Del via

Overvejelser om sikkerhed og styring i Power Platform

Mange kunder spekulerer på, hvordan Power Platform kan gøres tilgængelig for hele virksomheden og understøttes af it? Svaret er styring. Det er med til at gøre det muligt for virksomhedsgrupper at fokusere på at løse forretningsproblemer på en effektiv måde, mens de overholder it- og virksomhedsstandarder. Følgende indhold har til formål at strukturere temaer, der ofte er knyttet til den styrende software, og at skabe opmærksomhed om de funktioner, der er tilgængelige for hvert tema i forhold til at styre Power Platform.

Tema Almindelige spørgsmål vedrørende de enkelte temaer, som dette indhold giver svar på
Arkitektur
  • Hvad er de grundlæggende konstruktioner og begreberne Power Apps, Power Automate og Microsoft Dataverse?

  • Hvordan passer disse strukturer sammen på designtidspunktet og under kørslen?
Sikkerhed
  • Hvilken bedste praksis er der for overvejelser i forbindelse med sikkerhedsdesign?

  • Hvordan bruger jeg vores eksisterende løsninger til bruger- og gruppeadministration til at administrere adgangs- og sikkerhedsroller i Power Apps?
Advarsler og handlinger
  • Hvordan kan jeg definere styringsmodellen mellem borgernes udviklere og administrerede it-tjenester?

  • Hvordan kan jeg definere styringsmodellen mellem central it og administratorer af afdelinger?

  • Hvordan skal jeg forholde mig til support til ikke-standardmiljøer i min organisation?
Overvåg
  • Hvordan henter vi data om overholdelse/overvågning?

  • Hvordan kan jeg måle implementering og forbrug i min organisation?

Arkitektur

Det er en god ide at orientere dig om miljøer som det første trin, når du skal skabe den rette styringshistorie for virksomheden. Miljøer er objektbeholdere for alle ressourcer, der bruges af en Power Apps, Power Automate og Dataverse. Environments Overview er en god primer, som skal efterfølges af Hvad er Dataverse?, Typer af Power Apps, Microsoft Power Automate, Connectors og Gateways i det lokale miljø.

Sikkerhed

I dette afsnit beskrives de mekanismer, der findes til at styre, hvem der kan få adgang til Power Apps i et miljø og få adgang til data: licenser, miljøer, miljøroller, Microsoft Entra ID, datapolitikker og administratorconnectors, der kan bruges sammen med Power Automate.

Licensering

Adgang til Power Apps og Power Automate starter med at have en licens. Den type licens, en bruger har, bestemmer, hvilke aktiver og data en bruger har adgang til. I følgende tabel beskrives forskelle i ressourcer, der er tilgængelige for en bruger, baseret på deres plantype, overordnet set. Du kan finde detaljerede licensoplysninger i Licensoversigt.

Planlæg Beskrivelse
Microsoft 365 inkluderet Dette giver brugerne mulighed for at udvide SharePoint og andre Office-aktiver, de allerede har.
Dynamics 365 inkluderet Dette giver brugerne mulighed for at tilpasse og udvide customer engagement-apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation), de allerede har.
Power Apps-plan Det giver mulighed for følgende:
  • At gøre enterpriseforbindelser og Dataverse tilgængeligt til brug.
  • Brugerne kan anvende robust forretningslogik på tværs af programtyper og administrationsfunktioner.
Power Apps community Dette gør det muligt for en bruger at bruge Power Apps, Power Automate, Dataverse og brugerdefinerede connectors på en enkelt til individuel brug. Det er ikke muligt at dele apps.
Power Automate gratis Det giver brugere mulighed for at oprette et ubegrænset antal flow og udføre 750 kørsler.
Power Automate-plan Se Microsoft Power Apps og Microsoft Power Automate Licensing Guide.

Miljøer

Når brugerne har licenser, findes miljøer som objektbeholdere for alle ressourcer, der bruges af Power Apps, Power Automate og Dataverse. Miljøer kan bruges til at målrette forskellige målgrupper og/eller forskellige formål, f.eks. udvikling, test og produktion. Du kan finde flere oplysninger i Oversigt over miljøer.

