Поделиться через

Активация Управляемых сред

  • Статья

В этом техническом документе описаны ключевые функции и возможности управляемых сред, а также их преимущества для организаций и администраторов.

Заметка

Вы можете сохранить или распечатать этот технический документ, выбрав в браузере элемент Печать, затем выбрав Сохранить как PDF.

Обзор управляемых сред

Управляемые среды — это набор возможностей управления премиум-класса, который позволяет ИТ-администраторам управлять Power Platform в большом масштабе с дополнительным управлением, большей прозрачностью и меньшими усилиями. Любым типом среды можно управлять. Как только среда станет управляемой, она откроет больше возможностей в Power Platform. Узнайте, как включить Управляемые среды.

Из этого документа вы узнаете о перечисленных ниже функциях и примерах на основе организаций, которые активировали управляемые среды:

  • Конвейеры в Power Platform применяют автоматизацию управления жизненным циклом приложений (ALM) для оптимизации процессов разработки с меньшими усилиями.
  • Приветственный контент для создателей приветствует создателей в организации с помощью персонализированного сообщения, которое поможет им начать работу Power Apps.
  • Ограничение общего доступа устанавливает ограничения на то, насколько широко пользователи могут делиться приложениями Canvas.
  • Аналитика использования — это еженедельная рассылка по электронной почте, которая информирует администраторов об использовании приложения и действиях пользователей.
  • Политики данных можно легко просмотреть и идентифицировать.
  • Функция проверки решений проверяет ваши решения на соответствие набору правил передовой практики для выявления проблемных шаблонов.
  • IP-брандмауэр защищает организационные данные, ограничивая доступ пользователей Dataverse разрешенными IP-адресами.
  • Привязка файлов cookie к IP-адресу предотвращает использование эксплойтов для перехвата сеанса Dataverse с помощью привязки файлов cookie на основе IP-адреса.
  • Управляемый клиентом ключ обеспечивает дополнительную защиту данных, шифруя ваши данные с помощью ключа шифрования из вашего собственного хранилища ключей.
  • Customer Lockbox предоставляет интерфейс, в котором вы можете одобрять запросы на доступ к данным от Microsoft службы поддержки.
  • Расширенное резервное копирование увеличивает срок хранения резервных копий с 7 до 28 дней.
  • DLP для моделей классический поток governs классический поток и отдельных действий моделей в Power Automate.
  • Экспорт данных в Application Insights помогает диагностировать и устранять неполадки, связанные с ошибками и производительностью.
  • Каталог Power Platform способствует сотрудничеству и производительности за счет совместного использования Power Platform артефактов в больших масштабах.
  • Маршрутизация среды по умолчанию автоматически направляет новых создателей в их собственные среды разработки.

Конвейеры в Power Platform

Конвейеры Power Platform предлагают лучшие практики ALM, автоматизацию и возможности непрерывной интеграции и непрерывной поставки (CI/CD) Power Platform клиентам Dynamics 365 более доступным способом.

В организациях ИТ-администраторы или члены группы управления обычно предоставляют рекомендации о том, как следует развертывать решения в различных средах. Централизованно управляемые конвейеры предоставляют разработчикам интуитивно понятный пользовательский интерфейс и упрощают развертывание решений.

Чтобы развернуть решение из одной среды в другую через конвейеры, обычно обозначаемые как исходная среда и целевая среда, вам необходимо определить, какие среды являются частью конвейеров. Наиболее распространенный конвейер состоит из сред разработки/тестирования/рабочей или разработки/проверки/тестирования/рабочей. Ниже приведен пример конвейера:

Снимок экрана: конвейер разработки/тестирования/работы в Power Apps.

Мы рекомендуем создавать все среды в конвейере как управляемые среды, но среды разработки можно использовать в конвейере без управления.

Лучше всего разрабатывать решения для повышения личной продуктивности в личной среде разработки, откуда их затем можно будет развернуть в целевой среде с помощью конвейеров. Вы также можете рассмотреть возможность настройки конвейеров при создании сред для облегчения ALM для масштабных проектов под руководством непрофессиональных и профессиональных разработчиков.

Содержимое приветствия создателя

В управляемых средах администраторы могут предоставить пользовательский приветственный контент, чтобы помочь своим создателям начать работу с Power Apps. Пользовательское приветственное сообщение может информировать создателей при первом посещении Power Apps о правилах компании и о том, что они могут делать в каждой среде или группе сред.

