Zagadnienia dotyczące zabezpieczeń i nadzoru

  • Artykuł

Wielu klientów zastanawia się, w jaki sposób usługa Power Platform może być udostępniona ich szerszej firmie i obsługiwana przez dział IT? Odpowiedzią jest nadzór. Umożliwia on grupom biznesowym skoncentrowanie się na efektywnym rozwiązywaniu problemów biznesowych, przestrzegając przy tym odnośnych standardów informatycznych i biznesowych. Następująca treść ma na celu zaadeksowania motywów często związanych z programem i zwiększaniem świadomości w możliwościach dostępnych dla każdego motywu, którego dotyczy relacja z programem Power Platform.

Motyw Typowe pytania związane z każdą dziedziną, dla które ta zawartość odpowiada
Architektura
  • Jakie są podstawowe konstrukcje i koncepcje wykorzystywane w usługach Power Apps, Power Automate i Microsoft Dataverse?

  • Jak te konstrukcje z sobą współpracują w czasie projektowania i wykonywania?
Zabezpieczenia
  • Jakie są najlepsze praktyki w kwestii projektowania zabezpieczeń?

  • Jak wykorzystywać istniejące rozwiązania zarządzania użytkownikami i grupami do zarządzania dostępem i rolami zabezpieczeń w usłudze Power Apps?
Alerty i akcje
  • Jak zdefiniować model nadzoru między programistami obywatelskimi a zarządzanymi usługami IT?

  • Jak zdefiniować model nadzoru między centralnym działem IT a administratorami w jednostkach biznesowych?

  • Jak podejść do kwestii obsługi środowisk innych niż domyślne w organizacji?
Monitorowanie
  • Jak są rejestrowane informacje o zgodności/dane z inspekcji?

  • Jak zmierzyć postępy wdrażania i wykorzystywania w organizacji?

Architektura

Budowanie optymalnej struktury nadzoru w firmie najlepiej zacząć od zaznajomienia się ze Środowiskami. Środowiska to kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Omówienie środowisk stanowi dobry wstęp, po którym można zapoznać się z Co to jest usługa Dataverse?, Typy Power Apps, Microsoft Power Automate , Łączniki i Lokalne bramy danych.

Zabezpieczenia

W tej sekcji przedstawiono mechanizmy, które istnieją w celu kontrolowania, kto może uzyskać dostęp do Power Apps w środowisku i uzyskać dostęp do danych: licencje, środowiska, role środowiskowe, identyfikator Microsoft Entra ID, zasady Data Loss Prevention i łączniki administracyjne, które mogą być używane z Power Automate.

Licencjonowanie

Dostęp do aplikacji Power Apps i Power Automate zaczyna się od uzyskania licencji. Typ licencji, do których użytkownik ma dostęp, określa zasoby i dane, do których ma dostęp. W poniższej tabeli przedstawiono różnice w zasobach dostępnych dla użytkownika na podstawie posiadanego typu planu, na poziomie ogólnym. Szczegółowe informacje o licencjach można znaleźć w temacie Omówienie licencjonowania.

Planowanie Opis
Pakiet usługi Microsoft 365 Pozwala użytkownikom rozszerzać funkcjonalność programu SharePoint i innych zasobów pakietu Office, które już posiadają.
Pakiet usługi Dynamics 365 Dzięki temu użytkownicy mogą dostosowywać i rozszerzać aplikacje dotyczące zaangażowania klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation), które już istnieją.
Plan usługi Power Apps Pozwala:
  • udostępniać firmowe łączniki i usługę Dataverse użytkownikom.
  • użytkownikom korzystać z zaawansowanej logiki biznesowej między różnymi typami aplikacji i funkcjami administracyjnymi.
Power Apps Community Pozwala użytkownikowi wykorzystywać usługi Power Apps, Power Automate i Dataverse oraz łączniki niestandardowe do własnych potrzeb. Nie ma możliwości udostępniania aplikacji.
Bezpłatna usługa Power Automate Dzięki temu użytkownicy mogą tworzyć nieograniczoną liczbę przepływów i wykonać 750 uruchomionych przepływów.
Plan usługi Power Automate Zobacz Przewodnik licencjonowania usług Microsoft Power Apps i Microsoft Power Automate.

