Поділитися через

Концепції безпеки й керування

  • Стаття

Багато клієнтів цікавляться, як платформу Power Platform можна зробити доступною для великих компаній і підтримувати силами ІТ-відділу. Керування — ось відповідь. Воно спрямоване на те, щоб бізнес-групи зосередилися на ефективному вирішенні бізнес-проблем і в той же час відповідали стандартам відповідності ІТ та бізнесу. Дали наведено відомості, які допоможуть структурувати теми, часто пов'язані з керуванням програмним забезпеченням, а також описано можливості, доступні для кожної теми в аспекті керування Power Platform.

Тема Поширені запитання для кожної теми, на які відповідає цей вміст
Архітектура
  • Які основні конструкції та концепції Power Apps, Power Automate і Microsoft Dataverse?

  • Як ці конструкції поєднуються на час розробки та виконання?
Безпека
  • Які оптимальні методи для факторів проектування безпеки?

  • Як використовувати наші існуючі рішення для керування групами та користувачами для керування доступом і ролями безпеки в Power Apps?
Оповіщення та дії
  • Як визначити модель керування між розробниками-аматорами та керованими ІТ-службами?

  • Як визначити модель керування між адміністраторами головного відділу ІТ і адміністраторами підрозділів?

  • Який слід обрати підхід до підтримки нестандартних середовищ у моїй організації?
Відстежувати
  • Як ми захоплюємо дані про відповідність/відстеження?

  • Як я можу вимірювати впровадження та використання в організації?

Архітектура

Краще всього почати з ознайомлення з розділу «Середовища». Це перший крок до створення правильної історії керування для вашої компанії. Середовища – це контейнери для всіх ресурсів, які використовуються в Power Apps, Power Automate і Dataverse. Загальні відомості про середовища — це основа, за якою мають слідувати Що таке Dataverse?, Типи Power Apps, Microsoft Power Automate, З'єднувачі і Локальні шлюзи.

Безпека

У цьому розділі описано механізми, які існують для контролю за тим, хто може отримувати доступ до даних у середовищі та отримувати доступ Power Apps до даних: ліцензії, середовища, ролі середовища, ідентифікатори, політики запобігання втраті даних та з’єднувачі адміністратора, Microsoft Entra з якими можна використовувати Power Automate.

Ліцензування

Доступ до Power Apps і Power Automate запускається з ліцензією. Тип ліцензії, наявний у користувача, визначає активи та дані, до яких користувач має доступ. У наведеній нижче таблиці описані відмінності в доступних для користувача ресурсах відповідно до типу плану, починаючи з вищого рівня. Деталізовані відомості про ліцензування можна знайти в Огляді ліцензування.

План Опис
Microsoft 365 включено Дозволяє користувачам розширити SharePoint та інші ресурси Office, які вони вже мають.
Dynamics 365 включено Це дозволяє користувачам індивідуально настроювати та розширювати програми для взаємодії з клієнтами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing і Dynamics 365 Project Service Automation), які в них уже є.
План Power Apps Дозволяє:
  • налаштувати доступ до використання корпоративних з’єднувачів і Dataverse.
  • користувачам використовувати надійну бізнес-логіку в різних типах програм і можливостях адміністрування.
Спільнота Power Apps Дозволяє користувачу використовувати Power Apps, Power Automate, Dataverse, а також з’єднувачі клієнта в одному інтерфейсі для індивідуального використання. Немає можливості надавати спільний доступ до програм.
Power Automate безкоштовно Це дозволяє користувачам створювати необмежені потоки та виконувати 750 запусків.
План Power Automate Див. Посібник з ліцензування Microsoft Power Apps і Microsoft Power Automate.

Середовища

Після використання ліцензій середовища існують як контейнери для всіх ресурсів, що використовуються в Power Apps, Power Automate і Dataverse. Середовища можна використовувати для вибору різних аудиторій і/або для інших цілей (наприклад, розробка, тестування та виробництво). Детальнішу інформацію можна знайти в Огляді середовищ.

Захистіть дані та мережу

  • Power Apps і Power Automate не надають користувачам доступ до будь-яких ресурсів даних, до яких вони вже не мають доступу. Користувачі повинні мати доступ лише до даних, доступ до яких їм дійсно потрібний.
  • Політики керування доступом до мережі також можуть застосовуватися до Power Apps і Power Automate. Для середовища можна заблокувати доступ до сайту з мережі, заблокувавши сторінку входу, щоб запобігти створенню підключень до цього сайту в Power Apps і Power Automate.
  • У середовищах керування доступом здійснюється на трьох рівнях: Ролі середовища, дозволи ресурсу для Power Apps, Power Automate тощо і Ролі безпеки Dataverse (якщо надано базу даних Dataverse).
  • Після створення Dataverse у середовищі ролі Dataverse візьмуть на себе контроль над безпекою в середовищі (а всіх адміністраторів та відповідальних осіб для середовища буде перенесено).