Вот несколько предложений о том, как ваша организация может использовать приветственное сообщение для каждого типа среды. Включите изображение, идентифицирующее тип среды или владельцев, чтобы поможет для адаптации пользователей и предотвращения ошибок.

Среда умолчанию

Среда по умолчанию часто является самой ограниченной средой с политиками DLP и элементами управления общим доступом. Чтобы ваши создатели знали о возможных ограничениях, создайте индивидуальное приветственное сообщение и включите ссылку на веб-сайт или документ, посвященный политике вашей организации.

Например, вы можете сообщить создателям, что среда по умолчанию предназначена для использования только для решений, связанных с Microsoft 365, а не для производственных приложений в среде по умолчанию, и приложение на основе холста должно быть доступно только ограниченному кругу лиц. В следующем примере показано, как создать такое сообщение в настройках управляемых сред:

Снимок экрана: настройки содержимого приветствия создателей в Power Apps. 

[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment

### Before you start, here are some considerations

Use this environment if you plan to build apps that integrate with Office 365.

Before you start, be aware of these limitations:

1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.

If you're not sure you're in the right place, follow [this guidance**](#).

Вот отрисованное приветственное сообщение:

Снимок экрана с приветственным сообщением для среды по умолчанию, созданной в первом примере.

Рабочие среды

Рабочие среды обычно используются для развертывания решений, поддерживающих производительность предприятия и рабочих групп. Важно, чтобы приложения и данные соответствовали политикам организации. Поскольку вам необходимо контролировать, какие пользователи имеют доступ к рабочей среде, полезно информировать пользователя, есть ли у вас политика обновления доступа. В рабочей среде вы можете разрешить больше соединителей и увеличить лимиты общего доступа. Вы также можете использовать приветственное сообщение, чтобы сообщить создателям о нужной команде поддержки. В следующем примере показано, как создать такое сообщение:

[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment

### Before you start, here are some considerations

Use this environment if you're on the HR team and your data is located in Europe.

Before you start, be aware of these limitations:

1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).

If you're not sure you're in the right place, follow [this guidance**](#).

Снимок экрана с приветственным сообщением для рабочей среды, созданной во втором примере.

Среды разработчика

Среды разработки чаще всего используются разработчиками для создания своих решений. Поскольку разработчики работают над приложениями, оно не находится в производстве и масштабируемость ограничена. Обычно среда разработки имеет более слабые политики DLP из-за характера создателей. Чтобы разработчики не использовали среды разработки с производственными активами, ограничьте возможности совместного использования и используйте специальную политику DLP для этого типа среды. Вот пример приветственного сообщения для среды разработки:

[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment

### Before you start, here are some considerations

Use this environment if you're a developer and you're building solutions.

Before you start, be aware of these limitations:

1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).

If you're not sure you're in the right place, follow [this guidance**](#).

Снимок экрана с приветственным сообщением для среды разработки, созданной в третьем примере.

Среды в песочнице

Обычно среды в песочнице используются для тестирования решений. Так как для некоторых тестов требуется значительное число пользователей, эти среды масштабируются до определенной точки и обладают большей емкостью, чем среда разработки. Среды в песочнице также часто используется как среды разработки и обычно используются несколькими разработчиками. Вот пример приветственного сообщения для этой среды:

[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment

### Before you start, here are some considerations

Use this environment only if you're testing solutions.

Before you start, be aware of these limitations:

1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).

If you're not sure you're in the right place, follow [this guidance**](#).

Снимок экрана с приветственным сообщением для среды в песочнице, созданной в четвертом примере.

Ограничение предоставления доступа

В управляемых средах администраторы могут ограничить, насколько широко пользователи могут делиться приложениями на основе холста. Ограничение распространяется только на будущее предоставление доступа. Если вы примените ограничение доступа в 20 к среде с приложениями, к которым уже был предоставлен доступ более чем 20 пользователям, эти приложения продолжат работать для всех пользователей, которым был предоставлен доступ к приложениям. У вас должен быть установлен процесс информирования создателей приложений, доступ к которым превышает новый лимит, чтобы уменьшить количество пользователей, которым предоставлен доступ к приложениям. В некоторых случаях вы можете переместить решение в другую среду. Ограничения на доступ применяются только к приложениям на основе холста.

Администраторам обычно необходимо контролировать, как создатели делятся своими приложениями, когда:

  • Доступ к приложениям предоставляется в среде личной продуктивности. Если у вас есть среда, в которой пользователи могут создавать приложения для своей работы, приложения, не имеющие глобальной ценности для бизнеса, или приложения без поддержки со стороны ИТ-специалистов, важно, чтобы запретили создателям делиться этими приложениями по всей организации. Если приложения начинаются как приложения для повышения личной эффективности, но позже становятся популярными и широко используются, помните об ограничениях, которые вы устанавливаете на совместное использование. Обычное ограничение составляет от 5 до 50 пользователей.

