Bagikan melalui

Pertimbangan keamanan dan tata kelola

  • Artikel

Banyak pelanggan ingin tahu Bagaimana Power Platform disediakan secara lebih luas untuk bisnisnya dan didukung oleh IT? Tata kelola adalah jawabannya. Hal ini bertujuan agar grup bisnis dapat fokus untuk menyelesaikan masalah bisnis secara efisien sekaligus mematuhi TI dan standar kepatuhan bisnis. Konten berikut ditujukan untuk tema struktur yang sering dikaitkan dengan perangkat lunak yang mengatur dan menghadirkan kesadaran terhadap kemampuan yang tersedia untuk setiap tema yang terkait dengan mengatur Power Platform.

Tema Pertanyaan umum yang terkait dengan setiap tema yang dijawab konten ini
Arsitektur
  • Apa yang dimaksud dengan konstruksi dasar dan konsep Power Apps, Power Automate, dan Microsoft Dataverse?

  • Bagaimana konstruk ini cocok bersama-sama pada waktu desain dan Runtime?
Keamanan
  • Apa Praktik terbaik untuk pertimbangan desain keamanan?

  • Bagaimana cara memanfaatkan solusi manajemen pengguna dan grup kami yang ada untuk mengelola peran akses dan keamanan di Power Apps?
Tindakan dan peringatan
  • Bagaimana cara menentukan model tata kelola antara pengembang warga dengan layanan TI terkelola?

  • Bagaimana cara menentukan model tata kelola antara IT pusat dan admin unit bisnis?

  • Bagaimana pendekatan dukungan untuk lingkungan non-default di organisasi saya?
Pantau
  • Bagaimana kami menangkap data kepatuhan/audit?

  • Bagaimana cara mengukur penerapan dan penggunaan dalam organisasi saya?

Arsitektur

Cara terbaik adalah membiasakan diri dengan lingkungan sebagai langkah pertama untuk membangun alur tata kelola yang tepat untuk perusahaan Anda. Lingkungan adalah wadah untuk semua sumber daya yang digunakan oleh Power Apps, Power Automate, dan Dataverse. Ikhtisar Lingkungan adalah dasar yang baik yang harus diikuti oleh Apa itu Dataverse?, Jenis Power Apps, Microsoft Power Automate, Konektor, dan Gateway lokal.

Keamanan

Bagian ini menguraikan mekanisme yang ada untuk mengontrol siapa yang dapat mengakses di lingkungan dan mengakses Power Apps data: lisensi, lingkungan, peran lingkungan, Microsoft Entra ID, kebijakan Pencegahan Kehilangan Data, dan konektor admin yang dapat digunakan Power Automate.

Lisensi

Akses ke Power Apps dan Power Automate mulai dengan memiliki lisensi. Jenis lisensi yang dimiliki pengguna menentukan aset dan data yang dapat diakses pengguna. Tabel berikut menguraikan perbedaan sumber daya yang tersedia bagi pengguna berdasarkan jenis rencana mereka, dari tingkat tinggi. Rincian lisensi mendetail dapat ditemukan di Ikhtisar lisensi.

Rencana Keterangan
Microsoft 365 termasuk Hal ini memungkinkan pengguna untuk memperluas SharePoint dan aset Office lainnya yang telah mereka miliki.
Dynamics 365 disertakan Hal ini memungkinkan pengguna menyesuaikan dan memperluas aplikasi keterlibatan pelanggan (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, dan Dynamics 365 Project Service Automation), yang telah mereka miliki.
Paket Power Apps Hal ini memungkinkan:
  • Membuat konektor perusahaan dan Dataverse yang dapat diakses untuk digunakan.
  • Pengguna menggunakan logika bisnis kuat di seluruh jenis aplikasi dan kemampuan administrasi.
Komunitas Power Apps Hal ini memungkinkan pengguna untuk menggunakan Power Apps, Power Automate, Dataverse, dan konektor pelanggan dalam satu penggunaan individual. Tidak ada kemampuan untuk berbagi aplikasi.
Power Automate Gratis Pilihan ini memungkinkan pengguna membuat alur tak terbatas dan melakukan 750 penjalanan.
Paket Power Automate Lihat Panduan Pelisensian Microsoft Power Apps dan Microsoft Power Automate.

