使用治理组件
熟悉环境和资源后,您可能会开始考虑应用的治理流程。 您可能想要从开发者那里收集有关您的应用的更多信息,或者审核特定连接器或应用的使用情况。
观看有关如何使用治理组件解决方案的概述。
治理组件解决方案包含与管理员和开发者有关的资产。 详细信息:设置治理组件
合规流程
流
备注
这些流是核心组件解决方案的一部分;但其大部分功能在治理组件解决方案中实现。
| 流程 | 类型 | 计划 |
|---|---|---|
| 管理员 | 合规请求完成应用 v3 | 自动化 | 如果 Power Apps 审批 BPF 标记为完成,则触发。 |
| 管理员 | 合规请求完成机器人 v3 | 自动化 | 如果聊天机器人审批 BPF 标记为完成,则触发。 |
| 管理员 | 合规请求完成自定义连接器 v3 | 自动化 | 如果自定义连接器审批 BPF 标记为完成,则触发。 |
| 管理员 | 合规请求完成流 v3 | 自动化 | 如果流审批 BPF 标记为完成,则触发。 |
| 管理员 | 合规 Teams 环境 BPF 启动 v3 | 自动化 | 如果为 Microsoft Teams 环境提交业务理由,则触发。 |
| 管理员 | 合规详细信息请求 v3 | 已安排 | 推进应用审核流程中所述的流程。 |
管理员 | 合规详细信息请求 v3
此流与卓越中心 (CoE) 初学者工具包中的其他应用和流一起使用,以推进应用审核流程中所述的流程。 将为应用和聊天机器人发送合规性详细信息请求电子邮件。
此流向租户中有不符合以下阈值的应用的用户发送电子邮件:
该应用与 20 个以上用户或至少一个组共享,且尚未提供业务理由详细信息。
该应用确实有业务理由详细信息,但还未在 60 天内发布(因此可能不属于 Power Apps 的最新版本)或缺少说明。
该应用有业务理由详细信息并有业务影响较大的说明,但尚未向附件字段提交缓解计划。
此流向租户中有不符合以下阈值的聊天机器人的用户发送电子邮件:
该聊天机器人已启动 50 次以上,但未提供业务理由详细信息。
该聊天机器人有业务理由详细信息并有业务影响较大的说明,但尚未向附件字段提交缓解计划。
您可以使用环境变量自定义要求制作者提供业务理由的条件。 提供了默认值。
您可以自定义流发送的电子邮件;默认情况下,它如下图所示:
应用程序
开发人员合规性中心
此应用在审核流程中用作工具,供用户检查其应用、流、聊天机器人或自定义连接器是否合规,以及将信息作为业务理由提交到 CoE 管理员以保持合规。
权限:一旦您使用了应用审核流程,就需要与应用开发者共享此应用。 如果您打算使用此流程,请修改欢迎电子邮件流以将用户添加到安全组,然后与该安全组共享此应用。
先决条件:此应用使用 Microsoft Dataverse。 如果您已在生产环境中安装此解决方案,最终用户需要有每用户许可证,或者需要为应用分配每应用许可证,或者环境需要采用即用即付。
合规性状态
开发人员合规性中心可供制作者检查合规性状态并提交有关以下资源的更多详细信息:
- 画布应用
- 模型驱动应用
- 流
- 机器人
- 自定义连接器
- 桌面流
- 解决方案
- 环境
根据资源,制作者可以筛选出具有以下合规状态的资源:
- 缺少详细信息表示合规过程或管理员已请求提交更多详细信息,使资源重新实现合规性。
- 标记为停用表示资源已标记为停用。
- 不合规表示该资源当前不符合现有 ISO 或账单策略,这通常意味着在问题解决之前,无法使用该资源。
- 需要重新发布(仅针对画布应用)表示在最近 60 天内未发布该应用。
- 缺少说明表示资源需要填充说明以帮助管理员了解资源的用途。
对于缺少详细信息,制作者可以通过支持详细信息窗体提供其他信息来实现合规。
- 业务理由:描述使用此解决方案要解决的业务需求和问题。
- 业务影响:定义此解决方案对其使用者的运营影响。
