安全性和控管考量

  • 發行項

許多客戶想知道如何將 Power Platform 應用在更廣泛的業務上,並獲得 IT 支援? 治理是解答。 它旨在讓業務群組能在符合 IT 和商務合規性標準的同時,有效地解決商務問題。 以下內容旨在建構常與管理軟體相關的主題,並讓人們了解每個與控管 Power Platform 相關的主題中可使用的功能。

主題 與此內容答案所屬的各主題相關常見問題
架構
  • Power Apps、Power Automate,和 Microsoft Dataverse的基本結構與概念是什麼?

  • 設計和執行階段時,如何將這些建構函式相符結合?
安全性
  • 安全性設計考量因素的最佳作法是什麼?

  • 我如何利用既有的使用者和群組管理解決方案管理 Power Apps 中的存取和資訊安全角色?
警示和動作
  • 我如何定義公民開發人員和受控 IT 服務之間的治理模型?

  • 我如何定義中央 IT 和商務單位管理員之間的治理模型?

  • 我應該如何在組織中受惠於非預設環境的支援方法?
監視
  • 我們如何捕獲合規性/稽核資料?

  • 我如何衡量組織內的採行與使用方式?

架構

為您的公司建立正確的治理案例時,首要步驟最好是讓自己熟悉環境。 環境是 Power Apps、Power Automate 和 Dataverse 使用的所有資源的容器。 環境概覽 是一個很好的入門,應緊隨其後 什麼是 Dataverse?類型 Power AppsMicrosoft Power Automate連接器內部閘道

安全性

本節概述存在用來控制可在環境存取 Power Apps 及存取資料:授權、環境、環境角色、Microsoft Entra ID、可搭配 Power Automate 使用的防止資料遺失原則和管理員連接器等機制。

授權

對 Power Apps 和 Power Automate 存取從獲得權限開始。 使用者擁有的權限類型決定了使用者可以存取的資產和資料。 下表根據他們的方案類型,從最上層概述使用者可使用的資源差異。 您可以在授權概觀找到詳細的授權資料。

計劃 描述
Microsoft 365 已納入其中 這可讓使用者延伸 SharePoint 和其他已有的 Office 資產。
Dynamics 365 已納入其中 這讓使用者自訂與擴充他們已經有的客戶參與應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。
Power Apps 方案 這讓:
  • 使企業連接器和 Dataverse供人存取使用。
  • 使用者可以跨類型和管理功能使用健全的商務規則。
Power Apps 社群 這讓使用者使用 Power Apps、Power Automate、Dataverse 與客戶連接器合而為一供個人使用。 無法共用應用程式。
Power Automate 免費 讓使用者可以建立無限流量,並進行 750 次執行。
Power Automate 方案 查看 Microsoft Power Apps 和 Microsoft Power Automate 授權指南.

環境

使用者獲得權限後,存在環境 Power Apps、Power Automate 和 Dataverse 使用的所有資源的容器。 環境可用來鎖定不同的對象與/或用於不同用途(例如開發、測試和商業執行)。 更多資訊請參閱 環境概觀

保護您的資料和網路

  • Power Apps 和 Power Automate 會提供使用者存取任何他們尚未存取任何資料資產的存取權。 使用者應只能存取他們真正需要存取的資料。
  • 網路存取控制原則也適用 Power Apps 和 Power Automate。 對環境而言,人們可以藉由封鎖登入頁面,封鎖從網路內的網站存取,以避免連接到 Power Apps 和 Power Automate 建立的網站。
  • 在環境中,存取控制非為三個等級:環境角色、資源許可 Power Apps, Power Automate 等和 Dataverse 安全性角色 (如果 Dataverse 資料庫已佈建)。
  • 當 Dataverse在環境中建立時,Dataverse 角色將會接管控制環境中的安全性(而且遷移所有環境管理員和製造者)。

下列主題支援各種角色類型。

環境類型 角色 主體類型 (Microsoft Entra ID)
沒有 Dataverse 的環境 環境角色 使用者、群組、租用戶
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
具有 Dataverse 的環境 環境角色 User
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
Dataverse 角色 (適用所有模型導向應用程式和元件) User

1只能共用特定連接 (例如 SQL)。

Note

  • 在預設環境中,租用戶中的所有使用者都會被授與環境製造者角色的存取權。
  • Microsoft Entra 租用戶全域系統管理員擁有所有環境的系統管理存取權。

FAQ- Microsoft Entra 租用戶等級有哪些權限?

今天,Microsoft Power Platform 管理員可以執行下列動作:

  1. 下載 Power Apps & Power Automate 授權報表
  2. 建立僅限範圍為「所有環境」的 DLP 原則,或建立包含/排除特定環境的 DLP 原則
  3. 透過 Office 系統管理中心管理和轉讓授權
  4. 透過以下方式存取租用戶中所有可用環境的所有環境、應用程式及流程管理能力:
    • Power Apps 系統管理員 PowerShell Cmdlet
    • Power Apps 管理連接器
  5. 在租用戶中存取所有環境的 Power Apps 和 Power Automate 管理員分析:

考量 Microsoft Intune

Microsoft Intune 的客戶可以在 Android 和 iOS 上設定適用於 Power Apps 和 Power Automate 應用程式的行動應用程式保護原則。 本演練強調透過 Intune 設定 Power Automate 原則。

考量位置為主的條件式存取

對於擁有 Microsoft Entra ID P1 或 P2 的客戶,可在 Azure 為 Power Apps 和 Power Automate 定義條件式存取原則。 這允許根據下列條件授予或封鎖存取:使用者/群組、裝置、位置。

