Bendrinti naudojant

Saugos ir valdymo aptarimas

  • Straipsnis

Daug klientų klausia, kaip įjungti Power Platform platesnį naudojimą verslo poreikiais ir jų IT palaikymą? Tai daroma naudojant valdymą. Taikant valdymą, siekiama verslo grupėms sudaryti sąlygas veiksmingai spręsti verslo problemas, tuo pat metu laikantis IT ir verslo atitikties standartų. Toliau pateikiamas turinys skirtas temoms, dažnai siejamoms su valdymo programine įranga, susisteminti ir pristatyti kiekvienos temos galimybes, susijusias su Power Platform.

Tema Dažnai užduodami klausimai apie kiekvieną temą, į kuriuos atsakoma turinyje
Architektūra
  • Kokios yra pagrindinės „Power Apps“, „Power Automate“ ir „Microsoft Dataverse“ konstrukcijos ir koncepcijos?

  • Kaip šios konstrukcijos dera tarpusavyje kuriant ir vykdant?
Sauga
  • Kokios geriausios praktikos taikytinos siekiant užtikrinti saugą?

  • Kaip panaudoti esamus vartotojų ir grupių valdymo sprendimus norint valdyti prieigą ir saugos vaidmenis platformoje „Power Apps“?
Įspėjimas ir veiksmas
  • Kaip apibrėžti valdymo modelį, taikomą piliečiams kūrėjams ir valdomam IT aptarnavimui?

  • Kaip apibrėžti valdymo modelį, taikomą centro IT ir verslo vieneto administratoriams?

  • Kaip kreiptis pagalbos dėl nenumatytųjų aplinkų organizacijoje?
Stebėjimas
  • Kaip fiksuojame atitikties / audito duomenis?

  • Kaip įvertinti pratinimą ir naudojimą organizacijoje?

Architektūra

Jei norite sukurti tinkamą įmonės valdymo istoriją, patartina susipažinti su aplinkomis kuo anksčiau. Aplinkos yra visų išteklių, kuriuos naudoja „Power Apps”, „Power Automate” ir „Dataverse”, talpyklos. Aplinkų apžvalga yra geras pradžiamokslis, po kurio turėtų būti nagrinėjami Kas yra Dataverse?, Tipai Power Apps, Microsoft Power Automate, Jungtys, ir Vietiniai vartai.

Sauga

Šiame skyriuje aprašomi mechanizmai, skirti kontroliuoti, kas gali pasiekti aplinką ir pasiekti Power Apps duomenis: licencijos, aplinkos, aplinkos vaidmenys, ID, Microsoft Entra duomenų praradimo prevencijos strategijos ir administravimo jungtys, su kuriomis galima naudoti Power Automate.

Licencijavimas

Prieiga prie „Power Apps” ir „Power Automate” prasideda nuo licencijos turėjimo. Vartotojo licencijos tipas apibrėžia turtą ir duomenis, kuriuos vartotojas gali pasiekti. Toliau pateikiamoje lentelėje aprašyti vartotojui prieinamų išteklių skirtumai pagal jo plano tipą, pradedant nuo aukšto lygiu. Išsamios licencijavimo informacijos ieškokite skyriuje Licencijavimo apžvalga.

Planas Aprašas
Įtrauktas „Microsoft 365“ Tai suteikia vartotojams galimybę išplėsti jau turimą „SharePoint“ ir kitą „Office“ turtą.
Įtraukta „Dynamics 365“ Tai leidžia vartotojams tinkinti ir išplėsti „klientų įtraukimo” programas („Dynamics 365 Sales”, „Dynamics 365 Customer Service”, „Dynamics 365 Field Service, „Dynamics 365 Marketing” ir „Dynamics 365 Project Service Automation”), kurias jie jau turi.
„Power Apps” planas Turint šį planą, galima:
  • suteikti prieigą prie įmonės jungčių ir „Dataverse“;
  • vartotojai gali naudoti patikimą verslo logiką skirtingų tipų programose ir administravimo galimybėse.
„Power Apps“ bendruomenė Vartotojas gali naudoti „Power Apps“, „Power Automate“, „Dataverse“ ir klientų jungtis asmeniniam naudojimui. Nėra galimybės bendrinti programas.
„Power Automate“ nemokamai Tai leidžia vartotojams kurti neribotus srautus ir atlikti 750 vykdymų.
„Power Automate” planas Žiūrėkite „Microsoft Power Apps” ir „Microsoft Power Automate” licencijavimo vadovas.

