ข้อควรพิจารณาด้านความปลอดภัยและการกำกับดูแล

ลูกค้าหลายคนสงสัยว่า Power Platform พร้อมให้บริการแก่ธุรกิจในวงกว้างและสนับสนุนโดยไอทีอย่างไร การกำกับดูแลคือคำตอบ การกำกับดูแลมีจุดมุ่งหมายเพื่อให้กลุ่มธุรกิจสามารถมุ่งเน้นการแก้ปัญหาทางธุรกิจได้อย่างมีประสิทธิภาพ ในขณะที่ปฏิบัติตามมาตรฐานด้านไอทีและการปฏิบัติตามธุรกิจ เนื้อหาต่อไปนี้มีจุดมุ่งหมายเพื่อจัดโครงสร้างธีมที่มักเกี่ยวข้องกับซอฟต์แวร์ควบคุม และสร้างความตระหนักรู้ถึงความสามารถที่พร้อมใช้งานสำหรับแต่ละธีมที่เกี่ยวข้องกับการกำกับดูแล Power Platform

ธีม	คำถามทั่วไปที่เกี่ยวข้องกับแต่ละธีมที่เนื้อหานี้ให้คำตอบ
สถาปัตยกรรม	อะไรคือโครงสร้างพื้นฐานและแนวคิดของ Power Apps, Power Automate และ Microsoft Dataverse โครงสร้างเหล่านี้เข้ากันได้กับเวลาการออกแบบและรันไทม์อย่างไร
ความปลอดภัย	แนวทางปฏิบัติที่ดีที่สุดสำหรับการพิจารณาการออกแบบความปลอดภัยคืออะไร ฉันจะใช้โซลูชันการจัดการผู้ใช้และกลุ่มที่มีอยู่ของเราเพื่อจัดการบทบาทการเข้าถึงและความปลอดภัยได้อย่างไร Power Apps
การดำเนินการและการแจ้งเตือน	ฉันจะกำหนดรูปแบบการกำกับดูแลระหว่าง นักพัฒนาที่เป็นบุคคลทั่วไป และบริการด้านไอทีที่มีการจัดการได้อย่างไร ฉันจะกำหนดรูปแบบการกำกับดูแลระหว่าง ไอทีส่วนกลาง และผู้ดูแลหน่วยธุรกิจได้อย่างไร ฉันจะทำการสนับสนุนสำหรับสภาพแวดล้อมที่ไม่ใช่ค่าเริ่มต้นในองค์กรของฉันได้อย่างไร
ตรวจสอบ	เราจะรวบรวมข้อมูลการปฏิบัติตาม / การตรวจสอบได้อย่างไร ฉันจะวัดการยอมรับและการใช้งานภายในองค์กรของฉันได้อย่างไร

สถาปัตยกรรม

เป็นการดีที่สุดที่จะทำความคุ้นเคยกับสภาพแวดล้อมเป็นขั้นตอนแรก ในการสร้างเรื่องราวการกำกับดูแลที่เหมาะสมสำหรับบริษัทของคุณ สภาพแวดล้อมเป็นคอนเทนเนอร์ที่เก็บทรัพยากรทั้งหมดที่ใช้โดย Power Apps Power Automate และ Dataverse ภาพรวมสภาพแวดล้อม เป็นเอกสารเริ่มต้นที่ดี ซึ่งควรตามด้วย Dataverseคืออะไร, ประเภทของ Power Apps, Microsoft Power Automate, ตัวเชื่อมต่อ และ ในสถานที่ Gateways

การรักษาความปลอดภัย

ส่วนนี้แสดงกลไกที่มีอยู่ในการควบคุมผู้ที่สามารถเข้าถึง Power Apps ได้ในสภาพแวดล้อม และการเข้าถึงข้อมูล: ใบอนุญาต สภาพแวดล้อม บทบาทด้านสภาพแวดล้อม Microsoft Entra ID นโยบายการป้องกันการสูญหายของข้อมูล และตัวเชื่อมต่อผู้ดูแลระบบที่สามารถใช้กับ Power Automate

