啟用受控環境
本白皮書介紹了受控環境的主要特性和功能及其為組織和管理員帶來的好處。
注意
您可選取瀏覽器的列印,然後選取儲存為 PDF 來儲存或列印本白皮書。
受管理環境概觀
受控環境是一套進階治理功能,使 IT 管理員能夠大規模管理 Power Platform,並獲得更多控制、更高可見度並減少工作量。 可以管理任何類型的環境。 當環境受控後,就可以在 Power Platform 上解鎖更多功能。 瞭解如何啟用受控環境。
在本白皮書中,您將了解以下功能並取得已啟動受控環境組織的範例:
- 中的 Power Platform 管道應用應用程式生命週期管理 (ALM) 自動化,以簡化開發流程並減少工作量。
- 製作者歡迎內容 使用自定義消息向組織中的製作者致意,以幫助他們入門 Power Apps。
- 限制共用 為使用者可以分享畫布應用的範圍添加了一個護欄。
- 使用情況見解 是每周摘要電子郵件,可讓管理員瞭解應用程式使用方式和用戶的活動。
- 可以輕鬆查看和識別數據策略 。
- 解決方案檢查器強制 根據一組最佳實踐規則檢查您的解決方案,以識別有問題的模式。
- IP 防火牆 通過限制使用者訪問 Dataverse 允許的 IP 位址來保護組織數據。
- IP Cookie 綁定 通過基於 IP 位址的 Cookie 綁定來防止會話劫持漏洞 Dataverse 。
- 客戶管理的金鑰 提供額外的數據保護,使用您自己的金鑰庫中的加密金鑰加密您的數據。
- 客戶密碼箱 提供了一個介面,您可以在其中批准來自 Microsoft 支持的數據訪問請求。
- 擴展備份 將備份保留期從 7 天延長到最長 28 天。
- 適用於桌面流程 的 DLP 控制桌面流程模型和單個 Power Automate模型操作。
- 匯出數據以幫助 Application Insights 診斷和排查與錯誤和性能相關的問題。
- Catalog in Power Platform 通過大規模共享 Power Platform 對象來促進協作和生產力。
- 默認環境傳送 會自動將新製作者引導到他們自己的個人開發人員環境中。
Power Platform 中的管線
管道以 Power Platform 更易懂的方式為 Power Platform Dynamics 365 客戶帶來了 ALM 最佳實踐、自動化、持續集成和持續交付 (CI/CD) 功能。
在組織中,IT 管理員或治理團隊成員通常會提供有關如何將解決方案部署到不同環境的指導。 集中管理和治理的管線可為製作者提供直覺的使用者體驗並更輕鬆地部署其解決方案。
若要使用管線將解決方案從一個環境 (通常指定為來源環境) 部署到另一個環境 (通常指定為目標環境),您需要確定哪些環境是管線的一部分。 最常見的管線是由開發/測試/實際執行環境或開發/驗證/測試/實際執行環境所組成。 以下是管線的範例:
建議將管線中的所有環境設定為受控環境,但開發環境可以在管線中使用而不進行託管。
最佳做法是,個人生產力解決方案應在個人開發環境中開發,以便使用管線將其部署到目標環境。 在建立環境時,您也可以考慮設定管線,以促進公民主導和專業開發人員主導大規模專案的 ALM。
製作者歡迎內容
在受控環境中,管理員可提供自訂歡迎內容,以協助其製作者開始使用 Power Apps。 自訂歡迎訊息可以在製作者第一次造訪 Power Apps 時告知他們公司規則以及他們在每個環境或環境群組中可以執行的操作。
以下是有關您的組織如何在每種類型的環境中使用歡迎訊息的一些建議。 包含標識環境類型或擁有者的影像,以幫助使用者採用和預防錯誤。
預設環境
預設環境通常受到最嚴格的限制,具有資料外洩防護 (DLP) 策略和共用控制。 建立歡迎訊息,警告您的製造者有關限制和可能的限制,並包含指向您組織原則網站或文件的連結。
例如,您可能希望通知開發人員僅對與 Microsoft 365 應用程式相關的解決方案使用預設環境,不要在預設環境中使用生產應用程式,並且僅與有限數量的個人共用其畫布應用程式。 以下範例展示如何在受控環境設定中建立此類訊息:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment
### Before you start, here are some considerations
Use this environment if you plan to build apps that integrate with Office 365.
