Delen via

Beveiligings- en governance-overwegingen

  • Artikel

Veel klanten vragen zich af hoe Power Platform beschikbaar kan worden gemaakt voor hun bredere bedrijf en worden ondersteund door IT? Governance is het antwoord. Governance is bedoeld om bedrijfsgroepen in staat te stellen zich te concentreren op het efficiënt oplossen van bedrijfsproblemen en tegelijkertijd te voldoen aan IT- en nalevingsnormen. De volgende inhoud is bedoeld om thema's te structureren die vaak worden geassocieerd met beheersoftware en om bewustzijn te creëren over de mogelijkheden die beschikbaar zijn voor elk thema met betrekking tot het beheer van Power Platform.

Thema Veelgestelde vragen met betrekking tot elk thema waarop in dit artikel antwoorden worden gegeven
Architectuur
  • Wat zijn de basisconstructies en -concepten van Power Apps, Power Automate en Microsoft Dataverse?

  • Hoe komen deze concepten samen tijdens het ontwerpen en uitvoeren?
Beveiliging
  • Wat zijn de aanbevolen procedures voor het creëren van een beveiligingsontwerp?

  • Hoe kan ik onze bestaande oplossingen voor gebruikers- en groepsbeheer gebruiken om toegangs- en beveiligingsrollen te beheren Power Apps?
Waarschuwing en actie
  • Hoe definieer ik het governance-model tussen 'citizen developers' en beheerde IT-services?

  • Hoe definieer ik het governance-model tussen de centrale IT-afdeling en beheerders van business units?

  • Hoe moet ik ondersteuning voor niet-standaardomgevingen in mijn organisatie vormgeven?
Monitoren
  • Hoe leggen we compliance- en controlegegevens vast?

  • Hoe kan ik de acceptatie en het gebruik binnen mijn organisatie meten?

Architectuur

Het is het beste om u te verdiepen in het concept Omgevingen als de eerste stap bij het ontwikkelen van het juiste governance-scenario voor uw bedrijf. Omgevingen zijn de containers voor alle resources die worden gebruikt door Power Apps, Power Automate en Dataverse. Omgevingenoverzicht is een goede inleiding, die gevolgd moet worden door Wat is Dataverse?, Typen Power Apps, Microsoft Power Automate, Connectoren en on-premises Gateways.

Beveiliging

In deze sectie worden bestaande mechanismen beschreven die bepalen wie toegang heeft tot Power Apps in een omgeving en wie toegang tot gegevens heeft: licenties, omgevingen, omgevingsrollen, Microsoft Entra ID, beleid ter voorkoming van gegevensverlies en beheerdersconnectors die kunnen worden gebruikt met Power Automate.

Licenties

Toegang tot Power Apps en Power Automate begint met een licentie. Het type licentie dat een gebruiker heeft, bepaalt de activa en gegevens waartoe een gebruiker toegang heeft. In de volgende tabel wordt een overzicht gegeven van de verschillen in beschikbare resources voor een gebruiker op basis van het type abonnement van die gebruiker op een hoog niveau. Gedetailleerde licentiegegevens zijn te vinden in het Licentieoverzicht.

Plannen Beschrijving
Microsoft 365 is inbegrepen Hiermee kunnen gebruikers SharePoint en andere Office-programma's die ze al hebben, uitbreiden.
Dynamics 365 is inbegrepen Hiermee kunnen gebruikers apps voor klantbetrokkenheid aanpassen en uitbreiden (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing en Dynamics 365 Project Service Automation) die zij al hebben.
Power Apps-abonnement Dit biedt de volgende mogelijkheden:
  • U kunt enterprise-connectors en Dataverse toegankelijk maken voor gebruik.
  • Gebruikers kunnen robuuste bedrijfslogica gebruiken voor verschillende toepassingstypen en beheermogelijkheden.
Power Apps Community Hierdoor kan een gebruiker Power Apps, Power Automate, Dataverse en aangepaste connectoren in één apparaat gebruiken voor individueel gebruik. Er is geen mogelijkheid om apps te delen.
Power Automate is gratis Hierdoor kunnen gebruikers onbeperkte stromen maken en deze 750 keer uitvoeren.
Power Automate-abonnement Zie Licentiehandleiding voor Microsoft Power Apps en Microsoft Power Automate.

