보안 및 거버넌스 고려 사항

  • 아티클

많은 고객이 Power Platform을 더 광범위한 비즈니스에 제공하고 IT에서 지원하는 방법을 궁금해합니다. 거버넌스가 답입니다. 비즈니스 그룹이 IT 및 비즈니스 규정 준수 표준을 준수하면서 비즈니스 문제를 효율적으로 해결하는 데 집중할 수 있도록 합니다. 다음 콘텐츠는 관리 소프트웨어와 관련된 주제를 구성하고 Power Platform 관리와 관련하여 각 테마에 사용할 수 있는 기능에 대한 인식을 제공하기 위한 것입니다.

테마 이 콘텐츠가 답변하는 각 테마와 관련된 일반적인 질문
아키텍처
  • Power Apps, Power Automate 및 Microsoft Dataverse의 기본 구성과 개념은 무엇입니까?

  • 이러한 구성은 어떤 면에서 디자인 시간과 런타임에 적합합니까?
보안
  • 보안 디자인 고려 사항에 대한 모범 사례는 무엇입니까?

  • Power Apps에서 기존 사용자 및 그룹 관리 솔루션을 활용하여 액세스 및 보안 역할을 관리하는 방법은 무엇입니까?
알림 및 작업
  • 시민 개발자와 관리 IT 서비스 간의 거버넌스 모델을 어떻게 정의합니까?

  • 중앙 IT 및 사업부 관리자 간의 거버넌스 모델을 어떻게 정의합니까?

  • 조직에서 기본이 아닌 환경에 대한 지원에 어떻게 접근해야 합니까?
모니터링
  • 규정 준수 / 감사 데이터를 어떻게 캡처합니까?

  • 조직 내에서 채택 및 사용을 어떻게 측정할 수 있습니까?

아키텍처

회사에 적합한 거버넌스 스토리를 구축하기 위한 첫 단계로 환경에 익숙해지는 것이 가장 좋습니다. 환경은 Power Apps, Power Automate, Dataverse에서 활용하는 모든 리소스의 컨테이너입니다. 환경 개요Dataverse란?, Power Apps의 종류, Microsoft Power Automate, 커넥터, 온-프레미스 케이트웨이 다음으로 참고하면 좋은 설명서입니다.

보안

이 섹션에서는 라이선스, 환경, 환경 역할, Microsoft Entra ID, 데이터 손실 방지 정책 및 Power Automate과 함께 사용할 수 있는 관리자 커넥터 등의 Power Apps환경 및 액세스 데이터에 액세스할 수 있는 사람을 제어하기 위해 존재하는 메커니즘을 간단히 설명합니다.

라이선싱

Power Apps 및 Power Automate에 대한 액세스는 라이선스를 갖는 것으로 시작됩니다. 사용자가 보유한 라이선스 유형에 따라 사용자가 액세스할 수 있는 자산과 데이터가 결정됩니다. 다음 표는 플랜 유형에 따라 사용자가 이용할 수 있는 리소스의 차이점을 개략적으로 설명합니다. 세분화된 라이선스 세부 정보는 라이선싱 개요에서 찾을 수 있습니다.

계획 설명
Microsoft 365 포함됨 이를 통해 사용자는 이미 가지고 있는 SharePoint와 다른 Office 자산을 확장할 수 있습니다.
Dynamics 365 포함됨 이를 통해 사용자는 이미 보유하고 있는 고객 참여 앱(Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing 및 Dynamics 365 Project Service Automation)을 사용자 지정하고 확장할 수 있습니다.
Power Apps 플랜 이를 통해 다음이 가능합니다.
  • 엔터프라이즈 커넥터 및 Dataverse를 사용하기 위해 액세스 가능하게 만듦.
  • 사용자가 응용 프로그램 유형 및 관리 기능에서 강력한 비즈니스 논리를 사용할 수 있습니다.
Power Apps Community 이를 통해 사용자는 Power Apps, Power Automate, Dataverse 및 고객 커넥터를 개별 단일 사용할 수 있습니다. 앱을 공유할 수 있는 기능이 없습니다.
Power Automate 무료 이를 통해 사용자는 무제한 흐름을 생성하고 750회 실행을 수행할 수 있습니다.
Power Automate 플랜 Microsoft Power Apps 및 Microsoft Power Automate 라이선싱 가이드를 참조하세요.