- 访问管理:描述谁有权访问此资源,如何管理访问(个人用户访问或通过组成员身份访问)以及如何管理加入用户/移动用户/离开用户流程。
- 依赖项:描述此解决方案使用的所有依赖项—例如,外部或内部 API 或 Azure 资源。
- 使用条件:(仅适用于连接器)描述连接器可以以及应该在哪些情况下使用。
- 提供的缓解计划:对于关键解决方案,上传缓解计划,详细说明在没有出现停机时业务用户执行哪些操作。
自定义:验证支持详细信息窗体是否符合您的要求,如有必要进行更新。
业务流程流 (BPF)
Power Apps 应用审批 BPF
此流程通过提供管理员当前所处阶段的可视化,帮助管理员审核应用审批流程。 审核阶段包括:
- 验证开发者要求。
- 评估风险。
- 突出显示应用目录中的应用。
Flow 审批 BPF
此流程通过提供管理员在流程中当前所处阶段的可视化,帮助管理员审核流审批流程。 审核阶段包括:
- 验证开发者要求。
- 评估风险。
- 完成管理员审查。
自定义连接器审批 BPF
此流程通过提供管理员在流程中当前所处阶段的可视化,帮助管理员审核自定义连接器审批流程。 审核阶段包括:
- 验证开发者要求。
- 评估风险。
- 完成管理员审查。
聊天机器人审批 BPF
此流程通过提供管理员在流程中当前所处阶段的可视化,帮助管理员审核聊天机器人审批流程。 审核阶段包括:
- 验证开发者要求。
- 评估风险。
- 完成管理员审查。
激活业务流程
默认情况下已禁用所有业务流程。 若要启用,请执行以下操作:
转到 make.powerapps.com,并将当前环境设置为 CoE 解决方案的相同安装环境。
选择解决方案>卓越中心。
从顶部的筛选器选项中选择流程。
在 Power Apps 应用审批 BPF 中,选择省略号 (...) 按钮,然后选择打开。
对流审批 BPF、自定义连接器审批 BPF 和聊天机器人审批 BPF 重复上述步骤。
非活动流程
表
非活动通知审批
表示在管理员 | 非活动通知 v2 流期间启动的非活动通知审批任务。
流
| 流程 | 类型 | 计划 |
|---|---|---|
| 管理员 | 非活动通知(开始应用的审批) | 计划 | 每周 |
| 管理员 | 非活动通知(开始流的审批) | 计划 | 每周 |
| 管理员 | 非活动通知 v2(检查审批) | 计划 | 每日 |
| 管理员 | 非活动通知 v2(清理和删除) | 计划 | 每日 |
| 管理员 | 电子邮件经理已忽略审批 | 即时 | 每周 |
管理员 | 非活动通知 v2(开始应用的审批)
检查过去六个月内(此时间范围可以配置)未修改或启动的应用,并询问应用负责人(通过流审批)应用是否可以删除。
建议应用负责人备份应用,以备以后恢复时使用。
此流开始审批流程,并将审批任务写入“存档审批 Dataverse”表。
自定义:默认情况下,此流会将审批分配给应用负责人。 要在您不希望涉及用户的调试环境中进行测试,您可以将 ProductionEnvironment 环境变量更新为否,审批将被发送到管理员帐户。
管理员 | 非活动通知 v2(开始流的审批)
与上一个流相似,但适用于流而不是应用。 此流检查过去六个月内(此时间范围可以配置)未修改的流,并询问流负责人(通过流审批)流是否可以删除。
建议流负责人备份应用,以备以后恢复时使用。
此流开始审批流程,并将审批任务写入“存档审批 Dataverse”表。
自定义:默认情况下,此流将审批分配给流负责人。 要在您不希望涉及用户的调试环境中进行测试,您可以将 ProductionEnvironment 环境变量更新为否,审批将被发送到管理员帐户。
管理员 | 非活动通知(检查审批)
在计划的间隔内,检查由上述“开始审批”流创建的审批响应,如果是新近获得批准,则标记批准日期,让非活动通知 v2(清理和删除)流(如下所述)可以在用户有时间存档后将其删除。