Before you start, be aware of these limitations:
1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.
If you're not sure you're in the right place, follow [this guidance**](#).
以下是將呈現的歡迎訊息:
實際執行環境
生產環境通常用於部署支援企業和團隊生產力的解決方案。 應用程式和資料遵守組織原則非常重要。 因為您需要控制哪些使用者可以存取實際執行環境,因此如果存取權有所更新,最好通知使用者。 您可以允許更多連接器並增加生產環境中的共用限制。 您也可以使用歡迎訊息來通知合適團隊的製作者來尋求支援。 以下範例展示如何建立此類訊息:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment
### Before you start, here are some considerations
Use this environment if you're on the HR team and your data is located in Europe.
Before you start, be aware of these limitations:
1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
開發人員環境
開發人員環境通常是開發人員建立解決方案的地方。 由於開發人員正在開發該應用程式,因此這些應用程式尚未投入實際執行,並且可擴展性有限。 通常由於製作者的性質,開發環境中的 DLP 較為寬鬆。 為了避免開發人員在其開發環境中使用實際執行資產,請限制共用功能並針對此類環境使用特定的 DLP。 以下是開發環境歡迎訊息的範例:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment
### Before you start, here are some considerations
Use this environment if you're a developer and you're building solutions.
Before you start, be aware of these limitations:
1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
沙箱環境
通常,沙箱環境用於測試解決方案。 由於某些測試會涉及大量使用者,因此這些環境可以擴展到一定程度,並且比開發人員環境具有更多的容量。 通常沙箱環境也用作開發環境,由多個開發人員共用。 以下是此類環境歡迎訊息的範例:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment
### Before you start, here are some considerations
Use this environment only if you're testing solutions.
Before you start, be aware of these limitations:
1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
限制共用
在受管理環境中,管理員可以限制使用者共用畫布應用程式的範圍。 但是,該限制僅適用於未來的共用。 如果您將 20 個使用者的共用限制套用於已與超過 20 位使用者共用之應用程式的環境,則共用過該應用程式的所有使用者都可以繼續使用這些應用程式。 您應該制定一個流程,通知共用應用程式的製作者已超過新限制,以減少共用應用程式的使用者數量。 在某些情況下,您可能決定將解決方案移至另一個環境。 共用限制僅適用於畫布應用程式。
管理員通常需要在以下情況下控制開發人員共用其應用程式的方式:
