Compartir por

Consideracións sobre seguranza e regulación

  • Artigo

Moitos clientes pregúntase como pode Power Platform estar amplamente dispoñible para a súa empresa en xeral e que sexan compatibles con TI? A regulación é a resposta. Pretende que os grupos empresariais poidan centrarse na resolución de problemas empresariais de forma eficiente ao tempo que cumpren os estándares de cumprimento empresarial e de TI. O contido seguinte está destinado a estruturar temas frecuentemente asociados ao software de regulación e concienciar sobre as funcionalidades dispoñibles para cada tema en relación coa regulación de Power Platform.

Tema Preguntas comúns relacionadas con cada tema ás que responde este contido
Arquitectura
  • Cales son as construcións e os conceptos básicos de Power Apps, Power Automate e Microsoft Dataverse?

  • Como se encaixan estas construcións no momento de deseño e no tempo de execución?
Seguranza
  • Cales son as recomendacións para as consideracións de deseño de seguranza?

  • Como aproveito as solucións de xestión de usuarios e grupos existentes para xestionar os roles de seguranza e o acceso en Power Apps?
Alerta e acción
  • Como defino o modelo de regulación entre programadores cidadáns e servizos informáticos xestionados?

  • Como defino o modelo de regulación entre TI central e os administradores de unidades empresariais?

  • Como debo abordar a asistencia técnica para ambientes non predefinidos da miña organización?
Monitorar
  • Como capturamos os datos de auditoría e cumprimento?

  • Como podo medir a adopción e o uso dentro da miña organización?

Arquitectura

O mellor é familiarizarse con ambientes como primeiro paso para construír a historia de regulación adecuada para a súa empresa. Os contornos son os contedores de todos os recursos empregados por Power Apps, Power Automate e Dataverse. Visión xeral dos contornos é un bo punto de partida ao que debe seguir Que é Dataverse ?, Tipos de Power Apps, Microsoft Power Automate, Conectores e Pasarelas locais.

Seguranza

Nesta sección detállanse os mecanismos que existen para controlar quen pode acceder Power Apps nun ambiente e acceder a datos: licenzas, ambientes, roles ambientais, DNI, Microsoft Entra políticas de prevención de perdas de datos e conectores de administración cos que se poden utilizar Power Automate.

Obtención de licenzas

O acceso a Power Apps e Power Automate comeza por ter unha licenza. O tipo de licenza que ten un usuario determina os activos e os datos aos que pode acceder. Na seguinte táboa descríbense as diferenzas nos recursos dispoñibles para un usuario en función do tipo de plan, desde un nivel alto. Pódese atopar información acerca das licenzas granulares no documento Visión xeral das licenzas.

Planificar Descrición
Microsoft 365 incluído Isto permite aos usuarios estender SharePoint e outros activos de Office que xa teñen.
Dynamics 365 incluído Isto permite aos usuarios personalizar e ampliar as aplicacións de interacción cos clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) que xa teñen.
Plan de Power Apps Isto permite:
  • crear conectores empresariais e facer Dataverse accesible para o seu uso.
  • que os usuarios utilicen unha lóxica empresarial sólida entre os tipos de aplicación e as funcionalidades de administración.
Comunidade de Power Apps Isto permite que un usuario poida usar Power Apps, Power Automate, Dataverse e conectores de clientes nunha única licenza para uso individual. Non hai capacidade para compartir aplicacións.
Power Automate gratis Isto permite aos usuarios crear fluxos ilimitados e realizar 750 execucións.
Plan de Power Automate Consulte a Guía de licenzas de Microsoft Power Apps e Microsoft Power Automate.

Ambientes

Despois de que os usuarios teñan licenzas, os contornos existen como contedores para todos os recursos empregados por Power Apps, Power Automate e Dataverse. Pódense empregar ambientes para dirixirse a diferentes públicos ou con fins diferentes, como desenvolvemento, proba e produción. Pode atoparse máis información no documento Visión xeral dos ambientes.

Protexer os datos e a rede

  • Power Apps e Power Automate non proporcionan aos usuarios acceso aos activos de datos aos que aínda non teñen acceso. Os usuarios só deben ter acceso aos datos aos que realmente requiren acceder.
  • As políticas de control de acceso á rede tamén se poden aplicar a Power Apps e Power Automate. No caso do ambiente, pódese bloquear o acceso a un sitio desde unha rede mediante o bloqueo da páxina de inicio de sesión para evitar que se creen conexións a ese sitio en Power Apps e Power Automate.
  • Nun ambiente, o acceso contrólase en tres niveis: Roles de ambiente, Permisos de recursos para Power Apps, Power Automate, etc. e roles de seguranza de Dataverse (se se fornece unha base de datos de Dataverse).
  • Cando Dataverse se crea nun ambiente, os roles de Dataverse asumirán o control da seguranza no ambiente (e todos os administradores e creadores do ambiente mígranse).