如果是过去批准的,但还未删除,会发送在删除之前将应用或流存档的提醒。
管理员 | 非活动通知(清理和删除)
每天运行工作流,执行工作流的两个清理任务。
- 删除三周以前批准删除的流和应用(可配置)。
- 删除一个多月前创建的已过期审批请求。 如果制作者忽略审批请求,其应用或流不会被删除,但他们将来会再次收到另一个审批请求。 此外,他们的经理会收到一条“请求被忽略”的通知。
管理员 | 电子邮件经理已忽略非活动通知审批
此流与其他非活动通知流一起使用,因为它从此系统中查找已被制作者忽略一个月或更长时间的审批,并向他们的经理发送这些审批的列表,让他们鼓励员工批准或拒绝请求,以这种方式提供帮助。
应用程序
清理旧对象应用
当制作者被要求回答对象对上述存档流是否仍然有用时,他们有时会忽略这些问题。 在这种情况下,上面的流将向他们的经理发送此电子邮件。
经理可以选择邮件中的链接,然后被带到此应用进行清理。
他们可以选择先处理哪个员工。
然后对于每个员工,拒绝删除或发送提醒。
他们也可以将用户发送到应用进行清理。 然后,他们可以批准/拒绝删除所有对象。
应用和流非活动通知清理视图
此应用将为管理员提供当前考虑进行存档和删除的所有对象的视图。 管理员可以筛选出已被拒绝的应用,并添加用于审查的注释:
如果理由合理,他们可以选择让对象免于在未来运行并免于在存档和删除时被考虑。
Microsoft Teams 治理
备注
这些组件在 GCC High 和 DoD 中不起作用,因为这些地区不支持向 Teams 发布自适应卡片。
流
| 流程 | 类型 | 计划 |
|---|---|---|
| Microsoft Teams 管理员 | 在创建 Microsoft Teams 环境时要求业务理由 | 自动化 | 由管理员 | 同步模板 v3 触发 |
| Microsoft Teams 管理员 | 每周清理 Microsoft Teams 环境 | 计划 | 每周 |
| Microsoft Teams 管理员 | 发送提醒邮件 | 计划 | 每日 |
Microsoft Teams 管理员 | 在创建 Microsoft Teams 环境时要求业务理由
此流每日运行,并检查是否创建了 Microsoft Teams 类型的新环境。 创建 Microsoft Teams 环境的团队负责人会通过 Teams 收到一个自适应卡,提示他们提供业务理由。
此外,此流还会向新的团队负责人发送欢迎电子邮件,向他们提供有关其环境的更多信息。 此电子邮件中包含指向您在配置 CoE 设置时设置的策略文档的链接。
如果要更改电子邮件或自适应卡中的措词,请保存此流的副本。
了解有关 CoE 初学者工具包中的 Microsoft Teams 治理流程的详细信息:Microsoft Teams 环境审核流程
Microsoft Teams 管理员 | 每周清理 Microsoft Teams 环境
备注
自动删除非活动的 Dataverse for Teams 环境现已成为 Power Platform 管理中心的一部分。 详细信息:自动删除非活动的 Microsoft Dataverse for Teams 环境
重要提示
此流将删除不存在业务理由或者已拒绝业务理由的环境。 在删除环境之前,环境负责人有 7 天的时间提供业务理由。
此流每周运行,并删除以下环境:
- 创建时间超过 7 天,没有业务理由,或者业务理由被管理员拒绝。
- 创建时间超过 90 天,环境中没有应用或流。
备注
当前,在 CoE 初学者工具包中找不到在 Microsoft Teams 环境中通过 Power Virtual Agents 创建的机器人。
环境已从租户中删除,并在 CoE 初学者工具包的“环境”表中标记为已删除。 您可以在 Power Platform 管理员视图中查看已删除的环境。
重要提示