Lingkungan

Setelah pengguna memiliki lisensi, lingkungan ada sebagai wadah untuk semua sumber daya yang digunakan oleh Power Apps, Power Automate, dan Dataverse. Lingkungan dapat digunakan untuk menargetkan audiens yang berbeda dan/atau untuk tujuan yang berbeda seperti pengembangan, pengujian, dan produksi. Informasi lebih lanjut dapat ditemukan di Ikhtisar lingkungan.

Mengamankan data dan jaringan

  • Power Apps dan Power Automate tidak memberikan akses ke aset data apa pun yang belum dapat diakses pengguna. Pengguna hanya boleh memiliki akses ke data yang benar-benar diperlukan aksesnya.
  • Kebijakan kontrol akses jaringan juga dapat berlaku untuk Power Apps dan Power Automate. Untuk lingkungan, kita dapat memblokir akses ke situs dari dalam jaringan dengan memblokir halaman masuk untuk mencegah sambungan ke situs tersebut dibuat di Power Apps dan Power Automate.
  • Di lingkungan, akses dikontrol pada tiga tingkat: Peran lingkungan, izin Sumber Daya untuk Power Apps, Power Automate, dll. dan peran keamanan Dataverse (jika basis data Dataverse ditetapkan).
  • Bila Dataverse dibuat di lingkungan, peran Dataverse akan mengambil alih untuk mengontrol keamanan di lingkungan (dan semua admin dan pembuat lingkungan dimigrasi).

Prinsip berikut didukung untuk setiap jenis peran.

Jenis lingkungan Peran Jenis Utama (Microsoft Entra ID)
Lingkungan tanpa Dataverse Peran Lingkungan Pengguna, grup, penyewa
Izin sumber daya: aplikasi Canvas Pengguna, grup, penyewa
Izin sumber daya: Power Automate, konektor kustom, Gateway, koneksi1 Pengguna, grup
Lingkungan dengan Dataverse Peran Lingkungan User
Izin sumber daya: aplikasi Canvas Pengguna, grup, penyewa
Izin sumber daya: Power Automate, konektor kustom, Gateway, koneksi1 Pengguna, grup
Peran Dataverse (berlaku untuk semua aplikasi dan komponen berbasis model) User

1hanya sambungan tertentu (seperti SQL) dapat dibagi.

Catatan

  • Di lingkungan default, semua pengguna dalam penyewa diberi akses ke peran pembuat lingkungan.
  • Microsoft Entra Administrator Global penyewa memiliki akses admin ke semua lingkungan.

FAQ - Izin apa yang Microsoft Entra ada di tingkat penyewa?

Hari ini, admin Microsoft Power Platform dapat melakukan langkah berikut:

  1. Unduh laporan lisensi Power Apps & Power Automate
  2. Buat kebijakan DLP dengan lingkup hanya untuk 'semua lingkungan' atau dengan lingkup untuk mencakup/mengecualikan lingkungan tertentu
  3. Mengelola dan menetapkan lisensi melalui Pusat admin Office
  4. Akses semua kemampuan manajemen lingkungan, aplikasi, dan alur untuk semua lingkungan dalam penyewa yang tersedia melalui:
    • Power Apps Admin PowerShell cmdlets
    • konektor manajemen Power Apps
  5. Akses analitik admin Power Apps dan Power Automate untuk semua lingkungan dalam penyewa:

Pertimbangkan Microsoft Intune

Pelanggan dengan Microsoft Intune dapat mengatur kebijakan perlindungan aplikasi seluler untuk keduanya Power Apps dan aplikasi di Power Automate dan Android iOS. Langkah-langkah ini menyoroti pengaturan kebijakan melalui Intune untuk Power Automate.

