Поделиться через

Соображения по безопасности и управлению

  • Статья

Многие клиенты задаются вопросом, как сделать Power Platform доступным для более широкого бизнеса и поддержки ИТ? Ответ — система управления. Она направлен на то, чтобы позволить бизнес-группам сосредоточиться на эффективном решении бизнес-задач, соблюдая при этом стандарты ИТ и соответствия бизнес-стандартам. Следующее содержимое предназначено для структурирования тем, часто связанных с управлением программным обеспечением, и информирования о возможностях, доступных для каждой темы, поскольку она связана с управлением Power Platform.

Тема Общие вопросы, связанные с каждой темой, за которую отвечает этот контент
Архитектура
  • Каковы основные конструкции и понятия Power Apps, Power Automate и Microsoft Dataverse?

  • Как эти конструкции соответствуют друг другу во время разработки и выполнения?
Безопасность
  • Каковы лучшие методики для организации систем безопасности?

  • Как использовать наши существующие решения по управлению пользователями и группами для управления ролями доступа и безопасности Power Apps?
Оповещения и действия
  • Как определить модель системы управления между гражданскими разработчиками и управляемыми ИТ-службами?

  • Как определить модель системы управления между центральным ИТ и администраторами подразделений?

  • Как мне приблизиться к поддержке нестандартных сред в моей организации?
Отслеживание
  • Как мы собираем данные о соответствии и аудите?

  • Как измерить принятие и использование в моей организации?

Архитектура

Лучше всего ознакомиться со средой в рамках первого шага к созданию правильной системы управления для вашей компании. Среды — это контейнеры для всех ресурсов, используемых Power Apps, Power Automate и Dataverse. Обзор сред — это хорошее руководство, за которым следует Что такое Dataverse?, Типы Power Apps, Microsoft Power Automate, Коннекторы и локальный Шлюзы.

Безопасность

В этом разделе описываются механизмы, которые существуют для контроля того, кто может получить доступ к Power Apps в среде и доступ к данным: лицензии, среды, роли среды, Microsoft Entra ID, политики предотвращения потери данных и соединители администраторов, которые можно использовать с Power Automate.

Лицензирование

Доступ к Power Apps и Power Automate начинается с лицензии. Тип лицензии, имеющейся у пользователя, определяет активы и данные, к которым пользователь может получить доступ. В следующей таблице представлены различия в ресурсах, доступных пользователю на основе типа плана, на высоком уровне. Подробную информацию о лицензировании можно найти в Обзор лицензирования.

Планирование Описание
Microsoft 365 в составе Позволяет пользователям расширять SharePoint и другие активы Office, которые у них уже есть.
Dynamics 365 в составе Это позволяет пользователям настраивать и расширять приложения Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), которое у них уже есть.
План Power Apps Позволяет:
  • создание корпоративных соединителей и Dataverse, доступных для использования.
  • пользователи могут использовать надежную бизнес-логику для разных типов приложений и возможностей администрирования.
Сообщество Power Apps Это позволяет пользователю использовать Power Apps, Power Automate, Dataverse и настраиваемые соединители в одном для индивидуального использования. Нет возможности делиться приложениями.
Power Automate бесплатно Это позволяет пользователям создавать неограниченные потоки и выполнять 750 запусков.
План Power Automate См. Руководство по лицензированию Microsoft Power Apps и Microsoft Power Automate.

Среды

После того как у пользователей есть лицензии, среды существуют как контейнеры для всех ресурсов, используемых Power Apps, Power Automate и Dataverse. Среды могут использоваться для различных целевых аудиторий и/или для различных целей, таких как разработка, тестирование и производство. Более подробную информацию можно найти в Обзор сред.

Защитите свои данные и сеть

  • Power Apps и Power Automate не предоставляйте пользователям доступ к каким-либо данным, к которым у них еще нет доступа. Пользователи должны иметь доступ только к тем данным, к которым им действительно необходим доступ.
  • Политики контроля доступа к сети также могут применяться к Power Apps и Power Automate. Что касается среды, можно заблокировать доступ к сайту из сети, заблокировав страницу входа, чтобы предотвратить создание подключений к этому сайту в Power Apps и Power Automate.
  • В среде доступ контролируется на трех уровнях: Роли среды, Разрешения на ресурсы для Power Apps, Power Automate и т. д. и Роли безопасности Dataverse (если база данных Dataverse предоставлена).
  • При создании Dataverse среды Dataverse роли берут на себя управление безопасностью в среде (и все администраторы и создатели среды переносятся).