As seguintes entidades de seguranza son compatibles con cada tipo de rol.

Tipo de ambiente Rol Tipo principal (Microsoft Entra ID)
Ambiente sen Dataverse Rol de ambiente Usuario, grupo, arrendatario
Permiso de recurso: aplicación de lenzo Usuario, grupo, arrendatario
Permiso de recurso: Power Automate, conector personalizado, pasarelas, conexións1 Usuario, grupo
Ambiente con Dataverse Rol de ambiente User
Permiso de recurso: aplicación de lenzo Usuario, grupo, arrendatario
Permiso de recurso: Power Automate, conector personalizado, pasarelas, conexións1 Usuario, grupo
Rol de Dataverse (aplícase a todos os compoñentes e aplicacións xerados por modelos) User

1Só se poden compartir certas conexións (como SQL).

Nota

  • No ambiente predefinido, todos os usuarios dun arrendatario teñen acceso ao rol de creador do ambiente.
  • Microsoft Entra Os administradores globais arrendatarios teñen acceso de administración a todos os ambientes.

FAQ - Que permisos existen a nivel Microsoft Entra de inquilino?

Hoxe, os administradores de Microsoft Power Platform poden facer o seguinte:

  1. Descargar o informe de licenza de Power Apps e Power Automate
  2. Crear unha política de DLP centrada só en "Todos os ambientes" ou orientada para incluír ou excluír ambientes específicos
  3. Xestionar e atribuír licenzas a través do centro de administración de Office
  4. Acceda a todas as funcións de ambiente, aplicacións e xestión de fluxos para todos os ambientes do arrendatario dispoñibles a través de:
    • Cmdlets de PowerShell de administración de Power Apps
    • Conectores de xestión de Power Apps
  5. Acceder ás análises de administradores de Power Apps e Power Automate de todos os ambientes do arrendatario:

Considerar Microsoft Intune

Os clientes con Microsoft Intune poden establecer políticas de protección de aplicacións móbiles tanto para aplicacións como para aplicacións Power Apps Power Automate en Android e iOS. Nesta guía destácase a configuración dunha política a través de Intune para Power Automate.

Considerar o acceso condicional baseado na localización

Para clientes con Microsoft Entra ID P1 ou P2, pódense definir políticas de acceso condicional en Azure para Power Apps e Power Automate. Isto permite conceder ou bloquear o acceso en función dos seguintes aspectos: usuario ou grupo, dispositivo, localización.

Creación dunha política de acceso condicional

  1. Inicie sesión en https://portal.azure.com.
  2. Seleccionar acceso condicional.
  3. Seleccione + Nova política.
  4. Seleccione usuarios e grupos seleccionados.
  5. Seleccione Todas as aplicacións na nube>Todas as aplicacións na nube>Common Data Service para controlar o acceso ás aplicacións de interacción con clientes.
  6. Aplique as condicións (risco de usuario, plataformas de dispositivos, localizacións).
  7. Seleccione Crear.

Evitar fugas de datos coas políticas de prevención de perda de datos

As políticas de prevención de perda de datos (DLP) aplican as regras sobre que conectores se poden usar xuntos clasificando os conectores como Só datos empresariais ou Non se permiten datos empresariais. Simplemente, se coloca un conector no grupo de datos empresariais, só se pode usar con outros conectores dese grupo na mesma aplicación. Os administradores de Power Platform poden definir políticas que se aplican a todos os ambientes.

Preguntas máis frecuentes

P: Podo controlar, a nivel do arrendatario, que conector está dispoñible, por exemplo Non a Dropbox ou Twitter pero Si a SharePoint?

R: Isto é posible empregando as capacidades de clasificación de conectores e asignando o clasificador Bloqueado a un ou máis conectores que quere evitar que se utilicen. Teña en conta que hai un conxunto de conectores que non se poden bloquear.

P: E o caso de compartir conectores entre usuarios? Por exemplo, o conector para Teams é xeral que se pode compartir?

R: Os conectores están dispoñibles para todos os usuarios. Coa excepción dos conectores premium ou personalizados, que precisan unha licenza adicional (conectores premium) ou que se teñen que compartir explicitamente (conectores personalizados).

Alerta e acción

Ademais da monitoraxe, moitos clientes queren subscribirse a eventos de estado de funcionamento, uso ou creación de software para saber cando realizar unha acción. Nesta sección descríbense algúns medios para observar eventos (de xeito manual e mediante programación) e realizar accións desencadeadas pola repetición dun evento.

