Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Kunden fragen Sie: Wie kann Power Platform für ihr Unternehmen umfangreich verfügbar gemacht und von der IT unterstützt werden? Governance ist die Antwort. Ziel ist es, Geschäftsgruppen in die Lage zu versetzen, sich auf die effiziente Lösung von Geschäftsproblemen unter Einhaltung von IT- und Business-Compliance-Standards zu konzentrieren. Der folgende Inhalt soll Themen strukturieren, die oft mit der Governing-Software in Verbindung gebracht werden, und das Bewusstsein für die für jedes Thema verfügbaren Fähigkeiten schärfen, wenn es um die Governance von Power Platform geht.
| Theme | Allgemeine Fragen bezüglich jedes Themas, die dieser Inhalt beantwortet |
|---|---|
| Architektur |
|
| Sicherheit |
|
| Warnungsaktionen |
|
| Überwachen |
|
Architektur
Es ist am besten, sich mit Umgebungen als ersten Schritt beim Erstellen der passenden Governance-Geschichte Ihres Unternehmens vertraut zu machen. Umgebungen sind die Container für alle Ressourcen, die von einem Power Apps, Power Automate und Dataverse verwendet werden. Environments Overview ist eine gute Einführung, der gefolgt werden sollte von What is Dataverse?, Types of Power Apps, Microsoft Power Automate, Connectors und On-premises Gateways.
Sicherheit
In diesem Abschnitt werden Mechanismen beschrieben, die vorhanden sind, um zu steuern, wer in einer Umgebung auf Power Apps zugreifen kann und auf Daten zugreifen kann: Lizenzen, Umgebungen, Umgebungsrollen, Microsoft Entra ID, Datenrichtlinien und Administratorconnectors, die mit Power Automate verwendet werden können.
Lizenzierung
Der Zugriff auf Power Apps und Power Automate beginnt mit der Lizenz. Die Art der Lizenz, über die ein Benutzer verfügt, bestimmt die Anlagen und Daten, auf die ein Benutzer zugreifen kann. Die folgende Tabelle beschreibt Unterschiede der Ressourcen, die für einen Benutzer auf Basis des Plantyps verfügbar sind, von einer hohen Ebene aus. Präzise Lizenzierungsdetails finden Sie in der Lizenzierungsübersicht.
| Plan | Beschreibung |
|---|---|
| Microsoft 365 enthalten | Auf diese Weise können Benutzer SharePoint und andere Office-Ressourcen erweitern, die sie bereits besitzen. |
| Dynamics 365 enthalten | Benutzer können auf diese Weise die Kundenbindungs-Apps, die sie bereits besitzen, anpassen und erweitern (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation). |
| Power-Apps-Plan | Dadurch können:
|
| Power Apps Gemeinschaft | Auf diese Weise kann ein Benutzer Power Apps, Power Automate, Dataverse und benutzerdefinierte Connectors zur individuellen Nutzung verwenden. Es gibt keine Möglichkeit, Apps zu teilen. |
| Power Automate Kostenlos | Auf diese Weise können Benutzer unbegrenzte Flows erstellen und 750 Ausführungen machen. |
| Power Automate Plan | Siehe Microsoft Power Apps und Microsoft Power Automate Licensing Guide. |
Umgebungen
Nachdem Benutzer Über Lizenzen verfügen, sind Umgebungen als Container für alle Ressourcen vorhanden, die von Power Apps, Power Automate und Dataverse verwendet werden. Umgebungen können verwendet werden, um unterschiedliche Zielgruppen und/oder verschiedene Zwecke zu erreichen, z. B. Entwicklung, Test und Produktion. Weitere Informationen sind in der Umgebungsübersicht enthalten.
Sichern Ihrer Daten und Ihres Netzwerks
- Power Apps und Power Automate don't bieten Benutzern Zugriff auf datenressourcen, auf die sie noch nicht zugreifen können. Benutzer sollten nur Zugriff auf Daten haben, zu denen sie wirklich Zugriff benötigen.