Следующие субъекты поддерживаются для каждого типа роли.

Тип среды Роль Тип субъекта (Microsoft Entra ID)
Среда без Dataverse Роль среды Пользователь, группа, клиент
Разрешение ресурса: приложение на основе холста Пользователь, группа, клиент
Разрешение ресурса: Power Automate, настраиваемый соединитель, шлюзы, подключения1 Пользователь, группа
Среда в Dataverse Роль среды User
Разрешение ресурса: приложение на основе холста Пользователь, группа, клиент
Разрешение ресурса: Power Automate, настраиваемый соединитель, шлюзы, подключения1 Пользователь, группа
Роль Dataverse (применяется ко всем приложениям на основе модели и компонентам) User

1Только определенные соединения (например, SQL) могут быть общими.

Заметка

  • В среде по умолчанию всем пользователям в клиенте предоставляется доступ к роли создателя среды.
  • Пользователи с ролью Power Platform Администратор имеют права администратора во всех средах.

FAQ - Какие разрешения существуют на уровне Microsoft Entra клиента?

Сегодня администраторы Microsoft Power Platform могут делать следующее:

  1. Загружать отчет о лицензии Power Apps и Power Automate
  2. Создавать политику защиты от потери данных в масштабе только к "Все среды" или с включением/исключением определенных сред
  3. Управлять и назначать лицензии через центр администрирования Office
  4. Доступ ко всем возможностям управления средой, приложениями и потоками для всех сред в клиенте через:
    • Командлеты PowerShell для администраторов Power Apps
    • Соединители управления Power Apps
  5. Доступ к аналитике администраторов Power Apps и Power Automate для всех сред клиента:

Рассмотрите Microsoft Intune

Клиенты с Microsoft Intune могут устанавливать политики защиты мобильных приложений как для Power Apps , так и для Power Automate приложений на Android и iOS. В этом пошаговом руководстве рассматриваются настройки политики через Intune для Power Automate.

Рассмотрим условный доступ на основе расположения

Для клиентов с Microsoft Entra ID P1 или P2 политики условного доступа могут быть определены в Azure для Power Apps и Power Automate. Позволяет предоставлять или блокировать доступ на основе: пользователя/группы, устройства, местоположения.

Создание политики условного доступа

  1. Выполните вход в https://portal.azure.com.
  2. Выберите Условный доступ.
  3. Выберите + Создать политику.
  4. Выберите выбранных пользователей и группы.
  5. Выберите Все облачные приложения>Все облачные приложения>Common Data Service для управления доступом к приложениям для взаимодействия с клиентами.
  6. Примените условия (пользовательский риск, платформы устройств, местоположения).
  7. Выберите Создать.

Предотвратить утечку данных с политиками защиты от потери данных

Политики предотвращения потери данных (DLP) устанавливают правила совместного использования коннекторов, классифицируя их как «Только бизнес-данные» или «Бизнес-данные не допускаются». Проще говоря, если вы поместите соединитель в группу только для бизнес-данных, он может использоваться только с другими соединителями из этой группы в том же приложении. Администраторы Power Platform могут определять политики, которые применяются ко всем средам.

Вопросы и ответы

Вопрос. Могу ли я контролировать на уровне клиента, какой соединитель вообще доступен, например "Нет" для Dropbox или Twitter, но "Да" для SharePoint?

Ответ. Это возможно, если использовать возможности классификации соединителей и назначить классификатор Заблокировано одному или нескольким соединителям, которые вы не хотите использовать. Обратите внимание, что есть набор соединителей, которые невозможно заблокировать.

Вопрос: Как насчет совместного использования соединителей между пользователями? Например, соединитель для Teams — общий, которым можно делиться?

A: Коннекторы доступны всем пользователям, за исключением премиум-коннекторов или пользовательских коннекторов, для которых требуется либо другая лицензия (премиум-коннекторы), либо они должны быть явно предоставлены в общий доступ (пользовательские коннекторы).

Оповещения и действие

Помимо мониторинга, многие клиенты хотят подписаться на события, связанные с созданием, использованием или работоспособностью программного обеспечения, чтобы знать, когда следует выполнять то или иное действие. В этом разделе описывается несколько способов наблюдения за событиями (вручную и программно) и выполнения действий, вызванных возникновением события.

