Considerații de securitate și guvernanță în Power Platform

Mulți clienți se întreabă: cum poate Power Platform fi pusă la dispoziție pe scară largă în afacerea lor și să fie susținute de IT? Guvernarea este răspunsul. Acesta își propune să permită grupurilor de afaceri să se concentreze pe soluționarea eficientă a problemelor de afaceri, respectând în același timp standardele IT și de conformitate cu afacerile. Următorul conținut este destinat să structureze teme adesea asociate cu software-ul de guvernare și să conștientizeze capacitățile disponibile pentru fiecare temă în legătură cu guvernarea Power Platform.

Temă	Întrebări comune referitoare la fiecare temă la care răspunde acest conținut
Arhitectură	Care sunt constructele și conceptele de bază ale Power Apps, Power Automate și Microsoft Dataverse? Cum se potrivesc aceste constructe la timpul de proiectare și la rulare?
Securitate	Care sunt cele mai bune practici pentru considerente de proiectare a securității? Cum utilizez soluțiile noastre existente de gestionare a utilizatorilor și grupurilor pentru a gestiona accesul și rolurile de securitate Power Apps?
Alertă și acțiune	Cum pot defini modelul de guvernanță între dezvoltatorii cetățeni și serviciile IT gestionate? Cum pot defini modelul de guvernanță între administratorii centrali IT și ai unității de afaceri? Cum ar trebui să abordez asistența pentru medii non-implicite din organizația mea?
Monitorizare	Cum captăm datele de conformitate/audit? Cum pot măsura adopția și utilizarea în cadrul organizației mele?

Arhitectură

Cel mai bine este să vă familiarizați cu mediul înconjurător ca primul pas pentru construirea poveștii corecte de guvernanță pentru compania dvs. Mediile sunt containerele pentru toate resursele utilizate de o Power Apps, Power Automate și Dataverse. Prezentare generală a mediilor este un bun ghid introductiv, care ar trebui urmat de Ce este Dataverse?, Tipuri de Power Apps, Microsoft Power Automate, Conectori și Gateway-uri locale.

Securitate

Această secțiune prezintă mecanismele care există pentru a controla cine poate accesa Power Apps într-un mediu și poate accesa datele: licențe, medii, roluri de mediu, ID Microsoft Entra, politici de date și conectori de administrare care pot fi utilizați cu Power Automate.

Licențiere

Acces la Power Apps și Power Automate începe cu a avea o licență. Tipul de licență pe care îl are un utilizator determină activele și datele pe care le poate accesa un utilizator. Următorul tabel prezintă diferențele de resurse disponibile unui utilizator pe baza tipului său de plan, de la un nivel înalt. Detaliile de licență granulară pot fi găsite în Prezentare generală a licențelor.

Plan	Descriere
Microsoft 365 Incluse	Acest lucru permite utilizatorilor să extindă SharePoint și alte active Office pe care le au deja.
Dynamics 365 Inclus	Acest lucru permite utilizatorilor să personalizeze și să extindă aplicațiile Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, și Dynamics 365 Project Service Automation), deja deținute.
Plan Power Apps	Asta permite: realizarea de conectori pentru întreprinderi și Dataverse accesibili pentru utilizare. utilizatorii să utilizeze o logică de afaceri robustă în toate tipurile de aplicații și capabilitățile de administrare.
Comunitatea Power Apps	Acest lucru permite unui utilizator să utilizeze Power Apps, Power Automate, Dataverse și conectori personalizați într-un singur set, pentru uz individual. Nu există posibilitatea de a partaja aplicații.
Power Automate Gratuit	Acest lucru permite utilizatorilor să creeze fluxuri nelimitate și să facă 750 de rulări.
Plan Power Automate	Consultați Microsoft Power Apps și Microsoft Power Automate Ghid de licențiere.

Medii

După ce utilizatorii au licențe, mediile există ca containere pentru toate resursele utilizate de Power Apps, Power Automate și Dataverse. Mediile pot fi utilizate pentru a viza diferite audiențe și/sau în scopuri diferite, cum ar fi dezvoltarea, testarea și producția. Mai multe informații pot fi găsite în secțiunea Privire de ansamblu asupra mediilor.

Securizați-vă datele și rețeaua

• Power Apps și Power Automate nu oferă utilizatorilor acces la date la care nu au deja acces. Utilizatorii ar trebui să aibă acces doar la datele la care într-adevăr necesită acces.
• Politicile de control de acces la rețea se pot aplica și la Power Apps și Power Automate. Pentru mediu, se poate bloca accesul la un site dintr-o rețea prin blocarea paginii de conectare pentru a împiedica crearea conexiunilor la acel site în Power Apps și Power Automate.
• Într-un mediu, accesul este controlat la trei niveluri: Roluri de mediu, Permisiuni de resurse pentru Power Apps, Power Automate, etc. și Dataverse roluri de securitate (în cazul în care este furnizată o bază de date Dataverse).
• Când Dataverse este creat într-un mediu, Dataverse rolurile preiau controlul securității în mediu (și toți administratorii și creatorii de mediu sunt migrați).