환경

사용자가 라이선스를 보유하면 환경은 Power Apps, Power Automate, Dataverse에서 사용하는 모든 리소스에 대한 컨텐이너 역할을 합니다. 환경은 다양한 대상을 대상으로 하거나 개발, 테스트 및 프로덕션과 같은 다양한 목적으로 사용될 수 있습니다. 자세한 내용은 환경 개요에서 찾을 수 있습니다.

데이터 및 네트워크 보안

  • Power Apps 및 Power Automate는 사용자에게 아직 액세스 권한이 없는 데이터 자산에 대한 액세스 권한을 제공하지 않습니다. 사용자는 실제로 액세스해야 하는 데이터에만 액세스할 수 있어야 합니다.
  • 네트워크 액세스 제어 정책은 Power Apps 및 Power Automate에도 적용할 수 있습니다. 환경의 경우 로그인 페이지를 차단하여 Power Apps 및 Power Automate에서 해당 사이트에 대한 연결이 만들어지지 않도록 하여 네트워크 내에서 사이트에 대한 액세스를 차단할 수 있습니다.
  • 환경에서 액세스는 세 가지 수준으로 제어됩니다. 환경 역할, Power Apps, Power Automate 등에 대한 리소스 사용 권한, Dataverse 보안 역할(Dataverse 데이터베이스가 프로비전되는 경우)입니다.
  • Dataverse가 환경에서 만들어지면 Dataverse 역할이 보안을 제어하는 것을 대신합니다(및 모든 환경 관리자 및 결정자가 마이그레이션됨).

역할 유형에 따라 다음과 같은 보안 주체가 지원됩니다.

환경 유형 역할 보안 주체 유형(Microsoft Entra ID)
Dataverse가 없는 환경 환경 역할 사용자, 그룹, 테넌트
리소스 권한: 캔버스 앱 사용자, 그룹, 테넌트
리소스 권한: Power Automate, 사용자 지정 커넥터, 게이트웨이, 연결1 사용자, 그룹
Dataverse가 포함된 환경 환경 역할 User
리소스 권한: 캔버스 앱 사용자, 그룹, 테넌트
리소스 권한: Power Automate, 사용자 지정 커넥터, 게이트웨이, 연결1 사용자, 그룹
Dataverse 역할(모든 모델 기반 앱 및 구성 요소에 적용) User

1SQL과 같은 특정 연결만 공유할 수 있습니다.

노트

  • 기본 환경에서는 테넌트의 모든 사용자에게 환경 결정자 역할에 대한 액세스 권한이 부여됩니다.
  • Microsoft Entra 테넌트 전역 관리자는 모든 환경에 대한 관리자 액세스 권한이 있습니다.

FAQ - Microsoft Entra 테넌트 수준에서 어떤 권한이 있습니까?

오늘, Microsoft Power Platform 관리자는 다음을 수행할 수 있습니다.

  1. Power Apps 및 Power Automate 라이선스 보고서 다운로드
  2. '모든 환경'으로만 범위가 지정되거나 특정 환경을 포함/제외하도록 범위가 지정된 DLP 정책 만들기
  3. Office 관리 센터를 통해 라이선스 관리 및 할당
  4. 다음을 통해 사용 가능한 테넌트의 모든 환경에 대한 모든 환경, 앱 및 흐름 관리 기능에 액세스하세요.
    • Power Apps 관리자 PowerShell cmdlet
    • Power Apps 관리 커넥터
  5. 테넌트의 모든 환경에 대한 Power Apps 및 Power Automate 관리자 분석:

Microsoft Intune 고려

Microsoft Intune을 보유한 고객은 Android 및 iOS의 Power Apps 및 Power Automate 두 가지 모두에 대해 모바일 응용 프로그램 보호 정책을 설정할 수 있습니다. 이 연습에서는 Intune을 통한 Power Automate에 대한 정책 설정에 대해 중점적으로 다룹니다.

