Dijeli putem

Razmatranja sigurnosti i upravljanja

  • Članak

Mnogi se klijenti pitaju kako servis Power Platform može biti široko dostupan u njihovu poslovanju uz podršku IT-ja. Upravljanje je odgovor. Cilj mu je omogućiti poslovnim grupama da se usredotoče na učinkovito rješavanje poslovnih problema uz istovremeno poštivanje standarda IT-ja i standarda poslovne usklađenosti. Sljedeći je sadržaj namijenjen strukturiranju tema često povezanih sa upravljačkim softverom i osvještavanju o dostupnim mogućnostima za svaku temu jer se odnosi na upravljanje servisom Power Platform.

Tema Uobičajena pitanja koja se odnose na svaku temu na koja ovaj sadržaj odgovara
Arhitektura
  • Koji su osnovni konstrukti i koncepti Power Apps, Power Automate i Microsoft Dataverse?

  • Kako se ovi konstrukti međusobno uklapaju u vrijeme dizajna i vrijeme izvođenja?
Sigurnost
  • Koje su najbolje prakse u razmatranjima sigurnosnog dizajna?

  • Kako iskoristiti naša postojeća rješenja za upravljanje korisnicima i grupama za upravljanje pristupnim i sigurnosnim ulogama u Power Apps?
Upozorenje i radnja
  • Kako mogu definirati model upravljanja između razvojnih inženjera i upravljanih IT usluga?

  • Kako mogu definirati model upravljanja između središnjeg IT-ja i administratora poslovnih jedinica?

  • Kako bih trebao pristupiti podršci za nezadana okruženja u mojoj tvrtki ili ustanovi?
Nadzor
  • Kako prikupljamo podatke o usklađenosti/reviziji?

  • Kako mogu mjeriti prihvaćanje i korištenje u svojoj tvrtki ili ustanovi?

Arhitektura

Najbolje je upoznati se s okruženjima kao prvim korakom u izgradnji prave priče o upravljanju za vašu tvrtku. Okruženja su spremnici za sve resurse koje koriste Power Apps, Power Automate i Dataverse. Pregled okruženja dobar je početak nakon kojeg trebaju slijediti Što je Dataverse?, Vrste aplikacija Power Apps, Microsoft Power Automate, Poveznici i Lokalni pristupnici.

Sigurnost

Ovaj odjeljak opisuje mehanizme koji postoje za kontrolu tko može pristupiti Power Apps okruženju i pristupiti podacima: licence, okruženja, uloge okruženja, Microsoft Entra ID, pravila za sprječavanje gubitka podataka i administrativni poveznici s kojima se može koristiti Power Automate.

Licenciranje

Pristup platformama Power Apps i Power Automate započinje posjedovanjem licence. Vrsta licence koju korisnik ima određuje sredstva i podatke kojima korisnik može pristupiti. Sljedeća tablica s visoke razine opisuje razlike u resursima dostupnima korisniku na temelju njihove vrste plana. Granularne pojedinosti licenciranja mogu se pronaći u Pregled licenciranja.

Plan Opis
Sustav Microsoft 365 je uključen To korisnicima omogućuje proširenje SharePoint i druge imovine sustava Office koju već imaju.
Sustav Dynamics 365 je uključen To korisnicima omogućuje da prilagode i prošire aplikacije customer engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation), koje već imaju.
Plan za Power Apps Ovo omogućuje:
  • stvaranje poveznika tvrtki i Dataverse dostupan za korištenje.
  • korisnicima da koriste robusnu poslovnu logiku u različitim vrstama aplikacija i mogućnostima administracije.
Power Apps Community To korisniku omogućuje korištenje Power Apps, Power Automate, Dataverse i poveznika klijenata u jednom za pojedinačno korištenje. Ne postoji mogućnost dijeljenja aplikacija.
Besplatan Power Automate To korisnicima omogućuje stvaranje neograničenih tijekova i 750 pokretanja.
Plan Power Automate Pogledajte Vodič za licenciranje za Microsoft Power Apps i Microsoft Power Automate.

Okruženja

Nakon što korisnici nabave licence, okruženja postoje kao spremnici za sve resurse koje koriste Power Apps, Power Automate i Dataverse. Okruženja se mogu koristiti za ciljanje različite publike i/ili za različite svrhe, kao što su razvoj, testiranje i proizvodnja. Dodatne informacije možete pronaći u Pregled okruženja.

Osigurajte svoje podatke i mrežu

  • Power Apps i Power Automate ne pružaju korisnicima pristup bilo kojoj podatkovnoj imovini kojoj već nemaju pristup. Korisnici bi trebali imati pristup samo onim podacima kojima stvarno trebaju pristup.
  • Pravilnici kontrole pristupa mreži mogu se primijeniti i na Power Apps i Power Automate. U okruženju se može blokirati pristup web-mjestu iz mreže blokiranjem stranice za prijavu da se spriječi stvaranje veza s tim web-mjestom u Power Apps i Power Automate.
  • U okruženju se pristup kontrolira na tri razine: Uloge okruženja, Dozvole resursa za Power Apps,Power Automate, itd. i Sigurnosne uoge za Dataverse (ako je osigurana baza podataka Dataverse).
  • Kada se u okruženju stvori Dataverse, uloge Dataverse preuzimaju kontrolu sigurnosti u okruženju (i svi se administratori i proizvođači okruženja premještaju).