Următoarele principale sunt acceptate pentru fiecare tip de rol.

Tip de mediu	Role	Tip principal (Microsoft Entra ID)
Mediu fără Dataverse	Rolul mediului	Utilizator, grup, entitate găzduită
	Permisiunea de resurse: aplicație pânză	Utilizator, grup, entitate găzduită
	Permisiunea resursei: Power Automate, Conector particularizat, Gatewayuri, Conexiuni1	Utilizator, grup
Mediu cu Dataverse	Rolul mediului	User
	Permisiunea de resurse: aplicație pânză	Utilizator, grup, entitate găzduită
	Permisiunea resursei: Power Automate, Conector particularizat, Gatewayuri, Conexiuni1	Utilizator, grup
	Rolul Dataverse (se aplică tuturor aplicațiilor și componentelor bazate pe model)	User

¹Doar anumite conexiuni (precum SQL) pot fi partajate.

Notă

• În mediul implicit, toți utilizatorii dintr-o entitate găzduită au acces la rolul Creator de mediu.
• Utilizatorii cu rolul de Administrator au acces de administrator la toate mediile. Power Platform

Întrebări frecvente - Ce permisiuni există la nivel de chiriaș? Microsoft Entra

Astăzi, administratorii Microsoft Power Platform pot face următoarele:

1. Descărcați raportul de licență Power Apps și Power Automate
2. Creați o politică de date care se limitează doar la "Toate mediile" sau include / exclude anumite medii
3. Gestionați și atribuiți licențe prin centrul de administrare Office
4. Accesați toate funcțiile de mediu, aplicație și gestionarea fluxului pentru toate mediile din entitatea găzduită disponibile prin:
   • Cmdleturi Power Apps administrator PowerShell
   • Power Apps conectori de management
5. Accesați Power Apps și administrator de analize Power Automate pentru toate mediile în entitatea găzduită:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Considerați Microsoft Intune

Clienții cu Microsoft Intune pot seta politici de protecție a aplicațiilor mobile atât pentru aplicațiile din Power Apps și Power Automate și Android și iOS. Această prezentare evidențiază stabilirea unei politici prin intermediul Intune pentru Power Automate.

Luați în considerare accesul condiționat bazat pe locație

Pentru clienții cu ID-ul P1 sau P2, politicile de acces condiționat pot fi definite în Azure pentru și. Microsoft Entra Power Apps Power Automate Aceasta permite acordarea sau blocarea accesului bazat pe: utilizator/grup, dispozitiv, locație.

Crearea unei politici de acces condiționat

1. Conectați-vă la https://portal.azure.com.
2. Selectați Acces condiționat.
3. Selectați + Politică nouă.
4. Selectați utilizatorii și grupurile selectate.
5. Selectați Toate aplicațiile cloud>Toate aplicațiile cloud>Common Data Service pentru a controla accesul la aplicațiile de implicare a clienților.
6. Aplicați condițiile (riscul utilizatorului, platformele dispozitivelor, locații).
7. Selectați Creare.

Preveniți scurgerea datelor cu politici de date

Politicile de date impun reguli pentru care conectorii pot fi utilizați împreună, clasificând conectorii ca numai date de afaceri, fie fără date de afaceri. Pur și simplu, dacă introduceți un conector în grupul de date de afaceri, acesta poate fi utilizat doar cu alți conectori din acel grup din aceeași aplicație. Administratorii Power Platform pot defini politicile care se aplică tuturor mediilor.

Întrebări frecvente

Î: Pot controla, la nivel de entitate găzduită, ce conector este disponibil, de exemplu, Nu la Dropbox sau Twitter, dar Da la SharePoint?

R: Acest lucru este posibil utilizând capacitățile de clasificare a conectorilor și atribuirea clasificatorului Blocat la unul sau mai mulți conectori a căror utilizare nu o doriți. Există un set de conectori care nu pot fi blocați.

Î: Dar Partajarea conectoarelor între utilizatori? De exemplu, conectorul pentru Teams este unul general care poate fi partajat?

A: Conectorii sunt disponibili pentru toți utilizatorii, cu excepția conectorilor premium sau personalizați, care necesită fie o altă licență (conectori premium), fie trebuie partajați explicit (conectori personalizați).

Alertă și acțiune

Pe lângă monitorizare, mulți clienți doresc să se aboneze la evenimente legate de crearea, utilizarea sau starea software-ului, astfel încât să știe când să efectueze o acțiune. Această secțiune prezintă câteva mijloace de a observa evenimentele (manual și programatic) și de a efectua acțiuni declanșate de o apariție a evenimentului.

