Zagadnienia dotyczące zabezpieczeń i nadzoru
Wielu klientów zastanawia się, w jaki sposób usługa Power Platform może być udostępniona ich szerszej firmie i obsługiwana przez dział IT? Odpowiedzią jest nadzór. Umożliwia on grupom biznesowym skoncentrowanie się na efektywnym rozwiązywaniu problemów biznesowych, przestrzegając przy tym odnośnych standardów informatycznych i biznesowych. Następująca treść ma na celu zaadeksowania motywów często związanych z programem i zwiększaniem świadomości w możliwościach dostępnych dla każdego motywu, którego dotyczy relacja z programem Power Platform.
Motyw | Typowe pytania związane z każdą dziedziną, dla które ta zawartość odpowiada |
---|---|
Architektura |
|
Zabezpieczenia |
|
Alerty i akcje |
|
Monitorowanie |
|
Architektura
Budowanie optymalnej struktury nadzoru w firmie najlepiej zacząć od zaznajomienia się ze Środowiskami. Środowiska to kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Przegląd środowisk to dobry elementarz, po którym należy podążać za Co to jest Dataverse?, Typy Power Apps, Microsoft Power Automate , Łączniki i lokalny Bramy.
Zabezpieczenia
W tej sekcji przedstawiono mechanizmy, które istnieją w celu kontrolowania, kto może uzyskać dostęp do Power Apps w środowisku i uzyskać dostęp do danych: licencje, środowiska, role środowiskowe, identyfikator Microsoft Entra ID, zasady Data Loss Prevention i łączniki administracyjne, które mogą być używane z Power Automate.
Licencjonowanie
Dostęp do aplikacji Power Apps i Power Automate zaczyna się od uzyskania licencji. Typ licencji, do których użytkownik ma dostęp, określa zasoby i dane, do których ma dostęp. W poniższej tabeli przedstawiono różnice w zasobach dostępnych dla użytkownika na podstawie posiadanego typu planu, na poziomie ogólnym. Szczegółowe informacje o licencjach można znaleźć w temacie Omówienie licencjonowania.
Planowanie | Opis |
---|---|
Pakiet usługi Microsoft 365 | Pozwala użytkownikom rozszerzać funkcjonalność programu SharePoint i innych zasobów pakietu Office, które już posiadają. |
Pakiet usługi Dynamics 365 | Dzięki temu użytkownicy mogą dostosowywać i rozszerzać aplikacje dotyczące zaangażowania klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation), które już istnieją. |
Plan usługi Power Apps | Pozwala:
|
Społeczność użytkowników rozwiązania Power Apps | Dzięki temu użytkownik może używać Power Apps łączników, Power Automate, Dataversei niestandardowych w jednym do użytku indywidualnego. Nie ma możliwości udostępniania aplikacji. |
Bezpłatna usługa Power Automate | Dzięki temu użytkownicy mogą tworzyć nieograniczoną liczbę przepływów i wykonać 750 uruchomionych przepływów. |
Plan usługi Power Automate | Zobacz Przewodnik licencjonowania usług Microsoft Power Apps i Microsoft Power Automate. |
Środowiska
Po uzyskaniu licencji przez użytkowników środowiska istnieją jako kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Środowiska mogą być używane do kierowania reklam do różnych odbiorców i/lub do różnych celów, takich jak programowanie, testowanie i produkcja. Więcej informacji można znaleźć w temacie Omówienie środowisk.
Zabezpieczenie danych i sieci
- Power Apps Power Automate Nie udostępniaj użytkownikom żadnych zasobów danych, do których nie mają jeszcze dostępu. Użytkownicy powinni mieć dostęp tylko do tych danych, których naprawdę potrzebują.
- Zasady kontroli dostępu do sieci mogą mieć również zastosowanie do usług Power Apps i Power Automate. W środowisku można zablokować dostęp do lokacji z poziomu sieci, blokując stronę logowania w celu uniemożliwienia tworzenia połączeń z daną witryną z usług Power Apps i Power Automate.
- W środowisku dostęp jest kontrolowany na trzech poziomach: rolach środowiska, uprawnieniach zasobów dla Power Apps, Power Automate itp. i rolach zabezpieczeń Dataverse (jeśli jest inicjowanie obsługi bazy danych Dataverse).
- Po Dataverse utworzeniu w środowisku Dataverse role przejmują kontrolę nad zabezpieczeniami w środowisku (a wszyscy administratorzy i twórcy środowiska są migrowani).
Dla każdego typu roli są obsługiwane następujące podmioty zabezpieczeń.
Typ środowiska | Rola | Typ obiektu principal (Microsoft Entra ID) |
---|---|---|
Środowisko bez usługi Dataverse | Rola w środowisku | Użytkownik, grupa, dzierżawa |
Uprawnienie do zasobu: aplikacja kanwy | Użytkownik, grupa, dzierżawa | |
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 | Użytkownik, grupa | |
Środowisko z Dataverse | Rola w środowisku | User |
Uprawnienie do zasobu: aplikacja kanwy | Użytkownik, grupa, dzierżawa | |
Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1 | Użytkownik, grupa | |
Rola Dataverse (dotyczy wszystkich aplikacji i składników opartych na modelach) | Użytkownika |
1Tylko niektóre połączenia (na przykład SQL) mogą być udostępnione.