Создание потоков Power Automate для оповещения о ключевых событиях аудита

  1. Примером оповещения, которое может быть реализовано, является подписка на журналы аудита безопасности и соответствия Microsoft 365.
  2. Это может быть достигнуто через подписку веб-перехватчик или опрос. Тем не менее, прикрепляя Power Automate для этих оповещений, мы можем предоставить администраторам больше, чем просто уведомления по электронной почте.

Создание нужных политик с помощью Power Apps, Power Automate и PowerShell

  1. Эти командлеты PowerShell предоставляют полный контроль администраторов для автоматизации необходимых политик управления.
  2. Коннекторы управления обеспечивают тот же уровень контроля, но с дополнительной расширяемостью и простотой использования за счет использования Power Apps и Power Automate.
  3. Следующие шаблоны Power Automate для соединителей администрирования существуют для быстрого наращивания:
    1. Список новых Power Automate коннекторов
    2. Получить список новых Power Apps, Power Automate потоков и коннекторов
    3. Присылайте мне еженедельную сводку уведомлений Office 365 Центр сообщений
    4. Доступ к Office 365 журналам безопасности и соответствия требованиям из Power Automate
  4. Использовать этот шаблон блога и приложения, чтобы быстро начать использовать административные соединители.
  5. Кроме того, стоит проверить контент, размещенный в Галерея приложений сообщества, вот еще один пример административного взаимодействия, построенного на основе Power Apps и соединителей администрирования.

Вопросы и ответы

Проблема В настоящее время все пользователи с Microsoft лицензиями E3 могут создавать приложения в среде по умолчанию. Как, например, мы можем включить права создателя среды для выбранной группы. Десять человек для создания приложений?

Рекомендация Командлеты PowerShell и Коннекторы управления обеспечивают полную гибкость и контроль для администраторов, позволяя им создавать необходимые политики для своей организации.

Монитор

Хорошо известно, что мониторинг является важнейшим аспектом управления программным обеспечением в больших масштабах. В этом разделе рассматриваются несколько способов получить представление о Power Apps разработке и использовании Power Automate .

Просмотр журнала аудита

Ведение журнала активности для Power Apps интегрировано с Центром безопасности и соответствия требованиям Office для комплексного ведения журнала для Microsoft таких служб, как Dataverse и Microsoft 365. Office предоставляет API для запроса этих данных, который в настоящее время используется многими поставщиками SIEM для использования данных регистрации активности для составления отчетов.

Просмотрите отчет по лицензиям Power Apps и Power Automate

  1. Перейдите в центр администрирования Power Platform.

  2. Выберите Аналитика>Power Automate или Power Apps.

  3. Просмотрите аналитику администраторов Power Apps и Power Automate

    Вы можете получить информацию о следующем:

    • Активные пользователи и использование приложения — сколько пользователей используют приложение и как часто?
    • Местоположение: где используется?
    • Производительность обслуживания соединителей
    • Сообщения об ошибках: какие приложения наиболее подвержены ошибкам
    • Используемые потоки по типу и дате
    • Созданные потоки по типу и дате
    • Аудит на уровне приложений
    • Работоспособность службы
    • Используемые соединители

Просмотр, что пользователи имеют лицензию

Вы всегда можете просмотреть лицензирование для отдельных пользователей в центре администрирования Microsoft 365 с детализацией по конкретным пользователям.

Вы также можете использовать следующую команду PowerShell для экспорта назначенных пользовательских лицензий.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Экспортирует все назначенные пользовательские лицензии (Power Apps и Power Automate) в вашем клиенте в виде таблицы .csv. Экспортированный файл содержит как внутренние пробные планы самостоятельной регистрации, так и планы, полученные от Microsoft Entra ID. Внутренние пробные планы не видны администраторам в центре администрирования Microsoft 365.

Экспорт может занять некоторое время для клиентов с большим количеством пользователей Power Platform.

Просмотр ресурсов приложения, используемых в среде

  1. В центре администрирования Power Platform выберите "Среды" в меню навигации.
  2. Выберите среду.
  3. При желании список ресурсов, используемых в среде, можно загрузить в формате .csv.

См. также

Используйте лучшие практики для защиты и управления Power Automate средами
Microsoft Power Platform Стартовый комплект Центра передового опыта (CoE)