Megosztás a következőn keresztül:

Biztonsági és irányítási megfontolások

  • Cikk

Sok ügyfél gondolkozik ezen: Miként tehetném a Power Platform szolgáltatásokat széles körben elérhetővé a vállalkozásom számára, IT támogatással egybekötve? A válasz az irányításban rejlik. Célja, hogy lehetővé tegye az üzleti csoportok számára az üzleti problémák hatékony megoldására való összpontosítást, miközben megfelelnek az informatikai és üzleti megfelelési szabványoknak. A következő tartalom célja az irányítási szoftverekkel gyakran összefüggő témák felépítése, és az egyes témákhoz rendelkezésre álló képességek tudatosítása, mivel azok a Power Platform cégirányítási szolgáltatásokhoz kapcsolódnak.

Téma Az egyes témákkal kapcsolatos általános kérdések, amelyekre ez a tartalom válaszokat nyújt
Architektúra
  • Mik a Power Apps, a Power Automate és a Microsoft Dataverse alapvető konstrukciói és fogalmai ?

  • Hogyan illenek össze ezek a konstrukciók a tervezés időben és a futásidőben?
Biztonság
  • Melyek a bevált gyakorlatok a biztonsági tervezés szempontjából?

  • Hogyan használhatom meglévő felhasználó- és csoportkezelési megoldásainkat a hozzáférési és biztonsági szerepkörök kezelésére Power Apps?
Riasztás és művelet
  • Hogyan határozhatom meg a cégirányítási modellt a polgári fejlesztők és a felügyelt IT-szolgáltatások között?

  • Hogyan határozhatom meg a központi IT és az adott részleg adminisztrátorai közötti irányítási modellt?

  • Hogyan kell megközelítenem a nem alapértelmezett környezetek támogatását a szervezetemben?
Nyomon követés
  • Hogyan rögzítjük a megfelelési / naplózási adatokat?

  • Hogyan mérhetem a bevezetést és a felhasználást a szervezetemben?

Architektúra

A legjobb, ha megismerkedik a Környezetekkel, mint az első lépéssel a vállalkozásának megfelelő irányítási megoldás felépítéséhez vezető úton. A környezetek a Power Apps, Power Automate és a Dataverse által használt összes erőforrás tárolói. A Környezetek áttekintése jó alapozó, amelyet a Mi az Dataverse?, Típusok Power Apps, Microsoft Power Automate,Összekötők és helyszíni átjárók követ.

Biztonság

Ez a szakasz azokat a mechanizmusokat ismerteti, amelyek szabályozzák, hogy ki férhet hozzá Power Apps egy környezetben, és ki férhet hozzá az adatokhoz: licencek, környezetek, környezeti szerepkörök, Microsoft Entra azonosító, adatveszteség-megelőzési szabályzatok és rendszergazdai összekötők Power Automate, amelyek használhatók.

Licencelés

A hozzáférés a Power Apps és a Power Automate szolgáltatásokhoz az azzal kezdődik, hogy licenccel rendelkezik. A felhasználó által elérhető eszközöket és adatokat a licenc típusa határozza meg. Az alábbi táblázat felvázolja a felhasználó számára elérhető erőforrások különbségeit a csomagjuk alapján, magas szinttől indulva. A granuláris licenc részletek megtalálhatók a Licenc áttekintés szakaszban.

Terv Leírás
Microsoft 365 belefoglalva Ez lehetővé teszi a felhasználók számára a már meglévő SharePoint és egyéb Office-eszközök kibővítését.
Dynamics 365 belefoglalva Ez lehetővé teszi, hogy a felhasználók testre szabják és kibővítsék az ügyfélkapcsolati alkalmazásokat (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing és Dynamics 365 Project Service Automation), amelyekkel már rendelkeznek.
Power Apps csomag Ez lehetővé teszi a következőket:
  • a vállalati csatlakozók és a Dataverse hozzáférhetővé tétele.
  • a felhasználók robosztus üzleti logikát kell alkalmazhatnak az egyes az alkalmazástípusokhoz és az adminisztrációs képességekhez.
Power Apps Community Ez lehetővé teszi a felhasználó számára, hogy a, Power Apps, Power Automate, és egyéni összekötőket egyetlen egyéni használatra használja Dataverse. Nem lehet megosztani az alkalmazásokat.
Power Automate ingyenes Ez lehetővé teszi, hogy a felhasználók korlátlan folyamatokat hozzanak létre, és 750 futtatást végezzenek.
Power Automate csomag Lásd a Microsoft Power Apps és Microsoft Power Automate licencelési útmutatót.

