Kopīgot, izmantojot

Drošības un pārvaldības apsvērumi

  • Raksts

Daudzi klienti domā par to, kā Power Platform padarīt plaši pieejamu savā uzņēmumā un saņemt atbalstu no IT darbiniekiem? Risinājums ir — pārvaldība. Tās mērķis ir dot iespēju darba grupām koncentrēties uz efektīvu biznesa problēmu risināšanu, ievērojot IT un uzņēmējdarbības atbilstības standartus. Šis saturs ir paredzēts, lai strukturētu dizainus, kas bieži ir saistīti ar programmatūras pārvaldību, un informētu par katram dizainam pieejamajām iespējām, jo tās ir saistītas ar Power Platform pārvaldību.

Motīvs Bieži uzdotie jautājumi saistībā ar katru tēmu, kas ir saistīta ar šo saturu
Arhitektūra
  • Kādas ir Power Apps, Power Automate un Microsoft Dataverse galvenās konstrukcijas un koncepcijas?

  • Kā šīs konstrukcijas līdzāspastāv projektēšanas un palaišanas laikā?
Drošība
  • Kāda ir labākā prakse attiecībā uz dizaina drošības apsvērumiem?

  • Kā izmantot mūsu esošos lietotāju un grupu pārvaldības risinājumus, lai pārvaldītu piekļuves un drošības lomas Power Apps?
Brīdinājumi un darbība
  • Kā definēt pārvaldības modeli izstrādātājiem un pārvaldītiem IT pakalpojumiem?

  • Kā definēt pārvaldības modeli galvenajiem IT un uzņēmuma struktūrvienību administratoriem?

  • Kā savā organizācijā vērsties pēc atbalsta saistībā ar vidēm, kas nav noklusējuma vides?
Pārraudzība
  • Kā tiek nodrošināta datu vākšanas atbilstība/audits?

  • Kā var novērtēt ieviešanu un lietojumu savā organizācijā?

Arhitektūra

Vispirms ieteicams iepazīties ar vidēm, lai izveidotu pareizu pārvaldības scenāriju savam uzņēmumam. Vides ir konteineri visiem resursiem, ko izmanto programmas Power Apps, Power Automate un Dataverse. Vides pārskats ir labs gruntējums, kam jāseko Kas ir Dataverse?, Veidi,Savienotāji Power Apps Microsoft Power Automate un lokāls Vārtejas. ...

Drošība

Šajā sadaļā ir izklāstīti mehānismi, kas pastāv, lai kontrolētu, kas var piekļūt Power Apps videi un piekļūt datiem: licences, vides, vides lomas, Microsoft Entra ID, datu zuduma novēršanas politikas un administratora savienotāji, ar kuriem var izmantot Power Automate.

Licencēšana

Piekļuve Power Apps un Power Automate sākas ar licences iegūšanu. Lietotājam pieejamais licences tips nosaka līdzekļus un datus, kuriem lietotājs var piekļūt. Tālāk sniegtajā tabulā ir norādītas to resursu atšķirības, kas ir pieejami lietotājam, pamatojoties uz plāna tipu, sākot ar augstāko līmeni. Detalizētu informāciju par licencēšanu skatiet sadaļā Pārskats par licencēšanu.

Plāns Apraksts
Iekļauta sistēma Microsoft 365 Ļauj lietotājiem paplašināt SharePoint un citus Office līdzekļus, kas viņiem jau ir.
Iekļauta sistēma Dynamics 365 Tas lietotājiem ļauj pielāgot un paplašināt tās klientu piesaistīšanas programmas (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing un Dynamics 365 Project Service Automation), kas viņiem jau ir.
Power Apps plāns Tas ļauj:
  • padarīt pieejamus lietošanai uzņēmuma savienotājus un Dataverse;
  • lietotājiem izmantot spēcīgu biznesa loģiku visu tipu programmās un ar visām administrēšanas iespējām.
Power Apps kopiena Tas ļauj lietotājam izmantot Power Apps un Power Automate Dataverse pielāgot savienotājus vienā individuālai lietošanai. Programmas nevar koplietot.
Power Automate bezmaksas versija Tādējādi lietotāji var izveidot neierobežotas plūsmas un veikt 750 palaišanas.
Power Automate plāns Skatīt Microsoft Power Apps un Microsoft Power Automate licencēšanas ceļvedis.