Sikring af data og netværk

  • Power Apps og Power Automate don ikke give brugerne adgang til alle dataaktiver, som de ikke allerede har adgang til. Brugere skal kun have adgang til data, som de rent faktisk skal have adgang til.
  • Politikker for netværksadgangskontrol kan også gælde for Power Apps og Power Automate. I forbindelse med miljø kan man blokere adgangen til et websted fra et netværk ved at blokere logonsiden for at forhindre, at der oprettes forbindelser til det pågældende websted i Power Apps og Power Automate.
  • I et miljø styres adgangen på tre niveauer: Environment-roller, Ressourcetilladelser for Power Apps, Power Automate osv. og Dataverse-sikkerhedsroller (hvis der klargøres en dataversedatabase).
  • Når Dataverse oprettes i et miljø, overtager Dataverse-rollerne for at kontrollere sikkerheden i miljøet (og alle miljøadministratorer og -oprettere overføres).

Følgende prioriter understøttes for hver rolletype.

Miljøtype Rolle Hovedtype (Microsoft Entra ID)
Miljø uden Dataverse Miljørolle Bruger, gruppe, lejer
Ressourcetilladelse: canvas-app Bruger, gruppe, lejer
Ressourcetilladelse: Power Automate, Custom Connector, Gateways, Connections1 Bruger, gruppe
Miljø med Dataverse Miljørolle Bruger
Ressourcetilladelse: canvas-app Bruger, gruppe, lejer
Ressourcetilladelse: Power Automate, Custom Connector, Gateways, Connections1 Bruger, gruppe
Dataverse-rolle (gælder for alle modelbaserede apps og komponenter) Bruger

1Det er kun visse forbindelser (f.eks. SQL), der kan deles.

Bemærk

  • I standardmiljøet tildeles alle brugere i en lejer adgang til rollen Miljøopretter.
  • Brugere med Power Platform-administratorrollen har administratoradgang til alle miljøer.

Ofte stillede spørgsmål – Hvilke tilladelser findes der på Microsoft Entra lejerniveau?

I dag kan Microsoft Power Platform administratorer gøre følgende:

  1. Download Power Apps og Power Automate licensrapport
  2. Opret kun datapolitik, der er begrænset til 'Alle miljøer', eller som er beregnet til at inkludere/udelade bestemte miljøer
  3. Administrere og tildele licenser via Office Administration
  4. Få adgang til alle miljø-, app- og flowstyringsfunktioner for alle miljøer i lejeren, der er tilgængelige via:
    • PowerShell-cmdlet'er til Power Apps administration
    • Power Apps styringsforbindelser
  5. Få adgang til Power Apps og Power Automate administrationsanalyse for alle miljøer i lejeren:

Overvej Microsoft Intune

Kunder med Microsoft Intune kan angive politikker for beskyttelse af mobilapps for både Power Apps og Power Automate apps på Android og iOS. I denne gennemgang fremhæves det, hvordan du angiver en politik via Intune for Power Automate.

Overvej placeringsbaseret betinget adgang

For kunder med Microsoft Entra ID P1 eller P2 kan politikker for betinget adgang defineres i Azure for Power Apps og Power Automate. Det gør det muligt at tildele eller blokere adgang på baggrund af: bruger/gruppe, enhed, placering.

Oprettelse af en politik for betinget adgang

  1. Log på https://portal.azure.com.
  2. Vælg Betinget adgang.
  3. Vælg + Ny politik.
  4. Vælg valgte brugere og grupper.
  5. Vælg Alle skyapps>Alle skyapps>Common Data Service for at styre adgangen til kundeengagementsapps.
  6. Anvend betingelser (brugerrisici, enhedsplatforme og placeringer).
  7. Vælg Opret.

Undgå datalækage med datapolitikker

Datapolitikker gennemtvinger regler for, hvilke forbindelser der kan bruges sammen, ved at klassificere dem som enten kun forretningsdata eller ingen forretningsdata tilladt. Hvis du anbringer en connector i gruppen kun med virksomhedsdata, kan den kun bruges sammen med andre connectorer fra den pågældende gruppe i det samme program. Power Platform-administratorer kan definere politikker, der gælder for alle miljøer.

ofte stillede spørgsmål

Spørgsmål: Kan jeg på lejerniveau styre, hvilken connector der overhovedet er tilgængelig, f.eks. Nej til Dropbox eller Twitter, men Ja til SharePoint?

Sv: Det kan du gøre ved at bruge funktionerne til klassificering af connectorer og tildele den blokerede klassificering til en eller flere connectorer, du vil undgå at bruge. Der findes nogle connectorer, som ikke kan blokeres.

Sp: Hvad med deling af connectorer mellem brugere? Connectoren til Teams er f.eks. generelt og kan deles med andre.

