שתף דרך

שיקולי אבטחה ופיקוח ב- Power Platform

לקוחות רבים תוהים איך אפשר להפוך את Power Platform לזמין בעסק הרחב, ועם תמיכה של IT? פיקוח הוא התשובה. הוא שואף לאפשר לקבוצות עסקיות להתמקד בפתרון בעיות עסקיות ביעילות תוך ציות לתקני התאימות של ה- IT והעסק. התוכן הבא נועד לפרט נושאים המשויכים לעתים קרובות לפיקוח על תוכנה ולהעלות את המודעות ליכולות הזמינות עבור כל נושא בכל הקשור לפיקוח על Power Platform.

ערכת נושא שאלות נפוצות הקשורות לכל ערכת נושא שעבורה תוכן זה עונה
ארכיטקטורה
  • מהם המבנים והמושגים הבסיסיים של Power Apps, Power Automate ו- Microsoft Dataverse?

  • כיצד מבנים אלה משתלבים ביחד בזמן התכנון וזמן הריצה?
אבטחה
  • מהן שיטות העבודה המומלצות עבור שיקולי תכנון אבטחה?

  • כיצד ניתן להשתמש בפתרונות ניהול המשתמשים והקבוצות הקיימים שלנו כדי לנהל גישה ותפקידי אבטחה ב- Power Apps?
התראה ופעולה
  • כיצד ניתן להגדיר את מודל הפיקוח בין מפתחים אזרחיים ושירותי IT מנוהלים?

  • כיצד ניתן להגדיר את מודל הפיקוח בין IT מרכזי ומנהלי היחידות העסקיות?

  • כיצד עליי להתייחס לתמיכה עבור סביבות שאינן מהוות ברירת מחדל בארגון שלי?
ניטור
  • כיצד אנחנו מתעדים נתוני תאימות / ביקורת?

  • כיצד ניתן למדוד הטמעה ושימוש בארגון שלי?

ארכיטקטורה

מומלץ להתוודע לסביבות כשלב הראשון בבניית סיפור הפיקוח המתאים עבור החברה שלך. סביבות הן הגורמים המכילים לכל המשאבים שבהם משתמשות Power Apps, Power Automate ו- Dataverse. מבט כולל על סביבות הוא ספר לימוד טוב למתחילים, ואחריו כדאי לקרוא את מה זה Dataverse?, סוגים של Power Apps, Microsoft Power Automate, מחברים, וגם שערים מקומיים.

אבטחה

סעיף זה מתאר מנגנונים הקיימים כדי לקבוע מי יכול לגשת ל- Power Apps בסביבה ולגשת לנתונים: רשיונות, סביבות, תפקידי סביבה, מזהה Microsoft Entra, מדיניות נתונים ומחברי ניהול שניתן להשתמש בהם עם Power Automate.

רישוי

גישה ל- Power Apps ו- Power Automate מתחילה עם רישיון. סוג הרישיון שיש למשתמש קובע את הנכסים והנתונים שהמשתמש יכול לגשת אליהם. הטבלה הבאה מציגה את ההבדלים במשאבים העומדים לרשות המשתמש על סמך סוג התוכנית שלו, מרמה גבוהה. ניתן למצוא פרטי רישוי ברמת פירוט גבוהה במבט כולל על רישוי.

תוכנית תיאור
Microsoft 365 כלול זה מאפשר למשתמשים להרחיב את SharePoint ונכסי Office אחרים שכבר יש ברשותם.
Dynamics 365 כלול הדבר מאפשר למשתמשים להתאים אישית ולהרחיב את יישומי Customer Engagement ‏(Dynamics 365 Sales, ‏Dynamics 365 Customer Service, Dynamics 365 Field Service,‏ Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), שכבר יש להם.
תוכנית Power Apps זה מאפשר:
  • הפיכת מחברים ארגוניים ו- Dataverse לנגישים לשימוש.
  • למשתמשים להשתמש בלוגיקה עסקית חזקה בין סוגי אפליקציות ויכולות ניהול.
קהילת Power Apps זה מאפשר למשתמש להשתמש ב- Power Apps, Power Automate, Dataverse ומחברי לקוח בשימוש יחיד ופרטני. אין יכולת לשתף יישומים.
Power Automate חופשי הדבר מאפשר למשתמשים ליצור זרימות בלתי מוגבלות ולבצע 750 הפעלות.
תוכנית Power Automate ראה את מדריך הרישוי של Microsoft Power Apps ו- Microsoft Power Automate.

