Jaa

Power Platformin suojauksen ja hallinnon näkökohtia

Monet asiakkaat miettivät, miten Power Platform voidaan ottaa laajemmin käyttöön liiketoiminnassa ja miten sitä tuetaan IT:ssä? Vastaus on hallinnointi. Sen tavoitteena on antaa liiketoimintaryhmille mahdollisuus ratkaista liiketoiminnan ongelmia tehokkaasti samalla, kun noudatetaan IT:n ja liiketoiminnan vaatimustenmukaisuuden standardeja. Seuraavan sisällön tarkoituksena on jäsentää teemoja, jotka usein liittyvät hallintaohjelmistoihin ja tuoda tietoisuutta kunkin teeman käytettävissä olevista ominaisuuksista, jotka liittyvät Power Platformin hallintaan.

Teema Yleisiä kysymyksiä, jotka liittyvät kuhunkin tämän sisällön käsittelemään teemaan
Arkkitehtuuri
  • Mitä ovat Power Apps, Power Automate ja Microsoft Dataverse peruskonstruktorit ja käsitteet?

  • Miten nämä rakenteet sopivat yhteen suunnittelun ja suorituksen aikana?
Suojaus
  • Mitkä ovat tietoturvan suunnitteluun liittyvät parhaat käytännöt?

  • Miten voin käyttää olemassa olevia käyttäjien ja ryhmien hallintaratkaisuja käyttöoikeuksien ja käyttöoikeusroolien hallintaan Power Apps?
Hälytys ja toiminto
  • Miten määritän hallintomallin kehittäjien ja hallinnoitujen IT-palveluiden välille?

  • Miten määritän hallintomallin keskitetyn IT:n ja liiketoimintayksiköiden järjestelmänvalvojien välille?

  • Miten saan tukea organisaation muille kuin oletusympäristöille?
Seuraa
  • Miten vaatimustenmukaisuus- ja seurantatietoja siepataan?

  • Miten voin mitata käyttöönottoa ja käyttöä omassa organisaatiossani?

Arkkitehtuuri

Ensimmäiseksi kannattaa tutustua ympäristöihin, jotta yritykselle voidaan luoda oikea hallintotapa. Ympäristöt ovat kaikkien Power Apps, Power Automate ja Dataversen käyttämien resurssien säilöjä. Ympäristöt Yleiskatsaus on hyvä aakkonen, jonka perässä tulee olla Mikä on Dataverse?Types of Power Apps, Microsoft Power Automate, Connectors ja On-premises Gateways.

Suojaus

Tässä osiossa esitellään mekanismit, joiden avulla voidaan hallita sitä, ketkä voivat käyttää Power Apps ympäristössä ja käyttää tietoja: käyttöoikeudet, ympäristöt, ympäristöroolit, Microsoft Entra ID, tietokäytännöt ja järjestelmänvalvojan liittimet, joita voidaan käyttää Power Automate kanssa.

Käyttöoikeudet

Power Apps ja Power Automate käyttö alkaa käyttöoikeudella. Käyttäjällä olevan käyttöoikeuden tyyppi määrittää resurssit ja tiedot, joita käyttäjä voi käyttää. Seuraavassa taulukossa esitellään niiden resurssien erot, jotka ovat käyttäjän käytettävissä palvelupaketin tyypin mukaan ylhäältä alaspäin. Käyttöoikeuksien tarkemmat tiedot löytyvät käyttöoikeuksien yleiskatsauksesta.

Suunnittelu Kuvaus
Microsoft 365 sisältyy Näin käyttäjät voivat laajentaa SharePoint ja muita Office-resursseja, joita heillä jo on.
Dynamics 365 sisältyy Näin käyttäjät voivat mukauttaa ja laajentaa asiakkaiden osallistumisen sovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 markkinointia ja Dynamics 365 Project Service Automation), niitä on jo.
Power Apps palvelupaketti Tämän avulla
  • tehdä yrityksen yhdistimet ja Dataverse-palvelun käyttö mahdolliseksi
  • käyttäjät voivat käyttää tehokasta liiketoimintalogiikkaa kaikissa sovellustyypeissä ja hallintaominaisuuksissa.
Power Apps-yhteisö Näin käyttäjä voi käyttää Power Apps, Power Automate, Dataversea ja mukautettuja liittimiä yhdessä yksilökäyttöön. Sovellusten jakaminen ei ole mahdollista.
Power Automate maksuton Tällä tavoin käyttäjät voivat luoda työnkulkuja rajoittamattoman määrän ja suorittaa niitä 750 kertaa.
Power Automate palvelupaketti Katso Microsoft Power Apps ja Microsoft Power Automate Licensing Guide.