Środowiska

Po uzyskaniu licencji przez użytkowników środowiska istnieją jako kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Środowisk można używać do kierowania działań do różnych odbiorców i/lub do różnych celów, takich jak opracowywanie, testowanie i produkcja. Więcej informacji można znaleźć w temacie Omówienie środowisk.

Zabezpieczenie danych i sieci

  • Usługi Power Apps i Power Automate nie zapewniają użytkownikom dostępu do żadnych zasobów danych, do których nie mają oni jeszcze dostępu. Użytkownicy powinni mieć dostęp tylko do tych danych, których naprawdę potrzebują.
  • Zasady kontroli dostępu do sieci mogą mieć również zastosowanie do usług Power Apps i Power Automate. W środowisku można zablokować dostęp do lokacji z poziomu sieci, blokując stronę logowania w celu uniemożliwienia tworzenia połączeń z daną witryną z usług Power Apps i Power Automate.
  • W środowisku dostęp jest kontrolowany na trzech poziomach: rolach środowiska, uprawnieniach zasobów dla Power Apps, Power Automate itp. i rolach zabezpieczeń Dataverse (jeśli jest inicjowanie obsługi bazy danych Dataverse).
  • Kiedy wystąpienie usługi Dataverse jest tworzone w środowisku, role usługi Dataverse przejmują na siebie sterowanie zabezpieczeniami w środowisku (a wszyscy administratorzy i twórcy środowisk są migrowani).

Dla każdego typu roli są obsługiwane następujące podmioty zabezpieczeń.

Typ środowiska Rola Typ obiektu principal (Microsoft Entra ID)
Środowisko bez usługi Dataverse Rola w środowisku Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: aplikacja kanwy Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 Użytkownik, grupa
Środowisko z Dataverse Rola w środowisku User
Uprawnienie do zasobu: aplikacja kanwy Użytkownik, grupa, dzierżawa
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 Użytkownik, grupa
Rola Dataverse (dotyczy wszystkich aplikacji i składników opartych na modelach) Użytkownika

1Tylko niektóre połączenia (na przykład SQL) mogą być udostępnione.

Uwaga

  • W środowisku domyślnym wszystkim użytkownikom w dzierżawie jest przyznawany dostęp do roli Twórca środowiska.
  • Administratorzy globalni dzierżawy usługi Microsoft Entra mają dostęp administracyjny do wszystkich środowisk.

Często zadawane pytania — Jakie uprawnienia istnieją na poziomie dzierżawy usługi Microsoft Entra?

Obecnie administratorzy Microsoft Power Platform mogą wykonać następujące czynności:

  1. Pobieranie raportu o licencjach na usługi Power Apps i Power Automate
  2. Tworzenie zasad DLP o zakresie „Wszystkie środowiska” lub obejmującym/wykluczającym określone środowiska
  3. Zarządzanie licencjami i ich przypisywanie za pośrednictwem centrum administracyjnego usługi Office
  4. Uzyskaj dostęp do wszystkich funkcji zarządzania środowiskiem, aplikacjami i przepływami dla wszystkich środowisk dostępnych w dzierżawie za pośrednictwem następujących użytkowników:
    • Polecenia cmdlet programu PowerShell dotyczące administrowania usługą Power Apps
    • Łączniki zarządzania usługą Power Apps
  5. Uzyskiwanie dostępu do analiz administracyjnych usług Power Apps i Power Automate we wszystkich środowiskach w dzierżawie:

Zagadnienia dotyczące usługi Microsoft Intune

Klienci korzystający z usługi Microsoft Intune mogą ustawiać zasady ochrony aplikacji mobilnych dla aplikacji usług Power Apps i Power Automate na urządzeniach z systemami Android i iOS. W tym instruktażu opisano ustawianie zasady przy użyciu usługi Intune dla usługi Power Automate.

Zagadnienia dotyczące dostępu warunkowego na podstawie lokalizacji

W przypadku klientów posiadających Microsoft Entra ID P1 lub P2, zasady dostępu warunkowego można zdefiniować w Azure for Power Apps i Power Automate. Umożliwia to przyznawanie lub blokowanie dostępu na podstawie użytkownika/grupy, urządzenia lub lokalizacji.