- Richtlinien für die Netzwerkzugriffssteuerung können auch für Power Apps und Power Automate gelten. Für Umgebungseinstellungen kann der Zugriff auf eine Website innerhalb eines Netzwerks blockiert werden, indem die Anmeldeseite blockiert wird, sodass Verbindungen zu dieser Website in Power Apps und Power Automate nicht erstellt werden können.
- In einer Umgebung wird der Zugriff auf drei Ebenen gesteuert: Environment-Rollen, Ressourcenberechtigungen für Power Apps, Power Automate usw. und Dataverse-Sicherheitsrollen (wenn eine Dataverse-Datenquelle bereitgestellt wird).
- Wenn Dataverse in einer Umgebung erstellt wird, übernehmen die Dataverse-Rollen die Kontrolle der Sicherheit in der Umgebung (und alle Umgebungsadministratoren und -Ersteller werden migriert).
Die folgenden Prinzipals werden für jeden Rollentyp unterstützt.
| Umgebungstyp | Role | Prinzipaltyp (Microsoft Entra ID) |
|---|---|---|
| Umgebung ohne Dataverse | Umgebungsrolle | Benutzer, Gruppe, Mandant |
| Ressourcenberechtigung: Canvas-App | Benutzer, Gruppe, Mandant | |
| Ressourcenberechtigung: Power Automate, benutzerdefinierter Connector, Gateways, Connections1 | Benutzer, Gruppe | |
| Umgebung mit Dataverse | Umgebungsrolle | User |
| Ressourcenberechtigung: Canvas-App | Benutzer, Gruppe, Mandant | |
| Ressourcenberechtigung: Power Automate, benutzerdefinierter Connector, Gateways, Connections1 | Benutzer, Gruppe | |
| Dataverse-Rolle (gilt für alle modellgesteuerten Apps und Komponenten) | User |
1 Nur bestimmte Verbindungen (wie SQL) können gemeinsam genutzt werden.
Notiz
- In der Standardumgebung erhalten alle Benutzer in einem Mandanten Zugriff auf die Umgebungserstellerrolle.
- Benutzer mit der Rolle des Power Platform Administrators haben Administratorzugriff für sämtliche Umgebungen.
Häufig gestellte Fragen – Welche Berechtigungen sind auf Microsoft Entra Mandantenebene vorhanden?
Heute können Microsoft Power Platform Administratoren folgende Aktionen ausführen:
- Laden Sie den Power Apps & Power Automate Lizenzbericht herunter
- Erstellen Sie eine Datenrichtlinie, die entweder nur auf "Alle Umgebungen" festgelegt ist oder so konzipiert ist, dass sie spezifische Umgebungen ein- oder ausschließt.
- Verwalten und Zuweisen von Lizenzen über das Office Admin Center
- Greifen Sie auf alle Umgebungs-, App- und Flow-Management-Funktionen für alle Umgebungen im Mandanten zu, die verfügbar sind über:
- Power Apps PowerShell-Cmdlets für Administratoren
- Power Apps-Verwaltungs-Konnektoren
- Greifen Sie auf die Power Apps- und Power Automate-Administratoranalysen für alle Umgebungen im Mandanten zu:
Berücksichtigen Sie Microsoft Intune
Kunden mit Microsoft Intune können Richtlinien zum Schutz mobiler Anwendungen sowohl für Power Apps als auch für Power Automate Apps unter Android und iOS festlegen. Diese Anleitung hebt das Festlegen einer Richtlinie über Intune für Power Automate hervor.
Betrachten Sie ortsbasierten bedingten Zugriff
Für Kunden mit Microsoft Entra ID P1 oder P2 können Richtlinien für bedingten Zugriff in Azure für Power Apps und Power Automate definiert werden. Dies ermöglicht das Gewähren oder Blockieren von Zugriff auf der Basis von: Benutzer/Gruppe, Gerät, Standort.
