Considerazioni sulla sicurezza e sulla governance

  • Articolo

Molti clienti si chiedono come sia possibile che Power Platform sia messo a disposizione della loro azienda più ampia e supportato dall'IT. La governance è la risposta. Mira a consentire ai gruppi aziendali di concentrasi sulla soluzione dei problemi aziendali in modo efficiente nel rispetto degli standard di conformità IT e aziendali. Il seguente contenuto ha lo scopo di strutturare i temi spesso associati al software di governance e portare consapevolezza alle capacità disponibili per ciascun tema in relazione alla governance di Power Platform.

Tema Le domande comuni correlate a ogni tema a cui il contenuto risponde
Architettura
  • Quali sono i costrutti e i concetti base di Power Apps, Power Automate e Microsoft Dataverse?

  • Come queste costrutti interagiscono in fase di progettazione e runtime?
Sicurezza
  • Quali sono le procedure consigliate per le considerazioni di progettazione della sicurezza?

  • Come sfruttare le soluzioni di gestione di utenti e gruppi esistenti per gestire l'accesso e i ruoli di sicurezza in Power Apps?
Avviso e azione
  • Come definisco il modello di governance tra citizen developer e servizi IT gestiti?

  • Come definisco il modello di governance tra l'IT centrale e gli amministratori delle Business Unit?

  • Come avvicinarsi al supporto per gli ambienti non predefiniti nella mia organizzazione?
Monitorare
  • Come si acquisiscono i dati di conformità/controllo?

  • Come è possibile misurare adozione e l'utilizzo nella mia organizzazione?

Architettura

È preferibile familiarizzare con gli ambienti come primo passaggio per creare la giusta storia di governance per l'azienda. Gli ambienti sono i contenitori per tutte le risorse utilizzate da Power Apps, Power Automate e Dataverse. Panoramica degli ambienti è un'ottima introduzione che dovrebbe essere seguita da Cos'è Dataverse?, Tipi di Power Apps, Microsoft Power Automate, Connettori e Gateway locali.

Sicurezza

In questa sezione vengono descritti i meccanismi esistenti per stabilire chi può accedere a Power Apps in un ambiente e accedere ai dati: licenze, ambiente, ruoli ambiente, Microsoft Entra ID, criteri di prevenzione della perdita dei dati e connettori di amministrazione che possono essere utilizzato con Power Automate.

Licenze

L'accesso a Power Apps e Power Automate inizia con l'avere una licenza. Il tipo di licenza di cui dispone un utente determina le risorse e i dati a cui un utente può accedere. Nella tabella seguente vengono descritte le differenze nelle risorse disponibili per un utente in base al tipo di piano, a livello generale. I dettagli granulari sulle licenze sono in Panoramica sulle licenze.

Piano Descrizione
Microsoft 365 incluso Questo consente agli utenti di estendere SharePoint e altre risorse di Office che hanno già.
Dynamics 365 incluso Ciò consente agli utenti di personalizzare ed estendere le app di interazione con i clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) che hanno già a disposizione.
Piano di Power Apps Questo consente:
  • creazione di connettori aziendali e Dataverse accessibile per l'utilizzo.
  • agli utenti di utilizzare regole business efficaci su tutti i tipi di applicazione e le funzionalità di amministrazione.
Power Apps Community Questo consente a un utente di utilizzare Power Apps, Power Automate, Dataverse e connettori dei clienti in un unico per singolo utilizzo. Non è possibile condividere le app.
Power Automate gratuito Ciò consente agli utenti di creare flussi illimitati e di eseguire 750 corse.
Piano di Power Automate Vedi Microsoft Power Apps e Guida per le licenze Microsoft Power Automate.

Ambienti

Dopo che gli utenti dispongono delle licenze, sono disponibili ambienti come contenitori per tutte le risorse utilizzate da Power Apps, Power Automate e Dataverse. Gli ambienti possono essere utilizzati per raggiungere diversi destinatari e/o per altri scopi quali sviluppo, test e produzione. Ulteriori informazioni sono disponibili in Panoramica degli ambienti.

Proteggere dati e rete

  • Power Apps e Power Automate non offrono agli utenti l'accesso alle risorse di dati a cui non possono già accedere. Gli utenti devono accedere solo ai dati realmente necessari.
  • I criteri di controllo di accesso alla rete possono essere applicati anche a Power Apps e Power Automate. Per un ambiente, uno può impedire l'accesso a un sito da una rete bloccando la pagina di accesso per impedire la creazione di connessioni al sito in Power Apps e Power Automate.
  • In un ambiente, l'accesso è controllato a tre livelli: Ruoli ambientali, Autorizzazioni risorse per Power Apps, Power Automate e così via e Ruoli di sicurezza Dataverse (se viene eseguito il provisioning di un database Dataverse).
  • Quando Dataverse viene creato in un ambiente, i ruoli Dataverse assumeranno il controllo della sicurezza nell'ambiente (e tutti gli amministratori e creatori vengono sottoposti a migrazione).