การให้สิทธิ์การใช้งาน

การเข้าถึง Power Apps และ Power Automate เริ่มต้นด้วยการมีใบอนุญาต ประเภทของใบอนุญาตที่ผู้ใช้กำหนดสินทรัพย์และข้อมูลที่ผู้ใช้สามารถเข้าถึงได้ ตารางต่อไปนี้แสดงความแตกต่างของทรัพยากรที่ผู้ใช้สามารถใช้ได้ ตามประเภทแผนของพวกเขาจากระดับสูง รายละเอียดสิทธิ์การใช้งานแบบละเอียดสามารถพบได้ใน ภาพรวมสิทธิ์การใช้งาน

แผน	คำอธิบาย
Microsoft 365 รวม:	สิ่งนี้ทำให้ผู้ใช้สามารถขยาย SharePoint และสินทรัพย์ Office อื่น ๆ ที่พวกเขามีอยู่แล้ว
รวมถึง Dynamics 365	ซึ่งช่วยให้ผู้ใช้สามารถปรับแต่งและขยายแอปการมีส่วนร่วมของลูกค้า (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing และ Dynamics 365 Project Service Automation) ที่พวกเขามีอยู่แล้ว
แผน Power Apps	สิ่งนี้ทำให้: ทำให้ตัวเชื่อมต่อขององค์กรและ Dataverse สามารถใช้งานได้ ผู้ใช้สามารถใช้ตรรกะทางธุรกิจที่แข็งแกร่งในทุกประเภทแอปพลิเคชัน และความสามารถในการจัดการ
ชุมชน Power Apps	ซึ่งจะช่วยให้ผู้ใช้สามารถใช้ Power Apps, Power Automate, Dataverse และตัวเชื่อมต่อแบบกำหนดเองในตัวเดียวเพื่อการใช้งานส่วนบุคคล ไม่มีความสามารถในการแชร์แอป
ฟรี Power Automate	สิ่งนี้ช่วยให้ผู้ใช้สร้างโฟลว์ได้ไม่จำกัดและดำเนินการเรียกใช้ 750 ครั้ง
แผน Power Automate	See คู่มือการให้สิทธิ์การใช้งาน Microsoft Power Apps และ Microsoft Power Automate

สภาพแวดล้อม

หลังจากผู้ใช้มีสิทธิ์การใช้งาน สภาพแวดล้อมจะมีอยู่เป็นคอนเทนเนอร์สำหรับทรัพยากรทั้งหมดที่ใช้โดย Power Apps Power Automate และ Dataverse สภาพแวดล้อมสามารถใช้เพื่อกำหนดเป้าหมายผู้ชมที่แตกต่างกัน และ/หรือเพื่อวัตถุประสงค์ที่แตกต่างกัน เช่น การพัฒนา การทดสอบ และการผลิต ข้อมูลเพิ่มเติมสามารถพบได้ใน ภาพรวมสภาพแวดล้อม

ทำให้ข้อมูลและเครือข่ายของคุณปลอดภัย

• Power Apps และ Power Automate ไม่ ให้ผู้ใช้สามารถเข้าถึงทรัพยากรข้อมูลใดๆ ที่พวกเขาไม่มีสิทธิ์เข้าถึงอยู่แล้ว ผู้ใช้ควรมีสิทธิ์เข้าถึงข้อมูลที่พวกเขาจำเป็นต้องเข้าถึง
• นโยบายการควบคุมการเข้าถึงเครือข่ายยังสามารถนำไปใช้กับ Power Apps และ Power Automate สำหรับสภาพแวดล้อม สามารถปิดกั้นการเข้าถึงเว็บไซต์จากภายในเครือข่าย โดยการปิดกั้นหน้าลงชื่อเข้าใช้เพื่อป้องกันไม่ให้การเชื่อมต่อไปยังเว็บไซต์นั้นถูกสร้างขึ้นใน Power Apps และ Power Automate
• ในสภาพแวดล้อม การเข้าถึงจะได้รับการควบคุมในสามระดับ: บทบาทด้านสิ่งแวดล้อม สิทธิ์ทรัพยากรสำหรับ Power Apps Power Automate ฯลฯ และ บทบาทความปลอดภัยของ Dataverse (หาก Dataverse มีการจัดเตรียมฐานข้อมูล)
• เมื่อ Dataverse ถูกสร้างขึ้นในสภาพแวดล้อม บทบาท Dataverse จะเข้ามาควบคุมความปลอดภัยในสภาพแวดล้อม (และผู้ดูแลระบบและผู้สร้างสภาพแวดล้อมทั้งหมดจะถูกย้ายออกไป)