Környezetek

Miután a felhasználóknak vannak licenceik, a környezetek tárolként szolgálnak a Power Apps, Power Automate és a Dataverse által használt erőforrásokhoz. A környezetek különböző közönségek megcélzására és/vagy különböző célokra, például fejlesztésre, tesztelésre és éles környezetbe használhatók. További információkat a Környezetek áttekintése szakaszban találhat.

Az adatok és a hálózat biztosítása

  • Power Apps és Power Automate ne biztosítson hozzáférést a felhasználóknak olyan adategységekhez, amelyekhez még nem férnek hozzá. A felhasználóknak csak olyan adatokhoz érdemes elérést biztosítani, amelyeket valóban el kell érniük.
  • A hálózati hozzáférés-vezérlési házirendek a Power Apps és a Power Automate esetében is alkalmazhatók. Környezeti szempontból a hálózaton belül blokkolható az adott webhelyhez való hozzáférés azáltal, hogy blokkoljuk a bejelentkezési oldalt, így megakadályozva a Power Apps és Power Automate részéről a webhelyre mutató kapcsolatok létrehozását.
  • Egy környezetben a hozzáférés három szinttel szabályozható: Környezeti szerepkörök, Erőforrás-jogosultságok a Power Apps-hez, Power Automate-hez stb. és Dataverse biztonsági szerepkörök (ha a Dataverse adatok telepítve vannak).
  • Amikor Dataverse létrejön egy környezetben, a Dataverse szerepkörök átveszik a környezet biztonságának szabályozását (és az összes környezeti rendszergazda és készítő áttelepül).

Az egyes szerepköröknél a következő tagok támogatottak.

Környezet típusa Beosztás Fő típus (Microsoft Entra ID)
Dataverse nélküli környezet Környezeti szerepkör Felhasználó, csoport, bérlő
Erőforrás-engedély: Vászonalkalmazás Felhasználó, csoport, bérlő
Erőforrás-engedély: Power Automate, Egyedi összekötő, Átjárók, Kapcsolatok1 Felhasználó, csoport
Környezet Dataverse szolgáltatással Környezeti szerepkör User
Erőforrás-engedély: Vászonalkalmazás Felhasználó, csoport, bérlő
Erőforrás-engedély: Power Automate, Egyedi összekötő, Átjárók, Kapcsolatok1 Felhasználó, csoport
Dataverse szerepkör (minden modellvezérelt alkalmazásra és összetevőre vonatkozik) User

1Csak bizonyos kapcsolatok (például SQL) oszthatók meg.

Feljegyzés

  • Az Alapértelmezett környezetben a bérlők minden felhasználója hozzáférést kap a Környezetkészítő szerepkörhöz.
  • A Power Platform rendszergazdai szerepkörrel rendelkező felhasználók rendszergazdai hozzáféréssel rendelkeznek az összes környezethez.

GYIK – Milyen engedélyek léteznek Microsoft Entra bérlői szinten?

A Microsoft Power Platform rendszergazdák jelenleg a következő lehetőségeket közül választhatják:

  1. A Power Apps és Power Automate licencjelentés letöltése
  2. DLP-házirend létrehozása, csak az „Összes környezetre” kiterjedő, vagy adott környezeteket magába foglaló/kizáró hatókörrel
  3. Licencek kezelése és kiosztása az Office felügyeleti központban
  4. Az összes környezet, alkalmazás és folyamatvezérlés-funkció elérése a bérlő minden környezetéhez a következő módon érhető el:
    • Power Apps rendszergazda PowerShell-parancsmagok
    • Power Apps kezelési csatlakozók
  5. Hozzáférés a Power Apps és a Power Automate a bérlőn található összes környezethez tartozó rendszergazdai elemzésekhez

Fontolja meg az Intune-t Microsoft

Az Intune-nal rendelkező Microsoft ügyfelek mobilalkalmazás-védelmi szabályzatokat állíthatnak be mind az alkalmazásokhoz, mind Power Apps Power Automate az és-hez Android iOS. Ez az áttekintés betekintést nyújt házirend beállításához az Intune-on keresztül a Power Automate szolgáltatáshoz.

