Condividi tramite

Considerazioni sulla sicurezza e sulla governance in Power Platform

Molti clienti si chiedono come sia possibile che Power Platform sia messo a disposizione della loro azienda più ampia e supportato dall'IT. La governance è la risposta. Mira a consentire ai gruppi aziendali di concentrasi sulla soluzione dei problemi aziendali in modo efficiente nel rispetto degli standard di conformità IT e aziendali. Il seguente contenuto ha lo scopo di strutturare i temi spesso associati al software di governance e portare consapevolezza alle capacità disponibili per ciascun tema in relazione alla governance di Power Platform.

Tema Le domande comuni correlate a ogni tema a cui il contenuto risponde
Architettura
  • Quali sono i costrutti e i concetti di base di Power Apps, Power Automate e Microsoft Dataverse?

  • Come queste costrutti interagiscono in fase di progettazione e runtime?
Sicurezza
  • Quali sono le procedure consigliate per le considerazioni di progettazione della sicurezza?

  • Come si usano le soluzioni di gestione di utenti e gruppi esistenti per gestire l'accesso e i ruoli di sicurezza in Power Apps?
Avviso e azione
  • Come definisco il modello di governance tra citizen developer e servizi IT gestiti?

  • Come definisco il modello di governance tra l'IT centrale e gli amministratori delle Business Unit?

  • Come avvicinarsi al supporto per gli ambienti non predefiniti nella mia organizzazione?
Monitorare
  • Come si acquisiscono i dati di conformità/controllo?

  • Come è possibile misurare adozione e l'utilizzo nella mia organizzazione?

Architettura

È preferibile familiarizzare con gli ambienti come primo passaggio per creare la giusta storia di governance per l'azienda. Gli ambienti sono i contenitori per tutte le risorse usate da un Power Apps, Power Automate e Dataverse. Environments Overview è un buon primer, seguito da What is Dataverse?, Types of Power Apps, Microsoft Power Automate, Connectors e On-premises Gateways.

Sicurezza

Questa sezione descrive i meccanismi esistenti per controllare chi può accedere Power Apps in un ambiente e accedere ai dati: licenze, ambienti, ruoli dell'ambiente, Microsoft Entra ID, criteri dati e connettori di amministrazione che possono essere usati con Power Automate.

Licenze

L'accesso a Power Apps e Power Automate inizia con avere una licenza. Il tipo di licenza di cui dispone un utente determina le risorse e i dati a cui un utente può accedere. Nella tabella seguente vengono descritte le differenze nelle risorse disponibili per un utente in base al tipo di piano, a livello generale. I dettagli granulari sulle licenze sono in Panoramica sulle licenze.

Piano Descrizione
Microsoft 365 incluso In questo modo gli utenti possono estendere SharePoint e altri asset di Office già presenti.
Dynamics 365 incluso Ciò consente agli utenti di personalizzare ed estendere le app di engagement dei clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), hanno già.
piano di Power Apps Questo consente:
  • rendendo accessibili i connettori aziendali e Dataverse per l'utilizzo.
  • consentire agli utenti di utilizzare logica di business robusta su tutti i tipi di applicazioni e capacità di amministrazione.
Power Apps Community In questo modo un utente può usare Power Apps, Power Automate, Dataverse e connettori personalizzati in un singolo uso. Non è possibile condividere le app.
Power Automate gratuito Ciò consente agli utenti di creare flussi illimitati e di eseguire 750 corse.
piano Power Automate Vedere Microsoft Power Apps e Microsoft Power Automate Licensing Guide.

Ambienti

Dopo che gli utenti hanno licenze, gli ambienti esistono come contenitori per tutte le risorse usate da Power Apps, Power Automate e Dataverse. Gli ambienti possono essere utilizzati per raggiungere diversi destinatari e/o per altri scopi quali sviluppo, test e produzione. Ulteriori informazioni sono disponibili in Panoramica degli ambienti.

Proteggere dati e rete

  • Power Apps e Power Automate don't forniscono agli utenti l'accesso a tutti gli asset di dati a cui non hanno già accesso. Gli utenti devono accedere solo ai dati realmente necessari.
  • I criteri di controllo di accesso alla rete possono essere applicati anche a Power Apps e Power Automate. Per l'ambiente, è possibile bloccare l'accesso a un sito dall'interno di una rete bloccando la pagina di accesso per impedire la creazione di connessioni a tale sito in Power Apps e Power Automate.
  • In un ambiente, l'accesso viene controllato a tre livelli: ruoli dell'ambiente , permessi delle risorse per Power Apps e Power Automate, ecc., e ruoli di sicurezza Dataverse (se viene effettuato il provisioning di un database Dataverse).
  • Quando Dataverse viene creato in un ambiente, i ruoli Dataverse assumeranno il controllo della sicurezza nell'ambiente (e tutti gli amministratori e creatori vengono sottoposti a migrazione).

