Drošības un pārvaldības apsvērumi

  • Raksts

Daudzi klienti domā par to, kā Power Platform padarīt plaši pieejamu savā uzņēmumā un saņemt atbalstu no IT darbiniekiem? Risinājums ir — pārvaldība. Tās mērķis ir dot iespēju darba grupām koncentrēties uz efektīvu biznesa problēmu risināšanu, ievērojot IT un uzņēmējdarbības atbilstības standartus. Šis saturs ir paredzēts, lai strukturētu dizainus, kas bieži ir saistīti ar programmatūras pārvaldību, un informētu par katram dizainam pieejamajām iespējām, jo tās ir saistītas ar Power Platform pārvaldību.

Motīvs Bieži uzdotie jautājumi saistībā ar katru tēmu, kas ir saistīta ar šo saturu
Arhitektūra
  • Kādas ir Power Apps, Power Automate un Microsoft Dataverse galvenās konstrukcijas un koncepcijas?

  • Kā šīs konstrukcijas līdzāspastāv projektēšanas un palaišanas laikā?
Drošība
  • Kāda ir labākā prakse attiecībā uz dizaina drošības apsvērumiem?

  • Kā izmantot savus esošos lietotāju un grupu pārvaldības risinājumus, lai pārvaldītu Power Apps piekļuves un drošības lomas?
Brīdinājumi un darbība
  • Kā definēt pārvaldības modeli izstrādātājiem un pārvaldītiem IT pakalpojumiem?

  • Kā definēt pārvaldības modeli galvenajiem IT un uzņēmuma struktūrvienību administratoriem?

  • Kā savā organizācijā vērsties pēc atbalsta saistībā ar vidēm, kas nav noklusējuma vides?
Pārraudzība
  • Kā tiek nodrošināta datu vākšanas atbilstība/audits?

  • Kā var novērtēt ieviešanu un lietojumu savā organizācijā?

Arhitektūra

Vispirms ieteicams iepazīties ar vidēm, lai izveidotu pareizu pārvaldības scenāriju savam uzņēmumam. Vides ir konteineri visiem resursiem, ko izmanto programmas Power Apps, Power Automate un Dataverse. Vides pārskats ir labs pamats, kuram būtu jāseko pēc Kas ir Dataverse?, Power Apps tipi, Microsoft Power Automate, Savienotāji un Lokālās vārtejas.

Drošība

Šajā sadaļā ir izklāstīti mehānismi, kas pastāv, lai kontrolētu, kas var piekļūt videi un piekļūt Power Apps datiem: licences, vides, vides lomas, ID, Microsoft Entra datu zuduma novēršanas politikas un administratora savienotāji, ar kuriem var izmantot Power Automate.

Licencēšana

Piekļuve Power Apps un Power Automate sākas ar licences iegūšanu. Lietotājam pieejamais licences tips nosaka līdzekļus un datus, kuriem lietotājs var piekļūt. Tālāk sniegtajā tabulā ir norādītas to resursu atšķirības, kas ir pieejami lietotājam, pamatojoties uz plāna tipu, sākot ar augstāko līmeni. Detalizētu informāciju par licencēšanu skatiet sadaļā Pārskats par licencēšanu.

Plāns Apraksts
Iekļauta sistēma Microsoft 365 Ļauj lietotājiem paplašināt SharePoint un citus Office līdzekļus, kas viņiem jau ir.
Iekļauta sistēma Dynamics 365 Tas lietotājiem ļauj pielāgot un paplašināt tās klientu piesaistīšanas programmas (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing un Dynamics 365 Project Service Automation), kas viņiem jau ir.
Power Apps plāns Tas ļauj:
  • padarīt pieejamus lietošanai uzņēmuma savienotājus un Dataverse;
  • lietotājiem izmantot spēcīgu biznesa loģiku visu tipu programmās un ar visām administrēšanas iespējām.
Power Apps kopiena Tas ļauj lietotājam individuāli lietot programmas Power Apps, Power Automate, Dataverse un klientu savienotājus. Programmas nevar koplietot.
Power Automate bezmaksas versija Tādējādi lietotāji var izveidot neierobežotas plūsmas un veikt 750 palaišanas.
Power Automate plāns Skatīt Microsoft Power Apps un Microsoft Power Automate licencēšanas ceļvedis.