Fontolja meg a helyfüggő feltételes hozzáférést

A P1 vagy P2 azonosítóval rendelkező Microsoft Entra ügyfelek esetében feltételes hozzáférési szabályzatok határozhatók meg az Azure-ban a Power Apps és Power Automate. Ez lehetővé teszi a hozzáférés megadását vagy blokkolását: felhasználó/csoport, eszköz, hely alapján.

Feltételes hozzáférési házirend létrehozása

  1. Jelentkezzen be a https://portal.azure.com rendszerbe.
  2. Válassza a Feltételes hozzáférés lehetőséget.
  3. Válassza a + Új házirend lehetőséget
  4. Válassza ki a kiválasztott felhasználókat és csoportokat.
  5. Válassza az Összes felhőalkalmazás>Összes felhőalkalmazás>Common Data Service lehetőséget az ügyfél-aktivitási alkalmazások hozzáférésének szabályozásához.
  6. Feltételek alkalmazása (felhasználói kockázat, készülékplatformok, helyek).
  7. Válassza a Létrehozás parancsot.

Adatvesztés megakadályozása adatvesztés-megelőzési házirendekkel

Adatveszteség-megelőzési házirendek (DLP)olyan szabályokat kényszerítenek ki, amelyekhez az összekötők együtt használhatók, ha az összekötőket csak üzleti adatként vagy üzleti adatok nélkül osztályozzák. Egyszerűen, ha egy összekötőt csak az üzleti adatok csoportjába tesz, akkor csak ugyanazon alkalmazás más csoportjainak összekötőivel lehet felhasználni. A Power Platform rendszergazdák olyan házirendeket is meghatározhatnak, amelyek minden környezetre vonatkoznak.

GYIK

K.: Szabályozható a bérlői szinten, hogy egyáltalán melyik csatlakozó használható, például a Dropbox vagy a Twitter nem, de a SharePoint igen?

A: Ez a csatlakozóosztályozás képességeinek kihasználásával és a Letiltott osztályozót egy vagy több olyan csatlakozóhoz társításával lehetséges, amelyet le szeretne tiltani a használata előtt. Ne feledje, hogy vannak olyan csatlakozók, amelyek nem tilthatóak le.

K: Mit lehet tudni az összekötők megosztásáról a felhasználók között? A Teams csatlakozója például általános, amely megosztható?

A: Az összekötők minden felhasználó számára elérhetők, kivéve a prémium vagy egyéni összekötőket, amelyekhez másik licencre van szükség (prémium összekötők), vagy explicit módon meg kell osztani őket (egyéni összekötők)

Riasztás és művelet

A figyelés mellett számos ügyfél szeretne feliratkozni a szoftverek létrehozására, használatára vagy állapoteseményeire, hogy tudják, mikor kell végrehajtaniuk egy műveletet. Ez a szakasz néhány eszközt vázol fel az események (manuálisan és programozottan) megfigyelésére és az esemény bekövetkeztével kiváltott műveletek végrehajtására.

Építsen Power Automate folyamatokat, hogy riasztást adhasson a legfontosabb ellenőrzési eseményekről

  1. A riasztás például megvalósítható az Microsoft 365 biztonsági és megfelelőségi auditnaplókra való előfizetéssel.
  2. Ez elérhető akár webhookra való feliratkozással, akár lekérdezési megközelítéssel. Azonban a Power Automate ezen riasztásokhoz való hozzácsatolásával a rendszergazdák számára nem csupán e-mailes riasztásokat tudunk nyújtani.

