Dela via

Säkerhets- och styrningsöverväganden

  • Artikel

Många kunder undrar hur kan Power Platform göras tillgänglig för den bredare verksamheten och stöds av IT? Styrning är svaret. Det syftar till att göra det möjligt för affärsgrupperna att fokusera på att lösa affärsproblem effektivt samtidigt som IT och organisationens efterföljandekrav efterlevs. Följande innehåll är avsett att strukturera funktioner som ofta associeras med styrande programvara och öka medvetenheten om de funktioner som är tillgängliga för varje ämne i fråga om styrning Power Platform.

Tema Vanliga frågor om varje tema som innehållet besvaras för
Arkitektur
  • Vilka är de grundläggande konstruktionerna och begreppen för Power Apps, Power Automate och Microsoft Dataverse?

  • Hur passar dessa konstruktioner samman vid design av tid och körtid?
Säkerhet
  • Vilka är de bästa metoderna för säkerhetsdesign?

  • Hur kan jag utnyttja våra befintliga användar- och grupphanteringslösningar för att hantera åtkomst- och säkerhetsroller i Power Apps?
Avisering och åtgärder
  • Hur definierar jag styrningsmodellen mellan medborgarutvecklare och hanterade IT-tjänster?

  • Hur definierar jag styrningsmodellen mellan central IT och administratörer av affärsenhet?

  • Hur ska jag få support för miljöer som inte är standard i min organisation?
Övervaka
  • Hur fångar vi in regelefterlevnad och granskar data?

  • Hur kan jag vidta åtgärder för att mäta anpassning och användning inom organisationen?

Arkitektur

Vi rekommenderar att du bekantar dig med miljöer som det första steget för att skapa rätt styrelseberättelse för ditt företag. Miljöer är behållare för alla resurser som används av Power Apps, Power Automate och Dataverse. Miljöer översikt är en bra primer som ska följas av Vad är Dataverse?, Typer av Power Apps, Microsoft Power Automate, anslutningsprogram och Lokala datagatewayer.

Säkerhet

Det här avsnittet innehåller mekanismer som styr vilka som kan komma åt Power Apps i en miljö och komma åt data: licenser, miljöer, miljöroller Microsoft Entra ID, policyer för att förhindra dataförlust och administratörsanslutningar som kan användas med Power Automate.

Licensiering

Åtkomst till Power Apps och Power Automate börjar med att ha en licens. Vilken typ av licens en användare har avgör vilka tillgångar och data en användare kan få tillgång till. Följande tabell innehåller skillnader i resurser som är tillgängliga för en användare utifrån vilken typ av schema som används, från en hög nivå. Detaljerad licensieringsinformation hittar du i licensieringsöversikten.

Planera Beskrivning
Microsoft 365 ingår Detta gör det möjligt för användare att utöka SharePoint och andra Office-resurser som de redan har.
Dynamics 365 ingår Detta gör det möjligt för användare att anpassa och utvidga program för kundengagemang (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing och Dynamics 365 Project Service Automation), de har redan.
Power Apps-plan Detta gör att:
  • du kan göra anslutningsprogram för företagsprogram och Dataverse tillgängliga för användning.
  • användarna bör använda robust affärslogik över programtyper och administrationsfunktioner.
Power Apps Community Detta gör det möjligt för en användare att använda Power Apps, Power Automate, Dataverse och anslutningsprogram för kunder i samma för enskilda användare. Det går inte att dela program.
Power Automate kostnadsfri Detta gör att användarna kan skapa obegränsat flöden och göra 750 körningar.
Power Automate-plan Se Microsoft Power Apps och Microsoft Power Automate licensieringsguide.

Miljöer

När användarna har licenser finns det miljöer som behållare för alla resurser som används av Power Apps, Power Automate och Dataverse. Miljöer kan användas för att rikta olika målgrupper och/eller för olika syften, t. ex utveckling, testning och produktion. Mer information finns i miljöer: översikt.

Skydda dina data och nätverket

  • Power Apps och Power Automate ger inte användarna tillgång till några datatillgångar som de inte redan har tillgång till. Användarna bör endast ha tillgång till data som de behöver tillgång till.
  • Principer för nätverksåtkomstkontroll kan även gälla för Power Apps och Power Automate. För miljön kan man blockera åtkomst till en webbplats från ett nätverk genom att blockera inloggningssidan för att förhindra att anslutningar till webbplatsen skapas i Power Apps och Power Automate.
  • I en miljö styrs åtkomsten på tre nivåer: Miljöroller, Resursbehörigheter för Power Apps, Power Automate, etc. och Dataverse säkerhetsroller (om en Dataverse databas tillhandahålls).
  • När Dataverse skapas i en miljö utnyttjas Dataverse-rollerna för att kontrollera säkerheten i miljön (och alla miljöadministratörer och -tillverkare migreras).