Le seguenti entità di sicurezza sono supportate per ogni tipo di ruolo.

Tipo di ambiente Ruolo Tipo di entità di sicurezza (Microsoft Entra ID)
Ambiente senza Dataverse Ruolo ambiente Utente, gruppo, tenant
Autorizzazioni risorse: app canvas Utente, gruppo, tenant
Autorizzazioni risorse: Power Automate, Connettore personalizzato, Gateway, connessioni1 Utente, gruppo
Ambiente con Dataverse Ruolo ambiente User
Autorizzazioni risorse: app canvas Utente, gruppo, tenant
Autorizzazioni risorse: Power Automate, Connettore personalizzato, Gateway, connessioni1 Utente, gruppo
Ruolo Dataverse (si applica a tutte le app basate su modello e componenti) User

1È possibile condividere solo determinate connessioni (come SQL).

Nota

  • Nell'ambiente predefinito, tutti gli utenti nel tenant sono assegnati l'accesso al ruolo Creazione ambiente.
  • Gli amministratori globali del tenant Microsoft Entra hanno accesso di amministrazione a tutti gli ambienti.

Domande frequenti - Quali autorizzazioni esistono a livello di tenant Microsoft Entra?

Oggi, gli amministratori Microsoft Power Platform possono eseguire le seguenti operazioni:

  1. Scaricare report sulle licenze Power Apps e Power Automate
  2. Creare criteri DLP con solo ambito "Tutti gli ambienti" o con ambito per includere/escludere ambienti specifici
  3. Gestire e assegnare licenze tramite interfaccia di amministrazione di Office
  4. Accedi a tutte le funzionalità di gestione di ambiente, app e flusso per tutti gli ambienti nel tenant disponibili tramite:
    • Cmdlet di PowerShell per gli amministratori Power Apps
    • Connettori di gestione Power Apps
  5. Accedere all'analisi amministrativa di Power Apps e Power Automate per tutti gli ambienti nel tenant:

Considerare Microsoft Intune

I clienti con Microsoft Intune possono impostare i criteri di protezione di applicazioni per dispositivi mobili sia per le app Power Apps che Power Automate su Android e iOS. Questa procedura dettagliata evidenzia l'impostazione di criteri tramite per Power Automate.

Considerare l'accesso a condizionale basato sulla posizione

Per i clienti con Microsoft Entra ID P1 o P2, i criteri di accesso condizionale possono essere definiti in Azure per Power Automate e Power Apps. Ciò consente di assegnare o bloccare l'accesso in base a: utente/gruppo, dispositivo, posizione.

Creare criteri di accesso condizionale

  1. Accedere a https://portal.azure.com.
  2. Seleziona Accesso condizionale.
  3. Seleziona + Nuovi criteri.
  4. Seleziona utenti e gruppi selezionati.
  5. Seleziona Tutte le app cloud>Tutte le app cloud>Common Data Service per controllare l'accesso alle app customer engagement.
  6. Applica le condizioni (rischio dell'utente, piattaforme del dispositivo, posizioni).
  7. Seleziona Crea.

Evitare la perdita di dati con criteri di prevenzione della perdita dei dati

I criteri di prevenzione della perdita dei dati (DLP) applicano regole per i cui connettori possono essere utilizzati insieme classificando i connettori come Solo dati aziendali o Dati aziendali non consentiti. Semplicemente, se si inserisce un connettore nel gruppo Solo dati aziendali, può essere utilizzato solo con altri connettori di quel gruppo nella stessa applicazione. Gli amministratori di Power Platform possono definire criteri che si applicano a tutti gli ambienti.

Domande frequenti

D: Posso controllare, a livello di tenant, quale connettore è disponibile, ad esempio No a Dropbox o Twitter ma Sì a SharePoint?

R: Questo è possibile utilizzando le funzionalità di classificazione dei connettori e assegnando il classificatore Bloccato a uno o più connettori di cui si desidera impedire l'utilizzo. Nota che ci sono una serie di connettori che non possono essere bloccati.

D: Qual è la situazione sulla condivisione di connettori tra gli utenti? Ad esempio, il connettore per Teams è un connettore generale che può essere condiviso?

R: I connettori sono disponibili per tutti gli utenti. Ad eccezione di connettori Premium o personalizzati che necessitano di una licenza aggiuntiva (connettori Premium) o devono essere condivisi esplicitamente (connettori personalizzati)

Avviso e azione

Oltre a monitoraggio, numerosi clienti desiderano iscriversi a eventi di creazione, utilizzo o integrità del software in modo da sapere quando eseguire un'azione. In questa sezione vengono illustrati alcuni modi per osservare eventi (manualmente e a livello di codice) ed eseguire azioni attivate dal verificarsi di un evento.