หลักการต่อไปนี้ได้รับการสนับสนุนสำหรับแต่ละประเภทบทบาท

ชนิดของสภาพแวดล้อม	บทบาท	ชนิดหลัก (Microsoft Entra ID)
สภาพแวดล้อมที่ไม่มี Dataverse	บทบาทสภาพแวดล้อม	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: แอปพื้นที่ทำงาน	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: Power Automate ตัวเชื่อมต่อที่กำหนดเอง เกตเวย์ การเชื่อมต่อ 1	ผู้ใช้ กลุ่ม
สภาพแวดล้อมที่มี Dataverse	บทบาทสภาพแวดล้อม	User
	การอนุญาตให้ใช้ทรัพยากร: แอปพื้นที่ทำงาน	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: Power Automate ตัวเชื่อมต่อที่กำหนดเอง เกตเวย์ การเชื่อมต่อ 1	ผู้ใช้ กลุ่ม
	บทบาท Dataverse (ใช้กับแอปและส่วนประกอบที่เป็นแบบโมเดลทั้งหมด)	User

¹สามารถแชร์ได้เฉพาะบางการเชื่อมต่อ (เช่น SQL)

หมายเหตุ

• ในสภาพแวดล้อมเริ่มต้นผู้ใช้ทั้งหมด ผู้เช่าจะได้รับสิทธิ์การเข้าถึงบทบาทตัวสร้างสภาพแวดล้อม
• ผู้ใช้ที่มีบทบาท Power Platform ผู้ดูแลระบบ จะมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในทุกสภาพแวดล้อม

คำถามที่พบบ่อย - มีสิทธิ์การใช้งานใดบ้างที่ระดับผู้เช่า? Microsoft Entra

ทุกวันนี้ผู้ดูแลระบบ Microsoft Power Platform สามารถทำสิ่งต่อไปนี้:

1. ดาวน์โหลด Power Apps และ Power Automate รายงานสิทธิ์
2. สร้างนโยบาย DLP ที่กำหนดขอบเขตเฉพาะ 'สภาพแวดล้อมทั้งหมด' หรือกำหนดขอบเขตเพื่อรวม/ยกเว้นสภาพแวดล้อมเฉพาะ
3. จัดการและกำหนดสิทธิ์ใช้งานผ่านทางศูนย์การจัดการ Office
4. เข้าถึงความสามารถด้านสภาพแวดล้อม แอป และการจัดการโฟลว์ทั้งหมดสำหรับสภาพแวดล้อมทั้งหมดในผู้เช่าที่มีให้ผ่าน:
   • Power Apps ผู้ดูแลระบบ PowerShell cmdlets
   • Power Apps ตัวเชื่อมต่อการจัดการ
5. เข้าถึงการวิเคราะห์ของผู้ดูแลระบบใน Power Apps และ Power Automate สำหรับสภาพแวดล้อมทั้งหมดในผู้เช่า:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

พิจารณา Microsoft Intune

ลูกค้าที่มี Microsoft Intune สามารถกำหนดนโยบายการป้องกันแอปพลิเคชันมือถือได้สำหรับทั้ง Power Apps และ Power Automate แอปบน Android และ iOS คำแนะนำนี้เน้นการตั้งค่านโยบายผ่าน Intune สำหรับ Power Automate