Uwaga
- W środowisku domyślnym wszystkim użytkownikom w dzierżawie jest przyznawany dostęp do roli Twórca środowiska.
- Użytkownicy z rolą Power Platform Administrator mają dostęp administracyjny do wszystkich środowisk.
Często zadawane pytania — jakie uprawnienia istnieją na poziomie dzierżawy Microsoft Entra ?
Obecnie administratorzy Microsoft Power Platform mogą wykonać następujące czynności:
- Pobieranie raportu o licencjach na usługi Power Apps i Power Automate
- Tworzenie zasad DLP o zakresie „Wszystkie środowiska” lub obejmującym/wykluczającym określone środowiska
- Zarządzanie licencjami i ich przypisywanie za pośrednictwem centrum administracyjnego usługi Office
- Uzyskaj dostęp do wszystkich funkcji zarządzania środowiskiem, aplikacjami i przepływami dla wszystkich środowisk dostępnych w dzierżawie za pośrednictwem następujących użytkowników:
- Polecenia cmdlet programu PowerShell dotyczące administrowania usługą Power Apps
- Łączniki zarządzania usługą Power Apps
- Uzyskiwanie dostępu do analiz administracyjnych usług Power Apps i Power Automate we wszystkich środowiskach w dzierżawie:
Rozważ Microsoft usługę Intune
Klienci korzystający z Microsoft usługi Intune mogą ustawiać zasady ochrony aplikacji mobilnych zarówno dla aplikacji, jak Power Apps i Power Automate dla aplikacji na Android oraz iOS. W tym instruktażu opisano ustawianie zasady przy użyciu usługi Intune dla usługi Power Automate.
Zagadnienia dotyczące dostępu warunkowego na podstawie lokalizacji
W przypadku klientów posiadających Microsoft Entra ID P1 lub P2, zasady dostępu warunkowego można zdefiniować w Azure for Power Apps i Power Automate. Umożliwia to przyznawanie lub blokowanie dostępu na podstawie użytkownika/grupy, urządzenia lub lokalizacji.
Tworzenie zasady dostępu warunkowego
- Zaloguj się w https://portal.azure.com.
- Wybierz opcję Dostęp warunkowy.
- Wybierz opcję +Nowa zasada.
- Wybierz wybranych użytkowników i grupy.
- Wybierz wszystkie aplikacje w chmurze>Wszystkie aplikacje w chmurze>Common Data Service, aby kontrolować dostęp do aplikacji Customer Engagement.
- Zastosuj warunki (ryzyko użytkownika, platformy urządzeń, lokalizacje).
- Wybierz pozycję Utwórz.
Zapobieganie wyciekom danych za pomocą zasad ochrony przed utratą danych
Zasady ochrony przed utratą danych (DLP)egzekwuj reguły, dla których łączniki mogą być używane razem, klasyfikując łączniki jako Tylko dane biznesowe lub Niedozwolone dane biznesowe. Krótko mówiąc, jeśli łącznik zostanie umieszczony w grupie typu Tylko dane biznesowe, może być używany tylko razem z innymi łącznikami z tej grupy w tej samej aplikacji. Administratorzy Power Platform mogą definiować zasady, które mają zastosowanie do wszystkich środowisk.
Często zadawane pytania
Pyt.: Czy można kontrolować na poziomie dzierżawy, który łącznik jest w ogóle dostępny, na przykład Nie dla usług Twitter lub Dropbox, ale tak dla SharePoint?
Odp.: Jest to możliwe, klikając możliwości klasyfikacji łączników i przypisując zablokowany klasyfikator do jednego lub kilku łączników, które nie mają być używane. Należy pamiętać, że istnieje zestaw łączników, których nie można blokować.
P: A co z udostępnianiem łączników między użytkownikami? Na przykład czy łącznik dla Teams jest łącznikiem ogólnym, który można udostępnić?
Odp.: Łączniki są dostępne dla wszystkich użytkowników z wyjątkiem łączników premium lub niestandardowych, które wymagają innej licencji (łączniki premium) lub muszą być jawnie udostępnione (łączniki niestandardowe)
Alerty i akcje
Oprócz monitorowania wielu klientów chce subskrybować zdarzenia związane z tworzeniem, używaniem lub kondycją oprogramowania, aby wiedzieć, kiedy wykonać akcję. W tej sekcji przedstawiono kilka sposobów obserwowania zdarzeń (ręcznie i programowo) oraz wykonywania akcji wyzwalanych wystąpieniem zdarzenia.
Tworzenie przepływów usługi Power Automate do alarmowania o kluczowych zdarzeniach inspekcyjnych
- Przykładem alertu, który można zaimplementować, jest zasubskrybowanie dzienników inspekcji zabezpieczeń i zgodności w usłudze Microsoft 365.
