安全性和治理注意事项

  • 项目

许多客户想知道如何将 Power Platform 提供给他们更广泛的业务并获得 IT 支持? 治理就是答案。 它旨在使业务组能够专注于有效解决业务问题,同时遵守 IT 和业务合规标准。 以下内容旨在构建通常与管理软件相关的主题,并让人们了解与管理 Power Platform 相关的每个主题中的可用功能。

主题 与本内容所解答的每个主题相关的常见问题
基础结构
  • Power Apps、Power Automate 和 Microsoft Dataverse 的基本构造和概念是什么?

  • 这些构造如何在设计和运行时融合在一起?
安全性
  • 关于安全设计要素的最佳实践是什么?

  • 如何利用现有的用户和组管理解决方案来管理 Power Apps 中的访问和安全角色?
警报和操作
  • 如何定义个人开发人员与托管 IT 服务之间的治理模型?

  • 如何定义中央 IT 和业务部门管理员之间的治理模型?

  • 我应该如何为组织中的非默认环境寻求支持?
监视器
  • 我们如何捕获合规/审计数据?

  • 我如何衡量组织内部的采用和使用情况?

基础结构

最好先熟悉环境,这是为您的公司部署正确的治理方案的第一步。 环境是 Power Apps、Power Automate 和 Dataverse 使用的所有资源的容器。 环境概述是一个很好的入门篇,紧接着应该是什么是 Dataverse?Power Apps 的类型Microsoft Power Automate连接器本地网关

安全性

本节概述了用于控制谁可以在环境中访问 Power Apps 并访问数据的机制:可以与 Power Automate 一起使用的许可证、环境、环境角色、Microsoft Entra ID、数据丢失防护策略和管理连接器。

许可

若要访问 Power Apps 和 Power Automate,请先获取许可证。 用户拥有的许可证类型决定了用户可以访问的资产和数据。 下表概括了基于用户计划类型的高级用户可用的资源的区别。 详尽的许可详细信息可在许可概述中找到。

规划 说明
包括 Microsoft 365 这允许用户扩展他们已经拥有的 SharePoint 和其他 Office 资产。
包括 Dynamics 365 这样用户就可以自定义和扩展已有的客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。
Power Apps 计划 这允许:
  • 使企业连接器和 Dataverse 易于使用。
  • 用户可以跨应用程序类型和管理功能使用强大的业务逻辑。
Power Apps 社区 这使用户可以单独使用 Power Apps、Power Automate、Dataverse 和客户连接器。 不能共享应用。
Power Automate 自由版 这将允许用户创建任意数量的流并执行 750 次运行。
Power Automate 计划 请参阅 Microsoft Power Apps 和 Microsoft Power Automate 许可指南

环境

用户获得许可证后,环境将作为 Power Apps、Power Automate 和 Dataverse 使用的所有资源的容器而存在。 环境可以用于针对不同的受众和/或用于不同目的,例如开发、测试和生产。 详细信息可以在环境概述中找到。

保护您的数据和网络

  • Power Apps 和 Power Automate 为用户提供他们尚无权访问的任何数据资产的访问权限。 用户应该只能访问他们真正需要访问的数据。
  • 网络访问控制策略也适用于 Power Apps 和 Power Automate。 对于环境,可以通过阻止登录页面来阻止从网络内部访问站点,以防止在 Power Apps 和 Power Automate 中创建到该站点的连接。
  • 在环境中,在三个级别上控制访问:环境角色、Power Apps、Power Automate 等的资源权限和 Dataverse 安全角色(如果预配了 Dataverse 数据库)。
  • 在环境中创建 Dataverse 时,Dataverse 角色将接管控制环境中的安全性(并且将迁移所有环境管理员和制造者)。

每个角色类型都支持以下主体。

环境类型 角色 主体类型 (Microsoft Entra ID)
无 Dataverse 的环境 环境角色 用户、组、租户
资源权限:画布应用 用户、组、租户
资源权限:Power Automate、自定义连接器、网关、连接1 用户、组
具有 Dataverse 的环境 环境角色 User
资源权限:画布应用 用户、组、租户
资源权限:Power Automate、自定义连接器、网关、连接1 用户、组
Dataverse 角色(适用于所有模型驱动应用和组件) User

1只能共享某些连接(如 SQL)。

备注

  • 在默认环境中,租户中的所有用户都被授予对环境制造者角色的访问权限。
  • Microsoft Entra 租户全局管理员具有对所有环境的管理员访问权限。

常见问题解答 - Microsoft Entra 租户级别存在哪些权限?

现在,Microsoft Power Platform 管理员可以执行以下操作:

  1. 下载 Power Apps 和 Power Automate 许可证报告
  2. 创建仅针对“所有环境”或针对包括/排除特定环境的 DLP 策略
  3. 通过 Office 管理中心管理和分配许可证
  4. 通过以下途径访问可用租户中所有环境的所有环境、应用和流管理功能:
    • Power Apps 管理 PowerShell cmdlet
    • Power Apps 管理连接器
  5. 访问租户中所有环境的 Power Apps 和 Power Automate 管理员分析:

考虑 Microsoft Intune

拥有 Microsoft Intune 的客户可以为 Android 和 iOS 上的 Power Apps 和 Power Automate 应用设置移动应用程序保护策略。 本演练重点介绍通过 Intune 为 Power Automate 设置策略。