Pertimbangkan akses bersyarat berdasarkan lokasi

Untuk pelanggan dengan Microsoft Entra ID P1 atau P2, kebijakan akses bersyarat dapat ditentukan di Azure untuk Power Apps dan Power Automate. Hal ini memungkinkan pemberian atau memblokir akses berdasarkan: pengguna/grup, perangkat, lokasi.

Membuat kebijakan akses bersyarat

  1. Masuk ke https://portal.azure.com.
  2. Pilih Akses Bersyarat.
  3. Pilih + kebijakan baru.
  4. Pilihpengguna dan grup yang dipilih.
  5. Pilih Semua aplikasi cloud>Semua aplikasi cloud>Common Data Service untuk mengontrol akses ke aplikasi keterlibatan pelanggan.
  6. Terapkan kondisi (risiko pengguna, platform perangkat, lokasi).
  7. Pilih Buat.

Cegah kebocoran data dengan kebijakan mencegah kehilangan data

Kebijakan pencegahan kehilangan data (DLP) menerapkan aturan untuk konektor yang dapat digunakan bersama dengan mengklasifikasikan konektor baik data bisnis maupun tidak ada data bisnis yang diizinkan. Sederhananya, jika Anda memasukkan konektor dalam grup hanya data bisnis, maka hanya dapat digunakan dengan konektor lain dari grup tersebut di aplikasi yang sama. Admin Power Platform dapat menentukan kebijakan yang berlaku untuk semua lingkungan.

Tanya Jawab

T: Dapatkah saya mengontrol, pada tingkat penyewa, konektor yang tersedia eksklusif, misalnya Tidak untuk Dropbox atau Twitter, tetapi Ya untuk SharePoint?

A: Hal ini dapat dilakukan dengan memanfaatkan kemampuan klasifikasi konektor dan menetapkan pengklasifikasi Diblokir ke satu atau beberapa konektor yang ingin Anda cegah agar tidak digunakan. Perhatikan bahwa ada serangkaian konektor yang tidak dapat diblokir.

Q: Bagaimana dengan berbagi konektor antara pengguna? Misalnya, konektor untuk Teams adalah konektor umum yang dapat dibagikan?

J: Konektor tersedia bagi semua pengguna Dengan pengecualian konektor Premium atau kustom yang memerlukan lisensi tambahan (konektor Premium) atau harus secara eksplisit dibagikan (konektor kustom)

Tindakan dan peringatan

Selain pemantauan, banyak pelanggan ingin berlangganan pembuatan perangkat lunak, penggunaan, atau aktivitas kesehatan sehingga mereka tahu Kapan melakukan tindakan. Bagian ini menguraikan beberapa cara untuk mengamati aktivitas (secara manual dan terprogram) dan melakukan tindakan yang dipicu oleh kejadian peristiwa.

Buat alur Power Automate untuk memperingatkan tentang aktivitas audit kunci

  1. Contoh pemberitahuan yang dapat diimplementasikan adalah berlangganan log audit keamanan dan kepatuhan Microsoft 365.
  2. Hal ini dapat dicapai baik melalui langganan webhook maupun pendekatan polling. Namun, dengan melampirkan Power Automate ke pemberitahuan ini, kami dapat menyediakan administrator dengan lebih dari sekadar pemberitahuan email.

Buat kebijakan yang diperlukan dengan Power Apps, Power Automate, dan PowerShell

  1. Cmdlet PowerShell ini menempatkan kontrol penuh di tangan admin untuk mengotomatisasi kebijakan tata kelola yang diperlukan.
  2. Konektor manajemen menyediakan tingkat kontrol yang sama namun dengan Ekstensibilitas diperluas dan kemudahan penggunaan dengan memanfaatkan Power Apps dan Power Automate.
  3. Template Power Automate berikut untuk konektor administrasi ada untuk meningkatkan dengan cepat:
    1. Daftar konektor Power Automate baru
    2. Dapatkan daftar Power Apps , alur Power Automate, dan konektor baru
    3. Email saya ringkasan pemberitahuan Pusat Pesan Office 365 mingguan
    4. Akses log keamanan dan kepatuhan Office 365 dari Power Automate
  4. Gunakan peningkatan blog dan template aplikasi dengan cepat di konektor administrasi.
  5. Selain itu, Anda perlu melihat konten yang dibagikan di galeri aplikasi komunitas, berikut adalah contoh lain tentang pengalaman administratif yang dibuat menggunakan Power Apps dan konektor admin.