Aplinkos

Kai vartotojai turi licencijas, aplinkos yra kaip visų „Power Apps”, „Power Automate” ir „Dataverse” naudojamų išteklių talpyklos. Aplinkos gali būti naudojamos skirtingiems auditorijoms pasiekti ir (arba) įvairiais tikslais, pvz., kuriant, tiriant ir gaminant. Daugiau informacijos pateikiama skyriuje Aplinkų apžvalga.

Duomenų ir tinklo apsauga

  • „Power Apps“ ir „Power Automate“ nesuteikia vartotojams prieigos prie duomenų turto, prie kuriuo jie neturėjo prieigos. Vartotojams turėtų būti suteikiama prieiga tik prie tų duomenų, kurių jiems tikrai reikia.
  • Tinklo prieigos valdymo strategijos taip pat gali būti taikomos „Power Apps“ ir „Power Automate“. Aplinkoje galima blokuoti prieigą prie svetainės iš tinklo, blokuojant prisijungimo puslapį, kad su svetaine nebūtų galima susisiekti naudojant „Power Apps“ ir „Power Automate“.
  • Aplinkoje prieiga yra valdoma trimis lygiais: Aplinkos vaidmenys, Išteklių teisės, skirtos „Power Apps”, „Power Automate” ir kt., bei „Dataverse” saugos vaidmenys (jei sukonfigūruota „Dataverse” duomenų bazė).
  • Kai aplinkoje sukuriama „Dataverse“, „Dataverse“ vaidmenys perima aplinkos saugos valdymą (ir visi aplinkos administratoriai ir kūrėjai perkeliami).

Palaikomi toliau pateikiami vaidmenų tipų nariai.

Aplinkos tipas Vaidmuo Pagrindinis tipas (Microsoft Entra ID)
Aplinka, kurioje nėra „Dataverse“ Aplinkos vaidmuo Vartotojas, grupė, nuomotojas
Ištekliaus teisė: drobės programa Vartotojas, grupė, nuomotojas
Ištekliaus teisė: „Power Automate“, pasirinktinė jungtis, šliuzai, ryšiai1 Vartotojas, grupė
Aplinka, kurioje yra Dataverse Aplinkos vaidmuo Vartotojas
Ištekliaus teisė: drobės programa Vartotojas, grupė, nuomotojas
Ištekliaus teisė: „Power Automate“, pasirinktinė jungtis, šliuzai, ryšiai1 Vartotojas, grupė
„Dataverse“ vaidmuo (taikomas visoms modeliu grįstoms programoms ir komponentams) User

1Galima bendrinti tik tam tikrus ryšius (pvz., SQL).

Pastaba.

  • Numatytoje aplinkoje visiems nuomotojo vartotojams suteikiama prieiga prie vaidmens Aplinkų kūrėjas.
  • Microsoft Entra nuomotojo visuotiniai administratoriai turi administratoriaus prieigą prie visų aplinkų.

DUK - Kokios teisės galioja nuomotojo Microsoft Entra lygiu?

Šiuo metu „Microsoft Power Platform” administratoriai gali atlikti šiuos veiksmus:

  1. Atsisiųsti „Power Apps“ ir „Power Automate“ licencijos ataskaitą
  2. Kurti DLP strategiją, aprėpiančią tik „Visas aplinkas“ arba konkrečias aplinkas, kurias galima įtraukti arba neįtraukti
  3. Valdyti ir priskirti licencijas „Office“ administravimo centre
  4. Pasiekite visas aplinkas, programas ir srauto valdymo galimybes visose nuomotojo aplinkose, pasiekiamose:
    • „Power Apps“ administravimo „PowerShell“ „cmdlet“
    • „Power Apps“ valdymo jungtys
  5. Turėti prieigą prie „Power Apps“ ir „Power Automate“ administravimo analizės visose nuomotojo aplinkose:

„Microsoft Intune“ aptarimas

Klientai, turintys "Microsoft Intune", gali nustatyti mobiliųjų programų apsaugos strategijas abiem ir programoms Power Apps , esančioms Power Automate ir Android iOS. Šioje apžvalgoje aprašomas strategijos nustatymas naudojant „Intune“, skirtą „Power Automate“.

