Соображения по безопасности и управлению

  • Статья

Многие клиенты задаются вопросом, как сделать Power Platform доступным для более широкого бизнеса и поддержки ИТ? Ответ — система управления. Она направлен на то, чтобы позволить бизнес-группам сосредоточиться на эффективном решении бизнес-задач, соблюдая при этом стандарты ИТ и соответствия бизнес-стандартам. Следующее содержимое предназначено для структурирования тем, часто связанных с управлением программным обеспечением, и информирования о возможностях, доступных для каждой темы, поскольку она связана с управлением Power Platform.

Тема Общие вопросы, связанные с каждой темой, за которую отвечает этот контент
Архитектура
  • Каковы основные конструкции и понятия Power Apps, Power Automate и Microsoft Dataverse?

  • Как эти конструкции соответствуют друг другу во время разработки и выполнения?
Безопасность
  • Каковы лучшие методики для организации систем безопасности?

  • Как использовать наши существующие решения для управления пользователями и группами для управления доступом и ролями безопасности в Power Apps?
Оповещения и действия
  • Как определить модель системы управления между гражданскими разработчиками и управляемыми ИТ-службами?

  • Как определить модель системы управления между центральным ИТ и администраторами подразделений?

  • Как мне приблизиться к поддержке нестандартных сред в моей организации?
Отслеживание
  • Как мы собираем данные о соответствии и аудите?

  • Как измерить принятие и использование в моей организации?

Архитектура

Лучше всего ознакомиться со средой в рамках первого шага к созданию правильной системы управления для вашей компании. Среды — это контейнеры для всех ресурсов, используемых Power Apps, Power Automate и Dataverse. Обзор сред — это хорошее начало, за которым следует Что такое Dataverse?, Типы Power Apps, Microsoft Power Automate, Соединители и Локальные шлюзы.

Безопасность

В этом разделе описываются механизмы, которые существуют для контроля того, кто может получить доступ к Power Apps в среде и доступ к данным: лицензии, среды, роли среды, Microsoft Entra ID, политики предотвращения потери данных и соединители администраторов, которые можно использовать с Power Automate.

Лицензирование

Доступ к Power Apps и Power Automate начинается с лицензии. Тип лицензии, имеющейся у пользователя, определяет активы и данные, к которым пользователь может получить доступ. В следующей таблице представлены различия в ресурсах, доступных пользователю на основе типа плана, на высоком уровне. Подробную информацию о лицензировании можно найти в Обзор лицензирования.

Планирование Описание
Microsoft 365 в составе Позволяет пользователям расширять SharePoint и другие активы Office, которые у них уже есть.
Dynamics 365 в составе Это позволяет пользователям настраивать и расширять приложения Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), которое у них уже есть.
План Power Apps Позволяет:
  • создание корпоративных соединителей и Dataverse, доступных для использования.
  • пользователи могут использовать надежную бизнес-логику для разных типов приложений и возможностей администрирования.
Power Apps Community Это позволяет пользователю использовать Power Apps, Power Automate, Dataverse и настраиваемые соединители вместе для индивидуального использования. Нет возможности делиться приложениями.
Power Automate бесплатно Это позволяет пользователям создавать неограниченные потоки и выполнять 750 запусков.
План Power Automate См. Руководство по лицензированию Microsoft Power Apps и Microsoft Power Automate.

Среды

После того как у пользователей есть лицензии, среды существуют как контейнеры для всех ресурсов, используемых Power Apps, Power Automate и Dataverse. Среды могут использоваться для разных типов слушателей и/или для разных целей, таких как разработка, тестирование и производство. Более подробную информацию можно найти в Обзор сред.

Защитите свои данные и сеть

  • Power Apps и Power Automate не предоставляют пользователям доступ к активам данных, к которым у них еще нет доступа. Пользователи должны иметь доступ только к тем данным, к которым им действительно необходим доступ.
  • Политики контроля доступа к сети также могут применяться к Power Apps и Power Automate. Что касается среды, можно заблокировать доступ к сайту из сети, заблокировав страницу входа, чтобы предотвратить создание подключений к этому сайту в Power Apps и Power Automate.
  • В среде доступ контролируется на трех уровнях: Роли среды, Разрешения на ресурсы для Power Apps, Power Automate и т. д. и Роли безопасности Dataverse (если база данных Dataverse предоставлена).
  • Когда Dataverse создается в среде роли Dataverse будут контролировать управление безопасностью в среде (и все администраторы среды и создатели среды будут перенесены).