Vides

Kad lietotājiem ir licences, vides pastāv kā konteineri visiem resursiem, kurus izmanto Power Apps, Power Automate un Dataverse. Vides var izmantot, lai mērķētu uz dažādām auditorijām un/vai dažādiem nolūkiem, piemēram, izstrādi, testēšanu un ražošanu. Papildinformāciju skatiet tēmā Pārskats par vidēm.

Datu un tīkla aizsargāšana

  • Power Apps un Power Automate nenodrošina lietotājiem piekļuvi visiem datu līdzekļiem, kuriem viņiem vēl nav piekļuves. Lietotājiem ir piekļuve tikai tiem datiem, kuriem viņiem patiešām ir nepieciešams piekļūt.
  • Tīkla piekļuves kontroles politikas var attiekties arī uz Power Apps un Power Automate. Attiecībā uz vidi, tā var bloķēt piekļuvi vietnei tīklā, bloķējot pierakstīšanās lapu, lai programmās Power Apps un Power Automate neļautu veidot savienojumus ar šo vietni.
  • Vidē piekļuve tiek kontrolēta trijos līmeņos: Vides lomas, Resursu atļaujas programmām Power Apps, Power Automate utt. un Dataverse drošības lomas (ja ir nodrošināta Dataverse datu bāze).
  • Ja Dataverse tiek izveidots vidē, Dataverse lomas ņems virsroku pār vides drošības kontroli (un visi vides administratori un izstrādātāji tiks migrēti).

Katram lomas tipam tiek atbalstīti tālāk norādītie vadītāji.

Vides tips Loma Galvenais tips (Microsoft Entra ID)
Vide bez Dataverse Vides loma Lietotājs, grupa, nomnieks
Resursa atļauja: audekla programma Lietotājs, grupa, nomnieks
Resursa atļauja: Power Automate, pielāgots savienotājs, vārtejas, savienojumi1 Lietotājs, grupa
Vide ar Dataverse Vides loma User
Resursa atļauja: audekla programma Lietotājs, grupa, nomnieks
Resursa atļauja: Power Automate, pielāgots savienotājs, vārtejas, savienojumi1 Lietotājs, grupa
Dataverse loma (attiecas uz visām modeļa vadītajām programmām un komponentiem) User

1Var kopīgot tikai noteiktus savienojumus (piemēram, SQL).

Note

  • Noklusējuma vidē visiem nomnieka lietotājiem tiek piešķirta piekļuve vides veidotāja lomai.
  • Microsoft Entra nomnieka globālajiem administratoriem ir administratora piekļuve visām vidēm.

Bieži uzdotie jautājumi - Kādas atļaujas pastāv nomnieka Microsoft Entra līmenī?

Šodien Microsoft Power Platform administratori var veikt šādas darbības:

  1. Lejupielādēt Power Apps un Power Automate licenču pārskatu
  2. Izveidot DLP politiku, kas ir noteikta tikai attiecībā uz visām vidēm vai tvērumu, lai iekļautu/izslēgtu noteiktas vides
  3. Pārvaldīt un piešķirt licences, izmantojot Office administrēšanas centru
  4. Piekļūstiet visām vides, programmas un plūsmas pārvaldības iespējām visām vidēm, kas pieejamas nomniekam ar:
    • Power Apps administrēšanas PowerShell cmdlets
    • Power Apps pārvaldības savienotājus
  5. Piekļūstiet visu nomnieka vižu Power Apps un Power Automate administrēšanas analīzes datiem:

Microsoft Intune lietošanas iespējas

Klienti, kas izmanto Microsoft Intune, var iestatīt mobilo lietojumprogrammu aizsardzības politikas gan lietotnēm, gan Power Apps lietotnēm Power Automate Android . iOS Šajā sadaļā ir sniegto norādījumi par politikas iestatīšanu, izmantojot Intune pakalpojumam Power Automate.