Vieta pagrįstos sąlyginės prieigos aptarimas

Klientams, turintiems Microsoft Entra ID P1 arba P2, sąlyginės prieigos strategijas galima apibrėžti "Azure", skirtoje Power Apps ir Power Automate. Taip galima suteikti arba blokuoti prieigą, remiantis vartotoju / grupe, įrenginiu, vieta.

Sąlyginės prieigos strategijos kūrimas

  1. Prisijunkite prie https://portal.azure.com.
  2. Pasirinkite Sąlyginė prieiga.
  3. Pasirinkite + Nauja strategija.
  4. Pasirinkite pažymėtus vartotojus ir grupes.
  5. Pasirinkite Visos debesies programos>Visos debesies programos>„Common Data Service“, kad valdytumėte prieigą prie „Customer Engagement“ programų.
  6. Pritaikykite sąlygas (vartotojo riziką, įrenginio platformos ir vietos).
  7. Pasirinkite Kurti.

Duomenų nutekėjimo prevencija naudojant duomenų praradimo prevencijos strategijas

Duomenų praradimo prevencijos strategijose (DLP) nustatomos taisyklės, kurioms apibrėžti jungtys gali būti naudojamos kartu, klasifikuojant jungtis kaip Tik verslo duomenys arba Verslo duomenys draudžiami. Trumpai tariant, jei įtraukėte jungtį į tik verslo duomenims skirtą grupę, jungtį galima naudoti tik su tos pačios grupės jungtimis toje pačioje programoje. „Power Platform” administratoriai gali apibrėžti strategijas, taikomas visose aplinkose.

DUK

K: Ar galiu nuomotojo lygiu kontroliuoti, kuri jungtis yra pasiekiama, pavyzdžiui, „Ne” į „Dropbox” arba „Twitter”, bet „Taip” į „SharePoint”?

A: Tai įmanoma naudojant jungčių klasifikacijos pajėgumus ir priskiriant Blokuotą klasifikatorių vienai ar daugiau jungčių, kurių nenorite naudoti. Atkreipkite dėmesį, kad yra jungčių, kurių negalima blokuoti.

Klausimas: ar vartotojai gali bendrinti jungtis? Pavyzdžiui, „Teams” jungtis yra bendra, kurią galima bendrinti?

Atsakymas: jungtys pasiekiamos visiems vartotojams. Išskyrus „Premium“ ar pasirinktines jungtis, kurioms arba reikia papildomos licencijos („Premium“ jungtys), arba jos turi būti bendrinamos (pasirinktinės jungtys)

Įspėjimas ir veiksmas

Be stebėjimo, daugelis klientų nori užsiprenumeruoti programinės įrangos kūrimo, naudojimo arba sveikatos įvykius, kad žinotų, kada atlikti veiksmą. Šiame skyriuje aprašomos kelios priemonės, skirtos stebėti įvykius (rankiniu būdu ir programiškai), ir atlikti veiksmus, kuriuos suaktyvino įvykis.

„Power Automate“ srautų, skirtų pranešti apie pagrindinius tikrinimo įvykius, kūrimas

  1. Įspėjimo, kurį galima sukurti, pavyzdys būtų „Microsoft 365“ saugos ir atitikties tikrinimo žurnalų prenumeravimas.
  2. Tai daroma užsiprenumeravus „Webhook“ arba naudojant apklausų metodą. Tačiau, prijungdami „Power Automate“ prie šių įspėjimų, administratoriams galime pateikti daugiau nei tiesiog el. pašto įspėjimus.

Kurkite reikiamas strategijas naudodami „Power Apps“, „Power Automate“ ir „PowerShell“

  1. Šie „PowerShell“ „cmdlet“ administratoriams suteikia visišką kontrolę, kad būtinos valdymo strategijos būtų automatizuotos.
  2. Valdymo jungtys užtikrina tokį patį valdymo lygį, bet dar suteikia išplečiamumo ir naudojimo paprastumo, naudodamos „Power Apps“ ir „Power Automate“.
  3. Toliau nurodyti „Power Automate“ administravimo jungčių šablonai naudojami, norint paspartinti darbą.
    1. Pateikti naujų „Power Automate“ jungčių sąrašą
    2. Gaukite naujų „Power Apps“, „Power Automate“ srautų ir jungčių sąrašą
    3. Kas savaitę siųsti „Office 365“ pranešimų centro įspėjimų suvestinę el. paštu
    4. Prieigos Office 365 Saugos ir atitikties žurnalai iš Power Automate
  4. Naudodami šį tinklaraštį ir programos šabloną galite greitai naudoti administravimo jungtis.
  5. Be to, verta susipažinti su turiniu, bendrinamu Bendruomenės programų galerijoje; štai dar vienas administravimo patirties, sukurtos naudojant „Power Apps“ ir administravimo jungtis, pavyzdys.