סביבות

לאחר שהמשתמשים מקבלים רישיונות, קיימות סביבות כגורמים מכילים לכל המשאבים שבשימוש Power Apps, Power Automate ו- Dataverse. ניתן להשתמש בסביבות כדי להתמקד בקהלים שונים ו/או למטרות שונות כגון פיתוח, בדיקות וייצור. ניתן למצוא מידע נוסף במבט כולל על סביבות.

אבטחת הנתונים והרשת שלך

  • Power Apps ו- Power Automate לא מספקים למשתמשים גישה לנכסי נתונים כלשהם שעדיין אין להם גישה אליהם. למשתמשים צריכה להיות גישה רק לנתונים שהם באמת זקוקים לגישה אליהם.
  • מדיניות בקרת גישה לרשת יכולה לחול גם על Power Apps ו- Power Automate. עבור סביבה, אדם יכול לחסום גישה לאתר מתוך רשת על-ידי חסימת דף הכניסה כדי למנוע יצירת חיבורים לאתר זה ב- Power Apps ו- Power Automate.
  • הגישה בסביבה נשלטת בשלוש רמות: תפקידי סביבה, הרשאות משאבים עבור Power Apps, Power Automate, וכו'. ותפקידי אבטחה של Dataverse (אם הוקצה מסד נתונים של Dataverse).
  • כאשר Dataverse נוצר בסביבה, תפקידי Dataverse משתלטים לצורך שליטה באבטחה בסביבה (וכל מנהלי המערכת והיוצרים של הסביבה מועברים).

המנהלים הבאים נתמכים עבור כל סוג תפקיד.

סוג סביבה תפקיד סוג מנהל (Microsoft Entra ID)
סביבה ללא Dataverse תפקיד סביבה משתמש, קבוצה, דייר
הרשאת משאב: יישום בד ציור משתמש, קבוצה, דייר
הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 משתמש, קבוצה
סביבה עם Dataverse תפקיד סביבה User
הרשאת משאב: יישום בד ציור משתמש, קבוצה, דייר
הרשאת משאב: Power Automate, מחבר מותאם אישית, שערים, חיבורים1 משתמש, קבוצה
תפקיד Dataverse (חל על כל היישומים מונחי הדגמים והרכיבים) User

1 ניתן לשתף רק חיבורים מסוימים (כמו SQL).

הערה

  • בסביבת ברירת המחדל, כל המשתמשים בדייר מקבלים גישה לתפקיד 'יוצר הסביבות'.
  • למשתמשים עם תפקיד מנהל מערכת ב- Power Platform יש גישת מנהל מערכת לכל הסביבות.

שאלות נפוצות - אילו הרשאות קיימות ברמת הדייר של Microsoft Entra?

כיום, מנהלי מערכת של Microsoft Power Platform יכולים לעשות את הפעולות הבאות:

  1. הורדת דוח רישיון Power Apps ו- Power Automate
  2. צור מדיניות נתונים בטווח של 'כל הסביבות' בלבד או בטווח כדי לכלול/לא לכלול בסביבות ספציפיות
  3. ניהול והקצאה של רשיונות דרך מרכז הניהול של Office
  4. קבל גישה לכל יכולות ניהול הסביבה, היישום והזרימה עבור כל הסביבות בדייר הזמין דרך:
    • רכיבי cmdlet של PowerShell עבור מנהלי מערכת של Power Apps
    • מחברי ניהול של Power Apps
  5. קבלת גישה לניתוח ניהול Power Apps ו- Power Automate עבור כל הסביבות בדייר:

שקול שימוש ב- Microsoft Intune

לקוחות בעלי Microsoft Intune יכולים להגדיר מדיניות הגנה על אפליקציה למכשירים ניידים הן עבור אפליקציות Power Apps והן עבור אפליקציות Power Automate ב- Android ו- iOS. הדרכה זו מדגישה הגדרת מדיניות דרך Intune עבור Power Automate.