應用程式在個人生產力環境中共用。 如果您環境中的使用者可以為自己的工作建立應用程式、沒有全球業務價值的應用程式或沒有 IT 支援的應用程式,則不允許製作者在整個組織中共用這些應用程式,這一點很重要。 如果應用程式一開始是個人生產力應用程式,但後來變得熱門並廣泛使用,請注意您對共用設定的限制。 常見的限制是 5 到 50 個使用者。
應用程式會與安全性群組或所有人共用。 與安全性群組共用的應用程式可由該群組的所有成員執行。 在開發人員環境中,您可能希望由開發人員控制應用程式的共用方式,而不是依賴群組成員資格來控制。 在其他情況下,您可能想讓應用程式可與所有人共用。 如果您的組織的原則是應用程式與安全性群組共用,則該安全性群組包括有權執行該應用程式的所有使用者並由 IT 部門管理,您可能會想要限制建立者與其他安全性群組共用。
以下是各種環境類型的常見共用限制:
預設:選取排除與安全性群組的共用,選取限制可以共用的個人總數,然後為該值選取 20。
開發人員:選取排除與安全性群組的共用,選取限制可以共用的個人總數,然後為該值選取 5。
沙箱:選取排除與安全性群組的共用,然後許消選取限制可以共用的個人總數。 如果應用程式與 IT 管理的安全性群組 (其中包括有權執行該應用程式的使用者) 共用,請使用此選項。 如果製作者、使用者或團隊可以管理允許哪些使用者測試解決方案,請選取不設定限制 (預設)。
實際執行:選取不設定限制 (預設)。 若要依據特定安全性群組控制共用,請選取排除與安全性群組的共用,並取消選取限制可以共用的個人總數。
使用方式深入解析
管理員和授權使用者可以透過每週摘要電子郵件中提供的使用方式深入解析和分析來了解其受控環境中的情況。 找出哪些應用程式和流程最受歡迎,哪些處於非使用中並可以安全地清理。 電子郵件中的連結可直接前往資源以進行深入分析。
分散式 IT 團隊通常使用每週電子郵件來通知管理員其受控環境中的情況,使收件者管理成為一項重要任務。 收件人數量有限,因此建議使用電子郵件通訊群組清單 (例如 HR_Admins@contoso.com),而不是單獨使用地址。
資料原則
精心規劃的環境原則包括強大的資料原則。 DLP 會規定哪些連接器可用,以及哪些連接器可以互相使用。 多個 DLP 可以在同一環境中處於使用中狀態,但限制最嚴格的 DLP 將會有優先權。 如果一個 DLP 允許使用連接器 A,而另一個 DLP 阻止使用連接器 A,則該連接器將會被封鎖。
在環境中套用多個 DLP 是很常見的事,特別是在同一環境中依國家/地區、部門或團隊套用 DLP 的情況下。 對適用於環境的所有資料原則進行清晰的視覺化至關重要。 實現這一目標的最簡單方法是管理環境。 在受控環境中,管理員可以輕鬆識別應用程式的所有 DLP。
解決方案檢查程式強制執行
卓越中心 (CoE) 團隊通常會設定護欄來降低使用者將不合規解決方案匯入環境的風險。 在受控環境中,管理員可以根據一組最佳做法規則,輕鬆對解決方案執行多種靜態分析檢查,並找出有問題的模式。 擁有分散式 CoE 的組織通常會發現他們有必要啟動解決方案檢查器強制執行,同時透過電子郵件主動聯繫製作者以提供支援。
解決方案檢查器強制執行提供三個控制層級:無、警告和封鎖。 管理員可設定檢查的效果,可以是提供警告但允許匯入,或是完全封鎖匯入,同時也將匯入結果提供給製作者。
使用此功能的組織會根據環境類型對其進行不同的設定。 有例外狀況是正常的,本指南應始終符合您的需求。 但以下是各環境類型中,最常見的解決方案檢查器強制執行設定:
預設:選擇封鎖和傳送電子郵件。
開發人員:選擇警告,然後取消選取傳送電子郵件。
沙箱:選擇警告,然後取消選取傳送電子郵件。
實際執行環境:選擇封鎖和傳送電子郵件。
Teams 環境:選擇封鎖和傳送電子郵件。
IP 防火牆
預設情況下,可以透過 API 從任何 IP 位址存取所有 Dataverse 資料,並透過驗證進行保護。 組織通常會限制對允許來源的存取權,以減輕資料外洩等內部威脅。 受控環境中的 IP 防火牆可透過限制使用者僅從允許的 IP 位址進行存取來協助保護 Dataverse 中的組織資料。 IP 防火牆可即時分析每個要求的 IP 位址並拒絕任何來自未經允許位址的要求。
組織通常會設定 IP 防火牆以允許來自辦公室的連線並限制來自外部的連線。 最佳做法是將其與條件式存取搭配使用,以避免不一致的原則和相依性。