Erstellen einer bedingten Zugriffs-Richtlinie
- Melden Sie sich bei https://portal.azure.coman.
- Wählen Sie Bedingten Zugriff.
- Wählen Sie + Neue Richtlinie.
- Wählen Sie Benutzer und Gruppen ausgewählt.
- Wählen Sie Alle Cloud-Apps>Alle Cloud-Apps>Common Data Service, um den Zugriff auf Kundenbindung-Apps zu steuern.
- Anwenden von Bedingungen (Benutzerrisiko, Geräteplattformen, Standorte).
- Wählen Sie "Erstellen" aus.
Verhindern von Datenlecks mit Datenrichtlinien
Datenrichtlinien legen Regeln fest, welche Connectors zusammen verwendet werden können, indem sie Connectors entweder als nur für Geschäftsdaten oder für keine Geschäftsdaten zugelassen klassifizieren. Einfach gesagt, wenn Sie einen Konnektor in die Nur Geschäftsdaten-Gruppe aufnehmen, kann er nur mit anderen Konnektoren der Gruppe in derselben Anwendung verwendet werden. Power Platform Administratoren können Richtlinien definieren, die für alle Umgebungen angewendet werden.
Häufig gestellte Fragen
F: Kann ich auf Mandantenebene steuern, welcher Connector überhaupt erst verfügbar ist, z. B. Nein zu Dropbox oder Twitter, aber Ja zu SharePoint?
A: Das ist möglich, indem Sie die Funktionalitäten Klassifizierung der Konnektoren nutzen und einem oder mehreren Konnektoren, die nicht verwendet werden sollen, den Klassifikator Blockiert zuweisen. Es gibt einen Satz von Connectors, die nicht blockiert werden können.
F: Wie steht es mit der Freigabe von Konnektoren zwischen Benutzern? Beispielsweise ist der Konnektor für Teams ein allgemeiner Konnektor, der gemeinsam genutzt werden kann?
A: Mit Ausnahme von Premium- oder benutzerdefinierten Konnektoren, die entweder eine weitere Lizenz (Premium-Konnektoren) erfordern oder explizit freigegeben werden müssen (benutzerdefinierte Connectors), stehen Connectors allen Benutzer zur Verfügung
Warnungsaktionen
Zusätzlich zur Überwachung möchten viele Kunden die Erstellung von Software, den Verbrauch oder Integritätsereignisse abonnieren, damit sie wissen, wann eine Aktion ausgeführt werden muss. In diesem Abschnitt werden einige Mittel zur Beobachtung von Ereignissen beschrieben (manuell und programmatisch) und Aktionen auszuführen, die durch ein Ereignisvorkommen ausgelöst werden.
Erstellen Sie Power Automate Flows zur Warnung bei wichtigen Prüfereignissen.
- Ein Beispiel für Warnungen, die implementiert werden können, ist das Abonnieren von Microsoft 365 Sicherheits- und Complianceüberwachungsprotokollen.
- Dies kann entweder durch einen Webhook, Abonnement oder Abruf erreicht werden. Durch das Anfügen von Power Automate an diese Warnungen können wir Administratoren jedoch mehr als nur E-Mail-Benachrichtigungen bereitstellen.
Erstellen Sie die benötigten Richtlinien mit Power Apps, Power Automate und PowerShell.
- Diese PowerShell-Cmdlets geben Administratoren ganze Kontrolle, um die erforderlichen Governance-Richtlinien zu automatisieren.
- Die Power Platform for Admins V2 (Preview) und Power Automate Management Connectors bieten die gleiche Steuerungsebene, aber mit zusätzlicher Erweiterbarkeit und Benutzerfreundlichkeit mithilfe von Power Apps und Power Automate.
- Sehen Sie sich die Best Practices für die Verwaltung und Governance von Power Platform an und überlegen Sie, ein Center of Excellence (CoE) Starter Kit einzurichten.