Для кожного типу ролей підтримуються описані нижче принципали.

Тип середовища Роль Тип принципала (Microsoft Entra ID)
Середовище без Dataverse Роль середовища Користувач, група, клієнт
Дозвіл ресурсу: програма з полотна Користувач, група, клієнт
Дозвіл ресурсу: Power Automate, настроюваний з’єднувач, шлюзи, з’єднання1 Користувач, група
Середовище з Dataverse Роль середовища User
Дозвіл ресурсу: програма з полотна Користувач, група, клієнт
Дозвіл ресурсу: Power Automate, настроюваний з’єднувач, шлюзи, з’єднання1 Користувач, група
Роль Dataverse (застосовується до всіх програм на основі моделі та компонентів) User

1Можна надавати спільний доступ лише до певних підключень (наприклад, SQL).

Нотатка

  • У стандартному середовищі всі користувачі в клієнті отримують доступ до ролі «Відповідальна особа для середовища».
  • Microsoft Entra Глобальні адміністратори клієнта мають адміністративний доступ до всіх середовищ.

FAQ - Які дозволи існують на Microsoft Entra рівні орендаря?

Сьогодні адміністратори Microsoft Power Platform можуть виконувати такі дії:

  1. Завантажувати звіт про ліцензії Power Apps і Power Automate
  2. Створювати політику DLP, яка обмежується лише до «Всіх середовищ» або обмежується до включення/виключення певних середовищ
  3. Керувати ліцензіями та призначати їх за допомогою Центру адміністрування Office
  4. Доступ до всіх можливостей середовищ, програм і засобів керування потоками для всіх середовищ у клієнті, доступних через такі ресурси:
    • Командлети PowerShell для адміністрування Power Apps
    • З'єднувачі керування Power Apps
  5. Доступ до аналітичних даних адміністрування Power Apps і Power Automate для всіх середовищ у клієнті:

Оцініть Microsoft Intune

Клієнти з Microsoft Intune можуть встановлювати політики захисту мобільних додатків як для додатків, так і Power Apps для додатків Power Automate на Android and iOS. Цей покроковий посібник описує встановлення політики за допомогою InTune для Power Automate.

Розгляньте умовний доступ з урахуванням розташувань

Для клієнтів з Microsoft Entra ідентифікатором P1 або P2 в Azure можна визначити політики умовного доступу для Power Apps and Power Automate. Це дозволяє надавати або блокувати доступ на основі параметрів: користувач/група, пристрій, розташування.

Створення політики умовного доступу

  1. Увійти до https://portal.azure.com.
  2. Виберіть Умовний доступ.
  3. Виберіть + Створити політику.
  4. Виберіть вибраних користувачів і групи.
  5. Виберіть Усі хмарні програми>Усі хмарні програми>Common Data Service, щоб керувати доступом до програм для взаємодії з клієнтами.
  6. Задайте умови (ризик для користувачів, платформи пристроїв, розташування).
  7. Виберіть Створити.

Запобігання витоку даних за допомогою політик запобігання втраті даних

Політики запобігання втраті даних (DLP) застосовують правила, для яких можна використовувати з’єднувачі разом шляхом класифікації з’єднувачів як «Лише бізнес-дані» або «Без бізнес-даних». Просто, якщо ви помістите з’єднувач у групу «Лише бізнес-дані», його можна використовувати лише з іншими з’єднувачами з цієї групи в одній програмі. Адміністратори Power Platform можуть визначати політику, яка застосовується до всіх середовищ.

Поширені запитання

Питання: Чи можу я керувати на рівні клієнта, який з'єднувач взагалі доступний, наприклад «Ні» для Dropbox або Twitter, але «Так» для SharePoint?

Відповідь: Це можливо, якщо застосувати можливості класифікації з'єднувачів і призначити класифікатор Заблоковано одному або кільком з'єднувачам, використання яких потрібно заборонити. Зауважте, що існує ряд з'єднувачів, які не можна заблокувати.

З: Як працює спільний доступ до з’єднувачів між користувачами? Наприклад, з'єднувач для Teams є загальним для спільного доступу?

В: З’єднувачі доступні для всіх користувачів. За винятком платних або користувацьких з’єднувачів, які потребують додаткової ліцензії (платні 'єднувачі) або мають бути явно доступні для всіх користувачів (користувацькі з’єднувачі)

Оповіщення та дії

Окрім моніторингу багато клієнтів хочуть підписатися на події створення, використання або справності програмного забезпечення, щоб знати, коли виконувати дію. У цьому розділі описано кілька способів спостереження за подіями (вручну та за допомогою програмних засобів), а також виконання дій, які викликаються повторенням події.