提示
如果您錯誤配置了這些策略,則可能需要向 Microsoft Support 請求説明。 您可以限制允許 IP 以外的使用者對 Power Apps 的存取,並限制先前允許的 Power Automate 動作。
IP Cookie 繫結 (封鎖 Cookie 重放攻擊)
基於 IP 位址的 Cookie 綁定 可防止會話 Cookie 漏洞,例如受控環境中的 Cookie 重放攻擊。 如果嘗試使用從啟用了 IP Cookie 繫結的授權電腦竊取的工作階段 Cookie 在未經授權的電腦上存取 Dataverse,則該嘗試將遭到封鎖,並要求使用者重新進行驗證。 在以下情況下,使用者必須重新進行驗證:
- 任何 VPN 用戶端均已開啟或關閉。
- 連線到無線熱點。
- 連線由 Internet 服務提供者重設。
- 路由器重置或重新啟動。
客戶自控金鑰
客戶自控金鑰 (CMK) 就像您為迷你自存倉上的鎖。 您不必依賴倉儲公司對設施的保護措施,而是自行保管鎖的鑰匙並決定誰可以進入您的單位。 必須遵守有關資料安全和保密性法規的組織可以透過使用自己的金鑰進行靜態加密來保護其資料。 如果資料副本被盜,沒有加密金鑰就無法在其他伺服器上恢復。
當您使用 CMK 時,可保證只有您有權存取金鑰來解密資訊。 沒有加密金鑰,其他人無法存取您的加密資料,包括 Microsoft。
與自帶金鑰 (BYOK) 模型相比,CMK 具有其優勢。 您可以為單獨的環境使用不同或多個加密金鑰,並且可以更好地在自己的金鑰保存庫中管理加密金鑰。 從 BYOK 升級到 CMK 還可以讓您的環境接受使用非 SQL 儲存的所有其他 Power Platform 服務,例如客戶深入解析和分析、更大的檔案上傳大小、具有稽核保留功能且更具成本效益的稽核儲存空間、彈性資料表服務、Dataverse 搜尋和長期保留。 如果您的組織使用 BYOK,建議移轉到 CMK。
使用 CMK 的組織應制定嚴格的程序來保護和更新其客戶管理的加密金鑰。
客戶加密箱
該人員執行的大多數操作、支援和故障排除 Microsoft 不需要存取客戶數據。 但是,在極少數情況下, Microsoft 出於調查目的,工作人員需要對客戶數據進行有限訪問。 Microsoft 具有多層內部審批流程,可在需要時授予對客戶數據的訪問許可權,但許多組織需要或希望對如何 Microsoft 訪問其數據進行更多控制。 使用 Power Platform 客戶密碼箱,客戶可以查看、批准和拒絕 Microsoft 數據訪問請求。
當客戶加密箱已啟動且您的支援票證要求我們對您的資料具有有限存取權時,您組織的全域管理員和 Power Platform 管理員會收到相關要求。 如果獲得批准, Microsoft 則處理您的工單的人員只能在一定時間內訪問所請求環境中的數據。 此外,他們的存取權限不會自動更新。 每次需要存取資料時,管理員都會收到新的客戶加密箱要求。 所有要求和更新都會自動記錄在稽核記錄中。
延長備份 (7 到 28 天)
定期、頻繁的備份可以保護 Power Platform 和 Dataverse 中的資料避免不良事件的風險。 如果您使用 Power Platform 建立安裝了 Dataverse 資料庫和 Dynamics 365 應用程式的實際執行環境,這些環境將自動備份並儲存長達 28 天。 如果實際執行環境未安裝 Dynamics 365 應用程式,備份將儲存 7 天。 但是,對於託管環境,管理員可以使用下列 PowerShell 命令將備份保留期延長至 14、21 或 28 天:
Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28
桌面流程 DLP
在 Power Automate 中,您可以建立資料外洩防護原則,將桌面流程模組和單一模組動作分類為商務、非商務或封鎖。 以這種方式進行分類可以防止製作者將不同類別的模組和動作組合到桌面流程中,或在雲端流程與其使用的桌面流程之間組合 (僅在受控環境中)。 儘管您可以在非受控環境中為桌面流程建立 DLP 原則,但這些原則不會強制執行。