  • Доступ к приложениям предоставляется группам безопасности или всем. Приложения, которыми вы поделились с группой безопасности, могут запускать все члены группы. В среде разработки вы можете захотеть, чтобы разработчик контролировал доступ к приложениям, а не полагался на членство в группах. В других сценариях вы можете захотеть разрешить общий доступ для всех. Если политика вашей организации предусматривает, что доступ к приложениям предоставляется группе безопасности, в которую входят все пользователи, которым разрешено запускать приложение и которая управляется ИТ-отделом, возможно, вы захотите запретить создателям делиться ими с другими группами безопасности.

Ниже приведены общие ограничения общего доступа для каждого типа сред:

  • По умолчанию: выберите Исключить предоставление доступа группам безопасности, выберите флажок Ограничить общее количество пользователей, которые могут предоставить доступ и выберите 20 в качестве значения.

  • Разработка: выберите Исключить предоставление доступа группам безопасности, выберите флажок Ограничить общее количество пользователей, которые могут предоставить доступ и выберите 5 в качестве значения.

  • Песочница: выберите Исключить предоставление доступа группам безопасности и оставьте флажок Ограничить общее количество пользователей, которые могут предоставить доступ снятым. Используйте этот вариант, если приложения доступны для группы безопасности, управляемой ИТ-отделом, в которую входят пользователи, которым разрешено запускать приложение. Если у производителя, пользователя или рабочей группы есть возможность управлять тем, каким пользователям разрешено тестировать решение, выберите Не устанавливать ограничения (по умолчанию).

  • Рабочая: выберите Не устанавливать ограничения (по умолчанию). Чтобы управлять доступом на основе определенной группы безопасности, выберите Исключить предоставление доступа группам безопасности и оставьте флажок Ограничить общее количество пользователей, которые могут предоставить доступ снятым.

Аналитика по использованию

Администраторы и авторизованные пользователи могут быть в курсе того, что происходит в их управляемых средах, с помощью статистики использования и аналитики, доставляемых в еженедельном электронном дайджесте. Узнайте, какие приложения и потоки наиболее популярны, а какие неактивны и их можно безопасно очистить. Ссылки в письме ведут непосредственно на ресурс для углубленного анализа.

Децентрализованные ИТ-команды обычно используют еженедельное электронное письмо для информирования администраторов о том, что происходит с их управляемой средой, что делает управление получателями важной задачей. Количество получателей ограничено, поэтому мы рекомендуем использовать список рассылки по электронной почте, например HR_Admins@contoso.com вместо отдельных адресов.

Политики данных

Хорошо спланированная стратегия сред включает надежные политики данных. Политики DLP определяют, какие соединители доступны и какие из них можно использовать друг с другом. В одной и той же среде может быть активно несколько политик DLP, но приоритет будет иметь наиболее строгая политика. Если одна политика DLP разрешает использование соединителя A, а другая политика DLP блокирует использование соединителя A, этот соединитель блокируется.

В средах обычно применяется несколько политик DLP, особенно тогда, когда политики DLP применяются по региону, стране, отделу или рабочей группе в одной и той же среде. Крайне важно иметь четкую визуализацию всех политик данных, применимых к среде. Самый простой способ добиться этого — управлять средой. В управляемых средах администраторы могут легко идентифицировать все применяемые DLP.

Принудительное использование средства проверки решения

Рабочая группа центра передовых технологий (CoE) обычно настраивает защитные ограничения, чтобы снизить риск импорта пользователями несоответствующих решений в среде. В управляемых средах администраторы могут легко применять широкий ассортимент проверок статического анализа ваших решений по набору правил оптимальной работы и выявлять проблемные закономерности. В организациях с децентрализованными центрами передовых технологий часто необходимо активировать проверку решений вместе с отправкой электронного письма, чтобы заранее связаться с создателем и предложить поддержку.

Принудительная проверка решений предлагает три уровня контроля: "Нет", "Предупреждать" и "Блокировать". Администраторы настраивают результат проверки: выдавать предупреждение, но разрешать импорт, или вообще блокировать импорт, а также предоставлять создателю информацию о результате импорта.