- Verwenden Sie die Blog- und App-Vorlage, um Administrations-Connectors schnell zu implementieren.
- Darüber hinaus lohnt es sich, Inhalte anzusehen, die in der Community Apps Gallery geteilt wurden. Hier ist ein weiteres Beispiel für eine administrative Benutzererfahrung, die mit Power Apps und Administratorkonnektoren erstellt wurde.
Häufig gestellte Fragen
Problem Derzeit können alle Benutzer mit Microsoft E3-Lizenzen Apps in der Standardumgebung erstellen. Wie können wir beispielsweise Umgebungsersteller-Rechte für eine ausgewählte Gruppe aktivieren? Zehn Personen, um Apps zu erstellen?
Empfehlung
Die PowerShell-Cmdlets und Verwaltungsconnectors bieten Fachkräften für die Administration volle Flexibilität und Kontrolle bei der Erstellung der Richtlinien, die sie für ihre Organisation wollen.
Überwachen
Es ist allgemein bekannt, dass die Überwachung ein entscheidender Aspekt bei der Verwaltung von Software im großen Stil ist. In diesem Abschnitt werden einige Möglichkeiten erläutert, um Einblicke in Power Apps und Power Automate Entwicklung und Nutzung zu erhalten.
Lesen Sie die Informationen über den Audit-Trail
Die Aktivitätsprotokollierung für Power Apps ist in das Office Sicherheits- und Compliance-Center integriert, um eine umfassende Protokollierung über Microsoft-Dienste wie Dataverse und Microsoft 365 bereitzustellen. Office bietet eine API, um diese Daten abzufragen, die derzeit von vielen SIEM-Zulieferern verwendet wird, um die Aktivitäts-Protokollierungsdaten für die Berichterstellung zu verwenden.
Anzeigen des Power Apps- und Power Automate-Lizenzberichts
- Melden Sie sich im Power Platform Admin Center an.
- Wählen Sie im Navigationsbereich Lizenzierung aus.
- Wählen Sie im Bereich LicensingPower Automate oder Power Apps aus, um die Informationen zu überprüfen.
Sie können Informationen zu folgenden Elementen erhalten:
- Aktive Benutzer- und App-Verwendung – wie viele Benutzer verwenden eine App und wie oft?
- Ort – wo findet die Verwendung statt?
- Service-Leistung von Konnektoren
- Fehlerberichterstattung – was sind die fehleranfälligsten Apps
- Verwendete Flows nach Typ und Datum
- Erstellte Flows nach Typ und Datum
- Überprüfung auf Anwendungsebene
- Service-Integrität
- Verwendete Konnektoren
Lizenzierte Benutzer anzeigen
Sie können sich die individuelle Benutzerlizenzierung im Microsoft 365 Admin Center immer ansehen, indem Sie einen Drilldown in bestimmte Benutzer ausführen.
Sie können auch den folgenden PowerShell-Befehl verwenden, um zugewiesene Benutzerlizenzen zu exportieren.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exportiert alle zugewiesenen Benutzerlizenzen (Power Apps und Power Automate) in Ihrem Mandanten in eine tabellarische Ansicht .csv Datei. Die exportierte Datei enthält sowohl interne Testpläne zur Selbstregistrierung als auch Pläne, die aus Microsoft Entra ID stammen. Die internen Testpläne sind für Administratoren im Microsoft 365 Admin Center nicht sichtbar.
Der Export kann für Mandanten mit einer großen Anzahl von Power Platform-Benutzern eine Weile dauern.
Anzeige der App-Ressourcen, die in einer Umgebung verwendet werden
- Melden Sie sich im Power Platform Admin Center an.
- Wählen Sie im Navigationsbereich die Option Verwalten aus.
- Wählen Sie im Bereich VerwaltenUmgebungen aus.
- Wählen Sie auf der Seite Umgebungen eine Umgebung aus.
- Überprüfen Sie im Abschnitt Ressourcen die Liste der Apps, die in der Umgebung verwendet werden.