預設情況下,建立 DLP 原則時不會顯示桌面流程的動作群組。 管理員需要在 Power Platform 系統管理中心開啟在 DLP 原則中顯示桌面流程動作租用戶設定。
組織中的任何人都可以在預設環境中建立 Windows 桌面流程。 為桌面流程制定 DLP 原則的重要性與在雲端流程制定 DLP 原則一樣重要,這可確保製作者遵守組織原則。 例如,如果您的原則阻止在使用者電腦上執行指令碼,則您應該阻止建立者使用執行指令碼動作來建立桌面流程。 同樣,如果您的原則限制在雲端流程中使用 HTTP 連接器,則最好阻止桌面流程中進行類似的動作。
如果您不確定 DLP 原則將如何影響製作者的桌面流程,請使用自動化套件中的 DLP 影響分析工具。
將資料匯出至 Application Insights
Application Insights 可以接收診斷 Dataverse 和性能數據,您可以使用這些數據來診斷和排查錯誤和性能問題。 組織可使用 Application Insights (Azure Monitor 的一項功能) 來更好地控制其資產。
如果您有 Dataverse 環境,您可以使用資料流監控 Dataverse API 傳入呼叫、Dataverse 外掛程式執行呼叫和 Dataverse SDK 呼叫的效能,並監控外掛程式和 Dataverse SDK 作業的失敗情況。 您可以將應用程式連接到 Application Insights 以了解使用者使用應用程式的方式、收集資訊以推動更周延的商業決策,並改善您的應用程式品質。 例如,以下螢幕擷取畫面顯示了模型導向應用程式每次作業的計數和平均持續時間。 此資訊可用於識別對應用程式使用者影響最大的作業。
您可以將 Application Insights 與篩選器搭配使用來偵測任何失敗的流程並建立警示。 以下範例示範如何針對特定雲端流程中的失敗建立自訂警示和篩選器。 如需範例,請參閱使用 Power Automate 設定 Application Insights。
let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false
Power Platform 中的目錄
Power Platform 中的目錄是一個中心位置,製作者和開發人員可以在其中探索和共用解決方案、範本和程式碼元件,以便在整個組織中重複使用。 其還為管理員提供了一個儲存和維護 Power Platform 成本的中心位置,並具有管理功能和核准工作流程,以確保符合監管和法定要求。
製作者和開發人員可將他們的解決方案、範本和元件提交到目錄中,以幫助他們的同事解決業務問題。 管理員和企業營運核准人可審閱並核准其內容。 該目錄作為 Power Platform 成品的單一事實來源,可以對其進行策劃和控制,以加速製作者和開發人員的價值。 目錄簡化了尋找、建立和共用解決方案和範本的流程,使組織能夠更輕鬆地將應用程式套用至業務問題並實現其目標。
鼓勵開發人員和製作者建立和共用目錄中的元件和範本的組織可以從 Power Platform 的投資中獲得更多價值。 只有建置是不夠的。 大規模共用成品可以培養社群和支援群組,從而釋放組織中不同人員的價值。 事實上,在 Power Platform 方面最成功的組織採用了融合團隊模型,其中專業開發人員、製作者和管理員共同努力,透過重複使用解決方案、範本和元件來幫助其他員工從平台中獲得最大的價值。
預設環境路由
默認環境傳遞 是一項高級管理功能, Power Platform 管理員可以使用它在新製作者首次訪問 Power Apps時自動將其引導至自己的個人開發人員環境。 預設環境路由為新製作者提供了一個使用 Microsoft Dataverse 建置的個人安全空間,而無需擔心其他人存取他們的應用程式或資料。
使用受控環境的注意事項
當您考慮使用受控環境時,應謹記某些事。
治理:該使用受控環境或 CoE 入門套件?還是兩者兼用?
受控環境是一組功能,旨在透過提供更多控制並減少管理員的工作量來簡化 Power Platform 的治理,這是許多組織一直熱切期待的事。 許多組織的治理流程都受到 CoE 入門套件的影響。 其他則以該套件的開箱即用功能為基礎再行擴充,以滿足組織的特定需求。 還有一些人使用 CoE 入門套件來擴充受控環境的治理功能。
