Pertimbangan keamanan dan tata kelola

Banyak pelanggan ingin tahu Bagaimana Power Platform disediakan secara lebih luas untuk bisnisnya dan didukung oleh IT? Tata kelola adalah jawabannya. Hal ini bertujuan agar grup bisnis dapat fokus untuk menyelesaikan masalah bisnis secara efisien sekaligus mematuhi TI dan standar kepatuhan bisnis. Konten berikut ditujukan untuk tema struktur yang sering dikaitkan dengan perangkat lunak yang mengatur dan menghadirkan kesadaran terhadap kemampuan yang tersedia untuk setiap tema yang terkait dengan mengatur Power Platform.

Tema	Pertanyaan umum yang terkait dengan setiap tema yang dijawab konten ini
Arsitektur	Apa yang dimaksud dengan konstruksi dasar dan konsep Power Apps, Power Automate, dan Microsoft Dataverse? Bagaimana konstruk ini cocok bersama-sama pada waktu desain dan Runtime?
Keamanan	Apa Praktik terbaik untuk pertimbangan desain keamanan? Bagaimana cara menggunakan solusi manajemen pengguna dan grup kami yang ada untuk mengelola peran akses dan keamanan Power Apps?
Tindakan dan peringatan	Bagaimana cara menentukan model tata kelola antara pengembang warga dengan layanan TI terkelola? Bagaimana cara menentukan model tata kelola antara IT pusat dan admin unit bisnis? Bagaimana pendekatan dukungan untuk lingkungan non-default di organisasi saya?
Pantau	Bagaimana kami menangkap data kepatuhan/audit? Bagaimana cara mengukur penerapan dan penggunaan dalam organisasi saya?

Arsitektur

Cara terbaik adalah membiasakan diri dengan lingkungan sebagai langkah pertama untuk membangun alur tata kelola yang tepat untuk perusahaan Anda. Lingkungan adalah wadah untuk semua sumber daya yang digunakan oleh Power Apps, Power Automate, dan Dataverse. Ikhtisar Lingkungan adalah primer yang baik, yang harus diikuti oleh Apa itu Dataverse?,Jenis , Power Apps, Microsoft Power AutomateKonektor, dan Gateway lokal.

Keamanan

Bagian ini menguraikan mekanisme yang ada untuk mengontrol siapa yang dapat mengakses Power Apps di lingkungan dan mengakses data: lisensi, lingkungan, peran lingkungan, ID Microsoft Entra , kebijakan Pencegahan Kehilangan Data, dan konektor admin yang dapat digunakan dengan Power Automate.

Lisensi

Akses ke Power Apps dan Power Automate mulai dengan memiliki lisensi. Jenis lisensi yang dimiliki pengguna menentukan aset dan data yang dapat diakses pengguna. Tabel berikut menguraikan perbedaan sumber daya yang tersedia bagi pengguna berdasarkan jenis rencana mereka, dari tingkat tinggi. Rincian lisensi mendetail dapat ditemukan di Ikhtisar lisensi.

Rencana	Keterangan
Microsoft 365 termasuk	Hal ini memungkinkan pengguna untuk memperluas SharePoint dan aset Office lainnya yang telah mereka miliki.
Dynamics 365 disertakan	Hal ini memungkinkan pengguna menyesuaikan dan memperluas aplikasi keterlibatan pelanggan (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, dan Dynamics 365 Project Service Automation), yang telah mereka miliki.
Paket Power Apps	Hal ini memungkinkan: Membuat konektor perusahaan dan Dataverse yang dapat diakses untuk digunakan. Pengguna menggunakan logika bisnis kuat di seluruh jenis aplikasi dan kemampuan administrasi.
Komunitas Power Apps	Ini memungkinkan pengguna untuk menggunakan Power Apps,, Power Automate, Dataverse dan konektor khusus dalam satu untuk penggunaan individu. Tidak ada kemampuan untuk berbagi aplikasi.
Power Automate Gratis	Pilihan ini memungkinkan pengguna membuat alur tak terbatas dan melakukan 750 penjalanan.
Paket Power Automate	Lihat Panduan Pelisensian Microsoft Power Apps dan Microsoft Power Automate.