- Można to osiągnąć poprzez subskrypcję elementu webhook lub poprzez sondowanie. Jednak wykorzystanie usługi Power Automate do tych alertów pozwala zaoferować administratorom więcej niż tylko alerty pocztą e-mail.
Tworzenie potrzebnych zasad za pomocą narzędzi Power Apps, Power Automate i PowerShell
- Te polecenia cmdlet programu PowerShell przekazują całą kontrolę w ręce administratorów, umożliwiając zautomatyzowanie niezbędnych zasad nadzoru.
- Łączniki zarządzania zapewniają ten sam poziom kontroli, ale z dodatkową rozszerzalnością i łatwością użycia przy użyciu Power Apps operatora and Power Automate.
- Dla łączników administracyjnych są dostępne następujące szablony usługi Power Automate ułatwiające szybkie rozpoczęcie pracy:
- Wyświetlanie listy nowych Power Automate łączników
- Pobierz listę nowych Power Apps, Power Automate przepływów i łączników
- Wyślij mi e-mailem cotygodniowe podsumowanie powiadomień w Office 365 Centrum wiadomości
- Uzyskiwanie dostępu do Office 365 dzienników zabezpieczeń i zgodności z poziomu Power Automate
- Korzystaj z tego szablonu bloga i aplikacji szybko na łącznikach administracji.
- Ponadto warto sprawdzić zawartość udostępnioną w Galerii aplikacji społeczności, gdzie przedstawiono więcej przykładów środowisk administracyjnych utworzonych za pomocą usługi Power Apps i łączników administracyjnych.
Często zadawane pytania
Problem Obecnie wszyscy użytkownicy z Microsoft licencjami E3 mogą tworzyć aplikacje w środowisku domyślnym. W jaki sposób można włączyć prawa Kreatora środowisk na przykład dla wybranej grupy. Dziesięć osób do tworzenia aplikacji?
Zalecenie: Polecenia cmdlet programu PowerShell i łączniki zarządzania zapewniają administratorom pełną elastyczność i kontrolę nad tworzeniem zasad, które mają być stosowane w organizacji.
Monitorowanie
Powszechnie wiadomo, że monitorowanie jest krytycznym aspektem zarządzania oprogramowaniem na dużą skalę. W tej sekcji przedstawiono kilka sposobów uzyskiwania wglądu w Power Apps Power Automate programowanie i użytkowanie.
Przeglądanie dziennika inspekcji
Rejestrowanie aktywności dla Power Apps jest zintegrowane z Centrum zabezpieczeń i zgodności pakietu Office w celu kompleksowego rejestrowania w Microsoft usługach, takich jak Dataverse i Microsoft 365. W pakiecie Office udostępniono interfejs API umożliwiający wysyłanie zapytań o te dane. Interfejs jest obecnie używany przez wielu dostawców SIEM jako narzędzie pozwalające wykorzystywać dane z funkcji Rejestrowanie działań na potrzeby raportowania.
Wyświetlanie raportu dotyczącego licencji Power Apps i Power Automate
Przejdź do centrum administracyjnego usługi Power Platform.
Wybierz pozycję Analiza>Power Automate lub Power Apps.
Wyświetlanie analiz administracyjnych usług Power Apps i Power Automate
Można zdobyć następujące informacje:
- Liczba aktywnych użytkowników i użytkowanie aplikacji – ilu użytkowników korzysta z aplikacji i jak często?
- Lokalizacja — gdzie się odbywa użytkowanie?
- Działanie usług w łącznikach
- Raportowanie błędów — aplikacje, w których najczęściej występujące błędy
- Wykorzystywane przepływy według typu i daty
- Tworzone przepływy według typu i daty
- Inspekcje na poziomie aplikacji
- Kondycja usług
- Używane łączniki
Wyświetlanie licencjonowanych użytkowników
Zawsze możesz przyjrzeć się licencjonowaniu poszczególnych użytkowników w centrum administracyjnym Microsoft 365, przechodząc do konkretnych użytkowników.
Do wyeksportowania przydzielonych licencji użytkownika można również użyć poniższego polecenia środowiska PowerShell.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Eksportuje wszystkie przypisane licencje użytkownika (Power Apps i Power Automate) z Twojej dzierżawy w postaci pliku CSV widoku tabelarycznego. Wyeksportowany plik zawiera wewnętrzne plany na wersje próbne z samodzielną rejestracją oraz plany pobrane z usługi Microsoft Entra ID. Wewnętrzne plany wersji próbnej nie są widoczne dla administratorów w centrum administracyjnym Microsoft 365.
Eksportowanie może zająć dużo czasu, jeśli dzierżawy zajmują dużą liczbę użytkowników Power Platform.
Wyświetlanie zasobów aplikacji używanych w środowisku
- W centrum administracyjnym usługi Power Platform w menu nawigacji wybierz pozycję Środowiska.
- Wybierz środowisko.
- Opcjonalnie listę zasobów używanych w środowisku można pobrać jako .csv.
Zobacz też
Korzystanie z najlepszych rozwiązań w celu zabezpieczania środowisk i zarządzania Power Automate nimi
Microsoft Power Platform Zestaw startowy Centrum Doskonałości (CoE)