Följande huvudkonton stöds för varje rolltyp.

Miljötyp Roll Huvudtyp (Microsoft Entra ID)
Miljö utan Dataverse Miljöroll Användare, grupp, klientorganisation
Resursbehörighet: arbetsyteapp Användare, grupp, klientorganisation
Resursbehörighet: Power Automate, anpassad anslutning, gateway, anslutningar1 Användare, grupp
Miljö med Dataverse Miljöroll Användare
Resursbehörighet: arbetsyteapp Användare, grupp, klientorganisation
Resursbehörighet: Power Automate, anpassad anslutning, gateway, anslutningar1 Användare, grupp
Dataverse-roll (gäller alla modellstyrda program och komponenter) Användare

1 Vissa anslutningar kan delas (t. ex SQL).

Kommentar

  • I standardmiljön beviljas alla användare i en klientorganisation tillgång till rollen som miljötillverkare.
  • Microsoft Entra klientorganisationens globala administratörer har administratörsåtkomst till alla miljöer.

Vanliga frågor – vilka behörigheter finns på Microsoft Entra klientorganisationsnivå?

Idag kan Microsoft Power Platform administratörer göra följande:

  1. Hämta licensrapport för Power Apps och Power Automate
  2. Skapa DLP-policy endast till "alla miljöer" eller omfattning för att inkludera/exkludera specifika miljöer
  3. Hantera och tilldela licenser via Office administrationscenter
  4. Få tillgång till alla funktioner för miljöer, program och flödeshantering för alla miljöer i klientorganisationen som är tillgängliga via:
    • Power Apps Admin PowerShell cmdletar
    • Power Apps hanteringsanslutningar
  5. Få åtkomst till Power Apps och Power Automate administrationsanalyser för alla miljöer i klientorganisationen:

Överväg Microsoft Intune

Kunder med Microsoft Intune kan ange skyddsprinciper för mobilprogram för både Power Apps och Power Automate-program på Android och iOS. Den här genomgången beskriver hur du anger en policy via Intune för Power Automate.

Överväg villkorlig åtkomst för platser

För kunder med Microsoft Entra ID P1 eller P2 kan villkorliga åtkomstprinciper definieras i Azure för Power Apps och Power Automate. Detta gör det möjligt att bevilja eller blockera åtkomst baserat på: användare/grupp, enhet, plats.

Skapa en policy för villkorlig åtkomst

  1. Logga in på https://portal.azure.com.
  2. Välj villkorsstyrd åtkomst.
  3. Välj + Ny policy.
  4. Välj valda användare och grupper.
  5. Välj Alla molnappar>Alla molnappar>Common Data Service för att styra åtkomsten till Customer Engagement-program.
  6. Tillämpa villkor (användarrisk, enhetsplattformar, platser).
  7. Välj Skapa.

Förhindra dataläckage med policyer för att förhindra dataförlust

Policyer för att förhindra dataförlust (DLP) framtvingar regler för vilka anslutningsprogram som kan användas, genom att klassificera anslutningsprogram som antingen endast affärsdata eller så tillåts inga affärsdata. Om du lägger till ett anslutningsprogram i gruppen endast affärsdata kan du bara använda den med andra anslutningsprogram från den gruppen i samma program. Power Platform administratörer kan definiera principer som gäller alla miljöer.

Vanliga frågor och svar

F: Kan jag på klientorganisationens nivå kontrollera vilken anslutning som är tillgänglig, till exempel Nej till Dropbox eller Twitter, men ja till SharePoint?

A: Detta är möjligt genom att använda funktionerna klassificering av anslutningsprogram och tilldela den blockerade klassificeraren Blockerade klassificerare till en eller flera kontakter som du vill undvika att användas. Observera att det finns en uppsättning anslutningsprogram som inte kan blockeras.

F: Kan man dela anslutningsprogram mellan användare? Är exempelvis anslutningsprogram för Teams en allmän kontakt som kan delas?

S: Anslutningsprogram är tillgängliga för alla användare. Med undantag för Premium- eller anpassade anslutningar som antingen behöver en ytterligare licens (Premium-anslutningsprogram) eller måste uttryckligen delas (anpassade anslutningsprogram)

Avisering och åtgärd

Förutom övervakning vill många kunder prenumerera på skapande av programvara, användnings- och statushändelser så att de vet när de ska utföra en åtgärd. I det här avsnittet beskrivs några sätt att studera händelser (manuellt och programmässigt) och utföra åtgärder som utlöses av en händelseförekomst.