Omgevingen

Als gebruikers licenties hebben, vormen omgevingen containers voor alle resources die worden gebruikt door Power Apps, Power Automate en Dataverse. Omgevingen kunnen worden gebruikt om verschillende doelgroepen te bereiken en/of voor verschillende doeleinden, zoals ontwikkeling, testen en productie. Meer informatie is te vinden in het Overzicht van omgevingen.

U gegevens en netwerk beveiligen

  • Power Apps en Power Automate gebruikers geen toegang geven tot gegevensbestanden waartoe ze nog geen toegang hebben. Gebruikers dienen alleen toegang te krijgen tot gegevens waartoe ze echt toegang nodig hebben.
  • Beleid voor netwerktoegangsbeheer kan ook van toepassing zijn op Power Apps en Power Automate. Voor een omgeving kan iemand de toegang tot een site vanuit een netwerk blokkeren door de aanmeldingspagina te blokkeren om te voorkomen dat er verbinding met die site wordt gemaakt in Power Apps en Power Automate.
  • In een omgeving wordt de toegang op drie niveaus gecontroleerd: Omgevingsrollen, Resourcemachtigingen voor Power Apps​Power Automate, enz. en Dataverse-beveiligingsrollen (als een Dataverse-database wordt ingericht).
  • Wanneer Dataverse wordt gemaakt in een omgeving, nemen de Dataverse rollen het beheer van de beveiliging in de omgeving over (en worden alle omgeving-beheerders en -makers gemigreerd).

De volgende principals worden ondersteund voor elk type rol:

Type omgeving - Rol Type principal (Microsoft Entra ID)
Omgeving met zonder Dataverse Omgevingsrol Gebruiker, groep, tenant
Resourcemachtiging: Canvas-app Gebruiker, groep, tenant
Resourcemachtiging: Power Automate, aangepaste connector, gateways, verbindingen1 Gebruiker, groep
Omgeving met Dataverse Omgevingsrol User
Resourcemachtiging: Canvas-app Gebruiker, groep, tenant
Resourcemachtiging: Power Automate, aangepaste connector, gateways, verbindingen1 Gebruiker, groep
Dataverse-rol (van toepassing op alle modelgestuurde apps en onderdelen) User

1Alleen bepaalde verbindingen (zoals SQL) kunnen worden gedeeld.

Notitie

  • In de standaardomgeving krijgen alle gebruikers in een tenant toegang tot de rol Omgevingsmaker.
  • Gebruikers met de rol Power Platform Beheerder hebben beheerdersrechten voor alle omgevingen.

FAQ - Welke machtigingen zijn er op tenantniveau? Microsoft Entra

Microsoft Power Platform-beheerders kunnen nu het volgende doen:

  1. Het Power Apps & Power Automate-licentierapport downloaden
  2. DLP-beleid maken dat eenvoudig gericht is op 'Alle omgevingen' of dat een bereik heeft waarin specifieke omgevingen zijn opgenomen of juist uitgesloten
  3. Licenties beheren en toewijzen via het Office-beheercentrum
  4. Toegang tot alle omgevings-, app- en stroombeheermogelijkheden voor alle omgevingen in de tenant beschikbaar via:
    • Power Apps PowerShell-cmdlets voor beheerders
    • Power Apps-beheerconnectors
  5. Toegang krijgen tot de Power Apps- en Power Automate-beheeranalyses voor alle omgevingen in de tenant:

Overweeg Microsoft Intune

Klanten met Microsoft Intune kunnen beveiligingsbeleid voor mobiele applicaties instellen voor zowel Power Apps als Power Automate apps op Android en iOS. In dit overzicht wordt het instellen van beleid via Intune voor Power Automate belicht.