Lingkungan

Setelah pengguna memiliki lisensi, lingkungan ada sebagai wadah untuk semua sumber daya yang digunakan oleh Power Apps, Power Automate, dan Dataverse. Lingkungan dapat digunakan untuk menargetkan audiens yang berbeda dan/atau untuk tujuan yang berbeda seperti pengembangan, pengujian, dan produksi. Informasi lebih lanjut dapat ditemukan di Ikhtisar lingkungan.

Mengamankan data dan jaringan

• Power Apps dan tidak Power Automate memberi pengguna akses ke aset data apa pun yang belum dapat mereka akses. Pengguna hanya boleh memiliki akses ke data yang benar-benar diperlukan aksesnya.
• Kebijakan kontrol akses jaringan juga dapat berlaku untuk Power Apps dan Power Automate. Untuk lingkungan, kita dapat memblokir akses ke situs dari dalam jaringan dengan memblokir halaman masuk untuk mencegah sambungan ke situs tersebut dibuat di Power Apps dan Power Automate.
• Di lingkungan, akses dikontrol pada tiga tingkat: Peran lingkungan, izin Sumber Daya untuk Power Apps, Power Automate, dll. dan peran keamanan Dataverse (jika basis data Dataverse ditetapkan).
• Ketika Dataverse dibuat di lingkungan, Dataverse peran mengambil alih untuk mengontrol keamanan di lingkungan (dan semua admin dan pembuat lingkungan dimigrasikan).

Prinsip berikut didukung untuk setiap jenis peran.

Jenis lingkungan	Peran	Jenis Prinsipal (Microsoft Entra ID)
Lingkungan tanpa Dataverse	Peran Lingkungan	Pengguna, grup, penyewa
	Izin sumber daya: aplikasi Canvas	Pengguna, grup, penyewa
	Izin sumber daya: Power Automate, konektor kustom, Gateway, koneksi1	Pengguna, grup
Lingkungan dengan Dataverse	Peran Lingkungan	User
	Izin sumber daya: aplikasi Canvas	Pengguna, grup, penyewa
	Izin sumber daya: Power Automate, konektor kustom, Gateway, koneksi1	Pengguna, grup
	Peran Dataverse (berlaku untuk semua aplikasi dan komponen berbasis model)	User

¹hanya sambungan tertentu (seperti SQL) dapat dibagi.

Catatan

• Di lingkungan default, semua pengguna dalam penyewa diberi akses ke peran pembuat lingkungan.
• Pengguna dengan Power Platform peran Administrator memiliki akses admin ke semua lingkungan.

FAQ - Izin apa yang ada di Microsoft Entra tingkat penyewa?

Hari ini, admin Microsoft Power Platform dapat melakukan langkah berikut:

1. Unduh laporan lisensi Power Apps & Power Automate
2. Buat kebijakan DLP dengan lingkup hanya untuk 'semua lingkungan' atau dengan lingkup untuk mencakup/mengecualikan lingkungan tertentu
3. Mengelola dan menetapkan lisensi melalui Pusat admin Office
4. Akses semua kemampuan manajemen lingkungan, aplikasi, dan alur untuk semua lingkungan dalam penyewa yang tersedia melalui:
   • Power Apps Admin PowerShell cmdlets
   • konektor manajemen Power Apps
5. Akses analitik admin Power Apps dan Power Automate untuk semua lingkungan dalam penyewa:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Pertimbangkan Microsoft Intune

Pelanggan dengan Microsoft Intune dapat mengatur kebijakan perlindungan aplikasi seluler untuk keduanya Power Apps dan aplikasi Power Automate di dan Android iOS. Langkah-langkah ini menyoroti pengaturan kebijakan melalui Intune untuk Power Automate.