Sv: Connectorer er tilgængelige for alle brugere, bortset fra Premium- eller brugerdefinerede connectorer, som kræver enten en ekstra licens (Premium-connectorer), eller som udtrykkeligt skal deles (brugerdefinerede connectorer)

Advarsler og handlinger

Udover overvågning vil mange kunder abonnere på softwareoprettelse, brug eller tilstandshændelser, så de ved, hvornår de skal udføre en handling. I dette afsnit beskrives et par måder, du kan overvåge hændelser på (manuelt og via programmering), og udføre handlinger, der udløses af en hændelsesforekomst.

Opret Power Automate flow for at advare om vigtige overvågningshændelser

  1. Et eksempel på beskeder, der kan implementeres, er at abonnere på Microsoft 365 overvågningslogge for sikkerhed og overholdelse af angivne standarder.
  2. Dette kan opnås enten via et webhook-abonnement eller en forespørgselsmetode. Men ved at vedhæfte Power Automate til disse beskeder kan vi give administratorer mere end blot mailbeskeder.

Byg de politikker, du har brug for, med Power Apps, Power Automate og PowerShell

  1. Disse PowerShell-cmdlet'er giver fuld kontrol til administratorer, som kan automatisere de nødvendige styringspolitikker.
  2. Power-platform til administratorer V2 (prøveversion) og Power Automate Management-connectors giver det samme kontrolniveau, men med øget udvidelse og brugervenlighed ved hjælp af Power Apps og Power Automate.
  3. Gennemse Power Platform bedste praksis for administration og styring, og overvej at konfigurere CoE-startpakken (Center of Excellence).
  4. Brug denne blog- og appskabelon til hurtigt at få styr på administrationens connectorer.
  5. Derudover er det værd at tjekke indhold, der er delt i Community Apps Gallery, her er et andet eksempel på en administrativ oplevelse, der er bygget ved hjælp af Power Apps- og administratorconnectors.

ofte stillede spørgsmål

Problem I øjeblikket kan alle brugere med Microsoft E3 licenser oprette apps i standardmiljøet. Hvordan kan vi aktivere miljøopretterrettigheder for en udvalgt gruppe. Ti personer opretter apps?

Anbefaling

PowerShell-cmdlet'er og administrationsconnectorer giver fuld fleksibilitet og kontrol til administratorer med henblik på at opbygge de politikker, de ønsker at bruge i organisationen.

Overvåg

Det er velkendt, at overvågning er et kritisk aspekt ved styring af software i stor skala. I dette afsnit fremhæves et par måder at få indsigt i Power Apps og Power Automate udvikling og brug.

Gennemse revisionssporet

Aktivitetslogføring for Power Apps er integreret i Office Security and Compliance Center for omfattende logføring på tværs af Microsoft-tjenester som Dataverse og Microsoft 365. Office indeholder en API til forespørgsel i disse data, som i øjeblikket anvendes af mange SIEM-leverandører for at bruge data om aktivitetslogføring til rapportering.

Få vist licensrapporten Power Apps og Power Automate

  1. Log på Power Platform Administration.
  2. Vælg Licenser i navigationsruden.
  3. I ruden Licensing skal du vælge Power Automate eller Power Apps for at gennemse oplysningerne.

Du kan få oplysninger om følgende:

  • Aktiv bruger- og appanvendelse – hvor mange brugere anvender en app og hvor ofte?
  • Placering – hvor er forbruget?
  • Tjenesteydeevne for connectorer
  • Fejlrapportering – som er de mest fejlbehæftede apps
  • Flows i brug efter type og dato
  • Flows oprettet efter type og dato
  • Overvågning på programniveau
  • Service Health
  • Anvendte connectorer

Se, hvilke brugere der har licens

Du kan altid se på individuelle brugerlicenser i Microsoft 365 Administration ved at analysere bestemte brugere.

Du kan også bruge følgende PowerShell-kommando til at eksportere tildelte brugerlicenser.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksporterer alle de tildelte brugerlicenser (Power Apps og Power Automate) i din lejer til en tabelvisning .csv fil. Den eksporterede fil indeholder både interne prøveversionsplaner for tilmelding via selvbetjening og planer, der stammer fra Microsoft Entra ID. De interne prøveversionsplaner er ikke synlige for administratorer i Microsoft 365 Administration.

Eksporten kan tage et stykke tid for lejere, der har et stort antal Power Platform-brugere.

Få vist appressourcer, der bruges i et miljø

  1. Log på Power Platform Administration.
  2. Vælg Administrer i navigationsruden.
  3. Vælg Miljøer i ruden Administration.
  4. Vælg et miljø på siden Miljøer .
  5. I afsnittet Ressourcer skal du gennemse listen over apps, der bruges i miljøet.

Relateret indhold

  • Last updated on