Construiți fluxuri Power Automate pentru a alerta cu privire la evenimentele cheie de audit

1. Un exemplu de alertare care poate fi implementat este abonarea la Jurnalele de audit Microsoft 365 de securitate și conformitate.
2. Acest lucru poate fi obținut fie printr-un abonament webhook sau abordarea interogare. Cu toate acestea, prin atașarea Power Automate la aceste alerte, putem oferi administratorilor mai mult decât doar alerte prin e-mail.

Construiți politicile de care aveți nevoie cu Power Apps, Power Automate și PowerShell

1. Aceste Cmdlet-uri PowerShell pune controlul deplin în mâinile administratorilor pentru a automatiza politicile de guvernare necesare.
2. Conectorii Power Platform for Admins V2 (Preview) și Power Automate Management oferă același nivel de control, dar cu extensibilitate suplimentară și ușurință în utilizare prin utilizarea Power Apps și Power Automate.
3. Examinați *cele mai bune practici de administrare și guvernanță* și luați în considerare configurarea *kitului de pornire pentru Centrul de Excelență (CoE)*. Power Platform ...
4. Utilizați acest șablon de blog și aplicație pentru a ajuta rapid conectorii de administrare.
5. În plus, merită să verificați conținutul partajat în Galeria de aplicații comunitare, iată un alt exemplu de experiență administrativă construită folosind Power Apps și conectori administrativi.

Întrebări frecvente

Problemă În prezent, toți utilizatorii cu licențe Microsoft E3 pot crea aplicații în mediul implicit. Cum putem să activăm drepturile de creator de mediu asupra unui grup selectat, de exemplu. Zece persoane pentru a crea aplicații?

Recomandare

Cmdlet-urile PowerShell și Conectorii Management oferă flexibilitate și control deplin administratorilor pentru a crea politicile dorite pentru organizația lor. ......

Monitorizare

Este bine înțeles că monitorizarea este un aspect critic al gestionării software-ului la scară largă. Această secțiune evidențiază câteva modalități de a obține informații despre Power Apps și Power Automate dezvoltare și utilizare.

Examinați traseul de audit

Jurnalizarea activității pentru Power Apps este integrată cu Centrul de securitate și conformitate Office pentru o înregistrare completă în toate serviciile Microsoft precum Dataverse și Microsoft 365. Office oferă o API pentru a interoga aceste date, care sunt utilizate în prezent de mulți furnizori SIEM pentru a utiliza datele de jurnal de activitate pentru raportare.

Vizualizați raportul de licență Power Apps și Power Automate

1. Conectați-vă la Centrul de administrare Power Platform.
2. În panoul de navigare, selectați Licențiere.
3. În panoul *Licențiere*, selectați *sau* pentru a revizui informațiile. Power AutomatePower Apps

Aveți posibilitatea să obțineți informații despre următoarele:

• Utilizare activă a utilizatorului și aplicației - câți utilizatori utilizează o aplicație și cât de des?
• Locație - unde este utilizarea?
• Serviciul Performanța conectorilor
• Raportarea erorilor - care sunt cele mai predispuse la erori
• Fluxuri de utilizare în funcție de tip și dată
• Fluxuri create în funcție de tip și dată
• Audit la nivel de aplicație
• Starea Service
• Conectori utilizați

Vizulizați ce utilizatori sunt autorizați

Puteți să vă uitați întotdeauna la licențierea pentru utilizatori individuali în centrul de administrare Microsoft 365, prin detalierea către utilizatori specifici.

De asemenea, puteți utiliza următoarea comandă PowerShell pentru a exporta licențele de utilizator alocate.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportă toate licențele de utilizator alocate (Power Apps și Power Automate) în entitatea găzduită într-un fișier .csv vizualizare tabulară. Fișierul exportat conține atât planuri de probă interne cu înscriere self-service, cât și planuri provenite de la Microsoft Entra ID. Planurile de încercare interne nu sunt vizibile pentru administratori în centrul de administrare Microsoft 365.

Exportul poate dura un timp pentru entitățile găzduite cu un număr mare de utilizatori Power Platform.

Vizualizați resursele aplicației utilizate într-un Mediu

1. Conectați-vă la Centrul de administrare Power Platform.
2. În panoul de navigare, selectați Gestionare.
3. În panoul Gestionare , selectați Medii.
4. Pe pagina Medii , selectați un mediu.
5. În secțiunea *Resurse*, consultați lista de aplicații utilizate în mediu.

Conținut asociat

• Folosiți cele mai bune practici pentru a securiza și guverna mediile Power Automate
  
• Microsoft Power Platform Kit de început pentru Centrul de Excelență (CoE)