Considerazioni sulla sicurezza e sulla governance

  • Articolo

Molti clienti si chiedono come sia possibile che Power Platform sia messo a disposizione della loro azienda più ampia e supportato dall'IT. La governance è la risposta. Mira a consentire ai gruppi aziendali di concentrasi sulla soluzione dei problemi aziendali in modo efficiente nel rispetto degli standard di conformità IT e aziendali. Il seguente contenuto ha lo scopo di strutturare i temi spesso associati al software di governance e portare consapevolezza alle capacità disponibili per ciascun tema in relazione alla governance di Power Platform.

Tema Le domande comuni correlate a ogni tema a cui il contenuto risponde
Architettura
  • Quali sono i costrutti e i concetti base di Power Apps, Power Automate e Microsoft Dataverse?

  • Come queste costrutti interagiscono in fase di progettazione e runtime?
Sicurezza
  • Quali sono le procedure consigliate per le considerazioni di progettazione della sicurezza?

  • Come posso utilizzare le nostre attuali soluzioni di gestione di utenti e gruppi per gestire i ruoli di accesso e sicurezza Power Apps?
Avviso e azione
  • Come definisco il modello di governance tra citizen developer e servizi IT gestiti?

  • Come definisco il modello di governance tra l'IT centrale e gli amministratori delle Business Unit?

  • Come avvicinarsi al supporto per gli ambienti non predefiniti nella mia organizzazione?
Monitorare
  • Come si acquisiscono i dati di conformità/controllo?

  • Come è possibile misurare adozione e l'utilizzo nella mia organizzazione?

Architettura

È preferibile familiarizzare con gli ambienti come primo passaggio per creare la giusta storia di governance per l'azienda. Gli ambienti sono i contenitori per tutte le risorse utilizzate da Power Apps, Power Automate e Dataverse. Panoramica degli ambienti è una buona introduzione, a cui dovrebbero seguire Che cosa è Dataverse?, Tipi di Power Apps, Microsoft Power Automate, Connettori e Gatewaylocale.

Sicurezza

In questa sezione vengono descritti i meccanismi esistenti per stabilire chi può accedere a Power Apps in un ambiente e accedere ai dati: licenze, ambiente, ruoli ambiente, Microsoft Entra ID, criteri di prevenzione della perdita dei dati e connettori di amministrazione che possono essere utilizzato con Power Automate.

Licenze

L'accesso a Power Apps e Power Automate inizia con l'avere una licenza. Il tipo di licenza di cui dispone un utente determina le risorse e i dati a cui un utente può accedere. Nella tabella seguente vengono descritte le differenze nelle risorse disponibili per un utente in base al tipo di piano, a livello generale. I dettagli granulari sulle licenze sono in Panoramica sulle licenze.

Piano Descrizione
Microsoft 365 incluso Questo consente agli utenti di estendere SharePoint e altre risorse di Office che hanno già.
Dynamics 365 incluso Ciò consente agli utenti di personalizzare ed estendere le app di interazione con i clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) che hanno già a disposizione.
Piano di Power Apps Questo consente:
  • creazione di connettori aziendali e Dataverse accessibile per l'utilizzo.
  • agli utenti di utilizzare regole business efficaci su tutti i tipi di applicazione e le funzionalità di amministrazione.
Power Apps Community Ciò consente all'utente di utilizzare Power Apps, Power Automate, Dataverse e connettori personalizzati in un unico pacchetto per un uso individuale. Non è possibile condividere le app.
Power Automate gratuito Ciò consente agli utenti di creare flussi illimitati e di eseguire 750 corse.
Piano di Power Automate Vedi Microsoft Power Apps e Guida per le licenze Microsoft Power Automate.

Ambienti

Dopo che gli utenti dispongono delle licenze, sono disponibili ambienti come contenitori per tutte le risorse utilizzate da Power Apps, Power Automate e Dataverse. Gli ambienti possono essere utilizzati per rivolgersi a diversi pubblici e/o per scopi diversi, come sviluppo, test e produzione. Ulteriori informazioni sono disponibili in Panoramica degli ambienti.

Proteggere dati e rete

  • Power Apps e Power Automate non fornire agli utenti l'accesso a risorse di dati a cui non hanno già accesso. Gli utenti devono accedere solo ai dati realmente necessari.
  • I criteri di controllo di accesso alla rete possono essere applicati anche a Power Apps e Power Automate. Per un ambiente, uno può impedire l'accesso a un sito da una rete bloccando la pagina di accesso per impedire la creazione di connessioni al sito in Power Apps e Power Automate.
  • In un ambiente, l'accesso è controllato a tre livelli: Ruoli ambientali, Autorizzazioni risorse per Power Apps, Power Automate e così via e Ruoli di sicurezza Dataverse (se viene eseguito il provisioning di un database Dataverse).
  • Quando Dataverse viene creato in un ambiente, i Dataverse ruoli assumono il controllo della sicurezza nel ambiente (e tutti gli amministratori e i creatori di ambiente vengono migrati).