Creare flussi Power Automate per avvisare su eventi chiave di controllo

  1. Esempio di avviso che può essere implementato è la sottoscrizione ai registri di controllo di sicurezza e conformità di Microsoft 365.
  2. Ciò è realizzbile tramite una sottoscrizione a un webhook o un approccio polling. Tuttavia, collegando Power Automate a questi avvisi, Microsoft potrà fornire agli amministratori più di solo avvisi di posta elettronica.

Creare i criteri necessari con Power Apps, Power Automate e PowerShell

  1. Questi Cmdlet di PowerShell pongono il controllo completo a disposizione degli amministratori per automatizzare i criteri di governance necessari.
  2. I Connettori di gestione offrono lo stesso livello di controllo ma con maggiore estendibilità e facilità di uso sfruttando Power Apps e Power Automate.
  3. Esistono i seguenti modelli Power Automate per i connettori amministrativi per una rapida implementazione:
    1. Elencate i nuovi connettori di Power Automate
    2. Ottenere un elenco di nuovi flussi e connettori di Power Apps e Power Automate
    3. Inviami tramite posta elettronica un riepilogo settimanale degli avvisi del Centro messaggi di Office 365
    4. Accedere ai registri di sicurezza e conformità di Office 365 da Power Automate
  4. Utilizza questo modello di blog e app per apprendere rapidamente l'utilizzo dei connettori di amministrazione.
  5. Inoltre, vale la pena di consultare il contenuto condiviso nella Raccolta di app della community, qui un altro esempio di esperienza amministrativa creata con Power Apps e connettori di amministrazione.

Domande frequenti

Problema: attualmente, tutti gli utenti con licenze Microsoft E3 possono creare app nell'ambiente predefinito. Come possiamo abilitare i diritti di Creazione ambiente per un gruppo selezionato, ad esempio. 10 persone per creare app?

Suggerimento I cmdlet PowerShell e i connettori di gestione offrono flessibilità e controllo completo agli amministratori per creare i criteri desiderati per l'organizzazione.

Monitorare

È chiaro che il monitoraggio è un aspetto critico della gestione del software su vasta scala, questa sezione evidenzia un paio di modi per ottenere approfondimenti sullo sviluppo e l'utilizzo in Power Apps e Power Automate.

Rivedere l'audit trail

Registrazione dell'attività per Power Apps è integrata con il centro di sicurezza e di conformità di Office per una registrazione completa dei servizi Microsoft come Microsoft 365 e Dataverse. Office fornice un'API per eseguire query su questi dati, attualmente utilizzata da molti fornitori SIEM per utilizzare i dati di registrazione attività per creare i report.

Visualizzare il report sulle licenze di Power Apps e Power Automate

  1. Vai all'interfaccia di amministrazione di Power Platform.

  2. Seleziona Analisi>Power Automate o Power Apps.

  3. Visualizzare analisi amministrativa di Power Apps e Power Automate

    Puoi visualizzare informazioni su:

    • Utenti attivi e utilizzo delle app - quanti utenti utilizzano un'app e la frequenza?
    • Posizione - dove è l'utilizzo?
    • Prestazioni di servizio dei connettori
    • Segnalazione errori - quali app sono più soggette a errori
    • Flussi in uso per tipo e data
    • Flussi creati per tipo e data
    • Controllo a livello di applicazione
    • Integrità del servizio
    • Connettori usati

Visualizzare quali utenti dispongono della licenza

Puoi sempre guardare le licenze dei singoli utenti nell'interfaccia di amministrazione di Microsoft 365 eseguendo il drill-down di utenti specifici.

Puoi inoltre utilizzare il seguente comando PowerShell per esportare le licenze utente assegnate.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Esporta tutte le licenze utente assegnate (Power Apps e Power Automate) nel tuo tenant in un file .csv di vista tabulare. Il file esportato contiene sia piani di valutazione interni di iscrizione self-service sia piani originati da Microsoft Entra ID. I piani di valutazione interni non sono visibili agli amministratori nell'interfaccia di amministrazione di Microsoft 365.

L'esportazione può richiedere del tempo per i tenant con un numero elevato di utenti di Power Platform.

Visualizzare le risorse di app utilizzate in un ambiente

  1. Nell'interfaccia di amministrazione di Power Platform, selezionare gli ambienti nel menu di spostamento.
  2. Selezionare un ambiente
  3. Facoltativamente, l'elenco di risorse utilizzato in un ambiente può essere scaricato come file csv.

Vedi anche

Usare le procedure consigliate per proteggere e regolamentare gli ambienti di Power Automate
Starter kit Center of Excellence (CoE) di Microsoft Power Platform