שקול שימוש בגישה מותנית מבוססת-מיקום

עבור לקוחות בעלי Microsoft Entra ID P1 או P2, ניתן להגדיר מדיניות גישה מותנית ב- Azure עבור Power Apps ו- Power Automate. זה מאפשר להעניק או לחסום גישה בהתבסס על: משתמש/קבוצה, מכשיר, מיקום.

יצירת מדיניות גישה מותנית

  1. היכנס אל https://portal.azure.com.
  2. בחר גישה מותנית.
  3. בחר +מדיניות חדשה.
  4. בחר משתמשים וקבוצות שנבחרו.
  5. בחר כל יישומי הענן>כל יישומי הענן>Common Data Service כדי לשלוט בגישה ליישומי מעורבות לקוחות.
  6. החל תנאים (סיכון משתמש, פלטפורמות התקנים, מיקומים).
  7. בחר Create (צור).

מניעת דליפת נתונים באמצעות מדיניות נתונים

פריטי מדיניות נתונים אוכפים כללים שעבורם ניתן להשתמש מחברים יחד על-ידי סיווג מחברים כנתונים עסקיים בלבד או כנתונים עסקיים אסורים. בצורה פשוטה, אם אתה מציב מחבר בקבוצת הנתונים העסקיים בלבד, ניתן להשתמש בו רק עם מחברים אחרים מקבוצה זו באותו יישום. מנהלי Power Platform יכולים להגדיר מדיניות שחלה על כל הסביבות.

שאלות ותשובות

ש: האם אוכל לשלוט ברמת הדייר איזה מחבר זמין בכלל, למשל 'לא' ל- Dropbox או Twitter אך 'כן' ל- SharePoint?

ת: זה אפשרי על-ידי ניצול יכולות סיווג המחברים והקצאת המסווג חסום למחבר אחד או יותר שברצונך להימנע משימוש בהם. יש קבוצת מחברים שלא ניתן לחסום.

ש: מה לגבי שיתוף מחברים בין משתמשים? לדוגמה, האם המחבר ל- Teams הוא כללי וניתן לשיתוף?

ת: מחברים זמינים לכל המשתמשים, פרט למחברים מתקדמים או מחברים מותאמים אישית, שזקוקים לרישיון נוסף (מחברים מתקדמים) או שיש לשתף אותם במפורש (מחברים מותאמים אישית)

התראה ופעולה

בנוסף לניטור, לקוחות רבים רוצים להירשם כמנויים לאירועי יצירת תוכנה, שימוש או תקינות כך שיידוע מתי לבצע פעולה. סעיף זה מפרט מספר אמצעים לבדיקת אירועים (באופן ידני או תכנותי) ולביצוע פעולות המופעלות על-ידי התרחשות אירוע.

בניית זרימות Power Automate כדי להתריע על אירועי ביקורת מרכזיים

  1. דוגמה להתראה שניתן ליישם היא הרשמה כמנוי אל יומני ביקורת האבטחה והתאימות של Microsoft 365.
  2. ניתן להשיג זאת באמצעות גישת מנוי webhook או תשאול. עם זאת, על-ידי צירוף Power Automate להתראות אלה, אנחנו יכולים לספק למנהלי מערכת יותר מהתראות דוא"ל.

בניית המדיניות שאתה זקוק לה עם Power Apps, Power Automate, ו- PowerShell

  1. רכיבי cmdlet אלה של PowerShell מציבים שליטה מלאה בידיהם של מנהלי מערכת כדי להפוך את מדיניות הפיקוח הדרושה לאוטומטית.
  2. מחברי Power Platform for Admins V2 (Preview) ו- ניהול Power Automate מספקים את אותה רמה של שליטה, אבל עם יכולת הרחבה נוספת וקלות שימוש על-ידי שימוש ב- Power Apps וב- Power Automate.
  3. סקור את שיטות העבודה המומלצות לניהול ופיקוח ב- Power Platform ושקול להגדיר את ערכת המתחילים של מרכז המצוינות (CoE).
  4. השתמש בתבנית בלוג ויישום זו כדי להתחיל בעבודה במהירות במחברי הניהול.
  5. בנוסף, כדאי לעיין בתוכן ששותף בגלריית יישומי הקהילה, הנה דוגמה נוספת לחוויה ניהולית שנבנתה באמצעות Power Apps ומחברי מנהל מערכת.