위치 기반 조건부 액세스 고려

Microsoft Entra ID P1 또는 P2을 보유한 고객의 경우 Power Apps 및 Power Automate에 대해 Azure에서 조건부 액세스 정책을 정의할 수 있습니다. 이를 통해 사용자/그룹, 장치, 위치에 따라 액세스 권한을 부여하거나 차단할 수 있습니다.

조건부 액세스 정책 만들기

  1. https://portal.azure.com에 로그인합니다.
  2. 조건부 액세스를 선택합니다.
  3. + 새 정책을 선택합니다.
  4. 선택한 사용자 및 그룹을 선택합니다.
  5. Customer Engagement 앱에 대한 액세스를 제어하기 위해 모든 클라우드 앱>모든 클라우드 앱>Common Data Service를 선택합니다.
  6. 조건(사용자 위험, 장치 플랫폼, 위치)을 적용합니다.
  7. 만들기를 선택합니다.

데이터 손실 방지 정책으로 데이터 유출 방지

데이터 손실 방지 정책(DLP)은 커넥터를 비즈니스 데이터만 또는 비즈니스 데이터 허용 안 됨으로 분류하여 커넥터를 함께 사용할 수 있는 규칙을 적용합니다. 간단히, 비즈니스 데이터만 그룹에 커넥터를 배치하면 동일한 응용 프로그램에서 해당 그룹의 다른 커넥터와만 함께 사용할 수 있습니다. Power Platform 관리자는 모든 환경에 적용되는 정책을 정의할 수 있습니다.

FAQ

Q: 커넥터가 모두 사용 가능한 테넌트 수준에서 제어할 수 있습니까(예: Dropbox 또는 Twitter는 거부하지만 SharePoint는 허용)?

A: 이것은 커넥터 분류 기능을 활용하고 차단된 분류자를 사용하지 않으려는 하나 이상의 커넥터에 추가하여 가능합니다. 차단할 수 없는 커넥터 집합이 있는 점을 참고하세요.

Q: 사용자 간에 커넥터를 공유하는 것은 어떻습니까? 예를 들어 Teams용 커넥터는 공유할 수 있는 일반적인 커넥터입니까?

A: 커넥터는 모든 사용자가 사용할 수 있습니다. 추가 라이선스가 필요하거나(프리미엄 커넥터) 명시적으로 공유해야 하는 프리미엄 또는 사용자 지정 커넥터(사용자 지정 커넥터)는 제외

알림 및 작업

모니터링 외에도 많은 고객이 소프트웨어 만들기, 사용 또는 상태 이벤트에 가입하여 작업 수행 시기를 알고자 합니다. 이 섹션에서는 이벤트를 수동 및 프로그래밍 방식으로 관찰하고 이벤트 발생에 의해 트리거되는 작업을 수행하는 몇 가지 방법에 대해 간략하게 설명합니다.

주요 감사 이벤트에 대해 알리기 위한 Power Automate 흐름 빌드

  1. 구현할 수 있는 경고의 예는 Microsoft 365 보안 및 규정 준수 감사 로그를 구독하는 것입니다.
  2. 이것은 웹후크 구독 또는폴링 방법을 통해 수행할 수 있습니다. 그러나 이러한 알림에 Power Automate를 첨부하면 관리자에게 전자 메일 알림 이상의 기능을 제공할 수 있습니다.