Ympäristöt

Kun käyttäjillä on käyttöoikeudet, ympäristöt ovat olemassa säilöinä kaikille resursseille, joita Power Apps, Power Automate ja Dataverse käyttävät. Ympäristöjä voidaan käyttää eri kohderyhmien kohdentamiseen ja/tai erilaisiin tarkoituksiin, kuten kehittämiseen, testaukseen ja tuotantoon. Lisätietoja on ympäristöjen yleiskatsauksessa.

Tietojen ja verkon suojaaminen

  • Power Apps ja Power Automate eivät mahdollistavat niiden tietoresurssien käytön, joihin heillä ei vielä ole käyttöoikeutta. Käyttäjillä on oltava käytettävissään vain ne tiedot, joihin he tarvitsevat käyttöoikeudet.
  • Verkkokäytön hallintakäytännöt voivat koskea myös Power Apps ja Power Automate. Ympäristössä sivuston käytön voi estää verkosta estämällä kirjautumissivun, jotta kyseiseen sivustoon ei luoda yhteyksiä Power Apps ja Power Automate.
  • Ympäristössä käyttöoikeuksia hallitaan kolmella tasolla: Ympäristöroolit, resurssien käyttöoikeudet Power Apps, Power Automate jne. ja Tietosuojarooleja (jos Dataverse-tietokanta on valmistelty).
  • Kun Dataverse luodaan ympäristössä, Dataverse-roolit alkavat hallita ympäristön suojausta (ja kaikki ympäristön järjestelmänvalvojat ja tekijät siirretään).

Seuraaville roolityypeille tuetaan seuraavia periaatteita.

Ympäristön tyyppi Rooli Päätyyppi (Microsoft Entra ID)
Ympäristö ilman Dataversea Ympäristön rooli Käyttäjä, ryhmä, vuokraaja
Resurssin oikeudet: kaaviosovellus Käyttäjä, ryhmä, vuokraaja
Resurssin käyttöoikeus: Power Automate, mukautettu liitin, yhdyskäytävät, yhteydet1 Käyttäjä, ryhmä
Ympäristö Dataversen kanssa Ympäristön rooli Käyttäjä
Resurssin oikeudet: kaaviosovellus Käyttäjä, ryhmä, vuokraaja
Resurssin käyttöoikeus: Power Automate, mukautettu liitin, yhdyskäytävät, yhteydet1 Käyttäjä, ryhmä
Dataverse-rooli (koskee kaikkia mallipohjaisia sovelluksia ja osia) Käyttäjä

1Vain tietyt yhteydet (kuten SQL) voidaan jakaa.

Muistiinpano

  • Oletusympäristössä kaikille vuokraajan käyttäjille myönnetään käyttöoikeus ympäristön tekijän rooliin.
  • Power Platform -järjestelmänvalvojilla on kaikkien ympäristöjen järjestelmänvalvojan käyttöoikeus.

Usein kysytyt kysymykset – Mitä käyttöoikeuksia vuokraajan Microsoft Entra tasolla on?

Tällä hetkellä Microsoft Power Platform järjestelmänvalvojat voivat tehdä seuraavaa:

  1. Lataa Power Apps ja Power Automate käyttöoikeusraportti
  2. Luo tietokäytäntö, joka on rajoitettu vain kaikkiin ympäristöihin tai joka voi sisältää tai jättää pois tiettyjä ympäristöjä
  3. Käyttöoikeuksien hallinta ja delegoiminen Office-hallintakeskuksen kautta
  4. Voit käyttää kaikkia ympäristön, sovelluksen ja työnkulun hallintaominaisuuksia kaikissa vuokraajan ympäristöissä seuraavien avulla:
    • Power Apps järjestelmänvalvojan PowerShellin cmdlet-komennot
    • Power Apps hallintaliittimet
  5. Käytä Power Apps ja Power Automate järjestelmänvalvojan analytiikkaa kaikissa vuokraajan ympäristöissä:

Harkitse Microsoft Intune

Asiakkaat, joilla on Microsoft Intune, voivat määrittää mobiilisovellusten suojauskäytännöt sekä Power Apps että Power Automate-sovelluksille Androidissa ja iOS:ssä. Näissä vaiheittaisissa ohjeissa korostetaan käytännön asettamista Intunen kautta Power Automate varten.