Het gebruik van op locatie gebaseerde voorwaardelijke toegang overwegen

Voor klanten met Microsoft Entra ID P1 of P2, kan beleid voor voorwaardelijke toegang worden gedefinieerd in Azure voor Power Apps en Power Automate. Hiermee kunt u toegang verlenen of blokkeren op basis van: gebruiker/groep, apparaat, locatie.

Beleid voor voorwaardelijke toegang opstellen

  1. Aanmelden bij https://portal.azure.com.
  2. Selecteer Voorwaardelijke toegang.
  3. Selecteer + Nieuw beleid.
  4. Selecteer geselecteerde gebruikers en groepen.
  5. Selecteer Alle cloud-apps>Alle cloud-apps>Common Data Service om de toegang tot apps voor klantbetrokkenheid te beheren.
  6. Pas voorwaarden toe (gebruikersrisico, apparaatplatforms, locaties).
  7. Selecteer Maken.

Datalekken voorkomen met beleid ter voorkoming van gegevensverlies

Gegevens verliespreventie-beleid (DLP) dwingt regels af voor welke connectoren samen kunnen worden gebruikt door connectoren te classificeren als Alleen bedrijfsgegevens of Geen bedrijfsgegevens toegestaan. Simpel gezegd: als u een connector in de groep 'Alleen zakelijke gegevens' plaatst, kan deze alleen worden gebruikt met andere connectors van die groep in dezelfde app. Power Platform-beheerders kunnen beleidsregels definiëren die van toepassing zijn op alle omgevingen.

Veelgestelde vragen

V: Kan ik op tenantniveau bepalen welke connector überhaupt beschikbaar is, bijvoorbeeld Nee tegen Dropbox of Twitter, maar Ja tegen SharePoint​?

A: Dit is mogelijk door gebruik te maken van de mogelijkheden avn Classificatie connectors: en door de classificatie Geblokkeerd toe te wijzen aan een of meer connectors die u niet wilt laten gebruiken. Let op: er is een set connectors die niet kunnen worden geblokkeerd.

Vraag: Hoe zit het met het delen van connectors tussen gebruikers? Is de connector voor Teams bijvoorbeeld een algemene connector die kan worden gedeeld?

A: Connectoren zijn beschikbaar voor alle gebruikers, met uitzondering van premium- of aangepaste connectoren, die een andere licentie nodig hebben (premium-connectoren) of expliciet gedeeld moeten worden (aangepaste connectoren).

Waarschuwing en actie

Naast monitoring willen veel klanten zich ook abonneren op gebeurtenissen rondom het maken, gebruiken of de status van software, zodat ze weten wanneer ze een actie moeten uitvoeren. In deze sectie worden enkele manieren beschreven om (handmatige en programmatische) gebeurtenissen te observeren en acties uit te voeren die worden getriggerd door een gebeurtenis.

Power Automate-stromen bouwen om te waarschuwen bij belangrijke controlegebeurtenissen

  1. Een voorbeeld van een waarschuwingsmechanisme dat kan worden geïmplementeerd, is het nemen van een abonnement op de beveiligings- en compliance-auditlogboeken van Microsoft 365.
  2. Dit kan worden bereikt via een webhook-abonnement of polling-benadering. Door Power Automate aan deze waarschuwingen te koppelen, kunnen we beheerders echter meer bieden dan alleen e-mailmeldingen.

