Biztonsági és irányítási megfontolások

  • Cikk

Sok ügyfél gondolkozik ezen: Miként tehetném a Power Platform szolgáltatásokat széles körben elérhetővé a vállalkozásom számára, IT támogatással egybekötve? A válasz az irányításban rejlik. Célja, hogy lehetővé tegye az üzleti csoportok számára az üzleti problémák hatékony megoldására való összpontosítást, miközben megfelelnek az informatikai és üzleti megfelelési szabványoknak. A következő tartalom célja az irányítási szoftverekkel gyakran összefüggő témák felépítése, és az egyes témákhoz rendelkezésre álló képességek tudatosítása, mivel azok a Power Platform cégirányítási szolgáltatásokhoz kapcsolódnak.

Téma Az egyes témákkal kapcsolatos általános kérdések, amelyekre ez a tartalom válaszokat nyújt
Architektúra
  • Mik a Power Apps, a Power Automate és a Microsoft Dataverse alapvető konstrukciói és fogalmai ?

  • Hogyan illenek össze ezek a konstrukciók a tervezés időben és a futásidőben?
Biztonság
  • Melyek a bevált gyakorlatok a biztonsági tervezés szempontjából?

  • Hogyan használhatom ki a meglévő felhasználó- és csoportkezelési megoldásainkat a hozzáférési és biztonsági szerepkörök kezelésére a Power Apps szolgáltatásban?
Riasztás és művelet
  • Hogyan határozhatom meg a cégirányítási modellt a polgári fejlesztők és a felügyelt IT-szolgáltatások között?

  • Hogyan határozhatom meg a központi IT és az adott részleg adminisztrátorai közötti irányítási modellt?

  • Hogyan kell megközelítenem a nem alapértelmezett környezetek támogatását a szervezetemben?
Nyomon követés
  • Hogyan rögzítjük a megfelelési / naplózási adatokat?

  • Hogyan mérhetem a bevezetést és a felhasználást a szervezetemben?

Architektúra

A legjobb, ha megismerkedik a Környezetekkel, mint az első lépéssel a vállalkozásának megfelelő irányítási megoldás felépítéséhez vezető úton. A környezetek a Power Apps, Power Automate és a Dataverse által használt összes erőforrás tárolói. A Környezetek áttekintése jó kezdés, amelyet a Mi az a Dataverse?, A Power Apps-alkalmazások típusai, Microsoft Power Automate, Összekötők és a Helyszíni átjárók követhetnek.

Biztonság

Ez a szakasz azokat a mechanizmusokat ismerteti, amelyek szabályozzák, hogy ki férhet hozzá egy környezetben, és ki férhet hozzá Power Apps az adatokhoz: licencek, környezetek, környezeti szerepkörök, azonosító, adatveszteség-megelőzési szabályzatok és rendszergazdai összekötők, Microsoft Entra amelyek használhatók Power Automate.

Licencelés

A hozzáférés a Power Apps és a Power Automate szolgáltatásokhoz az azzal kezdődik, hogy licenccel rendelkezik. A felhasználó által elérhető eszközöket és adatokat a licenc típusa határozza meg. Az alábbi táblázat felvázolja a felhasználó számára elérhető erőforrások különbségeit a csomagjuk alapján, magas szinttől indulva. A granuláris licenc részletek megtalálhatók a Licenc áttekintés szakaszban.

Terv Leírás
Microsoft 365 belefoglalva Ez lehetővé teszi a felhasználók számára a már meglévő SharePoint és egyéb Office-eszközök kibővítését.
Dynamics 365 belefoglalva Ez lehetővé teszi, hogy a felhasználók testre szabják és kibővítsék az ügyfélkapcsolati alkalmazásokat (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing és Dynamics 365 Project Service Automation), amelyekkel már rendelkeznek.
Power Apps csomag Ez lehetővé teszi a következőket:
  • a vállalati csatlakozók és a Dataverse hozzáférhetővé tétele.
  • a felhasználók robosztus üzleti logikát kell alkalmazhatnak az egyes az alkalmazástípusokhoz és az adminisztrációs képességekhez.
Power Apps Community Ez lehetővé teszi a felhasználó számára a Power Apps, Power Automate, Dataverse és ügyfél-csatlakozók használatát egyetlen helyen. Nem lehet megosztani az alkalmazásokat.
Power Automate ingyenes Ez lehetővé teszi, hogy a felhasználók korlátlan folyamatokat hozzanak létre, és 750 futtatást végezzenek.
Power Automate csomag Lásd a Microsoft Power Apps és Microsoft Power Automate licencelési útmutatót.