Le seguenti entità di sicurezza sono supportate per ogni tipo di ruolo.

Tipo di ambiente Ruolo Tipo di entità di sicurezza (Microsoft Entra ID)
Ambiente senza Dataverse Ruolo ambiente Utente, gruppo, tenant
Autorizzazioni risorse: app canvas Utente, gruppo, tenant
Autorizzazioni risorse: Power Automate, Connettore personalizzato, Gateway, connessioni1 Utente, gruppo
Ambiente con Dataverse Ruolo ambiente User
Autorizzazioni risorse: app canvas Utente, gruppo, tenant
Autorizzazioni risorse: Power Automate, Connettore personalizzato, Gateway, connessioni1 Utente, gruppo
Ruolo Dataverse (si applica a tutte le app basate su modello e componenti) User

1È possibile condividere solo determinate connessioni (come SQL).

Nota

  • Nell'ambiente predefinito, tutti gli utenti nel tenant sono assegnati l'accesso al ruolo Creazione ambiente.
  • Gli utenti con il ruolo Power Platform amministratore hanno accesso amministrativo a tutti gli ambienti.

FAQ - Quali autorizzazioni sono disponibili a livello di tenant? Microsoft Entra

Oggi, gli amministratori Microsoft Power Platform possono eseguire le seguenti operazioni:

  1. Scaricare report sulle licenze Power Apps e Power Automate
  2. Creare criteri DLP con solo ambito "Tutti gli ambienti" o con ambito per includere/escludere ambienti specifici
  3. Gestire e assegnare licenze tramite interfaccia di amministrazione di Office
  4. Accedi a tutte le funzionalità di gestione di ambiente, app e flusso per tutti gli ambienti nel tenant disponibili tramite:
    • Cmdlet di PowerShell per gli amministratori Power Apps
    • Connettori di gestione Power Apps
  5. Accedere all'analisi amministrativa di Power Apps e Power Automate per tutti gli ambienti nel tenant:

Considera Microsoft Intune

I clienti con Microsoft Intune possono impostare criteri di protezione delle applicazioni mobili sia per Power Apps che per Power Automate le app su Android e iOS. Questa procedura dettagliata evidenzia l'impostazione di criteri tramite per Power Automate.

Considerare l'accesso a condizionale basato sulla posizione

Per i clienti con Microsoft Entra ID P1 o P2, i criteri di accesso condizionale possono essere definiti in Azure per Power Automate e Power Apps. Ciò consente di assegnare o bloccare l'accesso in base a: utente/gruppo, dispositivo, posizione.

Creare criteri di accesso condizionale

  1. Accedere a https://portal.azure.com.
  2. Seleziona Accesso condizionale.
  3. Seleziona + Nuovi criteri.
  4. Seleziona utenti e gruppi selezionati.
  5. Seleziona Tutte le app cloud>Tutte le app cloud>Common Data Service per controllare l'accesso alle app customer engagement.
  6. Applica le condizioni (rischio dell'utente, piattaforme del dispositivo, posizioni).
  7. Seleziona Crea.

Evitare la perdita di dati con criteri di prevenzione della perdita dei dati

I criteri prevenzione delle perdite (DLP) applicano regole per stabilire quali connettori possono essere utilizzati insieme, classificandoli come Solo dati aziendali o Nessun dato aziendale consentito. Semplicemente, se si inserisce un connettore nel gruppo Solo dati aziendali, può essere utilizzato solo con altri connettori di quel gruppo nella stessa applicazione. Gli amministratori di Power Platform possono definire criteri che si applicano a tutti gli ambienti.

Domande frequenti

D: Posso controllare, a livello di tenant, quale connettore è disponibile, ad esempio No a Dropbox o Twitter ma Sì a SharePoint?

R: Questo è possibile utilizzando le funzionalità di classificazione dei connettori e assegnando il classificatore Bloccato a uno o più connettori di cui si desidera impedire l'utilizzo. Nota che ci sono una serie di connettori che non possono essere bloccati.

D: Qual è la situazione sulla condivisione di connettori tra gli utenti? Ad esempio, il connettore per Teams è un connettore generale che può essere condiviso?

A: I connettori sono disponibili per tutti gli utenti, ad eccezione dei connettori premium o personalizzati, che necessitano di un'altra licenza (connettori premium) o devono essere condivisi esplicitamente (connettori personalizzati)

Avviso e azione

Oltre al monitoraggio, molti clienti desiderano abbonarsi agli eventi di creazione, utilizzo o integrità del software, in modo da sapere quando eseguire un'azione. In questa sezione vengono illustrati alcuni modi per osservare eventi (manualmente e a livello di codice) ed eseguire azioni attivate dal verificarsi di un evento.