Tanya Jawab Umum

Masalah saat ini, semua pengguna dengan lisensi Microsoft E3 dapat membuat aplikasi di lingkungan default. Bagaimana kita dapat mengaktifkan hak pembuat lingkungan ke grup pilihan, misalnya. 10 orang untuk membuat aplikasi?

Rekomendasicmdlet PowerShell dan konektor manajemen memberikan fleksibilitas penuh dan kontrol kepada administrator untuk membangun kebijakan yang mereka inginkan untuk organisasi mereka.

Pantau

Dapat dipahami dengan baik bahwa pemantauan adalah aspek penting dalam mengelola perangkat lunak pada skala besar, Bagian ini menyoroti beberapa cara untuk mendapatkan wawasan dalam Power Apps dan pengembangan dan penggunaan Power Automate.

Meninjau jejak audit

Pencatatan aktivitas untuk Power Apps terintegrasi dengan pusat keamanan dan kepatuhan Office untuk pencatatan log komprehensif di seluruh layanan Microsoft seperti Dataverse dan Microsoft 365. Office menyediakan API untuk meminta data ini, yang saat ini digunakan oleh banyak vendor SIEM untuk menggunakan data pencatatan aktivitas untuk pelaporan.

Melihat laporan lisensi Power Apps dan Power Automate

  1. Buka pusat admin Power Platform.

  2. Pilih Analitik>Power Automate atau Power Apps.

  3. Lihat analitik admin Power Apps dan Power Automate

    Anda bisa mendapatkan informasi tentang yang berikut:

    • Penggunaan aplikasidan pengguna aplikasi aktif-berapa banyak pengguna yang menggunakan aplikasi dan seberapa sering?
    • Lokasi-di mana penggunaan?
    • Kinerja layanan konektor
    • Pelaporan kesalahan – yang merupakan aplikasi paling rawan kesalahan
    • Alur yang digunakan berdasarkan jenis dan tanggal
    • Alur yang dibuat berdasarkan jenis dan tanggal
    • Audit tingkat aplikasi
    • Kesehatan layanan
    • Konektor yang digunakan

Melihat pengguna yang berlisensi

Anda selalu dapat melihat lisensi pengguna individu di pusat admin Microsoft 365 dengan menelusuri pengguna tertentu.

Anda juga dapat menggunakan perintah PowerShell berikut untuk mengekspor lisensi pengguna yang ditetapkan.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Ekspor semua lisensi pengguna yang ditetapkan (Power Apps dan Power Automate) dalam penyewa Anda menjadi file View.CSV tabular. File yang diekspor berisi rencana uji coba internal pendaftaran layanan mandiri serta paket yang bersumber dari Microsoft Entra ID. Paket uji coba internal tidak dapat dilihat oleh admin di pusat admin Microsoft 365.

Ekspor dapat memakan waktu lama untuk penyewa dengan pengguna Power Platform berjumlah besar.

Melihat sumber daya aplikasi yang digunakan di lingkungan

  1. Di pusat admin Power Platform, pilih lingkungan di menu navigasi.
  2. Pilih lingkungan.
  3. Atau, daftar sumber daya yang digunakan di lingkungan dapat diunduh sebagai .CSV.

Lihat juga

Gunakan praktik terbaik untuk mengamankan dan mengatur lingkungan Power Automate
Kit Pemula Pusat Keunggulan (CoE) Microsoft Power Platform