Környezetek

Miután a felhasználóknak vannak licenceik, a környezetek tárolként szolgálnak a Power Apps, Power Automate és a Dataverse által használt erőforrásokhoz. A környezetek felhasználhatók különböző célközönségekhez és/vagy különböző célokra, például fejlesztésre, tesztelésre és gyártásra. További információkat a Környezetek áttekintése szakaszban találhat.

Az adatok és a hálózat biztosítása

  • A Power Apps és Power Automate nem biztosítanak elérést a felhasználóknak azon adateszközökhöz, amelyekhez még nincs elérésük. A felhasználóknak csak olyan adatokhoz érdemes elérést biztosítani, amelyeket valóban el kell érniük.
  • A hálózati hozzáférés-vezérlési házirendek a Power Apps és a Power Automate esetében is alkalmazhatók. Környezeti szempontból a hálózaton belül blokkolható az adott webhelyhez való hozzáférés azáltal, hogy blokkoljuk a bejelentkezési oldalt, így megakadályozva a Power Apps és Power Automate részéről a webhelyre mutató kapcsolatok létrehozását.
  • Egy környezetben a hozzáférés három szinttel szabályozható: Környezeti szerepkörök, Erőforrás-jogosultságok a Power Apps-hez, Power Automate-hez stb. és Dataverse biztonsági szerepkörök (ha a Dataverse adatok telepítve vannak).
  • Amikor a Dataverse szolgáltatást létrehozzák egy környezetben, a Dataverse szerepkörök veszik át a környezet biztonságának vezérlését (és a környezet összes rendszergazdája és készítője áttelepítésre kerül).

Az egyes szerepköröknél a következő tagok támogatottak.

Környezet típusa Beosztás Fő típus (Microsoft Entra ID)
Dataverse nélküli környezet Környezeti szerepkör Felhasználó, csoport, bérlő
Erőforrás-engedély: Vászonalkalmazás Felhasználó, csoport, bérlő
Erőforrás-engedély: Power Automate, Egyedi összekötő, Átjárók, Kapcsolatok1 Felhasználó, csoport
Környezet Dataverse szolgáltatással Környezeti szerepkör User
Erőforrás-engedély: Vászonalkalmazás Felhasználó, csoport, bérlő
Erőforrás-engedély: Power Automate, Egyedi összekötő, Átjárók, Kapcsolatok1 Felhasználó, csoport
Dataverse szerepkör (minden modellvezérelt alkalmazásra és összetevőre vonatkozik) User

1Csak bizonyos kapcsolatok (például SQL) oszthatók meg.

Feljegyzés

  • Az Alapértelmezett környezetben a bérlők minden felhasználója hozzáférést kap a Környezetkészítő szerepkörhöz.
  • Microsoft Entra bérlő A globális rendszergazdák rendszergazdai hozzáféréssel rendelkeznek minden környezethez.

GYIK – Milyen engedélyek léteznek Microsoft Entra bérlői szinten?

A Microsoft Power Platform rendszergazdák jelenleg a következő lehetőségeket közül választhatják:

  1. A Power Apps és Power Automate licencjelentés letöltése
  2. DLP-házirend létrehozása, csak az „Összes környezetre” kiterjedő, vagy adott környezeteket magába foglaló/kizáró hatókörrel
  3. Licencek kezelése és kiosztása az Office felügyeleti központban
  4. Az összes környezet, alkalmazás és folyamatvezérlés-funkció elérése a bérlő minden környezetéhez a következő módon érhető el:
    • Power Apps rendszergazda PowerShell-parancsmagok
    • Power Apps kezelési csatlakozók
  5. Hozzáférés a Power Apps és a Power Automate a bérlőn található összes környezethez tartozó rendszergazdai elemzésekhez

Fontolja meg a Microsoft Intune alkalmazást

A Microsoft Intune ügyfelei mobilalkalmazás-védelmi szabályzatokat állíthatnak be mind az alkalmazásokhoz, mind Power Apps az alkalmazásokhoz Power Automate Android . iOS Ez az áttekintés betekintést nyújt házirend beállításához az Intune-on keresztül a Power Automate szolgáltatáshoz.