Beleid ontwikkelen dat u nodig hebt met Power Apps, Power Automate en PowerShell

  1. Deze PowerShell-cmdlets bieden beheerders volledige controle om het benodigde governance-beleid te automatiseren.
  2. De beheerconnectoren bieden hetzelfde niveau van controle, maar met extra uitbreidbaarheid en gebruiksgemak door gebruik te maken van Power Apps en Power Automate.
  3. De volgende Power Automate-sjablonen voor beheerconnectors zijn bedoeld om snel aan de slag te kunnen:
    1. Lijst met nieuwe Power Automate connectoren
    2. Lijst met nieuwe Power Apps, Power Automate stromen en connectoren ophalen
    3. Stuur mij een wekelijkse samenvatting van Office 365 Berichtencentrum-meldingen
    4. toegang tot beveiligings- en nalevingslogboeken van Office 365 Power Automate
  4. Gebruik deze blog- en app-sjabloon om snel aan de slag te gaan met de beheerconnectors.
  5. Bovendien is het de moeite waard om de inhoud te bekijken die wordt gedeeld in de galerie van community-apps. En hier is nog een voorbeeld van een beheerervaring die is gebouwd met behulp van Power Apps en beheerconnectors.

Veelgestelde vragen

Probleem Op dit moment kunnen alle gebruikers met Microsoft E3-licenties apps maken in de standaardmap omgeving. Hoe kunnen we de rechten voor Omgevingsmaker bijvoorbeeld voor een bepaalde groep inschakelen. Tien personen om apps te maken?

Aanbeveling De PowerShell-cmdlets en beheerconnectoren bieden beheerders volledige flexibiliteit en controle om het gewenste beleid voor hun organisatie te bouwen.

Monitor

Het is algemeen bekend dat monitoring een cruciaal aspect is bij het beheren van software op grote schaal. In dit gedeelte worden een aantal manieren belicht om inzicht te krijgen in Power Apps ontwikkeling en gebruik. Power Automate

De audittrail bekijken

Activiteitenregistratie voor Power Apps is geïntegreerd met het Office Security and Compliance Center voor uitgebreide registratie van Microsoft services zoals Dataverse en Microsoft 365. Office biedt een API voor het opvragen van deze gegevens, die momenteel door veel SIEM-leveranciers wordt gebruikt om de logboekregistratie van activiteiten te gebruiken voor rapportagedoeleinden.

Het Power Apps- en Power Automate-licentierapport weergeven

  1. Ga naar het Power Platform-beheercentrum.

  2. Selecteer Analyses>Power Automate of Power Apps.

  3. Bekijk de beheeranalyse van Power Apps en Power Automate

    U kunt gegevens ophalen over het volgende:

    • Actieve gebruiker en app-gebruik - hoeveel gebruikers gebruiken een app en hoe vaak?
    • Locatie - waar vindt het gebruikplaats?
    • Serviceprestaties van connectors
    • Foutrapportage - wat zijn de meest foutgevoelige apps
    • Stromen die in gebruik zijn, op type en datum
    • Stromen die zijn gemaakt, op type en datum
    • Controle op toepassingsniveau
    • Servicestatus
    • Gebruikte connectors

Bekijken welke gebruikers een licentie hebben

U kunt altijd individuele gebruikerslicenties bekijken in het Microsoft 365-beheercentrum door in te zoomen op specifieke gebruikers.

U kunt ook de volgende PowerShell-opdracht gebruiken om toegewezen gebruikerslicenties te exporteren.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Hiermee exporteert u alle toegewezen gebruikerslicenties (Power Apps en Power Automate) in uw tenant naar een CSV-bestand in de tabelweergave. Het geëxporteerde bestand bevat zowel interne proefabonnementen voor selfservice-aanmelding als abonnementen die afkomstig zijn van Microsoft Entra ID. De interne proefplannen zijn niet zichtbaar voor beheerders in het Microsoft 365-beheercentrum.

De export kan enige tijd duren voor tenants met een groot aantal Power Platform-gebruikers.

App-resources die in een omgeving worden gebruikt

  1. Selecteer in het Power Platform-beheercentrum de optie Omgevingen in het navigatiemenu.
  2. Selecteer een omgeving.
  3. Optioneel kan de lijst met bronnen die in een omgeving worden gebruikt, worden gedownload als een .csv.

Zie ook

gebruik best practices om omgevingen te beveiligen en te beheren Power Automate
Microsoft Power Platform Starterkit voor Centrum van Excellentie (CoE)