受控環境的工程團隊與負責入門套件的團隊 Power CAT 密切合作,以確定套件中最常用的功能並將其添加到受控環境中。 因此,某些功能在兩種產品中皆有提供。 當您使用受控環境時,產品內功能將由管理和 Microsoft支援。 您無需更新或維護它們——它們會自動更新 Power Platform 發行版本波次。 如果您的組織使用 CoE 入門套件,則務必要建立和維護內部流程,每月進行更新。 請遵循 CoE 入門套件辦公時間中提出的建議。
建議同時使用這兩種方法 - 從受控環境開始,然後使用入門套件補足其餘部分。 如何決定是否將受控環境與 CoE 初學者工具包一起使用。
由於該套件屬於社群導向,因此它不受與我們授權產品的服務等級協定約束。 前往 GitHub 網站報告錯誤、提出問題和要求新功能。
如果您打算停用受控環境
了解組織停止使用受控環境後會發生什麼非常重要。 下表描述了對製作者和管理員的影響。
功能 | 製作者影響 | 管理員影響 |
---|---|---|
製作者歡迎內容 | 間接:當他們進入環境時,將不再看到歡迎訊息。 | 間接:他們無法在環境中定義自訂的歡迎訊息。 |
限制共用 | 直接:他們可以與任何安全性群組和使用者共用他們的應用程式。 | 間接:他們無法控制環境中應用程式的共用方式。 |
使用方式深入解析 | None | 直接:他們和任何其他收件者將不再收到每週電子郵件摘要。 |
資料原則 | None | 間接:強制執行 DLP,但管理員無法將多個 DLP 套用至環境。 |
Power Platform 中的管線 | 直接:他們無法使用管線來部署其解決方案。 | None |
解決方案檢查程式強制執行 | 間接:他們可以匯入任何解決方案,而無需檢查錯誤、安全性和不合規資產。 | None |
客戶自控金鑰 | None | 間接:功能有限。 |
IP 防火牆 | None | 間接:功能有限。 |
客戶加密箱 | None | 間接:功能有限。 |
延長備份 (7 到 28 天) | None | 間接:功能有限。 |
桌面流程 DLP | 直接:他們可以執行以前遭到封鎖的動作。 | None |
匯出至 App Insights | None | 間接:功能有限。 |
Power Platform 中的目錄 | None | 間接:功能有限。 |
受控環境的常見設定
如果您正在考慮啟動受控環境,以下針對各種環境類型的範例設定可能會很實用:
預設環境
- 限制共用:排除與群組共用,將共用限制為 20 個人
- 解決方案檢查器實施:阻止併發送電子郵件
- 使用方式見解:打開
- 手藝人歡迎內容:定製,包括了解詳情的連結
開發人員環境
- 限制共用:不設置限制
- 解決方案檢查器強制執行:警告且不發送電子郵件
- 使用情況見解:關閉
- 手藝人歡迎內容:定製,包括了解詳情的連結
沙箱環境
- 限制共用:不設置限制
- 解決方案檢查器強制執行:警告且不發送電子郵件
- 使用方式見解:打開
- 手藝人歡迎內容:定製,包括了解詳情的連結
生產環境
- 限制共用:不設置限制
- 解決方案檢查器實施:阻止併發送電子郵件
- 使用方式見解:打開
- 手藝人歡迎內容:定製,包括了解詳情的連結
Teams 環境
- 限制共用:不設置限制
- 解決方案檢查器實施:阻止併發送電子郵件
- 使用方式見解:打開
- 手藝人歡迎內容:無內容或“瞭解詳情”連結
如何決定是否將受控環境與 CoE 入門套件搭配使用
CoE 入門套件提供了一套全面的功能來管理、治理和培養 Power Platform 的採用。 這是我們經過實驗和創新的產物,採用開放原始碼、低程式碼模型,並深受客戶意見反應的影響。 其中一些功能與受控環境的功能重疊,並且受控環境計劃最終取代該套件的一些功能。 隨著受控環境的不斷發展,我們將繼續為該套件添加新功能以衡量利害關係。 CoE 入門套件的重點並非複製受控環境中已存在的功能。 當我們評估有關下一步需求的意見反應時,它專注於創新和解決未滿足的客戶需求。
您可以單獨使用受控環境,也可以將其與 CoE 入門套件搭配使用來管理和治理您對 Power Platform 的採用。 如何知道要該選哪個?