Организации, использующие эту функцию, настраивают ее по-разному в зависимости от типа среды. Исключения — это нормально, и это руководство всегда должно соответствовать вашим потребностям. Однако ниже приведены наиболее распространенные настройки для принудительной проверки решений в каждом типе среды:

  • По умолчанию: выберите Блокировать и Отправлять сообщения.

  • Разработка: выберите Предупреждать и оставьте флажок Отправлять сообщения не установленным.

  • Песочница: выберите Предупреждать и оставьте флажок Отправлять сообщения не установленным.

  • Рабочая: выберите Блокировать и Отправлять сообщения.

  • Среда Teams: выберите Блокировать и Отправлять сообщения.

IP-брандмауэр

По умолчанию ко всем данным Dataverse можно получить доступ с помощью API-интерфейса с любого IP-адреса, защищенного аутентификацией. В организациях принято ограничивать доступ к разрешенным источникам, чтобы снизить риск инсайдерских угроз, таких как утечка данных. IP-брандмауэр в управляемой среде помогает защитить данные вашей организации в Dataverse, разрешая пользователям доступ только с разрешенных IP-адресов. IP-брандмауэр анализирует IP-адрес каждого запроса в реальном времени и отклоняет любой из запрещенных адресов.

Организации часто настраивают IP-брандмауэр так, чтобы разрешать соединения из офисных помещений и ограничивать соединения, поступающие извне. Лучше всего использовать его вместе с условным доступом, чтобы избежать несогласованных политик и зависимостей.

Совет

Если вы неправильно настроили эти политики, вам может потребоваться обратиться за помощью в Microsoft службу поддержки. Вы можете ограничить доступ в Power Apps для пользователей за пределами разрешенных IP-адресов и ограничить действия Power Automate, которые были разрешены ранее.

Привязка cookie-файлов к IP-адресу предотвращает использование сеансовых cookie-файлов, например атаки на повторное воспроизведение cookie-файлов в Управляемые среды. Если предпринимается попытка доступа к Dataverse на неавторизованном компьютере с использованием сеансового файла cookie, украденного с авторизованного компьютера, на котором включена привязка IP-файлов cookie, попытка блокируется, и пользователю предлагается пройти повторную аутентификацию. Пользователь должен пройти повторную аутентификацию, когда:

  • Любой VPN-клиент включается или выключается.
  • Происходит подключение к беспроводной точке доступа.
  • Соединение сбрасывается поставщиком услуг Интернета.
  • Маршрутизатор сбрасывается или перезапускается.

Ключ, управляемый клиентом

Ключ, управляемый клиентом, (CMK) похож на замок, который вы устанавливаете на свое хранилище. Вместо того чтобы полагаться на то, насколько хорошо складская компания охраняет объект, вы сохраняете ключ от своего замка и решаете, кто имеет доступ к вашему хранилищу. Организации, которые должны соблюдать законы и правила, касающиеся безопасности и конфиденциальности данных, могут защитить свои данные, зашифровав их собственным ключом. Если копия данных украдена, ее невозможно восстановить на другом сервере без ключа шифрования.

Используя CMK, вы гарантируете, что только у вас есть доступ к ключу для расшифровки информации. Никто другой не сможет получить доступ к вашим зашифрованным данным без ключа шифрования, в том числе: Microsoft

CMK предлагает преимущества по сравнению с моделью "принеси свой ключ" (BYOK). Вы можете использовать разные или несколько ключей шифрования для разных сред, а также сможете лучше управлять ключами шифрования в собственном хранилище ключей. Обновление с BYOK до CMK также открывает ваши среды для всех других служб Power Platform, использующих хранилище, отличное от SQL, таких как аналитика и информация о клиентах, большие размеры загружаемых файлов, более экономичное хранилище аудита с возможностью хранения аудита, сервисы эластичных таблиц, поиск по Dataverse и долгосрочное хранение. Если ваша организация использует BYOK, мы рекомендуем перейти на CMK.

Организации, использующие CMK, должны иметь строгие процедуры для защиты и обновления своих ключей шифрования, управляемых клиентами.

Защищенное хранилище

Большинству операций, поддержки и устранения неполадок, выполняемых Microsoft персоналом, не требуется доступ к данным клиентов. Однако в редких случаях Microsoft персоналу необходим ограниченный доступ к данным клиентов для целей расследования. Microsoft имеет многоуровневую внутреннюю процедуру утверждения для предоставления доступа к данным клиентов при необходимости, но многим организациям требуется или хочется иметь больший контроль над тем, как Microsoft можно получить доступ к своим данным. С помощью Power Platform Customer Lockbox клиенты могут просматривать, одобрять и отклонять Microsoft запросы на доступ к данным.