Sljedeći su principi podržani za svaku vrstu uloga.

Vrsta okruženja Uloga Glavna vrsta (Microsoft Entra ID)
Okruženje bez usluge Dataverse Uloga okruženja Korisnik, grupa, klijent
Dozvola za resurse: aplikacija radnog područja Korisnik, grupa, klijent
Dozvola za resurse: Power Automate, prilagođeni poveznik, pristupnici, veze1 Korisnik, grupa
Okruženje s uslugom Dataverse Uloga okruženja User
Dozvola za resurse: aplikacija radnog područja Korisnik, grupa, klijent
Dozvola za resurse: Power Automate, prilagođeni poveznik, pristupnici, veze1 Korisnik, grupa
Uloga u usluzi Dataverse (odnosi se na sve aplikacije utemeljene na modelu i komponente) User

1Mogu se dijeliti samo određene veze (poput SQL-a).

Napomena

  • U zadanom okruženju svi korisnici u klijentu imaju pristup ulozi proizvođača okruženja.
  • Microsoft Entra Globalni administratori klijenta imaju administratorski pristup svim okruženjima.

Najčešća pitanja – koje dozvole postoje na razini klijenta Microsoft Entra ?

Danas, administratori za Microsoft Power Platform mogu učiniti sljedeće:

  1. Preuzimanje izvješća o licenci za Power Apps i Power Automate
  2. Stvaranje pravilnika o sprječavanju gubitka podataka s dosegom samo u „Sva okruženja“ ili dosegom za uključivanje/isključivanje specifičnih okruženja
  3. Upravljanje i dodjela licenci putem centra za administratore sustava Office
  4. Pristupite svim mogućnostima upravljanja okruženjem, aplikacijom i tijekom za sva okruženja u klijentu koja su dostupne putem:
    • Power Apps PowerShell cmdleti za administratore
    • Poveznici za upravljanje uslugom Power Apps
  5. Pristupite administratorskoj analitici za Power Apps i Power Automate za sva okruženja u klijentu:

Razmatranja o Microsoft Intune

Korisnici sa sustavom Microsoft Intune mogu postaviti pravila zaštite mobilnih aplikacija i za Power Apps Power Automate aplikacije na Android i iOS. U ovom se vodiču ističe postavljanje pravilnika putem usluge Intune za Power Automate.

Razmatranje o uvjetnom pristupu utemeljenom na lokaciji

Za korisnike s ID-om Microsoft Entra P1 ili P2 pravila uvjetnog pristupa mogu se definirati u servisu Azure za Power Apps i Power Automate. To omogućuje odobrenje ili blokiranje pristupa na temelju: korisnika/grupe, uređaja, lokacije.

Stvaranje pravilnika uvjetnog pristupa

  1. Prijavite se u sustav https://portal.azure.com.
  2. Odaberite Uvjetni pristup.
  3. Odaberite + Novi pravilnik.
  4. Odaberite odabrani korisnici i grupe.
  5. Odaberite Sve aplikacije u oblaku>Sve aplikacije u oblaku>Common Data Service za kontrolu pristupa aplikacijama za angažman klijenata.
  6. Primijenite uvjete (rizik korisnika, platforme uređaja, lokacije).
  7. Kliknite Stvori.

Sprječavanje curenja podataka pravilnikom o sprječavanju gubitka podataka

Pravilnici o sprječavanju gubitka podataka (DLP) primjenjuju pravila o tome koji se poveznici mogu koristiti zajedno klasificiranjem poveznika kao „samo poslovni podaci” ili „poslovni podaci nisu dopušteni”. Da pojednostavimo, ako poveznik stavite u grupu „samo poslovni podaci”, može se koristiti samo s drugim poveznicima iz te grupe u istoj aplikaciji. Administratori sustava Power Platform mogu definirati pravila koja vrijede za sva okruženja.

Najčešća pitanja

P: Mogu li na razini klijenta kontrolirati koji je poveznik uopće dostupan, na primjer Ne za Dropbox ili Twitter, ali Da za SharePoint?

O: To je moguće pomoću mogućnosti klasifikacije poveznika i dodjeljivanja klasifikatora Blokiran na jedan ili više poveznika koje ne želite koristiti. Imajte na umu da postoji skup poveznika koji se ne mogu blokirati.

P: Što je s dijeljenjem poveznika među korisnicima? Na primjer, poveznik za Teams općenito je koji se može dijeliti?

O: Poveznici su dostupni svim korisnicima. Uz iznimku premium ili prilagođenih poveznika za koje je potrebna dodatna licenca (premium poveznici) ili se moraju izričito dijeliti (prilagođeni poveznici).