Fontolja meg a helyfüggő feltételes hozzáférést

A P1 vagy P2 azonosítóval rendelkező Microsoft Entra ügyfelek esetében feltételes hozzáférési szabályzatok határozhatók meg az Azure-ban a Power Apps és Power Automate. Ez lehetővé teszi a hozzáférés megadását vagy blokkolását: felhasználó/csoport, eszköz, hely alapján.

Feltételes hozzáférési házirend létrehozása

  1. Jelentkezzen be a https://portal.azure.com rendszerbe.
  2. Válassza a Feltételes hozzáférés lehetőséget.
  3. Válassza a + Új házirend lehetőséget
  4. Jelölje ki a kijelölt felhasználókat és csoportok lehetőséget.
  5. Válassza az Összes felhőalkalmazás>Összes felhőalkalmazás>Common Data Service lehetőséget az ügyfél-aktivitási alkalmazások hozzáférésének szabályozásához.
  6. Feltételek alkalmazása (felhasználói kockázat, készülékplatformok, helyek).
  7. Válassza a Létrehozás parancsot.

Adatvesztés megakadályozása adatvesztés-megelőzési házirendekkel

Az adatvesztés-megelőzési irányelvek (DLP) olyan szabályokat hajtanak végre, amelyek együttesen használhatók az összekötők osztályozásakor: Csak üzleti adatok vagy Nincsenek engedélyezett üzleti adatok. Egyszerűen, ha egy összekötőt csak az üzleti adatok csoportjába tesz, akkor csak ugyanazon alkalmazás más csoportjainak összekötőivel lehet felhasználni. A Power Platform rendszergazdák olyan házirendeket is meghatározhatnak, amelyek minden környezetre vonatkoznak.

GYIK

K.: Szabályozható a bérlői szinten, hogy egyáltalán melyik csatlakozó használható, például a Dropbox vagy a Twitter nem, de a SharePoint igen?

A: Ez a csatlakozóosztályozás képességeinek kihasználásával és a Letiltott osztályozót egy vagy több olyan csatlakozóhoz társításával lehetséges, amelyet le szeretne tiltani a használata előtt. Ne feledje, hogy vannak olyan csatlakozók, amelyek nem tilthatóak le.

K: Mit lehet tudni az összekötők megosztásáról a felhasználók között? A Teams csatlakozója például általános, amely megosztható?

V: Az összekötők minden felhasználó számára elérhetők. A prémium vagy az egyedi összekötők kivételével, amelyekhez vagy további licencre van szükség (prémium összekötők), vagy amelyeket kifejezetten meg kell osztani (egyedi összekötők)

Riasztás és művelet

A felügyeleten kívül sok ügyfél iratkozik fel szoftver létrehozására, használatára vagy állapottal kapcsolatos eseményekre, hogy tudják, mikor kell végrehajtani egy-egy műveletet. Ez a szakasz néhány eszközt vázol fel az események (manuálisan és programozottan) megfigyelésére és az esemény bekövetkeztével kiváltott műveletek végrehajtására.

Építsen Power Automate folyamatokat, hogy riasztást adhasson a legfontosabb ellenőrzési eseményekről

  1. A riasztás például megvalósítható az Microsoft 365 biztonsági és megfelelőségi auditnaplókra való előfizetéssel.
  2. Ez elérhető akár webhookra való feliratkozással, akár lekérdezési megközelítéssel. Azonban a Power Automate ezen riasztásokhoz való hozzácsatolásával a rendszergazdák számára nem csupán e-mailes riasztásokat tudunk nyújtani.