Следующие субъекты поддерживаются для каждого типа роли.

Тип среды Роль Тип субъекта (Microsoft Entra ID)
Среда без Dataverse Роль среды Пользователь, группа, клиент
Разрешение ресурса: приложение на основе холста Пользователь, группа, клиент
Разрешение ресурса: Power Automate, настраиваемый соединитель, шлюзы, подключения1 Пользователь, группа
Среда в Dataverse Роль среды User
Разрешение ресурса: приложение на основе холста Пользователь, группа, клиент
Разрешение ресурса: Power Automate, настраиваемый соединитель, шлюзы, подключения1 Пользователь, группа
Роль Dataverse (применяется ко всем приложениям на основе модели и компонентам) User

1Только определенные соединения (например, SQL) могут быть общими.

Заметка

  • В среде по умолчанию всем пользователям в клиенте предоставляется доступ к роли создателя среды.
  • У глобальных администраторов клиента Microsoft Entra есть доступ администратора ко всем средам.

Вопросы и ответы: какие разрешения существуют на уровне клиента Microsoft Entra?

Сегодня администраторы Microsoft Power Platform могут делать следующее:

  1. Загружать отчет о лицензии Power Apps и Power Automate
  2. Создавать политику защиты от потери данных в масштабе только к "Все среды" или с включением/исключением определенных сред
  3. Управлять и назначать лицензии через центр администрирования Office
  4. Доступ ко всем возможностям управления средой, приложениями и потоками для всех сред в клиенте через:
    • Командлеты PowerShell для администраторов Power Apps
    • Соединители управления Power Apps
  5. Доступ к аналитике администраторов Power Apps и Power Automate для всех сред клиента:

Рассмотрим Microsoft Intune

Клиенты с Microsoft Intune могут задавать политики защиты мобильных приложений для приложений Power Apps и Power Automate в Android и iOS. В этом пошаговом руководстве рассматриваются настройки политики через Intune для Power Automate.

Рассмотрим условный доступ на основе расположения

Для клиентов с Microsoft Entra ID P1 или P2 политики условного доступа могут быть определены в Azure для Power Apps и Power Automate. Позволяет предоставлять или блокировать доступ на основе: пользователя/группы, устройства, местоположения.

Создание политики условного доступа

  1. Выполните вход в https://portal.azure.com.
  2. Выберите Условный доступ.
  3. Выберите + Создать политику.
  4. Выберите выбраны пользователи и группы.
  5. Выберите Все облачные приложения>Все облачные приложения>Common Data Service для управления доступом к приложениям для взаимодействия с клиентами.
  6. Примените условия (пользовательский риск, платформы устройств, местоположения).
  7. Выберите Создать.

Предотвратить утечку данных с политиками защиты от потери данных

Политики защиты от потери данных (DLP) устанавливают правила того, какие соединители могут использоваться вместе, классифицируя соединители как только бизнес-данные или бизнес-данные не разрешены. Проще говоря, если вы поместите соединитель в группу только для бизнес-данных, он может использоваться только с другими соединителями из этой группы в том же приложении. Администраторы Power Platform могут определять политики, которые применяются ко всем средам.

Вопросы и ответы

Вопрос. Могу ли я контролировать на уровне клиента, какой соединитель вообще доступен, например "Нет" для Dropbox или Twitter, но "Да" для SharePoint?

Ответ. Это возможно, если использовать возможности классификации соединителей и назначить классификатор Заблокировано одному или нескольким соединителям, которые вы не хотите использовать. Обратите внимание, что есть набор соединителей, которые невозможно заблокировать.

Вопрос: Как насчет совместного использования соединителей между пользователями? Например, соединитель для Teams — общий, которым можно делиться?

Ответ: соединители доступны всем пользователям. За исключением соединителей Премиум или настраиваемых соединителей, которым требуется либо дополнительная лицензия (соединители Премиум), либо явный общий доступ (настраиваемые соединители)

Оповещения и действие

В дополнение к мониторингу многие клиенты хотят подписаться на события создания, использования или состояния программного обеспечения, чтобы они знали, когда выполнять действие. В этом разделе описывается несколько способов наблюдения за событиями (вручную и программно) и выполнения действий, вызванных возникновением события.