Upozorenje i radnja

Uz nadzor se mnogi korisnici žele pretplatiti na stvaranje softvera, korištenje ili događaje stanja da bi znali kada izvršiti radnju. U ovom se odjeljku nalazi nekoliko načina promatranja događaja (ručno i programski) i izvršavanja radnji pokrenutih pojavom događaja.

Izgradnja tijekova za Power Automate za upozoravanje na ključne događaje revizije

  1. Primjer upozorenja koji se može implementirati pretplata je na Zapisnike revizije sigurnosti i usklađenosti sustava Microsoft 365.
  2. To se može postići pretplatom na web-dojavnik ili pristupom prozivanja. Međutim, dodavanjem Power Automate na ta upozorenja, administratorima možemo pružiti više od upozorenja putem e-pošte.

Izrada pravilnika koji su vam potrebni za Power Apps, Power Automate i PowerShell

  1. PowerShell cmdleti stavljaju potpunu kontrolu u ruke administratora za automatizaciju potrebnih pravilnika upravljanja.
  2. Poveznici za upravljanje pružaju istu razinu kontrole, ali s dodatnom proširivošću i lakoćom korištenjem Power Apps i Power Automate.
  3. Postoje sljedeći predlošci za Power Automate za poveznike za administraciju za brzo povećavanje:
    1. Popis novih Power Automate poveznika
    2. Dohvatite popis novih tijekova i poveznika za Power Apps, Power Automate
    3. Pošalji mi tjedni sažetak obavijesti centra za poruke sustava Office 365
    4. Pristup zapisnicima o sigurnosti i usklađenosti sustava Office 365 iz Power Automate
  4. Upotrijebite ovaj blog i predložak aplikacije za brzu izradu administracijskih poveznika.
  5. Osim toga, vrijedi provjeriti sadržaj podijeljen u Galeriji aplikacija zajednice, evo još jednog primjera administrativnog doživljaja izrađenog korištenjem Power Apps i administracijskih poveznika.

Najčešće postavljana pitanja

Problem Trenutno svi korisnici s licencama Microsoft E3 mogu stvarati aplikacije u zadanom okruženju. Kako omogućiti prava autora okruženja u odabranoj skupini od, na primjer, 10 osoba za stvaranje aplikacija?

PreporukaPowerShell cmdleti i Poveznici za upravljanje pružaju potpunu fleksibilnost i kontrolu administratorima za izradu pravilnika koje žele u svojoj tvrtki ili ustanovi.

Nadzor

Razumljivo je da je nadzor kao kritični aspekt upravljanja softverom na skali, ovaj odjeljak ističe nekoliko načina za uvid u razvoj i korištenje Power Apps i Power Automate.

Pregled šifre revizije

Zapisnik o aktivnosti za Power Apps integriran je s centrom za sigurnost i usklađivanje sustava Office za sveobuhvatnu evidenciju putem Microsoftovih usluga poput Dataverse i Microsoft 365. Office pruža API za ispitivanje ovih podataka koji mnogi dobavljači SIEM-a trenutačno koriste za podatke zapisnika aktivnosti za izvještavanje.

Pogledajte izvješće o licenci Power Apps i Power Automate

  1. Idite u Power Platform centar za administratore.

  2. Odaberite Analitika>Power Automate ili Power Apps.

  3. Pregled administrativne analitike za Power Apps i Power Automate

    Možete dobiti podatke o sljedećem:

    • Aktivni korisnik i korištenje aplikacije - koliko korisnika koristi aplikaciju i koliko često?
    • Lokacija – gdje je korištenje?
    • Performanse usluge poveznika
    • Izvještavanje o pogreškama – koje su aplikacije najviše podložne pogreškama
    • Tijekovi koji se koriste prema vrsti i datumu
    • Stvoreni tijekovi prema vrsti i datumu
    • Revizija na razini aplikacije
    • Stanje usluge
    • Korišteni poveznici

Prikaz koji korisnici imaju licencu

U centru za administratore sustava Microsoft 365 uvijek možete provjeriti licence za pojedinačne korisnike pretraživanjem određenih korisnika.

Sljedeću naredbu PowerShell možete koristiti i za izvoz dodijeljenih korisničkih licenci.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Izvoz svih dodijeljenih korisničkih licenci (Power Apps i Power Automate) u vašem klijentu u .csv datoteku s tabličnim prikazom. Izvezena datoteka sadrži interne probne planove samoposlužne prijave, kao i planove koji potječu iz Microsoft Entra ID-a. Interni probni planovi nisu vidljivi administratorima u centru za administratore sustava Microsoft 365.

Izvoz može potrajati nekoliko trenutaka za klijente s velikim brojem korisnika platforme Power Platform.

Pregled resursa aplikacija koji se koriste u okruženju

  1. U centru za administratore za Power Platform odaberite okruženja u navigacijskom izborniku.
  2. Odaberite okruženje.
  3. Neobavezno popis resursa koji se koriste u okruženju može se preuzeti u obliku datoteke .csv.

Pogledajte također

Korištenje najboljih praksi za osiguravanje i upravljanje Power Automate okruženjima
Microsoft Power Platform Početni komplet Centra izvrsnosti (CoE)