建立條件式存取原則

  1. 登入 https://portal.azure.com
  2. 選取條件式存取
  3. 選取 + 新增原則
  4. 選取已選取使用者與群組
  5. 選取所有雲端應用程式>有雲端應用程式>Common Data Service 以控制對客戶參與應用程式的存取。
  6. 套用條件 (使用者風險、裝置平台、位置)。
  7. 選取 建立

防止資料外洩及資料流失預防原則

資料流失預防原則 (DLP) 將連接器分類為商務資料專用或不允許商務資料,強制哪些連接器可以搭配使用的規則。 您只要將連接器放在商務資料專用群組,它就只能與相同應用程式中該群組的其他連接器搭配使用。 Power Platform 管理員可以定義套用至所有環境的原則。

常見問題集

問題:我能否在租用戶層級控制哪些連接器可完整使用,例如 Dropbox 或 Twitter 不行,但 SharePoint 可以?

答案:利用連接器分類功能,並將已封鎖分類器指派給您要避免使用的一個或多個連接器,即可達成此目標。 請注意,有連接器組無法封鎖

問題:使用者之間共用連接器? 例如,Teams 的連接器是可以共用的一般連接器嗎?

答案:連接器可供所有使用者使用。 除了需要額外授權(進階連接器)或必須明確共用(自訂連接器)的進階或自訂連接器以外

警示和動作

除了監視之外,許多客戶都想要訂閱軟體製作、使用或健康情況事件,讓他們知道何時執行動作。 本節概述一些觀察事件的方式(手動和程式),及執行事件發生觸發的動作。

組建 Power Automate 流程以便針對關鍵稽核事件發出警示

  1. 可以實施的警示範例即訂閱 Microsoft 365 安全性與合規性稽核日誌。
  2. 這可以透過 Webhook 訂閱或輪詢方法辦到。 不過,藉由附加 Power Automate 到這些警示,我們就能提供系統管理員不只是電子郵件警示。

使用 Power Apps、Power Automate,和 PowerShell 組建您需要的原則

  1. 這些 PowerShell Cmdlet 會放置完全控制在系統管理員手上,以便自動化必要的治理原則。
  2. 管理連接器 提供相同的控制等級,但是可以利用 Power Apps 和 Power Automate 新增擴充性和易用性。
  3. 下列 Power Automate 範本適用快速加速的系統管理連接器:
    1. 列出新的 Power Automate 連接器
    2. 取得新 Power Apps、Power Automate 流程與連接器的清單
    3. 傳送給我每週 Office 365 訊息中心通知摘要
    4. 從 Power Automate 存取 Office 365 安全性與合規性日誌
  4. 在系統管理連接器上快速逐步增加使用此此部落格和應用程式範本
  5. 此外,也值得查看社群應用程式庫共用的內容,以下是另一個使用 Power Apps 和系統管理連接器組建的系統管理體驗範例。

常見問題

問題 目前所有使用 Microsoft E3 授權的使用者都可以在預設環境中建立應用程式。 例如,我們如何為選取群組啟用環境製造者權利。 10 個人建立應用程式嗎?

建議PowerShell Cmdlet管理連接器 提供全面的彈性和控制權,讓系統管理員得以組建他們想要的組織原則。

監視

眾所周知,監視功能是大規模管理軟體的重要層面,本節特別強調幾個用來深入了解 Power Apps 和 Power Automate 開發和使用方式的工具。

評論稽核線索

Power Apps 的活動日誌整合 Office 安全性與合規性中心,讓您跨 Microsoft 服務進行全方位的日誌記錄工作,例如 Dataverse 和 Microsoft 365。 Office 提供 API 查詢此項資料,此資料目前由許多 SIEM 供應商用於編製活動日誌報表。

查看 Power Apps 和 Power Automate 授權報表

  1. 前往 Power Platform 系統管理中心

  2. 選取分析>Power AutomatePower Apps

  3. 查看 Power Apps 和 Power Automate 管理員分析

    您可以用下列方式取得資訊:

    • 使用中的使用者和應用程式使用方式 - 目前有多少使用者正在使用應用程式以及使用頻率?
    • 位置 – 使用方式在哪裡?
    • 連接器的服務效能
    • 錯誤報表 – 是最容易出錯的應用程式
    • 按類型和日期排列使用中的流程
    • 按類型和日期建立的流程
    • 應用程式等級的稽核
    • 服務健康狀態
    • 使用的連接器

查看哪些使用者獲得授權

您始終可以透過查看特定使用者,在 Microsoft 365 系統管理中心查看單一使用者授權。

您也可以使用下列 PowerShell 命令來匯出指派的使用者授權。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

會將您租戶中所有受指派的使用者授權(Power Apps 及 Power Automate)匯出至表格式的檢視表( .csv 檔案)。 匯出的檔案包含自助式註冊內部試用方案,以及源自 Microsoft Entra ID 的方案。 Microsoft 365 系統管理中心的管理員看不到內部試用方案。

有大量 Power Platform 使用者的租用戶,其匯出可能需要一段時間。

查看在環境中使用的應用程式資源

  1. 在 Power Platform 系統管理中心中,請選取導覽功能表中的環境。
  2. 選取環境。
  3. 或者在環境中使用的資源清單可以下載為 .csv 格式檔案。

請參閱

使用最佳做法來保護和治理 Power Automate 環境
Microsoft Power Platform Center of Excellence (CoE) 入門套件