我們的建議是從 Power Platform 系統管理中心和受控環境中的預設功能開始。 它們非常強大且可獲得充分支援。 如果您發現需要更多功能來管理租用戶,請檢查 CoE 入門套件中的功能是否可以補充您受控環境中現成的功能。 每個組織都需要找到適合其要求的最佳混合模型。
CoE 入門套件與受控環境
您需要考慮 CoE 入門套件和受控環境之間的重要差異。
CoE 入門套件使用公開可用的 API 和動作來套用治理護欄。 治理程序是非同步的反應式程序。 假設您的組織需要將應用程式共用限制為 20 個使用者。 CoE 僅在超出限制後才能做出反應,這可能會導致資產不合規。 另一方面,受控環境使用內建於產品中的私人 API,在共用限制通過之前強制執行。
受控環境會根據客戶意見反應以及使用 CoE 入門套件的客戶的經驗教訓不斷發展。 某些功能完全或局部重疊。 相反,入門套件包含的某些功能可讓組織完成受控環境中尚無法執行的工作,反之亦然。 建議您查看卓越中心 (CoE) 概觀。
以下受控環境和 CoE 入門套件功能的比較應有助於引導您做出決策。
受控環境特點: 製作者歡迎 在 CoE 初學者工具包中可用: 部分
- 在受控環境中,管理員可以提供自訂歡迎內容,以在製作者首次造訪 Power Apps 時向其致意,並提供有關如何開始使用的資訊。 CoE 入門套件提供歡迎電子郵件,僅在新製作者建立第一個應用程式、流程或機器人後傳送給他們。
- 受控環境可直接在製作者工作室中與新製作者溝通。 CoE 入門套件僅透過電子郵件進行通訊。
- 受控環境允許管理員在每個環境中自訂歡迎訊息。 CoE 入門套件在所有環境中都有一則歡迎訊息。
受控環境特點: 限制共用 在 CoE 初學者工具套件中可用: 非即時 (反應)
管理員可以在入門套件中設定共用限制,但無法主動強制執行。 該套件中的共用限制僅用於向製作者傳送合規性通知和提醒。
受控環境特點: CoE 初學者工具包中提供的使用情況見解 : 是
- 這兩種解決方案都具有良好的詳細目錄視覺化和使用情況深入解析。
- CoE 入門套件的報告可將您的診斷和詳細目錄資料與來自 Microsoft Entra ID 的租戶資料相結合,使您能夠按照部門、城市或國家/地區找到最活躍的製作者。
- 入門套件的報表使用 Power BI,這代表您可以根據您的要求對資料進行切分,並使用 Power BI 列級安全性與其他管理群組共用儀表板。 瞭解如何通過 CoE Power Platform 儀錶板 Power BI 深入瞭解您的採用情況。
受控環境特點: CoE Starter Kit 中可用的數據策略 : 是
CoE 入門套件包括一個 DLP 影響工具,可用於了解啟用或停用特定 DLP 對環境的影響。
受控環境特點: CoE Starter Kit 中提供的每周摘要 : 部分
- CoE 入門套件沒有管理員每週摘要。 管理員需從 Power BI 儀表板獲取資訊。
- 而在受控環境中,非使用中的應用程式和流程會在每週摘要電子郵件中醒目顯示。 CoE 入門套件具有非使用中通知程序,該程序會通知製作者其非使用中的資源並要求核准刪除它們。
- 受控環境和 CoE 入門套件的主要目標之一是提供更多見解,使管理員能夠採取行動。 CoE 入門套件在這方面具有優勢。 它具有將資源管理直接交給製作者的功能,使他們對自己的資源負責並減輕管理員的負擔。
受控環境特點: CoE Starter Kit 中可用的管道 Power Platform : 部分
CoE 入門套件的一部分是另一個名為 ALM Accelerator for Power Platform 的套件,該套件具有與管線類似的功能,包括整合兩種解決方案的可擴充性。
受控環境特點: 解決方案檢查器實施 在 CoE 初學者工具包中可用: 否
由於這些解決方案與產品緊密整合,CoE 入門套件無法檢查它們。
受控環境特點: CoE Starter Kit 中可用的 IP 防火牆 : 否
受控環境特點: 阻止 Cookie 重放攻擊 CoE Starter Kit 中可用: 否
受控環境特點: 客戶管理的金鑰 在 CoE 初學者工具包中可用: 否
受控環境特點: CoE Starter Kit 中提供的客戶密碼箱 : 否
推論
具有高階治理功能的受控環境是負責大規模管理 Power Platform 採用 IT 管理員的重要解決方案。 透過提供一套強大的工具和控制措施,它可讓治理團隊在創新和安全之間保持微妙的平衡。 透過精細的存取控制、簡化的解決方案部署和原則強制執行,受控環境可讓組織滿懷信心地充分利用 Power Platform 全部的潛力,同時確保合規性、資料完整性和最佳效能。 在資料治理至關重要的時代,這些功能使 Power Platform 成為現代企業 IT 策略的基石,提高管理者和專案關係人的效率,使他們高枕無憂。