พิจารณาการเข้าถึงตามเงื่อนไขตามสถานที่

สำหรับลูกค้าที่มี Microsoft Entra ID P1 หรือ P2 นโยบายการเข้าถึงที่มีเงื่อนไขสามารถกำหนดได้ใน Azure สำหรับ Power Apps และ Power Automate การอนุญาตนี้อนุญาตหรือปิดกั้นการเข้าถึงโดยขึ้นอยู่กับ: ผู้ใช้ / กลุ่ม อุปกรณ์ สถานที่

การสร้างนโยบายการเข้าถึงแบบมีเงื่อนไข

1. เข้าสู่ระบบ https://portal.azure.com
2. เลือก การเข้าถึงแบบมีเงื่อนไข
3. เลือก + นโยบายใหม่
4. เลือก ผู้ใช้และกลุ่มที่เลือก
5. เลือก แอประบบคลาวด์ทั้งหมด>แอประบบคลาวด์ทั้งหมด>Common Data Service เพื่อควบคุมการเข้าถึงแอป Customer Engagement
6. ใช้เงื่อนไข (ความเสี่ยงของผู้ใช้ แพลตฟอร์มอุปกรณ์ สถานที่)
7. เลือก สร้าง

ป้องกันการรั่วไหลของข้อมูล ด้วยนโยบายการป้องกันข้อมูลสูญเสีย

นโยบายป้องกันการสูญหายของข้อมูล (DLP) บังคับใช้กฎที่ตัวเชื่อมต่อสามารถใช้ร่วมกันได้ โดยจัดประเภทตัวเชื่อมต่อเป็นแบบเฉพาะข้อมูลธุรกิจ หรือ ไม่อนุญาตให้ใช้ข้อมูลธุรกิจ กล่าวอย่างง่ายก็คือ ถ้าคุณใส่ตัวเชื่อมต่อในกลุ่มที่มีเพียงข้อมูลธุรกิจ จะสามารถใช้ตัวเชื่อมต่อกับตัวเชื่อมต่ออื่นจากกลุ่มนั้นในแอปพลิเคชันเดียวกันได้เท่านั้น ผู้ดูแลระบบ Power Platform สามารถกำหนดนโยบายที่ใช้กับสภาพแวดล้อมทั้งหมดได้

คำถามที่ถามบ่อย

ถาม: ฉันสามารถควบคุมในระดับผู้เช่าได้หรือไม่ว่ามีตัวเชื่อมต่อใดบ้างที่พร้อมใช้งาน เช่น ไม่ สำหรับ Dropbox หรือ Twitter แต่ ใช่ สำหรับ SharePoint

ตอบ: เป็นไปได้โดยใช้ความสามารถของ การจัดประเภทตัวเชื่อมต่อ และการกำหนดตัวแยกประเภท ถูกบล็อก ให้กับตัวเชื่อมต่ออย่างน้อยหนึ่งรายการที่คุณไม่ต้องการให้มีการใช้งาน โปรดทราบว่ามี ชุดตัวเชื่อมต่อที่บล็อกไม่ได้

ถาม: แล้วการใช้งานตัวเชื่อมต่อร่วมกันระหว่างผู้ใช้ล่ะ ตัวอย่างเช่น ตัวเชื่อมต่อสำหรับ Teams เป็นตัวเชื่อมต่อทั่วไปที่สามารถแชร์ได้หรือไม่

A: ตัวเชื่อมต่อจะพร้อมใช้งานสำหรับผู้ใช้ทั้งหมด ยกเว้นตัวเชื่อมต่อแบบพรีเมียมหรือแบบกำหนดเอง ซึ่งต้องมีใบอนุญาตเพิ่มเติม (ตัวเชื่อมต่อแบบพรีเมียม) หรือต้องแบ่งปันอย่างชัดเจน (ตัวเชื่อมต่อแบบกำหนดเอง)