Készítse el a szükséges házirendeket a Power Apps, a Power Automate és a PowerShell segítségével

  1. Ezek a PowerShell parancsmagok teljes ellenőrzést helyeznek a rendszergazdák kezébe, hogy automatizálják a szükséges irányítási irányelveket.
  2. A felügyeleti összekötők ugyanolyan szintű vezérlést biztosítanak, de további bővíthetőséggel és egyszerű használattal az és használatával Power Apps Power Automate.
  3. A rendszergazdai csatlakozók következő Power Automate sablonjai léteznek a gyors felzárkózáshoz.
    1. Új Power Automate összekötők listázása
    2. Az új Power Apps, Power Automate folyamatok és összekötők listájának lekérése
    3. Küldjön e-mailben egy heti összefoglalót a következőkről Office 365 Üzenetközpont értesítések
    4. Biztonsági és megfelelőségi naplók elérése Office 365 innen: Power Automate
  4. A blog és alkalmazás sablon használatával gyorsan felzárkózhat a felügyeleti összekötőkhöz.
  5. Ezenkívül a Közösségi alkalmazások galériájában is érdemes megnézni a megosztott tartalmat, itt egy újabb példa a Power Apps és az adminisztrátorok segítségével létrehozott rendszergazdai tapasztalatokra.

GYIK

Probléma Jelenleg minden E3 licenccel rendelkező Microsoft felhasználó létrehozhat alkalmazásokat az alapértelmezett környezetben. Például hogyan engedélyezhetők a Környezetkészítő-jogosultságok egy csoport kiválasztásához. Tíz ember készít alkalmazásokat?

Javaslat: A PowerShell-parancsmagok és a felügyeleti összekötők teljes rugalmasságot és vezérlést biztosítanak a rendszergazdák számára a szervezetük számára kívánt szabályzatok létrehozásához.

Nyomon követés

Köztudott, hogy a monitorozás kritikus szempont a szoftverek nagy léptékű kezeléséhez. Ez a szakasz kiemel néhány eszközt, amellyel betekintést nyerhet a fejlesztésbe és a Power Apps Power Automate használatba.

Auditnapló átnézése

A tevékenységnaplózása Power Apps integrálva van az Office Biztonsági és megfelelőségi központtal az olyan szolgáltatások átfogó naplózásához Microsoft , mint az Dataverse és Microsoft 365. Az Office biztosít egy API-t ezeknek az adatoknak a lekérdezéséhez, amelyet jelenleg sok SIEM-szolgáltató használ a Tevékenység-naplózási adatokról készült jelentéshez.

A Power Apps és a Power Automate-licencről szóló jelentés megtekintése

  1. Lépjen be a Power Platform felügyeleti központba.

  2. Válassza az Elemzések>Power Automate vagy Power Apps lehetőséget.

  3. A Power Apps és a Power Automate felügyeleti elemzésének megtekintése

    A következőkről kérhet le információkat:

    • Aktív felhasználó és alkalmazáshasználat – hány felhasználó, milyen gyakran használja az alkalmazást?
    • Hely – hol történik a felhasználás?
    • Csatlakozók szolgáltatási teljesítménye
    • Hibabejelentés – melyik a leginkább hibára hajlamos alkalmazások
    • Használt folyamatok típus és dátum szerint
    • Létrehozott folyamatok típus és dátum szerint
    • Alkalmazásszintű naplózás
    • A szolgáltatás állapota
    • Használt csatlakozók

A licencelt felhasználók megtekintése

A Microsoft 365 felügyeleti központjában bármikor áttekintheti a felhasználói licenceket, ha a konkrét felhasználókra vonatkozó részletekhez lép.

A hozzárendelt felhasználói licencek exportálásához a következő PowerShell paranccsal is lehetőség van.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Az összes hozzárendelt felhasználói licencet (Power Apps és Power Automate) exportálja a bérlőjébe egy táblázatos nézetű .csv fájlba. Az exportált fájl tartalmazza az önkiszolgáló regisztráció belső próbaverziós csomagjait és az azonosítóból Microsoft Entra származó csomagokat is. A belső próbacsomagok a rendszergazdák számára nem láthatók a Microsoft 365 felügyeleti központjában.

Az exportálás eltarthat egy ideig a nagy számú Power Platform-felhasználóval rendelkező bérlők számára is.

A környezetben használt alkalmazás-erőforrások megtekintése

  1. A Power Platform felügyeleti központban, válassza a Környezetek pontot a navigációs menüben.
  2. Válasszon egy környezetet.
  3. A környezetben használt erőforrások listája .csv is letölthető.

Kapcsolódó információk

Ajánlott eljárások használata a környezetek biztonságossá tételéhez és szabályozásához Power Automate
Microsoft Power Platform Kiválósági Központ (CoE) kezdőkészlet