Vides

Kad lietotājiem ir licences, vides pastāv kā konteineri visiem resursiem, kurus izmanto Power Apps, Power Automate un Dataverse. Vides var izmantot, lai atlasītu dažādas mērķauditorijas un/vai dažādiem mērķiem, piemēram, izstrādei, testēšanai un ražošanai. Papildinformāciju skatiet tēmā Pārskats par vidēm.

Datu un tīkla aizsargāšana

  • Power Apps un Power Automate nenodrošina lietotājiem piekļuvi datu līdzekļiem, kuriem viņiem vēl nav piekļuves. Lietotājiem ir piekļuve tikai tiem datiem, kuriem viņiem patiešām ir nepieciešams piekļūt.
  • Tīkla piekļuves kontroles politikas var attiekties arī uz Power Apps un Power Automate. Attiecībā uz vidi, tā var bloķēt piekļuvi vietnei tīklā, bloķējot pierakstīšanās lapu, lai programmās Power Apps un Power Automate neļautu veidot savienojumus ar šo vietni.
  • Vidē piekļuve tiek kontrolēta trijos līmeņos: Vides lomas, Resursu atļaujas programmām Power Apps, Power Automate utt. un Dataverse drošības lomas (ja ir nodrošināta Dataverse datu bāze).
  • Kad Dataverse tas tiek izveidots vidē, Dataverse lomas pārņem, lai kontrolētu drošību vidē (un visi vides administratori un veidotāji tiek migrēti).

Katram lomas tipam tiek atbalstīti tālāk norādītie vadītāji.

Vides tips Loma Galvenais tips (Microsoft Entra ID)
Vide bez Dataverse Vides loma Lietotājs, grupa, nomnieks
Resursa atļauja: audekla programma Lietotājs, grupa, nomnieks
Resursa atļauja: Power Automate, pielāgots savienotājs, vārtejas, savienojumi1 Lietotājs, grupa
Vide ar Dataverse Vides loma User
Resursa atļauja: audekla programma Lietotājs, grupa, nomnieks
Resursa atļauja: Power Automate, pielāgots savienotājs, vārtejas, savienojumi1 Lietotājs, grupa
Dataverse loma (attiecas uz visām modeļa vadītajām programmām un komponentiem) User

1Var kopīgot tikai noteiktus savienojumus (piemēram, SQL).

Note

  • Noklusējuma vidē visiem nomnieka lietotājiem tiek piešķirta piekļuve vides veidotāja lomai.
  • Lietotājiem ar administratora Power Platform lomu ir administratora piekļuve visām vidēm.

Bieži uzdotie jautājumi — kādas atļaujas pastāv nomnieka Microsoft Entra līmenī?

Šodien Microsoft Power Platform administratori var veikt šādas darbības:

  1. Lejupielādēt Power Apps un Power Automate licenču pārskatu
  2. Izveidot DLP politiku, kas ir noteikta tikai attiecībā uz visām vidēm vai tvērumu, lai iekļautu/izslēgtu noteiktas vides
  3. Pārvaldīt un piešķirt licences, izmantojot Office administrēšanas centru
  4. Piekļūstiet visām vides, programmas un plūsmas pārvaldības iespējām visām vidēm, kas pieejamas nomniekam ar:
    • Power Apps administrēšanas PowerShell cmdlets
    • Power Apps pārvaldības savienotājus
  5. Piekļūstiet visu nomnieka vižu Power Apps un Power Automate administrēšanas analīzes datiem:

Apsveriet Microsoft Intune

Klienti ar Microsoft Intune var iestatīt mobilo lietojumprogrammu aizsardzības politiku gan lietotnēm, gan Power Apps Power Automate lietotnēm Android un iOS. Šajā sadaļā ir sniegto norādījumi par politikas iestatīšanu, izmantojot Intune pakalpojumam Power Automate.