I seguenti principali sono supportati per ogni tipo di ruolo.

Tipo di ambiente Ruolo Tipo principale (Microsoft Entra ID)
Ambiente senza Dataverse Ruolo dell'ambiente Utente, gruppo, tenant
Autorizzazioni risorse: app Canvas Utente, gruppo, tenant
Autorizzazione risorsa: Power Automate, Connettore Personalizzato, Gateway, Connessioni1 Utente, gruppo
Ambiente con Dataverse Ruolo dell'ambiente Utente
Autorizzazioni risorse: app Canvas Utente, gruppo, tenant
Autorizzazione risorsa: Power Automate, Connettore Personalizzato, Gateway, Connessioni1 Utente, gruppo
Ruolo Dataverse (si applica a tutte le app basate su modello e componenti) Utente

1È possibile condividere solo determinate connessioni (come SQL).

Nota

  • Nell'ambiente predefinito, a tutti gli utenti del tenant viene assegnato l'accesso al ruolo Creazione ambiente.
  • Gli utenti con il ruolo di amministratore di Power Platform hanno accesso di amministrazione a tutti gli ambienti.

Domande frequenti: quali autorizzazioni esistono a livello di tenant Microsoft Entra?

Attualmente, Microsoft Power Platform amministratori possono eseguire le operazioni seguenti:

  1. Scarica il report delle licenze di Power Apps e Power Automate
  2. Creare una politica di gestione dei dati con scopo limitato a "Tutti gli ambienti" oppure selettivamente includere/escludere ambienti specifici.
  3. Gestire e assegnare licenze tramite interfaccia di amministrazione di Office
  4. Accedi a tutte le funzionalità di gestione di ambiente, app e flusso per tutti gli ambienti nel tenant disponibili tramite:
    • cmdlet di PowerShell per amministratori di Power Apps
    • connettori di gestione Power Apps
  5. Accedere agli strumenti di analisi amministrativa di Power Apps e Power Automate per tutti gli ambienti nel tenant.

Prendere in considerazione Microsoft Intune

I clienti con Microsoft Intune possono impostare criteri di protezione delle applicazioni mobili sia per le app Power Apps che per le app Power Automate in Android e iOS. Questa guida evidenzia l'impostazione di una policy su Intune per Power Automate.

Considerare l'accesso a condizionale basato sulla posizione

Per i clienti con Microsoft Entra ID P1 o P2, i criteri di accesso condizionale possono essere definiti in Azure per Power Apps e Power Automate. Ciò consente di assegnare o bloccare l'accesso in base a: utente/gruppo, dispositivo, posizione.

Creare criteri di accesso condizionale

  1. Accedi a https://portal.azure.com.
  2. Seleziona Accesso condizionale.
  3. Seleziona + Nuovi criteri.
  4. Seleziona utenti e gruppi selezionati.
  5. Seleziona Tutte le app cloud>Tutte le app cloud>Common Data Service per controllare l'accesso alle app customer engagement.
  6. Applica le condizioni (rischio dell'utente, piattaforme del dispositivo, posizioni).
  7. Fare clic su Crea.

Evitare la perdita di dati con le policy sui dati

Le politiche sui dati impongono regole su quali connettori possano essere utilizzati insieme classificando i connettori come solo dati aziendali o come dati aziendali non consentiti. Semplicemente, se si inserisce un connettore nel gruppo Solo dati aziendali, può essere utilizzato solo con altri connettori di quel gruppo nella stessa applicazione. Gli amministratori di Power Platform possono definire criteri che si applicano a tutti gli ambienti.

Domande frequenti

D: È possibile controllare, a livello di tenant, quale connettore è disponibile, ad esempio No to Dropbox o Twitter, ma Sì a SharePoint?

R: Questo è possibile utilizzando le funzionalità di classificazione dei connettori e assegnando il classificatore Bloccato a uno o più connettori di cui si desidera impedire l'utilizzo. Ci sono una serie di connettori che non possono essere bloccati.

D: Qual è la situazione sulla condivisione di connettori tra gli utenti? Ad esempio, il connettore per Teams è un connettore generale che può essere condiviso?

R: I connettori sono disponibili per tutti gli utenti ad eccezione di connettori Premium o personalizzati che necessitano di una licenza aggiuntiva (connettori Premium) o devono essere condivisi esplicitamente (connettori personalizzati)

Avviso e azione

Oltre a monitoraggio, numerosi clienti desiderano iscriversi a eventi di creazione, utilizzo o integrità del software in modo da sapere quando eseguire un'azione. In questa sezione vengono illustrati alcuni modi per osservare eventi (manualmente e a livello di codice) ed eseguire azioni attivate dal verificarsi di un evento.