Если активировано защищенное хранилище и ваш запрос в службу поддержки требует, чтобы мы имели ограниченный доступ к вашим данным, глобальные администраторы и администраторы Power Platform вашей организации получают запрос. Если заявка одобрена, Microsoft персонал, работающий над вашим тикетом, получит доступ к данным только в запрошенной среде и только в течение определенного периода времени. Более того, их доступ не продлевается автоматически. Каждый раз, когда требуется доступ к данным, администраторы получают новый запрос на защищенное хранилище. Все запросы и обновбения автоматически записываются в журнал аудита.

Расширенное резервное копирование (от 7 до 28 дней)

Регулярное и частое резервное копирование защитит ваши данные в Power Platform и Dataverse от риска неблагоприятных событий. Если вы используете Power Platform для создания производственных сред, в которых установлена база данных Dataverse и приложения Dynamics 365, эти среды автоматически копируются и хранятся до 28 дней. Если в рабочей среде не установлены приложения Dynamics 365, резервные копии хранятся в течение семи дней. Однако для управляемых сред администраторы могут с помощью следующих команд PowerShell изменить этот параметр и увеличить период хранения резервных копий до 14, 21 или 28 дней.

Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28

DLP для классических потоков

Power Automate позволяет создавать политики защиты от потери данных, которые классифицируют модули классических потоков и отдельные действия модулей как коммерческие, некоммерческие или заблокированные. Такая категоризация не позволяет создателям объединять модули и действия из разных категорий в классический поток или между облачным потоком и классическими потоками, которые он использует — только в управляемых средах. Хотя вы можете создавать политики DLP для классических потоков в неуправляемых средах, эти политики не применяются принудительно.

По умолчанию группы действий для классических потоков не отображаются при создании политики защиты от потери данных. Администратору необходимо включить настройку клиента Показывать действия классических потоков в политиках DLP в центре администрирования Power Platform.

Снимок экрана действий классического потока в области DLP в центре администрирования Power Platform.

Любой сотрудник вашей организации может создавать потоки рабочего стола Windows в среде по умолчанию. Иметь стратегию DLP для потоков настольных компьютеров так же важно, как и для облачных потоков, чтобы гарантировать соблюдение производителями политик организации. Например, если ваши политики блокируют выполнение скриптов на компьютерах пользователей, важно не допустить, чтобы создатели создавали классические потоки с помощью действия Запустить скрипт. Аналогичным образом, если ваши политики ограничивают использование HTTP-коннектора в облачных потоках, рекомендуется заблокировать аналогичные действия в классических потоках.

Если вы не уверены, как политика DLP повлияет на рабочие процессы ваших разработчиков, воспользуйтесь инструментом анализа воздействия DLP в Комплекте по автоматизации.

Экспорт данных в Application Insights

Application Insights можно получать диагностические данные и данные о производительности, которые можно использовать для диагностики и устранения ошибок и проблем с производительностью. Dataverse Организации используют Application Insights, функцию Azure Monitor, чтобы получить больший контроль над своими активами.

Если у вас есть среды Dataverse, вы можете использовать поток данных для мониторинга производительности входящие вызовы API Dataverse, вызовы выполнения подключемого модуля Dataverse и вызовы SDK Dataverse, а также отслеживать сбои в подключаемых модулях и операциях Dataverse SDK. Подключив ваше приложение к Application Insights, вы сможете узнавать, что пользователи делают с ним, и собирать информацию, которая поможет вам принимать лучшие бизнес-решения и улучшать качество ваших приложений. Например, на следующем снимке экрана показано количество и средняя продолжительность каждой операции для приложения на основе модели. Эта информация полезна для определения тех операций, которые больше всего влияют на пользователей приложений.

Снимок экрана панели производительности Application Insights.

Вы можете использовать Application Insights вместе с фильтрами для обнаружения любого потока, который не работает, и создания предупреждений. В следующем примере показано, как создать пользовательское оповещение для фильтрации сбоев определенного облачного потока. Дополнительные примеры см. на странице Настройка Application Insights с Power Automate.

let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false

Каталог в Power Platform

Каталог в Power Platform — это центральное место, где создатели и разработчики могут находить и обмениваться решениями, шаблонами и компонентами кода для повторного использования во всей организации. Он также предоставляет администраторам центральное место для хранения и обслуживания артефактов Power Platform, а также возможности управления и рабочие процессы утверждения для обеспечения соответствия нормативным и законодательным требованиям.