DUK

Problema Šiuo metu visi vartotojai su „Microsoft E3” licencijomis gali kurti programas numatytoje aplinkoje. Kaip galime įjungti aplinkos kūrėjo teises, pavyzdžiui, pasirinktos grupės. 10 asmenų, kuriančių programas?

Rekomendacija„PowerShell“ „cmdlet“ ir Valdymo jungtys administratoriams suteikia visišką lankstumą ir kontrolę, kad būtų galima kurti norimas strategijas organizacijoje.

Stebėjimas

Gerai suprantama, kad, stebėjimas yra itin svarbi programinės įrangos tvarkymo reikiamu mastu dalis, todėl šiame skyriuje pateikiamos kelios priemonės, naudojamos norint suprasti „Power Apps“ ir „Power Automate“ kūrimą bei naudojimą.

Įrašo sekimo peržiūra

Veiklos registravimas Power Apps iintegruotas į „Office“ saugos ir atitikties centrą, kad išsamus registravimas būtų įjungtas visose „Microsoft“ tarnybose, pvz., Dataverse ir Microsoft 365. „Office“ pateikia API, kad galėtų pateikti užklausas dėl šių duomenų, kuriuos šiuo metu naudoja daug SIEM tiekėjų, kad galėtų naudoti veiklos registravimo duomenis ataskaitoms pateikti.

„Power Apps” ir „Power Automate” licencijos ataskaitos peržiūra

  1. Eikite į „Power Platform“ administravimo centrą.

  2. Pasirinkite Analizė>„Power Automate“ arba „Power Apps“.

  3. „Power Apps“ ir „Power Automate“ administravimo analizės peržiūra

    Galite gauti informacija apie šiuos dalykus:

    • Aktyvieji vartotojai ir programų naudojimas – kiek vartotojų naudoja programą ir kaip dažnai?
    • Vieta – kur naudojama?
    • Jungčių aptarnavimo efektyvumas
    • Klaidų ataskaitos – kuriose programose dažniausiai pasitaiko klaidų
    • Naudojami srautai, suskirstyti pagal tipą ir datą
    • Sukurti srautai, suskirstyti pagal tipą ir datą
    • Tikrinimas programų lygiu
    • Aptarnavimo būsena
    • Naudojamos jungtys

Peržiūrėkite, kokie vartotojai turi licencijas

Visada galite patikrinti konkretaus vartotojo licencijavimą „Microsoft 365“ administravimo centre, detalizuodami iki konkrečių vartotojų.

Taip pat galite naudoti „PowerShell“ komandą priskirtoms vartotojo licencijoms eksportuoti.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportuoja visas priskirtas vartotojo licencijas („Power Apps“ ir „Power Automate“) į Jūsų nuomotojo lentelės formos rodinio .csv failą. Eksportuotame faile yra ir savitarnos registracijos vidiniai bandomieji planai, ir planai, gauti iš Microsoft Entra ID. Vidiniai bandomieji planai nėra matomi administratoriams „Microsoft 365“ administravimo centre.

Nuomotojams, turintiems didelį „Power Platform“ vartotojų skaičių, eksportavimas gali užtrukti.

Aplinkoje naudojamų programų išteklių peržiūra

  1. „Power Platform“ administravimo centro naršymo meniu pasirinkite Aplinkos.
  2. Pasirinkite aplinką.
  3. Pasirinktinai išteklių, naudojamų aplinkoje, sąrašą galima atsisiųsti .csv formatu.

Taip pat žr.

Naudokite geriausias praktikas norėdami apsaugoti ir valdyti „Power Automate“ aplinkas
Microsoft Power Platform Center of Excellence (CoE) pradžios rinkinys