Harkitse sijaintiin perustuvan ehdollisen käyttöoikeuden käyttöä

Asiakkaille, joilla on Microsoft Entra ID P1 tai P2, ehdolliset käyttöoikeuskäytännöt voidaan määrittää Azure Power Apps ja Power Automate. Tämä mahdollistaa käyttöoikeuden myöntämisen tai estämisen käyttäjän/ryhmän, laitteen ja sijainnin perusteella.

Ehdollisen käyttöoikeuden käytännön luominen

  1. Kirjaudu https://portal.azure.com.
  2. Valitse Ehdollinen käyttöoikeus.
  3. Valitse + Uusi käytäntö.
  4. Valitse valitut käyttäjät ja ryhmät.
  5. Valitse Kaikki pilvisovellukset>Kaikki pilvisovellukset>Common Data Service hallitaksesi asiakasvuorovaikutussovellusten käyttöoikeuksia.
  6. Ehtojen (käyttäjäriskien, laiteympäristöjen ja sijaintien) käyttö.
  7. Valitse Luo.

Tietovuotojen estäminen tietokäytäntöjen avulla

Tietokäytännöt valvovat sääntöjä, joiden avulla liittimiä voidaan käyttää yhdessä luokittelemalla liittimet joko vain yritystiedeiksi tai yritystietoja ei sallita. Jos siis yhdistin asetetaan Vain liiketoimintatiedot -ryhmälle, sitä voi käyttää vain yhdessä muiden saman sovelluksen ryhmän yhdistimien kanssa. Power Platform järjestelmänvalvojat voivat määrittää käytäntöjä, jotka koskevat kaikkia ympäristöjä.

usein kysytyt kysymykset

K: Voinko hallita vuokraajatasolla, mikä liitin on käytettävissä, esimerkiksi Ei Dropboxiin tai Twitteriin, mutta Kyllä SharePoint?

A: Tämä on mahdollista käyttämällä yhdistimien luokitusominaisuuksia ja delegoimalla estetty-luokitus vähintään yhdelle yhdistimelle, jota et halua käytettävän. On olemassa yhdistinten joukko, jota ei voi estää.

K: Onko yhdistimien jakaminen käyttäjien kanssa mahdollista? Onko esimerkiksi Teamsin yhdistin yleiskäyttöinen ja jaettava?

A: Yhdistimet ovat kaikkien käyttäjien käytettävissä. Tämä ei kuitenkaan koske Premium-yhdistimiä ja mukautettuja yhdistimiä, jotka edellyttävät lisäkäyttöoikeuden (Premium-yhdistimet) tai jotka on jaettava erikseen (mukautetut yhdistimet)

Hälytys ja toiminto

Seurannan lisäksi useat asiakkaat haluavat tilata ohjelmiston luonnin, käytön tai tilan tapahtumat, jotta he tietävät, milloin toimintoja voi suorittaa. Tässä osassa esitellään muutamia keinoja, joiden avulla voi tarkkailla tapahtumia (manuaalisesti ja ohjelmallisesti) sekä suorittaa tapahtumaesiintymän käynnistämiä toimintoja.

Luo Power Automate työnkulkuja, jotta voit antaa hälytyksen tärkeistä valvontatapahtumista

  1. Esimerkki käyttöön otettavasta hälytyksestä on Microsoft 365 suojauksen ja vaatimustenmukaisuuden valvontalokien tilaaminen.
  2. Tämä voidaan tehdä käyttämällä joko webhook-tilausta tai kyselyä. Liittämällä Power Automate näihin hälytyksiin voimme kuitenkin antaa järjestelmänvalvojille muutakin kuin vain sähköposti-ilmoituksia.