考虑基于位置的条件访问

对于具有 Microsoft Entra ID P1 或 P2 的客户,可以在 Azure 中为 Power Apps 和 Power Automate 定义条件访问策略。 这允许根据以下各项授予或阻止访问:用户/组、设备、位置。

创建条件访问策略

  1. 登录到 https://portal.azure.com
  2. 选择条件访问
  3. 选择 + 新建策略
  4. 选择所选用户和组
  5. 选择所有云应用>所有云应用>Common Data Service,以控制对 Customer Engagement 应用的访问。
  6. 应用条件(用户风险、设备平台、位置)。
  7. 选择创建

通过数据丢失防护策略防止数据泄漏

数据丢失防护策略 (DLP) 通过将连接器分类为“仅业务数据”或“不允许业务数据”来强制执行连接器可以一起使用的规则。 简而言之,如果将连接器放在仅业务数据组中,该连接器只能与同一应用程序中该组中的其他连接器一起使用。 Power Platform 管理员可以定义应用于所有环境的策略。

常见问题解答

问:是否可以在租户级别控制哪些连接器完全可用(例如,对 Dropbox 或 Twitter 不可用,但对 SharePoint 可用)?

答:这可以通过利用连接器分类功能并将已阻止分类符分配给一个或多个您不想使用的连接器来实现。 请注意,有一组无法阻止的连接器

问:在用户之间共享连接器如何? 例如,Teams 的连接器是否是可共享的常规连接器?

答:连接器对所有用户都可用。 高级或自定义连接器除外,这些连接器要么需要额外的许可证(高级连接器),要么必须明确共享(自定义连接器)

警报和操作

除了监视之外,许多客户还希望订阅软件的创建、使用或运行状况事件,以便了解何时执行操作。 本部分概括了几种观察事件(手动和编程)并执行事件发生触发的操作的方法。

建立 Power Automate 流对关键审核事件发出警报

  1. 可以实现的警报示例是订阅 Microsoft 365 安全与合规审核日志。
  2. 这可以通过 Webhook 订阅或轮询方法实现。 不过,通过将 Power Automate 附加到这些警报,我们就不仅仅可以为管理员提供电子邮件警报了。

使用 Power Apps、Power Automate 和 PowerShell 建立所需的策略

  1. 这些 PowerShell cmdlet 将完全控制权交给管理员,以自动化必要的治理策略。
  2. 管理连接器提供相同级别的控制,但通过利用 Power Apps 和 Power Automate 增加了可扩展性和易用性。
  3. 存在以下用于管理连接器的 Power Automate 模板,帮助快速执行任务:
    1. 列出新的 Power Automate 连接器
    2. 获取新 Power Apps、Power Automate 流和连接器列表
    3. 通过电子邮件给我发送 Office 365 消息中心通知的每周摘要
    4. 从 Power Automate 访问 Office 365 安全与合规日志
  4. 使用此博客和应用模板快速完成管理连接器。
  5. 此外,社区应用库中共享的内容也值得一看,这是使用 Power Apps 和管理连接器构建的管理体验的另一个示例。

常见问题解答

问题:现在,具有 Microsoft E3 许可证的所有用户都可以在默认环境中创建应用。 例如,如何为精选组启用环境制造者权利。 要创建应用的 10 人?

建议PowerShell cmdlet管理连接器为管理员提供了充分的灵活性和控制权来为其组织建立所需的策略。

监视器

众所周知,监视是大规模管理软件的关键方面,因此本部门重点介绍了几种了解 Power Apps 和 Power Automate 开发和使用的方法。

查看审核记录

Power Apps 的活动日志记录与 Office 安全与合规中心集成在一起,用于跨 Microsoft 服务(如 Dataverse 和 Microsoft 365)进行全面的日志记录。 Office 提供了一个 API 来查询此数据,许多 SIEM 供应商当前正在使用该 API 来使用“活动日志记录”数据进行报告。

查看 Power Apps 和 Power Automate 许可证报告

  1. 转到 Power Platform 管理中心

  2. 选择分析>Power AutomatePower Apps

  3. 查看 Power Apps 和 Power Automate 管理员分析

    您可以获取以下方面的信息:

    • 活动用户和应用使用情况 - 有多少用户在使用应用,使用频率是多少?
    • 位置 – 在哪里使用?
    • 连接器的服务性能
    • 错误报告 – 哪些是最容易出错的应用
    • 按类型和日期使用的流
    • 按类型和日期创建的流
    • 应用程序级别审核
    • 服务运行状况
    • 使用的连接器

查看获得许可的用户

您始终可以通过深入了解特定用户来查看 Microsoft 365 管理中心中的单个用户许可。

您还可以使用以下 PowerShell 命令导出分配的用户许可证。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

将租户中所有分配的用户许可证(Power Apps 和 Power Automate)导出到表格视图 .csv 文件中。 导出的文件既包含自助注册内部试用计划,以及源自 Microsoft Entra ID 的计划。 Microsoft 365 管理中心的管理员看不到内部试用计划。

对于具有大量 Power Platform 用户的租户,导出可能需要一段时间。

查看环境中使用的应用资源

  1. 在 Power Platform 管理中心,在导航菜单中选择“环境”。
  2. 选择环境。
  3. (可选)可以将环境中使用的资源列表下载为 .csv。

另请参阅

使用最佳做法保护和管理 Power Automate 环境
Microsoft Power Platform Center of Excellence (CoE) 初学者工具包