Pertimbangkan akses bersyarat berdasarkan lokasi

Untuk pelanggan dengan Microsoft Entra ID P1 atau P2, kebijakan akses bersyarat dapat ditentukan di Azure untuk Power Apps dan Power Automate. Hal ini memungkinkan pemberian atau memblokir akses berdasarkan: pengguna/grup, perangkat, lokasi.

Membuat kebijakan akses bersyarat

1. Masuk ke https://portal.azure.com.
2. Pilih Akses Bersyarat.
3. Pilih + kebijakan baru.
4. Pilih pengguna dan grup yang dipilih.
5. Pilih Semua aplikasi cloud>Semua aplikasi cloud>Common Data Service untuk mengontrol akses ke aplikasi keterlibatan pelanggan.
6. Terapkan kondisi (risiko pengguna, platform perangkat, lokasi).
7. Pilih Buat.

Cegah kebocoran data dengan kebijakan mencegah kehilangan data

Kebijakan pencegahan kehilangan data (DLP) menerapkan aturan yang konektor dapat digunakan bersama dengan mengklasifikasikan konektor sebagai Data Bisnis saja atau Tidak Ada Data Bisnis yang diizinkan. Sederhananya, jika Anda memasukkan konektor dalam grup hanya data bisnis, maka hanya dapat digunakan dengan konektor lain dari grup tersebut di aplikasi yang sama. Admin Power Platform dapat menentukan kebijakan yang berlaku untuk semua lingkungan.

Tanya Jawab

T: Dapatkah saya mengontrol, pada tingkat penyewa, konektor yang tersedia eksklusif, misalnya Tidak untuk Dropbox atau Twitter, tetapi Ya untuk SharePoint?

A: Hal ini dapat dilakukan dengan memanfaatkan kemampuan klasifikasi konektor dan menetapkan pengklasifikasi Diblokir ke satu atau beberapa konektor yang ingin Anda cegah agar tidak digunakan. Perhatikan bahwa ada serangkaian konektor yang tidak dapat diblokir.

Q: Bagaimana dengan berbagi konektor antara pengguna? Misalnya, konektor untuk Teams adalah konektor umum yang dapat dibagikan?

J: Konektor tersedia untuk semua pengguna kecuali untuk konektor premium atau kustom, yang memerlukan lisensi lain (konektor premium) atau harus dibagikan secara eksplisit (konektor kustom)

Tindakan dan peringatan

Selain pemantauan, banyak pelanggan ingin berlangganan pembuatan perangkat lunak, penggunaan, atau peristiwa kesehatan sehingga mereka tahu kapan harus melakukan suatu tindakan. Bagian ini menguraikan beberapa cara untuk mengamati aktivitas (secara manual dan terprogram) dan melakukan tindakan yang dipicu oleh kejadian peristiwa.

Buat alur Power Automate untuk memperingatkan tentang aktivitas audit kunci

1. Contoh pemberitahuan yang dapat diimplementasikan adalah berlangganan log audit keamanan dan kepatuhan Microsoft 365.
2. Hal ini dapat dicapai baik melalui langganan webhook maupun pendekatan polling. Namun, dengan melampirkan Power Automate ke pemberitahuan ini, kami dapat menyediakan administrator dengan lebih dari sekadar pemberitahuan email.

Buat kebijakan yang diperlukan dengan Power Apps, Power Automate, dan PowerShell

1. Cmdlet PowerShell ini menempatkan kontrol penuh di tangan admin untuk mengotomatisasi kebijakan tata kelola yang diperlukan.
2. Konektor Manajemen memberikan tingkat kontrol yang sama tetapi dengan ekstensibilitas tambahan dan kemudahan penggunaan dengan menggunakan Power Apps dan Power Automate.
3. Template Power Automate berikut untuk konektor administrasi ada untuk meningkatkan dengan cepat:
   1. Daftar Konektor baru Power Automate
   2. Dapatkan Daftar baru Power Apps, Power Automate alur, dan Konektor
   3. Kirimkan email ringkasan mingguan pemberitahuan Office 365 Pusat Pesan kepada saya
   4. Akses Office 365 Log Keamanan dan Kepatuhan dari Power Automate
4. Gunakan peningkatan blog dan template aplikasi dengan cepat di konektor administrasi.
5. Selain itu, Anda perlu melihat konten yang dibagikan di galeri aplikasi komunitas, berikut adalah contoh lain tentang pengalaman administratif yang dibuat menggunakan Power Apps dan konektor admin.