Power Apps, Power Automate 및 PowerShell에 필요한 정책 빌드

  1. 이러한 PowerShell cmdlet를 사용하면 필요한 거버넌스 정책을 자동화하기 위해 관리자가 직접 제어할 수 있습니다.
  2. 관리 커넥터는 Power Apps 및 Power Automate를 활용하여 동일한 수준의 제어를 제공하는 동시에 확장성과 사용 편의성을 더할 수 있습니다.
  3. 다음 관리 커넥터용 Power Automate 템플릿은 다음을 빠르게 증가시키기 위해 존재합니다.
    1. 새 Power Automate 커넥터 나열
    2. 새로운 Power Apps, Power Automate 흐름 및 커넥터 목록 가져오기
    3. Office 365 메시지 센터 고지 사항의 주간 요약 이메일 전송 요청
    4. Power Automate에서 Office 365 보안 및 규정 준수 로그 액세스
  4. 블로그 및 앱 템플릿을 사용하여 관리 커넥터를 빠르게 활용하십시오.
  5. 또한 커뮤니티 앱 갤러리에서 공유된 콘텐츠를 확인하는 것이 좋습니다. 여기에 Power Apps 및 관리자 커넥터를 사용하여 빌드된 관리 환경의 또 다른 예가 있습니다.

자주 묻는 질문

문제 현재 Microsoft E3 라이선스가 있는 모든 사용자는 기본 환경에서 앱을 만들 수 있습니다. 예를 들어, 어떻게 선택 그룹에 대한 환경 작성기 권한을 활성화할 수 있을까요. 앱을 만들 10명?

권장 사항PowerShell cmdlet관리 커넥터는 관리자가 조직에 원하는 정책을 구축하기 위한 모든 유연성과 제어를 제공합니다.

모니터링

모니터링은 대규모로 소프트웨어를 관리하는 데 있어 중요한 측면이라는 것을 잘 이해하고 있으며 이 섹션은 Power Apps 및 Power Automate 개발 및 사용에 대한 통찰을 얻을 수 있는 몇 가지 수단을 강조합니다.

감사 내역 검토

Power Apps에 대한 활동 로깅은 Dataverse 및 Microsoft 365와 같은 Microsoft 서비스 전체에 걸친 종합적인 로깅을 위해 Office 보안 및 규정 준수 센터와 통합됩니다. Office는이 데이터를 쿼리하는 API를 제공합니다. 이 API는 현재 많은 SIEM 공급 업체에서 보고를 위해 활동 로깅 데이터를 사용하는 데 사용됩니다.

Power Apps 및 Power Automate 라이선스 보고서 보기

  1. Power Platform 관리 센터로 이동합니다.

  2. 분석>Power Automate 또는 Power Apps를 선택합니다.

  3. Power Apps 및 Power Automate 관리자 분석 보기

    다음 탭에 대한 정보를 얻을 수 있습니다.

    • 활성 사용자 및 앱 사용 - 얼마나 많은 사용자가 앱을 사용하고 있으며 얼마나 자주 사용합니까?
    • 위치 – 어디에서 사용합니까?
    • 커넥터의 서비스 성능
    • 오류 보고 – 가장 오류가 발생하기 쉬운 앱
    • 유형 및 날짜별 사용 흐름
    • 유형 및 날짜로 만든 흐름
    • 응용 프로그램 수준 감사
    • 서비스 상태
    • 사용된 커넥터

라이선스가 부여된 사용자 보기

특정 사용자에 대한 심층적인 이해를 통해 Microsoft 365 관리 센터에서 언제든지 개별 사용자 라이선스를 확인할 수 있습니다.

다음 PowerShell 명령을 사용하여 할당된 사용자 라이선스를 내보낼 수도 있습니다.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

할당된 모든 사용자 라이선스(Power Apps 및 Power Automate)를 테넌트에서 테이블 형식의 .csv 파일로 내보냅니다. 내보낸 파일에는 셀프 서비스 가입 내부 평가판 플랜과 Microsoft Entra ID가 원본 위치인 플랜이 모두 포함되어 있습니다. 내부 평가판 플랜은 Microsoft 365 관리 센터의 관리자에게 표시되지 않습니다.

내보내기는 Power Platform사용자 수가 많은 테넌트의 경우 시간이 걸릴 수 있습니다.

환경에서 사용되는 앱 리소스 보기

  1. Power Platform 관리 센터에서 탐색 메뉴의 환경을 선택합니다.
  2. 환경을 선택합니다.
  3. 선택적으로 환경에서 사용되는 리소스 목록은 .csv로 다운로드될 수 있습니다.

참조

모범 사례를 사용한 Power Automate 환경의 보호 및 관리
Microsoft Power Platform CoE(우수성 센터) 시작 키트