Creare flussi di Power Automate per generare avvisi sugli eventi di controllo chiave

  1. Un esempio di avviso che può essere implementato consiste nell'iscriversi ai Registri di controllo sicurezza e conformità di Microsoft 365.
  2. Ciò è realizzbile tramite una sottoscrizione a un webhook o un approccio polling. Tuttavia, allegando Power Automate a questi avvisi, è possibile fornire agli amministratori più che solo avvisi di posta elettronica.

Creare i criteri necessari con Power Apps, Power Automate e PowerShell

  1. Questi Cmdlet di PowerShell pongono il controllo completo a disposizione degli amministratori per automatizzare i criteri di governance necessari.
  2. I connettori Power Platform per amministratori V2 (anteprima) e Power Automate Management offrono lo stesso livello di controllo, ma con maggiore estendibilità e facilità d'uso usando Power Apps e Power Automate.
  3. Esamina le procedure consigliate per l'amministrazione e la governance di Power Platform e valuta la configurazione dello starter kit Center of Excellence (CoE).
  4. Utilizza questo modello di blog e app per apprendere rapidamente l'utilizzo dei connettori di amministrazione.
  5. È anche consigliabile controllare il contenuto condiviso nella raccolta di app Community Apps Gallery, di seguito è riportato un altro esempio di esperienza amministrativa creata usando Power Apps e connettori di amministrazione.

Domande frequenti

Problema: attualmente, tutti gli utenti con licenze Microsoft E3 possono creare app nell'ambiente predefinito. Come possiamo abilitare i diritti di Creatore dell'ambiente per un gruppo selezionato, ad esempio. Dieci persone per creare app?

Raccomandazione

I cmdlet di PowerShell e Connettori di gestione offrono flessibilità e controllo completo agli amministratori per creare i criteri desiderati per l'organizzazione.

Monitorare

È risaputo che il monitoraggio è un aspetto critico della gestione del software su larga scala. Questa sezione illustra un paio di mezzi per ottenere informazioni dettagliate nello sviluppo e nell'utilizzo di Power Apps e Power Automate.

Rivedere l'audit trail

La registrazione delle attività per Power Apps è integrata con il Centro Sicurezza e Conformità di Office per una registrazione completa sui servizi Microsoft, come Dataverse e Microsoft 365. Office fornice un'API per eseguire query su questi dati, attualmente utilizzata da molti fornitori SIEM per utilizzare i dati di registrazione attività per creare i report.

Visualizzare il report sulle licenze di Power Apps e Power Automate

  1. Accedi all'interfaccia di amministrazione di Power Platform.
  2. Nel riquadro di spostamento, seleziona Licenze.
  3. Nel riquadro Licensing selezionare Power Automate o Power Apps per esaminare le informazioni.

Puoi visualizzare informazioni su:

  • Utenti attivi e utilizzo delle app - quanti utenti utilizzano un'app e la frequenza?
  • Posizione - dove è l'utilizzo?
  • Prestazioni di servizio dei connettori
  • Segnalazione errori - quali app sono più soggette a errori
  • Flussi in uso per tipo e data
  • Flussi creati per tipo e data
  • Controllo a livello di applicazione
  • Integrità del servizio
  • Connettori usati

Visualizzare quali utenti dispongono della licenza

È sempre possibile esaminare le licenze utente individuali nell'interfaccia di amministrazione Microsoft 365 eseguendo il drill-in di utenti specifici.

Puoi inoltre utilizzare il seguente comando PowerShell per esportare le licenze utente assegnate.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Esporta tutte le licenze utente assegnate (Power Apps e Power Automate) nel tenant in una visualizzazione tabulare .csv file. Il file esportato contiene sia piani di valutazione interni di iscrizione self-service che piani di valutazione provenienti da Microsoft Entra ID. I piani di valutazione interni non sono visibili agli amministratori nell'interfaccia di amministrazione di Microsoft 365.

L'esportazione può richiedere del tempo per i tenant con un numero elevato di utenti di Power Platform.

Visualizzare le risorse di app utilizzate in un ambiente

  1. Accedi all'interfaccia di amministrazione di Power Platform.
  2. Nel riquadro di spostamento seleziona Gestisci.
  3. Nel riquadro Gestisci, seleziona Ambienti.
  4. Nella pagina Ambienti seleziona un ambiente.
  5. Nella sezione Risorse , esamina l'elenco delle app utilizzate nell'ambiente.

Contenuto correlato

  • Last updated on