Створення потоків Power Automate для оповіщення про ключові події аудиту

  1. Приклад оповіщення, який може бути реалізований, підписується на журнали аудиту безпеки та дотримання вимог Microsoft 365.
  2. Це можна досягнути шляхом підписки на веб-сигнальник або опитування. Однак, якщо додати Power Automate до цих оповіщень, можна надати адміністраторам більше можливостей, ніж просто оповіщення електронною поштою.

Створення необхідних політик за допомогою Power Apps, Power Automate і PowerShell

  1. Ці командлети PowerShell надають усі можливості керування в руки адміністраторів для необхідної автоматизації політик керування.
  2. З’єднувачі керування забезпечують такий самий рівень контролю, але з доданою розширюваністю та простотою використання за допомогою Power Apps і Power Automate.
  3. Існують наведені нижче шаблони Power Automate для з’єднувачів адміністрування для швидкого нарощування.
    1. Список нових з’єднувачів Power Automate
    2. Отримайте список нових Power Apps, циклів та з'єднувачів Power Automate
    3. Надіслати мені електронною поштою щотижневе зведення повідомлень Центру повідомлень Office 365
    4. Відкрити журнали безпеки та дотримання вимог Office 365 з Power Automate
  4. Використовуйте цей блоґ і шаблон програми швидко ознайомитися зі з’єднувачами адміністрування.
  5. Крім того, варто ознайомитися з вмістом, опублікованим у Community Apps Gallery, ось ще один приклад адміністративного інтерфейсу, створеного за допомогою Power Apps та з’єднувачів адміністрування.

Запитання й відповіді

Проблема: наразі всі користувачі з ліцензіями на Microsoft E3 можуть створювати програми в середовищі «За замовчуванням». Наприклад, як можна ввімкнути права «Відповідальна особа для середовища» для вибору групи. 10 осіб для створення програм?

РекомендаціяКомандлети PowerShell і З’єднувачі керування забезпечують адміністраторам повну гнучкість та керування для створення політик, потрібних для організації.

Відстежувати

Ясно, що моніторинг — це критичний аспект керування програмним забезпеченням в масштабі. У цьому розділі описано кілька засобів для розуміння розробки та використання Power Apps і Power Automate.

Перегляд контрольного журналу

Реєстрацію справ для Power Apps об’єднано з Центром безпеки та відповідності Office для комплексного журналювання в різних службах Microsoft, як от Dataverse і Microsoft 365. Office надає API для запиту цих даних, який наразі використовується багатьма постачальниками SIEM, щоб використовувати дані журналювання справ для звітування.

Перегляньте звіт про ліцензії на Power Apps і Power Automate

  1. Перейдіть до Центру адміністрування Power Platform.

  2. Виберіть Засоби аналізу>Power Automate або Power Apps.

  3. Перегляд аналітичних даних адміністрування Power Apps і Power Automate

    Відображатимуться наведені нижче відомості.

    • Активний користувач і використання програм: скільки користувачів використовують програми та як часто?
    • Розташування: де знаходиться використання?
    • Продуктивність служби з’єднувачів
    • Звіти про помилки: які програми найбільш вразливі до помилок
    • Потоки, які використовуються, за типом і датою
    • Створені потоки за типом і датою
    • Відстеження на рівні програми
    • Стан служби
    • Використані з’єднувачі

Перегляд ліцензій користувачів

У Центрі адміністрування Microsoft 365 завжди можна переглянути ліцензії окремих користувачів, надіславши відповідний запит.

Крім того, для експорту призначених ліцензій користувачів можна використовувати зазначену нижче команду PowerShell.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Експортує усі призначені ліцензії користувачів (Power Apps та Power Automate) у вашому клієнті у вигляді таблиці у файлі .csv. Експортований файл містить як внутрішні пробні плани для самообслуговування, так і плани, отримані з Microsoft Entra ID. Адміністратори не бачать внутрішні ознайомлювальні плани в Центрі адміністрування Microsoft 365.

Експорт може зайняти певний час для клієнтів із великою кількістю користувачів Power Platform.

Перегляд ресурсів програми, які використовуються в середовищі

  1. У центрі адміністрування Power Platform виберіть «Середовища» в меню переходів.
  2. Виберіть середовище.
  3. Крім того, список ресурсів, що використовуються в середовищі, може бути завантажений як CSV-файл.

Статті за темою

Використовуйте рекомендації для захисту середовища Power Automate та управління ним
Стартовий пакет інноваційного центра (CoE) Microsoft Power Platform