您可以使用 Power Platform 管理中心或 Power Apps cmdlet Recover-AdminPowerAppEnvironment 恢复最近删除的环境(删除七天内)。 详细信息:恢复环境
如果要对删除环境时的条件作出任何更改,请保存此流的副本。
了解有关 CoE 初学者工具包中的 Microsoft Teams 治理流程的详细信息:Microsoft Teams 环境审核流程
Microsoft Teams 管理员 | 发送提醒邮件
此流向被要求为其 Dataverse for Teams 环境提供业务理由但尚未提供的环境负责人发送每日提醒电子邮件。 电子邮件还提供有关如何在 Microsoft Teams 中打开流集成的信息。
清理孤立资源
备注
这些组件在 GCC High 和 DoD 中不起作用,因为这些地区不支持向 Teams 发布自适应卡片。
流
| 流程 | 类型 | 计划 |
|---|---|---|
| 请求重新分配孤立对象(父) | 计划 | 每周 |
| 请求重新分配孤立对象(子) | 即时 | 子 |
请求重新分配孤立对象(父)
每天,这都会收集租户中的所有孤立对象,并尝试将它们与前负责人的经理关联。 然后,它会向每个受影响的经理发送 Teams 机器人注释,让他们知道有要清理的对象,然后同时为每个经理调用子流。
无法解析到上一个经理的孤立对象列表将被发送到管理员电子邮件,让管理员知道需要手动清理哪些孤立对象。
请求重新分配孤立对象(子)
对于具有已离开公司的以前员工所负责的对象的每个经理,此流会每天触发。 它显示以前员工负责的所有云端流和画布应用,并让经理可以决定要做什么:
- 通过电子邮件将列表发送给自己。
- 获得所有对象的所有权。
- 将对象全部删除。
- 将对象全部分配给其他人。
- 单独查看每个对象。
如果他们选择单独查看这些项目,就可以精细地做出这些决定。
应用隔离流程
环境变量
| Name | 说明 | Default value |
|---|---|---|
| 在出现不合规 x 天后隔离应用 | 如果使用应用的合规性流从制作者处收集合规性详细信息,请指定是否要隔离不合规的应用。 按天指定。 | 7 天 |
流
| 流程 | 类型 | 计划 |
|---|---|---|
| 管理员 | 隔离不合规应用 | 已安排 | 每日 |
| 管理员 | 设置应用隔离状态 | 自动化 | 当 Power Apps 应用表中的“隔离应用”字段更改时 |
管理员 | 隔离不合规应用
此流按计划运行,根据以下条件检查是否有任何应用需要隔离:
- 环境包含在隔离流程中。
- 已请求合规详细信息,但尚未提交,且待处理时间超过“在出现不合规 x 天后隔离应用”环境变量中指定的时间。
- 应用还未被隔离。
- “管理员风险评估”状态不完整。
对于符合上述条件的任何应用,应用隔离状态设置为是。 如果制作者通过开发人员合规性中心提交合规性详细信息,不会自动从隔离中释放应用,管理员必须执行风险评估,然后使用 Power Platform 管理员视图手动从隔离中释放应用。
要从隔离中释放应用,请使用 Power Platform 管理员视图将隔离应用字段设置为否,并将管理员要求 - 风险评估状态标记为完成。
管理员 | 设置应用隔离状态
如果 Power Apps 应用表的应用隔离状态字段更新,此流会被自动触发。
此字段:
- 由“管理员 | 隔离不合规应用”设置为是。
- 可以由管理员从 Power Platform 管理员视图手动更新为是或否,以隔离应用或从隔离中释放应用。
此流将被设置为应用的隔离状态。
如果应用被隔离,会向制作者发送一封电子邮件,通知他们他们的应用无法再启动。
如果应用被从隔离中释放,会向制作者发送一封电子邮件,通知他们应用可以再次使用。
被隔离的应用也会在开发人员合规中心中标记为不合规。