Ar atrašanās vietu saistītas nosacītās piekļuves iestatīšana

Klientiem ar Microsoft Entra ID P1 vai P2 ierobežotas piekļuves politikas var definēt pakalpojumā Azure for Power Apps un Power Automate. Tas ļauj piešķirt vai bloķēt piekļuvi, pamatojoties uz lietotāju/grupu, ierīci vai atrašanās vietu.

Nosacītās piekļuves politikas izveide

  1. Pierakstieties programmatūrā https://portal.azure.com.
  2. Atlasiet Ierobežota piekļuve.
  3. Atlasiet + Jauna politika.
  4. AtlasietLietotāji un grupas atlasīti.
  5. Atlasiet Visas mākoņa programmas>Visas mākoņa programmas>Common Data Service, lai kontrolētu piekļuvi Customer Engagement programmām.
  6. Lietojiet nosacījumus (lietotāja riski, ierīču platformas, atrašanās vietas).
  7. Atlasiet Izveidot.

Datu noplūdes novēršana, izmantojot datu zuduma novēršanas politikas

Datu zuduma novēršanas politikas (Data loss prevention — DLP) īsteno kārtulas, ko savienotāji var izmantot kopīgi, klasificējot savienotājus kā Tikai uzņēmuma datus vai Uzņēmuma dati nav atļauti. Vienkārši — ja ievietojat savienotāju grupā Tikai uzņēmuma dati, to var izmantot tikai ar citiem savienotājiem no šīs grupas tajā pašā programmā. Power Platform administratori var definēt politikas, kas attiecas uz visām vidēm.

Bieži uzdotie jautājumi

J. Vai nomnieka līmenī var kontrolēt, kurš savienotājs ir pieejams, piemēram, Nē uz Dropbox vai Twitter, bet Jā uz SharePoint?

A. Tas ir iespējams, izmantojot savienotāju klasifikācijas iespējas un piešķirot bloķēto klasifikatoru vienam vai vairākiem savienotājiem, kurus vēlaties nelietot. Ņemiet vērā, ka pastāv savienotāju kopa, ko nevar bloķēt.

J: Vai lietotāji var koplietot savienotājus? Piemēram, vai Teams savienotājs ir vispārējs savienotājs, ko var koplietot?

A: Savienotāji ir pieejami visiem lietotājiem. Izņemot Premium vai pielāgotos savienotājus, kuriem nepieciešama papildu licence (Premium savienotājiem) vai jābūt tieši kopīgotiem (pielāgotajiem savienotājiem)

Brīdinājumi un darbība

Papildus pārraudzībai daudzi klienti vēlas abonēt programmatūras izstrādes, lietojuma vai veselības notikumus, lai viņi zinātu, kad veikt darbību. Šajā sadaļā ir aprakstītas dažas iespējas, kā novērot notikumus (manuāli un programmiski) un veikt darbības, ko izraisa notikuma gadījums.

Power Automate plūsmu izveide, lai brīdinātu par galvenajiem audita notikumiem

  1. Ieviešama brīdinājuma piemērs ir Microsoft 365 drošības un atbilstības audita žurnālu abonēšana.
  2. To var izdarīt, izmantojot tīmekļa aizķeres abonementu vai aptaujas pieeju. Tomēr, pievienojot Power Automate šiem brīdinājumiem, mēs varam nodrošināt administratoriem vairāk nekā tikai e-pasta brīdinājumus.

Nepieciešamo politiku izveide, izmantojot Power Apps, Power Automate un PowerShell

  1. Šie PowerShell cmdlets sniedz administratoriem pilnas kontroles iespējas, lai automatizētu nepieciešamās pārvaldības politikas.
  2. Pārvaldības savienotāji nodrošina to pašu kontroles līmeni, tikai ar papildu paplašināmību un atvieglotu lietošanu, izmantojot Power Apps un Power Automate.
  3. Administrēšanas savienotājiem ir pieejamas tālāk norādītās Power Automate veidnes, kas ļauj veikt ātru paplašināšanu.
    1. Jauno Power Automate savienotāju saraksts
    2. Saņemt sarakstu ar jaunām Power Apps, Power Automate plūsmām un savienotājiem
    3. Reizi nedēļā nosūtīt e-pasta ziņojumu ar kopsavilkumu par Office 365 ziņojumu centra paziņojumiem
    4. Piekļuve Office 365 drošības un atbilstības žurnāliem no Power Automate
  4. Izmantojiet šo bloga un programmas veidni, lai ātri uzņemtu apgriezienus ar administrēšanas savienotājiem.
  5. Turklāt ir vērts apskatīt saturu, kas sniegts kopienas programmu galerijā. Tālāk ir sniegts vēl viens administrēšanas pieredzes piemērs, izmantojot Power Apps un administrēšanas savienotājus.