Ar atrašanās vietu saistītas nosacītās piekļuves iestatīšana

Klientiem ar Microsoft Entra ID P1 vai P2 ierobežotas piekļuves politikas var definēt pakalpojumā Azure for Power Apps un Power Automate. Tas ļauj piešķirt vai bloķēt piekļuvi, pamatojoties uz lietotāju/grupu, ierīci vai atrašanās vietu.

Nosacītās piekļuves politikas izveide

  1. Pierakstieties programmatūrā https://portal.azure.com.
  2. Atlasiet Ierobežota piekļuve.
  3. Atlasiet + Jauna politika.
  4. Atlasiet atlasītos lietotājus un grupas.
  5. Atlasiet Visas mākoņa programmas>Visas mākoņa programmas>Common Data Service, lai kontrolētu piekļuvi Customer Engagement programmām.
  6. Lietojiet nosacījumus (lietotāja riski, ierīču platformas, atrašanās vietas).
  7. Atlasiet Izveidot.

Datu noplūdes novēršana, izmantojot datu zuduma novēršanas politikas

Datu zuduma novēršanas politikas (Data loss prevention policies — DLP) īsteno kārtulas, kurām savienotājus var izmantot kopā, klasificējot savienotājus kā tikai biznesa datus vai kā tādus, kuros nav atļauti biznesa dati. Vienkārši — ja ievietojat savienotāju grupā Tikai uzņēmuma dati, to var izmantot tikai ar citiem savienotājiem no šīs grupas tajā pašā programmā. Power Platform administratori var definēt politikas, kas attiecas uz visām vidēm.

Bieži uzdotie jautājumi

J. Vai nomnieka līmenī var kontrolēt, kurš savienotājs ir pieejams, piemēram, Nē uz Dropbox vai Twitter, bet Jā uz SharePoint?

A. Tas ir iespējams, izmantojot savienotāju klasifikācijas iespējas un piešķirot bloķēto klasifikatoru vienam vai vairākiem savienotājiem, kurus vēlaties nelietot. Ņemiet vērā, ka pastāv savienotāju kopa, ko nevar bloķēt.

J: Vai lietotāji var koplietot savienotājus? Piemēram, vai Teams savienotājs ir vispārējs savienotājs, ko var koplietot?

A: Savienotāji ir pieejami visiem lietotājiem, izņemot premium vai pielāgotos savienotājus, kuriem nepieciešama vai nu cita licence (premium savienotāji), vai arī tie ir skaidri jākopīgo (pielāgoti savienotāji)

Brīdinājumi un darbība

Papildus uzraudzībai daudzi klienti vēlas abonēt programmatūras izveidi, lietošanu vai ar veselību saistītus pasākumus, lai zinātu, kad veikt darbību. Šajā sadaļā ir aprakstītas dažas iespējas, kā novērot notikumus (manuāli un programmiski) un veikt darbības, ko izraisa notikuma gadījums.

Power Automate plūsmu izveide, lai brīdinātu par galvenajiem audita notikumiem

  1. Ieviešama brīdinājuma piemērs ir Microsoft 365 drošības un atbilstības audita žurnālu abonēšana.
  2. To var izdarīt, izmantojot tīmekļa aizķeres abonementu vai aptaujas pieeju. Tomēr, pievienojot Power Automate šiem brīdinājumiem, mēs varam nodrošināt administratoriem vairāk nekā tikai e-pasta brīdinājumus.

Nepieciešamo politiku izveide, izmantojot Power Apps, Power Automate un PowerShell

  1. Šie PowerShell cmdlets sniedz administratoriem pilnas kontroles iespējas, lai automatizētu nepieciešamās pārvaldības politikas.
  2. Pārvaldības savienotāji nodrošina tādu pašu vadības līmeni, bet ar papildu paplašināmību un lietošanas ērtumu, izmantojot Power Apps un Power Automate.
  3. Administrēšanas savienotājiem ir pieejamas tālāk norādītās Power Automate veidnes, kas ļauj veikt ātru paplašināšanu.
    1. Uzskaitiet jaunus Power Automate savienotājus
    2. Iegūt jauno Power Apps, Power Automate plūsmu un savienotāju sarakstu
    3. Nosūtiet man e-pasta ziņojumu centra paziņojumu iknedēļas kopsavilkumu Office 365
    4. Piekļūstiet Office 365 drošības un atbilstības žurnāliem no Power Automate
  4. Izmantojiet šo bloga un programmas veidni, lai ātri uzņemtu apgriezienus ar administrēšanas savienotājiem.
  5. Turklāt ir vērts apskatīt saturu, kas sniegts kopienas programmu galerijā. Tālāk ir sniegts vēl viens administrēšanas pieredzes piemērs, izmantojot Power Apps un administrēšanas savienotājus.