שאלות ותשובות

בעיה נכון לעכשיו, כל המשתמשים בעלי רישיונות Microsoft E3 יכולים ליצור יישומים בסביבת ברירת המחדל. כיצד ניתן לאפשר זכויות של יוצר הסביבות כדי לבחור קבוצה, לדוגמה. 10 אנשים ליצירת אפליקציות?

המלצה

גם PowerShell cmdlets וגם Management connectors מספקים גמישות ושליטה מלאות למנהלי מערכת המאפשרות להם לבנות את המדיניות הרצויה עבור הארגון שלהם.

ניטור

מובן היטב כי ניטור הוא היבט קריטי של ניהול תוכנה בקנה מידה גדול. סעיף זה מדגיש כמה אמצעים לקבלת תובנה ב- Power Apps ופיתוח ושימוש ב- Power Automate.

סקירת מסלול הביקורת

רישום פעילות עבור Power Apps משולב עם מרכז האבטחה והתאימות של Office לרישום מקיף בשירותי Microsoft כגון Dataverse ו- Microsoft 365. Office מספק ממשק API לביצוע שאילתה בנתונים אלה, המשמש כעת ספקי SIEM רבים לצורך שימוש בנתוני רישום הפעילות עבור דיווח.

הצג את דוח הרישיון של Power Apps ו- Power Automate

  1. היכנס אל מרכז הניהול של Power Platform.
  2. בחלונית הניווט, יש לבחור רישוי.
  3. בחלונית רישוי , בחר Power Automate או Power Apps כדי לעיין במידע.

באפשרותך לקבל מידע אודות הפרטים הבאים:

  • משתמש פעיל ושימוש ביישום – כמה אנשים משתמשים ביישום ובאיזו תדירות?
  • מיקום - היכן נמצא השימוש?
  • ביצועי שירות של מחברים
  • דיווח על שגיאות - מהם היישומים המועדים ביותר לשגיאות
  • זרימות בשימוש לפי סוג ותאריך
  • זרימות שנוצרו על-ידי סוג ותאריך
  • ביקורת ברמת יישום
  • Service Health
  • מחברים הנמצאים בשימוש

הצגת המשתמשים המורשים

ניתן לראות רישוי של משתמש מסוים בכל עת במרכז הניהול של Microsoft 365, על ידי חקירת משתמשים ספציפיים.

באפשרותך גם להשתמש בפקודה הבאה של PowerShell כדי לייצא רשיונות משתמש שהוקצו.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

מייצא את כל רשיונות המשתמש שהוקצו (Power Apps ו- Power Automate) בדייר שלך לקובץ ‎.csv של תצוגה טבלאית. הקובץ המיוצא מכיל הן תוכניות גירסת ניסיון פנימיות עם אפשרות להרשמה בשירות עצמי והן תוכניות שמקורן ב- Microsoft Entra ID. תוכניות הניסיון הפנימיות אינן גלויות למנהלים במרכז הניהול של Microsoft 365.

הייצוא עשוי להימשך זמן מה עבור דיירים בעלי מספר רב של משתמשי Power Platform.

הצגת משאבי יישום המשמשים בסביבה

  1. היכנס אל מרכז הניהול של Power Platform.
  2. בחלונית הניווט, יש לבחור ניהול.
  3. בחלונית ניהול, יש לבחור סביבות.
  4. בדף סביבות , בחר סביבה.
  5. במקטע משאבים , עיין ברשימת האפליקציות הנמצאות בשימוש בסביבה.

תוכן קשור

  • Last updated on