Создатели и разработчики отправляют решения, шаблоны и компоненты в каталог, чтобы помочь своим коллегам решать бизнес-задачи. Администраторы и бизнес-утверждающие могут просматривать и утверждать их. Каталог служит единым источником достоверной информации об артефактах Power Platform, которые можно курировать и контролировать, чтобы повысить ценность для создателей и разработчиков. Это оптимизирует процесс поиска, создания и обмена решениями и шаблонами, упрощая организациям применение приложений для решения бизнес-задач и достижение своих целей.

Организации, которые поощряют разработчиков и производителей создавать и совместно использовать компоненты и шаблоны, могут извлечь большую пользу из инвестиций в Power Platform. Просто построить недостаточно. Масштабное распространение этих артефактов способствует развитию сообществ и поддерживает группы, которые смогут извлечь выгоду от разнообразного персонала внутри организации. Организации, которые наиболее успешно используют Power Platform, применяют модель объединенной команды, в которой профессиональные разработчики, создатели и администраторы работают вместе, чтобы помочь своим коллегам получить максимальную отдачу от платформы, используя решения, шаблоны и компоненты.

Маршрутизация среды по умолчанию

Маршрутизация среды по умолчанию — это премиум-функция управления, которую Power Platform администраторы могут использовать для автоматического направления новых создателей в их собственные личные среды разработки при первом посещении Power Apps. Маршрутизация среды по умолчанию предлагает новым создателям личное и безопасное пространство для создания с помощью Microsoft Dataverse, не опасаясь, что другие получат доступ к их приложениям или данным.

Соображения для использования управляемых сред

Когда вы планируете использовать управляемые среды, вам следует помнить о нескольких вещах.

Управление: управляемая среда, начальный набор CoE или и то, и другое?

Управляемые среды — это набор функций, призванных упростить управление Power Platform, предоставляя больше контроля и требуя меньше усилий со стороны администраторов, чего с нетерпением ждали многие организации. На процессы управления во многих организациях повлиял Начальный набор CoE. Другие основаны на готовых функциях набора, расширенных для удовлетворения конкретных потребностей организации. Третьи используют начальный набор CoE для расширения функций управления управляемыми средами.

Команда инженеров для управляемых сред тесно сотрудничала с Power CAT, командой, ответственной за начальный набор, чтобы определить функции, которые чаще всего используются в начальном наборе CoE, и добавить их в управляемые среды. В результате некоторые функции доступны в обоих продуктах. При использовании Управляемые среды функции продукта управляются и поддерживаются Microsoft. Вам не нужно их обновлять или обслуживать — они обновляются автоматически с помощью волн выпуска Power Platform. Если ваша организация использует начальный набор CoE, важно установить и поддерживать внутренний процесс его ежемесячного обновления. Следуйте рекомендациям, представленным на странице Начальный набор CoE — часы работы.

Рекомендуемый подход — использовать оба варианта: начать с управляемых сред и заполнить пробелы с помощью начального набора. Как решить, использовать ли Управляемые среды с набором CoE Starter Kit.

Поскольку набор создается сообществом, на него не распространяются те же соглашения об уровне обслуживания, что и на наши лицензионные продукты. Перейдите на сайт GitHub, чтобы сообщить об ошибках, задать вопросы и запросить новые функции.

Если вы планируете деактивировать управляемые среды

Важно понимать, что произойдет, если ваша организация перестанет использовать управляемые среды. В следующей таблице описаны последствия для создателей и администраторов.

Функция Влияние на создателей Влияние на администратора
Приветствие создателя Нет напрямую — приветственное сообщение перестанет отображаться, когда пользователи войдут в среду. Не напрямую — они не могут определять индивидуальные приветственные сообщения в средах.
Ограничение предоставления доступа Напрямую — они могут делиться своими приложениями с любыми группами безопасности и пользователями. Напрямую — они не могут контролировать общий доступ к приложениям в среде.
Аналитика по использованию None Напрямую — они и любые другие получатели перестают получать еженедельный дайджест электронной почты.
Политики данных None Не напрямую — DLP применяется принудительно, но администраторы не могут применять несколько DLP к среде.
Конвейеры в Power Platform Напрямую — они не могут использовать конвейеры для развертывания своих решений. None
Принудительное использование средства проверки решения Напрямую — они могут импортировать любое решение без проверки на наличие ошибок, безопасности и несоответствий активов. None
Ключ, управляемый клиентом None Не напрямую — функция ограничена.
IP-брандмауэр None Не напрямую — функция ограничена.
Защищенное хранилище None Не напрямую — функция ограничена.
Расширенное резервное копирование (от 7 до 28 дней) None Не напрямую — функция ограничена.
DLP для классических потоков Напрямую — они могут выполнять ранее заблокированные действия. None
Экспорт в App Insights None Не напрямую — функция ограничена.
Каталог в Power Platform None Не напрямую — функция ограничена.