Skapa Power Automate-flöden för varningar om nyckelgranskningshändelser

  1. Ett exempel på en varning som kan implementeras är att prenumerera på spårningsloggar för Microsoft 365 säkerhet och regelefterlevnad.
  2. Detta kan uppnås antingen genom en webhook-prenumeration eller avsökning-metod. Genom att bifoga Power Automate till dessa aviseringar kan vi emellertid förse administratörer med fler än bara aviseringar via e-post.

Skapa de principer du behöver med Power Apps, Power Automate och PowerShell

  1. Dessa PowerShell cmdletar ger administratörerna full kontroll för att automatisera de styrningspolicyer som krävs.
  2. Hanteringsanslutningar ger samma behörighets nivå men med extra utökningsbarhet och enkel användning genom att utnyttja Power Apps och Power Automate.
  3. Följande Power Automate-mallar för administrationsanslutningar finns snabbt för att öka snabbt:
    1. Ange nya Power Automate anslutningsprogram
    2. Visa lista med nya Power Apps, Power Automate-flöden och kopplingar
    3. Skicka veckovisa sammanfattningar med e-post till mig av Office 365-meddelanden från meddelandecenter
    4. Åtkomst till Office 365 säkerhets- och efterföljandekrav från Power Automate
  4. Använd den här blogg- och programmallen för att snabba på administrationsanslutningarna.
  5. Det är också värt att testa innehåll som delas i Community-programgalleri, här är ett annat exempel på en administrativ upplevelse med Power Apps och administratörsanslutningar.

VANLIGA FRÅGOR OCH SVAR

Problem för närvarande kan alla användare med Microsoft E3-licenser skapa program i standardmiljön. Hur kan du till exempel aktivera behörigheter av Miljöskapare för en utvald grupp. 10 personer för att skapa program?

RekommendationPowerShell cmdletar och hanteringsanslutningar ger fullständig flexibilitet och kontroll över administratörerna för att skapa de principer de vill för organisationen.

Övervaka

Det är bra att förstå att övervakningen är en viktig aspekt av hanteringen av programvara vara i skala, men i det här avsnittet beskrivs några sätt för att få insikt i Power Apps och Power Automate utveckling och användning.

Granska spårningsloggen

Aktivitetsloggning för Power Apps integreras i säkerhets- och efterlevnadscenter för Office för en omfattande loggning mellan Microsoft-tjänster som Dataverse och Microsoft 365. Office tillhandahåller en API för att fråga dessa data, som för närvarande används av många SIEM-leverantörer för att använda aktivitetsloggningsdata för rapportering.

Visa Power Apps och Power Automate-licensrapporten

  1. Gå till administrationscenter för Power Platform.

  2. Välj Analys>Power Automate eller Power Apps.

  3. Visa administrationsanalyser för Power Apps och Power Automate

    Du kan hämta information om följande:

    • Användning av aktiv användare och programanvändare – hur många användare använder ett program och hur ofta?
    • Sökväg – var är förbrukningen?
    • Tjänstprestanda för anslutningsprogram
    • Felrapportering – vilket är de mest felbenägna programmen
    • Flöden som används efter typ och datum
    • Flöden som skapas efter typ och datum
    • Granskning av programnivå
    • Tjänststatus
    • Anslutningsprogram som används

Visa vad användare som är licensierade

Du kan alltid titta på enskilda användarlicensiering i administrationscenter Microsoft 365 genom att gå in på specifika användare.

Du kan också använda följande PowerShell-kommando för att exportera tilldelade användarlicenser.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporterar alla tilldelade användarlicenser (Power Apps och Power Automate) i din klientorganisation till en CSV-fil i tabelläge. Den exporterade filen innehåller både självbetjäningsanmälan och interna utvärderingsplaner samt planer som kommer från Microsoft Entra ID. De interna utvärderingsversionsplanerna visas inte för administratörer i Microsoft 365 administrationscenter.

Exporten kan ta en stund för klientorganisationer med ett stort antal Power Platform-användare.

Visa de appresurser som används i en miljö

  1. I administrationscenter för Power Platform väljer du Miljöer i navigeringsmenyn.
  2. Välj en miljö
  3. Om du vill kan du hämta en lista över resurser som används i en miljö som en .csv-fil.

Se även

Använda regelverk för att skydda och styra Power Automate-miljöer
Microsoft Power Platform Startpaket för Center of Excellence (CoE)