Creare flussi Power Automate per avvisare su eventi chiave di controllo

  1. Esempio di avviso che può essere implementato è la sottoscrizione ai registri di controllo di sicurezza e conformità di Microsoft 365.
  2. Ciò è realizzbile tramite una sottoscrizione a un webhook o un approccio polling. Tuttavia, collegando Power Automate a questi avvisi, Microsoft potrà fornire agli amministratori più di solo avvisi di posta elettronica.

Creare i criteri necessari con Power Apps, Power Automate e PowerShell

  1. Questi Cmdlet di PowerShell pongono il controllo completo a disposizione degli amministratori per automatizzare i criteri di governance necessari.
  2. I connettori di gestione forniscono lo stesso livello di controllo, ma con maggiore estensibilità e facilità d'uso mediante l'utilizzo di Power Apps e Power Automate.
  3. Esistono i seguenti modelli Power Automate per i connettori amministrativi per una rapida implementazione:
    1. Elenca nuovi Power Automate connettori
    2. Ottieni l'elenco di nuovi Power Apps, Power Automate flussi e connettori
    3. Inviami via email un riepilogo settimanale degli avvisi Office 365 Centro messaggi
    4. Accedi Office 365 ai registri di sicurezza e conformità da Power Automate
  4. Utilizza questo modello di blog e app per apprendere rapidamente l'utilizzo dei connettori di amministrazione.
  5. Inoltre, vale la pena di consultare il contenuto condiviso nella Raccolta di app della community, qui un altro esempio di esperienza amministrativa creata con Power Apps e connettori di amministrazione.

Domande frequenti

Problema Attualmente, tutti gli utenti con Microsoft licenze E3 possono creare app nel formato predefinito ambiente. Come possiamo abilitare i diritti di Creazione ambiente per un gruppo selezionato, ad esempio. Dieci persone per creare app?

Raccomandazione I cmdlet di PowerShell e i connettori di gestione offrono agli amministratori la massima flessibilità e controllo per creare i criteri desiderati per la propria organizzazione.

Monitoraggio

È risaputo che il monitoraggio è un aspetto fondamentale nella gestione del software su larga scala. Questa sezione evidenzia un paio di modi per ottenere informazioni su Power Apps e Power Automate sviluppo e utilizzo.

Rivedere l'audit trail

La registrazione delle attività per Power Apps è integrata con Office Security and Compliance Center per una registrazione completa su tutti i Microsoft servizi come Dataverse e Microsoft 365. Office fornice un'API per eseguire query su questi dati, attualmente utilizzata da molti fornitori SIEM per utilizzare i dati di registrazione attività per creare i report.

Visualizzare il report sulle licenze di Power Apps e Power Automate

  1. Vai all'interfaccia di amministrazione di Power Platform.

  2. Seleziona Analisi>Power Automate o Power Apps.

  3. Visualizzare analisi amministrativa di Power Apps e Power Automate

    Puoi visualizzare informazioni su:

    • Utenti attivi e utilizzo delle app - quanti utenti utilizzano un'app e la frequenza?
    • Posizione - dove è l'utilizzo?
    • Prestazioni di servizio dei connettori
    • Segnalazione errori - quali app sono più soggette a errori
    • Flussi in uso per tipo e data
    • Flussi creati per tipo e data
    • Controllo a livello di applicazione
    • Integrità del servizio
    • Connettori usati

Visualizzare quali utenti dispongono della licenza

Puoi sempre guardare le licenze dei singoli utenti nell'interfaccia di amministrazione di Microsoft 365 eseguendo il drill-down di utenti specifici.

Puoi inoltre utilizzare il seguente comando PowerShell per esportare le licenze utente assegnate.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Esporta tutte le licenze utente assegnate (Power Apps e Power Automate) nel tuo tenant in un file .csv di vista tabulare. Il file esportato contiene sia piani di valutazione interni di iscrizione self-service sia piani provenienti da Microsoft Entra ID. I piani di valutazione interni non sono visibili agli amministratori nell'interfaccia di amministrazione di Microsoft 365.

L'esportazione può richiedere del tempo per i tenant con un numero elevato di utenti di Power Platform.

Visualizzare le risorse di app utilizzate in un ambiente

  1. Nell'interfaccia di amministrazione di Power Platform, selezionare gli ambienti nel menu di spostamento.
  2. Selezionare un ambiente
  3. Facoltativamente, l'elenco delle risorse utilizzate in un ambiente può essere scaricato in formato .csv.

Vedi anche

Utilizzare le migliori pratiche per proteggere e governare gli ambienti Power Automate
Microsoft Power Platform Kit di avvio del Centro di eccellenza (CoE)