Общие параметры управляемых сред

Если вы планируете активировать управляемые среды, вам могут пригодиться следующие примеры настроек для каждого типа сред:

  • Среда умолчанию

    • Ограничить общий доступ: исключить общий доступ для групп, ограничить общий доступ до 20 человек
    • Реализация проверки решений: блокировка и отправка писем
    • Аналитика использования: Вкл.
    • Приветственный контент создателя: Настраиваемый, включая ссылку для получения дополнительной информации

  • Среда разработчика

    • Ограничьте общий доступ: не устанавливайте ограничений
    • Реализация проверки решений: Предупреждать и не отправлять электронные письма
    • Аналитика использования: Выкл.
    • Приветственный контент создателя: Настраиваемый, включая ссылку для получения дополнительной информации

  • Среда в песочнице

    • Ограничьте общий доступ: не устанавливайте ограничений
    • Реализация проверки решений: Предупреждать и не отправлять электронные письма
    • Аналитика использования: Вкл.
    • Приветственный контент создателя: Настраиваемый, включая ссылку для получения дополнительной информации

  • Рабочая среда

    • Ограничьте общий доступ: не устанавливайте ограничений
    • Реализация проверки решений: блокировка и отправка писем
    • Аналитика использования: Вкл.
    • Приветственный контент создателя: Настраиваемый, включая ссылку для получения дополнительной информации

  • Среда Teams

    • Ограничьте общий доступ: не устанавливайте ограничений
    • Реализация проверки решений: блокировка и отправка писем
    • Аналитика использования: Вкл.
    • Приветственный контент создателя: Нет контента или ссылки «узнать больше»

Как использовать функцию управляемой среды с начальным набором CoE

Стартовый комплект CoE предлагает полный набор функций для администрирования, управления и развития принятия Power Platform. Это продукт наших экспериментов и инноваций с открытым исходным кодом и малокодовой моделью, на которую сильно повлияли отзывы клиентов. Некоторые из его функций перекрывают функции управляемых сред, и планируется, что управляемые среды в конечном итоге заменят некоторые функции набора. По мере развития управляемых сред мы продолжаем добавлять в набор новые функции, чтобы оценить интерес. Начальный набор CoE не предназначен для дублирования функций, существующих в управляемых средах. Основное внимание уделяется инновациям и удовлетворению неудовлетворенных запросов клиентов по мере того, как мы оцениваем отзывы о том, что необходимо дальше.

Вы можете использовать управляемые среды отдельно или вместе с начальным набором CoE для администрирования и управления внедрением Power Platform. Как узнать, какой вариант выбрать?

Мы рекомендуем начать с возможностей по умолчанию в центре администрирования Power Platform и управляемых средах. Они надежны и полностью поддерживаются. Если вы обнаружите, что вам нужны дополнительные возможности для управления вашим клиентом, проверьте, могут ли функции начального набора CoE дополнить то, что вы получаете "из коробки" в управляемых средах. Каждой организации необходимо найти лучшую гибридную модель, отвечающую ее требованиям.

Начальный набор CoE и управляемые среды

Вам следует обратить внимание на некоторые важные различия между начальным набором CoE и управляемыми средами.

Начальный набор CoE использует общедоступные API и действия для системы управления. Процессы управления асинхронны и происходят реактивно. Допустим, вашей организации необходимо ограничить общий доступ к приложениям 20 пользователями. CoE может реагировать только после превышения лимита, что может привести к несоответствию активов. С другой стороны, управляемые среды используют частные API, встроенные в продукт, которые обеспечивают соблюдение ограничений общего доступа до того, как они будут пройдены.

Управляемые среды постоянно развиваются на основе отзывов клиентов, использующих начальный набор CoE. Некоторые функции полностью или частично перекрываются. Начальный набор позволяет организациям использовать множество функций, которые в настоящее время недоступны в управляемых средах, и наоборот. Рекомендуем просмотреть Обзор центра передового опыта (CoE).

Следующее сравнение функций управляемых сред и начального набора CoE поможет вам принять решение.