Tworzenie zasady dostępu warunkowego

  1. Zaloguj się w https://portal.azure.com.
  2. Wybierz opcję Dostęp warunkowy.
  3. Wybierz opcję +Nowa zasada.
  4. Wybierz wybrani użytkownicy i grupy.
  5. Wybierz wszystkie aplikacje w chmurze>Wszystkie aplikacje w chmurze>Common Data Service, aby kontrolować dostęp do aplikacji Customer Engagement.
  6. Zastosuj warunki (ryzyko użytkownika, platformy urządzeń, lokalizacje).
  7. Wybierz pozycję Utwórz.

Zapobieganie wyciekom danych za pomocą zasad ochrony przed utratą danych

Zasady ochrony przed utratą danych (DLP) egzekwują reguły decydujące o tym, które łączniki mogą być używane razem, klasyfikując łączniki jako Tylko dane biznesowe lub Zakaz danych biznesowych. Krótko mówiąc, jeśli łącznik zostanie umieszczony w grupie typu Tylko dane biznesowe, może być używany tylko razem z innymi łącznikami z tej grupy w tej samej aplikacji. Administratorzy Power Platform mogą definiować zasady, które mają zastosowanie do wszystkich środowisk.

Często zadawane pytania

Pyt.: Czy można kontrolować na poziomie dzierżawy, który łącznik jest w ogóle dostępny, na przykład Nie dla usług Twitter lub Dropbox, ale tak dla SharePoint?

Odp.: Jest to możliwe, klikając możliwości klasyfikacji łączników i przypisując zablokowany klasyfikator do jednego lub kilku łączników, które nie mają być używane. Należy pamiętać, że istnieje zestaw łączników, których nie można blokować.

P: A co z udostępnianiem łączników między użytkownikami? Na przykład czy łącznik dla Teams jest łącznikiem ogólnym, który można udostępnić?

O: Łączniki są dostępne dla wszystkich użytkowników. Wyjątkiem są łączniki premium i niestandardowe, które wymagają dodatkowej licencji (łączniki premium) lub muszą być udostępniane jawnie (łączniki niestandardowe).

Alerty i akcje

Poza monitorowaniem wielu klientów chce subskrybować również zdarzenia tworzenia, użytkowania lub informowania o kondycji oprogramowania, tak aby wiedzieć, kiedy należy podjąć czynności. W tej sekcji przedstawiono kilka sposobów obserwowania zdarzeń (ręcznie i programowo) oraz wykonywania akcji wyzwalanych wystąpieniem zdarzenia.

Tworzenie przepływów usługi Power Automate do alarmowania o kluczowych zdarzeniach inspekcyjnych

  1. Przykładem alertu, który można zaimplementować, jest zasubskrybowanie dzienników inspekcji zabezpieczeń i zgodności w usłudze Microsoft 365.
  2. Można to osiągnąć poprzez subskrypcję elementu webhook lub poprzez sondowanie. Jednak wykorzystanie usługi Power Automate do tych alertów pozwala zaoferować administratorom więcej niż tylko alerty pocztą e-mail.

Tworzenie potrzebnych zasad za pomocą narzędzi Power Apps, Power Automate i PowerShell

  1. Te polecenia cmdlet programu PowerShell przekazują całą kontrolę w ręce administratorów, umożliwiając zautomatyzowanie niezbędnych zasad nadzoru.
  2. Łączniki zarządzania zapewniają ten sam poziom kontroli, ale z dodatkową rozszerzalnością i łatwiejszą obsługą dzięki wykorzystaniu usług Power Apps i Power Automate.
  3. Dla łączników administracyjnych są dostępne następujące szablony usługi Power Automate ułatwiające szybkie rozpoczęcie pracy:
    1. Wyświetlanie listy nowych łączników usługi Power Automate
    2. Pobieranie listy nowych Power Apps, przepływów Power Automate i łączników
    3. Wyślij mi cotygodniowe podsumowanie powiadomień z Centrum wiadomości usługi Office 365
    4. Uzyskiwanie dostępu do dzienników zabezpieczeń i zgodności usługi Office 365 z usługi Power Automate
  4. Korzystaj z tego szablonu bloga i aplikacji szybko na łącznikach administracji.
  5. Ponadto warto sprawdzić zawartość udostępnioną w Galerii aplikacji społeczności, gdzie przedstawiono więcej przykładów środowisk administracyjnych utworzonych za pomocą usługi Power Apps i łączników administracyjnych.