การดำเนินการและการแจ้งเตือน

นอกเหนือจากการติดตามแล้ว ลูกค้าจำนวนมากต้องการสมัครรับข้อมูลการสร้างซอฟต์แวร์ การใช้งาน หรือกิจกรรมด้านสุขภาพ เพื่อให้ทราบว่าควรดำเนินการใดๆ เมื่อใด ส่วนนี้แสดงวิธีการบางส่วน ในการร่วมสังเกตกิจกรรม (ด้วยตนเองและโดยทางโปรแกรม) และดำเนินการที่เกิดขึ้นจากเหตุการณ์ที่เกิดขึ้น

สร้างโฟลว์ Power Automate เพื่อแจ้งเตือนเกี่ยวกับเหตุการณ์การตรวจสอบที่สำคัญ

1. ตัวอย่างของการแจ้งเตือนที่สามารถดำเนินการได้คือการสมัครรับข้อมูลบันทึกการตรวจสอบความปลอดภัยและการปฏิบัติตามกฎระเบียบ Microsoft 365
2. สิ่งนี้สามารถทำได้ผ่านทั้งการสมัครสมาชิก webhook หรือการ การลงคะแนนเลือกตั้ง อย่างไรก็ตาม ในการแนบ Power Automate กับการแจ้งเตือนเหล่านี้เราสามารถให้ความสามารถแก่ผู้ดูแลระบบได้มากกว่าการแจ้งเตือนทางอีเมล

สร้างนโยบายที่คุณต้องการด้วย Power Apps Power Automate และ PowerShell

1. เหล่า PowerShell cmdlets นี้ มอบการควบคุมเต็มรูปแบบในมือของผู้ดูแลระบบ เพื่อกำหนดนโยบายการกำกับดูแลที่จำเป็นโดยอัตโนมัติ
2. ตัวเชื่อมต่อการจัดการ ให้การควบคุมในระดับเดียวกัน แต่มีความสามารถในการขยายและใช้งานง่ายเพิ่มขึ้นด้วยการใช้ และ Power Apps Power Automate
3. เทมเพลต Power Automate ดังต่อไปนี้สำหรับตัวเชื่อมต่อการดูแลระบบมีเพื่อการเพิ่มขึ้นอย่างรวดเร็ว:
   1. รายการใหม่ Power Automate ตัวเชื่อมต่อ
   2. รับรายการ Power Apps, Power Automate โฟลว์และตัวเชื่อมต่อใหม่
   3. ส่งสรุปการแจ้งเตือน ศูนย์ข้อความ รายสัปดาห์ถึงฉันทางอีเมล Office 365
   4. เข้าถึง Office 365 บันทึกความปลอดภัยและการปฏิบัติตามจาก Power Automate
4. ใช้ บล็อกและเทมเพลตแอป นี้เพิ่มความเร็วในการเชื่อมต่อการจัดการ
5. นอกจากนี้ ยังควรตรวจสอบเนื้อหาที่แบ่งปันใน Community Apps Gallery นี่เป็นอีกตัวอย่างหนึ่งของประสบการณ์การดูแลระบบที่สร้างโดยใช้ Power Apps และตัวเชื่อมต่อผู้ดูแลระบบ

คำถามที่ถามบ่อย

ปัญหา ขณะนี้ ผู้ใช้ทั้งหมดที่มีใบอนุญาต Microsoft E3 สามารถสร้างแอปในสภาพแวดล้อมเริ่มต้นได้ เราจะเปิดใช้สิทธิ์ผู้สร้างสภาพแวดล้อมให้กับกลุ่มที่เลือกได้อย่างไร เป็นต้น สิบคนจะสร้างแอพได้เหรอ?