BUJ

Problēma Pašlaik visi lietotāji ar Microsoft E3 licencēm var izveidot programmas noklusējuma vidē. Kā mēs varam iespējot vides veidotāja tiesības atlasītai grupai, piemēram. Desmit personas, lai izveidotu lietotnes?

Ieteikums PowerShell cmdlet un pārvaldības savienotāji nodrošina administratoriem pilnīgu elastību un kontroli, lai izveidotu savai organizācijai vēlamās politikas.

Pārraudzīšana

Ir labi saprotams, ka uzraudzība ir kritisks programmatūras pārvaldības aspekts mērogā. Šajā sadaļā ir izcelti pāris līdzekļi, lai gūtu ieskatu Power Apps , Power Automate izstrādi un izmantošanu.

Audita žurnāla pārskatīšana

Darbību reģistrēšana ir integrēta Power Apps ar Office drošības un atbilstības centru, lai nodrošinātu visaptverošu reģistrēšanu dažādos Microsoft pakalpojumos, piemēram, Dataverse un Microsoft 365. Office nodrošina API, lai vaicātu šos datus, ko pašlaik izmanto daudzi SIEM pārdevēji, lai lietotu darbību reģistra datus atskaišu izveidei.

Skatīt Power Apps un Power Automate licences atskaite

  1. Dodieties uz Power Platform administrēšanas centru.

  2. Atlasiet Analīze>Power Automate vai Power Apps.

  3. Power Apps un Power Automate administrēšanas analīzes datu skatīšana

    Varat iegūt tālāk minēto Informāciju.

    • Aktīvais lietotājs un programmas lietojums — cik lietotāju izmanto programmu un cik bieži to dara?
    • Atrašanās vieta — kur programmas tiek lietotas?
    • Savienotāju servisa veiktspēja
    • Kļūdu uzrādīšana — kurās programmās ir visvairāk kļūdu
    • Lietotās plūsmas pēc tipa un datuma
    • Izveidotās plūsmas pēc tipa un datuma
    • Programmas līmeņa auditēšana
    • Pakalpojuma darbspēja
    • Izmantotie savienotāji

Skatīt, kādi lietotāji ir licencēti

Jūs vienmēr varat apskatīt atsevišķu lietotāju licencēšanu Microsoft 365 administrēšanas centrā, rokoties konkrētos lietotājos.

Lai eksportētu piešķirtās lietotāju licences, varat lietot arī tālāk minēto PowerShell komandu.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportē visas piešķirtās lietotāju licences (Power Apps un Power Automate) jūsu nomniekā uz tabulārā skata .csv failu. Eksportētajā failā ir gan pašapkalpošanās reģistrēšanās iekšējie izmēģinājumversijas plāni, gan plāni, kuru avots Microsoft Entra ir ID. Iekšējie izmēģinājuma plāni nav redzami administratoriem Microsoft 365 administrēšanas centrā.

Lai varētu veikt eksportēšanu, nomniekiem var būt vajadzīgs daudz Power Platform lietotāju.

Vidē izmantoto programmas resursu skatīšana

  1. Risinājuma Power Platform administrēšanas centra navigācijas izvēlnē atlasiet Vides.
  2. Atlasiet Vide.
  3. Pēc izvēles vidē izmantoto resursu sarakstu var lejupielādēt kā .csv.

Skatiet arī:

Izmantojiet paraugpraksi, lai aizsargātu un pārvaldītu Power Automate vidi
Microsoft Power Platform Izcilības centra (CoE) sākuma komplekts