Создание потоков Power Automate для оповещения о ключевых событиях аудита

  1. Примером оповещения, которое может быть реализовано, является подписка на журналы аудита безопасности и соответствия Microsoft 365.
  2. Это может быть достигнуто через подписку веб-перехватчик или опрос. Тем не менее, прикрепляя Power Automate для этих оповещений, мы можем предоставить администраторам больше, чем просто уведомления по электронной почте.

Создание нужных политик с помощью Power Apps, Power Automate и PowerShell

  1. Эти командлеты PowerShell предоставляют полный контроль администраторов для автоматизации необходимых политик управления.
  2. Соединители управления обеспечивают тот же уровень контроля, но с дополнительной расширяемостью и простотой использования за счет использования Power Apps и Power Automate.
  3. Следующие шаблоны Power Automate для соединителей администрирования существуют для быстрого наращивания:
    1. Список новых соединителей Power Automate
    2. Получить список новых потоков Power Apps, Power Automate и соединителей
    3. Присылайте мне на почту еженедельную сводку уведомлений центра сообщений Office 365
    4. Доступ к журналам безопасности и соответствия Office 365 из Power Automate
  4. Использовать этот шаблон блога и приложения, чтобы быстро начать использовать административные соединители.
  5. Кроме того, стоит проверить контент, размещенный в Галерея приложений сообщества, вот еще один пример административного взаимодействия, построенного на основе Power Apps и соединителей администрирования.

Вопросы и ответы

Проблема В настоящее время все пользователи с лицензиями Microsoft E3 могут создавать приложения в среде по умолчанию. Как, например, мы можем включить права создателя среды для выбранной группы. 10 человек для создания приложений?

РекомендацияКомандлеты PowerShell и Соединители управления обеспечивают полную гибкость и контроль администраторов для создания политик, которые им нужны для своей организации.

Отслеживание

Понятно, что мониторинг является важнейшим аспектом управления программным обеспечением в масштабе, в этом разделе освещается несколько способов получить аналитику по разработке и использованию Power Apps и Power Automate.

Просмотр журнала аудита

Регистрация активности для Power Apps интегрирована с центром безопасности и соответствия требованиям Office для комплексного ведения журналов через службы Microsoft, такие как Dataverse и Microsoft 365. Office предоставляет API для запроса этих данных, который в настоящее время используется многими поставщиками SIEM для использования данных регистрации активности для составления отчетов.

Просмотрите отчет по лицензиям Power Apps и Power Automate

  1. Перейдите в центр администрирования Power Platform.

  2. Выберите Аналитика>Power Automate или Power Apps.

  3. Просмотрите аналитику администраторов Power Apps и Power Automate

    Вы можете получить информацию о следующем:

    • Активные пользователи и использование приложения — сколько пользователей используют приложение и как часто?
    • Местоположение: где используется?
    • Производительность обслуживания соединителей
    • Сообщения об ошибках: какие приложения наиболее подвержены ошибкам
    • Используемые потоки по типу и дате
    • Созданные потоки по типу и дате
    • Аудит на уровне приложений
    • Работоспособность службы
    • Используемые соединители

Просмотр, что пользователи имеют лицензию

Вы всегда можете просмотреть лицензирование для отдельных пользователей в центре администрирования Microsoft 365 с детализацией по конкретным пользователям.

Вы также можете использовать следующую команду PowerShell для экспорта назначенных пользовательских лицензий.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Экспортирует все назначенные пользовательские лицензии (Power Apps и Power Automate) в вашем клиенте в виде таблицы .csv. Экспортированный файл содержит как внутренние пробные планы самостоятельной регистрации, так и планы, полученные из Microsoft Entra ID. Внутренние пробные планы не видны администраторам в центре администрирования Microsoft 365.

Экспорт может занять некоторое время для клиентов с большим количеством пользователей Power Platform.

Просмотр ресурсов приложения, используемых в среде

  1. В центре администрирования Power Platform выберите "Среды" в меню навигации.
  2. Выберите среду.
  3. При желании, список ресурсов, используемых в среде, может быть загружен как CSV.

См. также

Воспользуйтесь рекомендациями по защите сред Power Automate и управлению ими
Начальный набор Microsoft Power Platform Center of Excellence (CoE)