Управляемые среды функция: Приветствуем создателей Доступно в стартовом наборе CoE: Частично

  • В управляемых средах администраторы могут предоставлять персонализированный приветственный контент, чтобы поприветствовать создателей при первом посещении Power Apps информацией о том, как начать работу. Начальный набор CoE предлагает приветственное электронное письмо, которое отправляется новым создателям только после того, как они создадут свое первое приложение, поток или бота.
  • Управляемые среды обращаются к новым создателям непосредственно в студией создателя. Начальный набор CoE обращается только по электронной почте.
  • Управляемые среды позволяют администраторам настраивать приветственное сообщение для каждой среды. В начальном наборе CoE есть одно приветственное сообщение для всех сред.

Функция Управляемые среды: Ограничение общего доступа Доступно в стартовом наборе CoE: Не в режиме реального времени (реактивно)

Администраторы могут устанавливать ограничения доступа в начальном наборе, но их невозможно принудительно применять. Ограничения доступа в наборе используются для отправки уведомлений о соответствии и напоминаний создателям.

Функция Управляемые среды: Аналитика использования Доступно в стартовом наборе CoE: Да

  • Оба решения имеют хорошую визуализацию запасов и аналитики использования.
  • Отчеты начального набора CoE объединяют данные диагностики и инвентаризации с данными о вашем клиенте из Microsoft Entra ID, что позволяет вам находить наиболее активных создателей по отделам, городам или странам/регионам.
  • Отчеты начального набора используют Power BI, поэтому вы можете "разрезать" данные на части в соответствии с вашими требованиями и использовать безопасность Power BI на уровне строк, чтобы делиться панелями мониторинга с другими группами администраторов. Узнайте, как получить более глубокое представление о вашем Power Platform усыновлении с помощью Power BI панели управления CoE.

Функция Управляемые среды: Политики данных Доступно в стартовом наборе CoE: Да

В начальный набор CoE входит инструмент воздействия DLP, который полезен для понимания влияния на среду активации или деактивации определенных DLP.

Функция Управляемые среды: Еженедельный дайджест Доступно в стартовом наборе CoE: Частично

  • В начальном наборе CoE нет еженедельного дайджеста для администраторов. Вместо этого администраторы получают информацию на панели управления Power BI.
  • В управляемых средах неактивные приложения и потоки отмечаются в электронном еженедельном дайджесте. В начальном наборе CoE предусмотрен процесс уведомления о неактивности, который уведомляет создателей об их неактивных ресурсах и запрашивает разрешение на их удаление.
  • Одна из основных целей управляемых сред и начального набора CoE — предоставить больше аналитики, которая позволит администраторам принимать меры. Начальный набор CoE имеет здесь преимущество. Он имеет возможности, которые перенаправляют управление ресурсами создателям, возлагая на них ответственность за свои собственные ресурсы и снижая нагрузку на администраторов.

Управляемые среды feature: Конвейеры в Power Platform Доступно в стартовом наборе CoE: Частично

Часть начального набора CoE содержит другой набор под названием ALM Accelerator for Power Platform, который имеет функции, аналогичные конвейерам, включая некоторую расширяемость для интеграции между обоими решениями.

Функция Управляемые среды: Принудительное выполнение проверки решений Доступно в стартовом наборе CoE: Нет

Поскольку эти решения тесно интегрированы с продуктом, начальный набор CoE не позволяет их проверять.

Функция Управляемые среды: IP-брандмауэр Доступно в стартовом наборе CoE: Нет

Функция Управляемые среды: Блокировка атак с повторным воспроизведением файлов cookie Доступно в стартовом наборе CoE: Нет

Функция Управляемые среды: Ключи, управляемые клиентом Доступно в стартовом наборе CoE: Нет

Функция Управляемые среды: Клиентский сейф Доступно в стартовом наборе CoE: Нет

Заключение

Управляемые среды с расширенными возможностями управления являются ключевым решением для ИТ-администраторов, которым поручено управление внедрением Power Platform в большом масштабе. Предоставляя надежный набор инструментов и элементов управления, он позволяет специалистам по управлению поддерживать хрупкое равновесие между инновациями и безопасностью. Благодаря детальному контролю доступа, оптимизированному развертыванию решений и обеспечению соблюдения политик, управляемые среды предлагают организациям основу для уверенного использования всего потенциала Power Platform, обеспечивая при этом соответствие требованиям, целостность данных и оптимальную производительность. В эпоху, когда управление данными имеет первостепенное значение, эти возможности делают Power Platform краеугольным камнем в современных корпоративных ИТ-стратегиях, повышая эффективность и спокойствие как администраторов, так и заинтересованных сторон.

См. также