Compilar fluxos de Power Automate para avisar acerca de eventos clave de auditoría

  1. Un exemplo de alerta que se pode implementar é a subscrición a rexistros de auditoría de cumprimento e seguranza de Microsoft 365.
  2. Isto pódese conseguir a través dunha subscrición de webhook ou dun enfoque de sondaxe. No entanto, ao vincular Power Automate a estas alertas, podemos proporcionar aos administradores algo máis que simplemente alertas por correo electrónico.

Compilar as políticas que precisa con Power Apps, Power Automate e PowerShell

  1. Estes cmdlets de PowerShell proporcionan aos administradores control total para automatizar as políticas de regulación necesarias.
  2. Os conectores de xestión proporcionan o mesmo nivel de control, pero engaden extensibilidade e facilidade de uso ao aproveitar Power Apps e Power Automate.
  3. Os seguintes modelos de Power Automate para conectores de administración existen para aumentar rapidamente:
    1. Enumerar os novos conectores de Power Automate
    2. Obter unha lista de Power Apps, fluxos de Power Automate e conectores
    3. Enviarme por correo electrónico un resumo semanal dos avisos do Centro de mensaxes de Office 365
    4. Acceder aos rexistros de cumprimento e seguranza de Office 365 de Power Automate
  4. Use esta rampa de blog e modelo de aplicación rapidamente nos conectores de administración.
  5. Ademais, paga a pena consultar o contido que se comparte na Galería de aplicacións da comunidade, xa que aquí se mostra outro exemplo dunha experiencia administrativa compilada con conectores de administración e Power Apps.

Preguntas máis frecuentes

Problema Actualmente, todos os usuarios con licenzas de Microsoft E3 poden crear aplicacións no contorno predeterminado. Como podemos activar os dereitos do Creador do ambiente para un grupo seleccionado, por exemplo. 10 persoas para crear aplicacións?

Recomendación Os cmdlets de PowerShell e os conectores de xestión proporcionan total flexibilidade e control aos administradores para crear as políticas que queren para a organización.

Monitorar

Enténdese que a monitoraxe é un aspecto importante da xestión de software a escala. Nesta sección destácanse un par de métodos para obter información acerca do uso e desenvolvemento de Power Apps e Power Automate.

Revisar o rexistro de auditoría

O rexistro de actividades de Power Apps está integrado co centro de cumprimento e seguranza de Office para o rexistro exhaustivo nos servizos de Microsoft, como Dataverse e Microsoft 365. Office proporciona unha API para consultar estes datos, que actualmente moitos fornecedores de SIEM empregan co fin de usar os datos de rexistro de actividades para informar.

Vexa o informe de licenza de Power Apps e Power Automate

  1. Vaia ao centro de administración de Power Platform.

  2. Seleccione Analytics>Power Automate ou Power Apps.

  3. Ver as análises de administradores de Power Apps e Power Automate

    Pode obter información sobre o seguinte:

    • Usuario activo e uso da aplicación: cantos usuarios usan unha aplicación e con que frecuencia?
    • Localización: onde está o uso?
    • Desempeño de servizo dos conectores
    • Informes de erros: cales son as aplicacións máis propensas a erro
    • Fluxos en uso por tipo e data
    • Fluxos creados por tipo e data
    • Auditoría a nivel da aplicación
    • Service Health
    • Conector usados

Ver que usuarios teñen licenza

Sempre poderá ver as licenzas de usuarios individuais no centro de administración de Microsoft 365 mirando usuarios específicos.

Tamén pode usar o seguinte comando PowerShell para exportar as licenzas de usuario asignadas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenzas de usuario asignadas (Power Apps e Power Automate) do arrendatario a un ficheiro .csv de vista tabular. O ficheiro exportado contén tanto plans de proba interna de autoservizo como plans que proceden do Microsoft Entra DNI. Os administradores do centro de administración de Microsoft 365 non poden ver os plans de proba internos.

A exportación pode levar un tempo aos arrendatarios cun gran número de usuarios de Power Platform.

Ver os recursos da aplicación usados nun ambiente

  1. No Centro de administración de Power Platform, seleccione Ambientes no menú de navegación.
  2. Seleccione un ambiente.
  3. Opcionalmente, a lista de recursos usados nun ambiente pode descargarse como .csv.

Consulte tamén

Utilice as mellores prácticas para protexer e gobernar ambientes de Power Automate
Kit de principiante do Centro de excelencia (CoE) de Microsoft Power Platform