympäristössä käytettyjen resurssien luettelo voidaan ladata .csv.

Katso myös

Power Automate ‑ympäristöjen suojaaminen ja hallinta parhaiden käytäntöjen avulla
Microsoft Power Platform Center of Excellence (CoE) -aloituspaketti