Często zadawane pytania

Problem Obecnie wszyscy użytkownicy z licencjami Microsoft E3 mogą tworzyć aplikacje w środowisku domyślnym. W jaki sposób można włączyć prawa Kreatora środowisk na przykład dla wybranej grupy. 10 osób, aby utworzyć aplikacje?

RekomendacjaPolecenia cmdlet programu PowerShell i łączniki zarządzania zapewniają administratorom pełną elastyczność i kontrolę nad tworzeniem zasad potrzebnych w podległych im organizacjach.

Monitorowanie

Dobrze rozumiemy, że monitorowanie jest newralgicznym aspektem zarządzania oprogramowaniem w dużej skali. W tej sekcji przedstawiono kilka sposobów zbierania informacji analitycznych o programowaniu i używaniu aplikacji za pomocą usług Power Apps i Power Automate.

Przeglądanie dziennika inspekcji

Rejestrowanie działań dla usługi Power Apps jest zintegrowane z centrum zabezpieczeń i zgodności usługi Office, aby zapewnić kompleksowe rejestrowanie we wszystkich usługach Microsoft, takich jak Dataverse i Microsoft 365. W pakiecie Office udostępniono interfejs API umożliwiający wysyłanie zapytań o te dane. Interfejs jest obecnie używany przez wielu dostawców SIEM jako narzędzie pozwalające wykorzystywać dane z funkcji Rejestrowanie działań na potrzeby raportowania.

Wyświetlanie raportu dotyczącego licencji Power Apps i Power Automate

  1. Przejdź do centrum administracyjnego usługi Power Platform.

  2. Wybierz pozycję Analiza>Power Automate lub Power Apps.

  3. Wyświetlanie analiz administracyjnych usług Power Apps i Power Automate

    Można zdobyć następujące informacje:

    • Liczba aktywnych użytkowników i użytkowanie aplikacji – ilu użytkowników korzysta z aplikacji i jak często?
    • Lokalizacja — gdzie się odbywa użytkowanie?
    • Działanie usług w łącznikach
    • Raportowanie błędów — aplikacje, w których najczęściej występujące błędy
    • Wykorzystywane przepływy według typu i daty
    • Tworzone przepływy według typu i daty
    • Inspekcje na poziomie aplikacji
    • Kondycja usług
    • Używane łączniki

Wyświetlanie licencjonowanych użytkowników

Zawsze możesz przyjrzeć się licencjonowaniu poszczególnych użytkowników w centrum administracyjnym Microsoft 365, przechodząc do konkretnych użytkowników.

Do wyeksportowania przydzielonych licencji użytkownika można również użyć poniższego polecenia środowiska PowerShell.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportuje wszystkie przypisane licencje użytkownika (Power Apps i Power Automate) z Twojej dzierżawy w postaci pliku CSV widoku tabelarycznego. Wyeksportowany plik zawiera wewnętrzne plany na wersje próbne z samodzielną rejestracją oraz plany pobrane z usługi Microsoft Entra ID. Wewnętrzne plany wersji próbnej nie są widoczne dla administratorów w centrum administracyjnym Microsoft 365.

Eksportowanie może zająć dużo czasu, jeśli dzierżawy zajmują dużą liczbę użytkowników Power Platform.

Wyświetlanie zasobów aplikacji używanych w środowisku

  1. W centrum administracyjnym usługi Power Platform w menu nawigacji wybierz pozycję Środowiska.
  2. Wybierz środowisko.
  3. Opcjonalnie listę zasobów używanych w środowisku można pobrać jako plik .csv.

Zobacz także

Zabezpieczanie środowisk usługi Power Automate i zarządzanie nimi za pomocą najlepszych rozwiązań
Pakiet startowy centrum doskonałości usługi Microsoft Power Platform