Tanya Jawab Umum

Masalah Saat ini, semua pengguna dengan Microsoft lisensi E3 dapat membuat aplikasi di lingkungan Default. Bagaimana kita dapat mengaktifkan hak pembuat lingkungan ke grup pilihan, misalnya. Sepuluh orang untuk membuat aplikasi?

Rekomendasi cmdlet PowerShell dan konektor Manajemen memberikan fleksibilitas dan kontrol penuh kepada administrator untuk membangun kebijakan yang mereka inginkan untuk organisasi mereka.

Pantau

Sudah dipahami dengan baik bahwa pemantauan adalah aspek penting dalam mengelola perangkat lunak dalam skala besar. Bagian ini menyoroti beberapa cara untuk mendapatkan wawasan dan Power Apps pengembangan Power Automate dan penggunaan.

Meninjau jejak audit

Pencatatan aktivitas untuk terintegrasi Power Apps dengan pusat Keamanan dan Kepatuhan Office untuk pencatatan komprehensif di seluruh Microsoft layanan seperti Dataverse dan Microsoft 365. Office menyediakan API untuk meminta data ini, yang saat ini digunakan oleh banyak vendor SIEM untuk menggunakan data pencatatan aktivitas untuk pelaporan.

Melihat laporan lisensi Power Apps dan Power Automate

1. Buka pusat admin Power Platform.

2. Pilih Analitik>Power Automate atau Power Apps.

3. Lihat analitik admin Power Apps dan Power Automate

   Anda bisa mendapatkan informasi tentang yang berikut:

   • Penggunaan aplikasidan pengguna aplikasi aktif-berapa banyak pengguna yang menggunakan aplikasi dan seberapa sering?
   • Lokasi-di mana penggunaan?
   • Kinerja layanan konektor
   • Pelaporan kesalahan – yang merupakan aplikasi paling rawan kesalahan
   • Alur yang digunakan berdasarkan jenis dan tanggal
   • Alur yang dibuat berdasarkan jenis dan tanggal
   • Audit tingkat aplikasi
   • Kesehatan layanan
   • Konektor yang digunakan

Melihat pengguna yang berlisensi

Anda selalu dapat melihat lisensi pengguna individu di pusat admin Microsoft 365 dengan menelusuri pengguna tertentu.

Anda juga dapat menggunakan perintah PowerShell berikut untuk mengekspor lisensi pengguna yang ditetapkan.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Ekspor semua lisensi pengguna yang ditetapkan (Power Apps dan Power Automate) dalam penyewa Anda menjadi file View.CSV tabular. File yang diekspor berisi paket uji coba internal pendaftaran layanan mandiri dan paket yang bersumber dari Microsoft Entra ID. Paket uji coba internal tidak dapat dilihat oleh admin di pusat admin Microsoft 365.

Ekspor dapat memakan waktu lama untuk penyewa dengan pengguna Power Platform berjumlah besar.

Melihat sumber daya aplikasi yang digunakan di lingkungan

1. Di pusat admin Power Platform, pilih lingkungan di menu navigasi.
2. Pilih lingkungan.
3. Secara opsional, daftar sumber daya yang digunakan dalam Lingkungan dapat diunduh sebagai .csv.

Baca juga

Gunakan praktik terbaik untuk mengamankan dan mengatur Power Automate lingkungan
Microsoft Power Platform Center of Excellence (CoE) Starter Kit