คำแนะนำ Cmdlets ของ PowerShell และ ตัวเชื่อมต่อการจัดการ มอบความยืดหยุ่นและการควบคุมอย่างเต็มที่แก่ผู้ดูแลระบบเพื่อสร้างนโยบายที่ต้องการสำหรับองค์กรของตน

ตรวจสอบ

เป็นที่เข้าใจกันดีว่าการตรวจสอบถือเป็นประเด็นสำคัญในการจัดการซอฟต์แวร์ในระดับขนาดใหญ่ หัวข้อนี้จะเน้นถึงวิธีการสองสามวิธีในการรับข้อมูลเชิงลึก Power Apps และ Power Automate การพัฒนาและการใช้งาน

ตรวจสอบหลักฐานการตรวจสอบ

การบันทึกกิจกรรมสำหรับ Power Apps ถูกรวมเข้ากับศูนย์การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดของสำนักงานเพื่อการบันทึกที่ครอบคลุมใน Microsoft บริการต่างๆ เช่น Dataverse และ Microsoft 365 Office จัดทำ API เพื่อสืบค้นข้อมูลนี้ ซึ่งผู้ขาย SIEM จำนวนมากใช้ในปัจจุบันเพื่อใช้ข้อมูลการบันทึกกิจกรรมสำหรับการรายงาน

ดูรายงานใบอนุญาต Power Apps และ Power Automate

1. ไปที่ ศูนย์การจัดการ Power Platform

2. เลือก การวิเคราะห์>Power Automate หรือ Power Apps

3. ดูการวิเคราะห์ผู้ดูแลระบบของ Power Apps และ Power Automate

   คุณสามารถรับข้อมูลต่อไปนี้ได้

   • ผู้ใช้ที่ใช้งานอยู่และการใช้งานแอป - มีผู้ใช้งานกี่คนที่ใช้งานแอปอยู่และบ่อยแค่ไหน?
   • สถานที่ - การใช้งานอยู่ที่ไหน
   • บริการประสิทธิภาพของตัวเชื่อมต่อ
   • การรายงานข้อผิดพลาด - แอปไหนมีแนวโน้มที่จะเกิดข้อผิดพลาดมากที่สุด
   • โฟลว์ที่ใช้งานตามประเภทและวันที่
   • โฟลว์ที่สร้างตามประเภทและวันที่
   • การตรวจสอบในระดับโปรแกรมประยุกต์
   • สถานะของการบริการ
   • ตัวเชื่อมต่อที่ใช้

ดูว่าผู้ใช้ใดได้รับใบอนุญาต

คุณสามารถดูการให้สิทธิ์ใช้งานของผู้ใช้แต่ละรายได้ในศูนย์การจัดการ Microsoft 365 โดยเจาะลึกผู้ใช้เฉพาะ

คุณยังสามารถใช้คำสั่ง PowerShell ต่อไปนี้เพื่อส่งออกสิทธิ์การใช้งานสำหรับผู้ใช้ที่ได้รับมอบหมาย

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

ส่งออกสิทธิ์การใช้งานสำหรับผู้ใช้ที่ได้รับมอบหมายทั้งหมด (Power Apps และ Power Automate) ในผู้เช่าของคุณลงในไฟล์ .csv มุมมองแบบตาราง ไฟล์ที่ส่งออกมีทั้งแผนการทดลองใช้งานภายในที่มีการลงทะเบียนแบบบริการตนเองและแผนที่มีที่มาจาก Microsoft Entra ID แผนการทดลองใช้ภายในไม่ปรากฏแก่ผู้ดูแลระบบในศูนย์การจัดการ Microsoft 365

การส่งออกอาจใช้เวลาสักครู่สำหรับผู้เช่าที่มีผู้ใช้ Power Platform จำนวนมาก

ดูทรัพยากรแอปที่ใช้ในสภาพแวดล้อม

1. ใน ศูนย์จัดการ Power Platform เลือกสภาพแวดล้อม ในแมนูนำทาง
2. เลือกสภาพแวดล้อม
3. นอกจากนี้ คุณยังสามารถดาวน์โหลดรายการทรัพยากรที่ใช้ในสภาพแวดล้อมเป็นไฟล์ .csv ได้

(ดูเพิ่มเติม )

ใช้แนวทางปฏิบัติที่ดีที่สุดเพื่อรักษาความปลอดภัยและควบคุมสภาพแวดล้อม Power Automate
Microsoft Power Platform ชุดเริ่มต้นศูนย์ความเป็นเลิศ (CoE)