Luo tarvitsemasi käytännöt Power Apps, Power Automate ja PowerShellin avulla

  1. Nämä PowerShell cmdlet -komennot antavat hallinnan järjestelmänvalvojille. He voivat automatisoida hallintakäytäntöjä tarvittaessa.
  2. Power Platform for Admins V2 (Esikatselu) ja Power Automate Management -liittimet tarjoavat saman hallintatason, mutta ne mahdollistavat entistä laajennettavuuden ja helppokäyttöisyyden Power Apps ja Power Automate avulla.
  3. Tutustu Power Platformin hallinnan ja hallinnon parhaisiin käytäntöihin ja harkitse osaamiskeskuksen (CoE) aloituspaketin määrittämistä.
  4. Tämän blogin ja sovellusmallin avulla voi lisätä nopeasti hallinnan yhdistämiä.
  5. Lisäksi kannattaa tutustua sisältöön, joka on jaettu Community Apps -valikoimassa. Tässä on toinen esimerkki hallintakokemuksesta, joka on luotu Power Apps ja järjestelmänvalvojan liittimien avulla.

usein kysytyt kysymykset

Ongelma Tällä hetkellä kaikki käyttäjät, joilla on Microsoft E3 -lisenssejä, voivat luoda sovelluksia oletusympäristössä. Miten esimerkiksi ympäristön tekijäoikeudet voidaan ottaa käyttöön tietyssä ryhmässä. Kymmenen sovelluksia luovaa henkilöä?

Suositus

PowerShellin cmdlets-komennot ja hallinnan yhdistimet antavat järjestelmänvalvojille täydet mahdollisuudet muodostaa käytäntöjä, jotka he haluavat organisaatiolleen.

Seuraa

On laajalti ymmärrettyä, että seuranta on kriittinen osa ohjelmistojen hallintaa suuressa mittakaavassa. Tässä osiossa esitellään pari keinoa, joiden avulla voit saada merkityksellisiä tietoja Power Apps sekä Power Automate kehittämiseen ja käyttöön.

Tarkista auditointiketju

Activity logging for Power Apps on integroitu Officen tietoturva- ja yhteensopivuuskeskukseen, jotta microsoftin palvelut, kuten Dataverse ja Microsoft 365, voidaan kirjata kattavasti. Office sisältää ohjelmointirajapinnan, joka tekee näistä tiedoista kyselyn. Useat SIEM-toimittajat käyttävät sitä parhaillaan aktiviteettien kirjaustiedoissa raportointia varten.

Power Apps- ja Power Automate -käyttöoikeusraportin tarkasteleminen

  1. Kirjaudu Power Platform -hallintakeskukseen.
  2. Valitse siirtymisruudussa Lisensointi.
  3. Tarkista tiedot valitsemalla Käyttökäyttö-ruutu Power Automate tai Power Apps.

Voit saada tietoja seuraavista asioista:

  • Aktiivinen käyttäjä ja sovelluksen käyttö – kuinka monta käyttäjää sovelluksella on ja miten usein?
  • SIjainti - missä käyttö tapahtuu?
  • Yhdistimien palvelun suorituskyky
  • Virheiden raportointi - sovellukset, joissa tapahtuu eniten virheitä
  • Virrat käytössä tyypin ja päivämäärän mukaan
  • Luodut työnkulut tyypin ja päivämäärän mukaan
  • Sovellustason seuranta
  • Service Health
  • Käytössä olevat yhdistimet

Käyttöluvan saaneiden käyttäjien tarkasteleminen

Voit aina tarkastella yksittäisten käyttäjien käyttöoikeuksia Microsoft 365 hallintakeskuksessa porautumalla tiettyihin käyttäjiin.

Voit viedä delegoituja käyttöoikeuksia myös seuraavan PowerShellin komennon avulla.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Vie vuokraajan kaikki määritetyt käyttöoikeudet (Power Apps ja Power Automate) taulukkonäkymätiedostoon .csv. Viety tiedosto sisältää sekä omatoimisen rekisteröitymisen sisäiset kokeilusuunnitelmat että palvelupaketit, jotka ovat peräisin Microsoft Entra ID. Sisäiset kokeiluversiot eivät näy järjestelmänvalvojille Microsoft 365 hallintakeskuksessa.

Vienti voi kestää jonkin aikaa niiden vuokraajien osalta, joilla on suuri määrä Power Platform -käyttäjiä.

Ympäristössä käytettävien sovellusresurssien tarkasteleminen

  1. Kirjaudu Power Platform -hallintakeskukseen.
  2. Valitse siirtymisruudussa Hallitse.
  3. Valitse Hallitse-ruudussa Ympäristöt.
  4. Valitse Ympäristöt-sivulla ympäristö.
  5. Tarkista Resurssit-osassa ympäristössä käytettyjen sovellusten luettelo.

Liittyvä sisältö

  • Last updated on