Készítse el a szükséges házirendeket a Power Apps, a Power Automate és a PowerShell segítségével

  1. Ezek a PowerShell parancsmagok teljes ellenőrzést helyeznek a rendszergazdák kezébe, hogy automatizálják a szükséges irányítási irányelveket.
  2. A Felügyeleti csatlakozók ugyanolyan szintű szabályozást biztosítanak, hozzáadott bővíthetőséggel és könnyű használhatósággal, a Power Apps és a Power Automate elérésével.
  3. A rendszergazdai csatlakozók következő Power Automate sablonjai léteznek a gyors felzárkózáshoz.
    1. Új Power Automate csatlakozók listázása
    2. Új Power Apps, Power Automate folyamatok és összekötők listájának beszerzése
    3. E-mailes heti összefoglalót kérek az Office 365 Üzenetközpont értesítéseiről
    4. Hozzáférés az Office 365 biztonsági és megfelelőségi naplóihoz a Power Automate alkalmazásból
  4. A blog és alkalmazás sablon használatával gyorsan felzárkózhat a felügyeleti összekötőkhöz.
  5. Ezenkívül a Közösségi alkalmazások galériájában is érdemes megnézni a megosztott tartalmat, itt egy újabb példa a Power Apps és az adminisztrátorok segítségével létrehozott rendszergazdai tapasztalatokra.

GYIK

Probléma Jelenleg a Microsoft E3-licencekkel rendelkező felhasználók az alapértelmezett környezetben létrehozhatnak alkalmazásokat. Például hogyan engedélyezhetők a Környezetkészítő-jogosultságok egy csoport kiválasztásához. 10 fő az alkalmazások létrehozásához?

Ajánlás A PowerShell parancsmagok és Felügyeleti csatlakozók teljes rugalmasságot és ellenőrzést biztosítanak a rendszergazdák számára a szervezetük irányelveinek elkészítéséhez.

Nyomon követés

Egyértelmű, hogy a nyomon követés, mint a szoftver kezelésének kritikus szempontja, ez a szakasz néhány olyan eszközt mutat be, amellyel betekintést kaphat a Power Apps és a Power Automate fejlesztésébe és használatába.

Auditnapló átnézése

A Power Apps tevékenység-naplózása integráltan működik az Office biztonsági és megfelelőségi központjával a Microsoft-szolgáltatások, például Dataverse és Microsoft 365 átfogó naplózásához. Az Office biztosít egy API-t ezeknek az adatoknak a lekérdezéséhez, amelyet jelenleg sok SIEM-szolgáltató használ a Tevékenység-naplózási adatokról készült jelentéshez.

A Power Apps és a Power Automate-licencről szóló jelentés megtekintése

  1. Lépjen be a Power Platform felügyeleti központba.

  2. Válassza az Elemzések>Power Automate vagy Power Apps lehetőséget.

  3. A Power Apps és a Power Automate felügyeleti elemzésének megtekintése

    A következőkről kérhet le információkat:

    • Aktív felhasználó és alkalmazáshasználat – hány felhasználó, milyen gyakran használja az alkalmazást?
    • Hely – hol történik a felhasználás?
    • Csatlakozók szolgáltatási teljesítménye
    • Hibabejelentés – melyik a leginkább hibára hajlamos alkalmazások
    • Használt folyamatok típus és dátum szerint
    • Létrehozott folyamatok típus és dátum szerint
    • Alkalmazásszintű naplózás
    • A szolgáltatás állapota
    • Használt csatlakozók

A licencelt felhasználók megtekintése

A Microsoft 365 felügyeleti központjában bármikor áttekintheti a felhasználói licenceket, ha a konkrét felhasználókra vonatkozó részletekhez lép.

A hozzárendelt felhasználói licencek exportálásához a következő PowerShell paranccsal is lehetőség van.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Az összes hozzárendelt felhasználói licencet (Power Apps és Power Automate) exportálja a bérlőjébe egy táblázatos nézetű .csv fájlba. Az exportált fájl tartalmazza az önkiszolgáló regisztráció belső próbaverziós csomagjait, valamint az azonosítóból Microsoft Entra származó csomagokat. A belső próbacsomagok nem láthatók a Microsoft 365 felügyeleti központban lévő rendszergazdák számára.

Az exportálás eltarthat egy ideig a nagy számú Power Platform-felhasználóval rendelkező bérlők számára is.

A környezetben használt alkalmazás-erőforrások megtekintése

  1. A Power Platform felügyeleti központban, válassza a Környezetek pontot a navigációs menüben.
  2. Válasszon egy környezetet.
  3. Opcionálisan a környezetben használt erőforrások listája letölthető .csv formátumban.

Kapcsolódó információk

Ajánlott eljárások használata a Power Automate-környezetek biztonságossá tételéhez és irányításához
Microsoft Power Platform kiválósági központ (COE) indulókészlet