BUJ

Problēma pašlaik visi lietotāji, kam ir Microsoft E3 licences, var izveidot programmas noklusējuma vidē. Kā mēs varam iespējot vides veidotāja tiesības atlasītai grupai, piemēram. 10 personām programmu izveidei?

Ieteikums:PowerShell cmdlets un pārvaldības savienotāji nodrošina pilnīgu elastību un kontroli administratoriem, lai veidotu politikas, ko viņi vēlas ieviest savā organizācijā.

Pārraudzība

Ir saprotams, ka pārvaldība ir kritisks programmatūras pārvaldības aspekts pēc apjoma, tādēļ šajā sadaļā ir minēti daži līdzekļi, kas ļauj gūt ieskatu par Power Apps un Power Automate izstrādi un lietošanu.

Audita žurnāla pārskatīšana

Darbību reģistrēšana pakalpojumam Power Apps ir integrēta Office drošības un atbilstības centrā, lai nodrošinātu visaptverošu pieteikšanos Microsoft pakalpojumos, piemēram, Dataverse un Microsoft 365. Office nodrošina API, lai vaicātu šos datus, ko pašlaik izmanto daudzi SIEM pārdevēji, lai lietotu darbību reģistra datus atskaišu izveidei.

Skatīt Power Apps un Power Automate licences atskaite

  1. Dodieties uz Power Platform administrēšanas centru.

  2. Atlasiet Analīze>Power Automate vai Power Apps.

  3. Power Apps un Power Automate administrēšanas analīzes datu skatīšana

    Varat iegūt tālāk minēto Informāciju.

    • Aktīvais lietotājs un programmas lietojums — cik lietotāju izmanto programmu un cik bieži to dara?
    • Atrašanās vieta — kur programmas tiek lietotas?
    • Savienotāju servisa veiktspēja
    • Kļūdu uzrādīšana — kurās programmās ir visvairāk kļūdu
    • Lietotās plūsmas pēc tipa un datuma
    • Izveidotās plūsmas pēc tipa un datuma
    • Programmas līmeņa auditēšana
    • Pakalpojuma darbspēja
    • Izmantotie savienotāji

Skatīt, kādi lietotāji ir licencēti

Jūs vienmēr varat apskatīt atsevišķu lietotāju licencēšanu Microsoft 365 administrēšanas centrā, rokoties konkrētos lietotājos.

Lai eksportētu piešķirtās lietotāju licences, varat lietot arī tālāk minēto PowerShell komandu.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportē visas piešķirtās lietotāju licences (Power Apps un Power Automate) jūsu nomniekā uz tabulārā skata .csv failu. Eksportētajā failā ir gan pašapkalpošanās reģistrēšanās iekšējie izmēģinājumversijas plāni, gan plāni, kuru avots Microsoft Entra ir ID. Iekšējie izmēģinājuma plāni nav redzami administratoriem Microsoft 365 administrēšanas centrā.

Lai varētu veikt eksportēšanu, nomniekiem var būt vajadzīgs daudz Power Platform lietotāju.

Vidē izmantoto programmas resursu skatīšana

  1. Risinājuma Power Platform administrēšanas centra navigācijas izvēlnē atlasiet Vides.
  2. Atlasiet Vide.
  3. Ja nepieciešams, vidē izmantoto resursu sarakstu var lejupielādēt .csv formātā.

Skatiet arī

Labākās prakses izmantošana, lai nodrošinātu un pārvaldītu Power Automate vides
Microsoft Power Platform Izcilības centra (CoE) sākuma komplekts